นโยบายและมาตรการป้องกันเพื่อการใช้งานปัญญาประดิษฐ์อย่างปลอดภัย

ข้อควรพิจารณาในการสร้างกรอบการกำกับดูแลและการคุ้มครองปัญญาประดิษฐ์

ตลอดปี 2025 และต้นปี 2026 ทีมผู้เชี่ยวชาญด้านความปลอดภัยที่มุ่งเน้นด้าน AI ในกลุ่มงานปัญญาประดิษฐ์ของ Health-ISAC ได้ร่วมกันจัดทำเอกสารไวท์เปเปอร์เพื่อเป็นแนวทางในการพัฒนากรอบการกำกับดูแล AI เอกสารไวท์เปเปอร์ที่ได้จัดทำขึ้นนี้ได้นำเสนอตัวอย่างนโยบายการใช้งาน AI ที่ยอมรับได้ และคำแนะนำโดยละเอียดเกี่ยวกับการจัดการความเสี่ยงด้าน AI โดยกำหนดนิยามที่ชัดเจนของการใช้งาน AI แบบเจเนอเรทีฟและ LLM อย่างมีความรับผิดชอบ ห้ามการเปิดเผยข้อมูล PHI, PII และข้อมูลที่เป็นความลับต่อเครื่องมือสาธารณะ และกำหนดให้ต้องมีการอนุญาต การกำกับดูแล และการตรวจสอบโดยมนุษย์สำหรับผลลัพธ์ของ AI ในบริบททางคลินิก ทรัพยากรบุคคล กฎหมาย และการเงิน

เอกสารฉบับนี้มีคุณลักษณะบางประการดังนี้:

• โครงสร้างการกำกับดูแล AI อย่างเป็นทางการ เอกสารนี้ได้นำเสนอรูปแบบคณะกรรมการกำกับดูแลปัญญาประดิษฐ์ (AI Governance Committee) ที่เป็นรูปธรรม โดยมีตัวแทนจากหลากหลายฝ่าย (กฎหมาย ความเป็นส่วนตัว ความปลอดภัย เทคโนโลยี วิทยาศาสตร์ข้อมูล ธุรกิจ จริยธรรม) ที่รายงานต่อผู้บริหารระดับสูงหรือคณะกรรมการบริษัท เอกสารนี้ได้กำหนดความรับผิดชอบ ตัวอย่างตัวชี้วัด และเน้นย้ำว่าการกำกับดูแลเป็นสิ่งที่จำเป็น ไม่ใช่ทางเลือก
• กรอบการกำกับดูแล AI ที่ยึดหลักเสาหลัก เอกสารฉบับนี้อธิบายกรอบการทำงานเจ็ดเสาหลัก ได้แก่ กฎหมาย/ข้อบังคับ/นโยบาย ความเป็นส่วนตัวและจริยธรรมของ AI การกำกับดูแลกรณีการใช้งาน การกำกับดูแลวงจรชีวิตของแบบจำลอง การทำสัญญาและการรับบุคคลที่สามเข้าสู่ระบบ การตอบสนองต่อเหตุการณ์และการจัดการการละเมิดข้อมูล AI และการฝึกอบรมและการให้ความรู้เกี่ยวกับ AI โดยแต่ละเสาหลักมีวัตถุประสงค์และผู้รับผิดชอบเฉพาะเจาะจง
• แผนงานเชิงปฏิบัติสำหรับการนำไปปฏิบัติ แผนงานการนำไปปฏิบัติแบ่งงานออกเป็นสี่ขั้นตอน ได้แก่ การเริ่มต้น (คณะกรรมการ หลักการ การสำรวจ) การประเมินความเสี่ยงและผลกระทบ (การประเมินผลกระทบด้านการคุ้มครองข้อมูล การตรวจสอบอคติ การตรวจสอบความปลอดภัย) การนำกรอบการทำงานไปใช้งาน (นโยบาย การลงทะเบียนกรณีการใช้งาน การควบคุมวงจรชีวิต) และการติดตามและตรวจสอบ (การตรวจสอบเป็นระยะ การฝึกอบรมซ้ำ การตรวจสอบ)
• นโยบายการใช้งาน AI ที่ละเอียดและสามารถนำกลับมาใช้ใหม่ได้ เอกสารนี้ประกอบด้วยนโยบายตัวอย่างฉบับสมบูรณ์ ซึ่งระบุวัตถุประสงค์และขอบเขต หลักการชี้นำ ความโปร่งใสและจริยธรรม ความรับผิดชอบและการกำกับดูแล ความเป็นส่วนตัวและความปลอดภัยของข้อมูล การรักษาความลับ การใช้งานที่ยอมรับได้และต้องห้าม การบังคับใช้ และคำจำกัดความ รวมถึงตารางแสดง "สิ่งที่อนุญาตและไม่อนุญาต" สำหรับเครื่องมือ AI สาธารณะ
• มีการกำหนดประเภทความเสี่ยงด้าน AI 8 ประเภท ซึ่งเชื่อมโยงกับมาตรการป้องกันเฉพาะด้าน เนื้อหาครอบคลุมอย่างเป็นระบบเกี่ยวกับความเป็นส่วนตัวและความปลอดภัยของข้อมูล ความเสี่ยงในห่วงโซ่อุปทานและบุคคลที่สาม ความเสี่ยงของแบบจำลองและผลลัพธ์ อคติและความเป็นธรรม กฎระเบียบและการปฏิบัติตามกฎหมาย ช่องโหว่ด้านความปลอดภัย ความเสี่ยงด้านการกำกับดูแลและการตรวจสอบ และ AI ที่แฝงตัวอยู่ พร้อมทั้งจับคู่แต่ละประเด็นกับมาตรการป้องกันที่เป็นรูปธรรม เช่น การลดปริมาณข้อมูล SBOMs การตรวจสอบสถานะผู้ขาย การทดสอบเจาะระบบ การควบคุมตามสัญญา และการตรวจจับ AI ที่แฝงตัวอยู่

ผู้เขียน: โคเฮน, ลูดา (AbbVie); มูราด, คาโรล (Bio Bridge Global); ไนค์, ศรีกันธ์ (Abbott); สตรีลแมน, เจฟฟ์ (SpendMend)

ผู้มีส่วนร่วมในการจัดทำเนื้อหา: Murphy, Bill (LeanTaaS), Gosnell, Joe (Tucson Medical Center)

TLP:WHITE สามารถเผยแพร่รายงานฉบับนี้ได้โดยไม่มีข้อจำกัด

• แหล่งข้อมูลและข่าวสารที่เกี่ยวข้อง
• รายงานภาพรวมภัยคุกคามด้านการดูแลสุขภาพและบริการสังคม
• การนำ AI ที่มีบทบาทมาใช้ในด้านการดูแลสุขภาพเป็นเรื่องที่มีความเสี่ยง
• งาน Live@eXchange วันที่ 2 – นักวิเคราะห์ความปลอดภัยอุปกรณ์ทางการแพทย์ของ Health-ISAC
• การแฮ็กระบบสุขภาพ-ISAC 6-3-2026
• ช่องโหว่ใหม่ที่มุ่งเป้าไปที่อุตสาหกรรมการดูแลสุขภาพ
• จดหมายข่าวรายเดือน – มิถุนายน 2026
• สิ่งที่จำเป็นอย่างแท้จริงในการสร้างความมั่นคงด้านการดูแลสุขภาพ
• การจัดทำบัญชีรายการอุปกรณ์และการทำแผนที่ข้อมูลสุขภาพส่วนบุคคล (PHI) จะเป็นงานที่หนักที่สุดเมื่อกฎ HIPAA ฉบับใหม่มีผลบังคับใช้
• รายงาน DBIR ของ Verizon: ภาคการดูแลสุขภาพรับมือกับการโจมตีทางวิศวกรรมสังคมที่เพิ่มขึ้น
• รายงานสถานการณ์ความเสี่ยงด้านไซเบอร์ของมนุษย์