Version: 1.0.0

กฎการใช้ AI ของ Adapter Digital

สำหรับพนักงานทุกคน | Version 1.0.0 | วันที่มีผล: 24 มีนาคม 2569

ทำไมเราต้องมีกฎนี้

เราเป็น Agency ที่ดูแลข้อมูลลูกค้าหลายราย เมื่อพิมพ์หรืออัปโหลดอะไรเข้า AI ข้อมูลจะถูกส่งไปประมวลผลที่ server ภายนอก กฎนี้ช่วยให้ทุกคนใช้ AI ได้เต็มที่โดยไม่ทำให้ข้อมูลของลูกค้าหรือบริษัทเสี่ยง

ใช้กับใคร: พนักงานทุกคน รวมถึงฟรีแลนซ์และที่ปรึกษาที่ใช้ระบบของบริษัท

ใช้กับ AI ตัวไหน: AI ทุกตัว ทั้ง Claude Cowork, ChatGPT, Gemini, Copilot และอื่นๆ

ก่อนใช้ AI

ข้อ 1: ลบข้อมูลระบุตัวตนก่อนส่งเข้า AI

พนักงานต้องลบชื่อคน ชื่อบริษัท ชื่อแบรนด์ และข้อมูลติดต่อออกก่อนส่งเข้า AI โดยแทนที่ด้วยรหัส เพื่อไม่ให้ข้อมูลที่ระบุตัวตนได้หลุดออกนอกบริษัท

หลักการคือ ลบ "ใคร" เก็บ "อะไร" — ลบชื่อจริงออก แต่เก็บรายละเอียดงานไว้ให้ครบ ยิ่งให้บริบทมาก AI ยิ่งช่วยได้ดี

วิธีทำ: ก่อนพิมพ์หรือวางข้อมูลเข้า AI ให้แทนที่ข้อมูลต่อไปนี้ด้วยรหัส หรือลบข้อมูลเหล่านั้นออก

ชื่อ-นามสกุล (รวมชื่อเล่น, ชื่อภาษาอังกฤษ) → [NAME-1], [NAME-2]
เบอร์โทรศัพท์ → [PHONE]
อีเมล → [EMAIL-1]
ที่อยู่ / สถานที่ที่ระบุตัวบุคคลได้ → [ADDRESS] หรือใช้ระดับจังหวัด/เขต
ชื่อบริษัทลูกค้า → [CLIENT-A], [CLIENT-B]
ชื่อแบรนด์ / สินค้า / บริการ → [BRAND-1], [PRODUCT-1]
ชื่อ campaign / โปรเจกต์ → [CAMPAIGN-1], [PROJECT-X]
เลขที่สัญญา / Invoice / PO → [CONTRACT-001], [INV-001]
ชื่อ talent / influencer ที่ยังไม่เปิดเผย → [TALENT-1]

ข้อมูลที่ไม่ต้องลบ (มีประโยชน์ต่อ AI): กลุ่มเป้าหมาย ("ผู้หญิง 25-35"), งบประมาณ ("5 ล้านบาท"), KPI ("CTR 1.5%"), ประเภทอุตสาหกรรม ("FMCG"), tone of voice, platform, timeline — ข้อมูลเหล่านี้ไม่ระบุตัวบุคคลหรือองค์กร ส่งเข้า AI ได้เลย

ตัวอย่าง

❌ "บริษัท ABC จำกัด กำลังจะเปิดตัวสินค้า XYZ ราคา 299 บาท target ผู้หญิง 25-35"

✅ "ลูกค้า [CLIENT-A] กำลังจะเปิดตัวสินค้า [PRODUCT-1] ราคา 299 บาท target ผู้หญิง 25-35"

พอได้ผลลัพธ์จาก AI แล้ว ค่อย Find & Replace ใส่ชื่อจริงกลับเอง

สำคัญ: การตรวจสอบข้อมูลต้องทำก่อนส่งเข้า AI — ไม่ใช่โดย AI

ห้ามส่งข้อมูลดิบเข้า AI แล้ว "ให้ AI ช่วยตรวจว่ามีข้อมูลอ่อนไหวหรือไม่" เพราะข้อมูลถูกส่งออกจากเครื่องไปแล้วตั้งแต่ตอนที่พิมพ์เข้าไป การ "ให้ AI ช่วยตรวจ" คือการส่งข้อมูลออกไปก่อนตรวจ ซึ่งผิดกฎข้อนี้อยู่แล้ว

วิธีตรวจก่อนส่ง (ต้องทำบนเครื่องของตัวเอง):

ตรวจด้วยตัวเอง (แนะนำ) — Copy ข้อมูลลง Notepad/TextEdit → ใช้ Find & Replace (Ctrl+H / Cmd+H) ค้นหาชื่อ เบอร์ อีเมล แล้วแทนที่ด้วย placeholder → ส่งข้อมูลที่แทนที่แล้วเข้า AI
ใช้ tool บนเครื่อง (ถ้าบริษัทจัดให้) — script หรือ tool ที่ scan และแทนที่ PII อัตโนมัติ ทำงานบนเครื่องของพนักงานโดยไม่ส่งข้อมูลออกนอก
ถ้าข้อมูลเยอะเกินจะตรวจด้วยตัวเอง — ปรึกษาหัวหน้างานหรือทีม IT เพื่อหาวิธีจัดการที่เหมาะสม อย่าข้ามขั้นตอนนี้เพราะข้อมูลเยอะ

หลักการ: ข้อมูลต้อง "สะอาด" ก่อนออกจากเครื่อง ไม่ว่าจะส่งเข้า AI ตัวไหนก็ตาม

ข้อ 2: ห้ามส่งข้อมูลที่ไม่มีวิธีแปลงให้ปลอดภัย

พนักงานต้องไม่ส่งรหัสผ่าน API Key เลขบัตรประชาชน เลขบัญชีธนาคาร หรือข้อมูลสุขภาพเข้า AI โดยไม่มีข้อยกเว้น เพราะข้อมูลเหล่านี้ไม่มีวิธีแปลงที่ปลอดภัยและผิดกฎหมายหากหลุด

ข้อมูลเหล่านี้ต่างจากข้อ 1 ตรงที่ไม่สามารถ "แทนที่แล้วใช้ได้" — ตัวข้อมูลเองเป็นความเสี่ยง

ข้อมูลที่ห้ามส่งเข้า AI:

รหัสผ่าน / API Key / Token / SSH Key ทุกชนิด
.env file / config file ที่มี credentials
เลขบัตรประชาชน / Passport / ประกันสังคม
เลขบัญชีธนาคาร / บัตรเครดิต / บัตรเดบิต
ข้อมูลสุขภาพ / ประวัติการรักษา / ใบรับรองแพทย์
ข้อมูลชีวภาพ (ลายนิ้วมือ, สแกนใบหน้า, ม่านตา)
Connection string / Docker secrets / Terraform state
ข้อมูล M&A ที่ยังไม่เปิดเผย
เอกสารศาล / คดีความ

ถ้าต้องการให้ AI ช่วยเรื่อง code ที่มี credentials: ลบ secret values ออกก่อน ใช้ [REDACTED] แทน ส่งได้แค่ structure ของ code

ระวังข้อมูลที่ซ่อนอยู่ในไฟล์

กฎข้อนี้ครอบคลุมถึง ไฟล์ที่อัปโหลดเข้า AI ด้วย ไม่ใช่แค่ข้อความที่พิมพ์ ไฟล์หลายประเภทมีข้อมูลซ่อนที่มองไม่เห็น:

Spreadsheet — อาจมีคอลัมน์เลขบัตรประชาชน/บัญชีธนาคารที่ไม่ได้ลบ หรือ sheet ที่ซ่อนอยู่
PDF — อาจมีข้อมูลใน metadata (ชื่อผู้สร้าง, ชื่อบริษัท) หรือ annotations ที่มองไม่เห็น
รูปภาพ — อาจมี EXIF data (พิกัด GPS, ชื่อเจ้าของกล้อง)
Word/Docs — อาจมี Track Changes ที่เห็นข้อมูลเดิมที่ลบไปแล้ว หรือ comments ที่มีชื่อจริง
Code files — อาจมี hardcoded credentials ที่ลืมลบ

ก่อนอัปโหลดไฟล์ใดๆ: เปิดดูก่อนเสมอ ตรวจว่าไม่มีข้อมูลข้อ 1 (ข้อมูลระบุตัวตน) หรือข้อ 2 (ข้อมูลต้องห้าม) ซ่อนอยู่

ระหว่างใช้ AI

ข้อ 3: ใช้ AI ได้เต็มที่สำหรับงานภายใน — ภายใต้ tools ที่ปลอดภัย

พนักงานสามารถใช้ AI คิดงาน ทดลอง สร้าง prototype ได้อย่างเต็มที่ โดยใช้เฉพาะ AI tools ที่บริษัทอนุมัติ และไม่ต้องขออนุมัติสำหรับงานภายใน เพื่อให้ทุกคนได้ประโยชน์จาก AI มากที่สุดโดยไม่เสี่ยงด้านความปลอดภัย

บริษัทสนับสนุนให้ทดลองเต็มที่ ยิ่งใช้มากยิ่งเก่งขึ้น ไม่มีข้อจำกัดสำหรับงานภายใน ตราบใดที่ปฏิบัติตามข้อ 1-2

งานที่ทำได้เลยไม่ต้องขออนุมัติ:

Brainstorm ไอเดีย / concept / creative direction
สร้าง prototype / mockup / wireframe
วิเคราะห์ข้อมูล / หา insight / สรุป trend
ร่าง draft เอกสารภายใน (meeting notes, SOP, รายงาน)
เขียน / debug code สำหรับ internal tools
สร้าง internal dashboard / automation
เรียนรู้ / ถาม AI เป็น tutor / พัฒนาทักษะ
สร้าง template ภายในบริษัท
ทดลองสร้าง creative concept ก่อน present ทีม

AI tools ที่อนุมัติ

Tool	เงื่อนไข
Claude Cowork	เครื่องมือหลัก
ChatGPT Team/Enterprise	ใช้ได้
Google Gemini	ใช้ได้ — ผ่าน Email ของบริษัท
GitHub Copilot	ใช้ได้

AI ตัวอื่นที่ไม่อยู่ในตารางนี้ยังไม่ได้รับอนุมัติ หากต้องการใช้ให้เสนอให้ Admin/IT ประเมินก่อน เหตุผลที่ต้องจำกัด: AI tools หลายตัว (โดยเฉพาะ free tier) นำข้อมูลที่ส่งเข้าไปใช้เทรนโมเดล ซึ่งหมายความว่าข้อมูลลูกค้าอาจหลุดไปโดยไม่รู้ตัว

การอบรม

พนักงานทุกคนที่จะใช้เครื่องมือ AI ต้อง เข้าร่วมการอบรมการใช้เครื่องมือ AI ตามที่บริษัทจัดการบรรยาย

หลังใช้ AI / ก่อน publish

ข้อ 4: ตรวจสอบผลงานทุกชิ้นก่อน publish

พนักงานต้องตรวจสอบผลงานจาก AI ทุกชิ้นก่อน publish สู่ภายนอก โดยตรวจความถูกต้องของข้อมูล ตัวเลข และข้อเท็จจริง เพราะ AI อาจสร้างข้อมูลที่ดูน่าเชื่อแต่ไม่จริง

AI เปรียบเหมือน junior ที่เก่งมาก — ร่าง draft ได้เร็ว แต่ senior ต้องตรวจก่อนส่ง ผลงานจาก AI คือ "draft ฉบับแรก" ไม่ใช่ "งานสำเร็จ"

งานที่ต้องตรวจก่อน publish:

Deliverables ลูกค้า (proposal, report, presentation, creative)
Content บน internet (social media, blog, email, ad copy, press release)
เว็บไซต์ / แอป ที่ลูกค้าใช้จริง
Code ที่ deploy ขึ้น production

สิ่งที่ต้องตรวจทุกชิ้น:

ข้อมูล / ตัวเลข / สถิติ ถูกต้องหรือไม่? — AI มักสร้างตัวเลขที่ดูน่าเชื่อแต่ไม่มีจริง (hallucination)
ไม่มีข้อมูลลูกค้ารายอื่นปนอยู่? — AI อาจนำข้อมูลจาก session อื่นมาปน (cross-client contamination)
ไม่ละเมิดลิขสิทธิ์? — AI อาจ reproduce เนื้อหาของผู้อื่นโดยไม่รู้ตัว
Claim เกี่ยวกับสินค้าไม่เกินจริง? — AI อาจเขียน claim ที่ผิดกฎหมาย เช่น "รักษาโรคได้"
ตรง brand voice ของลูกค้า / บริษัท?

สำคัญ: "ใช้ AI ตรวจ AI" ไม่นับเป็น human review

การใช้ AI ตัวที่ 2 ตรวจสอบ output จาก AI ตัวที่ 1 ไม่นับเป็นการตรวจสอบ ตามข้อนี้ เพราะ AI ตัวที่ 2 อาจ:

ไม่รู้ว่าตัวเลขที่ AI ตัวแรกสร้างมาเป็นจริงหรือไม่ (AI ไม่สามารถ verify fact ได้ มันแค่ประเมินว่า "ดูสมเหตุสมผล")
ไม่รู้ว่า [CLIENT-A] คือใคร จึงตรวจ brand voice ไม่ได้
อาจเห็นด้วยกับข้อมูลที่ผิด เพราะ AI มักยืนยันสิ่งที่ดู "น่าจะถูก"

AI ช่วยตรวจ draft ได้ (เช่น ช่วยหา typo, ช่วย proofread ภาษา) แต่ คนต้องเป็นผู้ตัดสินใจว่าข้อมูลถูกต้อง ก่อน publish เสมอ

ข้อ 5: ต้อง approve ก่อน publish สู่ internet

พนักงานต้องได้รับ approve จากหัวหน้างานหรือลูกค้าก่อน publish ผลงานที่ AI ช่วยสร้างสู่ internet โดยปฏิบัติตาม process ตรวจสอบปกติ ตรวจสอบข้อกำหนดของลูกค้าเรื่องการใช้ AI และระบุผู้รับผิดชอบต่อผลงานให้ชัดเจน

ใครต้อง approve อะไร:

Content ในนามบริษัทเรา → หัวหน้างาน approve
Content ในนามลูกค้า → หัวหน้างาน + ลูกค้า approve
Legal content (สัญญา, T&C, privacy policy) → ฝ่ายกฎหมาย approve เสมอ
AI-generated images ในงานลูกค้า → ตรวจสัญญาว่าลูกค้าอนุญาตหรือไม่
Press release / สื่อสารภายนอก → ลูกค้า + ฝ่ายสื่อสาร approve
Ad copy ที่ run จริง → ตรวจ compliance ของ ad platform ก่อน publish

เรื่อง AI Disclosure กับลูกค้า

ก่อน publish งานในนามลูกค้าทุกครั้ง ต้องตรวจสอบ:

สัญญากับลูกค้ามีข้อกำหนดเรื่อง AI หรือไม่? — ลูกค้าบางรายห้ามใช้ AI, บางรายกำหนดให้ disclose, บางรายไม่มีข้อกำหนด
ถ้าสัญญาไม่ได้ระบุ → ปรึกษาหัวหน้างานว่าควร disclose หรือไม่
ถ้าสัญญาห้ามใช้ AI → ห้าม publish ผลงานที่ AI ช่วยสร้างในนามลูกค้ารายนั้น

เรื่องความรับผิดชอบ

ผลงานทุกชิ้นที่ publish ในนามบริษัทหรือลูกค้า — บริษัท/ลูกค้าเป็นผู้รับผิดชอบ ไม่ใช่ AI ชื่อที่อยู่บน deliverable คือชื่อเรา

การจัดการและความปลอดภัย

ข้อ 6: รายงานทันทีเมื่อเกิดข้อผิดพลาด

พนักงานต้องรายงานทันทีหากส่งข้อมูลที่ไม่ควรส่งเข้า AI ไปแล้ว โดยแจ้งหัวหน้างานว่าเกิดอะไรขึ้น เพื่อให้จัดการได้เร็วที่สุด การรายงานโดยสุจริตจะไม่ถูกลงโทษ

กรณีที่ต้องรายงาน:

ส่ง ข้อมูลส่วนบุคคล เข้า AI โดยไม่ได้ลบ หรือแทนที่ข้อมูลก่อนตามข้อ 1),2)
ส่ง credentials / secrets เข้า AI
Publish ผลงาน AI โดยไม่ผ่าน review
พบว่า AI output มีข้อมูลลูกค้ารายอื่นปน
พบว่า AI output มีข้อมูลที่ผิดแล้ว publish ไปแล้ว

ขั้นตอนเมื่อเกิดเหตุ:

หยุดใช้ session นั้นทันที — อย่าพิมพ์ต่อ
แจ้งหัวหน้างานทันที — บอกว่าเกิดอะไร ข้อมูลอะไร เมื่อไหร่
บันทึกหลักฐาน — screenshot ถ้าทำได้

ยิ่งรายงานเร็ว ยิ่งจัดการได้เร็ว — PDPA กำหนดให้แจ้งเหตุละเมิดข้อมูลภายใน 72 ชั่วโมง ถ้ารายงานช้าบริษัทอาจไม่ทันกรอบเวลานี้

ข้อ 7: จำกัดสิทธิ์ AI Agent ให้แค่สิ่งที่จำเป็น

พนักงานต้องจำกัดสิทธิ์การเข้าถึงของ AI Agent ให้แค่สิ่งที่จำเป็นสำหรับงานนั้นๆ โดยใช้ Project แยกตามลูกค้า และเชื่อมต่อเฉพาะ Connector ที่บริษัทอนุมัติ เพื่อไม่ให้ agent เข้าถึงข้อมูลนอกขอบเขต

หลักการคือ "เข้าถึงแค่ที่จำเป็น" (Least Privilege) — เปิดกว้างเกินไปคือเปิดโอกาสให้ข้อมูลหลุด

สิ่งที่ต้องทำ:

ควรตั้ง Project แยกตามลูกค้า
Connector / MCP ที่เชื่อมต่อ — ใช้เฉพาะที่บริษัทอนุมัติ ห้ามเชื่อมเอง
Scope ของ connector — กำหนดเป็น read-only หรือจำกัด folder เช่น Google Drive เข้าถึงเฉพาะ folder ของโปรเจกต์นั้น
Skills / Extensions — ใช้เฉพาะที่บริษัทอนุญาติให้ใช้
ห้าม disable governance skill / connector ที่บริษัทตั้งค่าไว้

ระวัง: AI Agent อาจเข้าถึงข้อมูลเองผ่าน Connector

เมื่อเชื่อม AI agent กับ Google Drive, Slack, หรือระบบอื่น agent อาจ "อ่าน" ไฟล์หรือข้อความที่อยู่ใน scope ที่เปิดให้เข้าถึงโดยอัตโนมัติ แม้พนักงานไม่ได้ตั้งใจส่งข้อมูลนั้นเข้า AI

ตัวอย่าง: ถ้าเชื่อม Google Drive ทั้ง folder "ลูกค้า" แล้วถาม AI ว่า "สรุปไฟล์ทั้งหมดใน folder นี้" agent อาจอ่านไฟล์ของลูกค้าทุกราย รวมถึงรายที่ไม่เกี่ยวกับงานปัจจุบัน รวมถึงการยอมให้ AI เข้าถึง Email บริษัทก็ไม่ควร

วิธีป้องกัน: เชื่อม connector เฉพาะ folder/channel ที่จำเป็นสำหรับงานนั้นๆ ไม่ใช่ระดับ root หรือระดับ organization

การทบทวน Policy

Policy นี้จะถูกทบทวนทุก 1 เดือน โดย Admin/IT + หัวหน้างาน และจะทบทวนทันทีเมื่อ:

มี AI tool ใหม่ที่บริษัทจะนำมาใช้
มีกฎหมายใหม่ที่เกี่ยวข้อง
เกิด incident ที่เปิดเผยจุดอ่อนของ policy
ลูกค้ารายใหญ่มีข้อกำหนด AI ใหม่ในสัญญา

ทุกการเปลี่ยนแปลงจะแจ้งพนักงานล่วงหน้าอย่างน้อย 7 วัน

สรุป

กฎทอง: ข้อมูลต้อง "สะอาด" ก่อนออกจากเครื่อง ผลงานต้อง "ผ่านคน" ก่อนออกจากบริษัท

ทุกอย่างที่ส่งเข้า AI → ตรวจด้วยคนก่อนส่ง (ข้อ 1-2) ทุกอย่างที่ได้จาก AI → ตรวจด้วยคนก่อน publish (ข้อ 4-5)

กลุ่ม	ข้อ	หลักคิด
ก่อนใช้ AI	1	ลบ "ใคร" เก็บ "อะไร" — แทนที่ชื่อจริงด้วยรหัส
ก่อนใช้ AI	2	ข้อมูลบางอย่างห้ามส่งเด็ดขาด — ไม่มีวิธีแปลงที่ปลอดภัย
ระหว่างใช้ AI	3	ใช้ได้เต็มที่สำหรับงานภายใน — ใช้เฉพาะ tools ที่อนุมัติ
ก่อน publish	4	AI เป็น draft คนต้องตรวจ — ตรวจทุกชิ้นก่อน publish
ก่อน publish	5	ต้อง approve ก่อน publish — ตรวจข้อกำหนดลูกค้าเรื่อง AI ด้วย
จัดการ	6	รายงานทันทีเมื่อเกิดเหตุ — ไม่ลงโทษถ้ารายงานตรงๆ
จัดการ	7	จำกัดสิทธิ์ agent — Project แยก, Connector เฉพาะที่อนุมัติ

เมื่อไม่แน่ใจ → ถามหัวหน้างาน ถามก่อนเสมอดีกว่าแก้ทีหลัง

มีคำถามเรื่องนี้ปรึกษาหัวหน้างานหรือทีม IT ได้ตลอด

รายละเอียดเชิงลึก (กฎหมายที่เกี่ยวข้อง, ผลกระทบ, ผู้เกี่ยวข้อง) ดูได้ในตาราง AI Policy Reference Table

Adapter Digital — AI Usage Policy v1.0.0

ทำไมเราต้องมีกฎนี้​

ก่อนใช้ AI​

ข้อ 1: ลบข้อมูลระบุตัวตนก่อนส่งเข้า AI​

สำคัญ: การตรวจสอบข้อมูลต้องทำก่อนส่งเข้า AI — ไม่ใช่โดย AI​

ข้อ 2: ห้ามส่งข้อมูลที่ไม่มีวิธีแปลงให้ปลอดภัย​

ระวังข้อมูลที่ซ่อนอยู่ในไฟล์​

ระหว่างใช้ AI​

ข้อ 3: ใช้ AI ได้เต็มที่สำหรับงานภายใน — ภายใต้ tools ที่ปลอดภัย​

AI tools ที่อนุมัติ​

การอบรม​

หลังใช้ AI / ก่อน publish​

ข้อ 4: ตรวจสอบผลงานทุกชิ้นก่อน publish​

สำคัญ: "ใช้ AI ตรวจ AI" ไม่นับเป็น human review​

ข้อ 5: ต้อง approve ก่อน publish สู่ internet​

เรื่อง AI Disclosure กับลูกค้า​

เรื่องความรับผิดชอบ​

การจัดการและความปลอดภัย​

ข้อ 6: รายงานทันทีเมื่อเกิดข้อผิดพลาด​

ข้อ 7: จำกัดสิทธิ์ AI Agent ให้แค่สิ่งที่จำเป็น​

ระวัง: AI Agent อาจเข้าถึงข้อมูลเองผ่าน Connector​

การทบทวน Policy​

สรุป​