สถาบันการศึกษาในประเทศไทยกำลังเผชิญกับความท้าทายใหม่ในการบริหารจัดการข้อมูลนักเรียนและนักศึกษา การนำระบบ CRM มาใช้ร่วมกับเครื่องมือ AI ต้องอาศัยการวางรากฐานด้าน Data Governance และการปฏิบัติตาม PDPA ที่ชัดเจน คู่มือฉบับนี้จะพาคุณเดินทางตั้งแต่ขั้นตอนการออกแบบนโยบายการเก็บ Consent ไปจนถึงการกำหนดสิทธิ์การเข้าถึงข้อมูลและแนวทางการใช้งาน Breeze AI อย่างปลอดภัย
Ourgreenfish ช่วยสถาบันการศึกษาไทยวางระบบ CRM และ Data Governance ที่สอดคล้องกับ PDPA มาเกือบ 10 ปี ประสบการณ์นี้ทำให้เราเข้าใจว่าข้อมูลจะมีคุณค่าก็ต่อเมื่อมีการวางโครงสร้างที่ถูกต้อง มีการเชื่อมต่อที่เหมาะสม และทีมงานสามารถนำไปใช้ได้จริง
Data Governance คือกรอบการบริหารจัดการข้อมูลที่กำหนดนโยบาย กระบวนการ และความรับผิดชอบในการเก็บรวบรวม ใช้ และเปิดเผยข้อมูล สำหรับสถาบันการศึกษา นี่หมายถึงการวางระบบจัดการข้อมูลนักเรียน ผู้ปกครอง บุคลากร และศิษย์เก่าอย่างมีระเบียบ
สถาบันการศึกษาเป็นองค์กรที่มีข้อมูลส่วนบุคคลไหลเวียนจำนวนมาก ตั้งแต่ประวัติส่วนตัว ผลการเรียน ข้อมูลสุขภาพ ไปจนถึงภาพถ่ายกิจกรรม ข้อมูลเหล่านี้ต้องได้รับการปกป้องอย่างเหมาะสม
โดยเฉพาะข้อมูลของผู้เยาว์ที่มีความละเอียดอ่อนเป็นพิเศษ การวาง Data Governance ที่ดีจะช่วยให้สถาบันสามารถใช้ประโยชน์จากข้อมูลได้อย่างเต็มที่ โดยไม่ละเมิดสิทธิของเจ้าของข้อมูล
พระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 หรือ PDPA กำหนดให้สถาบันการศึกษาเป็น "ผู้ควบคุมข้อมูล" ที่ต้องรับผิดชอบในการจัดการข้อมูลส่วนบุคคลอย่างถูกต้อง บทลงโทษกรณีละเมิดอาจสูงถึง 5 ล้านบาทต่อการละเมิดหนึ่งครั้ง
ข้อมูลที่สถาบันการศึกษาจัดเก็บมีทั้งข้อมูลทั่วไปและข้อมูลอ่อนไหว เช่น ข้อมูลสุขภาพ เชื้อชาติ ศาสนา ซึ่งต้องได้รับความยินยอมอย่างชัดแจ้งก่อนเก็บรวบรวม
ในปี 2569 คณะกรรมการคุ้มครองข้อมูลส่วนบุคคล (สคส.) ได้ออกแนวปฏิบัติเกี่ยวกับการใช้ AI ในการประมวลผลข้อมูลส่วนบุคคล ซึ่งส่งผลโดยตรงต่อสถาบันที่ใช้ CRM ร่วมกับเครื่องมือ AI
ข้อมูลนักเรียนและนักศึกษา
ข้อมูลประเภทนี้รวมถึงประวัติส่วนตัว เลขประจำตัวนักเรียน วันเกิด ที่อยู่ เบอร์โทรศัพท์ ผลการเรียน บันทึกพฤติกรรม และประวัติการเข้าร่วมกิจกรรม
สำหรับนักเรียนระดับอุดมศึกษา อาจรวมถึงข้อมูลการกู้ยืมเงินเพื่อการศึกษา ประวัติการฝึกงาน และข้อมูลการสมัครงาน
ข้อมูลผู้ปกครอง
ข้อมูลผู้ปกครองที่จำเป็นต้องจัดเก็บได้แก่ ชื่อ-นามสกุล ที่อยู่ เบอร์โทรศัพท์ อีเมล ความสัมพันธ์กับนักเรียน และข้อมูลติดต่อฉุกเฉิน
ผู้ปกครองยังเป็นผู้ที่ต้องให้ความยินยอมแทนผู้เยาว์ในการเก็บรวบรวมและใช้ข้อมูล ดังนั้นการจัดการข้อมูลผู้ปกครองจึงสำคัญเท่ากับข้อมูลนักเรียน
ข้อมูลบุคลากรและคู่ค้า
สถาบันยังต้องจัดการข้อมูลครู อาจารย์ เจ้าหน้าที่ รวมถึงข้อมูลของผู้รับเหมาและซัพพลายเออร์ที่เข้ามาทำงานในสถาบัน
ข้อมูลเหล่านี้มักถูกมองข้าม แต่ก็อยู่ภายใต้การคุ้มครองของ PDPA เช่นเดียวกัน
เริ่มต้นด้วยการสำรวจว่าสถาบันเก็บข้อมูลอะไรบ้าง เก็บที่ไหน ใครเป็นผู้รับผิดชอบ และเก็บไว้นานเท่าไร การทำ Data Inventory จะช่วยให้เห็นภาพรวมของข้อมูลทั้งหมดในองค์กร
จัดกลุ่มข้อมูลตามประเภท ได้แก่ ข้อมูลนักเรียน ผู้ปกครอง บุคลากร และคู่ค้า แยกให้ชัดว่าข้อมูลใดเป็นข้อมูลอ่อนไหวที่ต้องได้รับความยินยอมอย่างชัดแจ้ง
PDPA กำหนดว่าต้องแจ้งวัตถุประสงค์การใช้ข้อมูลก่อนหรือขณะเก็บรวบรวม สถาบันต้องระบุให้ชัดว่าเก็บข้อมูลไปเพื่ออะไร เช่น การลงทะเบียนเรียน การทำบัตรนักเรียน การประกันอุบัติเหตุ หรือการตลาด
หากต้องการใช้ข้อมูลนอกเหนือจากวัตถุประสงค์เดิม ต้องขอความยินยอมใหม่ การวางระบบ CRM ที่ดีจะช่วยติดตามและจัดการวัตถุประสงค์เหล่านี้ได้อย่างเป็นระบบ
แบบฟอร์ม Consent ต้องใช้ภาษาที่เข้าใจง่าย ไม่ใช้ศัพท์ทางกฎหมายที่ซับซ้อน ต้องระบุชัดว่าเก็บข้อมูลอะไร ใช้ทำอะไร เก็บไว้นานเท่าไร และใครบ้างที่จะเข้าถึงข้อมูลได้
สำหรับผู้เยาว์ ต้องได้รับความยินยอมจากผู้ปกครองหรือผู้แทนโดยชอบธรรม แบบฟอร์มต้องออกแบบให้สามารถเลือกยินยอมหรือไม่ยินยอมในแต่ละวัตถุประสงค์ได้
ความยินยอมที่ได้รับต้องสามารถพิสูจน์ได้ สถาบันต้องมีระบบบันทึกว่าใครให้ความยินยอมเมื่อไร สำหรับวัตถุประสงค์อะไร และผ่านช่องทางใด
HubSpot CRM มีระบบ GDPR Compliance ในตัวที่สามารถปรับใช้กับ PDPA ได้ โดยสามารถบันทึก Consent ติดตามการเปลี่ยนแปลง และจัดการคำขอใช้สิทธิของเจ้าของข้อมูล
Role-Based Access Control (RBAC) คือการกำหนดสิทธิ์การเข้าถึงข้อมูลตามบทบาทหน้าที่ในองค์กร ไม่ใช่ทุกคนที่ต้องเห็นข้อมูลทั้งหมด ครูประจำชั้นอาจเห็นข้อมูลนักเรียนในชั้นของตัวเอง แต่ไม่จำเป็นต้องเห็นข้อมูลทางการเงิน
หลักการนี้ช่วยลดความเสี่ยงจากการเข้าถึงข้อมูลโดยไม่จำเป็น และทำให้การตรวจสอบการใช้งานข้อมูลทำได้ง่ายขึ้น
ผู้ดูแลระบบ (System Administrator) มีสิทธิ์เข้าถึงและจัดการข้อมูลทั้งหมด รวมถึงการตั้งค่าระบบและกำหนดสิทธิ์ให้ผู้อื่น
ทีมรับสมัคร (Admissions Team) เข้าถึงข้อมูลผู้สมัคร ผลการคัดเลือก และการติดต่อสื่อสารกับผู้สมัครและผู้ปกครอง แต่ไม่เห็นข้อมูลการเงินหรือผลการเรียนของนักเรียนปัจจุบัน
อาจารย์ที่ปรึกษา (Academic Advisor) เห็นข้อมูลการเรียนและประวัติการให้คำปรึกษาของนักเรียนในความดูแล แต่ไม่เห็นข้อมูลสุขภาพหรือข้อมูลทางการเงิน
ทีมการเงิน (Finance Team) เข้าถึงข้อมูลการชำระเงิน สถานะการกู้ยืม และทุนการศึกษา แต่ไม่เห็นผลการเรียนหรือบันทึกพฤติกรรม
HubSpot CRM รองรับการกำหนด User Permissions ตาม Role ได้อย่างละเอียด สามารถกำหนดให้แต่ละ Role เห็นเฉพาะ Properties และ Records ที่จำเป็นสำหรับการทำงาน
Ourgreenfish ช่วยสถาบันการศึกษาออกแบบโครงสร้าง RBAC ที่สอดคล้องกับ PDPA โดยคำนึงถึงหลัก Need-to-Know และ Least Privilege การมีสิทธิ์เข้าถึงเท่าที่จำเป็นสำหรับการทำงานเท่านั้น
Breeze AI เป็นชุดเครื่องมือ AI ที่ HubSpot พัฒนาขึ้นมาเพื่อช่วยให้ทีมทำงานได้เร็วและฉลาดขึ้น สามารถช่วยสรุปข้อมูล สร้างเนื้อหา วิเคราะห์ข้อมูล และทำนายพฤติกรรมลูกค้าได้
สำหรับสถาบันการศึกษา Breeze AI สามารถช่วยในการร่างอีเมลติดตามผู้สมัคร สรุปประวัติการติดต่อกับผู้ปกครอง หรือวิเคราะห์แนวโน้มการลงทะเบียน
การใช้ AI ประมวลผลข้อมูลนักเรียนต้องคำนึงถึงหลักการตาม PDPA มาตรา 34 ซึ่งกำหนดให้เจ้าของข้อมูลมีสิทธิไม่ตกอยู่ภายใต้การตัดสินใจโดย AI อย่างเดียว
สถาบันต้องมีกระบวนการให้มนุษย์เข้ามาตรวจสอบและตัดสินใจในเรื่องสำคัญ เช่น การคัดเลือกนักเรียน การให้ทุนการศึกษา หรือการลงโทษทางวินัย
กำหนดให้ชัดว่า AI ใช้ทำอะไรได้บ้างในสถาบัน สร้าง Allowlist ของกรณีใช้งานที่อนุญาต และ Denylist ของกรณีที่ห้ามใช้ AI ตัดสินใจโดยอัตโนมัติ
เมื่อใช้ AI สร้างเนื้อหาสื่อสารกับผู้ปกครองหรือนักเรียน ต้องมีการตรวจสอบโดยบุคลากรก่อนส่งออกเสมอ AI ช่วยร่าง มนุษย์ช่วยตรวจสอบและอนุมัติ
บันทึก Audit Log ของการใช้งาน AI ทุกครั้ง เพื่อให้สามารถตรวจสอบย้อนหลังได้ว่าใครใช้ AI ทำอะไร กับข้อมูลชุดไหน และผลลัพธ์เป็นอย่างไร
การเชื่อมต่อ CRM กับระบบทะเบียน
สถาบันการศึกษาส่วนใหญ่มีระบบทะเบียนนักศึกษาแยกจาก CRM การเชื่อมต่อทั้งสองระบบต้องคำนึงถึงการส่งผ่านข้อมูลที่ปลอดภัยและการกำหนดว่าระบบใดเป็น Master Data
ต้องกำหนดให้ชัดว่าข้อมูลไหนจะ Sync จากระบบทะเบียนมา CRM และข้อมูลไหนจะส่งกลับ หลีกเลี่ยงการมีข้อมูลซ้ำซ้อนที่อาจนำไปสู่ความสับสน
การจัดการข้อมูลจากหลายช่องทาง
ผู้สมัครและผู้ปกครองอาจติดต่อมาทางหลายช่องทาง ทั้งเว็บไซต์ โทรศัพท์ LINE และโซเชียลมีเดีย การรวมข้อมูลจากทุกช่องทางเข้าด้วยกันใน CRM ช่วยให้เห็นภาพรวมของการสื่อสาร
LINE CRM โดย Ourgreenfish ช่วยเชื่อมต่อ HubSpot CRM กับ LINE Official Account ทำให้สามารถบันทึกการสนทนาและจัดการข้อมูลจาก LINE ได้โดยอัตโนมัติ
การส่งข้อมูลไปยังหน่วยงานภายนอก
สถาบันอาจต้องส่งข้อมูลไปยังหน่วยงานภายนอก เช่น กระทรวงศึกษาธิการ สำนักงานคณะกรรมการการอุดมศึกษา หรือหน่วยงานตรวจสอบ ต้องมีกระบวนการที่ชัดเจนว่าส่งข้อมูลอะไร ไปให้ใคร และบนฐานทางกฎหมายอะไร
การส่งข้อมูลไปต่างประเทศต้องปฏิบัติตามหลักเกณฑ์ Cross-Border Data Transfer ของ สคส. ซึ่งกำหนดให้ต้องมีมาตรการคุ้มครองข้อมูลที่เพียงพอในประเทศปลายทาง
สถาบันการศึกษาต้องมี DPO หรือไม่
ตาม PDPA สถาบันการศึกษาที่ประมวลผลข้อมูลส่วนบุคคลเป็นจำนวนมาก หรือประมวลผลข้อมูลอ่อนไหวเป็นกิจการหลัก อาจต้องแต่งตั้ง Data Protection Officer (DPO)
แม้ไม่ได้บังคับทุกสถาบัน แต่การมี DPO หรือผู้รับผิดชอบด้านการคุ้มครองข้อมูลที่ชัดเจน จะช่วยให้การดำเนินงานด้าน PDPA เป็นไปอย่างมีระบบ
หน้าที่ของ DPO ในสถาบันการศึกษา
DPO มีหน้าที่ให้คำแนะนำเกี่ยวกับการปฏิบัติตาม PDPA ตรวจสอบการดำเนินงานขององค์กร ประสานงานกับ สคส. และเป็นจุดติดต่อสำหรับเจ้าของข้อมูลที่ต้องการใช้สิทธิ
DPO ต้องมีความรู้ความเข้าใจทั้งด้านกฎหมายและด้านเทคนิค และต้องสามารถทำงานอย่างอิสระโดยไม่ถูกแทรกแซงจากฝ่ายบริหาร
การอบรมและพัฒนาความรู้ด้าน PDPA
DPO และบุคลากรที่เกี่ยวข้องต้องได้รับการอบรมเกี่ยวกับ PDPA อย่างสม่ำเสมอ เนื่องจากแนวปฏิบัติและการตีความกฎหมายมีการเปลี่ยนแปลงอยู่เสมอ
Ourgreenfish มีบริการอบรม HubSpot ที่ครอบคลุมการจัดการข้อมูลตาม PDPA และการใช้เครื่องมือ AI อย่างมีธรรมาภิบาล
สิทธิของเจ้าของข้อมูลตาม PDPA
เจ้าของข้อมูลมีสิทธิหลายประการตาม PDPA มาตรา 30-34 ได้แก่ สิทธิในการเข้าถึง สิทธิในการแก้ไข สิทธิในการลบ สิทธิในการระงับการใช้ สิทธิในการโอนย้าย และสิทธิในการคัดค้าน
สำหรับผู้เยาว์ ผู้ปกครองสามารถใช้สิทธิเหล่านี้แทนได้ สถาบันต้องมีกระบวนการยืนยันตัวตนผู้ขอใช้สิทธิอย่างเหมาะสม
การวางระบบรับและดำเนินการตามคำขอ
สถาบันต้องมีช่องทางรับคำขอใช้สิทธิที่ชัดเจนและเข้าถึงได้ง่าย อาจเป็นแบบฟอร์มบนเว็บไซต์ อีเมล หรือช่องทางอื่นที่สะดวก
เมื่อได้รับคำขอ ต้องดำเนินการตอบกลับโดยไม่ชักช้า โดยทั่วไปต้องตอบกลับเบื้องต้นใน 30 วัน HubSpot CRM สามารถตั้งค่า Workflow ช่วยติดตามและจัดการคำขอเหล่านี้ได้อย่างเป็นระบบ
การบันทึกและรายงานการใช้สิทธิ
ทุกคำขอและการดำเนินการต้องมีการบันทึกเป็นหลักฐาน รวมถึงเหตุผลในกรณีที่ปฏิเสธคำขอ บันทึกเหล่านี้ต้องเก็บไว้เพื่อการตรวจสอบย้อนหลัง
DPO ควรจัดทำรายงานสรุปคำขอใช้สิทธิเป็นประจำ เพื่อให้ผู้บริหารเห็นภาพรวมและสามารถปรับปรุงกระบวนการได้
การประเมินความเสี่ยงและการป้องกัน
สถาบันต้องประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลอย่างสม่ำเสมอ ระบุจุดอ่อนที่อาจนำไปสู่การรั่วไหลหรือการเข้าถึงโดยไม่ได้รับอนุญาต และดำเนินมาตรการป้องกัน
มาตรการป้องกันรวมถึงการเข้ารหัสข้อมูล การใช้รหัสผ่านที่แข็งแกร่ง การยืนยันตัวตนสองขั้นตอน และการจำกัดสิทธิ์การเข้าถึงตามหลัก RBAC ที่กล่าวไปแล้ว
แผนรับมือเหตุละเมิดข้อมูล
สถาบันต้องมีแผนรับมือเหตุละเมิดข้อมูล (Data Breach Response Plan) ที่กำหนดขั้นตอนชัดเจนว่าต้องทำอะไรเมื่อเกิดเหตุ ใครเป็นผู้รับผิดชอบ และต้องแจ้งใครบ้าง
PDPA กำหนดให้ต้องแจ้ง สคส. โดยไม่ชักช้าเมื่อเกิดเหตุละเมิดที่มีความเสี่ยงสูง และต้องแจ้งเจ้าของข้อมูลหากเหตุนั้นอาจกระทบต่อสิทธิเสรีภาพของเขา
การซ้อมแผนและการทบทวน
แผนรับมือต้องได้รับการซ้อมและทบทวนอย่างสม่ำเสมอ เพื่อให้แน่ใจว่าทีมงานรู้บทบาทหน้าที่ของตนเองและสามารถตอบสนองได้อย่างรวดเร็วเมื่อเกิดเหตุจริง
หลังจากเกิดเหตุหรือการซ้อมแผน ควรมีการทบทวนบทเรียนที่ได้รับและปรับปรุงแผนให้ดีขึ้น
กำหนดนโยบายคุ้มครองข้อมูลส่วนบุคคลและประกาศให้บุคลากรและผู้เกี่ยวข้องทราบ แต่งตั้ง DPO หรือผู้รับผิดชอบด้านการคุ้มครองข้อมูลที่ชัดเจน จัดทำ Privacy Notice สำหรับแต่ละกลุ่มเจ้าของข้อมูล
วาง Privacy Notice บนช่องทางที่เหมาะสม เช่น เว็บไซต์สำหรับผู้สมัคร ระบบทะเบียนสำหรับนักศึกษา และระบบ HR สำหรับบุคลากร
จัดทำ Data Inventory และ Record of Processing Activities (RoPA) ออกแบบกระบวนการขอและบันทึก Consent ที่สอดคล้องกับ PDPA วางระบบรับและดำเนินการตามคำขอใช้สิทธิของเจ้าของข้อมูล
กำหนดระยะเวลาเก็บรักษาข้อมูล (Retention Period) และกระบวนการลบข้อมูลเมื่อครบกำหนด จัดทำแผนรับมือเหตุละเมิดข้อมูลและซ้อมแผนเป็นประจำ
ตั้งค่า Role-Based Access Control ในระบบ CRM และระบบที่เกี่ยวข้อง เปิดใช้งาน Audit Log เพื่อติดตามการเข้าถึงและการเปลี่ยนแปลงข้อมูล ตั้งค่าการเข้ารหัสข้อมูลและการยืนยันตัวตนที่แข็งแกร่ง
หากใช้ AI ต้องกำหนดกรอบการใช้งานที่ชัดเจน มีกระบวนการตรวจสอบโดยมนุษย์ และบันทึก Log การใช้งาน AI
Data Governance และ PDPA Compliance ไม่ใช่ภาระเพิ่มเติม แต่เป็นรากฐานที่ทำให้สถาบันการศึกษาสามารถใช้ประโยชน์จากข้อมูลและเทคโนโลยี AI ได้อย่างเต็มที่และยั่งยืน
การวางระบบที่ถูกต้องตั้งแต่แรกช่วยประหยัดเวลาและทรัพยากรในระยะยาว หลีกเลี่ยงปัญหาข้อมูลซ้ำซ้อน กระบวนการไม่ชัดเจน หรือความเสี่ยงทางกฎหมาย
ที่ Ourgreenfish เราช่วยสถาบันการศึกษาไทยวางระบบ CRM และ Data Governance มาเกือบ 10 ปี ประสบการณ์นี้สอนเราว่า AI ไม่สามารถแก้ไขระบบที่ยุ่งเหยิงได้ด้วยเวทมนตร์ ข้อมูลที่ดีเท่านั้นที่จะนำไปสู่ผลลัพธ์ที่ดี
Data Governance กับ PDPA ต่างกันอย่างไร
Data Governance เป็นกรอบการบริหารจัดการข้อมูลโดยรวมขององค์กร ส่วน PDPA เป็นกฎหมายที่กำหนดข้อบังคับเฉพาะด้านการคุ้มครองข้อมูลส่วนบุคคล
ทั้งสองทำงานร่วมกัน โดย Data Governance ที่ดีจะช่วยให้การปฏิบัติตาม PDPA เป็นไปอย่างมีระบบและยั่งยืน
สถาบันการศึกษาต้องขอ Consent จากผู้ปกครองทุกครั้งหรือไม่
การเก็บข้อมูลผู้เยาว์ต้องได้รับความยินยอมจากผู้ปกครองหรือผู้แทนโดยชอบธรรม ยกเว้นกรณีที่มีฐานทางกฎหมายอื่นรองรับ เช่น การปฏิบัติตามสัญญาหรือกฎหมาย
Ourgreenfish ช่วยสถาบันออกแบบกระบวนการ Consent ที่ครอบคลุมและสอดคล้องกับ PDPA
HubSpot CRM รองรับ PDPA ของไทยหรือไม่
HubSpot มีเครื่องมือ GDPR Compliance ในตัวที่สามารถปรับใช้กับ PDPA ได้ รวมถึงการบันทึก Consent การจัดการคำขอใช้สิทธิ และ Audit Log
Ourgreenfish ช่วยปรับแต่ง HubSpot ให้สอดคล้องกับข้อกำหนด PDPA และบริบทของสถาบันการศึกษาไทย
การใช้ Breeze AI กับข้อมูลนักเรียนผิด PDPA หรือไม่
การใช้ AI ไม่ผิด PDPA หากมีการวางกรอบการใช้งานที่เหมาะสม มีฐานทางกฎหมายรองรับ และมีมาตรการป้องกันการตัดสินใจโดย AI อย่างเดียว
Ourgreenfish ช่วยสถาบันวางแนวทางการใช้ Breeze AI อย่างมีธรรมาภิบาลและสอดคล้องกับ PDPA
หากเกิดเหตุข้อมูลรั่วไหลต้องทำอย่างไร
ต้องดำเนินการตามแผนรับมือเหตุละเมิดข้อมูลที่วางไว้ ประเมินความรุนแรง แก้ไขปัญหา และพิจารณาว่าต้องแจ้ง สคส. หรือเจ้าของข้อมูลหรือไม่
PDPA กำหนดให้แจ้ง สคส. โดยไม่ชักช้าสำหรับเหตุที่มีความเสี่ยงสูง การมีแผนรับมือที่ดีจะช่วยลดผลกระทบและแสดงให้เห็นว่าสถาบันมีมาตรการที่เหมาะสม
อ่านบทความเพิ่มเติม : การทำ CRM คือ อะไร มีประโยชน์อย่างไรในการทำธุรกิจ