"고객 이메일 내용을 챗GPT에 붙여넣어 답변을 작성했다", "환자 진료 기록을 AI에 입력해 분석했다" — 생성형 AI가 업무 현장에 빠르게 도입되면서 개인정보 유출 위험이 새로운 형태로 나타나고 있습니다.
핵심 문제: 개인정보를 AI에 입력하면 어디로 가는가?
ChatGPT(OpenAI), Claude(Anthropic), Gemini(Google) 등 외부 AI 서비스는 기본적으로 외부 서버에 데이터를 전송합니다. 입력한 내용이 모델 학습에 사용될 수 있으며, 일부는 서버에 일정 기간 보관됩니다.
| AI 서비스 | 기본 학습 이용 | 데이터 보관 | 기업용 API | |-----------|-------------|-----------|-----------| | ChatGPT (웹) | 기본 On (설정으로 Off 가능) | 30일 | API는 학습에 미사용 | | ChatGPT API | 미사용 | 30일 | ✅ 기업 적합 | | Claude.ai (웹) | 미사용 (Anthropic 정책) | 90일 | ✅ | | Google Gemini (무료) | 리뷰어 검토 가능 | 72시간~3년 | — | | Microsoft Copilot (기업용) | 미사용 | 정책에 따라 | ✅ 기업 적합 |
PIPA 관점에서의 위험
위탁 없이 개인정보 제3자 전송
직원이 고객의 이름, 연락처, 계약 내용, 진료 기록 등을 AI에 입력하면:
- AI 서비스 업체가 해당 정보를 처리하게 됨
- 이는 제3자 제공 또는 위탁에 해당
- 고객 동의 없이 이루어진 경우 PIPA 위반 가능
국외 이전 문제
ChatGPT(미국), Claude(미국) 등 해외 서비스를 이용하면 국외 이전이 발생합니다. 처리방침에 고지가 없다면 추가 의무 불이행입니다.
업무별 위험 수준 분류
🔴 고위험 — 절대 입력 금지
| 정보 | 이유 | |------|------| | 고객 이름 + 연락처 조합 | 직접 식별 가능한 개인정보 | | 주민등록번호, 계좌번호 | 고유식별·민감정보 | | 진료 기록, 처방전 내용 | 건강정보 (민감정보) | | 직원 급여, 인사 기록 | 내부 기밀 + 개인정보 | | 계약서 내 당사자 정보 | 고객 정보 노출 |
🟡 주의 — 가명화 후 사용
| 정보 | 처리 방법 | |------|----------| | 고객 불만 사례 분석 | 이름·연락처 제거 후 입력 | | 계약서 검토 | 당사자 정보 익명화 후 입력 | | 이메일 초안 작성 | 수신자·발신자 정보 제거 후 입력 |
🟢 허용 — 개인정보 없는 업무
- 코드 작성 및 리뷰 (개인정보 미포함 코드)
- 마케팅 카피 작성 (가상의 고객 설정)
- 내부 문서 서식 작성
- 일반 지식 질의응답
기업 AI 사용 정책 수립
정책 필수 포함 항목
[AI 도구 사용 정책 예시]
적용 범위: 전 직원, 업무용 AI 도구 (ChatGPT, Claude 등)
허용 사항:
- 개인정보가 포함되지 않은 업무 문서 작성 보조
- 코드 검토 및 개선 (개인정보 미포함)
- 일반 지식 검색 및 요약
금지 사항:
- 고객 이름, 연락처, 주민번호 입력
- 계약서·협약서 원문 입력
- 진료·건강·금융 기록 입력
- 내부 회의록·기밀 문서 입력
승인된 기업용 도구:
- [사내 승인 AI 도구 목록]
- Microsoft 365 Copilot (기업 계정)
- ChatGPT Enterprise (계약 완료 시)
위반 시: 개인정보 유출 사고로 처리 → 징계 및 법적 책임
직원 교육 핵심 메시지
연 1회 이상 다음 내용을 포함한 AI 활용 교육을 실시합니다.
- 입력 전 확인: "이 내용에 개인정보가 있나?" 한 번 더 확인
- 가명화 습관: 이름 대신 "A씨", "B기업"으로 치환
- 기업용 도구 사용: 개인 계정 대신 기업 구독 계정 사용
- 출력물 검토: AI 답변에 개인정보가 포함되면 즉시 삭제
기업용 AI 계약 시 확인사항
ChatGPT Enterprise, Microsoft Copilot 등 기업용 계약을 검토할 때:
| 확인 항목 | 왜 중요한가 | |-----------|-----------| | 데이터 학습 이용 여부 | 입력 데이터가 모델 개선에 사용되면 정보 유출 위험 | | 데이터 보관 기간 | 처리방침에 기재 필요 | | 서버 소재지 | 국외 이전 여부 및 고지 의무 | | 데이터 삭제 요청 가능 여부 | 정보주체 권리 이행 | | DPA(데이터 처리 계약) 제공 여부 | 수탁자 계약 체결 필요 |
처리방침에 AI 서비스 기재
기업용 AI를 도입하면 수탁자로 처리방침에 기재해야 합니다.
위탁 업체 현황 (처리방침 예시 추가):
- OpenAI (ChatGPT Enterprise): 업무 문서 분석 보조
서버 위치: 미국
국외 이전 고지: 본 처리방침에 따름
사고 사례 유형
| 사고 유형 | 예방 방법 | |-----------|----------| | 직원이 고객 DB를 AI에 붙여넣어 분석 | 정책 수립 + 직원 교육 | | 의료기관 직원이 환자 기록을 AI에 입력 | 의료 기록 입력 절대 금지 명문화 | | 법무팀이 계약서 원문을 AI로 검토 | 당사자 정보 마스킹 후 입력 규정 | | 영업팀이 고객 이메일 내용을 AI로 요약 | 수신자·발신자 제거 후 입력 |
PIPAGuard로 AI 도입 전 PIPA 점검하기
처리방침 수탁자 기재, 국외 이전 고지, 정보주체 권리 채널을 자동으로 점검할 수 있습니다.