생성형 AI 개인정보 보호
한 줄 정의
생성형 AI 개인정보 보호는 AI에 입력되는 프롬프트, 파일, 사진, 음성, 업무자료가 어디로 흘러가고, 얼마나 보관되며, 어떤 목적으로 활용되는지를 확인하고 통제하는 일이다.
왜 중요한가
생성형 AI는 편리하지만 입력 데이터의 성격이 복잡하다. 단순 질문처럼 보여도 그 안에는 이름, 연락처, 상담내용, 회의록, 계약정보, 학생·고객·직원 정보가 섞일 수 있다.
특히 조직이 보유한 타인의 개인정보를 개인용 AI에 입력하는 것은 개인이 자기 정보를 입력하는 것과 다르다. 대학·공공기관·기업에서는 이 차이를 먼저 구분해야 한다.
핵심 점검 항목
| 항목 | 확인할 질문 |
|---|---|
| 입력 데이터 | 개인정보·민감정보·비공개 업무자료가 포함되어 있는가 |
| 계정 유형 | 개인용 AI인가, 조직이 승인한 기업·기관용 AI인가 |
| 학습 활용 | 입력 데이터가 모델 개선이나 학습에 쓰이는가 |
| 대화 기록 | 기록 저장, 삭제, 임시 채팅 설정을 확인했는가 |
| 보관 기간 | 삭제 후에도 운영·보안·백업 목적으로 남는가 |
| 국외 이전 | 해외 서버, 해외 법인, 하위처리자를 거치는가 |
| 외부 연동 | 메일, 드라이브, 캘린더, DB, API와 연결되어 있는가 |
대학·기관 관점
대학에서는 학생 상담기록, 비교과 참여자료, 장학자료, 취업지원 기록, 연구참여자 정보처럼 민감한 데이터가 많다. 이런 자료는 “요약만 부탁한다”는 형태로도 외부 AI에 들어가면 위험해질 수 있다.
그래서 대학의 AI 활용 기준은 단순한 사용 장려가 아니라 다음을 포함해야 한다.
- 입력 금지 정보 목록
- 비식별화 기준
- 승인된 AI 도구 목록
- 업무유형별 허용·금지 예시
- 로그와 삭제 기준
- 사고 발생 시 보고·삭제 절차