
회사에서 AI를 사용하기 전에 알아두어야 할 것: 정보 유출 리스크와 사내 규칙 만들기【법인용 AI 안전 활용 가이드 #1】
요약
기업 내 AI 도입 시 발생할 수 있는 정보 유출 리스크를 분석하고, 안전한 활용을 위한 사내 규칙 수립 가이드를 제공합니다. 개인정보보호법 및 영업 비밀 보호를 위해 정보 레벨별 입력 가이드라인을 설정하는 방법을 다룹니다.
핵심 포인트
- 미공개 재무 정보 및 고객 데이터 유출 시 법적 리스크 발생
- 섀도 IT 방지를 위해 무조건적 금지보다 현상 파악 우선
- 정보 레벨(공개/일반/기밀/개인정보)에 따른 입력 허용 기준 수립
- AI의 환각 현상으로 인한 법률·재무적 오류 주의
연재: 법인용 AI 안전 활용 가이드 초급편 (총 3회)
#1 회사에서 AI를 사용하기 전에 알아두어야 할 것: 정보 유출 리스크와 사내 규칙 만들기 ← 현재 여기
- #2 AI 툴 도입 시 확인해야 할 계약·규약의 포인트
- #3 직원이 AI를 안전하게 사용할 수 있는 환경을 조성하는 운영 가이드라인 만들기
"일단 직원들이 각자 ChatGPT를 사용하기 시작했다" —— 이런 상황에 놓인 회사가 적지 않을 것입니다. 개인적인 이용이라면 몰라도, 업무에서의 이용에는 회사가 파악하고 관리해야 할 리스크가 따릅니다.
이 연재에서는 법인으로서 AI를 안전하게 활용하기 위한 기초 지식을 3회에 걸쳐 해설합니다. 제1회는 "무엇이 리스크가 되는가"와 "사내 규칙의 최소한의 만들기"를 목표로 합니다.
대상 독자는 정보시스템 부문, 총무, 경영기획 등 사내의 AI 이용 규칙을 정비하는 입장에 있는 분들을 상정하고 있습니다.
개인이 AI를 사용하는 경우와 회사로서 사용하는 경우에는 리스크의 종류와 영향 범위가 근본적으로 다릅니다.
| 관점 | 개인 이용 | 법인 이용 |
|---|---|---|
| 유출되었을 경우의 영향 | 자신에 대한 피해 | 고객·거래처·주주에 대한 영향 |
| ... |
특히 "고객 정보", "미공개 재무 정보", "계약서 내용" 등이 외부의 AI 서비스로 전송될 경우, 개인정보보호법·부정경쟁방지법·각종 계약상의 비밀유지 의무에 저촉될 가능성이 있습니다.
가장 심각한 리스크입니다. 직원이 선의로 "자료를 요약해 줬으면 좋겠다"며 AI에 보낸 내용이, 사실은 미공개 신제품 정보나 고객과의 계약 조건이었던 사례가 발생하고 있습니다.
전형적인 입력 패턴 (NG 예시):
【NG】다음 제안서를 바탕으로 메일 문장을 작성해 줘.
<첨부 자료 내용>
・A사 대상 제안 금액: 3,500만 엔 (경쟁사보다 30% 저렴하게 설정)
...
위의 입력에는 "고객명", "금액", "경쟁 정보", "계약 예정일"이 포함되어 있습니다. 이것들은 많은 경우 영업 비밀 또는 비밀유지 의무의 대상입니다.
고객의 성명·주소·이메일 주소 등을 포함하는 데이터를 AI 서비스에 전송하는 것은 개인정보보호법상의 "제3자 제공"에 해당할 가능성이 있습니다. 고객으로부터 취득한 개인정보는 취득 시의 이용 목적 범위 내에서만 사용할 수 있습니다.
회사가 공식적으로 도입하지 않은 AI 툴을 직원이 개인 계정으로 업무에 이용하는 경우입니다. 회사로서 데이터의 행방을 파악할 수 없어, 인시던트(Incident) 발생 시 대응이 늦어집니다.
AI가 자신 있게 제시한 "잘못된 법률 해석", "존재하지 않는 판례", "오래된 숫자"를 그대로 자료나 계약서에 사용해 버리는 리스크입니다. 특히 법무·재무·컴플라이언스(Compliance) 영역에서 발생하면 영향이 커집니다.
규칙을 만들기 전에 현상을 파악하는 것이 선결 과제입니다. 다음 3가지를 확인합시다.
- 직원은 어떤 AI 툴을 어떤 용도로 사용하고 있는가 (설문조사로 파악)
- 회사로서 계약·구매하고 있는 AI 툴은 무엇인가
- 개인 계정으로 업무에 이용하는 사례가 있는가
- 현행 정보 보안 정책에 AI에 관한 기술이 있는가
먼저 "금지부터"가 아니라 "현상 파악부터" 진행하는 것이 중요합니다. 실태를 모른 채 엄격한 규칙을 만들면, 직원이 몰래 사용하는 "섀도 IT (Shadow IT)"가 오히려 늘어납니다.
사내 규칙은 다음과 같은 3개 층으로 생각하면 정리하기 쉽습니다.
정보를 레벨별로 나누고, AI로의 입력 가능 여부를 명시합니다.
| 정보 레벨 | 예 | AI 입력 가능 여부 |
|---|---|---|
| 공개 정보 | 회사 웹사이트상의 정보, 공개된 보도 자료 | ✅ 가능 |
| 사내 일반 정보 | 사내 절차서, 의사록 (기밀 지정 없음) | ✅ 조건부 가능 (승인된 툴만) |
| 기밀 정보 | 고객 정보, 미발표 재무 수치, 계약서 내용 | ❌ 원칙적 금지 |
| 요배려 개인정보 | 건강 정보, 채용 후보자 정보 | ❌ 금지 |
"회사로서 승인한 툴만"을 명시합니다. 승인 기준으로 최소한 다음을 확인합니다.
-
입력 데이터를 학습에 사용하지 않는다는 것이 계약으로 보장되어 있는가
-
데이터의 저장 장소·저장 기간이 명확한가
-
보안 인증 (ISO 27001 등)을 취득했는가
-
일본어 계약·서포트가 제공되는가
-
AI 출력을 그대로 외부에 제출하지 않는다 (반드시 사람이 리뷰)
-
중요한 판단 (법적·재무적)은 AI 출력을 참고 정보로 취급하고, 전문가에게 확인한다
-
AI 생성 콘텐츠임을 내부적으로 기록한다
다음은 "일단 이번 주 중에 사내 규칙을 한 장 만들고 싶다"는 경우의 최소 구성 예시입니다.
## 생성형 AI 이용에 관한 사내 가이드라인 (잠정판)
제정일: ◯◯년 ◯월 ◯일 소관: ◯◯부
### 1. 목적
...
「잠정판」으로 내놓는 것이 포인트입니다. 완벽한 규칙을 만드는 데 시간을 들이기보다, 최소한의 규칙을 빠르게 내놓고 운용하면서 개선해 나가는 것이 더 현실적입니다.
법인에서의 AI 이용은 개인과 비교했을 때 리스크의 영향 범위와 책임의 무게가 근본적으로 다릅니다. 우선 현황을 파악하고, 정보 레벨의 분류 · 이용 툴의 지정 · 출력물의 취급이라는 3개 층위로 규칙을 정비하는 것부터 시작합시다.
다음 회차에서는 AI 툴을 도입할 때 확인해야 할 계약 · 이용약관의 포인트를 해설합니다. "일단 계약은 했지만, 사실은 데이터가 학습에 사용되고 있었다"라는 사태를 방지하기 위한 실전적인 읽기 방법을 소개합니다.
다음 기사: #2 AI 툴 도입 시 확인해야 할 계약 · 약관의 포인트 (공개 예정)
AI 자동 생성 콘텐츠
본 콘텐츠는 Qiita AI의 원문을 AI가 자동으로 요약·번역·분석한 것입니다. 원 저작권은 원저작자에게 있으며, 정확한 내용은 반드시 원문을 확인해 주세요.
원문 바로가기