금융회사가 외부 업체에 정보처리 업무를 맡기는 것을 '위탁'이라 합니다. AI SaaS 이용도 데이터를 외부로 보내 처리하는 것이므로 위탁에 해당할 수 있습니다.
위탁에 해당하면 세 가지 의무가 발생합니다.
1) 사전 보고: 금감원에 위탁 계획을 사전 보고해야 합니다. 보고 후 이의가 없으면 진행 가능.
2) 위탁 계약: 수탁사(AI SaaS 업체)와 보안 요건, 데이터 처리 범위, 사고 시 책임을 명시한 계약을 체결해야 합니다.
3) 관리/감독: 위탁 기간 동안 수탁사의 보안 수준을 지속 점검해야 합니다. 연 1회 이상 정기 점검 의무.
AI SaaS 중 ChatGPT, Claude, Cursor 등을 내부 업무에 정식으로 도입하면 위탁 절차를 거쳐야 할 가능성이 높습니다. 단순 개인 사용은 위탁에 해당하지 않지만, 조직 차원의 구매/배포는 해당됩니다.
재위탁 제한도 중요합니다. AI SaaS 업체가 다른 클라우드(AWS/Azure)에 데이터를 재위탁하는 경우, 금융회사의 사전 동의가 필요합니다.