ChatGPT × 금융기관(은행) AI 도입 상세 검토서

위험도 스코어카드

데이터 전송85

서버 위치 미명시. 국외 이전 가능성 높음.

개인정보40

모델 학습 미사용 또는 Opt-out 가능. 삭제 정책 미명시

지적재산15

입력 데이터 소유권 사용자 귀속. 생성물 권리 사용자 귀속

보안60

암호화 적용

컴플라이언스80

한국법 관련 조항 없음. 금융권(은행) 추가 규제 적용

허용 전제조건

한국 리전 또는 데이터 상주 옵션 확인 후 사용
SOC2/ISO27001 인증 확인. SSO+감사로그 활성화
개인정보보호법 제28조의8 국외 이전 동의 절차 마련

금지 조건

감사로그 미지원 시 규제 대상 업무에 사용 금지

PoC 가능 범위

현재 조건에서는 PoC도 권장하지 않음

본운영 전 필수 조치

없음

데이터 분류별 판정

일반정보금지

개인정보금지

신용정보금지

영업비밀금지

소스코드금지

배치 환경

SaaS가능 (기본)

VPC미지원

On-Premise미지원

폐쇄망미지원

관리자 통제 항목

SSO미확인

RBAC미확인

감사로그미확인

관리자승인미확인

데이터보존정책지원

암호화지원

SOC2미확인

ISO27001미확인

계약 검토 항목

책임제한명시 없음

손해배상명시 없음

데이터삭제명시 없음

하위처리자조직(고용주)이 계정 모니터링을 위해 제어할 수 있는 경우 및 법률 준수 필요 시 제한적 공유, 제3자 서비스 출력 관련 제3자 약관 적용

준거법명시 없음

학습활용기본 제공 시 사용 가능. 거부 가능 ( Opt-out 가능)

Opt-out가능

이용약관 분석 [원문]

데이터 수집사용자 입력 (Input) 및 출력 (Output), 계정 등록 정보, 결제 정보 등 명시된 데이터 항목 없음

데이터 활용서비스 제공, 유지보수, 개발 및 개선, 약관 및 정책 집행, 서비스 안전 기위

제3자 제공조직(고용주)이 계정 모니터링을 위해 제어할 수 있는 경우 및 법률 준수 필요 시 제한적 공유, 제3자 서비스 출력 관련 제3자 약관 적용

학습 활용기본 제공 시 사용 가능. 거부 가능 ( Opt-out 가능)

입력 소유권사용자 입력에 대한 소유권 유지

생성물 권리사용자 소유

개인정보처리방침 분석 [원문]

데이터 수집계정 정보 (성명, 연락처, 생년월일, 결제 정보 등), 사용자 콘텐츠 (프롬프트, 파일, 이미지, 오디오 등), 커뮤니케이션 정보, 기술 정보 (로그, 사용 데이터, 장치 정보, 위치 정보), 쿠키 및 유사 기술 정보, 기타 정보

데이터 활용서비스 제공 및 유지, 분석, 신규 제품 개발 및 연구, 커뮤니케이션, 사기 방지 및 보안 보호, 법적 의무 준수, 비식별화된 정보 분석

보관 기간서비스 제공 필요 기간, 분쟁 해결/안전/법적 의무 준수 필요 기간 (ChatGPT 임시 채팅은 최대 30 일 보관 등 목적별 상이)

삭제 정책사용자 요청 시 삭제 가능 (비식별화 요청 시 삭제 시도, 아동 정보 제공 시 삭제)

서버 위치미국 내 시설 및 서버 포함 여러 관할권 서버

제3자 제공협력업체 및 서비스 제공업체, 거래 관련 당사자, 정부 당국 및 제3자, 계열사, 비즈니스 계정 관리자, 다른 사용자 및 제3자

학습 활용모델 학습을 위해 제공된 콘텐츠 활용 가능 (거부 방법 제공)

GDPR아니오

한국법 조항대한민국 거주자는 한국 개인정보 추가 조항을 참고하도록 안내됨

해외 관련 사례

US오픈에이아이, 챗 GPT 관련 사망 소송 방어 의무 (2) - 블룸버그 법률 뉴스

적용 법령 (은행 권역)

법률

- 은행법

- 금융실명거래 및 비밀보장에 관한 법률

- 전자금융거래법

- 개인정보 보호법

- 신용정보의 이용 및 보호에 관한 법률

- 특정 금융거래정보의 보고 및 이용 등에 관한 법률

시행령

- 은행법 시행령

- 전자금융거래법 시행령

- 신용정보법 시행령

감독규정

- 은행업감독규정

- 전자금융감독규정

- 금융회사의 정보처리 및 전산설비 위탁에 관한 규정

가이드라인

- 금융분야 클라우드 및 AI 이용 가이드라인

- 금융분야 개인정보보호 가이드라인

- 금융분야 마이데이터 기술 가이드라인

조직 유형별 판정

스타트업도입 가능

중견기업조건부 가능

대기업조건부 가능

공공기관도입 불가

금융기관-은행도입 불가

금융기관-증권도입 불가

금융기관-보험도입 불가

금융기관-핀테크도입 불가

검토 체크리스트 (은행 권역)

검토 항목	요구 수준	판정	비고
정보보호
개인정보 국외 이전 적정성	개인정보보호법 제28조의8 준수	미확인
데이터 암호화 (전송 중/저장 시)	TLS 1.2+ 및 AES-256 이상	미확인
접근 통제 및 인증	SSO/MFA 지원 또는 별도 통제 방안	미확인	SSO 지원 여부 확인 필요
감사 로그 제공	사용자 활동 로그 90일 이상 보관	미확인
침해 사고 통보 체계	사고 인지 후 72시간 내 통보	미확인
개인정보
개인정보 수집/이용 동의	목적 명시, 최소 수집 원칙	미확인
AI 학습 데이터 활용 여부	Opt-out 가능 여부 확인	충족	Opt-out 가능
데이터 삭제 요청 대응	사용자 요청 시 삭제 가능	미확인
제3자 제공/위탁 현황	서브프로세서 목록 확인	미확인
법무
입력 데이터 소유권	사용자 귀속 명시	충족	사용자 귀속 명시
AI 생성물 저작권/권리	사용자 귀속 또는 명확한 조건	미확인
책임 제한 조항	손해배상 범위 검토	미확인
준거법 및 관할	분쟁 시 관할권 검토	미확인
아키텍처
서버 위치/데이터 상주	한국 리전 가용 여부	미확인
배치 환경 적합성	SaaS/VPC/온프레 지원 여부	미확인
기존 시스템 연동	API/SSO/LDAP 연동 가능 여부	미확인
금융규제
전자금융감독규정 제14조의2 클라우드 이용 기준	금감원 사전 보고 또는 준수 확인	미확인
금융분야 클라우드 이용 가이드라인 충족	비중요 업무 / 중요 업무 구분	미확인	수동 확인 필요
고객 신용정보 처리 여부	신용정보법 제17조 동의 절차	조건부	해당 데이터 입력 시 별도 검토 필요
금융실명법 적용 데이터 여부	실명 확인 정보 외부 전송 금지	조건부	해당 데이터 입력 시 별도 검토 필요
특금법 적용 여부 (AML/KYC)	자금세탁방지 데이터 외부 처리 금지	미확인	수동 확인 필요
망분리/VDI 환경 적합성	내부망에서 사용 가능 여부	미충족	SaaS 전용, 내부망 사용 불가
IT 아웃소싱 위탁 규정 준수	정보처리 위탁 계약 체결	미확인	수동 확인 필요

ChatGPT 도입 검토서