AI SOLUTION ADOPTION REVIEW
Claude 도입 검토서
2026.04.17 | 금융기관-은행 (은행) | Anthropic | govbrief.kr
위험도 스코어카드
데이터 전송85
서버 위치 미명시. 국외 이전 가능성 높음.
개인정보15
모델 학습 미사용 또는 Opt-out 가능. 사용자 요청 시 삭제 가능
지적재산15
입력 데이터 소유권 사용자 귀속. 생성물 권리 사용자 귀속
컴플라이언스45
한국법 관련 조항 존재. 금융권(은행) 추가 규제 적용
허용 전제조건
- 한국 리전 또는 데이터 상주 옵션 확인 후 사용
- SOC2/ISO27001 인증 확인. SSO+감사로그 활성화
금지 조건
- 감사로그 미지원 시 규제 대상 업무에 사용 금지
PoC 가능 범위
현재 조건에서는 PoC도 권장하지 않음
데이터 분류별 판정
일반정보금지
개인정보금지
신용정보금지
영업비밀금지
소스코드금지
배치 환경
SaaS가능 (기본)
VPC미지원
On-Premise미지원
폐쇄망미지원
관리자 통제 항목
SSO미확인
RBAC미확인
감사로그미확인
관리자승인미확인
데이터보존정책지원
암호화지원
SOC2미확인
ISO27001미확인
계약 검토 항목
책임제한계정 불법 접근 시 즉시 이메일 (support@anthropic.com) 로 통보해야 한다는 사용자 의무는 있으나, 서비스 제공자의 사고 통보 의무 조항은 원문에 명시되어 있지 않음.
손해배상명시 없음
데이터삭제사용자가 계정 폐쇄 요청 시 계정 및 데이터 삭제 가능. 피드백은 Opt-out 하더라도 모델 안전 검토 목적, 안전 정책 집행 목적, 안전 연구 목적으로는 사용됨.
하위처리자원문에서는 명확한 제3자 제공 내역이 없으나, 계정이 조직 기업 계정과 연결될 경우 해당 조직 관리자에게 데이터 접근 권한이 부여될 수 있음.
준거법명시 없음
학습활용사용자의 데이터 (Materials) 는 기본값으로 AI 모델 학습에 활용됨. 계정 설정을 통해 Opt-out 가능하나, 피드백 제공 시 또는 안전 검토를 위해 표시된 데이터의 경우 학습에서 제외되지 않음.
Opt-out가능
데이터 수집계정 정보 (이메일, 계정 세부사항), 피드백 (rating, 대화 기록), 사용 데이터 (Inputs, Outputs, Actions) 및 계정이 조직에 연결된 경우 조직 관리자가 접근 가능한 자료 (Materials) 관련 데이터
데이터 활용서비스 제공, 유지, 개선 및 모델 학습을 위해 사용. 피드백은 서비스 개선 및 제품 개발을 위해 무조건 활용됨.
삭제 정책사용자가 계정 폐쇄 요청 시 계정 및 데이터 삭제 가능. 피드백은 Opt-out 하더라도 모델 안전 검토 목적, 안전 정책 집행 목적, 안전 연구 목적으로는 사용됨.
제3자 제공원문에서는 명확한 제3자 제공 내역이 없으나, 계정이 조직 기업 계정과 연결될 경우 해당 조직 관리자에게 데이터 접근 권한이 부여될 수 있음.
학습 활용사용자의 데이터 (Materials) 는 기본값으로 AI 모델 학습에 활용됨. 계정 설정을 통해 Opt-out 가능하나, 피드백 제공 시 또는 안전 검토를 위해 표시된 데이터의 경우 학습에서 제외되지 않음.
입력 소유권사용자가 입력한 데이터 (Inputs) 에 대한 모든 권리, 소유권, 이해관계를 사용자가 보유함.
생성물 권리서비스 이용 약관 준수 시, 서비스로부터 생성된 결과물 (Outputs) 에 대한 모든 권리, 소유권, 이해관계를 서비스에 대한 권리와 함께 사용자에게 할당함.
사고 통보계정 불법 접근 시 즉시 이메일 (support@anthropic.com) 로 통보해야 한다는 사용자 의무는 있으나, 서비스 제공자의 사고 통보 의무 조항은 원문에 명시되어 있지 않음.
GDPR아니오
한국법 조항원문에는 한국법에 대한 특정 조항이나 한국 리전에 대한 명시적 언급이 없음 (전체적인 지역 정책은 별도 문서 'Supported Regions Policy'에서 참조하도록 지시)
데이터 수집이름, 이메일, 전화번호, 결제 정보, 채팅 입력/출력 (프롬프트), 피드백, 통신 정보, 장치 정보, 접속 정보, 사용 정보, 로그, 오류 정보, 쿠키 및 유사 기술 데이터
데이터 활용서비스 제공, 계정 관리, 결제 처리, 보안 및 사기 방지, 법적 요구사항 준수, 서비스 개선 및 모델 학습, 연구 및 디버깅
제3자 제공자회사 및 기업 파트너, 서비스 제공업체 및 비즈니스 파트너, 기업 거래 발생 시, 제 3 자 웹사이트 및 서비스
학습 활용사용자의 입력/출력을 모델 학습에 활용하며, 계정 설정을 통해 Opt-out 가능. 안전 검토 대상이거나 사용자가 명시적으로 보고한 경우 제외
GDPR아니오
한국법 조항한국 (대 한민국) 거주자의 경우 해당 지역에 적용되는 'Regional Supplemental Disclosure'를 읽어야 한다고 명시
적용 법령 (은행 권역)
법률
- 은행법
- 금융실명거래 및 비밀보장에 관한 법률
- 전자금융거래법
- 개인정보 보호법
- 신용정보의 이용 및 보호에 관한 법률
- 특정 금융거래정보의 보고 및 이용 등에 관한 법률
시행령
- 은행법 시행령
- 전자금융거래법 시행령
- 신용정보법 시행령
감독규정
- 은행업감독규정
- 전자금융감독규정
- 금융회사의 정보처리 및 전산설비 위탁에 관한 규정
가이드라인
- 금융분야 클라우드 및 AI 이용 가이드라인
- 금융분야 개인정보보호 가이드라인
- 금융분야 마이데이터 기술 가이드라인
조직 유형별 판정
스타트업도입 가능
중견기업도입 가능
대기업조건부 가능
공공기관조건부 가능
금융기관-은행도입 불가
금융기관-증권도입 불가
금융기관-보험도입 불가
금융기관-핀테크조건부 가능
검토 체크리스트 (은행 권역)
| 검토 항목 | 요구 수준 | 판정 | 비고 |
|---|
| 정보보호 |
| 개인정보 국외 이전 적정성 | 개인정보보호법 제28조의8 준수 | 미확인 | |
| 데이터 암호화 (전송 중/저장 시) | TLS 1.2+ 및 AES-256 이상 | 미확인 | |
| 접근 통제 및 인증 | SSO/MFA 지원 또는 별도 통제 방안 | 미확인 | SSO 지원 여부 확인 필요 |
| 감사 로그 제공 | 사용자 활동 로그 90일 이상 보관 | 미확인 | |
| 침해 사고 통보 체계 | 사고 인지 후 72시간 내 통보 | 충족 | 계정 불법 접근 시 즉시 이메일 (support@anthropic.com) 로 통보해야 한 |
| 개인정보 |
| 개인정보 수집/이용 동의 | 목적 명시, 최소 수집 원칙 | 미확인 | |
| AI 학습 데이터 활용 여부 | Opt-out 가능 여부 확인 | 충족 | Opt-out 가능 |
| 데이터 삭제 요청 대응 | 사용자 요청 시 삭제 가능 | 충족 | |
| 제3자 제공/위탁 현황 | 서브프로세서 목록 확인 | 미확인 | |
| 법무 |
| 입력 데이터 소유권 | 사용자 귀속 명시 | 충족 | 사용자 귀속 명시 |
| AI 생성물 저작권/권리 | 사용자 귀속 또는 명확한 조건 | 미확인 | |
| 책임 제한 조항 | 손해배상 범위 검토 | 미확인 | |
| 준거법 및 관할 | 분쟁 시 관할권 검토 | 미확인 | |
| 아키텍처 |
| 서버 위치/데이터 상주 | 한국 리전 가용 여부 | 미확인 | |
| 배치 환경 적합성 | SaaS/VPC/온프레 지원 여부 | 미확인 | |
| 기존 시스템 연동 | API/SSO/LDAP 연동 가능 여부 | 미확인 | |
| 금융규제 |
| 전자금융감독규정 제14조의2 클라우드 이용 기준 | 금감원 사전 보고 또는 준수 확인 | 미확인 | |
| 금융분야 클라우드 이용 가이드라인 충족 | 비중요 업무 / 중요 업무 구분 | 미확인 | 수동 확인 필요 |
| 고객 신용정보 처리 여부 | 신용정보법 제17조 동의 절차 | 조건부 | 해당 데이터 입력 시 별도 검토 필요 |
| 금융실명법 적용 데이터 여부 | 실명 확인 정보 외부 전송 금지 | 조건부 | 해당 데이터 입력 시 별도 검토 필요 |
| 특금법 적용 여부 (AML/KYC) | 자금세탁방지 데이터 외부 처리 금지 | 미확인 | 수동 확인 필요 |
| 망분리/VDI 환경 적합성 | 내부망에서 사용 가능 여부 | 미충족 | SaaS 전용, 내부망 사용 불가 |
| IT 아웃소싱 위탁 규정 준수 | 정보처리 위탁 계약 체결 | 미확인 | 수동 확인 필요 |