개인정보보호위원회[가이드라인] 생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드(2026. 05. 19.) 발간

게시일 : 2026-05-19

개인정보보호위원회에서 「생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드」 발간 되었습니다.

목차 및 주요 내용을 요약하면 다음과 같습니다.

==================================================

생성형 AI 서비스 이용자를 위한 개인정보 보호 가이드

1. 목차

Ⅰ. 들어가며

1. 발간 배경 및 목적
2. 누구를 위한 자료인가
3. 어떻게 구성되었는가

Ⅱ. 생성형 AI 서비스 이용 관련 개인정보 처리 생애주기

• 데이터 수집 및 AI 학습 과정
• 서비스 이용 중 개인정보 처리
• 외부 서비스 연동 및 국외 이전 등 주요 흐름

Ⅲ. 주요 Q&A (8개 핵심 질문)

1. AI에 입력한 내용이 학습에 사용되나요?
2. 대화 기록을 삭제하면 완전히 지워지나요?
3. 개인정보가 해외로 전송될 수도 있나요?
4. AI 챗봇에 입력한 대화 내용도 개인정보가 될 수 있나요?
5. 업무 자료나 조직 내부 정보를 입력해도 되나요?
6. AI 답변에 개인정보가 포함되면 어떻게 해야 하나요?
7. 플러그인/외부 서비스 연동 기능은 안전한가요?
8. 공개된 정보(기사·블로그 등)는 AI 학습에 사용될 수 있나요?  

2. 주요 내용 요약

① AI에 입력한 정보는 학습에 활용될 수 있음

• 서비스별 정책에 따라 사용자가 입력한 대화, 파일, 이미지, 음성 등이 AI 모델 개선에 활용될 수 있음
• 일부 서비스는 학습 거부(Opt-out) 또는 임시 대화 기능 제공
• 주민번호, 계좌번호, 비밀번호 등 민감정보는 입력 자체를 피하는 것이 안전 

② ‘삭제’ = 즉시 완전 삭제는 아님

• 대화 삭제 시 화면에서는 사라져도,
  • 서버/백업 시스템에 일정 기간 보관될 수 있음
  • 이미 학습·통계 처리된 데이터는 별도 관리될 가능성 있음
• 삭제 기능만 믿기보다 처음부터 입력 최소화 필요 

③ 개인정보는 해외 서버로 이전될 수 있음

• 글로벌 AI 서비스는 국내에서 사용해도 해외 데이터센터 또는 해외 법인을 통해 처리될 수 있음
• 개인정보처리방침에서 이전 국가, 이전 항목, 보유기간 확인 필요 

④ 일반 대화도 개인정보가 될 수 있음

• 이름, 연락처 같은 직접 식별정보뿐 아니라
• “OO초 3학년 담임”, “OO병원 진료결과”처럼 단서가 결합되면 개인정보가 될 수 있음
• 누적된 대화가 합쳐져 개인 식별 위험 발생 가능 

⑤ 회사 내부 자료 입력은 주의 필요

• 개인정보가 아니더라도
  • 내부 문서
  • 계약 정보
  • 의사결정 내용
  • 고객 정보
    등은 외부 유출 위험 존재
• 조직 내 승인된 AI 서비스/기업용 라이선스 사용 권장 

⑥ AI가 개인정보를 답변으로 노출하면 즉시 조치

권장 대응:

1. 답변 공유 중단
2. 화면 캡처 등 증빙 확보
3. 대화/파일 삭제
4. 외부 연동 권한 회수
5. 사업자 신고/문의 요청 

⑦ 플러그인·외부 서비스 연동은 권한 확인 필수

• AI가 메일, 일정, 결제 등 외부 서비스와 연결되면 개인정보가 외부로 전달될 수 있음
• 필요 최소 권한만 허용하고 과도한 권한은 거부하는 것이 좋음 

⑧ 공개된 정보도 AI 학습에 활용될 수 있음

• 기사, 블로그, 공개 게시물도 AI 학습 데이터가 될 수 있음
• 단, 개인정보가 포함된 경우 법적 기준과 보호조치 필요
• 이용자는:
  • 공개 범위 조정
  • 삭제/비공개
  • 학습 제외 신청
  • AI 크롤러 차단(robots.txt 등) 고려 가능 

==================================================

업무에 참고하시기 바랍니다.

출처 : https://www.pipc.go.kr/np/cop/bbs/selectBoardArticle.do?bbsId=BS074&mCode=C020010000&nttId=12084#LINK