Privacy Desk

요즘 사무실에서는 공식 허가 없이 AI 도구를 쓰는 사람이 많다. ChatGPT에 보고서를 붙여 넣거나, 외부 AI 서비스에 고객 데이터를 입력하거나, 개인 계정의 생성형 AI로 사내 문서를 요약하는 일이 일상이 됐다.IBM이 2026년 사이버 보안 전망에서 이걸 '섀도 AI(Shadow AI)'라고 불렀다. 10여 년 전의 섀도 IT와 비슷하지만, 파급력이 훨씬 크다는 평가다. AI 도구는 독점 알고리즘, 기밀 데이터, 전략적 의사결정을 직접 다루기 때문이다.개인정보 담당자 입장에서 보면섀도 AI 문제는 단순한 보안 이슈가 아니다. 개인정보 관점에서도 직접적인 위협이다.직원이 외부 AI 서비스에 고객 정보를 입력하면, 그 데이터는 어디로 가는가. 해당 서비스의 개인정보 처리방침은 어떻게 되어 있는가. ..

올해 개인정보보호위원회가 공식적으로 선언한 방향이 있다. "사후 제재 중심에서 사전 예방 중심으로." 2026년 예산도 그 방향으로 편성됐다. 침해·유출 예방과 보안 강화 예산이 전년 대비 늘었고, 조사·처벌보다 예방에 무게를 뒀다.그런데 이게 실무에서는 어떤 의미인지가 더 중요하다.'걸리면 제재'에서 '구조가 안 되면 문제'로사후 제재 중심 체계에서는 사고가 난 이후에 대응하면 됐다. 감사에서 지적받으면 고치고, 처분이 나오면 수용하는 방식이다.사전 예방 중심 체계는 다르다. 사고가 나기 전에 위험이 있는 구조 자체를 문제로 본다. 보유·파기 체계가 작동하는지, 접근권한 통제가 실제로 이루어지는지, 처리방침이 실제 운영과 일치하는지가 평가 기준이 된다.말하자면 서류가 아니라 실제 운영이 기준이 된다는 ..