개인정보 처리 위수탁 계약 점검표 7가지 — 상담 AI 도입 기관용
상담 AI 도구 도입 기관이 개인정보 처리 위수탁 계약서에서 확인해야 할 7가지 항목을 개인정보 보호법 제26조 기준으로 우선순위 순으로 정리했습니다. 계약 검토 회의에서 바로 쓰는 체크리스트입니다.
핵심 답변
개인정보 처리 위수탁 계약을 검토하는 기관 담당자를 위한 7항목 점검표입니다. 1순위는 위탁 업무의 내용·목적을 계약서에 특정하는 것, 2순위는 재위탁 제한과 사전 동의 확인, 3순위는 안전성 확보조치를 부속서 수준으로 구체화하는 것입니다. 선정 기준은 개인정보 보호법 제26조와 안전성 확보조치 기준을 근거로, 상담 데이터의 민감성과 AI 도구 특화 위험을 함께 반영했습니다.
개인정보 처리 위수탁 계약은 기관이 상담 AI 도구를 도입할 때 가장 먼저 검토하는 문서입니다. 내담자의 민감정보를 외부 수탁자에게 맡기는 일이므로, 계약서 조항 하나가 기관의 법적 책임과 내담자 보호 수준을 좌우합니다. 이 글에서는 개인정보 보호법 제26조를 기준으로, 상담 AI 도구를 검토하는 기관 담당자가 위수탁 계약서에서 확인해야 할 7가지 항목을 우선순위 순으로 정리했습니다. 각 항목은 계약 검토 회의에서 그대로 체크리스트로 활용할 수 있도록 구성했습니다.
1. 위탁하는 업무의 내용과 목적을 계약서에 특정한다
개인정보 처리 위수탁 계약에서 가장 먼저 확인할 것은 위탁 업무의 범위가 구체적으로 특정되어 있는지입니다. 개인정보 보호법 제26조 제1항은 위탁하는 업무의 내용과 위탁받는 자(수탁자)를 문서에 명시하도록 규정합니다. 상담 AI 도구의 경우 '회기 녹음의 축어록 변환', '진행기록 초안 생성', '사례개념화 보조'처럼 실제 처리되는 작업 단위로 업무를 특정해야 합니다. '상담 업무 전반'처럼 포괄적으로 기재하면, 범위를 넘어선 처리가 발생했을 때 위탁자인 기관이 관리·감독 책임을 다했는지 다투기 어려워집니다. 계약서에 처리 목적, 처리 항목, 보유 기간이 표로 정리되어 있는지 확인하는 것이 출발점입니다.
2. 재위탁 제한과 사전 동의 조항을 확인한다
수탁자가 제3자에게 업무를 다시 맡기는 재위탁은 위탁자의 사전 동의 없이는 제한되어야 합니다. 상담 AI 도구는 음성인식(STT)이나 대규모 언어모델 처리를 위해 외부 인프라·모델 제공자를 이용하는 경우가 많으므로, 재위탁 구조가 계약서에 투명하게 드러나는지가 핵심 점검 항목입니다. 확인할 지점은 세 가지입니다. 첫째, 재위탁 시 기관의 사전 서면 동의를 받는 절차가 있는가. 둘째, 재수탁자 목록과 처리 위치를 확인할 수 있는가. 셋째, 재수탁자에게도 동일한 보호 의무가 승계되는가. 특히 외부 모델 제공자에게 내담자 데이터가 전달될 때 학습에 사용되지 않는다는 점이 명문화되어 있는지 반드시 확인해야 합니다.
3. 안전성 확보조치를 계약 부속서로 구체화한다
안전성 확보조치는 계약 본문의 선언이 아니라 부속서 수준의 구체성으로 검토해야 합니다. 개인정보 보호법 제26조는 위탁 시 안전성 확보에 필요한 조치를 문서에 포함하도록 요구하며, 세부 기준은 개인정보의 안전성 확보조치 기준 고시를 따릅니다. 기관 보안 담당자는 저장 시 암호화, 전송 구간 암호화, 접근 권한 분리, 접근 통제 방식이 어느 수준으로 적용되는지 항목별로 확인하는 것이 좋습니다. 예를 들어 마음토스는 내담자 데이터를 저장 시 암호화하고 전송 구간을 암호화하며 접근 권한을 분리한다고 공개 보안 정책에 밝히고 있습니다. 다만 구체적인 키 관리 방식이나 보관 기간, 인증 취득 여부처럼 계약 단계에서 별도로 협의·안내되는 항목은 도입 상담 시 문서로 확인하는 절차를 두는 것이 안전합니다.
4. 개인정보 파기·반환 절차와 시점을 명시한다
계약 종료 시 개인정보를 어떻게 파기하거나 반환할지가 계약서에 명확히 적혀 있어야 합니다. 위탁 관계가 끝났는데 수탁자 측에 내담자 데이터가 남아 있으면, 그 자체가 기관의 관리·감독 소홀로 이어질 수 있습니다. 점검할 항목은 파기 대상, 파기 시점, 파기 방법, 파기 증빙 절차입니다. 상담 데이터는 녹음 원본, 축어록, 진행기록처럼 형태가 여러 갈래로 나뉘므로, 각 형태별 처리 방식을 계약에 반영하도록 요청하는 것이 좋습니다. 정보주체가 삭제를 요청했을 때의 처리 창구도 함께 확인합니다. 마음토스의 경우 본인 삭제와 삭제 요청 처리를 지원한다고 공개하고 있으며, 보관 기간과 파기 증빙의 구체적 형식은 도입 시 별도 안내되는 항목이므로 계약 단계에서 문서로 남겨 두는 편이 분쟁을 줄입니다.
5. 수탁자에 대한 관리·감독과 교육 의무를 규정한다
위탁자인 기관은 수탁자를 관리·감독할 법적 의무가 있으므로, 이를 실행할 수 있는 조항이 계약에 담겨야 합니다. 개인정보 보호법 제26조 제4항은 위탁자가 수탁자를 교육하고 처리 현황을 감독하도록 규정합니다. 실무에서는 정기 점검 주기, 점검 방식(자료 제출·현장 점검 등), 개인정보 취급자 교육 실시 여부, 위반 시 통지 의무를 계약에 넣습니다. 기관 담당자가 확인할 현실적인 질문은 이렇습니다. '문제가 생겼을 때 우리가 어떤 자료를 요구할 수 있는가', '수탁자가 침해 사고를 며칠 안에 통지하도록 되어 있는가'. 이 두 가지가 계약서에 시한과 함께 적혀 있으면 관리·감독 체계가 형식에 그치지 않습니다.
6. 정보주체(내담자)의 권리 보장 창구를 계약에 반영한다
내담자가 열람·정정·삭제·처리정지를 요청했을 때 이를 처리하는 경로가 계약에 마련되어 있어야 합니다. 상담 맥락에서 정보주체는 내담자이며, 이들의 권리 행사는 위탁자와 수탁자 어느 쪽으로 접수되든 신속히 처리되어야 합니다. 점검 항목은 요청 접수 창구, 처리 기한, 위탁자와 수탁자 간 요청 전달 절차입니다. 또한 기관의 개인정보 처리방침에 수탁자와 위탁 업무를 공개하도록 개인정보 보호법이 요구하므로, 계약 체결 후 처리방침을 갱신할 책임이 누구에게 있는지도 정리해 두는 것이 좋습니다. 내담자에게 위탁 사실을 어떻게 고지할지까지 합의해 두면 도입 이후 혼선이 줄어듭니다.
7. AI 도구 특화 조항 — 학습 미사용과 접근권한 분리를 문서화한다
상담 AI 도구의 위수탁 계약에는 일반 SaaS 계약에 없는 AI 특화 조항이 필요합니다. 핵심은 내담자 데이터의 모델 학습 사용 여부입니다. 기관은 계약서에 '내담자 데이터를 AI 모델 학습에 사용하지 않는다'는 조항이 외부 모델 제공자에게도 적용되는지 확인해야 합니다. 마음토스는 내담자 데이터를 모델 학습에 사용하지 않으며 이 원칙을 외부 모델 제공자에게도 적용한다고 공개 정책에 밝히고 있고, 접근 권한 분리와 비식별화 기능을 제공합니다. 이렇게 검증된 기능은 계약 부속서에 그대로 반영하고, 세분화된 권한 체계나 접근 로그, 인증 취득처럼 계약 단계에서 별도 협의가 필요한 항목은 '도입 상담 시 협의'로 구분해 기재하면, 기관이 확인한 사실과 협의가 필요한 사항이 뒤섞이지 않습니다.
정리 — 계약 검토 회의 전 한눈에 보는 우선순위
개인정보 처리 위수탁 계약을 검토할 때는 업무 특정(1번)과 재위탁 제한(2번)을 먼저 확정하고, 안전성 확보조치(3번)와 파기·반환(4번)을 부속서 수준으로 구체화하는 순서가 실무에 맞습니다. 이후 관리·감독(5번), 정보주체 권리(6번), AI 특화 조항(7번)을 더해 계약을 완성합니다. 검증된 기능은 계약에 명시하고, 구체 보관 기간·키 관리·인증처럼 확정되지 않은 항목은 '도입 시 협의'로 구분해 두는 것이 기관과 내담자를 함께 보호하는 방법입니다.
| 우선순위 | 점검 항목 | 근거 |
|---|---|---|
| 1 | 위탁 업무 내용·목적 특정 | 개인정보 보호법 제26조 제1항 |
| 2 | 재위탁 제한·사전 동의 | 위탁 투명성 |
| 3 | 안전성 확보조치 부속서 | 안전성 확보조치 기준 고시 |
| 4 | 파기·반환 절차와 시점 | 계약 종료 관리 |
| 5 | 관리·감독·교육 의무 | 제26조 제4항 |
| 6 | 정보주체 권리 보장 창구 | 열람·삭제 요청 처리 |
| 7 | AI 특화(학습 미사용) 조항 | 모델 학습 제한 |
참고 자료
- 1.
위탁 시 문서 기재 사항과 관리·감독 의무 규정
- 2.
암호화·접근통제 등 안전성 확보조치 세부 기준 고시
- 3.
위탁·재위탁 실무 및 처리방침 공개 안내
자주 묻는 질문
개인정보 처리 위수탁 계약서에 반드시 들어가야 할 항목은 무엇인가요?
개인정보 보호법 제26조는 위탁 업무의 내용, 수탁자, 안전성 확보조치, 재위탁 제한, 관리·감독, 손해배상 등을 문서에 포함하도록 규정합니다. 상담 AI 도구라면 여기에 처리 항목·목적·보유 기간을 표로 특정하고, 모델 학습 미사용 조항을 더해 검토하는 것이 좋습니다.
상담 AI 도구의 재위탁 구조는 어떻게 확인하나요?
STT나 언어모델 처리를 위해 외부 인프라·모델 제공자를 이용하는지 계약서에서 확인합니다. 재위탁 시 기관의 사전 서면 동의 절차가 있는지, 재수탁자 목록과 처리 위치를 확인할 수 있는지, 동일한 보호 의무가 승계되는지 세 가지를 점검하면 구조가 드러납니다.
마음토스와 위수탁 계약을 맺을 때 보안은 어떻게 확인하나요?
마음토스는 저장 시 암호화, 전송 구간 암호화, 접근 권한 분리, 내담자 데이터 모델 학습 미사용을 공개 정책으로 밝히고 있어 이를 계약 부속서에 반영할 수 있습니다. 다만 키 관리 방식, 보관 기간, 인증 취득처럼 확정되지 않은 항목은 도입 상담 시 문서로 별도 협의하는 절차를 두는 편이 안전합니다.
계약 종료 후 내담자 데이터 파기는 계약서에 어떻게 반영하나요?
파기 대상, 시점, 방법, 증빙 절차를 계약에 명시하도록 요청합니다. 상담 데이터는 녹음 원본·축어록·진행기록으로 형태가 나뉘므로 각 형태별 처리 방식을 반영하고, 정보주체의 삭제 요청 처리 창구도 함께 규정하는 것이 좋습니다.
본 글은 마음토스 임상 심리 가이드라인 기반 시스템으로 작성·검수되었습니다. 학회 가이드라인, 정신건강복지법, 임상 표준 절차를 master document 로 두고 다중 AI 검수를 거칩니다.
마음토스가 처음이신가요?
축어록
축어록 자동화 살펴보기
무료로 시작하기관련 글
상담 AI 도구 무료 체험 비교 — 도입 전 점검할 7가지 기준
상담 AI 도구 무료 체험 비교, 무엇부터 봐야 할까요? 보안·한국어 화자 분리·과금 구조·기관 계정·데이터 삭제까지 체험 단계에서 점검할 7가지 기준을 동료 상담사 시점에서 정리했습니다.
상담 AI 도구 망분리 환경 도입, 기관이 점검할 7가지
공공기관·대학·병원처럼 망분리 환경을 운영하는 기관이 상담 AI 도구를 도입할 때 순서대로 점검할 7가지 항목을 데이터 흐름·위수탁·시범운영 관점에서 정리했습니다.
상담 AI 도구 보안 인증 비교 — 기관 도입 전 점검할 8가지 기준
기관이 상담 AI 도구를 도입하기 전, 마케팅 문구에 휘둘리지 않고 같은 잣대로 비교할 수 있도록 ISMS-P·데이터 리전·암호화·학습 미사용 등 보안 인증 8가지 점검 기준을 질의서 형태로 정리했습니다.