개인정보보호위원회가 ‘인공지능(AI) 디지털교과서’의 사전 실태점검을 실시한 결과 개인정보 처리에 미흡한 점이 있다며 교육당국에 시정‧개선 권고했다.
개인정보위는 14일 전체회의를 열고 ‘AI 디지털교과서 사전 실태점검’ 결과를 심의‧의결했다고 15일 밝혔다. AI 디지털교과서는 올해 3월부터 운영된 공교육 서비스다. 종이 교과서와 달리 학생별 학습 이력을 데이터베이스(DB)화해 저장하고 개인 맞춤형 콘텐츠를 제공하는 등 개인정보 처리가 필요하다. 그러나 개인정보 처리 등에서 일부 부족한 부분이 확인됐다.
점검결과에 따르면 AI 디지털교과서 통합포털 운영기관인 한국교육학술정보원(KERIS)은 개인정보 처리동의서, 처리방침 등에 각각 처리하는 개인정보의 항목, 목적, 보유기간 등을 정보 주체가 알 수 있도록 투명하게 기재해야 하나 일부 사항의 기재가 누락된 것으로 조사됐다.
민원처리 과정에서 수집‧이용‧제공되는 연락처, 상담내용 등 항목에 대한 고지 누락 등이 발생했다.
또 AI 디지털교과서 통합포털 내부에는 학습데이터 저장소(HUB)가 구축돼 각 개발사로부터 제공받은 학생별 학습콘텐츠 이용내역 데이터(국가수준학습데이터셋)가 통계목적 등으로 저장되고 있다. 보호법에 따라 개인정보 항목별 명확한 목적 등 정당한 처리이익을 제시해야 하나 미흡했다.
이에 개인정보위는 AI 디지털교과서 통합포털을 운영하는 KERIS에 개인정보 항목, 목적, 보유기간 등을 동의서 또는 처리방침을 통해 정보주체에게 고지하도록 했다. 또 통합 DB에 관리되는 국가수준학습데이터셋에 대해 처리 항목 및 목적을 명확히 할 것을 시정 권고 했다.
참여자 간 시스템 연동 과정에서 보안이 취약할 가능성이 있어 이에 대한 지속적 관리와 점검도 필요한 것으로 확인됐다.
개인정보위는 KERIS와 개발사가 ‘개인정보보호인증(ISMS-P)’ 인증을 취득해 개인정보 안전성 확보 조치 수준을 제고하되, 통합포털과 개발사 웹사이트 간 연동구조를 고려해 양측이 함께 인증을 받는 방안을 마련하라고 개선 권고했다.
교육부에도 AI 디지털교과서 검정심사 기준과 가이드라인에 보호법 준수사항을 구체적으로 반영하고, 사후 점검체계도 마련하도록 개선 권고했다. 또 AI 디지털교과서 서비스 운영 시 처리되는 개인정보가 보다 명확한 적법 근거에 의해 안전하게 처리되고 정보주체의 권리가 실질적으로 보호될 수 있도록 권고했다.
KERIS와 개발사 등에도 개인정보 침해‧유출사고 시 사고수습 체계 등을 포함해 역할과 책임을 부여하는 체계를 마련하도록 했다.
전승재 개인정보위 조사3팀장은 “지난해부터 교육부와 부처 간 협업을 통해 비공식적으로 협의 또는 컨설팅 절차를 진행해왔다”며 “사전 실태점검은 침해 위험을 방지하는 제도로서 AI 디지털교과서 활성화에 장애가 될 요소는 아니다”라고 말했다.
각 기관이 개인정보위의 시정권고를 10일 이내에 수락하면 시정명령을 받은 것으로 간주되면 시정권고 및 개선권고에 대한 이행 결과를 개인정보위에 알려야 한다.
