학생 데이터를 다루기 전, 개인정보 검토 체크리스트 12항목

AI 학습 도구는 학생의 이름, 답안, 학습 패턴, 때로는 음성과 얼굴까지 다룹니다. 편리함에 끌려 가입부터 서두르면, 나중에 학생 데이터가 어디로 흘러갔는지 아무도 답할 수 없는 상황이 옵니다. 도입 전 30분의 점검이 사고 한 번을 막습니다. 학부모 문의가 들어왔을 때 "확인하지 못했습니다"라는 답은 학교를 지켜 주지 못합니다.

도입 전 반드시 확인할 12항목

업체 영업 자료가 아니라 계약서와 개인정보 처리방침을 펴 놓고 확인하시기 바랍니다. 영업 담당자의 구두 약속이 아니라 문서에 적힌 문장만 신뢰하셔야 합니다.

• 수집 범위: 어떤 항목을 수집하는가? 수업에 꼭 필요한 최소한을 넘지 않는가? 얼굴·위치 정보까지 요구한다면 그 이유를 반드시 따집니다.
• 보관 위치: 데이터가 국내 서버에 있는가, 해외로 전송되는가? 해외 전송이면 어느 나라인지, 동의 절차를 갖췄는지 확인합니다.
• 보관 기간: 졸업·탈퇴 후 언제 파기되는가? 자동 파기 기능이 있는가? "영구 보관"이라 적혀 있다면 위험 신호로 보아야 합니다.
• AI 학습 활용: 학생 입력이 업체 모델 학습에 재사용되는가? 거부 설정이 있는가? 학생 답안이 외부 모델의 학습 데이터가 되는 것은 특히 민감합니다.
• 제3자 제공: 하위 처리자(클라우드·분석 업체)가 누구인가? 우리가 모르는 곳으로 데이터가 흐르지 않는지 확인합니다.
• 접근 권한: 우리 학교에서 누가 어디까지 볼 수 있는가? 권한이 과도하면 내부 유출 위험이 커집니다.

나머지 6항목은 동의 절차, 만 14세 미만 법정대리인 동의, 파기 증빙, 사고 통지 의무, 전송 구간 암호화 여부, 계약 종료 시 데이터 반환·삭제 보장입니다. 특히 만 14세 미만은 법정대리인 동의가 핵심 쟁점이 되므로 초등 도입에서는 반드시 짚어 주시기 바랍니다.

한 장으로 남기는 검토 기록

점검은 했지만 기록이 없으면 하지 않은 것과 같습니다.

1. 위 항목을 표 대신 문장으로 정리해 검토 일자와 담당자명을 남깁니다.
2. 미흡한 항목은 업체에 서면으로 질의하고 답변을 보관합니다. 메일 한 통이 훗날 책임 소재를 가릅니다.
3. 학년 초마다 한 번씩 재점검합니다. 업체의 처리방침이 조용히 바뀌어 있을 수 있습니다.

개인정보 보호는 한 번 통과하면 끝나는 시험이 아니라 매년 갱신하는 면허에 가깝습니다.

동의서를 받을 때 흔한 실수

• 포괄 동의의 함정: "모든 데이터 활용에 동의"처럼 뭉뚱그린 동의는 분쟁 시 무효가 되기 쉽습니다. 항목별로 나누어 받습니다.
• 거부권 누락: 동의하지 않아도 수업에서 배제되지 않을 대안을 함께 안내합니다.
• 설명 부족: 무엇에 동의하는지 학부모가 알기 쉬운 말로 풀어 씁니다.

핵심 정리

좋은 도구라도 데이터 흐름을 설명하지 못하면 도입을 잠시 미루는 편이 안전합니다. 수집 최소화, 보관 위치·기간, AI 학습 재사용 여부 세 가지만 또렷이 확인해도 위험의 절반은 줄어듭니다. 체크리스트를 학교 공용 문서로 만들어 모든 도입에 똑같이 적용해 보시기 바랍니다.