2025년과 2026년 초에 걸쳐, Health-ISAC 인공지능 워킹 그룹의 AI 전문 보안 전문가 팀은 AI 거버넌스 프레임워크 개발에 대한 지침을 제공하는 백서를 작성했습니다. 이 백서는 AI 허용 사용 정책의 예시와 AI 위험 관리 관련 상세 지침을 제공합니다. 또한 생성형 AI 및 LLM의 책임 있는 사용에 대한 명확한 정의를 제시하고, 개인 건강 정보(PHI), 개인 식별 정보(PII) 및 기밀 데이터를 공개 도구에 노출하는 것을 금지하며, 임상, 인사, 법률 및 재정 분야에서 AI 결과물에 대한 승인, 감독 및 사람의 검토를 요구합니다.
이 문서의 주요 특징은 다음과 같습니다.
공식적인 AI 거버넌스 구조. 본 보고서는 법률, 개인정보보호, 보안, 기술, 데이터 과학, 비즈니스, 윤리 등 다양한 분야를 아우르는 대표성을 갖춘 구체적인 AI 거버넌스 위원회 모델을 제시하며, 이 위원회는 최고 경영진 또는 이사회에 보고합니다. 보고서는 위원회의 책임과 구체적인 성과 지표를 정의하고, 거버넌스가 선택 사항이 아닌 필수 요소임을 강조합니다.
기둥 기반 AI 거버넌스 프레임워크. 이 문서에서는 법률/규정/정책, AI 개인정보 보호 및 윤리, 사용 사례 관리, 모델 수명주기 관리, 계약 및 제3자 온보딩, AI 사고 대응 및 침해 관리, AI 교육 및 훈련 등 7가지 핵심 요소로 구성된 프레임워크를 설명합니다. 각 요소에는 구체적인 목표와 담당자가 있습니다.
실행을 위한 실질적인 로드맵. 구현 로드맵은 작업을 네 단계로 나눕니다. 시작 단계(위원회 구성, 원칙 수립, 목록 작성), 위험 및 영향 평가 단계(데이터 보호 영향 평가, 편향성 감사, 보안 검토), 프레임워크 배포 단계(정책 수립, 사용 사례 등록, 수명 주기 관리), 모니터링 및 검토 단계(정기 검토, 재교육, 감사)입니다.
상세하고 재사용 가능한 AI 사용 정책. 이 문서에는 목적 및 범위, 기본 원칙, 투명성 및 윤리, 책임 및 감독, 데이터 개인정보 보호 및 보안, 기밀 유지, 허용 및 금지된 사용, 시행, 정의를 포함한 전체 정책 샘플과 공공 AI 도구에 대한 "허용 vs. 비허용" 표가 포함되어 있습니다.
8가지 AI 위험 범주가 특정 안전장치와 연계되어 있습니다. 이 보고서는 데이터 개인정보 보호 및 보안, 공급망 및 제3자 위험, 모델 및 출력 위험, 편향 및 공정성, 규제 및 준수, 보안 취약점, 거버넌스 및 감독 위험, 그리고 섀도우 AI를 체계적으로 다루며, 각 위험에 대해 데이터 최소화, SBOM(소위 "제품 명세서"), 공급업체 실사, 레드팀 활동, 계약상 통제, 섀도우 AI 탐지 등의 구체적인 안전장치를 제시합니다.
