경영정보시스템(MIS) 의사결정 자동화의 법적 책임 귀속과 기업 거버넌스
Legal Attribution of Responsibility and Corporate Governance in the Automation of Decision-Making within Management Information Systems
남명진(에스에이피코리아(주)); 남구현(국민대학교)
38권 2호, 433~469쪽
초록
인공지능이 결합된 경영정보시스템 자동화는 단순한 정보 제공을 넘어 의사결정의 실질적 근거이자 집행 단계로 작동한다. 이때 산출물은 개인의 권리와 의무 그리고 조직의 법적 지위에 직접적인 변화를 일으켜 전통적 인간 중심 책임론의 설명력을 약화시킨다. 본 논문은 규범적 효과와 책임능력을 엄밀히 구분하고 책임 판단의 초점을 행위자의 형식이 아니라 통제 가능성, 예견 가능성, 인과적 기여, 이익 귀속으로 전환해야 함을 제시한다. 이를 위해 설계, 개발, 운용, 유지관리 전 과정에서 제작자, 운용자, 경영진, 감독기관이 역할을 분담하는 분산적 책임 구조를 제안하고 책임 공백을 최소화하는 기준을 도출한다. 사전 단계에서는 편향 진단과 데이터 검증, 설명가능성 확보, 기록과 절차 추적, 영향평가를 통해 위험을 통제하고, 사후 단계에서는 증거 보존, 내부와 외부의 구제 절차, 감사와 시정조치로 피해를 완화하며 책임 경계를 재정비해야 한다. 국제 규범으로는 GDPR과 EU 인공지능법 NIST AI 위험관리 프레임워크 ISO 42001을 분석하여 의미 있는 인간 개입, 책임성, 투명성, 기록관리라는 공통 원리를 정리한다. 국내에서는 개인정보보호법과 신용정보법을 검토하여 자동화된 결정의 설명, 이의제기, 로그 보존의무 공동관리자 관계의 해석 기준을 정리하고, 형식적 개입을 통한 회피를 줄이기 위한 기준의 구체화를 제안한다. 민법의 공동불법행위 사용자책임과 상법의 이사 책임 원리를 MIS 환경에 접목하여 통제 가능성과 예견 가능성에 따른 책임 배분의 합리성을 논증한다. 결론적으로 책임 판단의 초점은 누가 행위했는가에서 누가 통제할 수 있었는가로 이동하며, 거버넌스는 증거 가능성과 재현 가능성을 중심으로 재구성되어야 한다. 이러한 재구성은 기술 혁신의 효익을 유지하면서도 권리 보호와 법적 예측 가능성을 확보하는 경로를 제시하고, 향후 입법에서는 영향평가 범위 확장 설명의무 최소 기준 계약상 책임 배분과 감사 절차의 표준화를 통해 제도적 정합성을 높일 필요가 있음을 제안한다.
Abstract
Automation in Management Information Systems (MIS) integrated with artificial intelligence no longer merely provides information; it operates as the substantive basis and, at times, the execution stage of organizational decision-making. Consequently, MIS outputs can directly alter individual rights and obligations and an organization’s legal position, undermining the explanatory power of traditional, human -centered liability accounts. This paper sharply distinguishes normative effects from legal capacity to bear responsibility and argues that liability assessment should shift from the formal identity of the actor to four criteria: control, foreseeability, causal contribution, and benefit allocation. Building on this, it proposes a distributed responsibility architecture in which designers, operators, corporate management, and regulators assume role-specific duties across the lifecycle—design, development, operation, and maintenance—to minimize responsibility gaps. Ex ante, organizations should implement bias diagnosis and data validation, secure explainability, maintain logs and procedural traceability, and conduct impact assessments. Ex post, they should preserve evidence, operate layered internal and external redress mechanisms, and institutionalize audit and remedial measures to clarify responsibility boundaries. The analysis synthesizes convergent principles—meaningful human involvement, accountability, transparency, and record retention and auditability—from international frameworks (GDPR, EU AI Act, NIST AI RMF, ISO 42001) and maps them to Korean law (Personal Information Protection Act; Credit Information Act), as well as civil doctrines on joint tortfeasors, vicarious liability, and directors’ duties. The paper concludes that, in automated settings, the central question moves from “who acted” to “who could control,” and governance should be rebuilt around evidentiary robustness and replicability. It closes with legislative directions on expanding impact-assessment coverage, setting minimum explanation standards, and standardizing contractual risk allocation and algorithmic audit procedures.
- 발행기관:
- 법학연구소
- 분류:
- 기타법학