FERPA 준수학생 데이터 추출: 입학처를 위한 가이드

자동 문서 추출 도구를 사용하면 수많은 입학 서류를 몇 분 만에 스프레드시트로 변환할 수 있습니다. 이는 입학처장이라면 이미 알고 있는 사실입니다. 하지만 학생 문서가 기관의 통제를 벗어나 제3자 AI 처리 파이프라인에 들어가는 바로 그 순간 FERPA가 요구하는 사항을 충분히 검토한 입학 팀은 많지 않습니다. 다음은 그 순간에 대해 가족 교육 권리 및 개인정보 보호법(Family Educational Rights and Privacy Act, 20 U.S.C. § 1232g; 34 CFR Part 99)이 규정하는 내용과, 단 하나의 파일을 처리하기 전에 반드시 확인해야 할 다섯 가지 규정 준수 질문입니다.

수작업 입력은 그만 — AI가 대신 읽어드립니다
이미지나 PDF를 업로드하세요 — 10초 만에 정형 데이터로
지금 체험하기
회원가입 불필요 · 카드 불필요 · 10초 내 결과
FERPA를 준수하는 대학 입학처의 문서 데이터 추출을 나타내는 학생 입학 서류 더미

핵심 요약

  1. 학생 입학 서류를 클라우드 추출 도구에 업로드하는 순간, AI가 단 한 글자도 읽기 전에 § 99.30에 따른 FERPA 공개가 이루어집니다. 그리고 대부분의 기관 연간 통지에는 외부 문서 처리업체가 해당 학교 공무원으로 명시되어 있지 않습니다.
  2. 공급업체의 서비스 약관에 "동의"를 클릭하는 것만으로는 FERPA의 직접 통제 요건을 충족할 수 없습니다. 미국 교육부의 PTAC 지침은 이를 명확히 밝히고 있지만, 대부분의 입학처는 SaaS 개인정보 처리방침 페이지를 규정 준수 문서로 간주합니다.
  3. 규정 준수는 데이터 소유권, 재공개 제한, 계약 종료 시 삭제, 침해 통지, 감사 권리 등 다섯 가지 조항을 포함한 서명된 기관 계약과 학생 문서가 공급업체의 AI 모델 훈련에 절대 사용되지 않는다는 서면 약속을 통해 확인 가능해집니다.

FERPA에서 학생 문서가 '교육 기록'이 되는 조건

출발점은 학생 기록을 만들 의도가 있는지가 아니라, 처리 중인 문서가 이미 FERPA 정의에 부합하는지입니다. 34 CFR § 99.3에 따르면, 교육 기록은 (1) 학생과 직접 관련되고, (2) 교육 기관 또는 기관을 대행하는 당사자가 유지 관리하는 기록입니다. 마지막 조항이 제3자 문서 추출 도구를 FERPA 범위에 포함시키는 이유입니다.

문서가 학생을 이름, ID 번호 또는 다른 식별자로 명시적으로 식별하거나, 다른 합리적으로 이용 가능한 정보와 결합하여 학생의 신원을 내용에서 추론할 수 있을 때 '직접 관련' 조건을 충족합니다. 학생의 전체 법적 이름, 생년월일 및 주소가 포함된 등록 양식은 기관의 유지 관리 기록의 일부가 되는 순간 명백히 교육 기록입니다. 성적 증명서도 마찬가지입니다. 학생의 이름이 적힌 교사 추천서도 교육 기록입니다.

등록하지 않은 학생의 지원서는 어떨까요? FERPA의 정의는 학생이 최종적으로 재학하는지 여부가 아니라 기록이 기관에 의해 유지 관리되는지에 달려 있습니다. 입학처가 지원자의 파일을 스캔하여 저장하는 경우, 해당 문서는 등록 결과와 관계없이 § 99.3에 따른 교육 기록입니다. 다음 입학 주기로 이월된 연기된 지원서에도 동일하게 적용됩니다.

문서에 학생 이름이 있고 사무실에서 이를 물리적으로, 서버에, 또는 클라우드 애플리케이션에 저장한다면, § 99.3에 따른 교육 기록일 가능성이 매우 높습니다. 형식은 중요하지 않습니다. 규정은 '손글씨, 인쇄물, 컴퓨터 매체, 비디오테이프, 오디오테이프, 필름, 마이크로필름 및 마이크로피시'를 명시적으로 포함합니다. 손으로 쓴 등록 패킷의 스캔된 PDF는 원본 종이와 동일한 규제적 효력을 갖습니다.

교육 기록이 아닌 문서에는 개인이 보관하고 공유하지 않는 단독 보유 메모, 법 집행 부서 기록, 직원 자격으로서의 학생 직원의 고용 기록, 건강 전문가의 치료 기록(34 CFR § 99.3(b))이 포함됩니다. 이러한 면제 중 어느 것도 입학 사무실이 매일 처리하는 등록 문서, 성적 증명서, 추천서 또는 재정 지원 양식에는 적용되지 않습니다.

FERPA 및 기타 규정이 교육 전반의 문서 워크플로우를 어떻게 형성하는지에 대한 더 넓은 관점은 OCR 교육 가이드를 참조하십시오. 이 가이드는 학교 기록 스캔 및 디지털화를 위한 운영 고려 사항과 함께 FERPA를 다룹니다.


업로드하는 순간 — 자동 추출이 왜 "공개"인가

FERPA의 핵심 규정인 § 99.30은 간단합니다. 교육 기관은 학부모나 적격 학생의 사전 서면 동의 없이 학생 교육 기록에서 개인 식별 정보(PII)를 공개할 수 없습니다. § 99.3에 따른 공개의 정의는 "교육 기록에 포함된 개인 식별 정보에 대한 접근을 허용하거나, 이를 어떤 방식으로든(구두, 서면, 전자적 수단 포함) 타인에게 공개, 전송, 또는 기타 방식으로 전달하는 것"을 의미합니다.

학생 문서를 타사 AI 추출 도구에 업로드하는 행위는 이 정의의 모든 요소를 충족합니다. 문서는 기관에서 제공업체로 전자적으로 전송됩니다. 제공업체의 클라우드 인프라는 파일을 수신합니다. 제공업체의 AI 모델은 데이터를 추출하기 위해 콘텐츠를 처리합니다. 이러한 각 단계는 FERPA상의 공개에 해당합니다. 전송, 저장, 추론 — 이 모든 처리는 적법한 근거가 필요한 작업입니다.

이는 이론적인 우려에 그치지 않습니다. 2021년 6월 r/k12sysadmin의 토론에서 실질적인 문제가 정확히 지적되었습니다. 한 학군이 외부로 전송되는 학생 데이터에 대해 FERPA 요구 사항을 충족하는 파일 공유 솔루션을 원했던 것입니다. 해당 스레드의 핵심 질문 — "이 제공업체가 우리의 통제 하에 있는가, 아니면 독립적으로 운영되는가?" — 는 모든 입학처가 단 하나의 학생 문서를 클라우드 도구에 업로드하기 전에 반드시 답해야 하는 질문입니다.

따라서 공개 자체가 불법은 아닙니다. 그러나 FERPA의 예외 중 하나가 적용되는 경우에만 합법입니다. 문서 추출의 경우, 중요한 예외는 학교 공무원 예외입니다. 이 예외가 없으면 해당 업로드는 승인되지 않은 공개이며, 승인되지 않은 교육 기록 공개는 정의상 FERPA 위반입니다.

규정 준수 질문은 자동 추출이 합법적으로 수행될 수 있는지 여부가 아니라, 선택한 특정 제공업체가 학교 공무원 예외 기준을 충족하는지 여부입니다. 업로드 자체가 공개 의무를 발생시키며, 예외가 이를 충족시키는 것입니다.


학교 공무원 예외 — § 99.31(a)(1)에 따른 규정 준수 경로

34 CFR § 99.31(a)(1)(i)(B)에 따라, 클라우드 기반 문서 추출 제공자를 포함한 외부 계약자는 세 가지 조건이 모두 충족될 경우 사전 학생 동의 없이 교육 기록을 수령할 수 있는 "학교 공무원"으로 간주될 수 있습니다. 각 조건은 규정 준수를 위한 관문입니다. 세 가지 중 하나라도 충족되지 않으면 예외는 적용되지 않으며, 정보 공개는 승인되지 않은 것으로 간주됩니다.

1

기관 서비스 또는 기능 수행

제공자는 "기관이 달리 직원을 사용해야 하는 기관 서비스 또는 기능"을 수행해야 합니다(§ 99.31(a)(1)(i)(B)(1)). 입학처의 경우, 등록 양식에서 이름, 주소, 시험 점수, 인구통계 필드 등 구조화된 데이터를 추출하는 것은 직원이 수동으로 수행해야 하는 작업입니다. 이러한 수동 데이터 입력을 자동화하면 이 조건을 충족합니다. 제공자의 자체 목적(데이터 수집, 모델 훈련, 시장 조사)을 위해 문서를 처리하는 도구는 해당되지 않습니다.

2

기관의 직접 통제 하에 있음

제공자는 "교육 기록의 사용 및 유지 관리와 관련하여 기관의 직접 통제 하에" 있어야 합니다(§ 99.31(a)(1)(i)(B)(2)). 미국 교육부의 FERPA 하 클라우드 컴퓨팅에 관한 PTAC 지침(2015년 7월 개정)에 따르면, 직접 통제는 서면 계약을 통해 수립되며, 제공업체의 온라인 이용약관을 클릭하는 것만으로는 이 요건을 충족할 수 없습니다. 계약서에는 제공자가 공개된 교육 기록을 사용하고 유지 관리하는 방법에 대한 구체적인 제한 사항이 명시되어야 합니다.

3

§ 99.33(a)에 따른 재공개 제한 적용

제공자는 "교육 기록에서 개인 식별 정보의 사용 및 재공개를 규율하는 § 99.33(a)의 요구 사항을 따라야" 합니다(§ 99.31(a)(1)(i)(B)(3)). 섹션 99.33(a)는 수령 당사자가 "학부모 또는 적격 학생의 사전 서면 동의 없이 정보를 다른 당사자에게 공개할 수 없다"고 명시합니다. 단, 재공개 자체가 FERPA 예외에 따라 허용되고 수령 당사자가 교육 기관을 대행하는 경우는 예외입니다. 즉, 계약서에 명시적으로 허용되고 하위 처리자가 동일한 제한 사항을 준수하지 않는 한, 제공자는 추출된 학생 데이터를 하위 처리자 또는 분석 파트너와 공유할 수 없습니다.

PTAC의 2014년 2월 지침 문서 "온라인 교육 서비스 이용 시 학생 개인정보 보호: 요구사항 및 모범 사례"는 FERPA가 엄격히 요구하지 않더라도 학교가 서면 계약을 사용해야 하며, 계약서에는 데이터 소유권(제공자가 아닌 학교), 처리 목적, 계약 종료 시 데이터 반환 또는 폐기에 관한 사항이 명시되어야 한다고 덧붙입니다. PTAC가 2016년 3월에 발표한 모델 서비스 약관 문서는 이러한 각 조항에 대한 구체적인 계약 언어를 제공합니다.

운영상의 유의사항: 학교 공무원 자격을 결정하는 주체는 제공자가 아닌 기관입니다. § 99.7(a)(3)(iii)에 따라, 기관이 학생에게 매년 발송하는 FERPA 통지에는 학교 공무원을 결정하는 기준과 정당한 교육적 이해관계가 무엇인지 명시되어야 합니다. 기관의 통지에 외부 문서 처리 제공자가 학교 공무원으로 포함되어 있지 않다면, 업로드 전에 통지를 업데이트하십시오.


디렉토리 정보와 전체 교육 기록 — 등록 양식에 예외가 적용되지 않는 이유

일부 입학처에서는 등록 양식의 데이터를 디렉토리 정보로 취급하여 학교 공무원 예외를 완전히 우회할 수 있는지 묻습니다. 이에 대한 답은 FERPA가 디렉토리 정보로 실제로 정의하는 것과 그렇지 않은 것에 달려 있습니다.

34 CFR § 99.3에 따라, 디렉토리 정보는 "공개될 경우 일반적으로 해롭거나 프라이버시 침해로 간주되지 않는 학생의 교육 기록에 포함된 정보"입니다. 여기에는 학생의 이름, 주소, 전화번호 목록, 이메일 주소, 사진, 생년월일 및 출생지, 전공, 학년, 등록 상태, 재학 기간, 공인된 활동 참여, 학위 및 수상 내역, 그리고 가장 최근에 재학한 교육 기관이 포함될 수 있습니다. § 99.31(a)(11) 및 § 99.37에 따라, 디렉토리 정보는 기관이 지정된 범주를 학부모 및 적격 학생에게 통지하고 거부할 기회를 제공했다면 동의 없이 공개될 수 있습니다.

따라서 학생의 이름과 주소만으로는 디렉토리 정보로 공개될 수 있습니다. 그러나 해당 필드에 더하여 학생의 사회보장번호, 생년월일, 의료 정보, 징계 기록, 시험 점수, 가정에서 사용하는 언어, 무상 또는 할인 급식 자격, 또는 이민 신분이 포함된 등록 양식은 — 이러한 추가 필드 중 어느 하나라도 디렉토리 정보 정의에 해당하지 않습니다. 등록 양식은 추출 도구에 업로드될 때 "디렉토리"와 "비디렉토리"로 분리될 수 있는 독립적인 데이터 포인트의 집합이 아닙니다. 문서 전체에는 보호되는 필드가 포함되어 있으며, 문서 전체의 공개는 추출하려는 필드와 관계없이 FERPA를 촉발합니다.

또한 FERPA는 디렉토리 정보 정의(§ 99.3, 정의 단락 (c))에서 학생의 사회보장번호 및 특정 학생 ID 번호를 명시적으로 제외합니다. 등록 양식이 재정 지원 확인을 위해 SSN을 수집하는 경우(많은 경우가 그러하듯), 디렉토리 정보 예외는 양식 전체에 적용될 수 없습니다. 학생 등록 양식 추출이 일반적으로 그렇듯 — SIS 가져오기에 필요하지 않은 필드는 무시하면서 이름, 주소, 비상 연락처와 같은 특정 열만 대상으로 하는 경우에도 — 학교 공무원 예외가 올바른 경로로 남아 있습니다.


계약서에 반드시 포함되어야 할 사항 — 서류상 "직접 통제" 구축

학교 관계자 예외를 적용하려면 제공자가 기관의 "직접 통제" 하에 있어야 합니다. 독립 회사는 기관의 조직 체계에 속하지 않으므로, 직접 통제를 확립하는 유일한 방법은 서면 계약입니다. 다음은 PTAC 지침과 기관 모범 사례에 따라 계약서에 포함되어야 할 내용입니다.

1

데이터 소유권 및 승인된 사용

업로드된 모든 문서와 추출된 데이터의 소유권은 제공업체가 아닌 기관에 있음을 명시합니다. 제공업체의 데이터 사용은 문서 추출 서비스 수행이라는 특정 목적으로만 제한합니다. 별도로 서면 승인을 받지 않는 한, 모델 학습, 데이터 집계, 제품 개선 등 2차 사용을 금지합니다.

2

재공개 및 하위 처리업체 제한

§ 99.33(a)에 따라 제공업체는 기관의 승인 없이 데이터를 타사에 재공개할 수 없습니다. 제공업체가 하위 처리업체(클라우드 호스팅, AI 추론 API, 분석 서비스)를 사용하는 경우, 계약서에는 각 하위 처리업체가 동일한 FERPA 제한을 준수하도록 해야 합니다. 하위 처리업체 목록을 공개하고 추가 시 사전 통지를 요구합니다.

3

계약 종료 시 데이터 반환 또는 파기

PTAC의 모델 서비스 약관은 계약 종료 시 제공업체가 모든 교육 기록을 반환하거나 파기하도록 요구하는 조항을 권장합니다. 백업 주기로 인해 즉시 파기가 기술적으로 불가능한 경우, 최대 보관 기간(30~90일)과 파기 완료 후 서면 인증을 명시합니다.

4

보안 조치 및 침해 통지

전송 중(TLS 1.2 이상) 및 저장 데이터 암호화, 접근 통제, 감사 로깅, 독립적으로 검증된 보안 인증(SOC 2 Type II 또는 동등)을 요구합니다. 침해 통지 기한을 명시합니다. PTAC는 조사 완료 후가 아닌 침해 확인 즉시 통지를 권장합니다. 또한 영향을 받은 개인 및 규제 기관에 대한 통지 책임을 각 당사자별로 정의합니다.

5

감사 권리

독립적인 감사 보고서, 보안 설문지 또는 기관 계약의 경우 현장 평가를 통해 규정 준수를 확인할 수 있는 권리를 포함합니다. 실제로 대부분의 제공업체는 개별 고객 감사보다는 SOC 2 Type II 보고서와 ISO 27001 인증서를 통해 이를 충족합니다. 해당 보고서가 최신이며 문서 처리 기능을 구체적으로 포함하는지 확인합니다.

강조할 구조적 요점 하나: 웹사이트에서 제공업체의 표준 이용약관을 클릭하는 것만으로는 계약 요건을 충족하지 않습니다. 이용약관(TOS)은 일반적으로 '받거나 말거나' 방식으로 제공되며, FERPA가 요구하는 구체적인 데이터 처리 제한 사항을 거의 포함하지 않습니다. 전용 기관 계약(독립 계약, 데이터 처리 계약, 또는 FERPA 관련 조항이 첨부된 구매 주문서)이 규정 준수를 중시하는 기관의 표준 관행입니다. 이는 유사한 규제 산업에도 적용되는 동일한 프레임워크입니다. 법률 문서 추출 가이드는 법률 사무소 맥락에서의 유사한 제3자 데이터 처리 계약을 다루며, 여기서는 고객 기밀이 유사한 통제 요구 사항을 만듭니다.


데이터 보존, 삭제 및 모델 훈련 문제

모든 입학처의 자동 추출 논의에서 세 가지 운영상의 질문이 제기됩니다: 제공업체가 우리 서류를 얼마나 오래 보관하는가? 작업이 끝나면 삭제할 수 있는가? 그리고 규정을 준수하는 도구와 그렇지 않은 도구를 구분하는 질문 — 학생 서류가 제공업체의 AI 훈련에 사용되는가?

보존: 몇 달이 아닌 몇 분

FERPA는 학교 공무원이 보유한 데이터의 최대 보존 기간을 명시하지 않습니다. 그러나 PTAC의 모델 이용약관 지침은 계약 종료 시 제공업체가 교육 기록을 반환하거나 삭제할 것을 권장하며, 모범 사례로 계약된 서비스 수행에 필요한 기간 동안만 데이터를 보유하도록 권고합니다. 문서 추출의 경우, 계약된 서비스는 일반적으로 파일이 업로드되고 처리된 후 몇 분 내에 완료됩니다. 추출 후에도 업로드된 문서를 며칠, 몇 주 또는 무기한 보관하는 제공업체는 더 이상 승인된 목적을 위해 데이터를 보유하는 것이 아니며, 처리 완료와 삭제 사이의 이 간극에 규정 준수 위험이 축적됩니다.

여기서 아키텍처가 중요합니다. 일시적 처리를 위해 설계된 도구(문서 업로드, AI 데이터 추출, 결과 반환, 원본을 정의된 기간 내에 삭제)는 시스템 수준에서 보존 원칙을 충족합니다. 문서를 무기한 캐싱하거나, 향후 실행을 위해 추론 파이프라인에 보관하거나, 분석 또는 제품 개선을 위해 저장하는 도구는 해당 보존을 문서화하고 정당화해야 하는 의무를 만듭니다. 보존 기간이 짧고 명확할수록 규제 노출 영역이 줄어듭니다.

삭제: 문서로 받아두세요

FERPA 규정에 따르면, 기관은 단순히 제공업체가 데이터를 보유하고 있다는 이유만으로 규정 준수 상태를 상실하지 않습니다. 그러나 학부모나 적격 학생이 삭제를 요청할 권리를 행사하거나 계약이 종료되면, 제공업체는 이를 이행할 수 있어야 합니다. 업로드한 파일을 포함한 구체적인 확인서 — 일반적인 진술이 아닌 — 형태로 삭제 확인을 서면으로 요청하세요. 해당 확인을 규정 준수 문서에 기록하십시오. 제공업체가 요청 시 이를 제시할 수 없다면, § 99.31(a)(1)(i)(B)(2)에 따른 직접 통제 요건이 문제가 됩니다.

모델 학습: 명확한 기준

모호함이 용납되지 않는 질문입니다. 추출 제공업체가 업로드된 학생 문서를 AI 모델 학습에 사용한다면, 이는 승인된 처리 목적을 넘어선 사용에 해당합니다. PTAC 지침은 제공업체가 명시적 승인 없이 "제품 개선"이나 "데이터 마이닝"을 위해 학생 데이터를 사용하는 것을 특히 경고합니다. 학생의 등록 양식을 AI 모델 개선에 사용하는 것은 데이터가 공개된 기관의 기능이 아니며, 별도의 승인이 필요한 2차 사용입니다.

제공업체에 직접 물어보십시오: 우리 기관이 업로드한 문서를 AI 모델 학습, 미세 조정 또는 개선에 사용합니까? 답변이 '예'이거나 모호하다면, 학교 공무원 예외는 해당 사용을 포함하지 않습니다. 서면 약속을 받아두십시오. FERPA 규정 준수 관점에서 방어 가능한 답변은 명확한 '아니오'입니다.

일부 제공업체는 이 문제를 피하기 위해 전용 인프라 또는 무보존 처리를 제공합니다. 규정 준수상의 이점은 구조적입니다: 도구가 일시적으로만 처리하고 추출 기간 이후에는 문서를 절대 보관하지 않는다면, 귀하의 데이터에 대한 모델 학습은 계약상 금지뿐만 아니라 아키텍처 자체가 불가능합니다. 이는 계약상 약속만 있는 것보다 훨씬 강력한 입장이며, 감사관과 규정 준수 책임자도 그 차이를 인식합니다. 규제가 엄격한 환경에서 추출 도구가 문서를 처리하는 방식에 대한 더 폭넓은 논의는 교육용 OCR 가이드에서 다양한 기관 워크플로우 전반의 데이터 처리 아키텍처를 다루고 있습니다.


SIS에 이미 있는 입학 서류에 미치는 영향

많은 입학처에서는 세 가지 유형의 서류를 처리합니다: 접수된 지원서, 검증된 등록 패킷, 그리고 학생 정보 시스템에 이미 저장된 기록입니다. FERPA 분석은 이 범주들 간에 미묘하게 다르며, 그 차이는 추출 제공업체와 협상하는 계약에 영향을 미칩니다.

접수된 지원서. 외부에서 도착하는 서류(Common App 제출물, 우편으로 온 성적 증명서, 이메일로 온 추천서)는 기관이 이를 "유지"하는 순간 교육 기록이 됩니다. 입학처에서 우편으로 온 성적 증명서를 처리 전에 스캔하여 저장하면, 그 스캔 행위가 교육 기록을 생성합니다. 내부 사본을 먼저 만들지 않고 추출 도구에 직접 업로드하면, 추출 제공업체로의 전송이 최초의 유지 행위이자 동시에 학교 공무원 예외가 필요한 공개 행위가 됩니다.

검증된 등록 파일. 이미 검증되어 SIS(PowerSchool, Infinite Campus, Skyward, Banner)에 입력된 서류는 명백히 교육 기록입니다. 이 서류에서 추가 필드를 추출하여 SIS 기록을 새 데이터로 보완하는 것은 동일한 학교 공무원 예외가 필요한 처리 작업입니다. 도구는 기관이 자체 직원을 사용하여 수행할 기능을 대신 수행하는 것입니다.

SIS에 이미 있는 기록. SIS에서 학생 데이터를 내보내고 이를 추출 도구에 공급하여 보강, 중복 제거 또는 상호 참조를 수행하는 것은 SIS에서 추출 제공업체로의 공개입니다. SIS 내보내기가 출처이고, 추출 도구가 수신자입니다. 관리 체인이 중요합니다. 어떤 기록이 어떤 제공업체에 어떤 목적으로 어떤 계약 권한 하에 내보내졌는지 문서화하십시오.

이 데이터 흐름(종이 → 추출 도구 → SIS)은 교육 분야에만 국한되지 않습니다. 부동산 관리 회사는 임대 계약을 디지털화할 때 동일한 관리 체인 문제에 직면하며, 이는 대규모 임대 계약 추출 가이드에서 다룹니다. 규제 체계는 다르지만(부동산법 대 FERPA), 운영 패턴(종이 입력, 계약 통제, 구조화된 데이터 출력)은 입학처 워크플로우와 동일합니다.


자동 문서 처리를 위한 실용적인 FERPA 규정 준수 체크리스트

아래 각 단계는 특정 규정 참조와 연결되어 있으므로, 파일을 업로드하기 전에 규정 준수를 문서화할 수 있습니다.

1

워크플로우의 문서 분류하기

입학처에서 처리하는 각 문서 유형을 § 99.3 교육 기록 정의와 매핑하세요. 입학 신청서? 예. 성적 증명서? 예. 추천서? 예. 시험 성적표? 예. 미등록 지원자의 서류? 예 — 보관하는 경우. 사무실을 통과하는 학생 이름이 포함된 모든 문서는 기본적으로 교육 기록으로 간주해야 합니다.

2

제공자가 학교 공무원 자격을 충족하는지 확인

§ 99.31(a)(1)(i)(B)의 세 가지 조건이 충족되는지 확인하세요: (1) 제공자가 문서 추출을 수행함 — 직원이 수동으로 해야 할 업무; (2) 서면 계약이 데이터 사용 및 유지 관리에 대한 직접 통제권을 설정함; (3) 계약이 제공자를 § 99.33(a) 재공개 제한에 구속함. 외부 문서 처리가 학교 공무원 기능으로 아직 포함되지 않은 경우, 연례 FERPA 통지(§ 99.7)를 업데이트하세요.

3

5가지 계약 조항을 포함한 서면 계약 체결

계약에 다음 사항이 명시되어 있는지 확인하세요: 데이터 소유권(귀 기관), 허용된 사용(추출 전용 — 모델 학습 금지), 하위 처리자 제한 및 투명성, 계약 종료 시 데이터 반환 또는 파기 및 서면 확인, 보안 조치(TLS 1.2, 저장 데이터 암호화, 접근 통제, 감사 인증), 침해 통지 기한.

4

학생 데이터로 모델 학습 금지 확인

업로드된 학생 문서가 제공자의 AI 모델 학습, 미세 조정 또는 개선에 사용되지 않는다는 서면 확인을 요청하세요. 제공자의 기본 약관에 모델 학습 권리가 포함된 경우, 귀 기관 데이터에 대한 예외 조항을 협상하세요. 구조적 대안 — 문서를 보관하지 않는 일시적 처리 — 은 아키텍처 수준에서 문제를 제거합니다.

5

데이터 보존 및 삭제 일정 수립

제공자가 업로드된 문서를 보관하는 기간(일 또는 월이 아닌 분 또는 시간 단위)과 추출된 데이터를 보관하는 기간을 정의하세요. 둘 다 기관의 기록 보존 정책에 맞추세요. 제공자로부터 정기적인 삭제 확인을 받고 규정 준수 파일에 기록하세요.

6

각 배치별 공개 기록 문서화

§ 99.32(a)에 따라 기관은 각 공개에 대한 기록(정보를 받은 당사자와 공개를 정당화한 적법한 이익 식별)을 유지해야 합니다. 문서 추출의 경우 각 배치를 기록합니다: 어떤 문서가, 어떤 제공자에 의해, 언제, 어떤 계약 권한 하에 처리되었는지. 학부모 또는 적격 학생이 공개 내역을 요청하는 경우, 이 기록은 § 99.32(a)(2)를 충족합니다.

7

규정 준수 파일 유지 및 매년 검토

다음을 포함하는 단일 규정 준수 폴더를 유지합니다: 추출 제공자와의 서명된 계약서 또는 DPA, 제공자의 최신 SOC 2 Type II 또는 동등한 인증, 학생 데이터가 모델 학습에 사용되지 않는다는 서면 확인, 가장 최근의 삭제 확인, 배치별 공개 로그, 외부 문서 처리를 공식 학교 직원 기능으로 명시한 업데이트된 연간 FERPA 통지서 사본. 전체 파일을 매년 검토합니다 — 인증은 만료되고, 하위 처리자 목록은 변경되며, 계약은 갱신이 필요합니다.


자주 묻는 질문

디렉터리 정보 필드만 추출하면 FERPA 적용을 완전히 피할 수 있나요?

이론적으로는 가능합니다. 문서에 오직 디렉터리 정보 필드만 포함된 경우입니다. 그러나 실제로 대부분의 입학 문서(등록 양식, 성적 증명서, 추천서)에는 최소 하나 이상의 비디렉터리 필드(이름 및 주소와 함께 생년월일, 재정 지원 양식의 주민등록번호, 성적 증명서의 시험 점수)가 포함됩니다. 업로드 시 개별 필드가 아닌 문서 전체가 공개됩니다. 문서 내 필드 중 하나라도 디렉터리 정보 정의에 해당하지 않으면, 공개 시 FERPA 보호가 적용됩니다. 실질적으로는 모든 입학 문서에 대해 학교 공무원 예외가 필요하다고 가정해야 합니다. 디렉터리 정보 예외는 추출 워크플로우에 거의 충분하지 않습니다.

추출 제공업체가 서명된 계약서 대신 클릭-through 이용약관을 제공한다면 어떻게 해야 하나요?

클릭-through 약관은 두 가지 이유로 § 99.31(a)(1)(i)(B)(2)의 직접 통제 요건을 충족하지 않습니다. 첫째, 일반적으로 협상이 불가능하여 기관이 FERPA가 요구하는 특정 제한을 부과할 수 없습니다. 둘째, PTAC 지침은 협상된 계약과 제공업체의 표준 약관을 명확히 구분하며 전자를 권장합니다. 제공업체가 FERPA 특정 데이터 처리 조항이 포함된 서명된 기관 계약을 제공할 수 없다면, 규정 준수 격차는 계약상의 문제가 아니라 구조적인 문제입니다.

입학 사정관의 지원서 메모는 교육 기록에 해당하나요?

§ 99.3(b)(1)에 따른 단독 소지 기록에 해당한다면 그렇지 않습니다. 즉, 작성자의 단독 소지로 보관되고 개인 기억 보조 수단으로만 사용되며 임시 대체자를 제외한 다른 사람에게 접근 가능하거나 공개되지 않은 기록입니다. 그러나 해당 메모가 입학 위원회와 공유되거나, 공유 시스템에 입력되거나, 외부 도구에 공개되는 순간 단독 소지 지위를 상실하고 교육 기록이 됩니다. 입학 사정관 메모를 디지털화하기 위해 추출 도구를 사용하는 입학처는 디지털화된 버전을 교육 기록으로 취급하고 학교 공무원 예외를 적용해야 합니다.

추출 제공자를 변경하면 학생 데이터는 어떻게 되나요?

기존 제공자는 계약 해지 조항에 따라 모든 교육 기록을 반환하거나 파기해야 합니다. 필요한 추출 데이터의 문서화된 내보내기를 요청한 후, 삭제 확인서를 서면으로 받아 보관하세요. 기존 제공자가 AI 추론을 위해 하위 처리자를 사용한 경우, 해당 하위 처리자의 복사본도 삭제되었는지 확인하십시오. 이는 FERPA 준수 문제가 아닌 계약 이행 절차입니다. 그러나 기록을 공개한 기관은 관계 종료 후에도 적절한 처리가 이루어지도록 할 책임이 있습니다.

비준수 추출 도구를 사용하면 어떤 제재가 있나요?

FERPA는 기관에 직접적인 벌금을 부과하지 않습니다. 집행 메커니즘은 미국 교육부의 연방 자금 지원 중단입니다. — Title IV 자금을 받는 기관에게 이는 존립에 직결된 결과입니다. 교육부 학생정보보호실(SPPO)은 민원을 조사하고 시정 조치를 요구할 수 있습니다. 규제 메커니즘 외에도, 학생 교육 기록의 무단 공개는 평판 위험, 주법상 책임 가능성(많은 주에 별도의 제재가 있는 자체 학생 데이터 프라이버시 법이 있음), 그리고 의무적 침해 통지에 따른 운영 부담을 수반합니다. 비준수 추출 도구의 경우, 가장 가능성 높은 집행 경로는 학부모나 적격 학생의 민원으로 SPPO 조사가 시작되는 것입니다. 조사관이 가장 먼저 묻는 질문은 '학교 공무원 예외'가 적절히 적용되었는지 여부입니다.

주(州) 학생 데이터 프라이버시 법이 FERPA 이상의 요구사항을 추가하나요?

네, 그리고 그 차이는 상당합니다. 캘리포니아의 AB 1584는 학교와 기술 공급업체 간의 모든 계약에 데이터 소유권, 광고 제한, 삭제 요구사항을 포함한 9가지 특정 계약 조항을 요구합니다. 20개 이상의 주에서 교육 기술 제공업체가 학생 데이터를 사용하는 방식을 제한하는 SOPIPA 스타일의 법률을 통과시켰습니다. 뉴욕의 교육법 § 2-d는 FERPA 기준을 넘어 침해 통지 기한 및 데이터 보안 요구사항을 부과합니다. 귀 기관이 캘리포니아, 뉴욕, 일리노이, 콜로라도, 코네티컷 또는 포괄적인 학생 데이터 프라이버시 법이 있는 주에 소재한 경우, 제공업체 계약은 FERPA와 주법을 모두 충족해야 합니다. FERPA 준수는 최소 기준이지 최대 기준이 아닙니다.

학부모가 추출 도구로 생성된 자녀의 데이터에 접근할 수 있나요?

네. 20 U.S.C. § 1232g(a)(1)(A) 및 34 CFR § 99.10에 따라 학부모와 적격 학생은 교육 기록을 열람하고 검토할 권리가 있습니다. 입학 신청서나 성적 증명서에서 추출된 데이터는 학생의 교육 기록의 일부이므로, 학부모는 원본 종이 서류와 동일한 수준으로 구조화된 스프레드시트 데이터에 접근할 권리가 있습니다. 추출 워크플로는 요청 시 완전한 기록을 제공할 수 있는 능력을 유지해야 합니다. 추출된 데이터가 SIS에 병합되는 경우, 학부모 접근 요청에 대한 권위 있는 출처는 SIS로 유지됩니다.

FERPA 규정을 준수하는 자동 문서 추출은 기술 자체의 준수 가능성보다는, 귀하의 제공업체가 단 하나의 학생 문서를 처리하기 전에 적절한 계약, 아키텍처 및 운영 프레임워크를 구축했는지에 달려 있습니다. 섹션 99.3은 교육 기록의 정의를 규정합니다. 섹션 99.31(a)(1)은 학교 관계자 예외 조항을 제공하며, 이는 학생별 동의 없이 자동 추출을 가능하게 하는 법적 경로입니다. 섹션 99.33(a)는 제공업체가 데이터를 수령한 후 데이터로 수행할 수 있는 작업을 제한합니다. PTAC 지침은 운영 세부 사항을 보충합니다: 클릭 동의가 아닌 서면 계약, 무기한 보관이 아닌 정의된 보존 일정, 모호한 개인정보 보호정책이 아닌 모델 학습에 대한 명확한 금지. 이 모든 사항은 첫 번째 파일을 업로드하기 전에 확인 가능하며, 규정 준수 여부에 대한 답변은 추정이 아닌 문서화되어야 합니다.

이 글은 일반적인 규제 지침을 제공하며 법적 조언을 구성하지 않습니다. 귀하의 워크플로 및 관할권에 특화된 결정을 위해 기관의 규정 준수 책임자, 법률 고문 또는 자격을 갖춘 교육법 변호사와 상담하십시오.

규정 준수 설정 평가하기

가입 없이 무료로 체험해보세요. 문서는 일시적으로 처리되며 보관되지 않습니다. 기관 계약에 대해 문의하세요.

📮 contact email: [email protected]