PII(개인 식별 정보)란?

개인 식별 정보(PII)란 이름, 정부 발급 신분증 번호, 생년월일, 직업, 주소 등 특정 개인을 식별할 수 있는 모든 데이터를 말합니다.

학습 목표

이 글을 읽은 후에 다음을 할 수 있습니다:

  • 'PII'의 의미 설명
  • 두 가지 주요 유형의 PII 식별하기
  • PII와 개인 데이터의 다른 법적 정의와의 대조

관련 콘텐츠


계속 알아보시겠어요?

인터넷에서 가장 인기 있는 인사이트를 한 달에 한 번 정리하는 Cloudflare의 월간 요약본 theNET를 구독하세요!

Cloudflare가 개인 데이터를 수집하고 처리하는 방법은 Cloudflare의 개인정보 취급방침을 참조하세요.

글 링크 복사

PII(개인 식별 정보)란?

개인 식별 정보(PII)는 개인을 식별하는 데 사용할 수 있는 모든 데이터입니다. 개인과 직간접적으로 연결되는 모든 정보는 PII로 간주됩니다. 이름, 이메일 주소, 전화번호, 은행 계좌 번호, 정부 발급 신분증 번호는 모두 PII의 예입니다.

오늘날 많은 조직에서 PII를 수집, 저장, 처리합니다. 이처럼 수집한 데이터가 침해되거나 유출되면 사람들은 신원 도용이나 기타 공격의 피해자가 될 수 있습니다. 또한 PII 수집으로 인하여 때때로 사람들이 자신의 개인 정보에 어떤 일이 일어나는지에 대한 통제력과 가시성을 잃게 되어 개인 정보 보호가 훼손되기도 합니다. 이러한 이유로 PII를 보호하고 가능한 경우 수집을 제한하는 것이 중요합니다.

미국 국립보안기술연구소에서는 PII를 어떻게 정의할까요?

많은 공식 출처에서 참조하고 있지만, PII에 대한 단일 정의는 없습니다. 미국 국립보안기술연구소(NIST)에서는 가장 널리 참조되는 정의 중 하나에서 PII에 대한 정의를 내리고 있습니다.

"(1) 이름, 사회보장번호, 생년월일 및 출생 장소, 어머니의 결혼 전 이름, 생체 인식 기록 등 개인의 신원을 구별하거나 추적하는 데 사용할 수 있는 정보, (2) 의료, 교육, 금융, 고용 정보 등 개인과 연결되거나 연결될 수 있는 기타 정보를 포함하여 기관에서 유지하는 개인에 대한 모든 정보."

PII의 주요 유형 두 가지는?

PII의 주요 유형 두 가지는 직접적으로 누군가를 식별하는 정보와 간접적으로 누군가를 식별하는 정보입니다.

다음은 NIST에서 이러한 유형의 정보를 구분하는 PII의 정의입니다.

  • 일부 정보에서는 개인이 직접 식별될 수 있습니다. 이름, 주민등록번호, 물리적 주소가 이러한 유형의 정보에 해당하는 예입니다.
  • 링크된 정보나 링크 가능한 정보에서는 직접적으로 개인이 식별되지는 않지만, 다른 정보와 결합되면 간접적으로 개인이 식별될 수 있습니다.
    • Jake가 1060 웨스트 애디슨 스트리트에 살고 있다고 가정해 보겠습니다. Jake는 미국에서 많은 사람들이 공유하는 흔한 이름이므로 "Jake" 만으로는 그를 식별하기에 충분하지 않을 수 있습니다. 하지만 1060 West Addison Street라는 주소와 결합하면 문제의 특정 인물을 식별할 수 있습니다.

약간 다른 용어를 사용하는 이 개념은 다른 PII 정의에도 나타납니다. 예를 들어, 미국 노동부에서는 PII에 대해 다음과 같은 정의 를 제시합니다.

"직접 또는 간접적인 방법으로 해당 정보가 적용되는 개인의 신원을 합리적으로 추론할 수 있도록 하는 모든 정보 표현. 또한 PII는 (i) 개인을 직접 식별하는 정보(예: 이름, 주소, 주민등록번호, 기타 식별 번호 또는 코드, 전화번호, 이메일 주소 등) 또는 (ii) 어느 기관에서 다른 데이터 요소와 결합하여 특정 개인을 식별하려는 정보(예: 간접 식별[강조 추가])로 정의됩니다."

여기서 중요한 점은 개인을 직간접적으로 식별하는 데 사용될 수 있는 모든 정보는 보호되어야 한다는 것입니다.

(가명 처리된 데이터를 다른 데이터와 결합하여 개인을 직접 식별할 수 있는 가명 처리도 비슷한 개념에 해당합니다. 자세한 내용은 가명 처리란?을 참조하세요.)

PII는 '개인 정보'나 '개인 데이터'와 같은 의미일까요?

이 모든 용어의 일반적인 개념은 비슷합니다. 특정 개인과 관련된 모든 정보는 "개인" 정보로 간주될 수 있습니다.

그러나 각기 다른 데이터 개인정보 보호 규정에서는 개인을 식별하는 데 사용될 수 있는 데이터에 대해 서로 다른 용어를 사용합니다. "PII" 라는 용어는 미국에서 주로 사용되며, EU 개인정보 보호 프레임워크인 일반 데이터 보호 규정(GDPR)에서는 "개인 데이터", 캘리포니아주 소비자 개인정보 보호법(CCPA)에서는 "개인 정보"라고 부릅니다.

또한 각 개인정보 보호법에는 개인 정보, 개인 데이터, PII에 대한 고유한 정의가 있으므로 조직에서는 해당 법률에 명시된 설명을 주의 깊게 검토해야 합니다.

PII가 개인정보 보호에 중요한 개념인 이유는?

개인정보 보호는 일반적으로 개인이 자신의 개인 정보(예: PII)를 다른 사람과 언제, 어떻게, 어느 정도까지 공유할지 스스로 결정할 수 있는 능력을 말합니다. 개인 정보를 보호하려면 사람들은 누가 자신의 PII를 수집하고 이를 어떻게 사용하는지 알아야 합니다.

PII 및 사용자 개인 정보를 보호하려면 조직에서는 보유하고 있는 PII가 무엇이며 해당 PII가 어떻게 안전하게 유지되는지 알아야 합니다.많은 출처에서도 PII 수집 및 사용을 제한할 것을 권장합니다.이는 공정 정보 규정(자세히 알아보기)으로 간주됩니다.