개인 식별 정보(PII)란 이름, 정부 발급 신분증 번호, 생년월일, 직업, 주소 등 특정 개인을 식별할 수 있는 모든 데이터를 말합니다.
이 글을 읽은 후에 다음을 할 수 있습니다:
글 링크 복사
개인 식별 정보(PII)는 개인을 식별하는 데 사용할 수 있는 모든 데이터입니다. 개인과 직간접적으로 연결되는 모든 정보는 PII로 간주됩니다. 이름, 이메일 주소, 전화번호, 은행 계좌 번호, 정부 발급 신분증 번호는 모두 PII의 예입니다.
오늘날 많은 조직에서 PII를 수집, 저장, 처리합니다. 이처럼 수집한 데이터가 침해되거나 유출되면 사람들은 신원 도용이나 기타 공격의 피해자가 될 수 있습니다. 또한 PII 수집으로 인하여 때때로 사람들이 자신의 개인 정보에 어떤 일이 일어나는지에 대한 통제력과 가시성을 잃게 되어 개인 정보 보호가 훼손되기도 합니다. 이러한 이유로 PII를 보호하고 가능한 경우 수집을 제한하는 것이 중요합니다.
많은 공식 출처에서 참조하고 있지만, PII에 대한 단일 정의는 없습니다. 미국 국립보안기술연구소(NIST)에서는 가장 널리 참조되는 정의 중 하나에서 PII에 대한 정의를 내리고 있습니다.
"(1) 이름, 사회보장번호, 생년월일 및 출생 장소, 어머니의 결혼 전 이름, 생체 인식 기록 등 개인의 신원을 구별하거나 추적하는 데 사용할 수 있는 정보, (2) 의료, 교육, 금융, 고용 정보 등 개인과 연결되거나 연결될 수 있는 기타 정보를 포함하여 기관에서 유지하는 개인에 대한 모든 정보."
PII의 주요 유형 두 가지는 직접적으로 누군가를 식별하는 정보와 간접적으로 누군가를 식별하는 정보입니다.
다음은 NIST에서 이러한 유형의 정보를 구분하는 PII의 정의입니다.
약간 다른 용어를 사용하는 이 개념은 다른 PII 정의에도 나타납니다. 예를 들어, 미국 노동부에서는 PII에 대해 다음과 같은 정의 를 제시합니다.
"직접 또는 간접적인 방법으로 해당 정보가 적용되는 개인의 신원을 합리적으로 추론할 수 있도록 하는 모든 정보 표현. 또한 PII는 (i) 개인을 직접 식별하는 정보(예: 이름, 주소, 주민등록번호, 기타 식별 번호 또는 코드, 전화번호, 이메일 주소 등) 또는 (ii) 어느 기관에서 다른 데이터 요소와 결합하여 특정 개인을 식별하려는 정보(예: 간접 식별[강조 추가])로 정의됩니다."
여기서 중요한 점은 개인을 직간접적으로 식별하는 데 사용될 수 있는 모든 정보는 보호되어야 한다는 것입니다.
(가명 처리된 데이터를 다른 데이터와 결합하여 개인을 직접 식별할 수 있는 가명 처리도 비슷한 개념에 해당합니다. 자세한 내용은 가명 처리란?을 참조하세요.)
이 모든 용어의 일반적인 개념은 비슷합니다. 특정 개인과 관련된 모든 정보는 "개인" 정보로 간주될 수 있습니다.
그러나 각기 다른 데이터 개인정보 보호 규정에서는 개인을 식별하는 데 사용될 수 있는 데이터에 대해 서로 다른 용어를 사용합니다. "PII" 라는 용어는 미국에서 주로 사용되며, EU 개인정보 보호 프레임워크인 일반 데이터 보호 규정(GDPR)에서는 "개인 데이터", 캘리포니아주 소비자 개인정보 보호법(CCPA)에서는 "개인 정보"라고 부릅니다.
또한 각 개인정보 보호법에는 개인 정보, 개인 데이터, PII에 대한 고유한 정의가 있으므로 조직에서는 해당 법률에 명시된 설명을 주의 깊게 검토해야 합니다.
개인정보 보호는 일반적으로 개인이 자신의 개인 정보(예: PII)를 다른 사람과 언제, 어떻게, 어느 정도까지 공유할지 스스로 결정할 수 있는 능력을 말합니다. 개인 정보를 보호하려면 사람들은 누가 자신의 PII를 수집하고 이를 어떻게 사용하는지 알아야 합니다.
PII 및 사용자 개인 정보를 보호하려면 조직에서는 보유하고 있는 PII가 무엇이며 해당 PII가 어떻게 안전하게 유지되는지 알아야 합니다.많은 출처에서도 PII 수집 및 사용을 제한할 것을 권장합니다.이는 공정 정보 규정(자세히 알아보기)으로 간주됩니다.