개인 식별 정보란?
개인 식별 정보(PII)는 특정 개인을 직간접적으로 식별하는 데이터를 설명하는 데 사용되는 레이블이다.
개인 식별 정보의 예로는 이름, 주소, 생체 인식, 영숫자 계좌 번호 등이 있다.
- 이름 – 성명, 결혼 전 이름, 어머니의 결혼 전 이름, 별명 및 별칭이 포함된다.
- 주소 – 주소, 이메일 주소, IP 주소, MAC 주소가 포함된다.
생체 인식 – 사진, 엑스레이 및 지문과 같은 기타 유형의 생체 기반 데이터를 포함한다. - 영숫자 계정 번호 – 전화번호, 운전면허증 번호, 납세자 번호, 환자 번호, 차량 등록 번호, 신용카드 번호 등이 포함된다.
전 세계 많은 지역에서 개인 식별 데이터는 규정 준수 규칙 및 규정에 따라 수집, 저장, 파기해야 한다. 추가 정보가 공개되면 비식별 정보가 쉽게 개인 식별 정보가 될 수 있으므로 이러한 유형의 데이터는 주기적으로 검토하여 IT 위험 관리 수준이 변경되었는지 확인해야 한다.
개인 식별 정보의 위험 영향 수준(낮음, 중간, 높음)은 주관적이며 개인 식별 정보의 부적절한 액세스, 사용 또는 공개로 인해 발생할 수 있는 잠재적 피해를 기준으로 한다. 조직이 수집, 저장 및 공유하는 개인 식별 정보의 양을 최소화하면 위험 가능성이 크게 줄어든다.
테코피디아가 설명하는 개인식별 정보
개인 식별 정보 유출은 개인과 기업 모두에게 위험할 수 있다. 개인 식별 정보가 유출된 개인은 신원 도용의 위험이 높아진다. 고객의 개인 식별 정보가 유출되는 것을 허용하는 기업은 대중의 신뢰를 잃고 법적 처벌을 받을 위험이 높아진다. PII는 개인정보 보호 규정의 보호를 받기 때문에 어떤 개인 식별 정보를 수집하거나 공유할지 결정할 때는 조직의 최고 개인정보 보호책임자(CPO), 데이터 보호 책임자(DPO) 및 법무팀과 상의하여 결정해야 한다.
전 세계 많은 지역에서 기업은 고객의 개인 식별 정보가 합리적인 안전장치로 보호되도록 할 책임이 있다. 개인 식별 정보 침해에 대한 사고 대응 계획을 사전에 수립하여 노출 위험을 억제하고 최소화할 수 있다. 이 계획에는 침해 사실을 보고하는 방법과 대상, 그리고 개인 식별 정보가 유출된 개인에게 언제, 어떻게 통지할 것인지가 포함되어야 한다.
개인 식별 정보에 관한 법적 의무는 복잡할 수 있으며 시간이 지남에 따라 점진적으로 변경되는 경우가 많다. 그렇기 때문에 조직이 정기적으로 사고 대응 계획을 검토하고 업데이트하는 것이 중요하다. 최소한 PII를 보호하기 위한 계획에는 다음 사항이 포함되어야 한다:
- 개인 식별 정보는 승인된 기관에서만 사용하거나 해당 기관에 공개한다.
- 개인 식별 정보는 지역별 기록 보존 요건에 따라 적절한 시점에 파기된다.
- 개인 식별 정보 보호를 위한 정보 보안 통제는 정기적으로 검토된다.
- 디지털 형식의 개인 식별 정보는 사이버 보안 위협으로부터 보호하기 위해 다른 방식으로 암호화 또는 난독화된다.