주요 개인정보 보호 규정에 정의된 개인 식별 정보(PII)는 개인을 직간접적으로 식별할 수 있는 모든 데이터를 포함합니다. 법적 프레임워크를 분석하면 미묘한 정의와 분류가 드러납니다.
- 직접 식별자: 여기에는 이름, 사회 보장 번호, 그리고 생체 기록이 포함됩니다—단독으로 개인을 특정할 수 있는 요소들입니다(U.S. Department of Labor, n.d.).
- 간접 식별자: 인종, 고용 정보, 또는 온라인 식별자와 같은 데이터는 다른 데이터와 결합하여 잠재적으로 신원을 드러낼 수 있을 때 이 범주에 속합니다.
규제 관점은 대조적이지만 중복되는 범위를 제공합니다.
- California Consumer Privacy Act(CCPA)에 따라 PII는 "특정 소비자 또는 가구와 직간접적으로 식별, 관련, 설명, 연관될 수 있거나 합리적으로 연결될 수 있는 정보"로 정의됩니다.
- EU의 General Data Protection Regulation(GDPR)은 더 넓은 용어인 "개인 데이터"를 채택하며, 여기에는 식별되었거나 식별 가능한 자연인과 관련된 모든 정보, 예를 들어 이름, 식별 번호, 위치 데이터, 신체적 또는 사회적 정체성의 특징이 포함됩니다.
최신 문헌의 주요 연구 결과는 다음을 강조합니다.
- PII와 익명화된 데이터 간의 구별은 매우 중요합니다. 효과적인 익명화 기술은 간접 식별자가 결합될 때에도 재식별이 불가능하도록 보장해야 합니다.
- 관할권 간의 차이는 PII/개인 데이터를 구성하는 요소에 대한 해석이 다양하기 때문에 다국적 기업에 규정 준수 문제를 제기합니다.
- 데이터 분석의 발전은 재식별의 위험을 증폭시켜, 무엇을 PII로 분류해야 하는지에 대한 지속적인 재평가의 필요성을 강조합니다.
요약하자면, PII는 기술적 능력과 입법적 맥락에 의해 형성되는 법적으로나 운영적으로 유동적인 개념입니다. 조직은 PII의 올바른 처리와 규제 위반 방지를 위해 데이터세트와 관련 법규를 지속적으로 모니터링해야 합니다.
