개인 식별 정보(PII)와 개인 건강 정보(PHI)는 엄격한 보호가 필요한 중요한 데이터 유형입니다. 이 가이드에서는 PII 및 PHI의 정의, 예시 및 법적 의미를 살펴봅니다.
데이터 침해와 관련된 위험 및 강력한 데이터 보호 조치 구현의 중요성에 대해 알아보세요. 조직이 규정을 준수하고 민감한 정보를 무단 액세스로부터 보호하기 위해서는 PII 및 PHI를 이해하는 것이 필수적입니다.
개인 식별 정보(PII) 및 개인 건강 정보(PHI)에 대한 간략한 개요
PII는 개인을 식별하는 데 사용될 수 있는 모든 정보를 의미하며, 이름, 주소, 사회 보장 번호, 전화 번호, 이메일 주소, 금융 데이터 등을 포함하되 이에 국한되지 않습니다. PII의 발전은 인터넷, 전자상거래, 온라인 커뮤니케이션 플랫폼의 부상으로 촉진된 개인정보의 점진적 디지털화로 거슬러 올라갑니다. 오늘날 PII는 온라인 계정 생성부터 금융 거래, 소셜 미디어 프로필에 이르기까지 다양한 분야에서 활용됩니다. 무단 접근이나 유출 시 신원 도용, 사기, 사생활 침해 등 중대한 위험을 초래합니다.
반면 PHI(개인 건강 정보)는 민감한 건강 관련 데이터에만 집중합니다. 여기에는 환자 기록, 병력, 치료 세부 사항, 보험 정보 및 개인의 건강 또는 의료와 관련된 모든 데이터가 포함됩니다. PHI의 발전은 전자건강기록(EHR)의 진보와 의료 산업의 디지털화와 밀접하게 연결되어 있습니다. 현대 의료 시스템에서 PHI는 의료 서비스 제공자가 효율적이고 환자 중심의 치료를 제공할 수 있도록 하는 핵심적인 역할을 합니다. 그러나 의료 신원 도용, 무단 공개 또는 건강 관련 정보의 오용과 같은 침해의 잠재적 결과를 고려할 때, PHI의 보호는 의료 서비스 제공자에게 매우 중요합니다.
오늘날 PII와 PHI는 모두 사이버 보안 문제의 최전선에 있습니다. PHI를 위한 건강보험 이동성 및 책임법(HIPAA)과 PII를 위한 다양한 데이터 보호법과 같은 법률 및 규정이 제정되어 데이터 보안 기준을 시행하고 조직이 이러한 민감한 데이터 범주를 보호할 책임을 지도록 하고 있습니다.
개인 식별 정보(PII) 및 개인 건강 정보(PHI) 보호 방법
개인 식별 정보(PII)와 개인 건강 정보(PHI) 보호를 위한 규제 프레임워크는 민감한 데이터를 보호하기 위한 기준과 요구사항을 설정한다는 점에서 오늘날 디지털 환경에서 매우 중요합니다. 이러한 프레임워크는 PII 및 PHI의 기밀성, 무결성, 가용성을 보장하는 동시에 개인이 자신의 개인정보에 대해 더 큰 통제권을 행사할 수 있도록 설계되었습니다. 이러한 유형의 데이터를 취급하는 기업은 해당 규제의 적용을 받으며, 규정 준수를 위해 다양한 조치를 시행하고 있습니다.
PII 관련 규제 프레임워크는 다음과 같습니다:
- 일반 데이터 보호 규정(GDPR) – GDPR는 유럽 연합(EU) 거주자의 데이터를 처리하는 전 세계 조직에 적용되는 포괄적인 EU 규정입니다. 이 규정은 데이터 보호, 동의, 개인 권리에 대해 엄격한 요건을 설정합니다. 기업은 개인 식별 정보(PII) 처리에 대한 명시적 동의를 얻어야 하며, 데이터 주체에게 자신의 데이터에 대한 접근 권한을 제공하고, 이 정보를 보호하기 위한 강력한 보안 조치를 구현해야 합니다.
- 캘리포니아 소비자 개인정보 보호법(CCPA) – CCPA는 미국 주 차원의 규정으로, 캘리포니아 주민의 개인정보를 수집 및 판매하는 기업에 특별히 적용됩니다. 이 법은 소비자에게 수집된 데이터에 대한 알 권리, 데이터 삭제 요청권, 데이터 판매 거부권을 부여합니다.
PHI에 대한 규제 프레임워크는 다음과 같습니다.
- 건강보험 이동성 및 책임에 관한 법률(HIPAA) – HIPAA는 주로 PHI의 기밀성과 보안을 다룹니다. PHI 접근에 대한 엄격한 통제, 전자 PHI 암호화, 무단 접근 또는 공개로부터 보호하기 위한 안전 장치 구현을 의무화합니다.
- 경제적·임상적 건강을 위한 건강정보기술법(HITECH 법) – HITECH 법은 집행 강화 및 미준수 시 처벌 강화로 HIPAA의 적용 범위를 확대했습니다. 또한 전자건강기록(EHR) 도입을 촉진하고 의미 있는 사용을 위한 인센티브를 제공합니다.
이러한 규제 프레임워크는 조직이 PII 및 PHI를 보호하기 위해 따라야 할 지침과 요구사항을 정립합니다. 일반적으로 다음과 같은 핵심 요소를 포함합니다:
- 데이터 보호 원칙 – GDPR과 HIPAA 모두 조직이 PII 및 PHI를 책임감 있게 처리하도록 요구하는 원칙을 정의합니다. 여기에는 데이터 최소화, 목적 제한, 데이터 정확성, 저장 제한과 관련된 원칙이 포함됩니다.
- 동의 – GDPR은 개인 식별 정보(PII) 처리 전에 데이터 주체로부터 명확하고 명시적인 동의를 얻도록 의무화합니다. 이 원칙은 개인이 자신의 정보 사용 방식을 통제할 수 있도록 보장합니다. 반면 HIPAA는 동의를 요구하지 않지만, 환자에게 자신의 건강 정보(PHI)에 관한 권리에 대해 알릴 것을 요구합니다.
- 데이터 보안 – 데이터 보안은 이러한 프레임워크의 핵심 요소입니다. 조직은 PII 및 PHI를 무단 접근, 공개, 변경 또는 파괴로부터 보호하기 위해 기술적 및 조직적 조치를 구현해야 합니다. 여기에는 암호화, 접근 통제 및 정기적인 보안 평가가 포함됩니다.
- 데이터 침해 통지 – GDPR과 HIPAA 모두 데이터 침해 통지에 관한 조항을 두고 있습니다. 조직은 특정 기간 내에 관련 당국과 피해 개인에게 데이터 침해를 보고해야 합니다. 이를 통해 개인은 침해 발생 시 필요한 예방 조치를 취할 수 있습니다.
- 개인의 권리 – GDPR은 개인에게 자신의 PII에 대한 접근, 수정 및 삭제 권리를 포함한 다양한 권리를 부여합니다. HIPAA는 환자에게 자신의 PHI에 접근하고 수정을 요청할 권리를 부여합니다.
데이터 규정 준수를 위해 기업이 취하는 조치
PII 및 PHI를 처리하는 기업들은 이러한 규제 프레임워크를 준수하고 유지하기 위해 다양한 조치를 시행하고 있습니다:
- 데이터 암호화 — 기업은 저장, 전송 및 처리 과정에서 PII와 PHI를 보호하기 위해 암호화를 사용합니다. 이를 통해 무단 접근이 발생하더라도 데이터는 기밀성을 유지하고 읽을 수 없도록 보장됩니다.
- 접근 제어 – 강력한 접근 제어는 PII 및 PHI에 접근할 수 있는 대상을 제한하는 데 필수적입니다. 여기에는 역할 기반 접근 및 사용자 인증 메커니즘이 포함되어 승인된 개인만이 데이터를 조회하거나 수정할 수 있도록 보장합니다.
- 정기적인 감사 및 평가 – 조직은 취약점, 약점 또는 규정 준수 격차를 식별하기 위해 정기적인 감사 및 보안 평가를 수행합니다. 이러한 평가는 문제가 심각해지기 전에 선제적으로 해결하는 데 도움이 됩니다.
- 개인정보 영향 평가(PIA) – GDPR은 데이터 처리 활동이 데이터 주체의 개인정보에 미치는 영향을 평가하기 위해 개인정보 영향 평가(PIA)를 수행하도록 의무화합니다. 기업은 PIA를 통해 위험을 식별하고 완화합니다.
- 데이터 보존 정책 – 데이터 보존 정책을 시행하면 PII 및 PHI가 필요한 기간 이상으로 보존되지 않도록 할 수 있습니다. 이는 GDPR의 저장 제한 원칙에 부합합니다.
- 데이터 침해 대응 계획 – 기업은 보안 사고 발생 시 취해야 할 조치를 요약한 데이터 침해 대응 계획을 마련해 놓습니다. 규정 준수 요건을 충족하기 위해서는 신속한 대응과 통지가 필수적입니다.
- 직원 교육 – 직원 교육 및 인식 제고 프로그램이 매우 중요합니다. PII 및 PHI를 취급하는 직원은 데이터 보호 규정, 모범 사례 및 보안 프로토콜에 대해 잘 알고 있어야 합니다.
- 감사 추적 및 모니터링 – 강력한 감사 및 모니터링 메커니즘을 통해 PII 및 PHI의 접근 및 사용을 추적합니다. 이러한 감사 추적 기록은 조직이 무단 또는 의심스러운 활동을 식별하고 규정 준수를 유지하는 데 도움이 됩니다.
결론
사이버 위협이 지속적으로 진화하는 세상에서 개인 식별 정보(PII)와 개인 건강 정보(PHI)의 보호는 신원 보안의 핵심 요소입니다. 조직과 개인은 이러한 데이터 유형이 기밀성과 안전성을 유지하도록 암호화, 접근 통제, 정기 감사, 직원 교육 등 강력한 방어 조치를 구현해야 합니다.
"FAQs
개인 식별 정보(PII)란 특정 개인을 식별할 수 있는 모든 데이터를 의미합니다. 이는 한 사람을 다른 사람과 구별할 수 있고 단독으로 또는 다른 데이터와 결합하여 누군가의 신원을 추적하는 데 사용할 수 있는 정보를 포함합니다.
PII는 사회 보장 번호 및 이름과 같은 직접 식별자와 생년월일 및 성별과 같이 결합하면 식별이 가능한 준 식별자를 포함합니다. 조직은 법적 요구사항을 준수하고 신원 도용, 금융 사기, 데이터 유출로 인한 평판 손상을 방지하기 위해 PII를 보호해야 합니다.
PHI(보호 대상 건강 정보)는 의료 서비스 제공자가 생성, 수신 또는 유지 관리하는 개인 식별이 가능한 건강 정보를 의미합니다. 여기에는 인구 통계학적 정보, 병력, 검사 결과, 신체적 및 정신적 건강 상태, 의료 서비스에 대한 지불 정보가 포함됩니다.
PHI는 HIPAA 규정에 따라 보호되며 구두, 서면 또는 전자 형태로 존재할 수 있습니다. 또한 특정 개인과 연결될 수 있고 의료 서비스 제공 과정에서 사용되는 모든 건강 관련 데이터도 포함됩니다.
"민감한 PII의 예로는 사회보장번호, 여권번호, 운전면허번호, 신용카드 정보, 금융 계좌 세부정보, 지문과 같은 생체 인식 데이터 등이 있습니다. 비민감성 PII의 예로는 성명, 이메일 주소, 전화번호, 생년월일, 우편번호, 직장 정보 등이 있습니다.
비민감성 데이터도 결합하면 식별 정보가 될 수 있습니다. 예를 들어, 이름과 생년월일, 우편번호를 결합하면 특정 개인을 고유하게 식별할 수 있습니다. 의료 기록, 로그인 자격 증명, 집 주소도 보호가 필요한 일반적인 PII 예시입니다.
"PII는 특정 개인을 직접적으로 또는 다른 정보와 결합하여 식별할 수 있는 모든 데이터를 포함합니다. 여기에는 개인을 고유하게 식별하는 직접 식별자와 결합 시 고유한 식별을 생성하는 준식별자가 포함됩니다. 이름이나 사회보장번호 같은 전통적 요소뿐만 아니라 IP 주소, 소셜 미디어 게시물, 온라인 로그인 정보 등 디지털 신원 정보까지 포함됩니다.
익명화 해제 기법에 활용될 수 있는 데이터 역시 PII로 간주되며, 여러 요소가 결합되어 특정 개인 식별 능력이 강화될수록 민감도가 높아집니다.
"PHI의 네 가지 주요 범주는 인구통계학적 식별자(이름, 주소, 날짜), 연락처 정보(전화번호, 이메일 주소), 고유 식별자(사회보장번호, 의료기록번호, 계좌번호), 기술적 식별자(IP 주소, 기기 식별자, 생체 인식 데이터)입니다. 이 범주들은 건강 정보를 개인 식별 가능하게 만드는 HIPAA의 18가지 식별자를 모두 포함합니다.
PHI는 구두, 서면 또는 전자 형태로 존재할 수 있으며 의료 환경에서 사용될 때 반드시 보호되어야 합니다. 각 범주는 HIPAA 규정에 따라 특정 처리 및 보호 조치가 필요합니다.
"7가지 주요 PHI 식별자에는 이름, 주소(주보다 작은 지리적 구획), 개인 관련 날짜(출생, 입원, 퇴원), 전화번호, 이메일 주소, 사회보장번호, 의료 기록 번호가 포함됩니다.
추가 식별자에는 계좌 번호, 증명서/면허 번호, 차량 식별자, 기기 식별자, 생체 인식 식별자, 사진 이미지 및 기타 고유 식별 특성이 포함됩니다. HIPAA 안전항 규칙에 따라 데이터가 비식별화된 것으로 간주되려면 18가지 식별자 모두를 제거해야 합니다. 이러한 식별자는 건강 정보와 연결될 때 PHI가 되며 연방 개인정보 보호법의 보호를 받아야 합니다.
"