싱가포르의 개인정보 보호 위원회(PDPC)는 NRIC 번호를 비밀번호로 사용하거나 인증 수단으로 사용하는 것은 부적절하다는 점을 재차 강조했습니다.

PDPC는 조직들이 NRIC 데이터를 사용할 때 반드시 법률을 준수하고, 합리적으로 사용하며, 이를 보호해야 한다고 밝혔습니다.

PDPC는 “다른 개인 식별자와 마찬가지로 NRIC 번호는 개인정보보호법(PDPA)의 데이터 보호 의무를 따릅니다”라며, NRIC 데이터를 수집할 경우 유효한 동의를 얻고 이를 보호해야 한다고 덧붙였습니다.

PDPC는 NRIC 번호가 공개적인 정보이기 때문에 이를 인증 수단으로 사용해서는 안 된다고 설명했습니다. NRIC 번호는 비밀 정보가 아니며, 이름과 마찬가지로 쉽게 알려질 수 있는 정보이며, 비밀번호, 보안 토큰, 생체 정보와 같은 비밀성 있는 인증 수단이 필요합니다.

또한, 일부 조직이 NRIC 번호를 서비스의 기본 비밀번호로 사용하는 경우가 있는데, 이러한 관행은 가능한 한 빨리 중단되어야 한다고 강조했습니다.

PDPC는 비밀번호를 NRIC 번호로 설정한 사용자는 즉시 비밀번호를 변경하고, 서비스 포털에서 변경 옵션을 찾을 수 없는 경우 서비스 제공자에 문의할 것을 권장했습니다.