PII(個人を特定できる情報)の識別と保護

ブログ

個人を特定できる情報(PII)とは何か、自身の情報を保護する方法、そして企業がプライバシーを確保するために遵守すべき法的要件について学びましょう。

byアホナ・ルドラ

最終更新日:
8 読了時間:約8分
PII(個人を特定できる情報)の識別と保護
目次-

個人を特定できる情報や機密データが漏洩し、何者かに詐欺行為に利用されることを誰が望むだろうか。しかし、悲しい現実として、これは今や常識となっている。

最近、2021年から2023年にかけてのデータ漏洩の約50%が顧客の個人識別情報(PII)であり、その40%が従業員のデータであることが明らかになった。このデータは a2023年10月の調査.

PII(個人識別情報)はそれほど複雑ではありませんが、その定義と、PIIを特定し保護することがなぜ重要なのかを理解することは依然として重要です。このガイドには、PIIと自分自身を守るための答えがすべて含まれています。 

 

主なポイント

  1. PIIには、個人を特定するために使用できる機微情報と非機微情報の両方が含まれる。
  2. 機密性の高いPIIは漏洩すると重大な被害をもたらすが、機密性の低いPIIは単独ではそれほど危険ではない。
  3. 企業は、収集・保管する個人情報を保護するための強固な対策を講じなければならない。
  4. データ漏洩はフィッシングやマルウェアなど様々な方法で発生する可能性があり、警戒の必要性が強調されている。
  5. 企業が個人情報を保護し、罰則を回避するためには、GDPRやHIPAAといった法律の遵守が不可欠です。

PII(個人を特定できる情報)とは?

PII(個人を特定できる情報)とは、あなたのアイデンティティの重要な部分であり、あなたを直接指し示すことができる情報のことです。 

それ単体で、あるいは他の情報と組み合わさって、あなたの身元を明らかにする秘密の暗号のようなものだと想像してください。つまり、名前や住所だけでなく、パズルのピースのように、組み合わせると「あなた」の全体像が見えてくるのです。 

例えば、あなたの名前がジョンだとする。同じ名前を持つ人は世界中に大勢いるため、PIIとはみなされない。しかし、あなたの名前がジョン・ドウで、マンハッタンに住んでいて、社会保障番号AXY123だとしたらどうだろう?これでPIIとなり、他の地域に住む他のジョンとあなたを一意に識別することができる。

PIIは非機密性と機密性に分けられる。次回はこれを取り上げます。

 

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

非機密・機微PII情報

米国防総省は 個人識別情報(PII)に関する具体例の一覧 を提示しています。社会保障番号から個人の住所まで、これらすべてが個人識別情報に該当する可能性があります。機微な個人識別情報を特定し保護することが、まさに目指すべき目標です。 

PIIの2つの特徴的なカテゴリーを見てみよう: 

機微な個人情報

機微なPIIは、個人を簡単に特定できる情報です。この種のPIIは、サイバー犯罪者によって検索された場合、それが属する個人に損害を与える可能性があります。 

機微な個人情報の例

  • 社会保障番号(SSN)
  • 運転免許証
  • 郵送先住所
  • クレジットカード情報
  • パスポート情報
  • 財務情報
  • 医療記録

非機密PII

旧姓のような、個人を特定することはできるが、危害を加えるために使用することはできない情報は、非機密PIIと定義される。 

機微でない個人情報の例

  • 名前
  • 郵便番号
  • レース
  • 性別
  • 生年月日
  • 出生地
  • 宗教

もしあなたや企業が個人情報を収集したいのであれば、オンラインフォームやアンケート、ソーシャルメディアを利用し、できれば秘密保持契約を結ばなければなりません。自分の個人情報を誰かに提供する場合は、その情報が適切に使用、保管、保護されているかどうかを必ず確認してください。

なぜPIIが重要なのか?

個人識別情報(PII)の特定と保護は、データを保護する上で極めて重要です。個人識別情報を保有する企業や組織は、いかなる場合でもこれを保護する法的義務を負っています。これにより、個人情報の安全性とセキュリティが保証されます。

企業はあなたの情報を次のような多目的な目的で利用することができる:

  • ターゲット広告
  • 不正行為の防止
  • 法執行機関
  • クレジット・スコアリング
  • 採用選考

PIIはどのようにして盗まれるのか?

PIIはどのようにして盗まれるのか

以下のような攻撃 ソーシャル・エンジニアリングなどの攻撃により、なりすましのドメイン名や電子メールを使って個人情報を騙し取ることがあります。また、ハッキングされた電子メール・アカウントやデータ漏えいなどの事例を通じて、個人情報が漏えいする可能性もある。

以下は、個人情報が盗まれる一般的な方法である: 

  1. フィッシングメール:個人情報を開示させる偽メール
  2. データ漏洩:攻撃者がシステムの脆弱性を悪用して機密データベースに侵入
  3. ダンプスター・ダイビング:ゴミ箱からPIIを含む削除された文書を取り出す
  4. ソーシャルエンジニアリング:疑うことを知らない被害者を操り、個人情報を共有させること。
  5. マルウェア:コンピュータ上の個人情報を含むファイルに侵入する悪意のあるソフトウェア
  6. ーインサイダーのー自社の従業員が悪意や金銭目的で個人情報を開示すること。
  7. サイバー盗聴オンライン通信を盗聴し、個人情報を盗む
  8. ハッキングされた電子メールアカウント:電子メールアカウントにアクセスし、個人情報を含むチャットを読む。
  9. 中間者攻撃:オンライン通信を傍受して個人情報を盗む攻撃者
  10. ブルートフォース攻撃:ブルートフォース(総当たり)攻撃:総当たりでアカウントに不正アクセスし、個人情報を盗む。

PIIを保護する方法

様々な国では、顧客の個人情報を収集・保管・共有する企業向けのガイドラインを策定するため、複数のデータ保護法を導入しています。個人識別情報(PII)を特定し保護する方法について見ていきましょう。

  • 必要な場合は、強力なパスワードを使用する。
  • オンラインで共有する詳細については慎重を期すこと。
  • 不正の兆候がないか、定期的に信用報告書を監視しましょう。

もしあなたが経営者なら、以下のステップを検討すべきだろう:

  • 特定のサービスを提供するために必要な個人情報のみを収集する。
  • 企業で使用される暗号化は、従業員や顧客の個人情報への不正アクセスを防ぐために強固なものでなければならない。
  • PIIへのアクセスは、職務を遂行するために必要な従業員のみに制限されるべきである。
  • PIIを保護する方法について従業員を訓練するためのトレーニングセッションを開催すべきである。
  • 突然起こるかもしれないセキュリティ侵害には常に目を光らせておくこと。
  • データ漏洩に迅速に対応し、被害を最小限に抑えることができるよう、データ漏洩対応計画があるべきである。

データ保護の実践をさらに強化するために、多くの組織が、安全なシステムや高度な暗号化プロトコルを実装できる遠隔地の開発者とのコラボレーションを選択しています。実績のあるサイバーセキュリティの専門知識を持つ分散チームを構築することで、企業は一貫した監視、脅威への迅速な対応、グローバルなデータ規制へのコンプライアンスを確保することができます。

米国土安全保障省もまた、洞察に満ちた文書を発表している。 文書を発表しています。

データ漏洩から個人情報を守ることの重要性

データ侵害とは、企業から許可を得ていない者がコンピュータシステムにアクセスし、機密情報の取得につながる可能性がある事態を指す。 

調べているうちに、世界で600万件以上の記録が流出したという調査結果を見つけました。 全世界で600万件以上の記録が流出したという調査結果を見つけた。これは、企業のリーダーにとって最も懸念すべき要因のひとつである。

このようなデータ漏洩は、次のようなさまざまな理由で発生する可能性がある:

  • マルウェア
  • ハッキング
  • ヒューマンエラー

企業は、以下に挙げる慣行に従うことで、データを侵害から守ることができる:

  • 適切なセキュリティ対策の実施
  • サイバーセキュリティのベストプラクティスについて従業員を教育する。 サイバーセキュリティ世界
  • 突然データ漏洩が発生した場合の対応策と修復プランを用意しておく。

PII法令

PIIは多くの法律や規制によって規制されています。これらは、個人のプライバシーが安全で、なりすましなどの脅威を心配する必要がないことを保証するものです。これらの連邦法の一部は以下の通りです:

1.1974年個人情報保護法

個人情報保護法 1974年プライバシー法は、連邦政府機関が個人情報を収集、使用、公表する際のルールを定めている。この法律はまた、連邦政府機関が自分のPIIを開示できるかどうかを人々に知らせることを義務づけており、それを怠った場合には罰則が待っている。ただし、これには特別なケースや例外もある。

2.医療保険の相互運用性と説明責任に関する法律

そして、HIPAA(医療保険の相互運用性と説明責任に関する法律)がある。 医療保険の 相互運用性と説明責任に関する法律健康記録のスーパーヒーローである。この法律は、医療機関や医療提供者が患者の情報を秘匿し、同意なしに健康記録を開示しないことを求めている。

3.情報公開法

FOIA(情報公開法)もお忘れなく。 情報公開法.これは、政府のファイルを調査したい人々のための金券である。連邦政府機関に対し、「超秘密事項でない限り、名刺を見せろ」と指示するものだ。つまり基本的には、政府情報への一般市民のバックステージパスなのだ!しかし、FOIAはまた、法執行機関に対して、個人を特定したり損害を与える可能性のある情報を差し控えるよう求めることで、PIIの保護者としても機能する。

4.一般データ保護規則(GDPR) 

1995年にはデータ保護指令がありましたが、その後、データ保護指令はなくなりました、 GDPRが制定された。現在、EU市民の個人データを扱う企業は、その拠点がEUであろうとその他の地域(そう、米国でさえも!)であろうと、同じ一連の規則に従わなければならない。

コンプライアンス違反の場合、特定の条項の違反に対して、全世界の年間売上高の4%または2000万ユーロのいずれか痛い方という高額な罰金が課される可能性がある。さらに、GDPRの権利が侵害されたと考える場合、個人には苦情を申し立てる権利がある。 

GDPRはデータ・プライバシーの世界的な保安官であり、企業が人々の個人情報をぞんざいに扱わないようにするものであることを忘れてはならない。GDPRはあなたのデータの保護者であり、デジタルの世界を監視しているのです。

企業はどのように顧客データを保護できるか?

個人情報を特定・保護し、セキュリティ対策を強化したい企業は、以下の便利なヒントを検討できます:

  • ネットワーク・セグメンテーションを実施する:デジタル王国内に壁を作るようなものだと考えてほしい。あるエリアが侵入されても、他のエリアは強固に保つことができる。データ保管庫に秘密の区画があるようなものだ。
  • セキュリティ方針と手順を実施する:ルールを決め、全員がそれを守るようにする。セキュリティハンドブックがあるようなもので、何が許され、何が大反対なのかを誰もが知っている。
  • 頻繁にデータをバックアップする:データを宝物、バックアップを秘密の隠し場所と想像してください。海賊が来ても(データ漏洩のこと)、秘密の隠し場所があります。 
  • データ漏洩に対する包括的な対応計画を立てる:問題の発見から解決まで、あらゆる動きを計画する。 

個人情報の盗難と悪用の影響

個人情報盗難は冗談ではなく、経済的に深刻な打撃をもたらす可能性がある。誰かがあなたになりすまして、勝手に買い物をしたり、あなたの名前でローンを組んだりすることを想像してみてほしい! 

個人情報窃盗と盗まれた個人情報は、次のような事態を引き起こす可能性がある: 

  1. 深刻な経済的損害 
  2. 精神的苦痛と不安 
  3. あなたの名を騙った犯罪による法的混乱
  4. 業界における信用と評判の失墜 
  5. 顧客の信頼の喪失

まとめ

個人識別情報(PII)を取得する一般的な手段として、自社ドメイン名を偽装したフィッシングメールが挙げられます。 DMARC を設定し、PIIを特定・保護することを推奨します。そして、その設定と安全な運用監視に最適な手段がPowerDMARCです!当社は認証技術を通じてメール詐欺を最小化する専門知識を持つドメインセキュリティの専門家チームです。今すぐ無料トライアルをお試しください DMARCトライアルをお試しください! 

インターネット上では、個人情報をできるだけ共有しないことを忘れないでください!安全なオンライン生活を心がけましょう。

最新記事 by Ahona Rudra(全て見る)
最終更新日:
DMARC MSP事例研究:Systemgemischがメール認証セキュリティを自動化した方法...システム混合物ドメイン偽装フィッシング攻撃類似ドメインフィッシング攻撃