PII(個人を特定できる情報)の識別と保護

個人を特定できる情報(PII)とは何か、個人情報を保護する方法、企業の法的要件について学びましょう。プライバシーを保護し、オンラインで安全に過ごしましょう!

by

読書時間 7
PII(個人を特定できる情報)の識別と保護
目次-

個人を特定できる情報や機密データが漏洩し、何者かに詐欺行為に利用されることを誰が望むだろうか。しかし、悲しい現実として、これは今や常識となっている。

最近、2021年から2023年にかけてのデータ漏洩の約50%が顧客の個人識別情報(PII)であり、その40%が従業員のデータであることが明らかになった。このデータは a2023年10月の調査.

PIIはそれほど複雑なものではありませんが、PIIとは何か、PIIを保護することの重要性を理解することは重要です。このガイドには、PIIとあなた自身を守るためのすべての答えが含まれています。 

PII(個人を特定できる情報)とは?

PII(個人を特定できる情報)とは、あなたのアイデンティティの重要な部分であり、あなたを直接指し示すことができる情報のことです。 

それ単体で、あるいは他の情報と組み合わさって、あなたの身元を明らかにする秘密の暗号のようなものだと想像してください。つまり、名前や住所だけでなく、パズルのピースのように、組み合わせると「あなた」の全体像が見えてくるのです。 

例えば、あなたの名前がジョンだとする。同じ名前を持つ人は世界中に大勢いるため、PIIとはみなされない。しかし、あなたの名前がジョン・ドウで、マンハッタンに住んでいて、社会保障番号AXY123だとしたらどうだろう?これでPIIとなり、他の地域に住む他のジョンとあなたを一意に識別することができる。

PIIは非機密性と機密性に分けられる。次回はこれを取り上げます。

非機密・機微PII情報

個人を特定できる情報

米国国防総省は、以下のリストを提供している。 例のリストを提供している。社会保障番号から個人の住所まで、これらはすべて個人を特定できる情報に該当します。

PIIの2つの特徴的なカテゴリーを見てみよう: 

機微な個人情報

機微なPIIは、個人を簡単に特定できる情報です。この種のPIIは、サイバー犯罪者によって検索された場合、それが属する個人に損害を与える可能性があります。 

機微な個人情報の例

  • 社会保障番号(SSN)
  • 運転免許証
  • 郵送先住所
  • クレジットカード情報
  • パスポート情報
  • 財務情報
  • 医療記録

非機密PII

旧姓のような、個人を特定することはできるが、危害を加えるために使用することはできない情報は、非機密PIIと定義される。 

機微でない個人情報の例

  • 名前
  • 郵便番号
  • レース
  • 性別
  • 生年月日
  • 出生地
  • 宗教

もしあなたや企業が個人情報を収集したいのであれば、オンラインフォームやアンケート、ソーシャルメディアを利用し、できれば秘密保持契約を結ばなければなりません。自分の個人情報を誰かに提供する場合は、その情報が適切に使用、保管、保護されているかどうかを必ず確認してください。

なぜPIIが重要なのか?

PIIは、あなたのデータを保護するために非常に重要です。お客様のPIIを保有する企業や組織には、それを全力で保護する法的義務があります。これは、あなたの個人情報の安全性とセキュリティを保証するものです。

企業はあなたの情報を次のような多目的な目的で利用することができる:

  • ターゲット広告
  • 不正行為の防止
  • 法執行機関
  • クレジット・スコアリング
  • 採用選考

PIIはどのようにして盗まれるのか?

PIIはどのようにして盗まれるのか

以下のような攻撃 ソーシャル・エンジニアリングなどの攻撃により、なりすましのドメイン名や電子メールを使って個人情報を騙し取ることがあります。また、ハッキングされた電子メール・アカウントやデータ漏えいなどの事例を通じて、個人情報が漏えいする可能性もある。

以下は、個人情報が盗まれる一般的な方法である: 

  1. フィッシングメール:個人情報を開示させる偽メール
  2. データ漏洩:攻撃者がシステムの脆弱性を悪用して機密データベースに侵入
  3. ダンプスター・ダイビング:ゴミ箱からPIIを含む削除された文書を取り出す
  4. ソーシャルエンジニアリング:疑うことを知らない被害者を操り、個人情報を共有させること。
  5. マルウェア:コンピュータ上の個人情報を含むファイルに侵入する悪意のあるソフトウェア
  6. ーインサイダーのー自社の従業員が悪意や金銭目的で個人情報を開示すること。
  7. サイバー盗聴オンライン通信を盗聴し、個人情報を盗む
  8. ハッキングされた電子メールアカウント:電子メールアカウントにアクセスし、個人情報を含むチャットを読む。
  9. 中間者攻撃:オンライン通信を傍受して個人情報を盗む攻撃者
  10. ブルートフォース攻撃:ブルートフォース(総当たり)攻撃:総当たりでアカウントに不正アクセスし、個人情報を盗む。

PIIを保護する方法

さまざまな国が複数のデータ保護法を採用し、顧客の個人情報を収集、保管、共有する企業に対するガイドラインを作成しています。個人情報を保護する方法を見てみましょう。

  • 必要な場合は、強力なパスワードを使用する。
  • オンラインで共有する詳細については慎重を期すこと。
  • 不正の兆候がないか、定期的に信用報告書を監視しましょう。

もしあなたが経営者なら、以下のステップを検討すべきだろう:

  • 特定のサービスを提供するために必要な個人情報のみを収集する。
  • 企業で使用される暗号化は、従業員や顧客の個人情報への不正アクセスを防ぐために強固なものでなければならない。
  • PIIへのアクセスは、職務を遂行するために必要な従業員のみに制限されるべきである。
  • PIIを保護する方法について従業員を訓練するためのトレーニングセッションを開催すべきである。
  • 突然起こるかもしれないセキュリティ侵害には常に目を光らせておくこと。
  • データ漏洩に迅速に対応し、被害を最小限に抑えることができるよう、データ漏洩対応計画があるべきである。

米国土安全保障省もまた、洞察に満ちた文書を発表している。 文書を発表しています。

データ漏洩から個人情報を守ることの重要性

情報漏えいは、会社の承認を得ていない人物がコンピューター・システムにアクセスし、機密情報の取得につながる可能性がある場合に発生する。 

調べているうちに、世界で600万件以上の記録が流出したという調査結果を見つけました。 全世界で600万件以上の記録が流出したという調査結果を見つけた。これは、企業のリーダーにとって最も懸念すべき要因のひとつである。

このようなデータ漏洩は、次のようなさまざまな理由で発生する可能性がある:

  • マルウェア
  • ハッキング
  • ヒューマンエラー

企業は、以下に挙げる慣行に従うことで、データを侵害から守ることができる:

  • 適切なセキュリティ対策の実施
  • サイバーセキュリティのベストプラクティスについて従業員を教育する。 サイバーセキュリティ世界
  • 突然データ漏洩が発生した場合の対応策と修復プランを用意しておく。

PII法令

PIIは多くの法律や規制によって規制されています。これらは、個人のプライバシーが安全で、なりすましなどの脅威を心配する必要がないことを保証するものです。これらの連邦法の一部は以下の通りです:

1.1974年個人情報保護法

個人情報保護法 1974年プライバシー法は、連邦政府機関が個人情報を収集、使用、公表する際のルールを定めている。この法律はまた、連邦政府機関が自分のPIIを開示できるかどうかを人々に知らせることを義務づけており、それを怠った場合には罰則が待っている。ただし、これには特別なケースや例外もある。

2.医療保険の相互運用性と説明責任に関する法律

そして、HIPAA(医療保険の相互運用性と説明責任に関する法律)がある。 医療保険の 相互運用性と説明責任に関する法律健康記録のスーパーヒーローである。この法律は、医療機関や医療提供者が患者の情報を秘匿し、同意なしに健康記録を開示しないことを求めている。

3.情報公開法

FOIA(情報公開法)もお忘れなく。 情報公開法.これは、政府のファイルを調査したい人々のための金券である。連邦政府機関に対し、「超秘密事項でない限り、名刺を見せろ」と指示するものだ。つまり基本的には、政府情報への一般市民のバックステージパスなのだ!しかし、FOIAはまた、法執行機関に対して、個人を特定したり損害を与える可能性のある情報を差し控えるよう求めることで、PIIの保護者としても機能する。

4.一般データ保護規則(GDPR) 

1995年にはデータ保護指令がありましたが、その後、データ保護指令はなくなりました、 GDPRが制定された。現在、EU市民の個人データを扱う企業は、その拠点がEUであろうとその他の地域(そう、米国でさえも!)であろうと、同じ一連の規則に従わなければならない。

コンプライアンス違反の場合、特定の条項の違反に対して、全世界の年間売上高の4%または2000万ユーロのいずれか痛い方という高額な罰金が課される可能性がある。さらに、GDPRの権利が侵害されたと考える場合、個人には苦情を申し立てる権利がある。 

GDPRはデータ・プライバシーの世界的な保安官であり、企業が人々の個人情報をぞんざいに扱わないようにするものであることを忘れてはならない。GDPRはあなたのデータの保護者であり、デジタルの世界を監視しているのです。

企業はどのように顧客データを保護できるか?

セキュリティを強化したい企業は、以下のヒントを参考にしてほしい:

  • ネットワーク・セグメンテーションを実施する:デジタル王国内に壁を作るようなものだと考えてほしい。あるエリアが侵入されても、他のエリアは強固に保つことができる。データ保管庫に秘密の区画があるようなものだ。
  • セキュリティ方針と手順を実施する:ルールを決め、全員がそれを守るようにする。セキュリティハンドブックがあるようなもので、何が許され、何が大反対なのかを誰もが知っている。
  • 頻繁にデータをバックアップする:データを宝物、バックアップを秘密の隠し場所と想像してください。海賊が来ても(データ漏洩のこと)、秘密の隠し場所があります。 
  • データ漏洩に対する包括的な対応計画を立てる:問題の発見から解決まで、あらゆる動きを計画する。 

個人情報の盗難と悪用の影響

個人を特定できる情報

個人情報盗難は冗談ではなく、経済的に深刻な打撃をもたらす可能性がある。誰かがあなたになりすまして、勝手に買い物をしたり、あなたの名前でローンを組んだりすることを想像してみてほしい! 

個人情報窃盗と盗まれた個人情報は、次のような事態を引き起こす可能性がある: 

  1. 深刻な経済的損害 
  2. 精神的苦痛と不安 
  3. あなたの名を騙った犯罪による法的混乱
  4. 業界における信用と評判の失墜 
  5. 顧客の信頼の喪失

最後の言葉

個人情報を取得するための一般的な手段は、お客様のドメイン名になりすましたり、なりすましたりするフィッシングメールです。私たちは DMARCを設定することをお勧めします。そして、PowerDMARC以上に安全に設定し、実装を監視する方法はありません!弊社はドメインセキュリティの専門家チームであり、認証によるメール詐欺を最小限に抑えるお手伝いを専門としています。無料の DMARCトライアル!

インターネット上では、個人情報をできるだけ共有しないことを忘れないでください!安全なオンライン生活を心がけましょう。

個人を特定できる情報

最新記事 by Ahona Rudra(全て見る)
2024で「SPFレコードが見つかりません」を修正するには?spf record not found ブログ個人を特定できる情報メール認証とは?メールのチェックと認証