PIIの概要

個人を特定できる情報 (PII) は、デジタルアイデンティティの管理を可能にするため、企業にとって重要なデータです。PIIには、社会保障番号、生年月日、場所など、個人を特定できるデータが含まれています。PIIを不適切に扱うと、アイデンティティが盗まれて、ユーザーや顧客に影響を及ぼす可能性があります。そのために、重大な罰金や評判の失墜がもたらされる可能性もあります。

多くの場合、PIIの取り扱いを完全に回避するというのは実現可能な選択肢ではありません。代わりに、PIIが適切に取り扱われるように、適切なプラクティスとシステムを導入する必要があります。この記事では、PIIについて詳しく見ていきます。関連するデータ保護法を紹介し、PIIに対するよくある脅威を検討して、どのように保護対策を講じるべきかについてのガイダンスを示します。

PIIとは

PIIには、個人の特定に使用できるデータが含まれています。このデータは、直接識別子と間接識別子の2つのタイプに分類されます。

直接識別子は、個人を明示的に識別できます。次のようなデータです。

• 社会保障番号
• パスポート番号
• 運転免許証番号

これらの識別子は、多くの場合、個人に固有のものです。そのため、さらにコンテキストを取得しなくても、個人のアイデンティティを直接明らかにすることができます。

一方、間接識別子は、それ自体では個人を特定できないかもしれませんが、他のデータと組み合わせることで特定できるようになります。例えば、生年月日と出生地です。それぞれ単独では、個人のアイデンティティを明らかにするのに十分とは言えません。ただし、両者をつなぎ合わせれば可能です。

こうした概念を広げて、使用状況や他の情報との集約によっては、非PIIデータであってもPIIデータになりうることを理解することが重要です。例えば、郵便番号だけではPIIに十分とは言えません。ただし、個人の職業や雇用主と組み合わせると、特に人口の少ない地域では、アイデンティティが絞り込まれる可能性があります。

法的および規制のフレームワーク

PIIの管理や取り扱いの方法は、個人のプライバシーの保護を目的としたいくつかの重要なデータプライバシー法および規制によって規定されています。次に、その最も重要な規制をいくつか示します。

EU（欧州連合）のGDPR（一般データ保護規則）は、世界で最も厳格なデータプライバシー法の1つです。世界中のどこを拠点とする組織であっても、EU居住者に関連するデータをターゲティングまたは収集する限り、規制の対象とします。GDPRは、このデータを扱うすべての事業体による透明性、セキュリティ、説明責任に重点を置くと同時に、個人に自身のデータに対する重要な権利を付与します。

GDPRと同様に、CCPA（カリフォルニア州消費者プライバシー法）も、カリフォルニア州の居住者に自身のデータに関して特定の権利を与えています。

• 自分に関してどのような個人データが収集されているかを知る権利
• データの削除を要求する権利
• 個人情報の販売をオプトアウトする権利

CCPAでは、企業に対して、カリフォルニア州民のデータを合理的なセキュリティ対策で保護することも義務付けています。

最後に、米国のHIPAA（医療保険の相互運用性と説明責任に関する法律）は、保護対象の事業体またはその協力企業が保有または送信するすべての「個人を識別できる医療情報」を保護します。保護対象保健情報 (PHI) を保護し、機密扱いにすることを義務付けています。

これらの法律を遵守しないと、厳しい罰則が科せられる可能性があります。組織は、法的な影響、罰金、および会社の評判の失墜に直面する可能性があります。組織でPIIを扱う場合は、これらの規制を理解し、コンプライアンスを確保するために必要なポリシーと手順を実装する必要があります。

PIIに対する脅威

今日のサイバー攻撃は、PIIのセキュリティを脅かす存在です。効果的なセキュリティ対策を実装できるように、こうした脅威を理解することが重要です。PIIへのよくある脅威には、次のようなものがあります。

• データ侵害：機密データ、保護データ、または秘密データが許可なくアクセスまたは開示された場合。データ侵害は、高度なサイバー攻撃によってもたらされることもあれば、単純な人為的ミスから生じることもあります。データ侵害の影響が信じられないほど広範囲に及び、重大な金銭的損失や評判の失墜につながる可能性があります。
• フィッシング攻撃：信頼できる事業者を装って機密情報を取得しようとする詐欺行為（通常はEメールを介して行われます）。多くの場合、フィッシング攻撃の目的は、ユーザー名、パスワード、クレジットカード明細などのPIIを抽出することです。フィッシングは、攻撃者が悪意のある目的でPIIを収集する際によく使用される手法の1つです。

マルウェア：コンピューター、サーバー、クライアント、またはコンピューターネットワークに損害を与えることを目的として意図的に設計されたソフトウェア。サイバー犯罪者は、システムにマルウェアを感染させると、それに続けてPIIの盗難や正当なユーザーのロックアウトといった有害なアクションで損害をもたらします。

PII保護のベストプラクティス

上記のサイバー脅威などからPIIを保護するためには、次のデータ保護のベストプラクティスを実装する必要があります。

データの最小化

目的に必要なデータのみを収集します。特定のデータを収集する正当な理由がない場合には収集しません。取り扱う機密情報が少ないほど、誤って公開してしまう可能性も少なくなります。また、コンプライアンスフットプリントも可能な限り小さくなり、データ保護規制を遵守するというタスクを簡素化できます。

データの匿名化と仮名化

可能な限り、データを匿名化または仮名化してプライバシーを強化します。匿名化は、非識別化とも呼ばれ、データから個人を特定できる要素を除去します。これにより、さらに情報を取得しなければ対象者を特定できなくなります。

仮名化では、識別子を架空のラベルに置き換えます。これにより、個人のアイデンティティを明らかにすることなくデータを処理できるようになります。

暗号化

暗号化を使用して、保存中、移動中、使用中のデータを保護します。これにより、データが傍受されたとしても、適切な暗号化解除キーを持っていなければ、データを読み取れなくなります。

安全なストレージ

安全なデータベースやクラウドストレージバケットなどの安全なストレージソリューションを採用して、不正アクセスや侵害からデータを保護します。適切なアクセス制御でこうしたストレージソリューションを安全に保護します。

定期的なセキュリティ監査

セキュリティ監査と脆弱性評価を定期的に実施して、システム内に潜在するセキュリティギャップを特定し、緩和します。

こうしたプラクティスを採用することで、PIIが不正アクセスや悪用から保護されるようになります。データ侵害のリスクが減るだけでなく、プライバシー法の遵守にも役立ちます。

クラウドストライクのPII保護へのアプローチ

この記事では、PII、その保護を規定する規制、PIIが直面する脅威について説明しました。また、組織のPIIを保護するためのベストプラクティスについて検討しました。 

CrowdStrike Falcon® Data Protectionは、クラウドネイティブなアプリケーションとシステム内の機密データの継続的モニタリングとリアルタイム可視化を実現します。PIIがどこに保存され、組織全体でどのようにアクセスされているかを追跡できます。CrowdStrike Falcon® Data Protectionは、継続的なセキュリティを提供するAIネイティブなプラットフォームであり、データセキュリティポリシーを動的に適用して、新しい脅威が検知された場合やデータがネットワーク内で移動した場合には、それに合わせて保護対策を調整します。