スカイスナッグ・ブログ

未分類

個人情報の特定と保護

2023年10月11日 5 min read

PIIの意味?

PIIとは、個人を特定できる情報のことです。これは、氏名、住所、社会保障番号など、個人を特定できる情報です。ある個人と別の個人を識別するために使用できる情報はすべて、PIIと見なされます。

PIIの定義はさまざまですが、一般的には、単独で、または他の情報と組み合わせて、個人を特定するために使用できる情報を指します。

エネルギー省は、PII を、個人を識別または追跡するために使用できる、個人について同省が 収集または保持するあらゆる情報と定義している。この情報には、個人の名前、社会保障番号、生年月日、出生地、バイオメトリクス・データ、 および特定の個人にリンクされているかリンク可能なその他の個人情報が含まれる。米国一般調達庁は、PII が他の一般に入手可能な情報と組み合わされると、より機密性が 高まる可能性があると指摘している。

PII には、個人の名前や住所から生体データ、病歴、金融取引まで、あらゆるものが含まれる。PII と見なされるには、データは個人の身元を識別または追跡するために使用できなければならない。PIIの定義は司法管轄区域によって異なる場合があるが、通常、個人を識別するために使用できるあらゆる情報が含まれる。 

非機密情報および機密PII情報

PIIには、 機微なものとそうでないものがある。

機微な個人情報

センシティブPIIとは、個人を特定するために利用することができ、悪用された場合にその個人に危害を加える可能性がある情報のことである。これには、社会保障番号、財務情報、医療記録などの情報が含まれます。

非機密PII

非機密PIIとは、個人を特定するために使用することはできるが、それが悪用された場合に個人を傷つける可能性がない情報のことである。これには、氏名や住所などの情報が含まれます。

PIIは、オンラインフォーム、アンケート、ソーシャルメディアなど、さまざまな方法を組み合わせて収集することができます。PIIを保護し、必要な情報のみを収集することが肝要である。PIIを収集する場合、組織は情報の使用、保管、保護方法について計画を立てるべきである。

個人を特定できる情報 例

以下は、PIIとみなされる情報の例です:

  • 名称
  • 住所
  • 社会保障番号
  • 生年月日
  • 運転免許証番号
  • 財務情報
  • 医療記録
  • メールアドレス
  • I.P.アドレス

PIIデータ漏洩

いくつかの加盟店、金融機関、医療機関、および国土安全保障省(DHS)などの連邦政府機関が、個人の個人情報を危険にさらすデータ漏洩に見舞われた。

個人情報は、いくつかの方法で ID 窃盗に使用される可能性があります。窃盗犯はこれを使用して、新しい口座を開設したり、ローンを申し込んだり、あなたの名前で買い物をしたりすることがあります。また、詐欺やその他の犯罪に利用されることもあります。

個人情報窃盗団は常に、人々の個人情報にアクセスする新しい方法を探している。彼らが狙う情報は、その情報を使って何をしようとしているかによって変わってくる。例えば、銀行口座を開設するために必要な情報と、保険金を不正請求するために必要な情報は異なります。

必要なのはEメールアドレスだけという場合もある。名前、住所、生年月日、社会保障番号、その他の情報が必要な場合もある。電話やインターネットで開設できる口座もある。

さらに、請求書、領収書、出生証明書、社会保障カード、賃貸情報などの物理的なファイルも、個人の家に侵入されると盗まれる可能性がある。泥棒はこれらの情報を売って利益を得ることができる。あるいは、被害者が知らないうちに自分たちで使うこともある。例えば、被害者のクレジットカードは使用しないが、被害者の情報を使って新しい別の口座を開設することもある。

PII法令

PIIは、グラム・リーチ・ブライリー法(Gramm-Leach-Bliley Act)、公正信用報告法(Fair Credit Reporting Act)、医療保険の相互運用性と説明責任に関する法律(Health Insurance Portability and Accountability Act)など、多くの法律や規制によって規制されています。

1974年プライバシー法は、連邦政府機関による個人情報の収集、利用、開示に関する規則を定めた連邦法である。同法は、連邦機関が個人情報へのアクセスと訂正の権利を個人に通知し、個人情報の誤用に対する罰則を定めることを義務付けている。

情報公開法(FOIA)は、個人に特定の政府記録にアクセスする権利を与える連邦法である。同法は、連邦政府機関に対し、その記録が同法の適用除外の一つによって開示から保護されていない限り、その記録を一般に公開することを義務付けている。

家族教育権およびプライバシー法(FERPA)は、生徒の教育記録のプライバシーを保護する連邦法である。この法律は、学校が保護者や生徒に教育記録を閲覧、訂正する機会を与え、同意なしに教育記録を開示することを制限することを義務付けている。

医療保険の相互運用性と説明責任に関する法律(HIPAA)は、健康情報のプライバシーを保護する連邦法です。同法は、保護される事業体に対し、保護される医療情報の機密性を保護するための合理的な措置を講じ、保護される医療情報を同意なしに開示することを制限することを義務付けている。

GDPR PII

GDPRは、個人データに関する欧州人の権利を保護するために導入された1995年のデータ保護指令(95/46/E.C.)に代わるものである。GDPRは、EU域内で活動する個人、企業、その他の組織による個人を特定できる情報(PII)の収集と処理に関する規則を定めている。

GDPRは、個人データを収集、使用、共有する前に、個人から明確な許可を得ることを企業に義務付けている。企業は、GDPRに基づく権利に関する情報を個人に提供し、個人がその権利を容易に行使できるようにすることが求められている。

GDPRは、その規定に違反した企業に対し、全世界の年間売上高の最大4%または2,000万ユーロを含む多額の制裁金を課している。 (いずれか大きい方)のいずれか大きい方。また、この規則では、個人の権利が侵害されたと考える場合、監督当局に苦情を申し立てる権利を与えています。

個人情報保護のベストプラクティス

  • 転送中および静止時のすべてのPIIデータの暗号化
  • PIIデータを安全なデータベースに保存する
  • PIIデータへのアクセスを必要な人だけに制限する。
  • すべてのPIIデータが正確かつ最新のものであることを保証すること
  • 不要になったPIIデータの破棄

PII PHI PCI 何が違うのか?

個人を特定できる情報

PIIは、規模や種類を問わず、最終的にはすべての組織に影響を及ぼします。PIIとは、氏名、住所、生年月日、社会保障番号など、個人を特定できるあらゆる情報のことです。いったんPII一式を手に入れると、ダークウェブでそれを売ることができるだけでなく、それを使って他の攻撃を行うこともできる。これらの攻撃は、サイバー犯罪者が盗んだPIIを使って組織にさらなる攻撃を加えることができることを示している。Office of Personnel Management(人事管理局)やAnthem(アンセム)の侵害はその例で、何百万ものPIIが盗まれ、IRSのような他の組織への攻撃に使われた。

保護された健康情報

PHIは、サイバー犯罪者が最も欲しがるデータの一つである。PHIは多数の情報で構成されています。PHIは、医療保険の相互運用性と説明責任に関する法律(HIPAA)によって定義されており、個人の身元と医療を関連付けるために使用できるあらゆるデータで構成されています。PHIを構成する18の識別子の完全なリストは、ここで見ることができる。

Ponemon Instituteによると、PHIは貴重な資産であり、ダークウェブ上では他のどのデータセットよりも高額で取引されている。PHIの保護に関しては、HIPAAと関連するHealth Information Technology for Economic and Clinical Health Act (HITECH)がPHI保護のガイドラインを提供している。HIPAAの中には、「プライバシー規則」とそのサブセットである「セキュリティ規則」、「施行規則」、「違反通知規則」があり、これらはすべてPHI保護の様々な側面を扱っている。

支払カード業界データ・セキュリティ基準

PCI-DSSは、カード会員データを保護するために策定された一連のセキュリティ基準です。カード会員データを処理、保存、または送信する組織はすべて、この基準に準拠する必要があります。PCI コンプライアンスには、金融データの受け入れ、転送、保管、および処理など、すべての段階で金融データが確実に保護されるように責任を持つことが含まれます。

結論

Skysnagの自動化されたソフトウェアは、お客様のドメインのレピュテーションを保護し、漏洩したビジネスメール、パスワードの盗難、そして潜在的に大きな金銭的損失からお客様のビジネスを守ります。SPFやDKIMなどのメール認証設定の問題を回避し、厳格なDMARC enforcement 、お客様のドメインをなりすましから守ります。このリンクから 無料トライアルにお申し込みください。

ドメインのDMARCセキュリティコンプライアンスを確認する

DMARC、SPF、DKIMを数カ月ではなく数日で施行する

Skysnagは、多忙なエンジニアがDMARCを実施し、SPFやDKIMの設定ミスに対応することで、メールの配信性を向上させ、なりすましやID偽装を排除します。