とは
個人を特定できる情報 (PII)
?
個人を特定できる情報とはどのようなものですか?
個人識別情報(PII)とは、運転免許証やパスポートに必要なデータなど、誰かの身元を正確に特定できる直接の識別子を含む可能性のあるあらゆるものです。このような身分証明書、書籍、その他の書類に記載されている情報には、自宅の住所、社会保障番号、運転免許証番号などが含まれる場合があります。
人種遺産に関する情報などの準識別子は、生年月日(DOB)などの他の準識別子と組み合わせて使用することで、個人を適切に識別できます。
企業が個人を特定するために使用する主なPIIの種類は次のとおりです。
- フルネーム
- 郵送先住所
- 電話番号
- Eメールアドレス
- 医療記録
- クレジットカード番号、銀行口座、信用報告書情報などの財務情報
- パスポート情報 (旅行場所や旅行日など)
- インターネットアカウント番号とパスワード
- 生体認証情報
非機密かつ間接的なPIIには、前述の準識別情報が含まれます。これらの情報は、多くの場合、公の記録に残っているか、匿名で収集されているため、それだけでは個人を特定するのが容易ではありません。
以下は機密性のない PII の例です。
- 郵便番号
- 人種
- 性別
- 生年月日
- 出生地
- 宗教
これらの準識別子はそれぞれ、直接の識別子と組み合わせて個人を識別するためのツールとしては役立ちますが、それ自体では悪意のある攻撃者にとってはほとんど価値がありません。機密性のない PII の多くは、運転免許証、パスポート、または請求記録に含まれています。それでも、優れたハッカーは、直接の識別子がないと、詐欺目的でそれらを使用しようとすると行き詰まることがよくあります。
入手可能な個人を特定できる情報を公式に収集するのは誰ですか?
今日のほぼすべての企業が、ある程度PIIを収集、保存、送信、処理しています。ただし、医療機関や自動車部門や局など、一部の組織は他の組織よりも機密性の高い情報を保持しています。
それに伴い、ビッグデータは今日のビジネスにおける主要な力となり、顧客の購買パターン、閲覧行動、地理的位置などに関する洞察を企業に提供しています。つまり、現代のビジネスではデータが重要な要素となっており、消費者は常に多くの個人情報 (PII) を提供するようになっています。
一部の非公式の悪役は、個人を特定できる情報へのアクセスを望んでいます
このような重要な情報を共有することの問題は、 データ侵害 絶えず増加しています。サイバー攻撃者はこの情報の価値を認識しており、それが金融情報を含む誰かのライフストーリーを知る近道となります。
ハッカーがデータ侵害の被害者から直接データを盗むことができない場合、社会保障番号を使ってクレジットカード口座を開設しようとするなどして、個人の評判を危険にさらす可能性があります。
個人を特定できる情報がハッカーや詐欺師にとって価値があるのはなぜですか?
サイバー攻撃者は、データ漏えいから得られる可能性のあるあらゆる不正な利益を掘り起こす方法を常に模索しています。PIIは詳細情報が豊富で、病院、銀行、またはIRSに信頼を置く必要のある個人を迅速かつ簡単に特定し、脅迫します。
泥棒はどのようにして個人を特定できる情報にアクセスするのですか?
データ盗難や大規模なデータ漏えいがあまりに当たり前になり、直接影響が及ぶ場合を除いて、個人はほとんど注意を払っていません。
身近なところには、誰もが考慮すべきリスクがあります。実際のところ、私たちは皆毎日PIIを共有しており、いったん第三者の手に渡ると、もう片方の靴が落ちるのを待っているような気分になるので、危険は誰にも潜んでいます。
好むと好まざるにかかわらず、泥棒がPIIを通じて個人を知る方法をいくつかご紹介します。
- メールボックスの盗難。オンラインバンキングと請求書支払いのおかげで、多くの人が郵便物を郵便箱に何日も置いておきます。各郵便物には、自動車局からの通知、医療費、クレジットカードの明細など、データが豊富に含まれています。
- ダンプスターダイビング.ゴミ箱またはゴミ箱は郵便受けの次の停留所なので、犯罪者が誰かのベランダに行く危険を冒したくない場合は、ゴミ箱の方が安全です。捨てられた郵便物からも、まったく同じ情報を見つけることができても、それほど注目されることはありません。
犯罪者がPIIにアクセスするその他の方法には、セキュリティで保護されていないワイヤレスアクセス、遺失物探知事件、フィッシング詐欺、プリテキスト詐欺、ソーシャルメディア、ソーシャルエンジニアリング手法などがあります。
これらは、泥棒が個人の個人情報にアクセスする代替手段のほんの一部です。それでも、個人情報や識別情報を盗むために行われるデータ侵害と同様に、個人にとっては危険です。
GDPR は PII にどのように対処しているのでしょうか?
ザの一般データ保護規則 (GDPR)欧州連合(EU)の消費者のプライバシーを保護し、データを保護することを主な目的として、2019年5月に発効しました。GDPR は、EU 全域および世界中の企業に対し、データ、従業員、顧客、および第三者ベンダーの保護に関する広範な要件を遵守することを義務付けました。
企業が保護しなければならない情報にはPIIが含まれており、すべての企業にはそれを安全に保管する法的義務があります。
欧州議会は、何よりもまずEUの消費者を保護するためにGDPRを設計しました。基本的に、消費者がPIIを自由に管理できるようにすることです。EUの消費者がビジネスを行う際に個人情報を管理できる方法をいくつかご紹介します。
- 企業に PII の削除をリクエストする
- 事実上の誤りの修正依頼
- 保存されている個人データへのアクセスをリクエストする
- 個人データをエクスポートして確認し、希望する場合は利用するように依頼する
企業がPIIを保護する最善の方法とは?
すべての企業が、すべての人の利益のために顧客のPIIを保護するための特別な措置を講じることができます。この重要な情報をオンラインやその他のあらゆる場所で犯罪者から守る最善の方法をいくつかご紹介します。
- 電子的に共有または保存するときにデータを暗号化する
- スマートフォン、タブレット、ラップトップに強力なパスワードポリシーを実装
- Web サイト、アプリケーション、アカウントごとに異なるパスワードを使用するよう従業員に促す
- Web サイトのセキュリティ質問など、追加のセキュリティプロトコルを作成する
- 使用済みコンピューターやその他のデバイスには特に注意を払い、廃棄または寄付する前にハードドライブを取り外して破棄してください。最後にすべきことは、デバイスを元の設定に戻して、破棄する前に問題がないことを確認することです。
- シュレッダーを使用して、ハードコピーの書類を適切に廃棄してください。PII が認識されないように、各文書を徹底的に細断処理してください。
- 従業員と経営陣に、PIIが豊富な文書をコピー機に置いたり、ファイルの作業中に立ち止まったりする可能性のある場所に置かないように注意してください。
企業がPIIに警戒を怠らないようにするほど、データ漏えいやその他の脅威からPIIを保護できる可能性が高まります。