個人を特定できる情報(PII)

個人を特定できる情報とは?

個人を特定できる情報 (PII) とは、運転免許証やパスポートに必要なデータなど、誰かの身元を正確に特定できる直接識別子を含む可能性のあるものを指します。このような身分証明書、書籍、またはその他の書類の情報には、自宅の住所、社会保障番号、運転免許証番号が含まれる場合があります。

人種的遺産に関する情報などの準識別子は、生年月日 (DOB) を含む他の準識別子と組み合わせて使用することで、個人を正常に識別できます。

企業が個人を特定するために使用する主な PII の種類は次のとおりです。

• フルネーム
• 住所
• 電話番号
• アドレス
• 医療記録
• クレジットカード番号、銀行口座、信用報告書情報などの財務情報
• 旅行場所や日付などのパスポート情報
• インターネットアカウント番号とパスワード
• 生体認証情報

機密性の低い間接的なPIIには、前述の準識別情報が含まれますが、これは多くの場合、公的記録の問題であるか、匿名で収集されるため、それ自体では個人に簡単に結び付けられません。

機密性の低い PII の例をいくつか示します。

• 郵便番号
• 競走
• ジェンダー
• 生年月日
• 出生地です
• 宗教

これらの準識別子はそれぞれ、直接識別子と組み合わせて個人を識別するためのツールとして機能しますが、それ自体では悪意のある行為者にとってほとんど価値がありません。機密性の低い PII の多くは、運転免許証、パスポート、または請求記録の構成要素です。それでも、直接的な識別子がなければ、最高のハッカーは、詐欺的な目的で使用しようとすると行き止まりに遭遇することがよくあります。

利用可能な個人を特定できる情報を公式に収集するのは誰ですか?

今日、ほぼすべての企業がPIIをある程度収集、保存、送信、処理しています。ただし、医療機関や自動車局など、一部の組織は他の組織よりも機密情報を保持しています。

これにより、ビッグデータは今日のビジネスにおける主要な力となり、顧客の購買パターン、閲覧行動、地理的位置などに関する洞察を企業に提供しています。つまり、データは現代のビジネスの構成要素となり、消費者は常により多くの PII を提供しています。

非公式の悪質な行為者の中には、個人を特定できる情報へのアクセスを望んでいる人もいます

このような重要な情報を共有する際の問題は、 データ侵害 が増加し続けていることです。サイバー攻撃者はこの情報の価値を認識しており、財務情報を含む誰かのライフストーリーを知るための近道として機能します。

ハッカーがデータ侵害の被害者から直接盗むことができない場合、社会保障番号を使用してクレジット カード アカウントを開設しようとすることで、個人の評判を損なう可能性があります。

個人を特定できる情報がハッカーや詐欺師にとって価値のあるのはなぜですか?

サイバー攻撃者は、データ侵害からあらゆる不正利益を搾り取る方法を模索することを決してやめません。PIIは詳細が豊富で、病院、銀行、またはIRSを信頼する必要のある個人を特定して恐怖に陥れるための迅速かつ簡単な作業を行います。

窃盗犯はどのようにして個人を特定できる情報にアクセスするのでしょうか?

データの盗難や大規模なデータ侵害は非常に一般的になっているため、直接的な影響を与えない限り、個人はほとんど注意を払いません。

誰もが考慮する必要があるリスクが身近にあります。実際のところ、私たちは皆、PIIを毎日共有しており、第三者の手に渡ると、他の靴が落ちるのを待っているような気分になります。

泥棒が好むと好まざるとにかかわらず、PII を通じて個人を知る方法をいくつか紹介します。

• メールボックスの盗難。多くの人は、オンライン バンキングと請求書の支払いのおかげで、一度に何日も郵便ポストに郵便物を放置しています。各郵便物には、自動車局からの通知、医療費請求書、クレジット カードの明細書など、データが豊富です。
• ゴミ箱ダイビング。ゴミ箱またはゴミ箱は郵便受けの次の目的地であるため、犯罪者が誰かのベランダに行く危険を冒したくない場合は、ゴミ箱の方が安全な賭けです。彼らは、あまり注目を集めることなく、廃棄された郵便物から同じ情報をすべて見つけることができます。

犯罪者がPIIにアクセスするその他の方法には、安全でないワイヤレスアクセス、遺失物インシデント、フィッシング、口実詐欺、ソーシャルメディア、ソーシャルエンジニアリングの操作などがあります。

これらは、泥棒が個人の身元にアクセスする代替方法のほんの一部です。それでも、個人情報や識別情報を盗むために開始されたデータ侵害と同じくらい、個人にとって危険です。

GDPRはPIIにどのように対処していますか?

GDPRの一般データ保護規則は、欧州連合(EU)の消費者のプライバシーとデータの保護を主な目的として、2019年5月に発効しました。GDPRは、EUおよび世界中の企業に対し、データ、従業員、顧客、サードパーティベンダーを保護するための広範な要件に準拠することを義務付けました。

企業が保護しなければならない情報にはPIIが含まれており、企業はすべて、PIIを安全に保つ法的義務を負っています。

欧州議会は、何よりもまずEUの消費者を保護し、基本的にPIIを自由に管理できるようにするためにGDPRを設計しました。EUの消費者がビジネスを行う際に個人情報を管理できる方法をいくつか紹介します。

• 企業に PII の削除をリクエストする
• 事実誤認の訂正を求める
• 保存されている個人データへのアクセスを要求する
• 希望する場合は、個人データのエクスポートを要求して確認および使用します

企業がPIIを保護する最善の方法は何ですか?

すべての企業は、すべての人の利益のために顧客の PII を保護するための特別な措置を講じることができます。この重要な情報をオンラインやその他のあらゆる場所で犯罪者から安全に保つための最良の方法をいくつか紹介します。

• 電子的に共有または保存する際のデータの暗号化
• スマートフォン、タブレット、ラップトップに強力なパスワードポリシーを実装する
• Web サイト、アプリケーション、アカウントごとに異なるパスワードを使用するよう従業員に奨励する
• Web サイトのセキュリティの質問などの追加のセキュリティ プロトコルを作成する
• 廃棄または寄付する前に、廃棄または寄付する前に、廃棄されたコンピューターやその他のデバイスに特別な注意を払い、ハード ドライブを取り外して破壊してください。最後に実行するステップは、デバイスを元の設定に復元して、廃棄する前にデバイスがクリアであることを確認することです。
• シュレッダーを使用して、文書のハードコピーを適切に廃棄します。各文書を徹底的に細断して、PII が識別できないようにします。
• PIIが豊富なドキュメントをコピー機や、ファイルの作業中に停止する可能性のある場所に置いておくことのないよう、従業員と経営陣に注意を促します。

企業がPIIについて警戒を続けるほど、データ侵害やその他の脅威からPIIを安全に保つ可能性が高くなります。