Investor's wiki

個人を特定できる情報(PII)

個人を特定できる情報(PII)

##個人情報(PII)とは何ですか?

個人識別情報(PII)は、単独で、または他の関連データと一緒に使用すると、個人を識別できる情報です。

PIIには、個人を一意に識別できる直接識別子(パスポート情報など)、または他の準識別子(生年月日など)と組み合わせて個人を正常に認識することができる準識別子(人種など)が含まれる場合があります。

###個人を特定できる情報を理解する

テクノロジープラットフォームの進歩により、企業の運営方法、政府の法律、個人の関係が変化しました。携帯電話、インターネット、eコマース、ソーシャルメディアなどのデジタルツールにより、あらゆる種類のデータの供給が急増しています。

ビッグデータは、いわゆるビッグデータが企業によって収集、分析、処理され、他の企業と共有されています。ビッグデータによって提供される豊富な情報により、企業は顧客とのより良い対話方法についての洞察を得ることができました。

ただし、ビッグデータの出現により、この情報の価値を認識しているエンティティによるデータ侵害やサイバー攻撃の数も増加しています。その結果、企業が消費者の機密情報をどのように扱うかについて懸念が高まっています。規制機関は消費者のデータを保護するための新しい法律を求めていますが、ユーザーはデジタルを維持するためのより匿名の方法を探しています。

##センシティブvs。機密性の低い個人情報

###機密性の高いPII

個人を特定できる情報(PII)は、機密情報または非機密情報の場合があります。機密性の高い個人情報には、次のような法的統計が含まれます。

  • フルネーム

-社会保障番号(SSN)

  • 運転免許証

-郵送先住所

  • クレジットカード情報

-パスポート情報

  • 財務情報

  • 医療記録

上記のリストは決して網羅的なものではありません。クライアントに関するデータを共有する企業は通常、匿名化技術を使用してPIIを暗号化および難読化するため、個人を特定できない形式で受信されます。クライアントの情報をマーケティング会社と共有する保険会社は、データに含まれる機密性の高いPIIをマスクし、マーケティング会社の目標に関連する情報のみを残します。

###非機密PII

非機密または間接のPIIは、電話帳、インターネット、企業ディレクトリなどの公開ソースから簡単にアクセスできます。非機密または間接的なPIIの例は次のとおりです。

  • 郵便番号

  • 人種

  • 性別

  • 生年月日

  • 出生地

  • 宗教

上記のリストには、準識別子と、一般に公開される可能性のある非機密情報の例が含まれています。この種の情報は、個人の身元を特定するために単独で使用することはできません。

ただし、機密性の低い情報は、繊細ではありませんが、リンク可能です。これは、機密性の低いデータを他の個人のリンク可能な情報と一緒に使用すると、個人の身元を明らかにできることを意味します。匿名化と再識別の手法は、準識別子の複数のセットをつなぎ合わせて、ある人を別の人と区別するために使用できる場合に成功する傾向があります。

個人を特定できる情報(PII)の規制と保護は、今後数年間で個人、企業、および政府にとって主要な問題になる可能性があります。

##個人を特定できる情報(PII)の保護

クライアントの個人情報を収集、保存、共有する企業向けのガイドラインを作成するために、さまざまな国で複数のデータ保護法が採用されています。これらの州法で概説されている基本原則のいくつかは、極端な状況でない限り、機密情報を収集してはならないというものです。

また、規制ガイドラインでは、定められた目的でデータが不要になった場合はデータを削除し、保護を保証できない情報源と個人情報を共有しないように規定しています。

サイバー犯罪者はデータシステムに侵入してPIIにアクセスし、PIIは地下のデジタルマーケットプレイスで意欲的な購入者に販売されます。たとえば、2015年に、IRSはデータ侵害に見舞われ、10万人以上の納税者のPIIが盗まれました。

複数のソースから盗まれた準情報を使用して、加害者は納税者だけに知られているはずの個人的な確認の質問に答えることによって、IRSWebサイトアプリケーションにアクセスすることができました。

PIIの保護は、必ずしもサービスプロバイダーの唯一の責任であるとは限りません。場合によっては、個人と共有されることもあります。

##世界中の個人を特定できる情報

PIIを構成するものの定義は、世界のどこに住んでいるかによって異なります。米国では、政府は2020年に、名前、SSN、生体認証情報など、「個人の身元を識別または追跡するために使用できる」ものとして「個人を特定できる」と定義しました。単独で、または生年月日や出生地などの他の識別子と一緒に。

欧州連合(EU)では、 2018年5月に施行された一般データ保護規則(GDPR)で概説されているように、定義が拡張されて準識別子が含まれます。GDPRは、個人の収集と処理に関するルールを設定する法的枠組みです。 EUに住む人々のための情報。

##個人を特定できる情報と個人データ

個人データには、PIIよりも幅広いコンテキストが含まれます。たとえば、IPアドレス、デバイスID番号、ブラウザのCookie、オンラインエイリアス、遺伝子データなどです。宗教、民族、性的指向、病歴などの特定の属性は、個人データとして分類される場合がありますが、個人を特定できる情報ではありません。

##個人を特定できる情報の例

2018年の初めに、Facebook Inc. (META)、現在はMetaは、重大なデータ侵害に巻き込まれました。 3,000万人のFacebookユーザーのプロファイルは、CambridgeAnalyticaという外部企業の同意なしに収集されました。 Cambridge Analyticaは、ケンブリッジ大学で働いていた研究者を通じてFacebookからデータを取得しました。研究者は、性格検査であるFacebookアプリを作成しました。アプリは、モバイルデバイスやWebサイトで使用されるソフトウェアアプリケーションです。

このアプリは、クイズのデータへのアクセスを提供することを志願した人々からの情報を取得するように設計されました。残念ながら、このアプリはクイズの受験者のデータを収集しただけでなく、Facebookのシステムの抜け穴のために、クイズの受験者の友人や家族からもデータを収集することができました。

その結果、5,000万人を超えるFacebookユーザーが、同意なしにCambridgeAnalyticaにデータを公開していました。 Facebookはデータの販売を禁止しましたが、Cambridge Analyticaは振り返り、政治コンサルティングに使用するデータを販売しました。 Facebookの創設者兼CEOであるMarkZuckerbergは、同社の2019年第1四半期の決算発表の中で声明を発表しました。

私たちは、ソーシャルネットワーキングの将来に対するプライバシーに焦点を当てたビジョンを構築し、インターネットに関する重要な問題に協力して取り組むことに重点を置いています。

データ漏えいはFacebookユーザーだけでなく投資家にも影響を及ぼしました。 Facebookの利益は2019年第1四半期に前年同期比で50%減少しました。同社は30億ドルの法定費用を計上し、費用がなければ1株当たり利益は1.04ドル高くなると述べています。

この件の損失の範囲は、30億ドルから50億ドルと見積もっています。問題は未解決のままであり、最終的な結果のタイミングや条件についての保証はありません。

翌日、2019年4月25日、Metaはプラットフォームからの性格検査を禁止すると発表しました。

企業は間違いなく、個人情報(PII)などのデータを収集して、消費者に製品を提供し、利益を最大化する方法に投資するでしょう。それでも、今後数年間でより厳しい規制が課せられるでしょう。

##ハイライト

-機密性の低い個人を特定できる情報は、公開ソースから簡単にアクセスでき、郵便番号、人種、性別、生年月日などを含めることができます。

-ソーシャルメディアサイトは、機密性の低い個人情報と見なされる場合があります。

-パスポートには個人を特定できる情報が含まれています。

-個人を特定できる機密情報には、氏名、社会保障番号、運転免許証、財務情報、医療記録などがあります。

-個人識別情報(PII)は、データを使用して個人の身元を確認します。

##よくある質問

PIIとは何ですか?

個人データは、PIIや、勤務先の会社、共有データ、匿名化されたデータなどの非個人データには分類されません。

PIIと見なされるものは何ですか?

個人を特定できる情報は、米国政府によって次のように定義されています。「名前、社会保障番号、生体記録など、個人の身元を区別または追跡するために使用できる情報。単独で、または特定の個人にリンクまたはリンク可能な他の個人情報または識別情報(生年月日と出生地、母親の旧姓など)と組み合わせた場合。」

PIIを保護する法律は何ですか?

さまざまな連邦および州の消費者保護法がPIIを保護し、その不正使用を制裁しています。たとえば、連邦取引委員会法や1974年のプライバシー法などです。

PIIを電子メールで送信するときに何をする必要がありますか?

電子メールは常に安全であるとは限らないため、PIIに電子メールを送信することは避けてください。必要に応じて、暗号化または安全な検証手法を使用してください。

PII違反とは何ですか?

PII違反は違法であり、多くの場合、個人情報の盗難などの詐欺が含まれます。違反は、PIIの不正アクセス、使用、または開示に起因する場合もあります。 PII違反の報告を怠った場合も、違反となる可能性があります。