個人を特定できる情報(PII)とは何ですか?
個人を特定できる情報(PII)は、単独で、または他の関連データと共に使用すると、個人を特定できる情報です。 PIIには、個人を一意に識別できる直接識別子(パスポート情報など)、または個人を正常に認識するために他の準識別子(生年月日など)と組み合わせることができる準識別子(人種など)が含まれる場合があります。
個人を特定できる情報(PII)を理解する
テクノロジープラットフォームの進歩により、企業の運営方法、政府の立法、および個人の関係が変わりました。 携帯電話、インターネット、eコマース、ソーシャルメディアなどのデジタルツールにより、あらゆる種類のデータの供給が急増しています。
ビッグデータと呼ばれるように、ビジネスによって収集、分析、処理され、他の企業と共有されています。 ビッグデータによって提供される豊富な情報により、企業は顧客とのより良い対話方法についての洞察を得ることができました。
ただし、ビッグデータの出現により、この情報の価値を認識するエンティティによるデータ侵害とサイバー攻撃の数も増加しています。 その結果、企業が消費者の機密情報をどのように扱うかについて懸念が高まっています。 規制機関は消費者のデータを保護するための新しい法律を求めていますが、ユーザーはデジタルを維持するためのより匿名の方法を探しています。
重要なポイント
- 個人を特定できる情報(PII)とは、単独で、または他の関連データと一緒に使用すると、個人を特定できる情報のことです。機密情報は公的な情報源から簡単にアクセスでき、郵便番号、人種、性別、生年月日を含めることができます。
センシティブPIIと非センシティブPII
個人を特定できる情報(PII)は、機密情報でも非機密情報でもかまいません。 機密の個人情報には、次のような法的統計が含まれます。
- 氏名クレジットカード情報パスポート情報
上記のリストは完全なものではありません。 クライアントに関するデータを共有する企業は通常、匿名化技術を使用してPIIを暗号化および難読化するため、個人を特定できない形式で受信されます。 クライアントの情報をマーケティング会社と共有する保険会社は、データに含まれる機密PIIをマスクし、マーケティング会社の目標に関連する情報のみを残します。
非機密または間接PIIは、電話帳、インターネット、企業ディレクトリなどの公開ソースから簡単にアクセスできます。 非機密または間接PIIの例は次のとおりです。
- 郵便番号RaceGender生年月日生年月日宗教
上記のリストには、準識別子と一般に公開できる機密性の低い情報の例が含まれています。 このタイプの情報を単独で使用して個人の身元を判断することはできません。
ただし、デリケートではありませんが、非機密情報はリンク可能です。 これは、非機密データを他の個人のリンク可能な情報とともに使用すると、個人の身元を明らかにできることを意味します。 匿名化と再識別の手法は、複数の準識別子のセットがつなぎ合わされ、ある人を別の人と区別するために使用できる場合に成功する傾向があります。
PIIの保護
さまざまな国で複数のデータ保護法が採用され、クライアントの個人情報を収集、保存、共有する企業向けのガイドラインが作成されています。 これらの法律で概説されているいくつかの基本原則は、極端な状況でない限り、一部の機密情報を収集すべきではないと述べています。
また、規制ガイドラインでは、データがその目的に必要でなくなった場合は削除する必要があり、個人情報は保護を保証できないソースと共有すべきではないことを規定しています。
サイバー犯罪者は、データシステムを侵害してPIIにアクセスし、PIIを地下のデジタルマーケットプレイスの意欲的なバイヤーに販売します。 たとえば、2015年、IRSは10万人以上の納税者のPIIの盗難につながるデータ侵害に苦しみました。 複数のソースから盗まれた準情報を使用して、加害者は納税者だけが知っているはずの個人確認の質問に答えることで、IRS Webサイトアプリケーションにアクセスすることができました。
個人を特定できる情報の規制と保護は、今後数年間で個人、企業、政府にとって支配的な問題となるでしょう。
世界中のPII
PIIを構成するものの定義は、世界のどこに住んでいるかによって異なります。 米国では、政府は2007年に「個人を特定できる」と、名前、SSN、生体認証情報などの「個人のIDを識別または追跡するために使用できるもの」として定義しました。または出生地。
欧州連合(EU)では、2018年5月に施行された一般データ保護規則(GDPR)で概説されているように、定義が準識別子を含むように拡張されます。GDPRは、個人情報の収集と処理の規則を設定する法的枠組みEUにお住まいの方へ。
PIIの例
2018年初頭、Facebook Inc.(FB)は重大なデータ侵害に巻き込まれました。 ガーディアン によって報告されたように、5000万人のFacebookユーザーのプロファイルは、Cambridge Analyticaと呼ばれる外部企業の同意なしに収集されまし た。
Cambridge Analyticaは、ケンブリッジ大学で働いていた研究者を通じてFacebookからデータを取得しました。 研究者は、性格クイズであるFacebookアプリを作成しました。 アプリは、モバイルデバイスやWebサイトで使用されるソフトウェアアプリケーションです。
このアプリは、クイズのためにデータへのアクセスを提供することを志願した人々から情報を取得するように設計されました。 残念ながら、アプリはクイズの受験者のデータを収集しただけでなく、Facebookのシステムに抜け穴があるため、クイズの受験者の友人や家族からもデータを収集することができました。
その結果、5000万人以上のFacebookユーザーが同意なしにデータをCambridge Analyticaに公開しました。 Facebookはデータの販売を禁止しましたが、Cambridge Analyticaは振り返り、政治コンサルティングに使用するデータを販売しました。
Facebookの創設者でありCEOのマーク・ザッカーバーグは、同社の2019年第1四半期の収益リリースの中で声明を発表しました。
私たちは、ソーシャルネットワーキングの将来に対するプライバシー重視のビジョンを構築し、インターネット周辺の重要な問題に取り組むために協力して取り組むことに焦点を当てています。
データ侵害は、Facebookユーザーだけでなく投資家にも影響を及ぼしました。 Facebookの利益は、前年同期と比較して2019年第1四半期に50%減少しました。 同社は30億ドルの訴訟費用を計上しており、費用がなければ1株当たり利益は1.04ドル高くなります。
この問題の損失の範囲は30億ドルから50億ドルと見積もられています。 問題は未解決のままであり、最終結果のタイミングまたは条件に関して保証はありません。
企業は間違いなく、個人を特定できる情報などのデータを収集して消費者に製品を提供し、利益を最大化する方法に投資します。 ただし、PIIの規制と保護は今後数年間で支配的な問題になる可能性があります。