PIIとは？個人を特定できる情報とセキュリティ対策

個人を特定できる情報（PII）とは、特定の個人を識別するために使用される一連のデータのことです。これは機密データとみなされ、個人情報の窃盗にも使用される情報です。PIIは、ユーザーの名前、住所、生年月日のような単純なものから、フルネーム、住所、社会保障番号、財務データのような機密性の高いものまであります。データ漏洩では、PIIはダークネット市場で販売されると高い価値を持つため、攻撃者のターゲットになります。

• 名前
• 名字
• 請求先住所
• 自宅住所
• 社会保障番号
• パスポート情報（またはその画像）

• 運転免許証番号（またはその画像）
• クレジットカード情報（番号、CVV、有効期限）
• 生年月日
• 電話番号
• 認証情報（ユーザー名とパスワード）

• フルネームではなく、名字や名前のみ
• 国名および/または都市名
• 性別

• 人種
• 年齢層（例：30〜40歳）
• 職位またはキャリア情報

上記の項目は、すべてを網羅するものではありません。個人を特定できる情報はすべてPIIとみなされる可能性があります。企業が攻撃者から守り続けるのは、このような情報なのです。

機密性の高い情報は、コンプライアンス基準によって規制され、規制機関が定めたいくつかのサイバーセキュリティ基準によって保護されなければならないため、機密性の高いPIIとそうでないPIIを区別することが重要です。社会保障番号や財務データなど、過度に機密性の高いデータは攻撃から保護するために、より安全性の高いセキュリティが必要です。

PIIの定義と同様に、機密データを定義するものには、決まったルールや基準はありません。電話帳や公共のデータベースで検索できない情報かどうか、一般に公開されている情報かどうかを判断するのがよい方法です。電話番号はプライベートになり得ますが、公開されている電話番号や名前はプライベートなデータとはみなされません。会社のディレクトリにある従業員の名前と電子メールアドレスは機密データではありませんが、その従業員のプライベートな電話番号と住所は機密データとみなされます。

規制基準は、機密データの保存と転送の方法を定義しています。機密データを保存する場合、およびネットワーク経由で転送する場合は、暗号化する必要があります。ドライブやデータベースに保存されているデータは「保存データ」と呼ばれます。企業ネットワークまたはネットワークを介して転送されるデータは「移動中のデータ」と呼ばれます。どちらのバージョンも攻撃者にとって脆弱であり、最高のサイバーセキュリティ防御を適用する必要があります。

PII に加えて、保護された医療情報（PHI）や財務データも基準で規制されており、以下のガイドラインに従ってセキュリティを確保する必要があります。「医療保険の相互運用性と説明責任に関する法律（HIPAA）」は、医療データを監督し、医師、病院、歯科医師、保険会社などのサイバーセキュリティ基準を定めています。また、PCI-DSS、FINRA（Financial Industry Regulatory Authority）、SOX（Sarbanes-Oxley）など、複数の規制機関が金融データを監督しています。これらの基準に違反した場合、数百万ドルの罰金が科せられる可能性があるため、機密データがコンプライアンス基準のいずれかに規制されている場合、準拠することが非常に重要です。

EU一般データ保護規則（GDPR）は、企業が個人情報をどのように扱うべきかを定めています。何が個人情報とみなされ、その保存、保護、削除のために何をしなければならないかについてのガイドラインを提供しています。GDPRチェックリストは、組織がPIIの管理について正しい方向に進んでいるかどうかを確認するための方法を提供します。

GDPRでは、従業員250人の企業とそれ以下の企業との間に線引きがされています。チェックリストは、保存データと移動中のデータを暗号化する方法を組織に指示しています。暗号化は、データが開示されたときに匿名化するための主要な戦略です。たとえ攻撃者が内部ネットワークを侵害できたとしても、暗号化されていれば攻撃者はデータを使えません。

その他のいくつかのサイバーセキュリティ基準では、EU居住者のデータを監督しています。組織は、防御策を設計する際にデータを優先することを保証するだけでなく、顧客が自分のデータがどのように使用されているかを知り、その削除をリクエストするための簡単な方法を提供する必要があります。また、顧客は、組織によるデータの使用と収集を阻止する能力を持つ必要があります。

組織がGDPRに従わなければならない場合、他の規制基準とは異なるため、法律の要件を確認することが不可欠です。例えば、GDPRはクッキーをPIIと見なすことがあると述べています。この法律では、PIIと「個人識別子」を区別しています。個人情報に付加された個人識別子は、基本的な個人情報から個人を特定するために必要なデータを攻撃者に提供することになります。例えば、攻撃者は「John Doe」という名前を使っても大したことはできませんが、地理的な位置情報と組み合わせることで、攻撃者は正しいJohn Doeに検索を絞り込むことができるようになります。

規制ガバナンスのコンプライアンス基準は、個人を特定できる情報を保護するための最良のガイドラインです。これらの基準は、サイバーセキュリティのポリシーを設計し、データの使用方法を管理する際の優れた出発点ですが、すべての企業システムに対する戦略の完全なセットを提供しているわけではありません。その他のサイバーセキュリティ戦略については、組織独自の要件リストに基づいて検討することができます。

例えば、HIPAA や PCI-DSS は、機密データや個人情報を転送する際に SSL/TLS (HTTPS) を使用するよう組織に要求する場合があります。その場合、組織は、データベース内の機密データを暗号化することが求められます。しかし、それに加えて、内部アクセス、バックアップ、アーカイブ、および組織内の誰がPIIを見ることができるかについて、一連の戦略も定義する必要があります。ユーザーがリモートでPIIにアクセスする場合は、VPNと多要素認証（MFA）の使用を義務付ける必要があります。

フィッシング詐欺やソーシャルエンジニアリングによる攻撃は、クレデンシャル盗難の常套手段です。従業員は、フィッシング詐欺やソーシャルエンジニアリングの危険性について教育を受け、攻撃を認識し、報告するよう指導されなければなりません。データとそれにアクセスする人々を監督する規制ガイドラインに関する全体的な教育も、従業員教育の一環とする必要があります。フィッシング詐欺を阻止するために、電子メールフィルター、DMARC、SPF、DNSベースのコンテンツブロッカーなど、他のいくつかのサイバーセキュリティソリューションを使用することができます。

サイバーセキュリティ戦略は、少なくとも年1回、定期的に見直す必要がありますが、より頻繁に行うことを選択する組織もあります。インシデント対応における１つのフェーズで得た教訓は戦略の問題点を見つけるのに役立ちますが、それはデータ侵害がすでに起こってしまった後にのみ有効です。現在のサイバーセキュリティ戦略と導入されたインフラを定期的に見直すことで、ITスタッフは現在の防御の弱点をよりよく認識することができます。

PHI、PII、個人財務情報（PFI）、電子PHI（ePHI）は、物理的にも仮想的にも保護されなければならないデジタルデータの一種です。最初のステップは、組織がデータを収集するすべての方法を特定し、データの取り扱い方法を監督する規制基準も特定し、そして、すべてのガイドラインに準拠した戦略を適用することです。