個人を特定できる情報 (PII)
個人を特定できる情報 (PII) とは何ですか?
個人を特定できる情報 (PII)氏名、識別子、生体情報など、単独で、あるいは他の情報と組み合わせることで特定の個人を識別できるあらゆるデータ。
個人を特定できる情報 (PII) とは、氏名・公的 ID・メールアドレスなど直接的に、または生年月日・郵便番号・端末識別子などを組み合わせて間接的に、特定の個人を識別・追跡できるデータを指します。規制当局は直接識別子、準識別子、要配慮個人情報(医療・生体情報など)を区別し、GDPR 第 9 条や HIPAA などのセクター別法令で後者により厳格な要件を課しています。組織は PII を棚卸ししてデータ分類を行い、保存中および通信中に暗号化し、Need-to-know 原則でアクセスを制限し、処理活動を記録します。優れたプログラムでは、適法根拠・最小化・保存期間も文書化し、漏えい時の影響を最小化します。
● 例
- 01
氏名、メールアドレス、電話番号を含む顧客レコードを CRM に保管する例。
- 02
従業員番号、社会保障番号、給与情報を結び付けた人事データベース。
● よくある質問
個人を特定できる情報 (PII) とは何ですか?
氏名、識別子、生体情報など、単独で、あるいは他の情報と組み合わせることで特定の個人を識別できるあらゆるデータ。 サイバーセキュリティの プライバシーとデータ保護 カテゴリに属します。
個人を特定できる情報 (PII) とはどういう意味ですか?
氏名、識別子、生体情報など、単独で、あるいは他の情報と組み合わせることで特定の個人を識別できるあらゆるデータ。
個人を特定できる情報 (PII) はどのように機能しますか?
個人を特定できる情報 (PII) とは、氏名・公的 ID・メールアドレスなど直接的に、または生年月日・郵便番号・端末識別子などを組み合わせて間接的に、特定の個人を識別・追跡できるデータを指します。規制当局は直接識別子、準識別子、要配慮個人情報(医療・生体情報など)を区別し、GDPR 第 9 条や HIPAA などのセクター別法令で後者により厳格な要件を課しています。組織は PII を棚卸ししてデータ分類を行い、保存中および通信中に暗号化し、Need-to-know 原則でアクセスを制限し、処理活動を記録します。優れたプログラムでは、適法根拠・最小化・保存期間も文書化し、漏えい時の影響を最小化します。
個人を特定できる情報 (PII) からどのように防御しますか?
個人を特定できる情報 (PII) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
個人を特定できる情報 (PII) の別名は何ですか?
一般的な別名: 個人データ, 個人情報。
● 関連用語
- privacy№ 276
データ分類
機微性と価値に基づきデータにラベルを付ける一連のプロセスで、保護・取り扱い・保存の各統制を一貫して適用するための基盤。
- privacy№ 280
データ最小化
明示された適法な目的に必要な範囲でのみ個人データを取得・処理・保存することを求めるプライバシー原則。
- privacy№ 278
情報漏えい対策 (DLP)
エンドポイント・ネットワーク・メール・クラウドにおいて機微データの不正な持ち出しを検知・遮断する技術と運用ポリシーの総称。
- compliance№ 440
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
- privacy№ 875
仮名化
個人データの直接識別子を可逆的なエイリアスに置き換え、別途保管される追加情報がなければ個人に紐付けられない状態にする手法。
- privacy№ 279
データマスキング
機微データを、現実的だが架空の値に置き換えることで、下流のユーザー・アプリ・環境がオリジナルを暴露せずにデータを利用できるようにする手法。
● 関連項目
- № 576k-匿名性
- № 286データ主体アクセス要求 (DSAR)
- № 1164トークナイゼーション(プライバシー)
- № 275データ侵害
- № 277データリーク
- № 511なりすまし(個人情報盗用)
- № 355ドキシング (Doxxing)
- № 1118スワッティング (Swatting)