個人を特定できる情報（PII）の特定と保護

あなたの情報、守れますか？

2024年4月6日
著者: Ahona Rudra
翻訳: 岩瀨　彩江

この記事はPowerDMARCのブログ記事 Identifying and Safeguarding PII (Personally Identifiable Information) の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

誰が、自分の個人を特定できる情報（PII）や機密データを不正行為に使われたいと思うでしょうか？
しかし悲しいことに、これは今や一般的なことになってしまっています。
最近の報告によると、2021年から2023年の間に発生したデータ侵害のほぼ50％が顧客の個人を特定できる情報（PII）に関するものであり、そのうち40％は従業員のデータでした。

このデータは2023年10月に実施された調査で記録されたものです。
PII自体はそれほど複雑なものではありませんが、それが何であるのか、そしてそれを保護することの重要性を理解することは非常に大切です。
このガイドでは、あなたのPIIと自身を守るために役立つすべての答えを紹介しています。

重要なポイント

1. PII（個人を特定できる情報）には、個人を識別するために使用される可能性のある「機微情報」と「非機微情報」の両方が含まれます。
2. 機微なPIIが漏えいすると重大な被害を引き起こす可能性がありますが、非機微なPIIはそれ単体では比較的危険性が低いです。
3. 企業は、収集および保管するPIIを保護するために、強固な対策を講じる必要があります。
4. データ侵害は、フィッシングやマルウェアなど、さまざまな手段によって発生する可能性があるため、常に警戒を怠らないことが重要です。
5. GDPR（一般データ保護規則）やHIPAA（医療保険の携行性と責任に関する法律）などの法令を遵守することは、個人情報を保護し、罰則を回避するために企業にとって不可欠です。

PII（個人を特定できる情報）とは何か？

PIIとは、あなたの身元を示す重要な情報であり、あなた個人を直接特定できる情報のことです。
それは、単体でも、また他の情報と組み合わせても、あなたの正体を明らかにできる「秘密のコード」のようなものだと考えてください。
つまり、単なる氏名や住所だけでなく、組み合わせることで「あなた」という全体像を形作るパズルのピースのようなものなのです。

たとえば、あなたの名前が「ジョン」だとしましょう。
この場合、同じ名前の人は世界中にたくさんいるため、「ジョン」という名前だけではPIIとはみなされません。
しかし、「ジョン・ドウ」という名前で、マンハッタンに住み、社会保障番号が「AXY123」であるとすれば、これはPIIとなり、他の地域に住む他のジョンとは一意に区別できるようになります。

PIIは「非機微情報」と「機微情報」に分類されます。
次の章では、それについて説明します。

非機微情報と機微情報（PII）

米国国防総省（DoD）は、PIIに該当する具体的な例を提示しています。
社会保障番号から個人住所に至るまで、これらすべてが個人を特定できる情報に分類されます。
ここでは、PIIの2つの明確なカテゴリーを見ていきましょう。

機微情報（Sensitive PII）

機微なPIIとは、個人を容易に特定できる情報のことです。
この種類のPIIがサイバー犯罪者の手に渡ると、本人に深刻な被害を与える可能性があります。

機微な個人を特定できる情報の例

• 社会保障番号（SSN）
• 運転免許証
• 郵送先住所
• クレジットカード情報
• パスポート情報
• 財務情報
• 医療記録

非機微情報（Non-sensitive PII）

旧姓など、個人を識別することはできるものの、それ自体では悪用される危険性が低い情報は「非機微PII」と定義されます。

非機微な個人を特定できる情報の例

• 名（ファーストネーム）
• 郵便番号
• 人種
• 性別
• 生年月日
• 出生地
• 宗教

あなた、または企業がPIIを収集したい場合は、オンラインフォーム、アンケート、ソーシャルメディアなどを利用する必要があります。
この際、可能であれば秘密保持契約（NDA）を締結することが望ましいです。
また、自分のPIIを誰かに提供する際は、その相手が情報の「利用・保管・保護」に関して適切な計画や対策を講じているかどうかを必ず確認してください。

PIIが重要である理由

PII（個人を特定できる情報）は、あなたのデータを保護する上で非常に重要です。
あなたのPIIを保有している企業や組織には、法的にそれをあらゆる手段で保護する義務があります。

これは、あなたの個人情報の安全性とセキュリティを保証するものです。
企業は、あなたの情報を以下のようなさまざまな目的で利用することがあります。

• ターゲット広告
• 不正防止
• 法執行機関による捜査
• 信用スコアリング
• 雇用時の身元確認

PIIはどのように盗まれるのか

ドメイン名やメールアドレスを偽装したソーシャルエンジニアリング攻撃などにより、人々が自分のPIIを漏らしてしまうことがあります。
また、メールアカウントのハッキングやデータ侵害によって、個人情報が流出する可能性もあります。
以下は、PIIが盗まれる一般的な手口の例です。

フィッシングメール

偽のメールを送りつけ、受信者をだましてPIIを入力させる手口。

データ侵害

攻撃者がシステムの脆弱性を悪用し、機密データベースに侵入する手法。

ダンプスターダイビング

PIIを含む破棄文書をゴミ箱などから回収する行為。

ソーシャルエンジニアリング

人の心理を操り、個人情報を聞き出す手口。

マルウェ

コンピュータに侵入し、PIIを含むファイルを不正に取得する悪意あるソフトウェア。

内部脅威

従業員など内部関係者が、金銭目的や悪意を持ってPIIを漏洩させるケース。

サイバー盗聴（Eavesdropping）

オンライン通信を傍受してPIIを盗み取る行為。

メールアカウントのハッキング

アカウントを乗っ取り、メール内容からPIIを読み取る攻撃。

中間者攻撃（Man-in-the-Middle Attack）

通信の途中で情報を傍受・改ざんしてPIIを盗む手法。

ブルートフォース攻撃

パスワードを総当たりで試し、不正にアカウントへアクセスしてPIIを奪う攻撃。

PIIを保護する方法

各国では、企業が顧客の個人情報を収集・保管・共有する際の指針を定めるため、さまざまなデータ保護法が制定されています。
ここでは、PIIを安全に守るための方法を紹介します。

個人としてできる対策

• 必要な場面では、常に強力なパスワードを使用する。
• インターネット上で共有する情報には細心の注意を払う。
• 定期的に信用情報（クレジットレポート）を確認し、不正利用の兆候をチェックする。

企業として行うべき対策

• 特定のサービス提供に必要な最小限のPIIのみを収集する。
• 社員や顧客のPIIが不正アクセスされないよう、強固な暗号化技術を導入する。
• PIIへのアクセスは、業務上必要な社員のみに限定する。
• 従業員に対して、PII保護の重要性と対策を教育する研修を実施する。
• 突発的なセキュリティ侵害に備えて、常に監視体制を整えておく。
• データ侵害発生時に迅速に対応し被害を最小限に抑えるための「インシデント対応計画（データ侵害対応計画）」を策定しておく。

また、米国国土安全保障省（DHS）も、PIIを安全に保護・共有するための指針をまとめた有用な文書を公開しています。

データ侵害からPIIを保護することの重要性

データ侵害とは、企業から正式な許可を得ていない者がコンピュータシステムにアクセスし、機微な情報を取得してしまう事象を指します。
調査によると、2023年には全世界で600万件を超える記録が流出したと報告されており、これは企業経営者にとって最も深刻な懸念事項の一つとなっています。
こうしたデータ侵害は、以下のようなさまざまな原因によって発生します。

• マルウェア感染
• ハッキング
• 人為的ミス

企業がデータ侵害から自社データおよびPIIを保護するためには、次のような取り組みが効果的です。

• 適切なセキュリティ対策を導入する。
• サイバーセキュリティ分野における最新のベストプラクティスを従業員に教育する。
• データ侵害が発生した場合に迅速に対応・修復できるよう、対応計画（インシデントレスポンス計画）を策定しておく。

PIIに関する法律と規制

PIIは、多くの法律や規制によって保護されています。
これらの法令は、個人のプライバシーを守り、なりすましなどの脅威から人々を保護することを目的としています。

1．1974年プライバシー法（Privacy Act of 1974）

1974年プライバシー法は、連邦政府機関がPIIを収集・利用・開示する際のルールを定めています。
この法律により、連邦機関は個人に対して自分のPIIがどのように利用・開示される可能性があるのかを通知する義務を負います。

また、規定に違反した場合には罰則が科されることもあります。
ただし、この法律には特定の例外や特別なケースも存在します。

2．医療保険の携行性と責任に関する法（HIPAA）

次に挙げられるのが、HIPAA（Health Insurance Portability and Accountability Act）です。
この法律は、医療記録の守護者ともいえる存在であり、医療機関や医療従事者に対し、患者の情報を厳重に管理することを義務付けています。
患者の同意なしに医療記録を開示してはならないと明確に定めており、医療分野における個人情報保護の基盤となっています。

3．情報自由法（Freedom of Information Act／FOIA）

また、FOIA（情報自由法）も重要な法令の一つです。
この法律は、国民が政府の保有する文書にアクセスできる権利を保障するもので、「極秘事項でない限り、情報を公開すべし」という原則を定めています。

つまり、政府の情報に対する国民の「舞台裏へのアクセス権」を与えるような法律です。
ただし、FOIAはPIIの保護にも配慮しており、個人を特定できる情報や、開示によって損害が生じるおそれのある情報は公開しないよう、法執行機関に求めています。

4．一般データ保護規則（GDPR：General Data Protection Regulation）

1995年に制定されたデータ保護指令（Data Protection Directive）を引き継ぐ形で、後に導入されたのがGDPR（一般データ保護規則）です。
この法律は、個人情報の保護を強化するためにEUが制定したもので、EU市民の個人データを取り扱うすべての企業に適用されます。
つまり、企業がEU域内に拠点を置いていなくても、EU市民のデータを扱う場合は、米国企業など国外企業も同様のルールに従わなければなりません。

規則に違反した場合、全世界年間売上高の4％または2,000万ユーロのいずれか高い方という非常に高額な罰金が科される可能性があります。
さらに、個人は自分のGDPR上の権利が侵害されたと感じた場合、監督機関に苦情を申し立てる権利を有しています。

GDPRは、データプライバシーの「世界的な保安官」とも言える存在であり、企業が個人情報を軽視して扱うことを防ぐ役割を果たしています。
まさに、デジタル社会におけるあなたのデータの守護者なのです。

企業が顧客データを保護する方法

セキュリティ体制を強化したい企業は、次の実践的な対策を検討することが推奨されます。

1．ネットワーク分割（Network Segmentation）の導入

自社のデジタル環境を複数のセグメントに分け、万が一一部が侵害されても他の領域への被害拡大を防ぎます。
まるでデータ保管庫の中に複数の「秘密の区画」を設けるような仕組みです。

2．セキュリティポリシーと手順の徹底

社内で統一されたルールを明確に定め、全従業員がそれに従うよう徹底します。
いわば「セキュリティハンドブック」を設け、何が許され、何が禁止されているのかを全員が理解しておくことが重要です。

3．データの定期的なバックアップ

データを「財宝」にたとえるなら、バックアップはその「秘密の隠し場所」です。
たとえサイバー攻撃（デジタル海賊）が発生しても、バックアップがあれば重要なデータをすぐに復旧できます。

4．データ侵害対応計画（インシデントレスポンスプラン）の策定

トラブルの早期発見から復旧までの手順を明確にし、発生時に迅速かつ的確に対応できるように準備しておくことが大切です。

個人情報の盗用および不正使用の影響

個人情報の盗用は冗談ではありません。
それは深刻な金銭的問題を引き起こす可能性があります。
あなたになりすました誰かが、あなたの許可なく買い物をしたり、あなたの名義でローンを組んだり、さらに悪いことに違法行為を行ったりすることを想像してみてください。

個人情報の盗用やPII（個人を特定できる情報）の流出は、次のような結果を招く可能性があります。

1. 深刻な金銭的損害
2. 精神的苦痛や不安
3. あなたの名義で行われた犯罪による法的トラブル
4. 業界内での信用や評判の失墜
5. 顧客からの信頼の喪失

最後に

PII（個人を特定できる情報）を取得するためによく使われる手口のひとつは、あなたのドメイン名を装ったフィッシングメールです。
これを防ぐために、メールおよびドメインにDMARCを設定することをお勧めします。

そして、安全に導入と監視を行う最適な方法は、PowerDMARCを利用することです。
私たちは、メール認証を通じてメール詐欺を最小限に抑えることを専門とするドメインセキュリティの専門チームです。
今すぐご連絡いただき、無料のDMARCトライアルをお試しください。

インターネット上では、できるだけ個人情報を共有しないようにしましょう。
安全に、そして警戒を怠らずにオンライン活動を行ってください。