Apa yang dimaksud dengan informasi identifikasi pribadi (PII)?

Dengan makin meningkatnya ketergantungan masyarakat terhadap teknologi informasi dalam pekerjaan dan kehidupan pribadi mereka, jumlah PII yang dibagikan kepada organisasi-organisasi pun makin bertambah. Sebagai contoh, perusahaan mengumpulkan data pribadi pelanggan untuk memahami pasar mereka, dan konsumen dengan mudah memberikan nomor telepon dan alamat rumah mereka untuk mendaftar ke layanan dan berbelanja online.

Berbagi PII dapat memberikan manfaat, karena memungkinkan bisnis untuk menyesuaikan produk dan layanan dengan keinginan dan kebutuhan pelanggan mereka, misalnya untuk menyajikan hasil pencarian yang lebih relevan di aplikasi navigasi. Namun, koleksi PII yang terus bertambah di penyimpanan organisasi akan menarik perhatian para penjahat siber.

Peretas mencuri PII untuk melakukan pencurian identitas, menjualnya di pasar gelap, atau menyanderanya dengan ransomware. Menurut laporan Biaya Pelanggaran Data 2024 dari IBM, rata-rata biaya pelanggaran data yang disebabkan oleh serangan ransomware adalah 5,68 juta USD. Perorangan dan profesional keamanan informasi harus menavigasi lanskap TI dan hukum yang kompleks demi menjaga privasi data dalam menghadapi serangan ini.

Ada dua jenis PII: pengidentifikasi langsung dan pengidentifikasi tidak langsung. Pengidentifikasi langsung bersifat unik bagi seseorang dan mencakup hal-hal seperti nomor paspor atau nomor SIM. Satu pengidentifikasi langsung biasanya cukup untuk menentukan identitas seseorang.

Pengidentifikasi tidak langsung bersifat tidak unik. Pengidentifikasi ini menyertakan detail pribadi yang lebih umum, seperti ras dan tempat lahir. Meskipun satu pengidentifikasi tidak langsung tidak dapat mengidentifikasi seseorang, kombinasi dari beberapa informasi tersebut dapat melakukannya. Misalnya, 87% warga negara AS dapat diidentifikasi hanya berdasarkan jenis kelamin, kode pos, dan tanggal lahir mereka.

Tidak semua data pribadi dianggap sebagai PII. Misalnya, data tentang kebiasaan streaming seseorang bukanlah PII. Ini karena akan sulit, bahkan tidak mungkin, untuk mengidentifikasi seseorang hanya berdasarkan apa yang mereka tonton di Netflix. PII hanya mengacu pada informasi yang mengarah ke orang tertentu, misalnya jenis informasi yang mungkin Anda berikan untuk memverifikasi identitas saat menghubungi bank Anda.

Di antara PII yang ada, beberapa informasi lebih sensitif daripada yang lain. PII sensitif adalah informasi sensitif yang secara langsung mengidentifikasi seseorang dan dapat menyebabkan kerugian yang signifikan jika bocor atau dicuri.

Nomor jaminan sosial (social security number, SSN) adalah contoh PII sensitif yang tepat. Karena banyak instansi pemerintah dan lembaga keuangan menggunakan SSN untuk memverifikasi identitas seseorang, penjahat yang mencuri SSN dapat dengan mudah mengakses arsip pajak atau rekening bank korbannya. Contoh lain dari PII sensitif meliputi:

• Nomor identifikasi unik, seperti nomor SIM, nomor paspor, dan nomor identitas lain yang diterbitkan pemerintah.
• Data biometrik, seperti sidik jari dan pemindaian retina.
• Informasi keuangan, termasuk nomor rekening bank dan nomor kartu kredit.
• Rekam medis.

PII sensitif biasanya tidak tersedia untuk umum, dan sebagian besar undang-undang privasi data yang ada mengharuskan organisasi untuk menjaganya dengan mengenkripsinya, mengontrol siapa yang mengaksesnya, atau mengambil tindakan keamanan siber lainnya.

PII nonsensitif adalah data pribadi yang, secara terpisah, tidak akan menyebabkan kerugian signifikan bagi seseorang jika bocor atau dicuri. Informasi ini mungkin atau mungkin tidak unik untuk seseorang. Sebagai contoh, nama akun media sosial adalah PII nonsensitif. Artinya, PII tersebut dapat mengidentifikasi seseorang, tetapi pelaku kejahatan tidak dapat melakukan pencurian identitas hanya dengan berbekal nama akun media sosial. Contoh lain dari PII nonsensitif meliputi:

• Nama lengkap seseorang
• Nama gadis ibu
• Nomor telepon
• Alamat IP
• Tempat lahir
• Tanggal lahir
• Detail geografis (kode pos, kota, negara bagian, negara, dll.)
• Informasi pekerjaan
• Alamat email atau alamat surat
• Ras atau etnis
• Agama

PII nonsensitif sering kali tersedia untuk umum. Sebagai contoh, nomor telepon dapat dicantumkan dalam buku telepon, dan alamat dapat dicantumkan dalam data properti publik pemerintah daerah. Beberapa peraturan privasi data tidak memerlukan perlindungan PII nonsensitif, tetapi banyak perusahaan tetap menerapkan perlindungan. Hal ini dikarenakan penjahat tetap dapat menimbulkan masalah dengan menggabungkan beberapa bagian PII nonsensitif.

Sebagai contoh, seorang peretas dapat membobol aplikasi rekening bank seseorang dengan nomor telepon, alamat email, dan nama gadis ibu dari orang tersebut. Email akan memberikan nama pengguna (username). Dengan memalsukan nomor telepon, peretas dapat menerima kode verifikasi. Nama gadis ibu bisa menjadi jawaban atas pertanyaan keamanan.

Penting untuk dicatat bahwa penentuan suatu informasi sebagai PII sensitif atau nonsensitif akan sangat bergantung pada konteks. Nama lengkap sendiri mungkin bersifat nonsensitif, tetapi daftar orang-orang yang pernah mengunjungi dokter tertentu akan menjadi informasi sensitif. Demikian pula, nomor telepon seseorang mungkin tersedia untuk umum, tetapi database nomor telepon yang digunakan untuk autentikasi dua faktor di situs media sosial merupakan PII sensitif.

Konteks juga menentukan apakah suatu informasi dapat dianggap sebagai PII atau bukan. Sebagai contoh, data geolokasi anonim yang dikumpulkan sering kali dilihat sebagai data pribadi umum karena identitas setiap pengguna tidak dapat diisolasi.

Namun, setiap catatan dari data geolokasi anonim dapat menjadi PII, seperti yang ditunjukkan dalam gugatan Federal Trade Commission (FTC) baru-baru ini.

FTC berpendapat bahwa pialang data Kochava menjual data geolokasi yang dianggap sebagai PII karena "umpan data khusus perusahaan tersebut memungkinkan pembeli untuk mengidentifikasi dan melacak pengguna perangkat seluler tertentu. Sebagai contoh, lokasi perangkat seluler di malam hari kemungkinan besar adalah alamat rumah pengguna dan dapat dikombinasikan dengan data properti untuk mengungkap identitas mereka".

Kemajuan teknologi juga memudahkan untuk mengidentifikasi orang-orang dengan lebih sedikit informasi, yang berpotensi menurunkan ambang batas untuk informasi yang dianggap sebagai PII secara umum. Sebagai contoh, para peneliti di IBM dan University of Maryland telah merancang sebuah algoritma. Algoritma ini mengidentifikasi orang-orang tertentu dengan menggabungkan data lokasi anonim dengan informasi yang tersedia secara publik dari situs jejaring sosial.

Menurut McKinsey, 75% negara telah menerapkan undang-undang privasi data yang mengatur pengumpulan, penyimpanan, dan penggunaan PII. Mematuhi peraturan ini bisa jadi sulit karena yurisdiksi yang berbeda mungkin memiliki aturan yang berbeda atau bahkan bertentangan.

Munculnya komputasi cloud dan tenaga kerja jarak jauh juga menimbulkan tantangan. Dalam lingkungan ini, data dapat dikumpulkan di satu tempat, disimpan di tempat lain, dan diproses di tempat ketiga. Peraturan yang berbeda mungkin berlaku untuk data pada setiap tahap, tergantung pada lokasi geografisnya.

Yang lebih rumit lagi, berbagai peraturan menetapkan standar yang berbeda untuk jenis data mana yang harus dilindungi. General Data Protection Regulation (GDPR) Uni Eropa mengharuskan organisasi melindungi semua data pribadi, yang didefinisikan sebagai "setiap informasi yang berkaitan dengan orang perseorangan yang teridentifikasi atau dapat diidentifikasi."

Berdasarkan GDPR, organisasi harus melindungi PII sensitif dan nonsensitif. Organisasi juga harus melindungi hal-hal yang bahkan mungkin tidak dianggap sebagai data sensitif dalam konteks lain. Informasi ini mencakup opini politik, afiliasi organisasi, dan deskripsi karakteristik fisik. 

Kantor Manajemen dan Anggaran (Office of Management and Budget, OMB) pemerintah AS secara lebih sempit mendefinisikan PII sebagai:

Informasi yang dapat digunakan untuk membedakan atau melacak identitas seseorang, seperti nama, nomor jaminan sosial, rekaman biometrik, dll. baik secara terpisah, maupun ketika dikombinasikan dengan informasi pribadi atau identifikasi lainnya yang terkait atau dapat dikaitkan dengan orang tertentu, seperti tanggal dan tempat lahir, nama gadis ibu, dll.

Seperti yang dikatakan oleh analis Gartner, Bart Willemsen, "Di AS... PII secara historis mengacu pada dua atau tiga puluhan pengidentifikasi seperti nama, alamat, nomor jaminan sosial, surat izin mengemudi, atau nomor kartu kredit".

Meskipun AS tidak memiliki undang-undang privasi data di tingkat federal, lembaga pemerintah tunduk pada Privacy Act of 1974, yang mengatur cara lembaga federal mengumpulkan, menggunakan, dan membagikan PII. Beberapa negara bagian di AS memiliki peraturan privasi data tersendiri, terutama California. California Consumer Privacy Act (CCPA) dan California Privacy Rights Act (CPRA) memberi hak tertentu bagi konsumen terkait cara organisasi mengumpulkan, menyimpan, dan menggunakan PII mereka.

Beberapa industri juga memiliki peraturan privasi data tersendiri. Di Amerika Serikat, Health Insurance Portability and Accountability Act (HIPAA) mengatur cara organisasi layanan kesehatan mengumpulkan dan melindungi rekam medis dan PII pasien.

Demikian pula, Payment Card Industry Data Security Standard (PCI DSS) adalah standar industri keuangan global yang mengatur cara perusahaan kartu kredit, merchant, dan pemroses pembayaran menangani informasi pemegang kartu yang sensitif.

Penelitian menunjukkan bahwa organisasi mengalami kesulitan dalam menavigasi lanskap hukum dan standar industri yang beragam ini. Menurut ESG, 66% perusahaan yang telah menjalani audit privasi data dalam tiga tahun terakhir mengalami kegagalan audit setidaknya sekali, dan 23% tidak lulus audit sebanyak tiga kali atau lebih.

Ketidakmampuan untuk mematuhi peraturan privasi data yang relevan dapat menimbulkan denda, kerusakan reputasi, kehilangan bisnis, dan konsekuensi lainnya bagi organisasi. Misalnya, Amazon dijatuhi denda sebesar 888 juta USD karena telah melanggar GDPR pada tahun 2021.

Peretas mencuri PII karena berbagai alasan: untuk melakukan pencurian identitas, untuk pemerasan, atau untuk menjualnya di pasar gelap, di mana mereka dapat memperoleh hingga 1 USD per nomor jaminan sosial dan 2.000 USD per nomor paspor.

Peretas juga dapat menargetkan PII sebagai bagian dari serangan yang lebih besar: Mereka dapat menyandera PII menggunakan ransomware atau mencuri PII untuk mengambil alih akun email pejabat eksekutif untuk digunakan dalam penipuan phishing tombak (spear phishing) dan penyusupan email bisnis (business email compromise, BEC).

Penjahat siber sering menggunakan serangan rekayasa sosial untuk menipu korban yang tidak menaruh curiga agar rela menyerahkan PII. Namun, mereka juga dapat membeli PII di dark web atau mendapatkan akses sebagai bagian dari pelanggaran data yang lebih besar. PII dapat dicuri secara fisik dengan mengais sampah seseorang atau mengintai seseorang saat menggunakan komputer.

Pelaku kejahatan juga dapat memantau akun media sosial target, di mana banyak orang tanpa sadar membagikan PII nonsensitif setiap hari. Seiring waktu, penyerang dapat mengumpulkan informasi yang cukup untuk menyamar sebagai korban atau membobol akun mereka.

Bagi organisasi, melindungi PII bisa jadi rumit. Pertumbuhan komputasi cloud dan layanan SaaS menyebabkan PII mungkin disimpan dan diproses di beberapa lokasi, bukan di satu jaringan terpusat.

Menurut laporan dari ESG, jumlah data sensitif yang disimpan di cloud publik diperkirakan akan berlipat ganda pada tahun 2024, dan lebih dari separuh organisasi meyakini bahwa data ini tidak cukup aman.

Untuk melindungi PII, organisasi biasanya membuat kerangka kerja privasi data. Kerangka kerja ini dapat memiliki bentuk beragam, tergantung pada organisasi, PII yang dikumpulkan, dan peraturan privasi data yang harus dipatuhi. Sebagai contoh, National Institute of Standards and Technology (NIST) menyediakan contoh kerangka kerja ini

1. Mengidentifikasi semua PII dalam sistem organisasi.

2. Meminimalkan pengumpulan dan penggunaan PII, dan secara teratur membuang PII yang tidak lagi diperlukan.

3. Mengategorikan PII menurut tingkat sensitivitas.

4. Menerapkan kontrol keamanan data. Contoh kontrol dapat mencakup:

• Enkripsi: Mengenkripsi PII saat dalam pengiriman, dalam penyimpanan, dan saat aktif melalui enkripsi homomorfik atau komputasi rahasia dapat membantu menjaga keamanan dan kepatuhan PII, di mana pun PII tersebut disimpan atau ditangani.
  
  
• Manajemen identitas dan akses (Identity and access management, IAM): Autentikasi dua faktor atau multifaktor dapat menempatkan lebih banyak penghalang antara peretas dan data sensitif. Demikian pula, menegakkan prinsip hak istimewa terendah melalui arsitektur zero trust dan kontrol akses berbasis peran (role-based access control, RBAC) dapat membatasi jumlah PII yang dapat diakses oleh peretas jika mereka berhasil membobol jaringan.
  
  
• Pelatihan: Karyawan perlu belajar cara menangani dan membuang PII dengan benar. Mereka juga perlu belajar cara melindungi PII mereka sendiri. Pelatihan ini mencakup topik seperti anti-phishing, rekayasa sosial, dan kesadaran media sosial.
  
  
• Anonimisasi: Anonimisasi data adalah proses menghapus karakteristik identifikasi data sensitif. Teknik anonimisasi yang umum termasuk menghapus pengidentifikasi dari data, menggabungkan data, atau menambahkan kebisingan secara strategis ke data.
  
  
• Alat keamanan siber: Alat pencegahan kehilangan data (data loss prevention, DLP) dapat membantu melacak data saat bergerak di seluruh jaringan, sehingga lebih mudah mendeteksi kebocoran dan pelanggaran. Solusi keamanan siber lainnya yang menawarkan gambaran umum aktivitas di jaringan, misalnya alat Extended Detection and Response (XDR), juga dapat membantu melacak penggunaan dan penyalahgunaan PII.

5. Menyusun rencana respons insiden terhadap kebocoran dan pelanggaran PII.

Perlu dicatat bahwa NIST dan pakar privasi data lainnya sering kali merekomendasikan penerapan berbagai kontrol pada berbagai kumpulan data berdasarkan tingkat sensitivitas data tersebut. Menggunakan kontrol ketat untuk data nonsensitif bisa jadi rumit dan tidak hemat biaya.