あなたのチームは時間内に次のゼロデイを受け入れますか?
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
個人情報(PII)とは、社会保障番号、氏名、Eメールアドレス、電話番号など、特定の個人に関連し、その個人の身元を明らかにするために使用できる情報、またはその個人の身元を奪取するために使用できる情報のことです。
人々が仕事や私生活でますます情報テクノロジーに依存するようになるにつれ、組織と共有されるPIIの量も増加します。例えば、企業は市場調査のために顧客の個人データを収集し、消費者はサービスに登録したり、オンラインで買い物をしたりするために電話番号や自宅の住所をためらうことなく提供しています。
PIIを共有すると、企業が顧客の要望やニーズに合わせて製品やサービスを調整できるといったメリットが得られます(たとえば、ナビゲーション・アプリでより関連性の高い検索結果を提供するなど)。しかし、組織に蓄積されていくPIIの量が増大するにつれ、サイバー犯罪者の注目も集めます。
ハッカーはPIIを盗み、闇市場で販売したり、ランサムウェアを介してこれら情報を人質に取ったりします。IBMの「2024年データ侵害のコストに関する調査レポート」によると、ランサムウェア攻撃によるデータ侵害の平均コストは568万米ドルでした。個人ユーザーや情報セキュリティーの専門家は、このような攻撃に直面しながらもデータ・プライバシーを維持するために、IT面および法的な面から複雑な状況をナビゲートする必要があります。
AI、サイバーセキュリティ、データ、自動化に関する厳選されたニュースをThinkニュースレターで購読しているセキュリティリーダーに加わりましょう。専門家によるチュートリアルと解説をメールで直接配信することで、手軽に学ぶことができます。IBMプライバシー・ステートメントをご覧ください。
PIIには、直接識別子と間接識別子の2種類があります。直接識別子とはパスポート番号や運転免許証番号などを含む、各個人に固有のものを指します。通常は直接識別子1つでユーザーの身元を特定できます。
間接識別子は一意ではありません。人種や出生地など、より一般的な個人情報が含まれます。単一の間接識別子では個人を識別できませんが、組み合わせれば識別できます。例えば、米国民の87%は、性別、郵便番号、生年月日のみに基づいて識別できます。
すべての個人データがPIIとみなされるわけではありません。例えば、個人のストリーミング習慣に関するデータはPIIではありません。Netflixで視聴した内容のみに基づいて個人を特定するのは、不可能とまではいかないまでも、かなり困難だからです。PIIは、特定の個人を示す情報のみ(たとえば、銀行に連絡するときに身元を確認するために提供する情報など)を指します。
PIIの中には、他の情報よりも機密性が高い情報もあります。機密性の高いPIIとは、個人を直接的に特定できる情報で、漏えいまたは盗用された場合に重大な被害をもたらす可能性のある機密情報のことです。
機密性の高いPIIの例として挙げられるのが、社会保障番号(SSN)です。多くの政府機関や金融機関は個人の身元確認に社会保障番号を使用しているため、社会保障番号を盗んだ犯罪者は被害者の納税記録や銀行口座に簡単にアクセスできます。その他の機密性の高いPIIの例には、次のようなものがあります。
機密性の高いPIIは通常は公開されておらず、既存のデータ・プライバシー法のほとんどでは、組織はそれを暗号化したり、アクセスするユーザーを制御したり、その他のサイバーセキュリティー対策を講じたりして保護することが義務付けられています。
機密性の低いPIIとは、漏えいや盗難にあっても人に重大な損害を与えない個人データです。このデータは各個人に固有の場合もあれば、そうでない場合もあります。例えば、ソーシャルメディア・ハンドルは機密性の低いPIIに当たります。つまり、誰かを特定することはできますが、悪意ある攻撃者がソーシャルメディア・アカウント名だけを使って個人情報を盗むことはできません。機密性の低いPIIのその他の例には、次のものがあります。
機密性の低いPIIは多くの場合、公的に入手可能です。たとえば、電話番号が電話帳に記載されたり、住所が地方自治体の公共財産記録に記載されたりすることがあります。一部のデータ・プライバシー規制では、機密性の低いPIIの保護は必要ありませんが、企業の多くは規制の有無に関係なく安全対策を講じています。 犯罪者が機密性の低いPIIをいくつか集めて組み合わせることで問題を引き起こす可能性があるためです。
例えば、ハッカーは、電話番号、メールアドレス、母親の旧姓を使用して、誰かの銀行口座アプリに侵入する可能性があります。ハッカーはメールアドレスからユーザー名を得ることができ、電話番号を偽装して確認コードを受け取ることができます。母親の旧姓は、セキュリティーの質問に対する答えを提供します。
情報が機密性の高いPIIとなるか、機密性の低いPIIとなるかは、状況に大きく左右されることに注意が必要です。フルネーム(姓名)自体は機密性が低いかもしれませんが、特定の医師を受診した人々の名前の一覧リストは機密性が高くなります。同様に、個人の電話番号は公開されている可能性があるにもかかわらず、ソーシャルメディア・サイトの二要素認証に使用される電話番号のデータベースは、機密性の高いPIIとなります。
情報がPIIと見なされるかどうかは状況によって決まります。例えば、1人のユーザーの身元を切り離すことができないため、集約された匿名の位置情報データは、一般的な個人データと見なされることがよくあります。
ただし、最近の連邦取引委員会(FTC)の訴訟で示されているように、匿名の個々の位置情報データの記録がPIIになる可能性があります。
FTCは、データブローカーのKochava社がPIIとみなされる地理位置情報データを販売していたとする理由として、「同社のカスタマイズされたデータフィードにより、購入者が特定のモバイル・デバイスユーザーを識別して追跡できるため」だと主張し、「例えば、夜間のモバイル・デバイスの位置情報はユーザーの自宅住所である可能性が高く、施設の記録と組み合わせてユーザーの身元を明らかにすることができる」と述べています。
また、テクノロジーの進歩により、より少ない情報で個人を特定することが容易になり、一般にPIIとみなされるものでも、そのしきい値が低くなる可能性があります。例えば、IBMとメリーランド大学の研究者らがあるアルゴリズムを考案しました。このアルゴリズムは、匿名の位置データとソーシャル・ネットワークサイトからの公開情報を組み合わせることにより、特定の個人を識別します。
McKinsey社によると、75%の国がPIIの収集、保持、使用を規制するデータ・プライバシー法を施行しています。管轄区域が異なる場合は、適用される規則が異なったり、矛盾した規則が適用されたりする可能性があるため、これらの規制を遵守することは困難な場合があります。
クラウド・コンピューティングとリモート・ワーカーの増加もさらなる課題を生じています。これらの環境では、ある場所で収集されたデータが別の場所に保存されたうえ、さらなる場所で処理される可能性があります。そのため、各段階でその地理的な場所に応じて異なる規制がデータに適用される場合があります。
事態をさらに複雑にしているのは、異なる規制のため保護を必要とするデータの種類にも、異なる基準が設定されることです。欧州連合のGDPR(一般データ保護規則)では、組織には「特定された、または特定可能な自然人に関するあらゆる情報」と定義されたすべての個人データを保護することが義務付けられています。
GDPRのもと、組織は機密性の高いPIIと機密性の低いPIIを保護する必要があります。また、他の状況では機密データとみなされない可能性のある情報も保護する必要があります。この情報には、政治的意見、所属組織、身体的特徴の説明なども含まれます。
米国政府の行政管理予算局(OMB)は、以下のようにPIIをより厳密に定義します。
姓名、社会保障番号、生体認証記録など、単独で、または生年月日、出生地、母親の旧姓など、特定の個人にリンクされているかリンク可能な他の個人情報または識別情報と組み合わさた場合に、個人の身元を識別または追跡するために使用できる情報。
Gartnerのアナリスト、Bart Willemsen氏が、「米国ではPIIは、名前、住所、SSN、運転免許証番号、クレジットカード番号など、20から30の識別子を指していました」と述べていました。
米国には連邦レベルのデータ・プライバシー法がありませんが、政府機関は、連邦機関によるPIIの収集、使用、共有方法を規定する1974年プライバシー法に従う必要があります。米国の一部の州、特にカリフォルニア州には、独自のデータ・プライバシー規制があります。カリフォルニア州消費者プライバシー法(CCPA)およびカリフォルニア州プライバシー権法(CPRA)は、組織がPIIを収集、保存、使用する方法について消費者に一定の権利を付与しています。
一部の業界には、独自のデータ・プライバシー規制があります。米国では、医療保険の相互運用性と説明責任に関する法律(HIPAA法)により、医療機関が医療記録と患者のPIIを収集および保護する方法が規定されています。
同様に、PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカード会社、販売業者、決済処理業者が機密性の高いカード会員情報をどのように扱うかを規定した世界的な金融業界標準です。
調査によると、組織の多くが、法律と業界標準の変化し続けるこの状況への対処に苦労しているようです。ESGによると、過去3年間にデータ・プライバシー監査を受けた企業のうち66%が少なくとも1回は不合格となり、23%が3回以上不合格となっています。
関連するデータ・プライバシー規制を遵守していない場合は、罰金、評判の低下、ビジネスの損失など、組織への影響が生じる可能性があります。例えば、Amazon社は2021年にGDPRに違反したとして8億8,800万ドルの罰金を科されました。
ハッカーが個人情報を盗む理由はさまざまです。個人情報を盗んだり、脅迫したり、ブラックマーケットで売ったりして、社会保障番号1件につき1米ドル、パスポート番号1件につき2,000米ドルもの額を不正に取得する場合があります。
ハッカーは、より大規模な攻撃の一環として個人情報を標的にすることもあります。ランサムウェアを使用して個人情報を人質に取ったり、スピアフィッシングやビジネスメール詐欺(BEC)を行うために役員のメールアカウントを乗っ取り個人情報を盗んだりします。
サイバー犯罪者は、ソーシャル・エンジニアリング攻撃を利用して、疑いを持たない被害者をだまし、自らPIIを渡させることがよくありますが、ダークウェブ上で個人情報を購入したり、大規模なデータ侵害の一環としてアクセスしたりすることもあります。PIIはウェブ上だけでなく、個人のゴミを漁ったり、コンピューターの使用中にスパイしたりなどの方法で物理的に盗まれる可能性もあります。
また、悪意ある攻撃者がターゲットにしたソーシャルメディア・アカウントを監視することもあります。ソーシャルメディアでは、多くの人が機密性の低いPIIを気づかないうちに毎日共有しています。時間が経つにつれて、攻撃者は被害者になりすましたり、被害者のアカウントに侵入したりするのに十分な情報を収集できます。
組織にとって、PIIの保護は複雑になる可能性があります。クラウド・コンピューティングとSaaSサービスの成長により、PII は単一の集中ネットワークではなく複数の場所に保存され、処理される可能性があります。
ESGのレポートによると、パブリッククラウドに保存される機密データの量は2024年までに2倍になると予想されており、組織の半数以上がこのデータのセキュリティーが十分に確保されていないと考えています。
PIIを保護するために、組織は通常、データ・プライバシー・フレームワークを作成します。これらのフレームワークは、組織、収集するPII、および組織が従う必要があるデータ・プライバシー規制に応じて、さまざまな形式で作成されます。例として、米国国立標準技術研究所(NIST)は以下のサンプル・フレームワークを提供しています。
1. 組織のシステム内すべてのPIIを特定する
2. PIIの収集と使用を最小限に抑え、不要になったPIIは定期的に廃棄する
3. PIIを機密レベルに応じて分類する
4. データ・セキュリティーのコントロール機能を適用。コントロール機能の例としては、次のようなものがあります。
5. PIIの漏えいと侵害に対するインシデント対応計画の草案を作成する
NISTやその他のデータ・プライバシーの専門家の多くが、データの機密性に基づいて、データセットごとに異なるコントロールを適用することを推奨している点に注目すべきでしょう。機密性の低いデータを厳密に管理するのは面倒で、費用対効果も低くなります。