個人情報（PII）とは、社会保障番号、氏名、Eメール・アドレスなど、特定の個人の身元を明らかにするために使用できる、その個人に関連するあらゆる情報のことです。

人々が仕事や私生活で情報技術に依存する度合いが高まるにつれて、組織と共有されるPIIの量は増加しています。 例えば、企業は市場を理解するために顧客の個人データを収集し、消費者はサービスに申し込んだり、オンラインで買い物をしたりするために、電話番号や自宅の住所を簡単に提供します。 

PIIを共有することで、ナビゲーション・アプリでより関連性の高い検索結果を表示するなど、企業が顧客の要望やニーズに合わせて製品やサービスを調整できるようになるというメリットがあります。 しかし、組織によって蓄積されるPIIの宝庫が増えていることは、サイバー犯罪者にとって魅力的なことです。 ハッカーはPIIを盗み、成り済まし犯罪を犯したり、IDをブラック・マーケットで販売したり、ランサムウェアで人質にしたりします。 IBMの「データ侵害のコスト（2022）」レポートによると、83%の企業が複数回のデータ侵害に遭っており、その平均的な被害は435万米ドルに上ります。 個人および情報セキュリティーの専門家は、これらの攻撃に直面した場合でもデータのプライバシーを維持できるように、複雑なITおよび法的環境に対応する必要があります。 

PIIには、直接識別子と間接識別子の2つのタイプがあります。 直接識別子は個人に固有のもので、パスポート番号や運転免許証番号などが含まれます。 一般的に、誰かの身元を特定するには、単一の直接識別子があれば十分です。

間接識別子は一意ではありません。 これには、人種や出生地など、より一般的な個人情報が含まれます。 単一の間接識別子で個人を特定することはできませんが、組み合わせることで特定できるようになります。 例えば、米国市民の87%（PDF、303 KB） （ibm.comの外部へのリンク）は、性別、郵便番号、生年月日だけで特定できます。

すべての個人データがPIIと見なされるわけではありません。 例えば、ある人のストリーミングの習慣に関するデータはPIIではありません。なぜなら、Netflixで視聴した内容だけに基づいてその人が誰であるかを判断することは、不可能ではないとしても困難であるからです。 PIIとは、特定の個人を指し示す情報のみを指します。例えば、銀行に連絡する際に身元確認のために提供する情報などです。

PIIの中には、他の情報よりも機密性の高い情報があります。 機密性の高いPIIは、個人を直接的に特定する機密情報であり、漏洩や盗難によって重大な損害を引き起こす可能性があります。 社会保障番号（SSN）は、機密性の高いPIIの良い例です。 多くの政府機関や金融機関が身元確認にSSNを使用しているため、SSNを盗んだ犯罪者は、被害者の税務記録や銀行口座に簡単にアクセスできます。 その他の機密性の高いPIIの例としては、以下のようなものがあります。

• 運転免許証番号、パスポート番号、その他の政府発行のID番号など、固有の識別番号
• 指紋や網膜スキャンなどの生体認証データ
• 銀行口座番号やクレジットカード番号などの金融情報
• 診療録

通常、機密性の高いPIIは一般には公開されておらず、既存のほとんどのデータ・プライバシー法では、暗号化、アクセス者の制御、またはその他のサイバーセキュリティー対策の実施によって保護することを組織に義務付けています。

機密性の低いPIIとは、漏洩したり盗まれたりしても、単独では個人に重大な損害を与えない個人データを指します。 これには、個人に固有である情報もあれば、そうでない情報もあります。 例えば、ソーシャル・メディアでのハンドル名は機密性の低いPIIになります。誰かを識別することはできますが、悪意のある行為者がソーシャル・メディアのアカウント名だけで成り済まし犯罪を犯すことはできません。 その他の機密性の低いPIIの例としては、以下のようなものがあります。

• 個人の氏名
• 母親の旧姓
• 電話番号
• IPアドレス
• 出生地
• 生年月日
• 地理的な詳細（郵便番号、市町村、都道府県、国など）
• 雇用情報
• Eメール・アドレスまたは郵送先住所
• 人種または民族
• 宗教

機密性の低いPIIは、一般に公開されていることがしばしばあります。例えば、電話番号が電話帳に記載されたり、住所が地方自治体の公有財産記録に記載されていたりする場合があります。 データ・プライバシー規制の中には、機密性の低いPIIの保護を義務付けていないものもありますが、多くの企業はとにかく保護措置を講じています。 これは、犯罪者が複数の機密性の低いPIIを組み合わせてトラブルを引き起こす可能性があるためです。

例えば、ハッカーが電話番号、Eメール・アドレス、母親の旧姓を使用して誰かの銀行口座アプリに侵入する可能性があります。 Eメールからユーザー名が判明し、電話番号を偽装することで確認コードを受け取れます。また、母親の旧姓はセキュリティーに関する質問への回答になります。

ある情報が機密性の高いPIIとされるか、または機密性の低いPIIとされるかは、状況によって大きく異なるということに注意することが重要です。 氏名だけであれば機密性は低いかもしれませんが、特定の医師を訪問した人のリストは機密性が高い情報です。 同様に、個人の電話番号が一般に公開されている場合もありますが、ソーシャル・メディア・サイトで2要素認証に使用される電話番号のデータベースは機密性の高いPIIになります。

機密情報がPIIになるのはどのような場合ですか?

何らかの情報がPIIと見なされるかどうかは、状況によっても変わります。 例えば、集約された匿名の位置情報データは、単一ユーザーの身元を特定できないため、多くの場合、一般的な個人データと見なされます。 しかし、最近の連邦取引委員会（FTC）の訴訟 （ibm.comの外部へのリンク）で示されているように、匿名の位置情報データの個々の記録はPIIになる可能性があります。 FTCは、データ・ブローカーであるKochava社が販売していた位置情報データはPIIにカウントされると主張し、その理由を次のように述べています。「同社のカスタマイズされたデータ・フィードにより、購入者は特定のモバイル・デバイス・ユーザーを特定して追跡できます。 例えば、夜間のモバイル・デバイスの位置はユーザーの自宅の住所である可能性が高く、不動産記録と組み合わせてその身元を明らかにすることができます」

また、テクノロジーの進歩により、より少ない情報で個人を特定することが容易になっており、一般的にPIIと見なされるもののしきい値が下がる可能性があります。 例えばIBMとメリーランド大学の研究者は、匿名の位置データとソーシャル・ネットワーキング・サイトで公開されている情報を組み合わせて特定の個人を識別するアルゴリズム（PDF、959 KB） （ibm.comの外部へのリンク）を考案しました。

国際的なプライバシー規制

McKinsey社 （ibm.comの外部へのリンク）によると、75%の国がPIIの収集、保持、使用を規制するデータ・プライバシー法を制定しています。 異なる管轄区域では規則が異なっていたり矛盾していたりすることがあるため、これらの規則を遵守することが困難な場合もあります。 クラウド・コンピューティングやリモート・ワークフォースの台頭も課題となっています。 このような環境では、データを収集し、別の場所に保存し、別の場所で処理することがあります。 地理的な場所に応じて、各段階で異なる規制がデータに適用される可能性があります。

さらに事態を複雑にしているのは、さまざまな規制によって、保護すべきデータの種類について異なる基準が設定されていることです。 欧州連合（EU）の一般データ保護規則（GDPR）では、「特定された、または特定可能な自然人に関するあらゆる情報」として定義される すべての個人データ（ibm.comの外部へのリンク）を保護することを組織に義務付けています。GDPRの下では、組織は機密性の高いPIIと機密性の低いPIIだけでなく、政治的意見、所属組織、身体的特徴の記述など、他の状況では機密データとは見なされない可能性のある情報も保護する必要があります。 

米国のプライバシー規制

米国政府の行政管理予算局（OMB）では、PII（PDF、227KB） （ibm.comの外部へのリンク）を、

氏名、社会保障番号、生体認証記録など、単独で個人の身元を識別または追跡するために使用できる情報、あるいは特定の個人に関連付けられている、または関連付けられる可能性のあるその他の個人情報または識別情報と組み合わされた場合に個人の身元を識別または追跡するために使用できる情報（生年月日、出生地、母親の旧姓など）として、より狭義に定義しています。

Gartner社のアナリストであるBart Willemsen氏 （ibm.comの外部へのリンク）が述べているように、「米国では 歴史的に、PIIは、名前、住所、SSN、運転免許証、クレジットカード番号などの20から30個の識別子を指しています」

米国には連邦レベルのデータ・プライバシー法は存在しませんが、政府機関には1974年のプライバシー法が適用されます。この法律は、連邦機関がPIIを収集、使用、共有する方法を規定しています。 米国のいくつかの州では、独自のデータ・プライバシー規制があり、特に目立っているのはカリフォルニア州です。 カリフォルニア州消費者プライバシー法（CCPA）およびカリフォルニア州プライバシー権法（CPRA）は、組織がPIIを収集、保管、使用する方法について消費者に一定の権利を付与しています。

業界固有のプライバシー規制

業界の中には、独自のデータ・プライバシー規制を設けているものもあります。 米国では、医療保険の相互運用性と説明責任に関する法律（HIPAA）によって、医療機関が医療記録と患者のPIIを収集して保護する方法が定められています。 同様に、PCI DSS（Payment Card Industry Data Security Standard）は、クレジット・カード会社、加盟店、支払処理業者が機密性の高いカード会員情報をどのように取り扱うかを規定した世界的な金融業界標準です。

調査によると、組織はこのさまざまな法律や業界標準に対応するのに苦労しています。 ESG （ibm.comの外部へのリンク）によると、過去3年間にデータ・プライバシー監査を受けた企業の66%が少なくとも1回は不合格になっており、23%は3回以上不合格になっています。 関連するデータ・プライバシー規制を遵守しないと、罰金、風評被害、ビジネスの損失、その他の影響が組織に及ぶ可能性があります。 例えば、Amazon社は、 2021年にGDPRに違反したとして8億8800万米ドルの罰金を科されました （ibm.comの外部へのリンク）。

ハッカーはさまざまな理由で個人情報を盗みます。成り済まし犯罪、恐喝、ブラック・マーケットでの販売などを目的とします。ブラック・マーケットでは、社会保障番号1つにつき1米ドル、パスポート番号1つにつき2,000米ドルという価格で売れます （ibm.comの外部へのリンク）。 ハッカーは、大規模な攻撃の一環としてPIIを標的にすることもあります。ランサムウェアを使用してPIIを人質に取ったり、PIIを盗んで経営幹部のEメール・アカウントを乗っ取り、スピア・フィッシングやビジネス・メール詐欺（BEC）に利用したりすることがあります。

サイバー犯罪者は、多くの場合は、ソーシャル・エンジニアリング攻撃を利用して、疑いを持っていない被害者が進んでPIIを提供するように騙しますが、ダークWebで購入したり、大規模なデータ侵害の一環としてアクセスを取得したりすることもあります。 PIIは、ごみ箱をあさったり、コンピューターの使用時にスパイ行為を行ったりすることで、物理的に盗まれることがあります。 また、悪意のある行為者がターゲットのソーシャル・メディア・アカウントを監視することもあります。ソーシャル・メディアでは、多くの人が毎日のように機密性の低いPIIを無意識に共有しています。 攻撃者は時間をかけて、被害者になりすましたり、アカウントに侵入したりするために十分な情報を収集できます。

組織にとって、PIIの保護は複雑になる場合があります。 クラウド・コンピューティングとSaaSサービスの成長は、PIIが集中管理された単一のネットワークではなく、複数の場所で保存および処理される可能性があることを意味しています。 ESGのレポート （ibm.comの外部へのリンク）によると、パブリッククラウドに保管される機密データの量は、2024年までに2倍になると予想されており、半数以上の組織は、このデータの安全性が不十分であると考えています。

PIIを保護するために、組織は通常、データ・プライバシー・フレームワークを作成します。 これらのフレームワークは、組織、収集するPII、準拠する必要があるデータ・プライバシー規制に応じて、さまざまな形をとることがあります。 一例として、米国国立標準技術研究所（NIST）は、以下のフレームワークのサンプルを提供しています （ibm.comの外部へのリンク）。

1. 組織のシステム内のすべてのPIIを特定します。

2. PIIの収集と使用を最小限に抑え、不要になったPIIを定期的に廃棄します。

3. 機密性のレベルに応じてPIIを分類します。

4. データ・セキュリティー管理を適用します。 管理の例には、以下のものがあります。

• 暗号化：転送時、保存時、使用時に準同型暗号化またはコンフィデンシャル・コンピューティングによってPIIを暗号化することで、PIIを保管あるいは処理する場所に関係なく、PIIの安全性とコンプライアンスを確保できます。
  
  
• IDおよびアクセス管理（IAM）：2要素認証や多要素認証を利用することにより、ハッカーと機密データとの間により多くの障壁を設置できます。 同様に、ゼロトラスト・アーキテクチャーと役割ベースのアクセス制御（RBAC）を通じて最小権限の原則を適用することで、ハッカーがネットワークに侵入した場合にアクセスできるPIIの量を制限できます。
  
  
• トレーニング：これには、PIIの適切な取り扱いと廃棄に関する従業員のトレーニングと、自身のPIIを保護するための従業員のトレーニング（フィッシング対策トレーニング、ソーシャル・エンジニアリング・トレーニング、ソーシャル・メディア意識向上トレーニング）の両方が含まれます。
  
  
• 匿名化：データの匿名化は、機密データの識別特性を除去するプロセスです。 一般的な匿名化手法には、データからの識別子の除去、データの集約、データへの戦略的なノイズの追加などがあります。
  
  
• サイバー・セキュリティー・ツール：データ損失防止（DLP）ツールは、ネットワーク全体を移動するデータを追跡するのに役立ち、漏洩や侵害の検知が容易になります。 また、拡張検出および応答（XDR）ツールなど、ネットワーク上の活動の概要を把握できるその他のサイバーセキュリティー・ソリューションも、PIIの使用と悪用を追跡するのに役立ちます。

5. PIIの漏洩や侵害に対するインシデント対応計画を作成します。

NISTやその他のデータ・プライバシーの専門家が、データの機密性に基づいてさまざまなデータ・セットにさまざまな管理を適用することを推奨していることは、注目に値する点です。 機密性の低いデータに対して厳格な管理を行うことは、手間がかかり、費用対効果も低いものになる可能性があります。