PII(個人を特定できる情報)とは?
個人を特定できる情報(PII)とは、個人の身元を確認するために使用できる情報です。 個人データまたは個人情報とも呼ばれるPIIには、氏名、住所、Eメール、電話、社会保障番号、クレジットカード番号、銀行情報、生年月日、母親の旧姓などのデータが含まれます。
PIIを2つのカテゴリーに分けることができます
- 機微(センシティブ)PII:紛失または盗難により、個人に重大な損害をもたらす可能性のある個人情報。 この種のPIIは、送信時に保護され、暗号化されなければならない。
- 非機密PII:人種、郵便番号、性別、生年月日など、一般に入手可能な情報源から得られる個人情報。 機微でないPIIは、(機微なPIIと組み合わされない限り)個人の身元を識別できないため、転送時に暗号化する必要はない。
個人情報保護法
多くの個人情報保護規制は、企業がどのように個人情報を収集し、管理しなければならないかを定めています。 最もよく知られているのは、欧州連合(EU)のGDPR(一般データ保護規則)です。
その他のプライバシー規制としては、CCPA(カリフォルニア州消費者プライバシー法)、(PIPEDA)カナダの個人情報保護・電子文書法、(POPI)南アフリカの個人情報保護などがあります。 米国各州のプライバシー規制の追加など、年々、規制が強化されています。 GDPRは、企業が個人情報を取得、保存、使用する方法と、違反した場合の罰則という点で、最も厳格な法律の1つであるため、現在制定されつつある多くの個人情報保護法の指針となる基準となっています。
各プライバシー法制では、PIIの定義が若干異なり、PIIの管理方法に関する要件も異なります。例えば、GDPRはクッキーやIPアドレスもPIIとみなしますが、他の規制はそうではありません。また、CCPAはすべての企業に適用されるわけではなく、カリフォルニア州でビジネスを展開し、一定の収益水準に達している企業(その他の条件も含む)に焦点を当てています。
もっと見る国際データプライバシー法および規制
高まる個人情報保護への懸念
個人情報の適切なセキュリティと保護は以前から必要でしたが、データ・プライバシーが深刻な問題となったのは、デジタル体験の増加に伴うここ数年のことです。 その結果、消費者は企業が自分の個人情報を収集する理由と方法、その使用目的、そしてその情報の安全性に関心を持つようになりました。
サイバー攻撃やデータ漏洩の増加は年々増加しており、何百万人もの消費者がデータを盗まれ、悪用されています。 例えば、世界のランサムウェア被害額は2031年までに2650億ドルを超えると予測されています。 さらに、顧客データを販売する企業もあり、そのデータが購入した企業によってどのように使用され、悪用されるかは必ずしも明らかではありません。
プライバシーとPIIの管理
企業がどのプライバシー規制を遵守しなければならないかにかかわらず、個人を特定できる情報(PII)を安全に管理することは非常に重要です。 そのために、企業はプライバシー・プロセスを管理するチーフ・プライバシー・オフィサーやプライバシー・チームを雇用しています。 これらのプロセスには、どのような情報が収集され使用されるか、PIIがどのように保管され保護されるか、同意管理など適用されるプライバシー規制の遵守、コンプライアンス違反問題への対処、データ漏洩などが含まれます。