このブログでは、個人識別情報 (Personal Identifiable Information、PII) とその保護に関して述べたいと思います。まず、個人識別情報はどのように認識されているでしょうか?
米連邦政府一般調達局 (General Services Administration, GSA) では、PII は、単独で、または特定の個人にリンクされた他の個人情報または識別情報と組み合わせて、個人の身元を識別または追跡するために使用できる情報、との定義を示しながら、個人を特定できる特定のリスクをケースバイケースで評価する必要がある、と述べています。そして、追加情報が公開された場合、非 PII が PII になる可能性があることを認識しておくことが重要だとも指摘しています。
TechTarget は PII を、個人を特定できる可能性のあるデータとし、ある個人を別の個人と区別するために使用でき、匿名化されたデータの匿名化を解除するために使用できる情報は、PII と見なされると指摘します。個人を一意に識別することができるパスポート情報などの直接識別子だけではなく、データに生年月日や人種などの準識別子を組み合わせることで個人を正しく認識することができると考えられます。
PII の種類
PII には、機密か非機密かのラベルを付けることができます。非機密 PII は、個人に害を及ぼすことなく暗号化されていない形式で送信できる情報です。機密性の低い PII としては、それを元に個人の身元を特定することができない、郵便番号、人種、性別、生年月日、宗教などの情報が含まれます。機密性の高い PII は、開示されると、データ侵害が発生した場合に個人に損害を与える可能性がある情報です。このタイプの機密データには、多くの場合、開示しないように制限する、法的、契約上、または倫理上の要件が適用されます。
PII 保護規制
PII を保護することは、単に適切であるというだけではなく、規制遵守のためにも必要なことです。グラム・リーチ・ブライリー法、 公正信用報告法、連邦取引委員会法、その他多くの法令が、機密情報に合理的なセキュリティを提供することを求めていると、連邦取引委員会の個人情報保護ガイドに記述されています。効果的なデータセキュリティは、所有している情報を評価し、誰がその情報にアクセスできるかを特定することから始まります。ビジネスに必要な情報のみを保持し、保持する情報は保護する必要があります。
PII の存在場所
PII はデータベースだけではなく、Excel ワークシートや Word ドキュメントなどのファイルにも保存されます。多くの場合、機密データは、アクセスコントロールと使用制限を備えた慎重に保護されたシステムに保存されますが、データがシステムからエクスポートされると、コントロールができなくなってしまいます。そのため、機密性の高い PII を含むファイルを転送する場合は、転送中に暗号化で保護する必要があり、コンピューターネットワークやラップトップに保存されている機密 PII を含むファイルも暗号化する必要があります。
保護違反のコスト
2022年のデータ侵害コストレポートによると、PII またはその他のデータの損失による平均コストは世界で 435 万ドル、米国では 944 万ドルと推計されています。侵害を特定して封じ込めるのに平均 277 日 (約 9 か月) かかりました。
PII の転送手段
PII を含むファイルを転送する場合、FTP (ファイル転送プロトコル) ファイル転送ソリューションは、電子メールにファイルを添付するよりは優れた方法ですが、推奨できる方法ではありません。ファイル転送中に暗号化しないので、機密性の高いデータが転送中に傍受される可能性があります。FTP ソリューションは、自動化やビジネスプロセスとの統合のためのネイティブ手段のない手動処理に依存しているため、スケーラブルではありません。自動化と統合が必要な場合は、スクリプトを記述しなければなりませんが、管理が困難です。コンプライアンスに必要な追跡機能や監査用のレポート作成機能にも欠けています。
ファイルを暗号化し、ファイル転送アクティビティを追跡し、ユーザーを認証するといった機能は、マネージド・ファイル・トランスファー (MFT) が担う機能であり、機密 PII を含むファイルの転送手段としては、プログレスの MOVEit のような MFT が最適です。MFT は、安全で管理しやすく自動化された単一のソリューションを提供する、IT 部門に有用なソリューションであり、エンドユーザーと IT 部門の生産性が向上します。
MFT は、PPAP 問題でPPAP 代替ソリューションを探している組織にとっても、安全性、コンプライアンスを満たすことができる最適なソリューションです。詳細については、ホワイトペーパー、「脱 PPAP ソリューションガイド」をご参照ください。
Doug Barney
Doug Barney was the founding editor of Redmond Magazine, Redmond Channel Partner, Redmond Developer News and Virtualization Review. Doug also served as Executive Editor of Network World, Editor in Chief of AmigaWorld, and Editor in Chief of Network Computing.
