ブログ

個人を特定できる情報の特定と保護

10月 11, 2023  |  < 1 分で読めます

PIIの意味?

PIIはの略です個人を特定できる情報. これは、氏名、住所、社会保障番号など、個人を識別するために使用できる情報です。 ある個人を別の個人から判断するために使用できる情報は、PIIと見なすことができます。

PIIはさまざまな方法で定義することができますが、通常、個人を特定するために、それ自体で、または他の情報と組み合わせて使用できる情報を指しま

ザ- エネルギー省 PIIは、個人を識別または追跡するために使用できる個人に関する部門によって収集または維持されるすべての情報と定義します。 この情報には、個人の名前、社会保障番号、生年月日、生体情報、および特定の個人にリンクされているまたはリンク可能なその他の個人情報が含まれ 米国総務局は、PIIが他の公に入手可能な情報と組み合わされると、piiがより敏感になる可能性があると指摘しています。

PIIには、個人の名前や住所から、生体認証データ、病歴、金融取引まで、あらゆるものを含めることができます。 PIIと見なされるには、データを使用して個人の身元を区別または追跡できる必要があります。 PIIの定義は管轄区域によって異なる場合がありますが、通常は個人を識別するために使用できる情報が含まれます。

非機密&機密PII情報

PIIは、敏感また非敏感にすることができます。

敏感なPII

機密性の高いPIIは、個人を識別するために利用することができ、それが悪人の手に落ちた場合、潜在的にそれらを傷つけるために使用することができ これには、社会保障番号、財務情報、医療記録などの情報が含まれます。

非敏感なPII

機密性のないPIIとは、個人を特定するために使用できる情報ですが、それが悪人の手に渡った場合、それらを傷つけるために使用される可能性はあ これには、名前や住所などの情報が含まれます。

PIIは、オンラインフォーム、アンケート、ソーシャルメディアなどの方法を組み合わせて収集できます。 PIIを保護し、必要な情報のみを収集することが不可欠です。 PIIを収集する際には、組織は、情報がどのように使用、保存、および保護されるかについての計画を立てる必要があります。

個人を特定できる情報の例

以下は、PIIと見なすことができる情報のいくつかの例です。:

  • 名前
  • 住所
  • 社会保障番号
  • 生年月日
  • 運転免許証番号
  • 財務情報
  • 医療記録
  • メールアドレス
  • I.P.アドレス

PIIデータ侵害

いくつかの商人、金融機関、保健機関、および国土安全保障省(DHS)などの連邦機関は、個人のPIIを危険にさらすデータ侵害を受けており、個人情報の盗難に対

PIIは、いくつかの方法で個人情報の盗難をコミットするために使用することができます。 泥棒は、新しいアカウントを開いたり、ローンを申請したり、自分の名前で購入したりするためにそれを使用することができます。 彼らはまた、詐欺やその他の犯罪を犯すためにそれを使用することができます。

個人情報泥棒は、常に人々の個人情報へのアクセスを得るための新しい方法を探しています。 彼らが後にある情報は、彼らがそれで何をしようとしているかに応じて変わります。 たとえば、銀行口座を開設するために異なる情報が必要になる場合があり、詐欺的な保険金請求を提出することになります。

いくつかのケースでは、彼らが必要とするのは電子メールアドレスだけです。 他の人では、彼らは名前、住所、生年月日、社会保障番号、またはその他の情報が必要な場合があります。 一部のアカウントは、電話またはインターネットで開くこともできます。

さらに、請求書、領収書、出生証明書、社会保障カード、リース情報などの物理的なファイルは、個人の家が壊れている場合に盗まれる可能性があります。 泥棒はこの情報を利益のために売ることができます。 または、被害者の知らないうちに自分で使用することもできます。 たとえば、被害者のクレジットカードを使用することはできませんが、被害者の情報を使用して新しい別のアカウントを開くことができます。

PIIの法律及び規則

PIIは、Gramm-Leach-Bliley法、公正信用報告法、および健康保険の可搬性と説明責任法を含むいくつかの法律および規制によって規制されています。

1974年のプライバシー法は、連邦政府機関によるPIIの収集、使用、および開示のための規則を確立する連邦法です。 この法律は、連邦機関が個人にPIIにアクセスして修正する権利を通知し、PIIの誤用に対する罰則を確立することを要求しています。

ザ-情報の自由法(FOIA) 個人に特定の政府の記録にアクセスする権利を与える連邦法です。 法は、レコードが法の免除のいずれかによって開示から保護されていない限り、連邦機関は、公衆に自分の記録を利用できるようにすることを必要とし

ザ- 家族教育の権利とプライバシー法(FERPA) 学生の教育記録のプライバシーを保護する連邦法です。 この法律は、学校が保護者と生徒に教育記録を検査し修正する機会を与えることを要求し、同意なしに教育記録の開示を制限します。

ザ- 健康保険の移植性と説明責任法(HIPAA) 健康情報のプライバシーを保護する連邦法です。 この法律は、対象となる事業体が保護された健康情報の機密性を保護するための合理的な措置を講じることを要求し、同意なしに保護された健康情報の開示を制限します。

GDPR PII

GDPRは、個人データに関するヨーロッパ人の権利を保護するために導入された1995年のデータ保護指令(95/46/E.C.)に代わるものです。 Euで活動する個人、企業、またはその他の組織による個人を特定できる情報(PII)の収集および処理に関する規則を定めています。

この規則は、企業がEu内またはeu外に拠点を置くかどうかにかかわらず、Eu内の個人の個人データを処理するすべての企業に適用されます。これには、Eu市民のデータを処理する米国に拠点を置く企業が含まれます。これらの市民がEu内に物理的に存在しない場合でも、GDPRでは、企業は個人データを収集、使用、または共有する前に、個人から明示的な許可を得る必要があります。 企業は、GDPRに基づく権利に関する情報を個人に提供し、個人がそれらの権利を容易に行使できるようにすることが求められています。

GDPRは、その規定に違反した企業に対して、企業の世界的な年間収益の最大4%または2,000万ユーロ(いずれか大きい方)のいずれか大きい方を含む重大な罰金 規制はまた、個人が自分の権利が侵害されていると信じている場合、監督当局に苦情を申し立てる権利を与えます。

PIIを保護するためのベストプラクティス

  • 転送中および保存中のすべてのPIIデータの暗号化
  • 安全なデータベースへのPIIデータの格納
  • PIIデータへのアクセスを必要とする人だけに制限する
  • すべてのPIIデータが正確で最新のものであることを確認する
  • 必要がなくなったときにPIIデータを破棄する

PIIファイPCI違いは何ですか?

個人を特定できる情報

PII 最終的には、すべての規模とタイプのすべての組織に影響を与えます。 PIIとは、氏名、住所、生年月日、社会保障番号など、個人を特定するために使用できる情報です。 PIIのセットを入手したら、ダークウェブで販売できるだけでなく、それを使用して他の攻撃を実行することもできます。 これらの攻撃は、サイバー犯罪者が盗まれたPIIを使用して組織に追加の攻撃を実行する方法を示しています。 人事管理局と国歌の違反は、この例であり、何百万ものPIIが取られ、IRSのような他の組織を攻撃するために使用されました。

保護された健康情報

PHIは、サイバー犯罪者が目にする中で最も求められているデータの1つです。 それは多数の情報で構成されています。 PHIはHealth Insurance Portability and Accountability Act(HIPAA)によって定義されており、個人の身元を医療に関連付けるために使用できるすべてのデータで構成されています。 PHIを構成する18の識別子の完全なリストはここで見ることができます。

PHIは貴重な資産であり、他のどのデータセットよりも多くのお金でダークウェブ上で販売されています。によると ポネモン研究所. PHI、HIPAA、および関連するものの保護に関しては、次のようになります。経済的および臨床的健康法のための健康情報技術(HITECH)ファイの保護のためのガイドラインを提供します。 HIPAA内には、「プライバシールール」とサブセット、「セキュリティルール」、「強制ルール」、および「違反通知ルール」があり、これらはすべてPHIの保護のさまざまな側面を扱います。

決済カード業界のデータセキュリティ標準

PCI-DSSは、カード会員データを保護するために作成された一連のセキュリティ標準です。 カード会員データを処理、保存、または送信する組織は、これらの基準に準拠している必要があります。 PCIコンプライアンスには、財務データが受け入れられ、転送され、保存され、処理される時期を含むすべての段階で保護されることを保証する責任が含まれています。

結論

Skysnagの自動化ソフトウェアは、あなたのドメインの評判を守り、ビジネスの妨害されたビジネスメール、パスワードの盗難、そして潜在的な重大な財務損失から保護します。. Skysnagを使用して、インサイトを解除し、SPFやDKIMを含む電子メール認証構成の問題をバイパスし、DMARCの厳格な強制によってドメインをスプーフィングから保護します。 Skysnagを始めて、今日このリンクを使用して無料トライアルにサインアップしてください。

You might be interested in reading:

ドメインのDMARCセキュリティコンプライアンスを確認する

DMARC、SPF、DKIMを数ヶ月ではなく数日で実施

Skysnagは、忙しいエンジニアがDMARCを適用し、SPFやDKIMの設定ミスに対応することを支援します。これによりメールの到達率が向上し、メールスプーフィングや身元詐称を排除します。

無料トライアル開始