PIIには、直接識別子と間接識別子の2種類があります。 直接識別子は各個人に固有のものであり、パスポート番号や運転免許証番号などが含まれます。 通常、1つの直接識別子でユーザーの身元を特定できます。

間接識別子は一意ではありません。 これらには、人種や出生地など、より一般的な個人情報が含まれます。 単一の間接識別子では個人を識別できませんが、組み合わせることで個人を識別できます。 たとえば、米国民の87%（ibm.com外部へのリンク）は、性別、郵便番号、生年月日のみに基づいて識別できます。

すべての個人データがPIIとみなされるわけではありません。 たとえば、個人のストリーミング習慣に関するデータはPIIではありません。 Netflixで視聴した内容のみに基づいて個人を特定するのは、不可能とまではいかないまでも、実に困難であるためです。 PIIは、特定の個人を示す情報のみ（たとえば、銀行に連絡するときに身元を確認するために提供する情報など）を指します。

PIIの中には、他の情報よりも機密性が高い情報もあります。 機密性の高いPIIとは、個人を直接的に特定する情報で、漏えいまたは盗用された場合に重大な被害をもたらす可能性のある機密情報のことです。機密性の高いPIIの例として挙げられるのが、社会保障番号（SSN）です。 多くの政府機関や金融機関は個人の身元確認にSSNを使用しているため、SSNを盗んだ犯罪者は被害者の納税記録や銀行口座に簡単にアクセスできます。 その他の機密性の高いPIIの例には、次のようなものがあります。

• 運転免許証番号、パスポート番号、その他の政府発行のID番号などの一意の識別番号
• 指紋や網膜スキャンなどの生体認証データ
• 銀行口座番号やクレジットカード番号などの財務情報
• 医療記録

機密性の高いPIIは通常は公開されておらず、既存のデータ・プライバシー法のほとんどでは、組織はそれを暗号化したり、アクセスするユーザーを制御したり、その他のサイバーセキュリティー対策を講じたりして保護することが義務付けられています。

機密性の低いPIIとは、単独では漏えいしたり盗まれたりしても人に重大な損害を与えない個人データです。 このデータは各個人に固有の場合もあれば、そうでない場合もあります。 たとえば、ソーシャルメディア・ハンドルは機密性の低いPIIになります。つまり、誰かを特定することはできますが、悪意のある攻撃者がソーシャルメディア・アカウント名だけを使って個人情報を盗むことはできません。 機密性の低いPIIのその他の例には、次のものがあります。

• 個人のフルネーム（姓名）
• 母親の旧姓
• 電話番号
• IPアドレス
• 出生地
• 生年月日
• 地理的な情報（郵便番号、市区町村、都道府県、国または地域など）
• 雇用情報
• メールアドレスまたは郵送先住所
• 人種または民族
• 宗教

機密性の低いPIIは多くの場合、公的に入手可能です。たとえば、電話番号は電話帳に記載されたり、住所は地方自治体の公共財産記録に記載されたりすることがあります。 一部のデータ・プライバシー規制では、機密性の低いPIIの保護は必要ありませんが、企業の多くは規制の有無に関係なく安全対策を講じています。 犯罪者が機密性の低いPIIをいくつか集めて組み合わせることで問題を引き起こす可能性があるためです。

たとえば、ハッカーは、電話番号、メールアドレス、母親の旧姓を使用して、誰かの銀行口座アプリに侵入する可能性があります。 ハッカーはメールアドレスからユーザー名を得ることができ、電話番号を偽装して確認コードを受け取ることができます。 母親の旧姓は、セキュリティの質問に対する答えを提供します。

情報が機密性の高いPIIとなるか、機密性の低いPIIとなるかは、そのコンテキスト、つまり文脈に大きく依存することに注意が必要です。フルネーム（姓名）自体は機密性が低いかもしれませんが、特定の医師を受診した人々の名前の一覧は機密性が高くなります。 同様に、個人の電話番号は公開されている可能性があるにもかかわらず、ソーシャルメディアサイトの二要素認証に使用される電話番号のデータベースは、機密性の高いPIIとなります。

機密情報はどういう場合にPIIとなりますか？

情報がPIIと見なされるかどうかもコンテキストによって決まります。 たとえば、1人のユーザーの身元を切り離すことができないため、集約された匿名の位置情報データは、一般的な個人データと見なされることがよくあります。 ただし、最近の連邦取引委員会（FTC）の訴訟（ibm.com外部へのリンク）で示されているように、匿名の位置情報データの個々の記録がPIIになる可能性があります。 FTCは、データブローカーのKochavaがPIIとみなされる地理位置情報データを販売していたとする理由として、「同社のカスタマイズされたデータフィードにより、購入者が特定のモバイルデバイスユーザーを識別して追跡できるため」だと主張し、「たとえば、夜間のモバイルデバイスの位置情報はユーザーの自宅住所である可能性が高く、施設の記録と組み合わせてユーザーの身元を明らかにすることができる」と述べています。

また、テクノロジーの進歩により、より少ない情報で個人を特定することが容易になり、一般にPIIとみなされるものでも、そのしきい値が低くなる可能性があります。 たとえば、IBMとメリーランド大学の研究者らがあるアルゴリズムを考案しました（ibm.com外部へのリンク）。 このアルゴリズムは、匿名の位置データとソーシャルネットワークサイトからの公開情報を組み合わせることにより、特定の個人を識別します。

国際プライバシー規制

McKinseyによると（ibm.com外部へのリンク）、75%の国がPIIの収集、保持、使用を規制するデータ・プライバシー法を施行しています。 管轄区域が異なる場合は、適用される規則が異なったり、矛盾した規則が適用されたりする可能性があるため、これらの規制を遵守することは困難な場合があります。 クラウド・コンピューティングとリモート・ワーカーの増加もさらなる課題を生じています。 これらの環境では、ある場所で収集されたデータが別の場所に保存されたうえ、さらには3番目の場所で処理される可能性があります。 そのため、各段階でその地理的な場所に応じて異なる規制がデータに適用される場合があります。

事態をさらに複雑にしているのは、規制が異なるせいで保護する必要があるデータの種類について、異なる基準が設定されることです。 欧州連合の一般データ保護規則（GDPR）では、組織には「特定された、または特定可能な自然人に関するあらゆる情報」と定義（ibm.com外部へのリンク）されたすべての個人データを保護することが義務付けられています。 GDPRのもと、組織は機密性の高いPIIと機密性の低いPIIを保護する必要があります。 また、他の状況では機密データとみなされない可能性のある情報も保護する必要があります。 この情報には、政治的意見、所属組織、身体的特徴の説明などが含まれます。

米国のプライバシー規制

米国政府の行政管理予算局（OMB）は、以下のようにPIIをより厳密に定義しています（ibm.com外部へのリンク）
。

姓名、社会保障番号、生体認証記録など、単独で、または生年月日、出生地、母親の旧姓など、特定の個人にリンクされているかリンク可能な他の個人情報または識別情報と組み合わさた場合に、個人の身元を識別または追跡するために使用できる情報。

Gartnerのアナリスト、Bart Willemsen氏（ibm.com外部へのリンク）が述べているように、「米国では... PIIは歴史的に名前、住所、SSN、運転免許証番号、クレジットカード番号などの20から30の識別子を指していました。」

米国には連邦レベルのデータ・プライバシー法がありませんが、政府機関は、連邦機関によるPIIの収集、使用、共有方法を規定する1974年プライバシー法に従う必要があります。 米国の一部の州、特にカリフォルニア州には、独自のデータ・プライバシー規制があります。 カリフォルニア州消費者プライバシー法（CCPA）およびカリフォルニア州プライバシー権法（CPRA）は、組織がPIIを収集、保存、使用する方法について消費者に一定の権利を付与しています。

業界固有のプライバシー規制

一部の業界では、独自のデータ・プライバシー規制があります。米国では、医療保険の相互運用性と説明責任に関する法律（HIPAA法）により、医療機関が医療記録と患者のPIIを収集および保護する方法が規定されています。 同様に、PCI DSS（Payment Card Industry Data Security Standard）は、クレジットカード会社、販売業者、決済処理業者が機密性の高いカード会員情報をどのように扱うかを規定した世界的な金融業界標準です。

調査によると、組織の多くが、法律と業界標準の変化し続けるこの状況への対処に苦労しているようです。 ESGによると（ibm.com外部へのリンク）、過去3年間にデータ・プライバシー監査を受けた企業のうち66%が少なくとも1回は不合格となり、23%が3回以上不合格となっています。 関連するデータ・プライバシー規制を遵守していない場合は、罰金、評判の低下、ビジネスの損失など、組織への影響が生じる可能性があります。 たとえば、Amazonは2021年にGDPRに違反したとして8億8,800万ドルの罰金を科されました（ibm.com外部へのリンク）。

ハッカーが個人情報を盗む理由はさまざまです。個人情報を盗んだり、脅迫したり、ブラックマーケットで売ったりして、社会保障番号1件につき1米ドル、パスポート番号1件につき2,000米ドル（ibm.com外部へのリンク）もの額を不正に取得する場合があります。ハッカーは、より大規模な攻撃の一環として個人情報を標的にすることもあります。ランサムウェアを使用して個人情報を人質に取ったり、スピアフィッシングやビジネスメール詐欺（BEC）を行うために役員のメールアカウントを乗っ取り個人情報を盗んだりします。

サイバー犯罪者は、ソーシャル・エンジニアリング攻撃を利用して、疑いを持たない被害者をだましてすすんでPIIを渡させることがよくありますが、ダークウェブ上で個人情報を購入したり、大規模なデータ侵害の一環としてアクセスしたりすることもあります。 PIIはウェブ上だけでなく、個人のゴミを漁ったり、コンピューターの使用中にスパイしたりなどの方法で物理的に盗まれる可能性もあります。 また、悪意のある攻撃者がターゲットにしたソーシャルメデア・アカウントを監視することもあります。ソーシャルメディアでは、多くの人が機密性の低いPIIを気づかないうちに毎日共有してしまっています。 時間が経つにつれて、攻撃者は被害者になりすましたり、被害者のアカウントに侵入したりするのに十分な情報を収集できます。

組織にとって、PIIの保護は複雑になる可能性があります。 クラウド・コンピューティングとSaaSサービスの成長により、PII は単一の集中ネットワークではなく複数の場所に保存され、処理される可能性があります。 ESGのレポート（ibm.com外部へのリンク）によると、パブリッククラウドに保存される機密データの量は2024年までに2倍になると予想されており、組織の半数以上がこのデータのセキュリティーが十分に確保されていないと考えています。

PIIを保護するために、組織は通常、データ・プライバシー・フレームワークを作成します。 これらのフレームワークは、組織、収集するPII、および組織が従う必要があるデータ・プライバシー規制に応じて、さまざまな形式で作成されます。 例として、米国国立標準技術研究所（NIST）は以下のサンプル・フレームワークを提供しています（ibm.com外部へのリンク）。

1. 組織のシステム内のすべてのPIIを特定。

2. PIIの収集と使用を最小限に抑え、不要になったPIIは定期的に廃棄。

3. PIIを機密レベルに応じて分類。

4.データ・セキュリティーのコントロール機能を適用。 コントロール機能の例としては、次のようなものがあります。

• 暗号化：準同型暗号または機密コンピューティングを使用して、転送中、保存中、および使用中のPIIを暗号化すると、保存場所や処理場所に関係なく、PIIの安全性と準拠性を維持できます。
  
  
• IDおよびアクセス管理（IAM）：二要素認証や多要素認証は、ハッカーと機密データとの間に、より多くのバリアを設けることができます。 同様に、ゼロトラスト・アーキテクチャーとロールベースのアクセス制御（RBAC）を通じて最小権限の原則を適用することで、ハッカーがネットワークに侵入した場合にアクセスできるPIIの量を制限することができます。
  
  
• トレーニング：従業員がPIIの適切な取り扱いと廃棄の方法を学びます。 また、従業員は自分のPIIを保護する方法も学びます。 このトレーニングは、フィッシング対策、ソーシャル・エンジニアリング、ソーシャルメディアの認識といった分野を対象としています。
  
  
• 匿名化：データの匿名化とは、機密データの識別特性を除去するプロセスです。 一般的な匿名化技術には、データから識別子を取り除くこと、データを集約すること、データに戦略的にノイズを加えることなどがあります。
  
  
• サイバーセキュリティー・ツール：情報漏えい対策（DLP）ツールは、ネットワーク上を移動するデータを追跡し、漏えいや侵害の検知を容易にします。 拡張検知および対応（XDR）ツールなど、ネットワーク上のアクティビティーを大まかに把握できるその他のサイバーセキュリティー・ソリューションも、PIIの使用と誤用の追跡に役立ちます。

5. PIIの漏えいと侵害に対するインシデント対応計画の草案を作成します。

NISTやその他のデータ・プライバシーの専門家の多くが、データの機密性に基づいて、データセットごとに異なるコントロールを適用することを推奨している点に注目すべきでしょう。機密性の低いデータを厳密に管理するのは面倒で、費用対効果も低くなります。