ニュース

個人を特定できる情報の紹介:PIIとは何ですか?

2020年01月18日 トピックス ニュース

個人を特定できる情報(PII)に関しては、人々はデータのプライバシーをより懸念しています。識別可能な情報は、個人情報の盗難や詐欺などの違法な目的に使用できます。

それでは、どうやって無邪気なインターネットブラウザとして自分自身を守ることができますか?ウェブサイトの所有者の場合–プライバシー侵害の犠牲からユーザーとあなたの会社をどのように保護しますか?

最も信頼できる分析会社の1つとして、データプライバシーの問題とPIIについて可能な限り情報を入手することで、読者は利益を得られると考えています。
それが何を意味し、自分や他人の情報を安全に保つために何ができるかを学びましょう。

目次

PIIは何の略ですか?


PIIの頭字語

PIIは、個人を特定できる情報の頭字語です。(personally identifiable information)


PII定義
個人を特定できる情報(PII)は、主に米国で使用される用語です。

OMB M-10-23の付録(サードパーティのWebサイトおよびアプリケーションの代理店による使用に関するガイダンス)には、PIIのこの定義が記載されています。

「「個人を特定できる情報」という用語は、名前、社会保障番号、生体認証記録など、個人の身元を区別または追跡するために使用できる情報を指します。 生年月日や出生地、母親の旧姓など、特定の個人にリンクまたはリンク可能な情報

 

個人を特定できる情報(PII)とは何ですか? いくつかのPIIの例:

  • 氏名/ユーザー名
  • 自宅の住所/送り先
  • メールアドレス
  • クレジットカード番号
  • 誕生日
  • 電話番号
  • ログインの詳細
  • 正確な場所
  • 口座番号
  • パスワード
  • セキュリティコード(生体認証記録を含む)
  • 個人識別番号
  • 運転免許証番号
  • ここでより包括的なリストを取得します

非PIIとは?

匿名情報、または個人にまでさかのぼれない情報は、非PIIと見なすことができます。

PIIの悪用の影響を受けるのは誰ですか?

アクセスするほとんどのWebサイトは、GoogleアナリティクスやMatomoなどのツールを介してあなたに関する情報を収集します。個人を特定できる情報(PII)を収集することもあります。

ただし、ウェブサイトがルールに準拠していない場合、個人データの悪用の影響を受ける可能性があります。

ここで、個人情報の盗難、アカウント詐欺、アカウント乗っ取りが発生します。 ウェブサイトがあなたのデータを違法に販売または共有し、あなたのプライバシーを危うくすることに頼るとき、恐れはそのような詐欺行為の犠牲になります。

PIIは、従業員がデータベースにアクセスでき、データが暗号化されていない場合にも問題になる可能性があります。 たとえば、銀行で働いている誰でもあなたの口座にアクセスできます。 Facebookで働いている人は誰でもあなたのメッセージを読むことができるかもしれません。 これは、従業員がPIIにアクセスしたときにプライバシー侵害が簡単に発生する可能性があることを示しています。

ウェブサイト所有者のデータプライバシーに関する責任(PIIおよび分析)

ウェブサイトの訪問者のプライバシーを尊重するためのベストプラクティスは、可能な限りPIIを収集しないことです。個人情報の開示が必要な業界(医療、セキュリティ業界、公共部門など)で働いている場合は、このデータを確実に収集して処理する必要があります。

米国国立標準技術研究所は次のように述べています。「PIIを使用、収集、保存するPIIの量を組織が最小限に抑えると、PIIに関係する違反によって引き起こされる損害の可能性が大幅に減少します。たとえば、組織は、PIIが絶対に必要な場合にのみ、新しい形式のPIIを要求する必要があります。」

責任の所在は、事業を行っている国のプライバシー法に従います。自分に特に関連するプライバシーおよびデータ保護法を完全に認識していることを確認してください。

プライバシー侵害のリスクを減らすには、できるだけ少ないPIIを収集し、できるだけ早くパージします。 ITセキュリティが更新され、セキュリティの脅威から保護されていることを確認します。ウェブ分析などのデータ収集ツールを使用している場合、ユーザーID、カスタム変数、カスタムディメンションなどの機能を使用してデータを追跡できます。また、たとえばページURL、ページタイトル、リファラーURLなどに存在するかどうかを特定するのが難しい場合もあります。 そのため、ユーザーに同意を求め、ユーザーのプライバシーを尊重するように、ウェブ解析ツールの設定を最適化してください。

MatomoのようなGDPR準拠ツールを使用している場合は、そのような個人データの処理を停止する方法を学びます

PII、GDPRおよび米国/ EUの企業


PIIは広範であるため、PIIとGDPR(EUに適用)を検討する際に混乱が生じる可能性があります。 一般データ保護規則(GDPR)は、ユーザーのプライバシー保護を強化しています。

GDPRは、EUの人々に「個人データ」に関するより多くの権利を付与します(以下のPIIと個人データの詳細)。EUでは、GDPRは個人データの収集と処理を制限しています。 この影響は、プライバシー侵害に対する厳しい罰則と罰金です。企業は、この個人データを慎重に処理する必要があります。データ侵害またはコンプライアンス違反に対する年間収益の最大4%の罰金を科せられます。

米国には包括的なデータ保護法はありませんが、米国居住者の個人データを保護するために、連邦レベルと州レベルの両方で数百の法律があります。米国議会は、データのプライバシーに関連する業界固有の法律も制定しており、カリフォルニア州はカリフォルニア州消費者プライバシー法を可決しました。

安全のために、分析を使用している場合は、GDPRの「個人データ」に関する事項に従ってください。 ユーザーのプライバシーの保護に関しては、すべてを網羅しています。GDPRルールは、EU市民がEU以外のサイト(個人データを処理するサイト)にアクセスするたびに適用されます。

個人を特定できる情報(PII)と個人データ

PIIと「個人データ」は同じ意味で使用されません。すべての個人データをPIIにすることができますが、すべてのPIIを個人データとして定義できるわけではありません。

GDPRによる「個人データ」の定義:

つまり、「個人データ」には、オンライン領域を含むより多くの識別子が含まれます。

例には、身長、職位、会社などの「一見無害な」データと同様にIPアドレスとURL名が含まれます。

個人データと見なされるものは、コンテキストによって異なります。ある情報を他の情報と組み合わせて誰かの身元を確立できる場合、それは個人データと見なすことができます。

GDPRでは、個人データを処理する際に明示的な同意が必要です。 「PII」と見なされるものだけでなく、「個人データ」のGDPR定義に従ってコンプライアンスを確保する必要があります。

MatomoがPIIおよび個人データを処理する方法

Matomo AnalyticsはWebサイトでのユーザーアクティビティを追跡するWeb分析ソフトウェアですが、クラウドとオンプレミスの両方のサービスでプライバシーとPIIを非常に重視しています。
Matomoを使用していて、GDPRに完全に準拠し、ユーザーのプライバシーを保護する方法を知りたい場合は、次をご覧ください。

個人を特定できる情報(匿名IPアドレス、ユーザーID、注文ID)を処理しない方法を学ぶ:

免責事項

私たちは弁護士ではありません。 ここで提供される情報は、PIIを扱うときに発生する可能性のある問題を紹介するのに役立ちます。
すべてのビジネスおよびWebサイトは、データのプライバシーを真剣に受け止め、懸念がある場合は弁護士とこれらの問題について話し合うことをお勧めします。

追加のリソース: