個人を特定できる情報を安全に保つ方法
個人を特定できる情報(PII)の保護は、プライバシーが侵害される可能性のある個人と、PIIが誤ってアクセス、使用、または共有された場合に評判が損なわれたり責任を負う可能性のある個人の両方にとって重要です。
PIIとは何ですか?個人を特定できる情報の概要を次に示します。
ハッキング、データ漏洩、データ窃盗により、取得したPIIを他の情報と組み合わせて、より完全な画像を作成できます。個人レベルでは、これにより、個人情報の不正使用によって引き起こされる個人情報の盗難、クレジットカードの盗難、またはその他の損害のリスクがあります。
ケンブリッジアナリティカによる数百万のFBプロファイルの収集など、データプライバシー法に違反している企業のビジネスレベルでは、このアクションは信頼の低下につながります。また、個人を特定できる情報の違法な使用および処理に対して高額の罰金が科せられる可能性があるため、財政状態に影響を与える可能性があります。
それでは、PIIコンプライアンスを確保するために何ができますか?
個人レベルで:
- データをそれほど簡単に公開しないでください。長いですが、プライバシーポリシーを読み通して、自分が何に夢中になっているかを確認することは価値があります。
- 同意画面に大きな欠陥があるため、同意画面に直面したときに「同意する」をクリックしないでください。ユーザーは、ほとんどの場合、読むことなく、また何をオプトインするかを適切に知らされることなくオプトインします。
- あなたがウェブサイト間で追跡されている可能性が最も高いことをご存知ですか?たとえば、Googleは訪問やウェブサイト全体であなたを識別できます。できることの1つは、デフォルトでサードパーティのCookieを無効にすることです。企業は、こうした追跡を停止するプライバシーに優しい分析を使用することもできます。
- 強力なパスワードを使用してください。
- 公共のWi-Fiに注意してください–ハッカーはPIIまたは機密データに簡単にアクセスできます。VPN(仮想プライベートネットワーク)を使用します。これにより、選択したサーバーへの安全な接続を作成できます。これにより、安全な方法でインターネットを閲覧できます。
企業/組織向けのPIIコンプライアンスチェックリスト:
- すべてのPIIが存在し、保存されている場所を特定します。これが安全な環境にあることを確認してください。
- お客様に適用される法律(GDPR、カリフォルニア州プライバシー法、HIPAA)を特定し、法的義務に従います。
- 運用上のセーフガードを作成する-組織レベルでPIIを処理するためのポリシーと手順。PIIの保護に焦点を当てた意識の構築。
- そのような情報が保存されているデータベースとリポジトリを暗号化します。
- 組織がデータを収集、維持、使用、および配布する方法でプライバシー固有の保護手段を作成し、データの機密性を保護します。
- PIIの使用、収集、保持を最小限に抑えます。法的ビジネス機能を実行する必要がある場合にのみ、PIIを収集して保持します。
- プライバシーリスクを見つけて防止するために、プライバシーインパクトアセスメント(PIA)を実施します(収集する対象とその理由、情報の保護方法などを特定します)。
- データ収集および分析ツールの範囲内で識別を解除します。
- 匿名データ。
- プライバシーポリシーを最新の状態に保ちます。
- 仮名化。
- 企業向けのより包括的なガイドは、https://iapp.org/media/pdf/knowledge_center/NIST_Protecting_PII.pdfにあります。