サイバーセキュリティの脅威は、アイデンティティに関する用語の見直しを迫っており、中でも「個人を特定できる情報(PII)」はおそらく最も重要な用語の一つです。個人を特定できる情報(PII)とは、行政機関が直接的または間接的に個人の身元を特定するのに役立つ重要な情報またはデータを指します。ただし、この用語には2つの異なるバージョンがあり、それぞれに異なる意味があります。
個人情報(PII)と既存のカテゴリーを理解する
個人を特定できる情報(PII)とは、既存のデータセットに基づいて個人を識別できるあらゆる情報を指します。PIIは、リンク情報とリンク可能情報の2つのグループに分けられます。前者は特定の直接的なデータを含みますが、リンク情報はパズルのピースのようなもので、ユーザーに関するすべての詳細情報を別の主体に開示する必要があります。後者は、類似のデータセットと組み合わせることで最大限の効果を発揮し、ユーザー中心の完全な全体像を描き出します。
GDPR ガイドラインに従って PII を保護するにはどうすればよいでしょうか?
一般データ保護規則(GDPR)がまもなく施行され、多くの組織が既に準備を進めています。個人情報の漏洩は罰金や罰則の対象となる可能性があるため、企業は個人情報の取り扱いに細心の注意を払う必要があります。GDPRのガイドラインは主に欧州連合(EU)および関連組織を対象としているため、顧客のプライバシーを保護するのは関係企業の責任です。
そもそも、こうしたセキュリティ上の課題は、個人を特定できる情報(PII)という根底にある概念によって引き起こされていることを理解する必要があります。企業は顧客固有の情報を保有しているため、それを保護する、あるいは漏洩した場合には必要な対策を講じる責任を負います。推測によると、GDPRはPIIを保護するための具体的なガイドラインを策定しないと予想されており、企業は業務の性質に応じて独自の戦略を策定する必要があるでしょう。GDPRは当面はデータガバナンスにのみ焦点を当てており、関係組織が規則を遵守しない場合、何らかの罰則が科せられることになります。
続きを読む: GDPRへの準備はできていますか?知っておくべきセキュリティのヒントをご紹介します
- 個人データの保護
PIIは非常に限定的な用語ですが、個人データはより広範な懸念事項を網羅しています。PIIを保護するための第一歩は、個人データセットに関連する脅威を特定し、完全に排除することです。課せられたガイドラインの対象となる企業は、PIIにリンクされている、またはリンク可能なPIIに特有の側面だけでなく、データ保護のあらゆる側面をカバーするよう努める必要があります。
- ユーザー権利の再検討
GDPRでは、すべての顧客にオプトインフォームへの署名を求め、保護対象となる情報の種類、性質、および保存期間を明記する必要があります。ただし、企業がデータベースにPIIを保存しているにもかかわらず、関係する個人はPIIを完全に管理しています。したがって、透明性は個人識別情報(PII)を保護するための前提条件です。
- セキュリティ構造への対処
一般データ保護規則(GDPR)は、組織の責任を再定義します。データ主体、データ処理者、データ管理者など、あらゆる関係者がPII(個人情報)を可能な限り適切に保護する必要があります。したがって、すべての企業は、データ管理者とデータ処理者に対し、ユーザーデータとその利用状況を追跡するよう指示する必要があります。検索可能で文書化された戦略を策定することは、機密性の高いデータセットを保護するための優れた手段となります。
- データ侵害の報告
データを可能な限り最善の方法で保護できるデータ保護責任者(DPO)を配置するための規定が必要です。DPOは、PIIが何らかの形で侵害された場合、報告された侵害にほぼ即座に対応する必要があります。GDPRは、データ保護法(DPA)に基づき、侵害の報告期限を72時間と定めています。ただし、PIIが既に暗号化されており、最終層が侵害されていない場合は、直ちに報告する必要はありません。
推論
GDPRコンプライアンスのための最善の戦略の一つは、個人識別情報に重点を置くことです。上記の対策は確かに役立ちますが、企業は信頼できるセキュリティ製品や、以下のようなセキュリティサービスを選択する必要があります。 セクライト 煩わしさなく、組織的に要件に対応できるようにするためです。結局のところ、GDPRは特定の組織にとって、機密データセットを再検討し、保持期間を分析し、追加のセキュリティ対策を講じる機会となるでしょう。これにより、PII(個人情報)の取り扱いが合理化され、特に長期的には、顧客と企業にメリットをもたらすでしょう。
お客様のビジネスのITセキュリティパートナーとして、 セクライト 高度なサイバー脅威から包括的なセキュリティを提供します。詳細はこちら
