Insights

個人識別情報(PII)の保護

個人識別情報(PII)の保護は、セキュリティや規制遵守において重要であり、バックアッププロセスにも影響を及ぼします。

このビデオを視聴することで、視聴履歴が収集され、提携企業や第三者プロバイダーと共有されることに同意したことになります。これらの提携企業や第三者プロバイダーは、収集した情報をあなたの他のサービス利用履歴と組み合わせる可能性もあります。私たちとこれらの第三者プロバイダーは、収集した情報を使用して、あなたが興味を持つオファー、プロモーション、その他のマーケティング情報を提示する可能性があります。

企業のIT、セキュリティ、規制コンプライアンスの担当者であれば、個人識別情報(PII)という言葉をこれまでにもよく耳にすることがあったと思います。しかし、こうした担当者は、この言葉について今後さらに頻繁に耳にすることになるでしょう。なぜなら、PIIデータはサイバー攻撃やサイバー詐欺、政府のプライバシー規制において重要な位置を占めており、セキュリティ、データガバナンス、コンプライアンスに関する話題の中心となっているからです。また、バックアップと復元の操作にも関連しています。

個人識別情報(PII)とは? 

その名称が示すように、個人識別情報には、特定の個人を識別できるあらゆるデータが含まれます。これには、メールアドレスや連絡先住所、電話番号、社会保障番号などが含まれます。ただし、PIIは、IPアドレス、ソーシャルメディア識別子、地理的位置情報を意味することもあります。デジタル化された指紋のような生体認証情報であっても、誰がそれを求めるかによってPIIとみなされる可能性があり、残念ながら、さまざまなエンティティがそれを求めています。 

企業では、顧客や従業員に関するPIIを複数のシステムに保存しています。人事管理ソリューションには、従業員に関する詳細なPIIが多数含まれている可能性があります。たとえば、電子商取引を実行するシステムでは、顧客の名前や住所がデータベースに保存される傾向にあります。したがって、事業を経営している場合、いろんな人のPIIが自社のITインフラ全体に散在している可能性があります。

 

HOW TO PROTECT PERSONALLY IDENTIFIABLE INFORMATION (PII)

PIIがIT、セキュリティ、コンプライアンスとどう関係しているか

少なくとも以下の3つの重要な理由により、IT、セキュリティ、コンプライアンスの責任者は、PIIの保護を最優先の課題とすべきです。

  • 基本的な業務遂行とブランドイメージ:IT、セキュリティ、コンプライアンスの責任者は、人々の機密情報を管理する立場にあります。ハッカーにそうした情報への侵入を許し、個人情報を悪用されたり、なりすましに利用されたりすれば、企業の評判が悪くなるだけでなく、事態が悪化して法的責任や多額の費用が発生する可能性があります。

  • サイバーセキュリティとサイバー詐欺:ハッカーはPIIを好みます。PIIがあれば、他人になりすまして銀行口座を乗っ取るなど、さまざまなオンライン詐欺を行うことが可能になります。また、スピアフィッシング攻撃で特定の個人をターゲットにすることができます。少なくとも、ハッカーはダークウェブでPIIを詐欺師に売却でき、詐欺師がそれを有効活用(悪用)することになります。

規制コンプライアンスとデータコンプライアンス:現在、多くの法律によって企業がどのように顧客のPIIを取り扱うべきかが定められています。主な例としては、EU一般データ保護規則(GDPR)とカリフォルニア州消費者プライバシー法(CCPA)の2つがあり、いずれも侵害からPIIを保護しない企業に対する厳しい規則と高額の罰則を設けています。CCPAでは、1件のインシデントあたり最高2,500ドルの罰金が科せられる場合があります。つまり、100万件の顧客レコードがある場合、PIIを慎重に取り扱わなかったあかつきには、25億ドルの罰金に見舞われる可能性があるということです。この法律には「忘れられる権利」も定められており、消費者は自分のPIIをすべての企業システムから削除するよう要求できます。

バックアップとデータガバナンスの両立 

バックアップと復元は、PIIセキュリティとデータコンプライアンスにおける弱点です。主要なERPおよびRDBMSベンダーでは、PIIと「忘れられる権利」を追跡するための効果的なツールを作成しています。問題は、PIIがバックアッププログラムに含まれると、あらゆる場所に散在してしまう可能性があることです。オンプレミスのストレージアレイ、クラウドバックアップボリューム、ミラーサイトなどにPIIデータを誤って保存している可能性もあります。このようなケースは非常に一般的であり、コンプライアンスに関して怠慢であるとみなされる可能性があります。さらに、ハッカーによるPIIのデータ侵害に対して脆弱な状態になります。

データガバナンスとデータ分類によるPIIの保護

データガバナンスは、少なくとも理論的には、ほとんどの規制コンプライアンスとデータコンプライアンスのリスクを軽減し、PIIを管理するためのルールを確立します。たとえば、データガバナンスポリシーでは、PIIをPIIとして分類し、その保管と使用状況を慎重に追跡することを義務付けている場合があります。これは良いアイデアですが、大きな欠陥があります。ストレージやバックアップというものはそもそも無秩序で、意図してデータを分類してもせいぜい部分的な解決策にしかなりません。多くのPIIが、その所在を誰にも知られず、分類の必要性すら認識されないまま企業内に保管されている可能性があります。

 

Rubrikの優れたセキュリティ機能

PIIによる問題の発生を防ぐ方法があります。それは、自動化されたデータガバナンスおよび分類です。Rubrik Polaris Sonarなどのツールは、人工知能(AI)を活用し、機密性の高いPIIを自動的に検出、分類、保護することができます。Sonarは既存のバックアップデータをスキャンし、保存されている機密データに関するレポートを作成します。これにより、業務におけるPIIの取り扱いについて、十分な情報に基づいた意思決定が可能になります。Rubrikが自動化された機密データの検出を通じてPIIの保護をどのようにサポートできるかについて、詳細をご確認ください。