守るべき個人情報(PII)をあらためて知る サイバーセキュリティ対策実践講座 第5回
新聞やネットニュースにおいて、不正アクセス、ランサムウェア感染、内部不正(売買目的等)による個人情報漏洩が毎日のように報道されていますが、この原因には情報のアクセス制御やパソコン、サーバー、ネットワーク機器のアップデートやマルウェア対策など技術的対策の不足だけでなく、組織的な個人情報保護の意識の緩みや管理の怠りが内在していることも懸念されています。
前回までに紹介した技術的対策、物理的対策に加えて、サイバー攻撃から個人情報を適切に護るために、今回はISMSやNISTを参考とした「個人情報(PII)」の考え方(定義と範囲)をあらためて知っていただきたいと思います。
ISMSや米国国立標準技術研究所(NIST)では、個人情報を「PII(ピー・アイ・アイ:個人を特定できる情報)」として、用語定義しています。
「個人情報」「個人データ」「PII」など呼称や用語定義は、各国法令によって異なりますが、「特定の個人に関連する情報」という共通概念に変わりはありません。
| PII (Personally Identifiable Information) | 個人識別可能情報(個人として識別可能な情報) a) その情報に関連するPII主体を識別するために利用され得る情報、または b) PII主体に直接若しくは間接にひも(紐)付けられるか、またはその可能性がある情報 |
| PII主体 | PIIに関連する個人 個人情報保護法における「本人」を指す |
PIIは、「直接的」「関節的」に個人を特定する情報があり、「関節的」なPIIは、個人情報保護法上の「個人関連情報」に該当し、サービス利用履歴や位置情報他など、情報を組み合わせることで個人を特定することができる情報を指しています。下表はその一例です。
| ・氏名 ・旧制 ・住所 ・電話番号 ・年齢 ・性別 ・誕生日 ・出生地 ・公的情報・識別子(マイナンバー、パスポート番号等) ・銀行口座、クレジットカード番号 ・バイオメトリクス識別子(指紋、網膜、虹彩、体臭、顔、静脈、DNA等) ・IPアドレス ・GPS位置情報 ・個人を識別可能な写真又は映像 ・整品及びサービスの選好 ・水道光熱費 ・病歴 ・身体障害 ・健康診断情報 ・医療費明細書 ・性的指向 ・宗教又は哲学的な信条 ・刑事上の有罪判決又は違反 ・従業員・顧客番号 ・従業員の給与及び人事情報 |
ISMSでは、下記の情報セキュリティ管理策が要求されています。第3回AIセキュリティで紹介した「プライバシー」にも配慮して、組織は運用・管理することが重要です。
| 管理策5.34 プライバシー及び個人識別可能情報(PII)の保護 |
| 組織は、適用される法令、規制及び契約上の要求事項に従って、プライバシー及びPIIの保護に関する要求事項を特定し、満たさなければならない。 |
また、自身のプライバシーを保護するために、例えば、インターネットの利用において、PIIがどのように収集され、適切に共有され、保管されているか、その範囲を自身で決定できているか、一度確認してみましょう。
総務省「国民のためのサイバーセキュリティサイト」では、PIIを不用意に公開しないことを一般家庭における対策としても注意喚起していますので、参考にしてみてください。
参照:総務省 国民のためのサイバーセキュリティサイト「PII(個人識別用情報)を不用意に公開しないようにしよう
https://www.soumu.go.jp/main_sosiki/cybersecurity/kokumin/security/end_user/general/07
個人情報保護法には、「個人情報」「個人データ」「PII」に関する定義があります。組織は、適用される法令・規制の記述を注意して確認することが求められます。これはISMS認証取得の有無や企業の規模に限らず、組織的な基本的対策として、意識して厳格に取り組むことで、サイバー攻撃や内部不正の抑止に効果が出るものと考えられています。
| ISMS審査で確認した状況の一例 | ・退職者や採用応募者(不採用者含む)の履歴書等(データファイル及び書類)が、人事担当者の業務パソコンのローカルフォルダ(ダウンロードフォルダ)や社内チャットツール上で永久保管状態 ・入社手続きのため、銀行口座やマイナンバー情報等を無料SNS且つ個人アカウントから送信することを従業員に要求 ・従業員の履歴書や取引先情報が施錠されていない、誰でも自由に開閉できる書棚で管理 ・健康診断結果が、封印されていない封筒で机上に放置(人事担当者が本人不在時に配付) ・会社ホームページ上の問い合わせフォームから直接求人応募できるが、暗号化されていないhttpのホームページの状態 |
| 日常対応ポイント | 個人情報(PII)をいつまで、どのように保持するか、組織で取り扱いしている個人情報ひとつひとつを洗い出し、利用目的(例:採用のために取得、など)と長期間保持する場合は、その理由を明文化して期間を定めていきましょう。 個人情報保護法22条では「利用する必要がなくなったときに遅滞なく消去するように努める」ことが記載されています。 なお、個人情報取り扱い上の記録については、第三者に提供した情報は原則3年間保存する必要がありますが、各法令や規制により一部保存期間が個別に決められているものもありますので、調査を行い、業務実態に応じて設定することが重要です。 |
貴方の組織では、自身や従業員、顧客等の大事な個人情報(PII)を「永久」的に保管・保存していたり、誰でも自由にアクセスできる場所や無料のクラウドサービス上に置いていたりしていないでしょうか。
今回ご紹介した日常対応ポイントを出来ることから取り組み、または検討を始めていただき、リスク発生が防止できれば幸いです。
サイバーセキュリティ対策実践講座の過去の記事はこちら(合わせてお読みください)
山田 慎 Shin Yamada
一般社団法人セキュアIoTプラットフォーム協議会 主任研究員
長年、情報セキュリティコンサルティング業務及びISO審査員として従事。日常的な業務書類の管理からサイバー攻撃(脆弱性)対応まで物理的・環境的、技術・論理的側面に対して、セキュリティ専門性も活かした、分かりやすい対策支援を行うことを得意としている。
一般社団法人日本テレワーク協会 / 一般社団法人セキュアIoTプラットフォーム協議会が認証機関として推進している「安心安全テレワーク施設認証プログラム」の設立や「安心安全テレワーク施設ガイドライン(第1版)」の策定にも関与。その他、ISMS審査員等の資格に加えて、学芸員、介護職員初任者研修、簿記、普通自動車運転免許等を取得。
趣味は、映画鑑賞、温泉、カートレースなど。
【所属】
株式会社HGC情報セキュリティ研究所
https://www.hgc-is.co.jp/
アイエムジェー審査登録センター株式会社
ISMS / ISMS-CLS / ISMS-PIMS / QMS審査員(JRCA登録)
https://imj-shinsa.co.jp/
サイバーセキュリティ対策実践講座の最新話は、メールマガジンにてもご案内致しています。是非JAPANSecuritySummit Updateのメールマガジンにご登録ください。
メールマガジンの登録はこちらからお願いします。
