サイバーセキュリティ 
特権ID管理(PIM)とは、組織内のデータやネットワ
個人識別情報(PII)とは、個人を識別するために利用されるデータを指し、これには社会保障番号のような情報が含まれます。この種のデータは、クレジットカードの作成やローンの申し込みなどに使用されるため、非常に価値があります。
この記事では、PIIに分類される情報の種類や例、それらをサイバー犯罪者から守る効果的な対策などを詳しく紹介します。
PII(個人識別情報)とは
PIIとは「Personally Identifiable Information」の略で、個人を特定する情報を指します。
PIIには、名前、住所、電話番号、マイナンバー、生年月日、メールアドレスなど、個人を特定または特定可能にする情報が含まれます。PIIは、個人のプライバシー保護とデータセキュリティの観点から、特に重要な扱いを受けています。
またそれだけではなく、サイバー犯罪者が一番狙っているのもこのPIIなので、企業や組織はよりPIIを守るセキュリティ対策が必要になります。
PII(個人を特定する情報)の管理と保護に関しては、多くの国や地域で法律による規制が設けられており、違反すると重大な法的責任を負うことになる場合があります。
機密 PII と非機密 PII の違い
PII は、機密情報と非機密情報に区別されます。前者は直接的な PII 、後者は間接的な PII とも呼ばれています。機密 PII または直接的な PII は、その情報だけで個人を特定できる情報を指します。機密 PII には、運転免許証番号や社会保障番号が含まれます。機密 PII は、正当な必要性がない限り、可能な限り秘匿にしておくべき情報です。非機密または間接的な PII は、一般的に入手可能な情報で、個人情報に紐づいているが直接個人を特定するには至らない情報を指します。電話番号は、非機密 PII に分類されます。
機密 PII が漏洩し、氏名と結びつくと、個人情報の盗難などのサイバー犯罪につながる恐れがあります。非機密 PII も、機密 PII と結びつけば、犯罪が成功する可能性が高まります。
例えば、読書会のメンバーの名前が載ったリストが漏洩しても危険はありませんが、医薬品を郵便で受け取っている人たちの名前と住所が載ったリストが漏洩し、病歴の詳細などが明らかになれば、医療詐欺などのサイバー攻撃につながる恐れがあります。
PII(個人識別情報)の例
ここでは、機密と非機密、両方の個人識別情報の例をあげます。
| 機密または直接的な PII | 非機密または間接的な PII |
|---|---|
| 社会保障番号 | 電話番号 |
| 運転免許証番号 | 人種または民族 |
| パスポート番号 | 身長 |
| 生体認証情報 – 指紋と虹彩スキャンデータ | IP アドレス |
| 銀行口座番号 | 郵便番号 |
| 雇用者識別番号 | ナンバープレート番号 |
| 医療記録 | 性別 |
| クレジットまたはデビットカード番号 | 宗教 |
| 生年月日 | メールアドレス |
| 母親の旧姓 | ユーザー名 |
| 犯罪歴 | |
| 出生地 | |
| 正式な本名 | |
| パスワード | |
| 自宅の住所 |
PII 保護の重要性
個人識別情報は、銀行口座の開設や運転免許証の申請など、個人識別が必要な手続きに使用されます。そのため、PII がサイバー犯罪者に漏洩すると、深刻な被害をもたらす詐欺につながる恐れがあります。サイバー犯罪者は、PII を使って本人になりすまして保険金を騙し取ったり、銀行口座を開設したりすることができます。
残念ながら、FTC(米国連邦取引委員会)によると、米国人は 2022 年に 761,660 件のなりすまし詐欺の被害届を提出し、30 億ドル近くの被害が発生しています。
PII は、ダークウェブ上では金銭的な価値があります。クレジットカード情報は最高 22 ドル、医療記録は最高 1,000 ドルの価値があります。サイバー犯罪者は、一般人から PII を騙し取り、他のサイバー犯罪者に売ったり、自分で悪用したりする動機があるのです。
PIIに関する法律
PII(個人を特定する情報)の管理と保護に関しては、多くの国や地域で法律による規制が設けられています。これらの法律は、個人のプライバシーを保護し、データ漏洩や不正利用から守ることを目的としています。主にPIIに関する法律は以下のようなものがあります。
一般データ保護規則(GDPR):欧州連合(EU)
個人データの処理に関して厳格な要件を設けています。データ主体の同意が必要であり、データの透明性、目的の制限、最小限化、正確性、保管期限の制限、完全性、信頼性、データ主体の権利(アクセス、訂正、削除など)を保障する法律です。
健康保険の携行と説明責任に関する法律(HIPAA):アメリカ
この法律は、医療提供者、健康計画、医療記録の保管者などが、患者の医療記録やその他の個人健康情報をどのように保護し、共有するかについての基準を定めています。
個人情報の保護に関する法律(個人情報保護法):日本
個人情報の収集、利用、提供、管理、消去、さらには匿名加工情報の取扱いに関する詳細な規定が含まれています。これにより、個人データの適切な取り扱いを確保し、プライバシーの保護とデータセキュリティを強化するための明確な枠組みが組織に提供されます。
サイバー犯罪者が PII を盗む手口や被害
PIIといっても、どんな手口で実際に盗まれていたり、どんな被害があるのか気になりますよね。
ここでは実際にあった、PIIが盗まれた手口や被害を紹介します。
PIIを盗む手口
- フィッシングやスミッシング:犯罪者は公的機関を装ったメールやテキストメッセージを送り付けて、個人情報を盗み取ろうとします。
- データ漏洩:漏洩した個人情報はダークウェブに流出する恐れがあります。
- 中間者攻撃:この種の攻撃では、送信中の情報を傍受します。
- マルウェア:コンピューターを攻撃して機密情報を盗み取る悪意のあるソフトウェアを指します。
- クレデンシャルの盗難:データ漏洩などさまざまな攻撃によって発生する可能性があります。サイバー犯罪者がクレデンシャルを盗み取ると、場合によっては、PII を含むメールアカウントにもアクセスできるようになります。
PII 盗難による被害
PII を盗んだサイバー犯罪者は、他の種類の犯罪行為に加えて、PII の所有者になりすました詐欺行為を働くことができます。PII の盗難は驚くほど日常的に発生しており、金銭やアイデンティティの盗難などの被害をもたらすだけでなく、計り知れない精神的苦痛を与え、回復には長い時間を要します。
● 前述したように、米国人は 2022 年になりすまし詐欺で 30 億ドル近い被害を被りました。
● 過去 5 年間で、276 億ドルものインターネット詐欺による被害報告をFBI は受けています。
● 企業はビジネスメールの漏洩によって大きな被害を受けており、2022 年には 27 億ドルの被害が発生しました。
● SafeHome によると、21% の米国人がドキシングを経験しています。
● 2022 年の調査では、データ漏洩を経験した企業の半数以上が、事後処理に 5 万ドル以上を費やしています。Keeper の 2022 Cybersecurity Report によると、2022 年は事後処理に 100 万ドル以上を費やした企業もありました。
PII を保護しリスクを低減する対策方法
個人にも企業にも PII を保護する責任があります。個人は、自分の情報を保護するためにサイバー衛生上のベストプラクティスを実践する必要があります。データベースに PII を保持する企業にもそれを保護する義務がありますが、実際には、保持しない企業にも法的責任が課されることがあります。
企業が PII を保護する方法
Keeper の 2022 Cybersecurity Report によると、IT 部門責任者の 48% がサイバーセキュリティ攻撃を確認しても内部に留めておくことがわかりました。適切なセキュリティ対策とパスワード管理によって、企業はより効果的にデータを管理し、漏洩を防ぐことができます。
1. PAM ソリューションを導入する
PAM(特権アクセス管理)とは、機密性の高いアカウント、システム、データのパスワード、クレデンシャル、シークレット、接続の管理・保護を目的としたビジネスソリューションを指します。優れた PAM ソリューションは、迅速に導入でき、最適な暗号化機能を駆使して、各ユーザーが必要とする権限のみに制限して付与し、サプライチェーン攻撃やインサイダー攻撃などの脅威に対する包括的な保護を提供します。
Verizon の Data Breach Report によると、漏洩の 82% は、その原因が単純なミス、誤操作、悪意のある攻撃(ベンダー、インサイダー、サイバー犯罪者による)であれ、人的要素が関与しています。PAM ソリューションは、機密情報へのアクセスを詳細に管理することで、悪意のある脅威と偶発的な脅威の双方を抑制するのに役立ちます。
2. サイバーセキュリティ教育を実施する
従業員やベンダーによるデータ漏洩(前者はインサイダー攻撃、後者はサプライチェーン攻撃と呼ぶ)は、必ずしも悪意あるものとは限りません。単にユーザーの置かれているサイバー衛生環境が悪かったことが原因という可能性もあります。脆弱なパスワードやフィッシング攻撃に引っかかるなどのヒューマンエラーが原因で、システムに侵入されることもあります。Verizon の報告では、侵入の 13% はヒューマンエラーが原因でした。
Keeper の 2022 US Cybersecurity Census Report では、IT 部門責任者の 26% が、従業員に対するサイバーセキュリティ教育の不足を懸念していることが明らかになりました。今こそすべての従業員を教育するときです。PAM はセキュリティ管理の一部に過ぎず、セキュリティの強さは最も脆弱な部分の強さで決まります。
3. データを匿名化し、不要なデータは収集しない
個々の企業が日常的に大量のユーザーデータを収集することはリスクが伴います。データ漏洩が発生すると、ユーザーの個人識別情報を含む情報が流出する恐れがあります。データを収集する場合は、個人を特定できる情報はすべて削除し、業務の遂行上重要でないデータの収集は避けるべきです。
4. 「ダークデータ」を消去する
なぜなら、企業にとって不要なユーザーデータを大量に収集することは驚くほど一般的であり、全く不要な過去のデータが残されている可能性もあるからです。これは「ダークデータ」と呼ばれ、破棄する必要があります。報告によると、企業が保有するデータの 50% 以上がこのようなダークデータであると推定されています。従業員はそれがどこから来たのかさえ覚えていないかもしれません。企業が扱うあらゆるデータは、明確な使用目的を持ち、十分な説明と使用履歴を添付して、安全な場所に保存しておく必要があります。使い終わったデータは削除しないと、ダークデータになる危険性があります。
5. 漏洩発生に備えて対応計画を立てる
適切な保護対策を欠いた企業では、データ漏洩が驚くほど多発しています。昨年は 1,800 件以上の漏洩が発生しており、企業は明日は我が身という認識を持つべきです。予めデータ保護の対策を講じてくことは重要ですが、漏洩の発生に備えた計画を立てておくことも重要です。FTC は、データ漏洩に対して事業を安全に継続していくためのガイダンスを提供しています。
個人で PII を保護する方法
サイバー攻撃では、企業だけでなくあらゆる個人も攻撃の対象となり得るため、個人も自分の PII を保護する必要があります。
ここまでは、オンラインデータの安全性を維持する方法について詳しく説明してきましたが、その中でも重要なポイントをいくつかあげておきます。
1. アカウントごとに強力で独特なパスワードを使用する
強力なパスワードは、16 文字以上で、大文字、小文字、数字、記号を組み合わせて作成します。辞書に登録されている単語や誕生日などの個人情報はパスワードに含めないでください。
パスワードはアカウントごとに独特でなければなりません。複数のアカウントに使用していたパスワードが漏洩すると、それらのアカウントすべてが危険にさらされることになります。パスワードジェネレーターを使えば、強力なパスワードを簡単に生成できます。アカウントごとに独特なパスワードが必要になりますが、パスワードマネージャーならそのすべてを保存できます。パスワードマネージャーは、すべてのパスワードを安全に保存し、どこからでもアクセスできるようにして、アカウントごとに独特なパスワードを簡単に設定することができます。
2. 多要素認証(MFA)を使用する
MFA では、パスワードに加えて少なくとも 1 つ以上の追加のクレデンシャルが必要となります。サイバー犯罪者によってクレデンシャルが漏洩しても、MFA へのアクセス権限が必要になるため、クレデンシャルをすべて揃えることが難しくなります。
MFA には、テキストメッセージで送信されるコード、認証アプリによる時間ベースのワンタイムパスワード(TOTP:Time-Based One-Time Password)、ハードウェアセキュリティキーなどが含まれます。
3. オンラインで個人情報を共有しない
ソーシャルメディアで友人や家族と交流したり、オンラインゲームで他のユーザーとクエストを攻略したりしていると、セキュリティが脆弱な空間で情報を共有していることを忘れて、個人を特定できる情報を制限なく共有してしまいそうになります。母親の旧姓や自宅の住所などは自然に出てくるかもしれませんが、共有すべきではありません。
4. 機密ファイルを暗号化する
私たちは日常的にメールやテキストメッセージで画像などの情報を送信していますが、それらの通信手段は暗号化されていないことを忘れがちです。税務情報や保険証などの機密情報をインターネットで送信する場合は、必ず暗号化することが重要です。
機密ファイルを他のユーザーと共有する場合は、Keeper Password Managerの One-Time Share のようなサービスを利用しましょう。One-Time Share の機能を使えば、より安全にファイルを暗号化して共有できます。
5. 公衆無線 LAN は使わない
公衆無線 LAN は、サイバー犯罪者もあなたと同じようにアクセスできるため、利用すべきではありません。どうしても公衆無線 LAN を使う必要がある場合は、VPN を利用してください。
まとめ:PII を保護しましょう
個人であろうと企業であろうと、PII を保護することはサイバーセキュリティ上、不可欠かつ重要な責務です。PII を管理するソリューションが不適切だったり、サイバー衛生環境が脆弱だったりすると、機密情報が盗まれた際の対応に膨大な費用がかかる可能性があります。
Keeper Security は、企業向けのパスワードマネージャーと次世代 PAM ソリューションを提供し、あらゆる規模のビジネスの保護に対応しています。また、パスワードや機密ファイルの管理を合理化する、個人向けと家族向けのパーソナル パスワードマネージャーも提供しています。個人、家族、企業の毎日をより快適にする、弊社のパスワードマネージャーの無料トライアルをお試しください。
