PII(個人を特定できる情報)とは?

個人を特定できる情報(PII)とは、氏名、政府発行のID番号、生年月日、職業、住所など、特定の個人を特定できるあらゆるデータを指します。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • 「PII」の意味を説明
  • PIIの主な2つのタイプを識別する
  • PIIと他の個人データの法的定義との対比

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

PII(個人を特定できる情報)とは?

個人を特定できる情報(PII)とは、個人を特定するために使用できるあらゆるデータを指します。個人に直接または間接的に結びつくすべての情報がPIIとみなされます。氏名、電子メールアドレス、電話番号、銀行口座番号、政府発行のID番号などはすべてPIIの例です。

現在、多くの組織がPIIを収集、保管、処理しています。これらの収集されたデータが侵害、または漏えいした場合、ユーザーは個人情報の盗難やその他の攻撃の被害者となる可能性があります。さらに、PIIの収集は、ユーザーが自己の個人情報がどのように扱われるかについてのコントロールと可視性を失うため、時にはプライバシーを損なうことになります。これらの理由から、PIIを保護し、可能な限りその収集を制限することが重要です。

米国国立標準技術研究所におけるPIIの定義は?

PIIは多くの公式資料から参照されているにも関わらず、単一の定義は存在しません。米国国立標準技術研究所(NIST)は、以下の最も広く参照されているPIIの定義の一つを所有しています。

「(1)氏名、社会保障番号、生年月日、出生地、母親の旧姓、バイオメトリック記録など、個人の身元を識別するために使用することができるあらゆる情報; (2)医療、教育、財務、雇用に関する情報など、個人にリンクされている、またはリンク可能なその他の情報。」

PIIの主な2つの種類とは?

PIIには大きく分けて「直接的」に個人を特定する情報と「間接的」に個人を特定する情報の2種類があります。

ここでは、NISTにおけるPIIの定義では、これらの種類の情報をどのように区別しているかについて説明します。

  • 情報の中には、個人を直接識別できるものがあります。氏名、社会保障番号、住所などは、この種類の情報の一例にあたります。
  • リンクされている、またはリンク可能な情報とは、直接個人を特定するものではなく、間接的に、つまり他の情報と組み合わせることで個人を特定することができる情報を指します。
    • ジェイクが「ウェスト・アディソン・ストリート1060番地」に住んでいるとします。「ジェイク」は米国の多くの人に共通する一般的なファーストネームなので、ファーストネーム「ジェイク」だけでは、彼を特定するのに十分ではないと思われます。しかし、「ウェスト・アディソン・ストリート1060番地」という住所と組み合わせることで、問題の個人を特定できる可能性があります。

この概念は、用語が若干異なるものの、PIIの他の定義にも登場します。例えば、米国労働省では、PIIについて以下の定義を挙げています。

「直接的または間接的な手段により、その情報が適用される個人の身元を合理的に推測することができる情報の表現。さらに、PIIは、(i)個人を直接的に特定する情報(氏名、住所、社会保障番号、その他の識別番号またはコード、電話番号、電子メールアドレスなど)、または (ii)機関が他のデータ要素と組み合わせて特定の個人を識別することを意図した情報、すなわち間接的な識別子[重要な点]と定義される。」

ここで重要なのは、直接的または間接的に個人を特定できる情報はすべて保護されるべきであるという点です。

(同様の概念が仮名化にも適用されます。これは、仮名化されたデータを他のデータと組み合わせることで、個人を直接識別することができるためです。詳しくは、仮名化とは?をご覧ください。)

PIIは「個人情報」や「個人データ」と同じか?

これらの用語の背景にある一般的な概念は類似しており、特定の個人に関連する情報はすべて、「個人的なもの」と見なすことができます。

しかし、それぞれのデータプライバシー規制によって、個人を識別するために使用できるデータの用語は異なります。米国では主に「PII」という用語が使われていますが、EUのプライバシーフレームワークであるEU一般データ保護規則(GDPR)では代わりに「個人データ」、カリフォルニア州消費者プライバシー法(CCPA)では「個人情報」と呼ばれています。

さらに、個人情報保護法の各条項には、個人情報、個人データ、またはPIIに関する独自の定義があります。組織は、適用される法律の記述を注意深く確認する必要があります。

なぜPIIがプライバシーにとって重要な概念なのか?

プライバシーとは、一般的に、自分の個人情報(PIIなど)をいつ、どのように、どの程度まで他人と共有するかを自分で決定できる能力のことを指します。自分のプライバシーを保護するためには、誰が自分のPIIを収集し、そのPIIがどのように扱われるかを知る必要があります。

組織は、PIIとユーザーのプライバシーを保護するために、どのようなPIIを保有しているか、またそのPIIをどのような方法で安全に保管しているかを知る必要があります。また、多くの情報源は、PIIの収集と使用を制限することも推奨しています。これの実施は、 公正な情報慣行(詳細はこちら) と考えられています。