アカウントを開設するとき、購入するとき、アプリをダウンロードするとき、私たちは自分自身に関する情報の断片を共有しています。その一部は無害に見えるかもしれません。しかし、別の詳細は、誤った相手の手に渡ると、本人確認やアカウントへのアクセス、詐欺の実行に悪用される可能性があります。
どの情報がリスクになり得るのか、どのように悪用され得るのかを理解することは、デジタルアイデンティティを守るための第一歩です。注意すべき点を把握すれば、露出を減らし、個人データを自分でコントロールしやすくなります。
知っておきたいポイント:
- PIIには氏名や社会保障番号のような明白な情報に加え、位置情報の履歴やデバイス識別子といった間接的なデータも含まれます。
- 一部のPIIはあなたを直接特定しますが、他のデータは組み合わせることで識別可能になります。
- PIIが漏えいすると、なりすまし、詐欺、フィッシング、アカウント乗っ取りにつながる可能性があります。
- 企業はプライバシー・データ保護法の下でPIIを慎重に取り扱うことが求められます。
- 共有内容を最小限にし、アカウントを保護することでリスクを減らせます。悪用の監視を行う人もいます。
個人を特定できる情報(PII)とは?
個人を特定できる情報(PII)とは、直接的または間接的に個人を特定できるあらゆる情報を指します。
このデータには、社会保障番号のように個人特有のものもあれば、生年月日や出生地のような「準識別子」のように、複数の一般的データを組み合わせることで個人を特定できるものもあります。
PIIは、氏名やID番号から、メールアドレス、IPアドレス、位置情報データまで幅広く含みます。露出のリスクと、PIIをどのように保護し、インターネットから削除すべきかを理解することが重要です。
個人を特定できる情報の例は?
PIIは、あなたを識別できるすべての情報を含みます。単体では無害に見えるデータポイントもあります。しかし、組み合わさると、短時間で誰かの身元を絞り込めます。Kaspersky の調査では、個人を特定できる情報は侵害で最も一般的に露出するデータの一つで、約43%の事例で確認されており、この種のデータがしばしばリスクにさらされていることが浮き彫りになっています。
直接識別子
直接識別子は、追加の文脈がなくても特定の人物を明確に指し示します。例:
- クレジットカード情報
- 社会保障番号
- 運転免許証番号
- パスポート番号および詳細
- 銀行口座情報
- 医療記録
- 指紋や顔認証データなどの生体データ・生体識別子
この種の情報が漏えいすると、迅速に本人なりすましや金融詐欺につながり得ます。
間接(準)識別子
間接識別子、または準識別子は一見わかりにくいものです。次のような情報が含まれます。
- ZIPコード
- 人種
- 宗教
- 性別
- 生年月日
- 出生地
- 氏名
- 雇用情報・職歴
- 学歴など教育に関する詳細
- メールアドレスまたは郵送先住所
- 電話番号
- 母親の旧姓
- 両親・兄弟姉妹・配偶者・子どもなどの経歴情報
- IPアドレスやオンラインで収集されるデバイス関連の識別子
これらは日常的な情報に見えますが、相互に結び付けると想像以上のことが明らかになり、リスクが高まります。
医療分野におけるPIIとは?
医療分野では、PIIは保護対象保健情報(PHI)と呼ばれることがよくあります。PHIは、米国のHIPAAなどの法律の下で、特定個人に紐づく医療または健康関連データを指します。
PHIは通常、基本的なPII(氏名や生年月日)に、診断、治療記録、処方、保険情報などの医療情報を組み合わせたものです。これらを結び付けると、その人に関する多くの情報が明らかになります。
患者に関しては、オンラインポータル、保険請求、予約システム、請求記録などが影響を受ける可能性があります。健康データは個人的かつ長期にわたるため、PHIを保護することは、なりすましや医療記録の不正利用を防ぐ上で極めて重要です。
機微なPIIと非機微なPIIの違いは?
違いは影響度にあります。感受性(センシティビティ)は、その情報が露出した場合にどれだけの害が生じ得るかに依存します。
機微なPIIは、直接的に本人なりすましや金融詐欺につながり得ます。非機微なPIIは単体では無害に見え、正確な特定には他のデータへの依存度が高いものです。
パスポート番号や運転免許証番号は機微情報と見なされます。これらは単体でも露出すると有害です。一方、雇用情報や学歴はPIIの非機微な例です。
「非機微」データであっても、組み合わさると危険になり得ます。例えば、氏名に生年月日と地域を加えると、身元を素早く絞り込めます。別の例として、IPアドレス単体では個人を明確に特定できない場合がありますが、ログイン記録やデバイスフィンガープリントと結び付くと、特定のユーザーを指し示すことがあります。
なぜ犯罪者は個人を特定できる情報を狙うのか?
犯罪者がPIIを狙うのは、さまざまな詐欺やアカウント乗っ取りに利用できるからです。
盗まれた情報は、金融口座に直接アクセスしたり、パスワードをリセットしたりするために使われることがあります。また、ダークウェブで束ねて販売・取引され、他の詐欺師に悪用されることもあります。PIIは詐欺師にとって非常に価値があります。
被害者にとっては、金銭的損失や、信用情報の毀損のような長期的な問題につながることがあります。アカウントや身元を回復するには、長く困難なプロセスを要する場合があります。
PIIはどのように盗まれるのか?
PIIは、複雑なハッキングよりも、日常的な経路で盗まれることが一般的です。
最も多いのは、フィッシングやスミッシングです。偽のメールやSMSでリンクをクリックさせたり情報の確認を求めたりしますが、実際にはあなたの詳細を盗み、悪用または転売する手口です。ソーシャルエンジニアリング詐欺も同様で、プレッシャーや緊急性を装って、直接情報を引き出します。
データ侵害やマルウェア攻撃も大きな原因です。企業が侵入されると、顧客の重要なアカウント情報が一括で露出することがあります。これは世界的に有名な企業でも起こり得ます。例えば、最近のPayPalのローンアプリのコードエラーにより、一部の顧客データが数カ月にわたり露出していました。
PIIは、紛失した端末や安全でない公衆Wi‑Fiを通じて露出することもあります。安全でない接続は、保存されたアカウントや認証情報へのアクセスを攻撃者に与えかねません。
注意すべきサイン:
- アカウントや支払い情報の緊急確認を求めるメッセージ
- ワンタイムコードやパスワードの共有依頼
- パスワードのない安全でない公衆Wi‑Fiネットワーク
- 身に覚えのない請求やログイン通知
また、自分が利用しているサービスに関わるデータ侵害について、(信頼できる情報源の)ニュースにも注意を払いましょう。
機微情報を保護しましょう
Kaspersky Premium には、ファイルの暗号化、強力なパスワードの利用、接続を非公開に保つ安全なVPNの使用など、PIIを保護するために設計された各種ツールが搭載されています。
無料でPremiumを試す個人を特定できる情報を保護する法律は?
世界各地に、個人データを保護し、個人に自身の情報に関する一定の権利を与えるための法律があります。各国は自国の法律を制定しますが、同様の枠組みを用いることがあります。
- GDPR(一般データ保護規則)は、EUの人々に、自分の個人データへのアクセス、訂正、削除の請求権を与えます。
- CCPA/CPRA(California Consumer Privacy Act と California Privacy Rights Act)は、カリフォルニア州の住民に、収集されるデータの把握、削除や第三者販売の停止を求める権利を与えます。
- 1974年のプライバシー法は、米国連邦機関が個人情報を収集・利用する方法を規制します。
- HIPAA(医療保険の相互運用性と説明責任に関する法律)は、医療機関や保険者が扱う健康関連情報を保護します。
- PCI DSS(Payment Card Industry Data Security Standard)は、クレジットカードデータを扱う企業向けにセキュリティ要件を定めています。
- PDPA(シンガポール個人データ保護法)は、シンガポールにおけるデータの収集・利用・開示のルールを定めます。
- POPIA(南アフリカの個人情報保護法)は、個人データの適法な処理条件を定めます。
- PDPL(サウジアラビアの個人データ保護法)は2024年に全面施行され、サウジアラビア王国内のデータ保護上の権利と義務を規定します。
個人を特定できる情報をどうやって守る?
PIIを保護するとは、その露出を減らし、見つかった情報を攻撃者が使いづらくすることです。アカウント乗っ取りや身元の悪用に対処するために実践できる、いくつもの簡単な方法があります。
アカウントのセキュリティを強化する
各アカウントで強力かつ一意のパスワードを使用し、パスワードマネージャーに保管して安全性を高めましょう。可能な限り多要素認証を有効にして、もう一段の防御を追加してください。
侵害通知などで漏えいした認証情報がないか確認し、露出したパスワードは速やかに変更しましょう。
オンラインで共有する情報を制限する
ソーシャルメディアのプライバシー設定を見直し、不要な公開情報を削除しましょう。本当に公開したい情報は何かを考えてください。誕生日の全桁、自宅住所、リアルタイムの現在地の投稿は避けましょう。
情報の共有を促すあらゆるものに注意してください。セキュリティ質問に似たクイズや投稿を含む場合があります。これらは、あなたの情報を集めるために作られた詐欺であることがあります。
デバイスと接続を保護する
できる限り保護されるよう、セキュリティ設定や技術を活用しましょう。端末を最新に保ち、画面ロックや内蔵の暗号化を使用するのは賢明です。
また、公衆Wi‑FiではVPNを使い、傍受リスクを低減することをおすすめします。公衆の接続にはリスクがあります。
トラッキングとデータ収集を減らす
トラッキングもあなたの情報に対する脅威です。プライバシー設定を調整し、サードパーティCookieを制限して、インターネット接続やデバイス詳細の追跡を抑えましょう。アプリの権限を見直し、データを危険にさらしかねない不要なトラッキングや監視機能を無効化してください。
位置情報など、不要なアプリのアクセスを制限して、追跡されて身元特定に使われる可能性を下げましょう。
専門家はまた、ブラウザーのプライバシー設定の最適化(サードパーティCookieの無効化、ウェブサイトトラッキングの防止、広告の制限)、閲覧履歴(Cookieやキャッシュを含む)の定期的な削除、不要な拡張機能の削除も推奨しています。
身元の悪用を監視する
注意深く観察し、アカウントのアラートを設定しておくと役立つことが多いです。銀行口座やクレジットカードで取引アラートを有効にし、支出があった際に確認できるようにしましょう。信用情報に不審な動きがないか、定期的に信用報告書を確認するのも良い考えです。USでは、Experian、TransUnion、Equifaxという「三大」信用情報機関が無料で報告書を提供しています。
アイデンティティ監視やスクラビングサービスを利用すると、継続的に情報を把握したい場合に、さらなる可視性を得られます。
インターネットから自分の個人情報を削除するには?
オンラインのPIIを削除することは可能ですが、多くの場合、一度で完了する解決策ではなくプロセスになります。重要な場所での露出を減らすことが目標です。
主なヒントは次のとおりです。
- 使っていないアカウントを削除または無効化する。古いフォーラムやアプリには、もはやオンラインに置く必要のない個人情報が保存されていることがあります。ソーシャルメディアには多くの情報が保存されがちです。可能な範囲でこうしたデータを削除しましょう。
- ソーシャルメディアのプライバシー設定を強化する。プロフィールの閲覧範囲や公開される情報を制限しましょう。電話番号や完全な生年月日のような個人情報は削除します。
- 削除を依頼する。ウェブサイト運営者に、古くなった情報や不要な情報の削除を求めましょう。該当する場合は、検索エンジンの結果から特定の個人情報の削除を依頼することもできます。
- データブローカーの配信停止(オプトアウト)を行う。多くの企業が個人データを収集し再販しています。直接オプトアウト申請をするか、掲載が広範囲に及ぶ場合は信頼できる削除サービスを利用できます。
- オンライン上のPIIを見直す。個人情報は時間の経過とともに再浮上することがあります。削除を一度きりの作業とせず、定期的な見直しとクリーンアップが重要です。
PIIが露出した場合はどうすべき?
PIIが露出した場合は、慌てないようにしましょう。さらなるアクセスを制限し、金銭的被害を抑える手順を優先してください。
- まずアカウントを保護する。特にメールのパスワードを変更し、可能なところでは多要素認証(MFA)を有効にします。
- 不正な活動がないか確認する。アカウントのログイン履歴や最近の取引、セキュリティ設定の変更有無を見直します。
- 銀行やカード会社に連絡する。不審な請求を報告し、追加の保護措置について相談します。
- 必要に応じて信用凍結を行う。信用凍結により、データを保護するまであなた名義の新規口座開設を防げます。
- 明細とアラートを監視する。金銭やアカウントの動きを継続的な悪用の兆候がないか注視します。
- 身元盗用を報告する。例えばUKでは、警察のPrevent Fraud部門にオンラインで届出ができ、0300 123 2040に電話することも可能です。
後追いの詐欺に注意してください。攻撃者は、侵害後に「復旧」サービスやセキュリティ担当者を装うことがあります。追加の情報を共有する前に、必ず独立して正当性を確認しましょう。
関連記事:
おすすめ製品:
FAQ
IPアドレスはPIIと見なされますか?
単体のIPアドレスでは個人を直接特定できない場合もありますが、他のデータやアカウント記録と紐づくと個人特定が可能になることがあります。
PIIとパーソナルデータ(個人データ)の違いは何ですか?
PIIは識別可能な情報を指す際によく使われる用語です。「Personal data(個人データ)」はGDPRのような規制で用いられるより広い概念で、追加のデータ類型を含む場合があります。
PIIとPHIの違いは何ですか?
PIIは一般的な識別情報を含みます。PHIは特定の個人に紐づく健康関連情報を指し、HIPAAのような法律で保護されています。
インターネットから自分のPIIを完全に削除できますか?
完全な削除はほとんどの場合困難です。継続的な監視と定期的なクリーンアップの方が現実的なアプローチです。
