個人識別情報（PII）と保護対象保健情報（PHI） PIIとPHI: PII対PHI、プライベートPIIとPHI、PHI/PIIコンプライアンス

PIIとPHIとは何ですか？

個人識別情報（PII）は、特定の個人を識別する可能性のあるデータを指します。これには、氏名、住所、社会保障番号、運転免許証番号、生年月日、電話番号、メールアドレス、銀行口座情報、クレジット番号とスコア、パスポート情報などが含まれます。

PHI、または保護対象保健情報は、個人の健康履歴や健康状態に特に関連するPIIのサブセットです。これには、医療記録や保険請求などが含まれます。

以下では、PIIとPHIの両方を検討し、米国および他の選ばれた国々に存在するデータプライバシー法と規制の概要を説明します。

個人識別情報（PII）と保護対象保健情報（PHI）

PIIを保護するためのデータプライバシー法

個人のPIIを保護するために、多くのデータプライバシー法が存在します。現在、80以上の国がPIIおよび/またはPHIに関連する何らかのデータプライバシー法を持っています。PIIの種類には以下が含まれます：

名前
住所
メールアドレス
電話番号
生年月日
パスポート、運転免許証、その他の政府発行ID番号
社会保障番号または同等の政府識別子
指紋やその他の生体データ
クレジットカードまたはデビットカード番号

米国におけるPIIデータプライバシーコンプライアンス規制

米国では、PIIを統括する単一の法律や規制は存在しません。連邦および州の法律、セクター固有のコンプライアンス規制、およびPIIの収集、使用、処理、開示を規制するその他の法律や基準が存在します。

グラム・リーチ・ブライリー法とPII

グラム・リーチ・ブライリー法（GLBA）は、PIIの収集、使用、共有を規制する連邦法です。GLBAは、電子メディアとデータの使用が増加することによる消費者プライバシーへの脅威に対する懸念の高まりに応じて制定されました。

GLBAは3つのセクションで構成されています：1）金融プライバシールールは金融情報の収集と開示を規制し、2）セーフガードルールは金融機関が収集した情報を保護するためのセキュリティプロトコルを実施することを義務付け、3）プレテキスティング条項は機密情報への不正アクセスを試みる行為をカバーします。

GLBAは金融機関に対し、顧客にプライバシーポリシーの年次通知を提供することを義務付けています。また、顧客には、第三者とPIIを共有しないように選択する権利が与えられています。

カリフォルニア州消費者プライバシー法とPII

カリフォルニア州消費者プライバシー法（CCPA）は、2020年1月1日に施行され、消費者に対して収集されている個人情報を知る権利、その情報を削除する権利、個人情報の販売を拒否する権利を提供します。

CCPAは、法律の対象となる企業に対して、新たな義務を課し、収集する個人情報のカテゴリを開示し、消費者がデータの削除を要求する方法を提供することを求めています。CCPAは、技術、メディア、エンターテインメント、通信セクターにおけるデータ侵害の増加に対応するために制定されました。

公正信用報告法とPII

公正信用報告法（FCRA）は、信用報告機関が誰かの信用度を判断する際に正確で公正な情報を使用することを保証するのに役立ちます。これは、不正確な情報が信用やその他の機会の不当な拒否につながる可能性があるため重要です。また、この情報がどのように使用、共有、アクセスされるかを規定し、不法な行為を制限します。

バージニア州の消費者データ保護法とPII

2021年3月2日、バージニア州はCCPAに相当する消費者データ保護法（CDPA）を制定しました。これは、バージニア州で事業を行うすべての人に適用され、1）少なくとも100,000人の消費者のPIIを管理または処理するか、2）個人データの販売から総収入の50%以上を得て、少なくとも25,000人の消費者のPIIを管理または処理する人に適用されます。

この法案は、消費者にPIIへのアクセス、修正、削除、コピーを取得する権利を与え、ターゲット広告、PIIの販売、消費者のプロファイリングの目的でのPIIの処理を拒否する権利を与えます。CDPAは2023年1月1日に施行されます。

EMEA、カナダ、APJにおけるPIIデータプライバシーコンプライアンス規制

最もよく知られているデータプライバシー法は、欧州連合の一般データ保護規則（GDPR）です。しかし、カナダの個人情報保護および電子文書法（PIPEDA）や英国の2018年データ保護法（DPA 2018）など、他の地域にもデータプライバシーに関連するコンプライアンス規制が存在します。

GDPRとPII

GDPRは、2018年5月25日に施行された欧州連合（EU）の規則です。個人データの削除権や使用に対する異議申し立て権を含む、個人が自分の個人データをよりコントロールできるようにすることで、EUのデータ保護規則を強化します。GDPRの下では、組織はユーザーデータを偶発的または不正なアクセス、破壊、改変、または不正使用から保護するための措置を講じる必要があります。

EUで事業を行う組織が個人データをどのように収集、使用、保護するかについて厳格なルールを設定しています。GDPRは、企業が個人データを扱う方法を完全に変えました。

この規則は、EUに居住する個人のデータを処理する、または処理しようとするすべての企業に適用され、その企業がヨーロッパ内外に拠点を置いているかどうかに関係なく適用されます。

PIPEDAとPII

2001年に施行された個人情報保護および電子文書法（PIPEDA）は、カナダ人の個人情報をどのように収集、使用、開示するかを規制しています。PIPEDAは、商業活動の過程で個人情報を収集、使用、開示するすべての組織に適用されます。つまり、カナダで事業を行うほぼすべての企業に適用されます。

2018年には、カナダ人の個人情報をよりよく保護するためにPIPEDAが更新されました。

PIPEDAは、カナダで商業的な存在を持つすべての組織に適用されますが、健康情報を管理する州または地域の法律によって規制されている特定の種類の企業には適用されません。

ゼロトラストセキュリティ戦略における最大のギャップに対処する方法を発見する

DPA 2018とPII

英国の2018年データ保護法（DPA 2018）は、個人データをどのように収集、処理、保存するかについてのルールを確立しています。この法律は、英国居住者のデータを処理する、または処理しようとするすべての組織に適用され、その組織が英国に拠点を置いているかどうかに関係なく適用されます。

PII侵害の影響を評価する

PIIデータは、身元盗用や詐欺に利用できるため、脅威アクターにとって非常に魅力的です。毎年、何億人もの人々がPII侵害の影響を受けています。企業は攻撃を受けると、収益の損失、評判の損害、規制上の罰則を被ります。

PHIとは何ですか

健康データが保護対象保健情報（PHI）と見なされ、医療保険の相互運用性と説明責任に関する法律（HIPAA）によって規制されるためには、1）患者に個人識別可能であり、2）ケアの過程でカバーされるエンティティに使用または開示される必要があります。そのため、PHIはPIIと似ており、そのサブセットですが、正確には同じではありません。

PHIを保護するためのHIPAA基準

PHIに関しては、HIPAAは1996年に制定され、PHIがどのように保護されるべきかについて厳格な基準を設定する目的で施行されました。HIPAAコンプライアンスは、PHIを識別、連絡、または特定するために使用できる18の異なる情報識別子を詳細に示しています。それらは以下の通りです：

名前
住所（州より小さいもの）
個人に関連する日付（年を除く）、例えば生年月日、入院日など
電話番号
ファックス番号
メールアドレス
社会保障番号
医療記録番号
健康保険受益者番号
口座番号
証明書またはライセンス番号
車両識別子、例えばナンバープレート番号やシリアル番号
デバイス識別子
ウェブURL
インターネットプロトコル（IP）アドレス
指紋や声紋などの生体認証ID
顔写真やその他の識別特性の写真
その他のユニークな資格特性

PHIの不正な開示はHIPAAの重大な違反であり、カバーされるエンティティ（CE）が機密患者データを保護するための措置を講じることが重要です。

PHIを扱うすべての企業はHIPAAに従わなければなりません。これには、患者データを機密に保ち、許可された個人のみがアクセスできるようにすることが含まれます。カバーされるエンティティは、PHIを保護するためのセキュリティ対策を講じる必要があります。カバーされるエンティティには以下が含まれます：

医師のオフィス、歯科医院、クリニック、心理学者
老人ホーム、薬局、病院、または在宅医療機関
健康保険、保険会社、健康維持機構（HMOs）
医療費を支払う政府プログラム
医療クリアリングハウス

これらの組織が患者情報を保護するために講じるべきセキュリティ対策には、暗号化、物理的セキュリティ、アクセス制御システムが含まれます。

PHIを保護するためのHITECH

2009年、経済および臨床健康のための医療情報技術（HITECH）法がアメリカ復興再投資法の一部として制定されました。HITECHの主な目的は、医療情報技術（健康IT）の採用と交換を促進し、医療の質と効率を向上させることです。

その方法の一つとして、電子健康情報のプライバシーとセキュリティに関する要件を確立しています。これらの要件は、患者のPHIを不正なアクセス、使用、または開示から保護するために設計されています。

HIPAAとHITECHの関係

HIPAAプライバシールールは「カバーされるエンティティ」（健康保険、医療クリアリングハウス、電子形式で健康情報を送信する医療提供者）およびそのビジネスアソシエイトにのみ適用されますが、HITECH法は保健福祉省に新しい規制セットを採用することを要求しています。

その結果の一つが侵害通知ルールであり、カバーされるエンティティとそのビジネスアソシエイトは、電子保護健康情報（ePHI）に関与する侵害が発生した場合、影響を受けた個人とHHSの長官に通知することを義務付けています。通知は遅滞なく、侵害の発見から60日以内に発行される必要があります。HITECHとHIPAAの両方は、保護対象保健情報（PHI）が転送中およびデバイスやその他のメディアに保存されているときに暗号化されることを要求しています。

レポートあなたの機密コンテンツ通信のプライバシーとコンプライアンスを評価する Kiteworks 2022 機密コンテンツ通信レポート

PHIとPIIの侵害の影響を評価する

医療業界は12年連続で最も侵害されている業界です。データ侵害の財務的、評判的、規制的な影響は数百万ドルに達し、侵害された組織に長期的な影響を与える可能性があります。侵害されたPHIの個人については言うまでもありません。

PIIとPHIの侵害は、組織にとって大きな懸念事項です。たった一つの侵害の影響が数百万ドルに達することがあります。2022年のために、IBMとポネモン研究所は、最新の「データ侵害コストレポート」で、データ侵害の平均コストが4.35百万ドルであることを発見しました。これは、データ侵害が公に開示されたときのブランドへの悪影響を含んでいません。

サイバー犯罪者や悪意のある国家が医療機関やその他の機関に与える脅威は重大であり、政策立案者と医療業界は、悪意のある攻撃からそれらを保護するためにセキュリティプロトコルと能力を強化するために、規制コンプライアンス基準を進化させ続けています。そしてPHIに関しては、これは確かに当てはまります。PHI記録はダークウェブで最も高い価格を得ることがよくあります。

PIIとPHIに関連するサイバーリスクを管理しようとする組織は、リスクを軽減するためにさまざまなサイバーセキュリティ原則を実施することができます。これらは、組織のサイバーリスク管理戦略の一部として含める必要があります。

あなたのビジネスが収集し保存するPIIとPHIを評価する

ビジネスを所有または運営している場合、PIIとPHIが何であるか、そしてそれらをどのように保護するかを理解することが重要です。これには包括的なデータ分類アプローチが必要です。ビジネスがPIIとPHIを収集し保存する場合、適切なセキュリティとガバナンスのコントロールと追跡がないと、データ侵害のリスクは非常に大きくなります。

あなたのビジネスが収集し保存するPIIとPHIを評価するために、顧客、パートナー、従業員、その他の個人から収集する情報の種類を確認してください。PIIとPHIのリストは上記を参照してください。

PIIとPHIを保護するための強力なセキュリティ対策を講じる

PIIとPHIを保護し、侵害が発生する可能性を減らすために取ることができる実用的なステップは以下の通りです：

多層防御アプローチを採用する
すべてのデータを転送中および保存中に暗号化する
ユーザーの邪魔をせずにPIIとPHIを保護する
内部および外部（第三者）ユーザーのために役割ベースの権限を定義する
データプライバシーを保護するために詳細なポリシーコントロールを適用する
すべての通信チャネルでコンテンツリスクポリシーを一貫して適用する

機密コンテンツ通信を1つのプラットフォームに統合する

PIIとPHIを保護するための推奨されるセキュリティアプローチは、すべてのデータを転送中および保存中に統一し、中央集権的なガバナンスと保護を提供するプラットフォームです。ほとんどの企業が複数の第三者と協力しているため、単一のプラットフォームは、メール、ファイル共有、マネージドファイル転送、ウェブフォーム、アプリケーションプログラミングインターフェース（API）などのサイロ化された通信チャネルで一貫したポリシーとコントロールを確保します。

PIIとPHIの取り扱いに関するベストプラクティスを従業員に訓練する

すべての企業には保護が必要なPIIがあり、ほとんどの企業にはPHIもあります。従業員の訓練は、この情報を安全に保ち、コンプライアンスを確保するための鍵です。推奨されるプラクティスには以下が含まれます：

ビジネス目的に必要な最小限のPIIとPHIのみを収集する。
PIIとPHIをパスワードで保護された暗号化データベースに保存して安全に保つ。
PIIとPHIへのアクセスには、多要素認証（MFA）を使用し、送信、共有、受信、保存に使用されるシステムにも適用する。
関与する個人の明示的な同意なしにPIIまたはPHIを共有しない。
従業員がフィッシングの試みやその他のサイバーセキュリティ脅威を見分ける方法を知っていることを確認するために、厳格で継続的なセキュリティ意識訓練を行う。

収集するPIIの量を必要最低限に制限する

企業がサービスや商品を提供するためにいくつかのPIIを収集することは重要ですが、収集するPIIの量を必要最低限に制限することが重要です。

あなたのビジネスが特定の種類のPIIを必要とする理由を評価し、機密情報を収集せずに目標を達成できる代替手段があるかどうかを確認してください。

保存されたPIIを物理的、技術的、組織的なセキュリティ対策で保護する

保存されたPIIを保護する際には、組織は多層的なアプローチを取る必要があります。これは、物理的、技術的、組織的なセキュリティ対策がすべて整っている必要があり、データ侵害に対する堅牢な防御を構築するためです。

PIIは転送中および保存中に暗号化される必要があります。暗号化は、PIIが内部および外部でデジタル交換されるときから、受信者のエンドシステム（例：メール、ファイルシステムなど）に保存されるときまで拡張されるべきです。

PIIが不要になったら破棄または匿名化する

PIIサイバーリスクを軽減する一つの方法は、PIIが不要になったら破棄または匿名化することです。これにより、PIIが身元盗用、詐欺、または身代金のために使用されることを防ぎます。さらに、企業はPIIをどのくらいの期間ファイルに保持するべきかを示すデータ保持ポリシーを持つべきです。これらの予防策を講じることで、企業はPIIが安全であることを保証するのに役立ちます。

PIIとPHIを保護するためのプライベートコンテンツネットワークの使用

Kiteworksのプライベートコンテンツネットワークは、PIIとPHIを含む機密コンテンツ通信を1つのプラットフォームに統合します。中央集権的なガバナンスとセキュリティにより、誰がPIIとPHIにアクセスできるか、誰がコンテンツを変更できるか、誰に送信できるかを追跡し制御するコンテンツリスクポリシーを確立することができます。エンドツーエンドの暗号化、自動化されたコントロール、および多層防御のセキュリティアプローチにより、PIIとPHIを含むプライベート情報のデジタル交換が効率化されます。

Kiteworksプライベートコンテンツネットワークのカスタムデモをスケジュールして、PIIとPHIをどのようにプライベートに保ち、データプライバシー規制に準拠しているかをご覧ください。

リスクとコンプライアンス用語集に戻る