Kiteworks | Your Private Content Network

Secure File Sharing and Governance Platfform

Free Trial KITEWORKSを探る
Home > セキュリティとコンプライアンスブログ > EU一般データ保護規則コンプライアンス > メールでPIIを送信する際のセキュリティとコンプライアンスの考慮事項
メールでPIIを送信する際のセキュリティとコンプライアンスの考慮事項

メールでPIIを送信する際のセキュリティとコンプライアンスの考慮事項

by Robert Dougherty updated 1月 26, 2025 EU一般データ保護規則コンプライアンス
Reading Time: < 1 minutes

あなたのビジネスが顧客、請負業者、または他の個人からメールで個人識別情報(PII)を受け取る場合、高額な罰金を避けるために従わなければならない厳格な規制があります。 顧客、請負業者、または他の個人からメールでPIIを受け取る場合、コストのかかる罰金を避けるために従わなければならない厳しい規制があります。 PIIをメールで送信しても安全ですか?いいえ、PIIをメールで送信するべきではありません。しかし、どうしてもPIIをメールで送信しなければならない場合は、暗号化が必要であり、傍受された場合にPIIが読めないようにするための特定のセキュリティプロトコルを満たす必要があります。 PIIをメールで送信するのは安全ですか?いいえ、PIIをメールで送信するべきではありません。しかし、どうしてもメールでPIIを送信する必要がある場合は、暗号化され、特定のセキュリティプロトコルが満たされている必要があります。これにより、傍受された場合でもPIIが読めないようにします。

個人識別情報(PII)とは何ですか?

簡単に言えば、個人識別情報(PII)とは、他人の身元を直接または間接的に「推測」できる情報のことです。この場合の「推測」とは、誰かの身元を特定できるものを指します。 簡単に言えば、個人識別情報(PII)とは、他人の身元を直接または間接的に「推測」できる情報のことです。この場合、「推測」とは、誰かの身元を特定できるものを意味します。 一見自明のように思えますが、米国では個人識別情報(PII)の定義が曖昧です。そのため、何がPIIに該当し、何が該当しないのかを区別するのは難しい場合があります。特に、異なる文脈によって機密情報の開示が意味することが変わる場合にはなおさらです。 これは自明のように思えますが、米国ではPIIの定義が曖昧です。そのため、何がPIIを構成するのか、何がそうでないのかを区別するのは難しい場合があります。特に、異なる文脈が機密情報の開示の意味を変えることがある場合です。

NIST SP 800-122におけるPIIの分類ガイドライン

米国国立標準技術研究所(NIST)は、個人識別情報(PII)をリンク情報と非リンク情報の2つのカテゴリーに分けています。リンク情報は、誰かの身元を直接特定することが可能です。このカテゴリーに含まれるPIIの例としては、以下のものがあります。 米国国立標準技術研究所(NIST)は、PIIをリンクされた情報とリンクされていない情報の2つのカテゴリーに分けています。リンクされた情報は、誰かの身元を直接確認することができます。このカテゴリーのPIIの例には以下が含まれます:

  • 氏名
  • 自宅住所
  • 勤務先住所
  • 社会保障番号(SSN)
  • 電話番号(勤務先、自宅、または携帯)
  • 個人財産に関する情報(車両識別番号など)
  • 生年月日
  • クレジットカードまたはデビットカード番号
  • メールアドレス
  • IT関連情報(デバイス固有のMACアドレス、IPアドレス、シリアル番号など)

リンクされていない情報は、より直接的ではなく、外部の第三者が2つ以上の情報を組み合わせて個人を特定する必要があります。リンクされていない情報には以下が含まれます: リンクされていない情報は、より直接的ではなく、外部の第三者が2つ以上の情報を組み合わせて誰かを特定する必要があります。リンクされていない情報には以下が含まれます:

  • 一般的な氏名
  • 人種および性別カテゴリー
  • 年齢
  • 職位
  • 広範な住所項目(市、州、国、または郵便番号)

リンクされていない個人識別情報(PII)は、リンクされたPIIよりも「安全」に見えるかもしれません。しかし、リンクされていないPIIのどの組み合わせが偶然にも誰かの身元を明らかにするかはわかりません。そのため、特定のビジネスケース内でデータを保護するプラットフォーム、ツール、およびプロセスを使用することが重要です。 リンクされていないPIIは、リンクされたPIIよりも「安全」に見えるかもしれませんが、どの組み合わせが偶然に誰かの身元を明らかにするかはわかりません。したがって、特定のビジネスケース内でデータを保護するプラットフォーム、ツール、およびプロセスを使用することが重要です。 そのことを念頭に置くと、個人識別情報(PII)は、異なるデータプライバシー規制の下で定義され、扱われ方が若干異なります: そのことを念頭に置くと、PIIは異なるデータプライバシー規制の下でわずかに異なる定義と扱いを受けます:

  • 医療保険の相互運用性と説明責任に関する法律(HIPAA)の下では、PIIは保護対象保健情報(PHI)としてよりよく理解されます。HIPAAは、プライバシールールの下でPHIを、患者の健康、医療または治療、または健康と治療に関連する請求と支払いに関する情報として定義しています。
  • 支払いカード業界データセキュリティ基準(PCI DSS)はカード支払いデータを強調しているため、メールで送信されるPIIは、ほぼ専らクレジットカード番号と、顧客を特定できる名前、住所、電話番号、またはメールアドレスの組み合わせを指します。
  • FedRAMPは3つの影響レベル(低、中、高)に分かれており、PIIの種類はレベルによって異なります。たとえば、多くの低影響システムにはログイン資格情報(ユーザー名とパスワード)以外のPIIが含まれていないかもしれませんが、高影響システムはPHIのようなデータを扱うかもしれません。PIIのメール送信は、暗号化されていない限りFedRAMPの下で禁止されています。

PIIと個人データは異なるのか?

PIIは米国ではやや曖昧に定義されていますが、欧州連合はその定義をより具体的にするための措置を講じています。これが、一般データ保護規則(GDPR)フレームワークで定義されている「個人データ」の概念が、法律の枠組みで明確にされ、法的文書や要件で繰り返し言及されている理由です。

EU一般データ保護規則(GDPR)における個人識別情報(PII)とは何か?

GDPR規則の下で、個人データは「特定されたまたは特定可能な自然人(データ主体)に関連する」情報に具体的にリンクされています。GDPRはまた、個人データに該当する一般的な項目を指定しており、名前、ID番号、オンライン識別子、または「その自然人の物理的、生理学的、遺伝的、経済的、文化的、または社会的アイデンティティに特有の1つ以上の要因」を含みます。 PIIと個人データはわずかに異なるだけですが、法的な影響ははるかに多様です。誰かを特定するために使用できるものはすべて個人データと見なされ、セキュリティ、プライバシー、機密性を維持しなければなりません。これには、セキュリティログ、同意書、クッキー、オンラインプラットフォームでの顧客の存在や体験を維持するために使用されるタグやトークンなどが含まれます。 また、GDPRの管轄下でPIIをメールで送信することで、総収入の最大4%の罰金を科される可能性があることも意味します。

個人識別情報(PII)を保護するための暗号化技術

暗号化は、メールで送信する前に個人識別情報(PII)を保護するために広く使用されている技術です。PIIを保護することは重要です。なぜなら、PIIには、誤った手に渡った場合に害を及ぼす可能性のある機密情報が含まれているからです。例えば、アイデンティティの盗難、クレジットカード詐欺、その他の悪意のある活動です。暗号化は、PIIを含むメールに追加のセキュリティ層を提供し、情報が機密性を保ち、安全であることを保証します。これは、組織が顧客の機密情報を転送中に保護するための重要なツールです。PIIを暗号化することで、組織は情報が安全であり、許可されていない個人にはアクセスできないことを保証します。以下は、PIIを暗号化する一般的な方法です:

個人識別情報(PII)を保護するための対称暗号化

対称暗号化技術は、単一の秘密鍵を使用してコンテンツを暗号化および復号化します。この技術は、コンテンツの機密性と真正性を保証するため、PIIを保護するのに理想的です。鍵は秘密にされ、許可されたユーザーのみがアクセスできます。

個人識別情報(PII)を保護するための非対称暗号化

非対称暗号化技術は、コンテンツを暗号化するための鍵と復号化するための鍵の2つを使用します。送信者は受信者の公開鍵を使用してコンテンツを暗号化し、受信者は自分の秘密鍵を使用してコンテンツを復号化します。この技術は、転送中のPIIコンテンツを保護するのに特に有用です。

個人識別情報保護のためのハッシュ化

ハッシュ化は、元に戻せないPIIコンテンツのユニークなデジタルフィンガープリントを作成する技術です。攻撃者がハッシュ化されたコンテンツにアクセスしたとしても、元のコンテンツを導き出すことは実質的に不可能であるため、PIIを保護するのに特に有用です。

個人識別情報(PII)保護のためのトークナイゼーション

トークン化は、システム外では価値や意味を持たないユニークな識別子、またはトークンで機密コンテンツを置き換える技術です。この技術は、システムが侵害された場合でも機密コンテンツが保護されることを保証するため、ストレージやトランザクション中のPIIを保護するのに特に有用です。トークン化はまた、トランザクションの処理をより効率的にし、データ漏洩の可能性を減少させます。

個人識別情報(PII)保護のための暗号鍵管理

適切な暗号鍵管理は、暗号化されたコンテンツのセキュリティを維持するために重要です。鍵は安全に保管され、許可された当事者にのみ提供される必要があります。鍵のローテーションと失効も、侵害された鍵が暗号化データのセキュリティを損なわないようにするために重要です。

これらの暗号化技術を組み合わせて実装することで、PIIを保護するための強力で包括的なセキュリティ戦略を構築できますが、暗号化方法を定期的に見直し、更新して、新たに出現する脅威に対して効果的であることを確認することが重要です。

個人識別情報(PII)とメールによる情報送信

メールでPIIを保護するための最良の方法は、送信を控えることです。

PIIを扱うために必要なものを考えてみてください:安全なサーバー、暗号化、ポリシー、手順、監査などです。したがって、メールプラットフォームは厳格なセキュリティ要件を遵守する必要があります。公共のメールでPIIを送信することは、データプライバシー規制の要件を満たすことはできず、顧客のプライバシーを維持することもできません。 上記の暗号化に加えて、組織は以下にリストされている規制に準拠するために、これらのデータ保護機能を使用することを検討する必要があります。

SFTPやその他のファイル転送におけるメールの回避

適切に構成されたSFTPは、データを共有および転送するための安全でコンプライアンスに準拠した方法を提供できます。しかし、受信者を疎外するリスクがあります。どの顧客も、SFTPプログラムを使用してデータを処理することはありません(SFTPが標準である業界で運営している場合を除く)。

セキュアメールリンク

セキュアメールリンクは、安全なサーバーとメールの利点を1つのパッケージにまとめたものです。暗号化されたデータを送信する代わりに、組織は暗号化されたサーバーへのセキュアメールリンクを送信し、メッセージをシンプルなメール受信箱に含めます。ユーザーはそのサーバーとPIIを含むメッセージにアクセスするために認証する必要があります。

この最後のオプションは、メールでPIIを保護するための最も簡単で管理しやすい方法です。ユーザーが新しい技術を学んだり採用したりする負担を取り除くだけでなく、責任をユーザーからITインフラストラクチャに移します。セキュアメールリンクを使用することで、監査ログやユーザーアクセス管理など、他のメールコンプライアンス要件を満たすことができます。

メールで個人識別情報(PII)を送信する際の法的およびコンプライアンス上の問題

メールでPIIを送信することは、安全でない可能性があり、プライベートで機密性のあるデータへの不正アクセスにつながる可能性があります。ほとんどのメールサービスは暗号化されておらず、転送中に傍受される可能性があるため、ハッカーが機密データにアクセスすることができます。メールでPIIを送信する際に組織が直面する他のリスクには以下が含まれます:

  1. データ保護: メールでPIIを送信することは、データを受け取る送信者の管轄内でデータ保護法に違反する可能性があります。データ保護法は、送信者がメールが安全であり、データが不適切に開示されないようにするための追加の措置を講じることを要求する場合があります。
  2. プライバシーと同意: メールでPIIを送信することは、データを受け取る送信者の管轄内でプライバシーと同意法に違反する可能性があります。場合によっては、個人データを送信する前にユーザーの許可を得る必要があります。
  3. スパム防止法: メールでPIIを送信することは、データを受け取る送信者の管轄内でスパム防止法に違反する可能性があります。未承諾のメールは禁じられている場合があり、PIIを含むメールは法律に従って送信されなければなりません。
  4. 国際転送: メールでPIIを送信することは、国をまたいでデータを移動することを伴う場合があり、EU一般データ保護規則(GDPR)などの追加の法的およびコンプライアンス義務を引き起こす可能性があります。

NIST PII規格によるPIIの保護

米国国立標準技術研究所サイバーセキュリティフレームワーク(NIST CSF)およびNISTプライバシーフレームワークは、個人のPIIを保護するためのPII基準を提供しています。このフレームワークは、情報セキュリティプログラムを設計および実装する際に組織にガイダンスを提供します。PII基準には、データ収集、データストレージ、データ転送、ソフトウェア開発、物理的アクセス制御、アクセス制御リスト、暗号化などの分野でPIIを保護するためのコントロールが含まれています。また、監査および報告要件も指定されています。

組織は、PIIを保護するためにNIST CSFのPII基準を実装することを検討すべきです。これらは包括的で実行可能なガイドラインであり、信頼できる権威ある情報源によって確立されており、機密性の高い顧客データの安全で責任ある取り扱いを確保するための堅固な基盤を提供します。これらの基準に従うことで、組織は潜在的なセキュリティリスクやデータプライバシー侵害から保護されるのに役立ちます。さらに、HIPAAなどのデータプライバシー規制は、PIIを取り扱う組織の最低限のセキュリティ要件としてNIST CSFのPII基準を利用しているため、NIST CSFのPII基準に準拠することで、これらの規制に違反することによる高額な罰金を回避するのに役立ちます。

Kiteworksでセキュアメールを送信

Kiteworksのプライベートコンテンツネットワーク(PCN)は、個人識別情報(PII)やその他の機密情報など、企業が信頼できるパートナーとさまざまな通信チャネルを通じて共有する機密コンテンツの高度な保護とコンプライアンスを提供します。

Kiteworks PCNは、いくつかの主要なデータプライバシー要件に準拠したセキュアメールおよびセキュアファイル共有サービスを提供し、使いやすさや企業機能を犠牲にすることなく、強化された仮想アプライアンス、エンドツーエンド暗号化、および監査ログを組み合わせて、従業員がどのデバイスや場所からでも安全に機密情報を共有、協力、管理できるようにします。

さらに、Kiteworksのメール保護ゲートウェイは、エンドツーエンド暗号化を使用してメール保護を自動化し、クラウドサービスプロバイダーやマルウェア攻撃からプライベートメールコンテンツを保護します。

Kiteworksはまた、文書が業界の規制や規格に準拠していることを確認するための詳細な可視性と監査トレイルを提供し、GDPR、HIPAA、サイバーセキュリティ成熟度モデル認証(CMMC)など、多くの規制に準拠する必要がある組織にとって、Kiteworksは貴重なツールとなります。

Tags: セキュリティブルバードのサイバーセキュリティ |

Get started.

It’s easy to start ensuring regulatory compliance and effectively managing risk with Kiteworks. Join the thousands of organizations who feel confident in their content communications platform today. Select an option below.

Schedule a Demo
Talk to a Rep

Lancez-vous.

Avec Kiteworks, se mettre en conformité règlementaire et bien gérer les risques devient un jeu d’enfant. Rejoignez dès maintenant les milliers de professionnels qui ont confiance en leur plateforme de communication de contenu. Cliquez sur une des options ci-dessous.

VOIR LA DÉMO
CONTACTER UN COMMERCIAL

Jetzt loslegen.

Mit Kiteworks ist es einfach, die Einhaltung von Vorschriften zu gewährleisten und Risiken effektiv zu managen. Schließen Sie sich den Tausenden von Unternehmen an, die sich schon heute auf ihre Content-Kommunikationsplattform verlassen können. Wählen Sie unten eine Option.

DEMO ANSCHAUEN
MIT EINEM MITARBEITER SPRECHEN

Comienza ahora.

Es fácil empezar a asegurar el cumplimiento normativo y gestionar los riesgos de manera efectiva con Kiteworks. Únete a las miles de organizaciones que confían en su plataforma de comunicación de contenidos hoy mismo. Selecciona una opción a continuación.

Agenda una Demo
Habla con un Representante

始めましょう。

Kiteworksを使用すれば、規制コンプライアンスを確保し、リスクを効果的に管理することが簡単に始められます。今日、コンテンツ通信プラットフォームに自信を持つ数千の組織に参加しましょう。以下のオプションから選択してください。

デモを予約
担当者に相談

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks