PII、PHI、PCIの違い

顧客は貴社のビジネスを信頼し、必要な製品やサービスを確実に提供してくれると確信しています。そのため、顧客は個人情報を提供します。その情報により、支払いの受領、ソリューションの提供をはじめ、さまざまな方法での顧客サービスが可能になります。

顧客が共有するデータの種類と それらを保護する方法を理解することが重要

決済カードの処理、医療の提供、その他のサービスを提供している場合でも、顧客情報の保護は最優先事項であるべきです。サービス内容や業界に応じて、さまざまな用途で異なる種類のデータを収集することになります。それぞれのデータには保護上の微妙な違いが存在します。

顧客データの保護は、顧客が共有するデータの種類を理解することから始まります。さらに、ガイドラインや法規制について学ぶことが必要です。このことは、顧客にセキュリティを提供し、情報を最大限に活用すると同時に、組織の持続的な成長を支えるために欠かせない要件となります。

 

保護対象情報の概要

個人識別情報(PII)、個人健康情報(PHI)、決済カード業界(PCI)データは、組織が個人を特定しサービスを提供するために利用可能な、異なる情報カテゴリです。PII、PHI、PCIはいずれも情報ガバナンスの範疇に属します。ガバナンスとは、守秘性の高い顧客情報を保護し、その情報の利用についての透明性を保つために組織が遵守すべきセキュリティ規制をさします。

企業の多くが、日々顧客情報を収集し、アクセスしています。顧客がクレジットカードで製品を購入する場合、患者が医療施設で治療を受ける場合、マーケティング目的で個人情報を共有する場合でも、顧客は、自らが提供するデータを企業ができる限り安全に保管してくれることを期待しています。

多くの企業が、顧客データから何らかの利益を得ます。顧客の興味や関心、人口統計情報、その他の非識別情報など、調査やマーケティングに活用可能な情報です。顧客データの収集は、組織の効率化やコスト認識にも貢献します。情報ガバナンスは、リスクを最小限に抑え、顧客データを最適化することで、個人情報の価値を活用し、目標達成を支援します。

PII、PHI、PCIにはそれぞれ別のコンプライアンス基準が存在し、企業における顧客データの最大限の活用と、サイバー脅威からのデータ保護を可能にします。これらの基準は、セキュリティ対策や業界の慣行を網羅するとともに、法的な枠組み内での情報管理・共有とリスクの回避を支援します。

 

金融サービス業界とPCI

決済カード業界データセキュリティ基準(PCI DSS)は、世界中の決済カードブランドがカード会員データをセキュアに処理・保存・送信する目的で採用するセキュリティ基準です。PCI DSSは、カード詐欺や個人情報盗難からカード会員を保護するため、全てのクレジットカードのセキュリティプロトコルに組み込まれています。

 

PCI DSSが必要な理由

PCI DSS 準拠企業は 技術面・運用面の要件に従って カード会員データを保護する

クレジットカードやデビットカードは最も一般的な決済手段の1つです。顧客が商品やサービスに対して支払いを行う際に、その支払いは保護されていることを期待しています。しかし、カード処理プロセスのあらゆる段階に脆弱性が潜んでいるおそれがあります。以下に例を示します。

  • POS端末
  • コンピュータや携帯電話などの個人用デバイス
  • インターネット接続
  • オンラインショッピングサイトやアプリ
  • 紙媒体での保管
  • 提携先第三者サービスへのデータ送信

PCI DSSは、決済カード取引に関わる全ての個人および事業者に適用される基準であり、技術面・運用面の要件に従ってカード会員データを保護することを目的として策定された、クレジットカード業界の国際セキュリティ基準です。この基準は、全ての関係組織がカード会員を保護することを保証します。関係組織には、加盟店、決済処理業者、カード発行会社、カードサービスプロバイダなど、カード会員情報を受信・処理・保管・共有する組織が含まれます。

PCI DSS準拠企業としてデータ侵害を防止することで、顧客のカード会員データを保護できます。ブランドレピュテーションも向上し、新規顧客の獲得にもつながります。

 

PCI DSSの情報保護の仕組み

PCI DSSは、対面またはインターネット経由で提供される全ての決済カード口座データを保護します。以下に例を示します。

  • カード表面に記載されているプライマリアカウント番号(PAN)
  • カードのセキュリティコード
  • カードのチップまたは磁気ストライプに保存されている「フルトラックデータ」
  • カード会員の個人識別番号(PIN)
  • カード名義人の氏名
  • カードの有効期限

PCI DSS準拠のための主な要件は次のとおりです。

  • ファイアウォールを導入し、維持する
  • 確実なパスワード保護を実施する
  • 保存されたカード会員データを保護する
  • 当事者間におけるカード会員データの送信時の暗号化を実施する
  • アンチウイルスプログラムの定期的な更新を行う
  • システムとアプリケーションのセキュリティを維持する
  • カード会員データへのアクセスを、当該情報を必要とする、セキュアで基準に準拠した事業者に限定する
  • データアクセス権限者に固有IDを付与する
  • カード会員データへの物理的アクセス制限を設ける
  • ネットワークリソースへのアクセス者の監視を行う
  • セキュリティシステムの定期的なテストを実施する
  • 全ての従業員向けに、情報セキュリティポリシーを文書化する

これらの要件は、カードとシステム間の直接取引時およびインターネットを介した異なる当事者への情報流通時の保護を保証します。

可能な限りの保護を確保するため、クレジットカード会社と、関連する第三者機関は、カード会員情報に対する潜在的な脅威や脆弱性を特定する正式なリスク評価を年次で実施する必要があります。リスク評価を通じてカード会員データセキュリティの最新状況を把握することで、常に変化する世界で顧客を保護し続けられます。

PCI DSSの適用下で事業を行う場合は、カード会員情報を共有する外部サービスプロバイダの管理も必須です。第三者サービスはカード会員データ保護の責任を認識する必要があります。さらに、毎年そのセキュリティ基準遵守状況を監視し、安全なカード決済エクスペリエンスを顧客に提供していることを確認しなければなりません。

 

医療・ヘルスケアにおけるコンプライアンスとPHI

PHI には、医療プライバシー法の対象となる あらゆる事業体が作成または受領した情報が含まれる

保護対象健康情報または個人健康情報(PHI)とは、医療プライバシー法の対象となるあらゆる機関が作成または受領した健康関連情報をさします。PHIとは、人口統計情報を含むあらゆるデータであり、以下の事項に関連するものです。

  • 個人の過去、現在、将来の身体的・精神的健康状態
  • 個人が受ける医療サービス
  • 個人の医療費支払い
  • 氏名、住所、生年月日、社会保障番号など、個人を特定できる関連情報

 

PHI保護が必要な理由

医療機関は、PHIが書面による文書、患者と医療提供者間の会話、医療提供者と提携先機関間の会話のいずれに含まれる場合でも、それを保護する義務があります。個人の健康に関するデータは、最善のケアを提供するために不可欠であり、この情報を体系的に管理し、セキュアに保持することが極めて重要です。

医療関連情報のガバナンスは、請求会社、弁護士、会計士などの第三者に患者の健康情報を送信する必要がある場合でも、送信中もセキュリティが保たれ、同じセキュリティ基準を遵守する第三者にのみ送信されることを保証します。

医療保険の相互運用性と説明責任に関する法律(HIPAA)は、多くの医療機関によって保存または送信される、多くの人の「個人の特定が可能な健康情報」を対象とする一般的な法令です。医療システム内においてHIPAA規制を遵守し、患者データを保護することが義務づけられている組織の例を以下に示します。

  • 医療保険機関
  • 電子的な業務を行う多くの医療提供者
  • HIPAAが定める18種類のデータの開示を患者が許可する必要のある医療情報交換機関

 

PHI保護における情報セキュリティの仕組み

HIPAA が定める 18 種類のデータの開示は 患者が許可する必要がある

個人の医療に関連する文書または会話において、HIPAAが定める18の識別子として知られる以下の情報の種類が含まれる場合には、患者の許可なく公開することはできません。

  1. 患者氏名
  2. 住所(郵便番号、地域、国、市区町村、番地)などの地理的位置情報
  3. 個人に直接関連する日付(例:生年月日、入院日、退院日、死亡日)
  4. 電話番号
  5. ファックス番号
  6. メールアドレス
  7. 社会保障番号
  8. 医療記録番号
  9. 健康保険の被保険者番号
  10. 口座番号
  11. 運転免許証番号
  12. 車両識別番号
  13. 機器識別番号
  14. URLs
  15. IPアドレス
  16. 指紋などの生体認証識別子
  17. 顔全体の写真
  18. その他、個人を特定するために使用される可能性のある固有の識別番号、コード、または特徴(例:パスポート番号)

HIPAA規制は、人々の医療の質に直接影響するデータセキュリティの基盤を提供するため、極めて重要です。HIPAAで保護されたPHIにより、個人または組織全体のセキュリティ侵害の影響を受けることなく、必要な医療を受けることが可能となります。

 

業界全体でのPIIコンプライアンス

守秘性の高い PII の例 氏名 社会保障番号 運転免許証番号 住所 クレジットカード情報 パスポート情報 金融情報 医療情報

PIIとは、個人を直接特定できる情報であり、氏名、住所、社会保障番号、電話番号、メールアドレス、その他の識別番号やコードなどが該当します。また、性別、人種、生年月日、地理的位置などの他のデータと組み合わせて個人が特定できる情報もPIIに該当します。物理的またはオンライン上で個人を特定するために使用できる連絡先情報もPIIに含まれます。

単独ではPIIと見なされない程度の情報も、容易に入手可能な他の情報と組み合わせることで、個人を特定できる可能性が生じ、PIIとなる場合があります。

PIIは「守秘性の高い情報」と「守秘性の低い情報」の2種類に分類されます。守秘性の高い情報の例を以下に示します。

  • 氏名
  • 社会保障番号
  • 運転免許証番号
  • 住所
  • クレジットカード情報
  • パスポート情報
  • 金融情報
  • 医療情報

守秘性の低い情報の例を以下に示します。

  • 人種
  • 性別
  • 郵便番号
  • 生年月日
  • 出生地
  • 宗教

守秘性の低い情報は、単独で公開されても個人を特定されるリスクはありません。ただし、監視を怠ると、守秘性の低い情報は他のデータと関連付けられ、個人の身元を明らかにするおそれがあります。個人情報を扱う組織は、常にあらゆる種類のPIIを保護し、必要な場合にのみ公開するよう厳格に管理する必要があります。

組織が顧客の個人情報を収集する場合には、管轄区域の法令により、PIIを不正アクセス、使用、破壊、改ざん、その他のデータ侵害から保護するための特定のセキュリティ基準の遵守が法的に義務付けられる場合があります。

多くの州では、顧客のPIIの廃棄方法に関する規制も設けられています。州によってはPII廃棄の具体的な指示がある場合もあれば、独自の計画策定を求める場合もあります。いずれにせよ、不要になった後もPIIを保護する措置を講じることは、顧客の信頼の維持はもちろん、データストレージ容量の解放という意味でも重要です。

 

顧客の情報を保護することの重要性

現代の相互接続された世界では、サービスプロバイダやクラウドコンピューティングの拡大により、組織が顧客データにアクセスし利用する方法が多様化し、個人情報はかつてないほど自由に流通しています。インターネットはコミュニケーションを加速させ、ソーシャルメディア情報から電子商取引データに至るあらゆる形態のPIIの共有を容易にしています。

利用可能なさまざまなセキュリティ対策と第三者との関係性を理解し、顧客を保護する責任の重要性はますます高まっています。顧客データを効果的に保護するには、セキュリティ基準の遵守を契約上の義務として履行する取引先を選択し、その取引先が法令遵守を維持していることを監視することが重要です。

個人の情報は日常生活に直結します。金融情報、健康情報、識別番号などは、全て個人データの構成要素であり、生活を円滑に営み、決算カード・医療・社会保障給付などの必要サービスを利用するためには、これらの保護が不可欠です。顧客データを保護することは、組織のサービスを顧客が最も必要とするときに、そのサービスが信頼できるものであると保証することになります。

セキュリティ基準を常に把握し、基準に沿った顧客関係を構築することで、技術の進歩にあわせて継続的に改善できるセキュアな顧客エクスペリエンスを提供できます。情報ガバナンス計画により法的責任を満たすことは、優れたビジネス戦略の構築と健全な顧客関係の確立にもつながります。

 

情報ガバナンス計画の作成

データ侵害の通知により 個人情報に対する脅威の存在を 顧客に伝えることができる

必要なセキュリティ計画を決定するには、顧客情報の利用方法、情報が必要な理由、情報収集に伴うリスク、情報を保有するメリットを検討することが重要です。そこから、予測可能なリスクを回避し、発生する可能性のある問題への対応策を講じるための最適な計画を作成できます。

多くの州および連邦のデータセキュリティ法では、組織に対し、データセキュリティ対策、データ侵害通知システム、プライバシー通知、プライバシー同意書の導入を義務付けています。データ侵害の通知により、個人情報に対する脅威の存在を顧客に伝えることができます。顧客に最新情報を提供し、問題を修正することで、信頼性を確立できます。

同様に、同意書やオプトアウトオプションは、顧客が取引中に直面する可能性のあるリスクを通知し、提供した情報に基づいてサービスをどのように受けたいかを選択できるようにします。顧客に対して誠実かつ透明性を持って接することは、顧客の忠誠心を高めます。顧客情報の保護は、顧客の安全を守り、組織のレピュテーションを維持するのに役立ちます。

 

PII、PHI、PCIの比較

PII、PHI、PCIは、いずれも情報セキュリティを必要とする一方で、それぞれが若干異なる方法で運用されます。PIIは、顧客の個人情報の包括的なタイプであり、PCIとPHIは、それぞれ金融業界と医療業界におけるPIIセキュリティの専門的なサブセットです。

PII、PHI、PCIは、いずれも組織が顧客データの開示と利用を最小限に抑えることを求める点で共通しています。顧客の情報がセキュアに保管され、必要な場合にのみ許可された関係者と共有されるという信頼があるからこそ、顧客は情報を提供します。

 

PIIとPCIの比較

PII には決算カード情報が全て含まれる。 しかし、PCI DSSは、PII を全て保護するわけではない。

PCIはPIIの範疇に含まれるため、PCI DSSは他の種類の守秘性の高い個人情報に対する基準と同様に厳格です。ただし、PCI DSSは決済カード業界に特化した基準であるため、PIIセキュリティと異なる点があります。

 

PIIとPCIが重複するケース

PIIがカード会員データに関連する場合には、PCI DSSがPIIをカバーします。カード会員名やカードPIN、その他決算カード上の識別情報など、一部の個人情報は両方のカテゴリに該当します。金融情報はPIIと見なされますが、詳細は決算カード情報のカテゴリにも該当し、PCI DSSは金融の文脈においてそれらを保護します。

 

PIIとPCIが重複しないケース

全ての決算カード情報はPIIとなります。ただし、全てのPIIがPCI DSSによって保護されるわけではありません。氏名や住所などの個人の識別情報は、決算カードや関連書類に記載されることが多く、金融情報と組み合わせることで個人の特定につながる場合があります。しかし、金融の文脈から外れた非金融的な識別情報(氏名や住所それ自体)は、単独ではPCIには該当しません。

その他の個人情報は異なる方法で保護されます。例えば、医療関連の文書や会話はPHIに該当します。しかし、PINなどの決済カードに厳密に関連する情報と結びついていない限り、PCI DSSによる保護対象外となります。

 

PIIとPHIの比較

個人識別情報(PII)が全て 保護対象保健情報(PHI)と見なされるわけではない

PHIは健康情報に直接関連するPIIの範疇です。PHI保護基準はPIIや決済カード情報の保護基準と同様に厳格です。しかし、健康情報セキュリティ基準では、保護対象となる個人情報の種類に制限があります。

 

PIIとPHIが重複するケース

医療記録や病院の請求書などの文書には、健康データの内容を特定の人物と結びつけうる個人情報が含まれており、PHIセキュリティ基準がPIIを含むケースがあります。医療文書がPIIを含むことで、患者に対する適切なケア、年齢などの個人情報に基づく適切な対応、正確な請求が可能になります。

 

PIIとPHIが重複しないケース

PIIとPCIの区別と同様に、個人識別情報自体は自動的にPHIに分類されるわけではありません。例えば、個人の名前は医療とは無関係な文脈でも存在し得ます。しかし、名前を含む個人の医療記録は常にPHIと見なされます。

PHIのセキュリティ保護が適用されないケースは、大規模な集団の医療情報が、個人を特定する情報を含めずに集計データとして匿名で使用される場合です。医療機関は研究目的で実在の人物からデータを収集することが多く、研究者は、公開される情報が特定の個人に直接結びつかないよう、あるいは個人の特定に利用できる他の情報と関連付けられないよう努めます。

 

Boxのデータ保護対策

Box のインテリジェントコンテンツ管理は 大規模な顧客データの 管理、保護、保持、活用を可能にします

Boxのインテリジェントコンテンツ管理(ICM)は、カスタマイズ可能なセキュリティソリューションにより顧客データを保護する、単一のセキュアなプラットフォームを提供します。Boxの情報ガバナンス機能があらゆる種類の個人情報を容易に保護し、法的基準と推奨事項に基づいて、業界ごとのベストプラクティスの特定を可能にします。

お客さまの成長に伴い、インテリジェントコンテンツ管理も共に成長します。最新のセキュリティ規則や基準に準拠し、大規模な顧客データの管理に必要な全てを提供します。Boxは、継続的にコンプライアンスを維持し、規制違反のリスクを最小化します。使いやすいインターフェースが、全従業員によるセキュリティとコンプライアンスの維持と顧客情報の保護を容易にする点も、メリットの1つです。

顧客の個人情報を全て保存・維持するには、コストと時間がかかります。Boxはクラウドベースで、保持管理ツールによるメンテナンススケジュールの設定と、不要になったファイルの自動削除が可能です。

 

Box Shieldがデータ保護を強化

Box Shieldは、潜在的な脅威に関するアラートやカスタマイズ可能なPIIデータ分類などの機能により、リスクを最小限に抑えるのに役立つセキュリティプログラムです。ラベル機能でファイルを整理し、機械学習の活用によりリアルタイムに問題を特定することで、コンテンツのセキュリティレベルを新たな段階へ引き上げます。

インテリジェントコンテンツ管理により、守秘性の高い情報の共有を容易かつセキュアに行えます。権限が付与された全ての関係者が、既存のプログラムを統合した単一のユーザーフレンドリーなプラットフォームを通じて情報にアクセスできるため、他のプログラムへのデータ転送が不要になります。Box Shieldでルールを設定し、特定の文書の不正共有を防止することで、さらなる保護を実現します。

Boxは、プラットフォームを継続的に更新し、HIPAAおよびPII基準へのコンプライアンスの維持に努めています。お客さまのセキュリティ対策は、業界固有の基準に沿って常に最新の状態に保たれます。

 

Boxについてさらに詳しく

顧客のデータを安全に保持する責任を負う組織には、他社と差別化できるセキュリティが必要です。決済カード情報から個人健康情報、その他の個人特定可能なデータに至るまで、Boxは、効率的な業務の遂行と重要な業界基準の遵守を支援します。

データ保護の強化をお考えの場合も、チーム内でのファイル共有や共同作業を簡素化したい場合も、Boxがお役に立ちます。

特定の業界向けのサービスとソリューションについてのご相談・ご用命は、こちらのページで承っております。

**Boxは、高度なプライバシー、セキュリティ、コンプライアンスを備えた製品とサービスの提供に尽力しています。ただし、この記事で提供される情報は、法的助言の提供を意図したものではありません。適用される法律に対するコンプライアンスを検証する際には、お客さまが自らデューデリジェンスを実施することを推奨します。

 

各業界向けのサービスとソリューションについて詳しくはこちらをご覧ください

ご相談・お問い合わせ