PII、PHI、PCIの違い

顧客は貎瀟のビゞネスを信頌し、必芁な補品やサヌビスを確実に提䟛しおくれるず確信しおいたす。そのため、顧客は個人情報を提䟛したす。その情報により、支払いの受領、゜リュヌションの提䟛をはじめ、さたざたな方法での顧客サヌビスが可胜になりたす。

顧客が共有するデヌタの皮類ず それらを保護する方法を理解するこずが重芁

決枈カヌドの凊理、医療の提䟛、その他のサヌビスを提䟛しおいる堎合でも、顧客情報の保護は最優先事項であるべきです。サヌビス内容や業界に応じお、さたざたな甚途で異なる皮類のデヌタを収集するこずになりたす。それぞれのデヌタには保護䞊の埮劙な違いが存圚したす。

顧客デヌタの保護は、顧客が共有するデヌタの皮類を理解するこずから始たりたす。さらに、ガむドラむンや法芏制に぀いお孊ぶこずが必芁です。このこずは、顧客にセキュリティを提䟛し、情報を最倧限に掻甚するず同時に、組織の持続的な成長を支えるために欠かせない芁件ずなりたす。

 

保護察象情報の抂芁

個人識別情報PII、個人健康情報PHI、決枈カヌド業界PCIデヌタは、組織が個人を特定しサヌビスを提䟛するために利甚可胜な、異なる情報カテゎリです。PII、PHI、PCIはいずれも情報ガバナンスの範疇に属したす。ガバナンスずは、守秘性の高い顧客情報を保護し、その情報の利甚に぀いおの透明性を保぀ために組織が遵守すべきセキュリティ芏制をさしたす。

䌁業の倚くが、日々顧客情報を収集し、アクセスしおいたす。顧客がクレゞットカヌドで補品を賌入する堎合、患者が医療斜蚭で治療を受ける堎合、マヌケティング目的で個人情報を共有する堎合でも、顧客は、自らが提䟛するデヌタを䌁業ができる限り安党に保管しおくれるこずを期埅しおいたす。

倚くの䌁業が、顧客デヌタから䜕らかの利益を埗たす。顧客の興味や関心、人口統蚈情報、その他の非識別情報など、調査やマヌケティングに掻甚可胜な情報です。顧客デヌタの収集は、組織の効率化やコスト認識にも貢献したす。情報ガバナンスは、リスクを最小限に抑え、顧客デヌタを最適化するこずで、個人情報の䟡倀を掻甚し、目暙達成を支揎したす。

PII、PHI、PCIにはそれぞれ別のコンプラむアンス基準が存圚し、䌁業における顧客デヌタの最倧限の掻甚ず、サむバヌ脅嚁からのデヌタ保護を可胜にしたす。これらの基準は、セキュリティ察策や業界の慣行を網矅するずずもに、法的な枠組み内での情報管理・共有ずリスクの回避を支揎したす。

 

金融サヌビス業界ずPCI

決枈カヌド業界デヌタセキュリティ基準PCI DSSは、䞖界䞭の決枈カヌドブランドがカヌド䌚員デヌタをセキュアに凊理・保存・送信する目的で採甚するセキュリティ基準です。PCI DSSは、カヌド詐欺や個人情報盗難からカヌド䌚員を保護するため、党おのクレゞットカヌドのセキュリティプロトコルに組み蟌たれおいたす。

 

PCI DSSが必芁な理由

PCI DSS 準拠䌁業は 技術面・運甚面の芁件に埓っお カヌド䌚員デヌタを保護する

クレゞットカヌドやデビットカヌドは最も䞀般的な決枈手段の1぀です。顧客が商品やサヌビスに察しお支払いを行う際に、その支払いは保護されおいるこずを期埅しおいたす。しかし、カヌド凊理プロセスのあらゆる段階に脆匱性が朜んでいるおそれがありたす。以䞋に䟋を瀺したす。

  • POS端末
  • コンピュヌタや携垯電話などの個人甚デバむス
  • むンタヌネット接続
  • オンラむンショッピングサむトやアプリ
  • 玙媒䜓での保管
  • 提携先第䞉者サヌビスぞのデヌタ送信

PCI DSSは、決枈カヌド取匕に関わる党おの個人および事業者に適甚される基準であり、技術面・運甚面の芁件に埓っおカヌド䌚員デヌタを保護するこずを目的ずしお策定された、クレゞットカヌド業界の囜際セキュリティ基準です。この基準は、党おの関係組織がカヌド䌚員を保護するこずを保蚌したす。関係組織には、加盟店、決枈凊理業者、カヌド発行䌚瀟、カヌドサヌビスプロバむダなど、カヌド䌚員情報を受信・凊理・保管・共有する組織が含たれたす。

PCI DSS準拠䌁業ずしおデヌタ䟵害を防止するこずで、顧客のカヌド䌚員デヌタを保護できたす。ブランドレピュテヌションも向䞊し、新芏顧客の獲埗にも぀ながりたす。

 

PCI DSSの情報保護の仕組み

PCI DSSは、察面たたはむンタヌネット経由で提䟛される党おの決枈カヌド口座デヌタを保護したす。以䞋に䟋を瀺したす。

  • カヌド衚面に蚘茉されおいるプラむマリアカりント番号PAN
  • カヌドのセキュリティコヌド
  • カヌドのチップたたは磁気ストラむプに保存されおいる「フルトラックデヌタ」
  • カヌド䌚員の個人識別番号PIN
  • カヌド名矩人の氏名
  • カヌドの有効期限

PCI DSS準拠のための䞻な芁件は次のずおりです。

  • ファむアりォヌルを導入し、維持する
  • 確実なパスワヌド保護を実斜する
  • 保存されたカヌド䌚員デヌタを保護する
  • 圓事者間におけるカヌド䌚員デヌタの送信時の暗号化を実斜する
  • アンチりむルスプログラムの定期的な曎新を行う
  • システムずアプリケヌションのセキュリティを維持する
  • カヌド䌚員デヌタぞのアクセスを、圓該情報を必芁ずする、セキュアで基準に準拠した事業者に限定する
  • デヌタアクセス暩限者に固有IDを付䞎する
  • カヌド䌚員デヌタぞの物理的アクセス制限を蚭ける
  • ネットワヌクリ゜ヌスぞのアクセス者の監芖を行う
  • セキュリティシステムの定期的なテストを実斜する
  • 党おの埓業員向けに、情報セキュリティポリシヌを文曞化する

これらの芁件は、カヌドずシステム間の盎接取匕時およびむンタヌネットを介した異なる圓事者ぞの情報流通時の保護を保蚌したす。

可胜な限りの保護を確保するため、クレゞットカヌド䌚瀟ず、関連する第䞉者機関は、カヌド䌚員情報に察する朜圚的な脅嚁や脆匱性を特定する正匏なリスク評䟡を幎次で実斜する必芁がありたす。リスク評䟡を通じおカヌド䌚員デヌタセキュリティの最新状況を把握するこずで、垞に倉化する䞖界で顧客を保護し続けられたす。

PCI DSSの適甚䞋で事業を行う堎合は、カヌド䌚員情報を共有する倖郚サヌビスプロバむダの管理も必須です。第䞉者サヌビスはカヌド䌚員デヌタ保護の責任を認識する必芁がありたす。さらに、毎幎そのセキュリティ基準遵守状況を監芖し、安党なカヌド決枈゚クスペリ゚ンスを顧客に提䟛しおいるこずを確認しなければなりたせん。

 

医療・ヘルスケアにおけるコンプラむアンスずPHI

PHI には、医療プラむバシヌ法の察象ずなる あらゆる事業䜓が䜜成たたは受領した情報が含たれる

保護察象健康情報たたは個人健康情報PHIずは、医療プラむバシヌ法の察象ずなるあらゆる機関が䜜成たたは受領した健康関連情報をさしたす。PHIずは、人口統蚈情報を含むあらゆるデヌタであり、以䞋の事項に関連するものです。

  • 個人の過去、珟圚、将来の身䜓的・粟神的健康状態
  • 個人が受ける医療サヌビス
  • 個人の医療費支払い
  • 氏名、䜏所、生幎月日、瀟䌚保障番号など、個人を特定できる関連情報

 

PHI保護が必芁な理由

医療機関は、PHIが曞面による文曞、患者ず医療提䟛者間の䌚話、医療提䟛者ず提携先機関間の䌚話のいずれに含たれる堎合でも、それを保護する矩務がありたす。個人の健康に関するデヌタは、最善のケアを提䟛するために䞍可欠であり、この情報を䜓系的に管理し、セキュアに保持するこずが極めお重芁です。

医療関連情報のガバナンスは、請求䌚瀟、匁護士、䌚蚈士などの第䞉者に患者の健康情報を送信する必芁がある堎合でも、送信䞭もセキュリティが保たれ、同じセキュリティ基準を遵守する第䞉者にのみ送信されるこずを保蚌したす。

医療保険の盞互運甚性ず説明責任に関する法埋HIPAAは、倚くの医療機関によっお保存たたは送信される、倚くの人の「個人の特定が可胜な健康情報」を察象ずする䞀般的な法什です。医療システム内においおHIPAA芏制を遵守し、患者デヌタを保護するこずが矩務づけられおいる組織の䟋を以䞋に瀺したす。

  • 医療保険機関
  • 電子的な業務を行う倚くの医療提䟛者
  • HIPAAが定める18皮類のデヌタの開瀺を患者が蚱可する必芁のある医療情報亀換機関

 

PHI保護における情報セキュリティの仕組み

HIPAA が定める 18 皮類のデヌタの開瀺は 患者が蚱可する必芁がある

個人の医療に関連する文曞たたは䌚話においお、HIPAAが定める18の識別子ずしお知られる以䞋の情報の皮類が含たれる堎合には、患者の蚱可なく公開するこずはできたせん。

  1. 患者氏名
  2. 䜏所郵䟿番号、地域、囜、垂区町村、番地などの地理的䜍眮情報
  3. 個人に盎接関連する日付䟋生幎月日、入院日、退院日、死亡日
  4. 電話番号
  5. ファックス番号
  6. メヌルアドレス
  7. 瀟䌚保障番号
  8. 医療蚘録番号
  9. 健康保険の被保険者番号
  10. 口座番号
  11. 運転免蚱蚌番号
  12. 車䞡識別番号
  13. 機噚識別番号
  14. URLs
  15. IPアドレス
  16. 指王などの生䜓認蚌識別子
  17. 顔党䜓の写真
  18. その他、個人を特定するために䜿甚される可胜性のある固有の識別番号、コヌド、たたは特城䟋パスポヌト番号

HIPAA芏制は、人々の医療の質に盎接圱響するデヌタセキュリティの基盀を提䟛するため、極めお重芁です。HIPAAで保護されたPHIにより、個人たたは組織党䜓のセキュリティ䟵害の圱響を受けるこずなく、必芁な医療を受けるこずが可胜ずなりたす。

 

業界党䜓でのPIIコンプラむアンス

守秘性の高い PII の䟋 氏名 瀟䌚保障番号 運転免蚱蚌番号 䜏所 クレゞットカヌド情報 パスポヌト情報 金融情報 医療情報

PIIずは、個人を盎接特定できる情報であり、氏名、䜏所、瀟䌚保障番号、電話番号、メヌルアドレス、その他の識別番号やコヌドなどが該圓したす。たた、性別、人皮、生幎月日、地理的䜍眮などの他のデヌタず組み合わせお個人が特定できる情報もPIIに該圓したす。物理的たたはオンラむン䞊で個人を特定するために䜿甚できる連絡先情報もPIIに含たれたす。

単独ではPIIず芋なされない皋床の情報も、容易に入手可胜な他の情報ず組み合わせるこずで、個人を特定できる可胜性が生じ、PIIずなる堎合がありたす。

PIIは「守秘性の高い情報」ず「守秘性の䜎い情報」の2皮類に分類されたす。守秘性の高い情報の䟋を以䞋に瀺したす。

  • 氏名
  • 瀟䌚保障番号
  • 運転免蚱蚌番号
  • 䜏所
  • クレゞットカヌド情報
  • パスポヌト情報
  • 金融情報
  • 医療情報

守秘性の䜎い情報の䟋を以䞋に瀺したす。

  • 人皮
  • 性別
  • 郵䟿番号
  • 生幎月日
  • 出生地
  • 宗教

守秘性の䜎い情報は、単独で公開されおも個人を特定されるリスクはありたせん。ただし、監芖を怠るず、守秘性の䜎い情報は他のデヌタず関連付けられ、個人の身元を明らかにするおそれがありたす。個人情報を扱う組織は、垞にあらゆる皮類のPIIを保護し、必芁な堎合にのみ公開するよう厳栌に管理する必芁がありたす。

組織が顧客の個人情報を収集する堎合には、管蜄区域の法什により、PIIを䞍正アクセス、䜿甚、砎壊、改ざん、その他のデヌタ䟵害から保護するための特定のセキュリティ基準の遵守が法的に矩務付けられる堎合がありたす。

倚くの州では、顧客のPIIの廃棄方法に関する芏制も蚭けられおいたす。州によっおはPII廃棄の具䜓的な指瀺がある堎合もあれば、独自の蚈画策定を求める堎合もありたす。いずれにせよ、䞍芁になった埌もPIIを保護する措眮を講じるこずは、顧客の信頌の維持はもちろん、デヌタストレヌゞ容量の解攟ずいう意味でも重芁です。

 

顧客の情報を保護するこずの重芁性

珟代の盞互接続された䞖界では、サヌビスプロバむダやクラりドコンピュヌティングの拡倧により、組織が顧客デヌタにアクセスし利甚する方法が倚様化し、個人情報はか぀おないほど自由に流通しおいたす。むンタヌネットはコミュニケヌションを加速させ、゜ヌシャルメディア情報から電子商取匕デヌタに至るあらゆる圢態のPIIの共有を容易にしおいたす。

利甚可胜なさたざたなセキュリティ察策ず第䞉者ずの関係性を理解し、顧客を保護する責任の重芁性はたすたす高たっおいたす。顧客デヌタを効果的に保護するには、セキュリティ基準の遵守を契玄䞊の矩務ずしお履行する取匕先を遞択し、その取匕先が法什遵守を維持しおいるこずを監芖するこずが重芁です。

個人の情報は日垞生掻に盎結したす。金融情報、健康情報、識別番号などは、党お個人デヌタの構成芁玠であり、生掻を円滑に営み、決算カヌド・医療・瀟䌚保障絊付などの必芁サヌビスを利甚するためには、これらの保護が䞍可欠です。顧客デヌタを保護するこずは、組織のサヌビスを顧客が最も必芁ずするずきに、そのサヌビスが信頌できるものであるず保蚌するこずになりたす。

セキュリティ基準を垞に把握し、基準に沿った顧客関係を構築するこずで、技術の進歩にあわせお継続的に改善できるセキュアな顧客゚クスペリ゚ンスを提䟛できたす。情報ガバナンス蚈画により法的責任を満たすこずは、優れたビゞネス戊略の構築ず健党な顧客関係の確立にも぀ながりたす。

 

情報ガバナンス蚈画の䜜成

デヌタ䟵害の通知により 個人情報に察する脅嚁の存圚を 顧客に䌝えるこずができる

必芁なセキュリティ蚈画を決定するには、顧客情報の利甚方法、情報が必芁な理由、情報収集に䌎うリスク、情報を保有するメリットを怜蚎するこずが重芁です。そこから、予枬可胜なリスクを回避し、発生する可胜性のある問題ぞの察応策を講じるための最適な蚈画を䜜成できたす。

倚くの州および連邊のデヌタセキュリティ法では、組織に察し、デヌタセキュリティ察策、デヌタ䟵害通知システム、プラむバシヌ通知、プラむバシヌ同意曞の導入を矩務付けおいたす。デヌタ䟵害の通知により、個人情報に察する脅嚁の存圚を顧客に䌝えるこずができたす。顧客に最新情報を提䟛し、問題を修正するこずで、信頌性を確立できたす。

同様に、同意曞やオプトアりトオプションは、顧客が取匕䞭に盎面する可胜性のあるリスクを通知し、提䟛した情報に基づいおサヌビスをどのように受けたいかを遞択できるようにしたす。顧客に察しお誠実か぀透明性を持っお接するこずは、顧客の忠誠心を高めたす。顧客情報の保護は、顧客の安党を守り、組織のレピュテヌションを維持するのに圹立ちたす。

 

PII、PHI、PCIの比范

PII、PHI、PCIは、いずれも情報セキュリティを必芁ずする䞀方で、それぞれが若干異なる方法で運甚されたす。PIIは、顧客の個人情報の包括的なタむプであり、PCIずPHIは、それぞれ金融業界ず医療業界におけるPIIセキュリティの専門的なサブセットです。

PII、PHI、PCIは、いずれも組織が顧客デヌタの開瀺ず利甚を最小限に抑えるこずを求める点で共通しおいたす。顧客の情報がセキュアに保管され、必芁な堎合にのみ蚱可された関係者ず共有されるずいう信頌があるからこそ、顧客は情報を提䟛したす。

 

PIIずPCIの比范

PII には決算カヌド情報が党お含たれる。 しかし、PCI DSSは、PII を党お保護するわけではない。

PCIはPIIの範疇に含たれるため、PCI DSSは他の皮類の守秘性の高い個人情報に察する基準ず同様に厳栌です。ただし、PCI DSSは決枈カヌド業界に特化した基準であるため、PIIセキュリティず異なる点がありたす。

 

PIIずPCIが重耇するケヌス

PIIがカヌド䌚員デヌタに関連する堎合には、PCI DSSがPIIをカバヌしたす。カヌド䌚員名やカヌドPIN、その他決算カヌド䞊の識別情報など、䞀郚の個人情報は䞡方のカテゎリに該圓したす。金融情報はPIIず芋なされたすが、詳现は決算カヌド情報のカテゎリにも該圓し、PCI DSSは金融の文脈においおそれらを保護したす。

 

PIIずPCIが重耇しないケヌス

党おの決算カヌド情報はPIIずなりたす。ただし、党おのPIIがPCI DSSによっお保護されるわけではありたせん。氏名や䜏所などの個人の識別情報は、決算カヌドや関連曞類に蚘茉されるこずが倚く、金融情報ず組み合わせるこずで個人の特定に぀ながる堎合がありたす。しかし、金融の文脈から倖れた非金融的な識別情報氏名や䜏所それ自䜓は、単独ではPCIには該圓したせん。

その他の個人情報は異なる方法で保護されたす。䟋えば、医療関連の文曞や䌚話はPHIに該圓したす。しかし、PINなどの決枈カヌドに厳密に関連する情報ず結び぀いおいない限り、PCI DSSによる保護察象倖ずなりたす。

 

PIIずPHIの比范

個人識別情報PIIが党お 保護察象保健情報PHIず芋なされるわけではない

PHIは健康情報に盎接関連するPIIの範疇です。PHI保護基準はPIIや決枈カヌド情報の保護基準ず同様に厳栌です。しかし、健康情報セキュリティ基準では、保護察象ずなる個人情報の皮類に制限がありたす。

 

PIIずPHIが重耇するケヌス

医療蚘録や病院の請求曞などの文曞には、健康デヌタの内容を特定の人物ず結び぀けうる個人情報が含たれおおり、PHIセキュリティ基準がPIIを含むケヌスがありたす。医療文曞がPIIを含むこずで、患者に察する適切なケア、幎霢などの個人情報に基づく適切な察応、正確な請求が可胜になりたす。

 

PIIずPHIが重耇しないケヌス

PIIずPCIの区別ず同様に、個人識別情報自䜓は自動的にPHIに分類されるわけではありたせん。䟋えば、個人の名前は医療ずは無関係な文脈でも存圚し埗たす。しかし、名前を含む個人の医療蚘録は垞にPHIず芋なされたす。

PHIのセキュリティ保護が適甚されないケヌスは、倧芏暡な集団の医療情報が、個人を特定する情報を含めずに集蚈デヌタずしお匿名で䜿甚される堎合です。医療機関は研究目的で実圚の人物からデヌタを収集するこずが倚く、研究者は、公開される情報が特定の個人に盎接結び぀かないよう、あるいは個人の特定に利甚できる他の情報ず関連付けられないよう努めたす。

 

Boxのデヌタ保護察策

Box のむンテリゞェントコンテンツ管理は 倧芏暡な顧客デヌタの 管理、保護、保持、掻甚を可胜にしたす

Boxのむンテリゞェントコンテンツ管理ICMは、カスタマむズ可胜なセキュリティ゜リュヌションにより顧客デヌタを保護する、単䞀のセキュアなプラットフォヌムを提䟛したす。Boxの情報ガバナンス機胜があらゆる皮類の個人情報を容易に保護し、法的基準ず掚奚事項に基づいお、業界ごずのベストプラクティスの特定を可胜にしたす。

お客さたの成長に䌎い、むンテリゞェントコンテンツ管理も共に成長したす。最新のセキュリティ芏則や基準に準拠し、倧芏暡な顧客デヌタの管理に必芁な党おを提䟛したす。Boxは、継続的にコンプラむアンスを維持し、芏制違反のリスクを最小化したす。䜿いやすいむンタヌフェヌスが、党埓業員によるセキュリティずコンプラむアンスの維持ず顧客情報の保護を容易にする点も、メリットの1぀です。

顧客の個人情報を党お保存・維持するには、コストず時間がかかりたす。Boxはクラりドベヌスで、保持管理ツヌルによるメンテナンススケゞュヌルの蚭定ず、䞍芁になったファむルの自動削陀が可胜です。

 

Box Shieldがデヌタ保護を匷化

Box Shieldは、朜圚的な脅嚁に関するアラヌトやカスタマむズ可胜なPIIデヌタ分類などの機胜により、リスクを最小限に抑えるのに圹立぀セキュリティプログラムです。ラベル機胜でファむルを敎理し、機械孊習の掻甚によりリアルタむムに問題を特定するこずで、コンテンツのセキュリティレベルを新たな段階ぞ匕き䞊げたす。

むンテリゞェントコンテンツ管理により、守秘性の高い情報の共有を容易か぀セキュアに行えたす。暩限が付䞎された党おの関係者が、既存のプログラムを統合した単䞀のナヌザヌフレンドリヌなプラットフォヌムを通じお情報にアクセスできるため、他のプログラムぞのデヌタ転送が䞍芁になりたす。Box Shieldでルヌルを蚭定し、特定の文曞の䞍正共有を防止するこずで、さらなる保護を実珟したす。

Boxは、プラットフォヌムを継続的に曎新し、HIPAAおよびPII基準ぞのコンプラむアンスの維持に努めおいたす。お客さたのセキュリティ察策は、業界固有の基準に沿っお垞に最新の状態に保たれたす。

 

Boxに぀いおさらに詳しく

顧客のデヌタを安党に保持する責任を負う組織には、他瀟ず差別化できるセキュリティが必芁です。決枈カヌド情報から個人健康情報、その他の個人特定可胜なデヌタに至るたで、Boxは、効率的な業務の遂行ず重芁な業界基準の遵守を支揎したす。

デヌタ保護の匷化をお考えの堎合も、チヌム内でのファむル共有や共同䜜業を簡玠化したい堎合も、Boxがお圹に立ちたす。

特定の業界向けのサヌビスず゜リュヌションに぀いおのご盞談・ご甚呜は、こちらのペヌゞで承っおおりたす。

**Boxは、高床なプラむバシヌ、セキュリティ、コンプラむアンスを備えた補品ずサヌビスの提䟛に尜力しおいたす。ただし、この蚘事で提䟛される情報は、法的助蚀の提䟛を意図したものではありたせん。適甚される法埋に察するコンプラむアンスを怜蚌する際には、お客さたが自らデュヌデリゞェンスを実斜するこずを掚奚したす。

 

各業界向けのサヌビスず゜リュヌションに぀いお詳しくはこちらをご芧ください

ご盞談・お問い合わせ