PIIとは?個人を特定できる情報を初心者向けに解説

システム開発・テクノロジー
PIIとは?ざっくりと3行で
  • 氏名や住所、メールアドレスのように、それ単体や組み合わせで特定の個人を識別できる情報、それがPIIだ
  • 漏れれば本人へのなりすましや嫌がらせに直結するため、企業には厳重に守る責任がある
  • 何がPIIにあたるかを理解しておくと、日々の業務で扱う情報の重みを正しく意識できるようになる

【深掘り】これだけ知ってればOK!

単体では個人を特定できない情報も、いくつか組み合わさると特定につながることがあります。たとえば生年月日と郵便番号と性別の三つで、多くの人が一意に絞り込めるという研究があります。

PIIは、Personally Identifiable Informationの略で、個人を特定できる情報を意味します。氏名や住所、電話番号、メールアドレス、マイナンバーなどが代表例です。これらが重要視されるのは、漏れた瞬間に特定の誰かと結びつき、なりすましや詐欺、嫌がらせの材料にされかねないからです。企業が顧客のPIIを預かるということは、その人の生活の安全を預かることに等しいといえます。

注意したいのは、単体では特定できない情報の扱いです。年齢だけ、性別だけ、といった情報は、それ自体では誰のものか分かりません。ところが、複数を掛け合わせると個人が浮かび上がることがあります。匿名のはずのデータが、他の情報と照らし合わせることで特定につながる——この組み合わせのリスクを見落とすと、思わぬ漏えいを招きます。

日本の個人情報保護法でいう個人情報と、海外で使われるPIIは、近い概念ですが完全に同じ定義ではありません。海外の取引先とデータをやり取りする際は、それぞれの法律で求められる扱いの違いを確認しておくと安全です。

PIIを守る基本は、必要以上に集めない、必要な人だけがアクセスできるようにする、不要になったら確実に消す、という三点に集約されます。たくさん持つほど漏えい時の被害は大きくなります。だからこそ、本当に必要な情報だけを最小限に扱う姿勢が求められます。情報を持つことはリスクを抱えることでもある、という意識が、適切な管理の出発点になるでしょう。

よくある誤解

個人情報とまったく同じ言葉ではない

PIIと個人情報を完全に同義だと思う方がいますが、厳密には背景が異なります。PIIは主に海外で使われる概念で、日本の法律でいう個人情報とは定義の範囲に細かな差があります。日常では近い意味で使われますが、法的な場面では区別が必要になることもあります。

社内の情報なら漏れても問題ないわけではない

外部に出さなければ大丈夫だと考えるのは危ういです。社内であっても、必要のない人がPIIを閲覧できる状態は管理の不備とされます。情報は、外への漏えいだけでなく、内部での不適切な共有も問題になります。アクセスできる範囲を絞ることが、守りの基本といえます。

会話での使われ方

ITKAGYO運営者デプロイ太郎のアイコン画像

この一覧、メールアドレスも入ってるからPIIだよ。共有範囲を絞って、扱いには気をつけてね。

先輩が後輩に、顧客データを扱う際の注意を伝えている場面。

ITKAGYO運営者デプロイ太郎のアイコン画像

このデータ、名前は消してありますけど、郵便番号と生年月日は残ってます。これでも特定できちゃいますかね。

データ分析担当者が、匿名化の十分さについて同僚に相談しているやり取り。

ITKAGYO運営者デプロイ太郎のアイコン画像

顧客のPIIは、必要な部署だけがアクセスできる形に権限を整理したいです。保有期間を過ぎたデータの自動削除も合わせて提案します。

情報管理の担当者が、データガバナンスの会議で運用方針を提示している場面。

【まとめ】3つのポイント

  • 個人を特定できる情報:氏名や住所、メールアドレスなど、単体や組み合わせで特定の個人を識別できる情報の総称です。
  • 組み合わせのリスクに注意:単体では特定できない情報も、複数を掛け合わせると個人が浮かび上がることがあります。
  • 最小限に扱うのが基本:必要以上に集めず、アクセスを絞り、不要なら消す。持つことがリスクという意識が管理の出発点です。

よくある質問

Q
PIIには具体的に何が含まれますか?
A

氏名、住所、電話番号、メールアドレス、マイナンバー、パスポート番号などが代表例です。さらに、顔写真や指紋などの生体情報、単体では特定できなくても組み合わせると個人を識別できる情報も対象に含まれることがあります。

Q
なぜPIIをそんなに厳重に守る必要があるのですか?
A

漏れると特定の個人と結びつき、なりすましや詐欺、嫌がらせの材料にされる恐れがあるためです。企業が顧客のPIIを預かることは、その人の生活の安全を預かることに等しく、流出は信用の失墜にも直結します。

Q
匿名化すればPIIではなくなりますか?
A

適切に匿名化すれば個人を特定できなくなり、扱いが緩和される場合があります。ただし、不十分な処理だと他の情報との組み合わせで再び特定される恐れがあります。どこまで匿名化されているかの慎重な確認が必要です。

Q
PIIと個人情報の違いは何ですか?
A

PIIが主に海外で使われる個人を特定できる情報という概念なのに対し、個人情報は日本の法律で定義された用語です。両者は近い意味で使われますが、定義の範囲に細かな差があり、法的な場面では区別が必要になることがあります。

【出典】参考URL

https://www.ppc.go.jp/ :個人情報保護委員会による個人情報の定義の参考
https://www.ipa.go.jp/ :個人情報の安全管理の参考
https://e-words.jp/ :PII・個人情報の用語定義の参考

コメント

「IT用語、難しすぎて心が折れそう……」という方のための、ハードル低めな用語辞典です。

情報レベルは「基礎中の基礎」。会話を止めないためのエッセンスだけを抽出しています。分かりやすさを追求するあまり、時々例え話が暴走しているかもしれませんが、そこは「ほどよく」聞き流していただけると幸いです。
ほどよくIT用語辞典システム開発・テクノロジー
セキュリティ
デプロイ太郎のSNSを見てみる!!
ITKAGYO
タイトルとURLをコピーしました