コンテンツにスキップ

タイラー・ストーンによるイラスト

カジノサイト PII を保護する方法

リリー・チャパ著
2016 年 2 月 1 日

印刷問題:2016 年 2 月

あなたが従業員、学生、患者、または顧客である場合、個人を特定できる情報 (PII) が外部に流出しており、ハッキングの危険にさらされています。 10 月、米国会計検査院 (GAO) は、全米の組織に影響を与える高リスク問題のリストに PII のプライバシーの保護を追加しました。大規模な連邦機関から大学、病院、中小企業に至るまで、すべての組織が従業員、顧客、メンバー、請負業者に関する PII を保存しています。また、最近の大規模サイバー攻撃に見られるように、PII は悪意のある攻撃者にとって人気のアイテムです。 

米国管理予算局によると、PII は、個人を一意に識別、連絡、または位置特定するために単独で、または他の情報源と組み合わせて使用できるあらゆる情報です。ただし、IT コンサルティング会社 VariQ の情報システム セキュリティ責任者である Angel Hueca 氏によると、PII の定義は情報が使用される状況によって異なる可能性があります。たとえば、名前自体は無害ですが、その名前を個人の電子メール アドレス、社会保障番号、オンラインのスクリーン名やエイリアスと組み合わせると、悪意のある者が個人や企業に大混乱をもたらすために必要なものをすべて与える可能性があります。

そして、PII が侵害されるリスクを免れる人は誰もいないようです。 GAO の調査によると、アメリカ人の 87% は、性別、生年月日、郵便番号という一般的な 3 種類の情報のみを使用して一意に識別できます。 

PII が漏洩した場合、影響を受ける個人と組織の両方に損害が生じる可能性があるとウエカ氏は言います。企業は、保有する PII が侵害された場合、特に組織が顧客との合意や連邦規制の概要を遵守しなかった場合、またはその侵害が医療保険の相互運用性と責任に関する法律に違反した場合、多額の罰金や法的措置に直面する可能性があります。侵害は評判を傷つけ、従業員や顧客に損害を与える可能性もあるとウエカ氏は指摘する。 

Hueca は、会社の PII にアクセスできるかどうかに関係なく、すべての従業員にサイバーセキュリティの意識とオンライン行動について教育する重要性を強調しています。職場で個人用電子メールを使用したり、ワークスペースの画像をソーシャル メディア アカウントに投稿したりした場合でも、PII の漏洩につながる可能性があります。写真には機密情報が誤って記録されている可能性があるとウエカ氏は指摘します。

より一般的なのは、組織の PII データベースにアクセスできる誰かが、顧客のケース番号や従業員の個人的な連絡先情報などの機密情報を含む電子メールを誤って転送してしまうことです。たとえば、2014 年に、ゴールドマン サックス社の請負業者が、機密の証券口座情報を含む電子メールを、誤って請負業者の個人メール アドレスではなく、Google メール アドレスに送信してしまいました。ゴールドマン・サックスはニューヨーク州最高裁判所に訴え、「不必要かつ大規模な」データ侵害を防ぐために受信者の電子メールへのアクセスをブロックするようグーグルに求めた。 Google が電子メールへのアクセスを自発的にブロックしたため、裁判所はこの件について判決を下さなかった。

ウエカ氏は、職務を分離し、誰が特定の情報にアクセスできるかを厳密に管理することがこの問題の解決に役立つと述べています。多くの場合、人事または管理部門の従業員は、すべてではなくても一部の PII にアクセスする必要がある場合があります。潜在的に機密情報を隔離することで、有害な漏洩を防ぐことができます。 

組織のネットワークの設定方法は、PII の偶発的または悪意のある転送を防ぐのに役立ちます。 Hueca 氏は、機密情報をネットワーク環境の他の部分から隔離しておくことを提案しています。侵害があった場合、ハッカーは情報にアクセスするために 2 番目のファイアウォールを突破する必要があります。組織は、標準のコンテンツ追跡ソフトウェアを利用して、不審なアクティビティを特定することも必要です。

「幸いなことに、多くの組織にはコンテンツ フィルタリングと呼ばれるものがあり、組織に出入りする情報をフィルタリングできるツールです」と Hueca 氏は説明します。 「9 桁の社会保障番号のようなものが送信された場合、ツールは管理者にこのアクティビティが発生していることを警告しますが、これは偶発的または悪意のあるものである可能性があります。」 

PII を保護するための米国土安全保障省 (DHS) のハンドブックには、機密情報の閲覧には組織が発行した安全な電子デバイスのみを使用する必要があると記載されています。従業員がラップトップ、USB、外付けハードドライブなどのポータブルデバイスで PII にアクセスする必要がある場合、データを暗号化する必要があります。また、オフィス内で PII を電子メールで送信する必要がある場合、DHS は電子メール内のデータをパスワードで保護することを強く推奨しています。 

最後に、Hueca はすべての企業に、特に PII の悪意のある盗難に対するインシデント対応計画を立てることを推奨します。 

「PII 侵害に特化したインシデント対応計画を立てるということは、ほとんどの組織では考えられていないことです」と Hueca 氏は言います。 「実際に侵害されたらどうなりますか? 手順は何ですか? もしものことについて話し合ってください。通知を設定したら、警告が表示されます。どうしますか? 他の機密データから分離して、何が起こったのかを把握してください。」 

arrow_upward