個人データ

個人データは、個人情報または個人を特定できる情報PII )とも呼ばれ、[ 1 ] [ 2 ] [ 3 ]識別可能な個人に関連するあらゆる情報です。

PIIという略語は米国で広く使用されていますが、その略語には、個人的または個人的に、そして識別可能または識別可能なという4つの一般的なバリエーションがあります。すべてが同等というわけではなく、法的には、有効な定義は管轄区域と用語の使用目的によって異なります。[ a ]欧州連合英国のデータ保護制度では、主に一般データ保護規則(GDPR)を中心としており、[ 4 ]「個人データ」という用語は大幅に広範であり、規制制度の範囲を決定しています。[ 5 ]

米国国立標準技術研究所特別出版物800-122 [ 6 ]は、個人識別情報(PII)を「(1)氏名、社会保障番号、生年月日、出生地、母親の旧姓、生体認証記録など、個人の身元を識別または追跡するために使用できる情報、および(2)医療、教育、財務、雇用情報など、個人にリンクされている、またはリンク可能なその他の情報を含む、機関によって保持される個人に関するあらゆる情報」と定義しています。例えば、ユーザーのIPアドレスはそれ自体ではPIIとして分類されませんが、リンクされたPIIとして分類されます。[ 7 ]

GDPRでは、個人データは「特定された、または特定可能な自然人に関連するあらゆる情報」と定義されています。[ 8 ] [ 6 ]インターネット加入者のIPアドレスは個人データとして分類される場合があります。[ 9 ]

情報技術インターネットの普及によりPIIの収集が容易になり、PIIの収集と転売で利益を生む市場が形成されたため、PIIの概念が普及しました。PIIは犯罪者によって悪用され、ストーカー行為や個人情報の窃盗、あるいは犯罪計画の支援に利用される可能性があります。こうした脅威への対応として、多くのウェブサイトのプライバシーポリシーはPIIの収集について具体的に規定しており[ 10 ] 欧州議会などの立法者はGDPRなどの一連の立法行為によってPIIの流通とアクセスを制限しています[ 11 ] 。

PII が、個人を特定できる情報(つまり、個人に関連付けることができる情報)を指すのか、それとも個人を特定できる情報(つまり、個人に一意に関連付けられ、PII によって個人が識別される情報)を指すのかという点について、深刻な混乱が生じています。米国連邦医療保険の携行性と責任に関する法律(HIPAA)などの規範的なデータプライバシー制度では、PII 項目は明確に定義されています。一方、GDPR などのより広範なデータ保護制度では、個人データは規範的な原則に基づいた方法で定義されています。HIPAA では PII としてカウントされない情報も、GDPR の目的においては個人データとみなされる場合があります。そのため、「PII」は国際的に一般的に推奨されていません。

定義

米国政府は2007年に大統領府行政管理予算局(OMB)の覚書中で「個人を特定できる」という用語を使用し、 [ 12 ]現在ではNISTの個人識別情報の機密性保護ガイド(SP 800-122)などの米国規格にもこの用語が使用されています。 [ 13 ] OMBの覚書ではPIIを次のように定義しています。

氏名、社会保障番号、生体認証記録など、個人の識別または追跡に使用できる情報は、単独で、あるいは生年月日や出生地、母親の旧姓など、他の個人情報や関連付けられた情報、あるいは関連付け可能な情報と組み合わせて、NISTガイドのような公式標準に組み入れられています。これは、データセキュリティを取り巻く状況が刻々と変化する中で、強固なプライバシー保護を確保するための積極的なアプローチを示しています。確立された標準へのこうした統合は、組織が個人の個人情報を保護するための効果的な対策を導入・実施するための基盤となる枠組みです。

— NIST、NIST プライバシーフレームワーク、https://www.nist.gov/privacy-framework

PIIに類似した用語である「個人データ」は、EU指令95/46/ECで次のように定義されています。[ 14 ]

第 2a 条: 「個人データ」とは、識別された、または識別可能な自然人 (「データ主体」) に関するあらゆる情報を意味します。識別可能な個人とは、特に識別番号またはその身体的、生理的、精神的、経済的、文化的、または社会的アイデンティティに特有の 1 つ以上の要素を参照することにより、直接的または間接的に識別できる個人です。

EU規則では、データ主体は他の属性(準識別子または疑似識別子)の追加処理を通じて識別される可能性があるという、より具体的な概念が定められています。GDPRでは、個人データは次のように定義されています。

識別された、または識別可能な自然人(「データ主体」)に関する情報。識別可能な自然人とは、特に氏名、識別番号、位置データ、オンライン識別子などの識別子、またはその自然人の身体的、生理学的、遺伝的、精神的、経済的、文化的、または社会的アイデンティティに固有の1つ以上の要素を参照することにより、直接的または間接的に識別できる個人です[ 15 ]

この区別の簡単な例: 「赤」という色の名前自体は個人データではありませんが、「好きな色」として個人の記録の一部として保存されている同じ値は個人データです。個人データにするのは個人とのつながりであり、(PII のように) 値そのものではありません。

PIIに似た別の用語である「個人情報」は、カリフォルニア州データ侵害通知法SB1386の条項で定義されています。[ 16 ]

(e) この条項において「個人情報」とは、個人の名、または名の頭文字と姓に、次に挙げるデータ要素のいずれかが暗号化されていない場合に、そのデータ要素の 1 つ以上を組み合わせたものを指します。(1) 社会保障番号。(2) 運転免許証番号またはカリフォルニア州身分証明書番号。(3) 個人の金融口座へのアクセスを許可する必要なセキュリティ コード、アクセス コード、またはパスワードと組み合わせた口座番号、クレジットカード番号、またはデビット カード番号。(f) この条項において「個人情報」には、連邦政府、州政府、または地方自治体の記録から合法的に一般大衆に公開される公開情報は含まれません。

SB1386の定義における情報の組み合わせの概念は、OMBが定義するPIIと、SB1386が定義する「個人情報」を正しく区別する鍵となります。文脈を欠いた名前などの情報は、SB1386の「個人情報」とは言えませんが、OMBが定義するPIIと言えるはずです。例えば、「ジョン・スミス」という名前は、現在の文脈では意味を持たず、SB1386の「個人情報」ではありませんが、PIIには該当します。名前やその他の関連する識別情報や文脈情報が付いていない社会保障番号(SSN)は、SB1386の「個人情報」ではありませんが、PIIには該当します。例えば、SSN 078-05-1120自体はPIIですが、SB1386の「個人情報」には該当しません。しかし、有効な名前と正しいSSNの組み合わせは、SB1386の「個人情報」に該当します。[ 16 ]

名前と文脈の組み合わせもPIIとみなされる場合があります。例えば、ある人物の名前がHIVクリニックの患者リストに記載されている場合などです。しかし、名前がPIIとみなされるためには、必ずしも文脈と組み合わせる必要はありません。このような区別があるのは、名前などの情報は、それ自体では個人を特定するには不十分かもしれませんが、後に他の情報と組み合わせることで個人を特定し、危害を加える可能性があるためです。

「センシティブな個人データ」の範囲は、管轄によって異なります。英国では、個人健康データは「センシティブ」とみなされ、追加のデータ保護措置が必要です。[ 17 ] OMBによると、米国では、PIIが必ずしも「センシティブ」であるとは限らず、特定のPIIがセンシティブであるかどうかを判断する際には、文脈が考慮される場合があります。[ 12 ]

匿名を希望する人物の描写には、多くの場合、上記の複数の表現が用いられます。例えば、「ターゲットで働く34歳の白人男性」などです。情報は、個人を特定できる情報でない限り、公表を望まないという意味で、依然としてプライベートな情報である可能性があります。さらに、単独では個人を特定できない複数の情報でも、組み合わせることで個人を特定できる場合があります。これは、刑事裁判で複数の証拠が提出されることが多い理由の一つです。1990年には、アメリカ合衆国の人口の87%が、性別、郵便番号、生年月日によって特定できたことが示されています。[ 18 ]

ハッカーインターネットのスラングでは、このような情報を探し出して公開する行為は「ドキシング」と呼ばれています。[ 19 ] [ 20 ]これは、法執行機関との協力を阻止するために使われることもあります。[ 21 ]場合によっては、ドキシングが逮捕のきっかけになることもあり、特に法執行機関が「ドキシングされた」個人がパニックを起こして姿を消す可能性があると疑った場合はそうです。[ 22 ]

法律と基準

オーストラリア

オーストラリアでは、1988年プライバシー法が個人のプライバシー保護を扱っており、1980年代のOECDプライバシー原則を用いて、幅広い原則に基づく規制モデルを構築している(米国とは異なり、米国では、適用範囲は一般的に広範な原則ではなく、特定の技術、商慣行、またはデータ項目に基づいている)。第6条には関連する定義が記載されている。[ 23 ]重要な点は、「個人情報」の定義が、個人を間接的に特定できる場合にも適用されることである。

「個人情報」とは、特定された個人、または合理的に特定可能な個人に関する情報または意見をいい、その情報または意見が真実であるか否か、また、その情報または意見が物理的な形で記録されているか否かを問いません。

この定義は、上記のカリフォルニア州の例よりも大幅に広範囲に及ぶようで、オーストラリアのプライバシー法は、一部の米国法よりも広範囲のデータと情報をカバーしている可能性があります。

特に、米国を拠点としながらも、クッキー、バグ、トラッカーなどの形式で他国の人々から密かに情報を収集しているオンライン行動広告ビジネスは、「個人情報を収集しません」という標語を使って特定の人物の心理的プロファイルを作成しようとする含みを避けたいと考えるかもしれませんが、オーストラリアのプライバシー法のようなより広い定義の下では意味をなさないことに気付くかもしれません。

「PII」という用語はオーストラリアのプライバシー法では使用されません。

カナダ

欧州連合

欧州連合のデータ保護法では、個人を特定できる情報という概念は使用されず、その範囲は「個人データ」という同義ではないより広い概念によって決定されます。

さらなる例はEUのプライバシーウェブサイトでご覧いただけます。[ 24 ]

香港

2023年6月1日、香港個人情報保護委員会(プライバシー・コミッショナー)は、信用情報データベース・プラットフォームへの不正アクセスによるデータ侵害に関する調査報告書を公表しました。報告書は、契約上の義務やポリシーを課すだけでは不十分であり、それらの義務やポリシーが効果的でなかったり、執行されなかったりする場合、組織が個人データを保護するために適切な措置を講じる必要があることを強調しています。また、報告書は信​​用データが「センシティブ」な個人データの一種であることを明確にしています。[ 25 ]

イギリス

ニュージーランド

1993年プライバシー法の12の情報プライバシー原則が適用されます。ニュージーランドは個人のプライバシーを促進し保護するために、2020年にプライバシー法を制定しました。[ 28 ]

スイス

1992年6月19日の連邦データ保護法(1993年から施行)は、データ主体によって明示的に許可されていない個人データの処理を事実上禁止することでプライバシー保護を確立しました。[ 29 ]この保護は、連邦データ保護および情報コミッショナーの権限に従います。[ 29 ]

さらに、誰でもデータファイルを管理する会社に対して、書面で個人データの訂正または削除を求めることができます。[ 30 ]会社は30日以内に回答しなければなりません。[ 30 ]

アメリカ合衆国

1974年プライバシー法(Pub.L. 93–579, 88 Stat. 1896、1974年12月31日制定、5 USC  § 552a)は、アメリカ合衆国連邦法であり、連邦政府機関の記録システムに保管されている個人に関する個人情報の収集、保管、使用、配布を規制する公正情報慣行規範を制定している。[ 31 ]

医療保険の携行性と責任に関する法律(HIPAA)の主要な焦点の一つは、患者の保護対象医療情報(PHI)(PIIに類似)を保護することです。米国上院は2005年プライバシー法を提案し、本人の同意なしにPIIを表示、購入、または販売することを厳しく制限しようとしました。同様に、2005年フィッシング対策法(提案)は、フィッシングによるPIIの取得を防止しようとしました。

米国の議員は、社会保障番号が個人情報窃盗に容易に利用される可能性があるため、社会保障番号に特別な注意を払ってきました。2005年社会保障番号保護法(提案)と2005年個人情報窃盗防止法(提案)は、いずれも個人の社会保障番号の流通を制限することを目指していました。

米国特有の追加個人情報[ 32 ]には、 I-94記録、メディケイドID番号、内国歳入庁(IRS)の文書などが含まれますが、これらに限定されません。米国に関連する個人情報の排他性は、国家のデータセキュリティ上の懸念[ 33 ]と、米国連邦データ管理システムにおける個人情報の影響を浮き彫りにしています。

州法と重要な裁判所の判決

  • カリフォルニア
    • カリフォルニア州憲法第 1 条第 1 項では、プライバシーは奪うことのできない権利であると宣言されています。
    • 2003年オンラインプライバシー保護法(OPPA)
    • SB 1386では、PII (1 つ以上の追加の特定のデータ要素と組み合わせて) が不正な人物によって取得されたことがわかっている場合、または取得されたと考えられる場合、組織は個人に通知することが義務付けられています。
    • 2011年、カリフォルニア州最高裁判所は、個人の郵便番号は個人情報であるとの判決を下した。[ 34 ]
  • ネバダ州
    • ネバダ州改正法典603A – 個人情報のセキュリティ[ 35 ]
  • マサチューセッツ州
    • 201 CMR 17.00 : 連邦居住者の個人情報保護基準[ 36 ]
    • 2013年、マサチューセッツ州最高裁判所は郵便番号は個人情報であるとの判決を下した。[ 37 ]

連邦法

NISTの定義

米国国立標準技術研究所(NIST)は、物理科学研究所であり、米国商務省の非規制機関です。その使命は、イノベーションと産業競争力の促進です。

以下のデータは、個人の身元を区別する目的でよく使用され、NISTの定義では明らかに個人を特定できる情報として分類されます(詳細は下記参照)。[ 13 ]

以下の情報は、多くの人が共有する特性であるため、個人の識別にはあまり利用されません。しかし、他の個人情報と組み合わせることで個人を特定する可能性があるため、PII(個人情報)に該当する可能性があります。

法医学

法医学、特に犯罪者の身元確認と訴追において、個人を特定できる情報は刑事手続きにおける証拠確立において極めて重要です。犯罪者は、以下のような手段を用いて、個人情報を残さないように多大な努力を払うことがあります。

  • 、肌、髪の色、顔の特徴、タトゥ​​ー、あざ、ほくろ、傷跡などの個人的な特徴を隠したり完全に隠したりするために、マスク、サングラス、または衣服を着用すること。
  • 手袋を着用することで、指紋自体が個人情報(PII)であることを隠すことができます。しかし、手袋は人間の指紋と同様に固有の指紋を残すこともあります。法執行機関は、手袋の指紋を収集した後、証拠として収集した手袋と照合することができます。[ 40 ]多くの法域では、犯罪行為中に手袋を着用すること自体が、未遂罪として起訴される可能性があります。[ 41 ]
  • 自分の手書きで何かを書くことを避ける。[ 42 ]
  • プロキシ サーバーを使用するなどの方法でインターネット上の存在を隠し、自分とは関係のないIP アドレスから接続しているように見せかける。

個人の安全

個人データはオンラインアイデンティティの重要な要素であり、個人によって悪用される可能性があります。例えば、2019年に英国の携帯電話事業者EEの顧客に発生した事例のように、データが改ざんされ、偽造文書の作成、メールボックスや電話の乗っ取り、あるいは嫌がらせに利用される可能性があります。[ 43 ]

もう一つのカテゴリーは金融ID盗難と呼ばれ、[ 44 ]銀行口座やクレジットカード情報が盗まれ、その後使用されたり販売されたりするものです。[ 45 ]

個人データは、偽のアカウントやプロフィール(アイデンティティクローニング[ 46 ]またはアイデンティティ詐欺と呼ばれる)などの偽のオンラインアイデンティティを作成し、有名人が他のユーザーからより簡単にデータを収集するために使用されることもあります。[ 47 ]個人であっても、特に個人的な目的で懸念される可能性があります(これはより広くはソックパペットリーとして知られています)。

パスワード、生年月日、身分証明書、社会保障番号などの最も重要な情報は、さまざまな Web サイトにログインするために使用される可能性があり (例:パスワードの再利用やアカウントの確認)、これによりさらに多くの情報が収集され、より多くのコンテンツにアクセスできるようになります。

また、職員の安全のため、いくつかの機関は業務に関連する事項について秘密保持を求めています。そのため、米国国防総省(DoD)は、DoD職員の個人情報の公開を厳しく制限する方針を定めています。[ 48 ]多くの情報機関も同様の方針を掲げており、職員が友人にその機関で働いていることを明かさないケースもあります。

証人保護プログラム、女性シェルター、家庭内暴力やその他の脅威の被害者についても同様の身元保護の懸念がある。 [ 49 ]

個人情報の削除

個人情報削除サービスは、データブローカーを特定し、顧客の個人情報の削除を依頼することで機能します。このプロセスは手動で行うことも、完全に自動化することも可能ですが、多数のデータブローカーとのやり取りが必要となり、各データブローカーはデータ削除に関するポリシーと手順が異なるため、非常に複雑です。[ 50 ] [ 51 ]

個人情報削除サービスを提供する企業も、いくつかの問題に直面しています。新しいデータブローカーの出現や、既存のデータブローカーが削除要請に応じないケースなどにより、包括的なデータ削除を確実に行うことが困難になっています。また、多くのデータブローカーは、特定の地域や国に限定されています。[ 52 ]

個人データの取引

20世紀後半、デジタル革命は「プライバシー経済学」、すなわち個人データの取引を生み出しました。データの価値は時間や状況の変化によって変化します。データ開示は情報の非対称性を覆す可能性がありますが、そのコストは不明確になる場合があります。企業に関して言えば、消費者はしばしば「自分のデータがいつ、どのような目的で、そしてどのような結果をもたらすのかについて、不完全な情報しか持っていません」[ 53 ] 。

2015 年に執筆した記事の中で、アレッサンドロ・アクイスティ、カーティス・テイラー、リアド・ワグマンは、個人データの取引における 3 つの「波」を特定しました。

  1. 1970年代、シカゴ・ボーイズ学派は、プライバシー保護は誤った、あるいは最適ではない意思決定につながる可能性があるため、市場に悪影響を及ぼす可能性があると主張しました。アンドリュー・F・ドーエティやジェニファー・F・レインガナムといった他の研究者は、その逆であり、プライバシーの欠如もまた同様の結果につながると示唆しました。[ 54 ]
  2. 1990年代半ば、バリアンはシカゴ・ボーイズのアプローチを再び採用し、新たな外部性を加えました。消費者は自身のデータがどのように使用されるかについて、必ずしも完全な情報を持っているわけではない、というものです。[ 55 ]ケネス・C・ロードンは、個人が自身のデータを所有し、それを商品として販売する能力を持つモデルを開発しました。彼は、このようなシステムは規制されるべきではなく、自由市場を形成するべきだと考えました。[ 56 ]
  3. 2000年代には、研究者たちは価格差別(Taylor, 2004 [ 57 ])、二面市場(Cornière, 2011 [ 58 ])、マーケティング戦略(Anderson and de Palma, 2012 [ 59 ])といった研究に取り組みました。理論は複雑化し、プライバシーが経済に与える影響は状況に大きく依存することを示しました。

データブローカー

データブローカーとは、個人データ(収入、民族、政治的信条、位置情報など)や個人に関するデータを収集することを専門とする個人または企業です。これらのデータは主に公的記録から収集されますが、場合によっては私的に収集されることもあります。そして、様々な用途のために、それらの情報を第三者に販売またはライセンス供与します。1990年代以降、情報源は通常インターネット上に存在し、国勢調査選挙人名簿、ソーシャルネットワーキングサイト、裁判報告書、購入履歴などが含まれます。データブローカーから収集された情報は、雇用主や住宅関連企業による 身元調査に使用される場合があります。

個人情報の収集を制限する規制は世界各地で存在し、プライバシー法も多岐にわたります。米国では、データブローカーから消費者を保護する連邦規制はありませんが、一部の州では個別に法律を制定し始めています。欧州連合(EU)では、GDPRがデータブローカーの業務を規制しています。一部のデータブローカーは、大量の人口データ、つまり「データ属性」を保有していると報告しています。Acxiom、25億人の異なる人々のデータを保有していると主張しています。

参照

注記

  1. ^ OECDプライバシー原則に基づくプライバシー保護法を有する他の国では、「個人情報」という用語がより頻繁に使用されますが、これはいくぶん範囲が広い可能性があります。オーストラリアの1988年プライバシー法(Cth)では、「個人情報」には個人の身元が「合理的に確認可能」な情報も含まれ、PIIでカバーされていない一部の情報も含まれる可能性があります。

参考文献

  1. ^ 「機密個人情報(SPI)に関するデータ侵害の管理」VA.gov .ワシントンD.C.:退役軍人省。2012年1月6日。2015年5月26日時点のオリジナルよりアーカイブ。 2015年5月25日閲覧
  2. ^ Stevens, Gina (2012年4月10日). 「データセキュリティ侵害通知法」(PDF) . fas.org . 2017年6月8日閲覧
  3. ^ Greene, Sari Stern (2014).セキュリティプログラムとポリシー:原則と実践インディアナポリス、インディアナ州、米国: Pearson IT Certification. p. 349. ISBN 978-0-7897-5167-6
  4. ^スキーラ、ベルント;ミラー、クラウス。ジン、ユシー。クラフト、レナート。ラウブ、ルネ。シュミット、ジュリア (2022)。GDPR がオンライン広告市場に与える影響。フランクフルト・アム・マイン。ISBN 978-3-9824173-0-1. OCLC  1303894344 .{{cite book}}: CS1 メンテナンス: 場所の発行元が見つかりません (リンク)
  5. ^シュワルツ、ポール・M; ソロベ、ダニエル (2014). 「米国と欧州連合における個人情報の調和」カリフォルニア法レビュー. 102 (4). doi : 10.15779/Z38Z814 . S2CID 141313154 . 
  6. ^ a b「NIST特別出版物800-122」PDF)。nist.gov パブリックドメイン この記事には、米国国立標準技術研究所パブリックドメイン資料が組み込まれています。
  7. ^セクション3.3.3「識別可能性」
  8. ^ 「個人データ」 .一般データ保護規則(GDPR) . 2020年10月23日閲覧
  9. ^ 「欧州司法裁判所、IPアドレスは個人データであると判決」アイリッシュ・タイムズ、2016年10月19日。 2019年3月10日閲覧
  10. ^ Nokhbeh, Razieh (2017). 「業界横断的なウェブプライバシーポリシーの調査」Journal of Information Privacy & Security . 13 : 169–185 .
  11. ^ 「個人データの処理に関する個人の保護及び当該データの自由な移動に関する欧州議会及び理事会の規則案(一般データ保護規則)」欧州データ評議会。2015年6月11日。 2019年4月3日閲覧
  12. ^ a b M-07-16 件名:個人情報の漏洩に対する保護と対応、クレイ・ジョンソン3世、管理担当副ディレクター (2007/05/22)
  13. ^ a b「個人識別情報(PII)の機密性保護に関するガイド」(PDF)。NIST。特別出版物800-122。
  14. ^ 「1995年10月24日の欧州議会及び理事会の指令95/46/EC:個人データの処理に係る個人の保護並びに当該データの自由な移動に関するもの」 Eur-lex.europa.eu . 2013年8月20日閲覧
  15. ^ 「個人データとは何ですか?TrueVault
  16. ^ a b「カリフォルニア州上院法案SB 1386の条文、SEC. 2 1798.29.(e)項参照」カリフォルニア州。
  17. ^情報コミッショナー事務局、「データの保存、共有、セキュリティ」、2013年8月30日更新、2024年10月7日アクセス
  18. ^ 「個人を特定できる医療情報のプライバシー基準」に関するラタニヤ・スウィーニー博士のコメントカーネギーメロン大学。 2009年3月28日時点のオリジナルよりアーカイブ。
  19. ^スティーブ・ラガン(2011年12月19日)「FBIの個人情報漏洩に関する警告は、あまりにも小さく、遅すぎた」テック・ヘラルド。2012年10月31日時点のオリジナルよりアーカイブ。 2012年10月23日閲覧
  20. ^ Sheets, Connor Adams (2012年1月4日). 「AnonymousのOperation Hiroshima: Inside the Doxing Coup the Media Ignored (VIDEO)」 . International Business Times . 2023年8月12日閲覧
  21. ^ 「LulzSecは警察を騙して間違った人物を逮捕させたのか?」 The Atlantic Wire 2011年7月28日。 2013年10月29日時点のオリジナルよりアーカイブ。 2012年10月23日閲覧
  22. ^ブライト、ピーター (2012年3月7日). 「ドクシング:サブーが逮捕されるずっと前から元アノニマスによって暴露されていた経緯」 Ars Technica . 2012年10月23日閲覧
  23. ^ 「1988年プライバシー法」 。 2019年5月15日閲覧
  24. ^ 「データ保護」欧州委員会2017年4月11日。
  25. ^ 「Less Is (Not) More: 個人情報を収益化する際の適切なデータ保護慣行の必要性」メイヤー・ブラウン、2023年9月28日。
  26. ^ 「2018年データ保護法」legislation.gov.uk国立公文書館、2018年c.12 、 2018年8月14日閲覧
  27. ^ 「2000年電気通信(合法的事業慣行)(通信傍受)規則」 legislation.gov.uk、国立公文書、SI 2000/1
  28. ^ 「ニュージーランド - データ保護の概要」DataGuidance2023年12月5日。 2024年3月14日閲覧
  29. ^ a b 1992年6月19日の連邦データ保護法(2014年1月1日時点)スイス連邦首相府(2016年9月18日に閲覧)。
  30. ^ a b (フランス語) Cesla AmarelleDroit suisse、Éditions Loisirs et pédagogie、2008。
  31. ^ 「1974年プライバシー法」 www.justice.gov 2014年6月16日. 2020年12月6日閲覧
  32. ^ Rana, R.; Zaeem, RN; Barber, KS (2018年10月). 「米国中心型と国際型の個人識別情報:UT CIDアイデンティティエコシステムを用いた比較」. 2018 International Carnahan Conference on Security Technology (ICCST) . pp.  1– 5. doi : 10.1109/CCST.2018.8585479 . ISBN 978-1-5386-7931-9. S2CID  56719139 .
  33. ^ 「ハイリスクシリーズ:国家が直面するサイバーセキュリティの課題に対処するには緊急の対策が必要」(PDF)米国会計検査院2018年9月2020年11月16日閲覧
  34. ^ 「カリフォルニア州最高裁判所、郵便番号は個人識別情報であると判断」 Bullivant Houser Bailey Business Matters eAlert . LexisNexis.
  35. ^ 「NRS: 第603A章 - 個人情報のセキュリティとプライバシーwww.leg.state.nv.us
  36. ^ 「201 CMR 17.00: マサチューセッツ州住民の個人情報保護基準」(PDF)マサチューセッツ州。
  37. ^タイラー対マイケルズストアーズ社、984N.E.2d 737, 739 (2013)
  38. ^ 「EU-USデータ転送」欧州委員会、2023年7月10日。 2023年8月12日閲覧
  39. ^ 「匿名性とPII」cookieresearch.com2011年6月17日時点のオリジナルよりアーカイブ2015年5月6日閲覧。
  40. ^ Sawer, Patrick (2008年12月13日). 「警察は手袋の指紋を使って犯罪者を捕まえる」 . Telegraph . 2022年1月11日時点のオリジナルよりアーカイブ2013年8月20日閲覧。
  41. ^ James WH McCordとSandra L. McCord、「パラリーガルのための刑法と手続き:システムアプローチ」前掲、127ページ。
  42. ^ジョン・J・ハリス「偽装筆跡」、43 J. Crim. L. Criminology & Police Sci. 685 (1952-1953)
  43. ^ Davies, Tom (2019年2月8日). 「EEの失敗はデータ侵害が人生に与えるダメージを示している」 . PrivSec Report . 2021年2月5日時点のオリジナルよりアーカイブ
  44. ^ミラー、マイケル (2008). 「安全か? コンピュータ、ビジネス、そしてオンライン上の自分自身を守る」Que. p. 4. ISBN 9780132713900
  45. ^ 「パキスタンの銀行利用​​者2万人分のカードデータがダークウェブで販売されているとの報道」 Dunya News、2018年11月6日。
  46. ^ミラー、マイケル (2008). 「安全か? コンピュータ、ビジネス、そしてオンライン上の自分自身を守る」Que. p. 6. ISBN 9780132713900
  47. ^ Krombholz, Katharina; Merkl, Dieter; Weippl, Edgar (2012年7月26日). 「ソーシャルメディアにおける偽のアイデンティティ:Facebookビジネスモデルの持続可能性に関するケーススタディ」. Journal of Service Science Research . 4 (2): 175– 212. doi : 10.1007/s12927-012-0008-z . S2CID 6082130 . 
  48. ^ 「国防総省FOIA事務局向け覚書」(PDF) . 米国国防総省. 2020年8月6日時点のオリジナル(PDF)からアーカイブ。 2019年4月1日閲覧
  49. ^ 「性的暴力の被害者の保護:得られた教訓」(PDF)国連人権高等弁務官事務所2019年。
  50. ^ 「データブローカーサイトから個人情報を削除する方法」マカフィー2022年8月24日。2024年2月27日時点のオリジナルよりアーカイブ。
  51. ^オズボーン、チャーリー(2023年12月8日)「2024年にインターネットから自分を消すための最高のサービス」 ZDNET 20242月20日閲覧
  52. ^ Fadilpašić, Sead (2023年11月16日). 「データ削除サービスとは何か、そしてどのようなデータを削除できるのか?」 MUO . 2024年1月17日時点のオリジナルよりアーカイブ。 2023年11月29日閲覧
  53. ^ Acquisti, Alessandro; Taylor, Curtis; Wagman, Liad (2015).プライバシーの経済学(PDF) .
  54. ^ Daughety, A.; Reinganum, J. (2010). 「公共財、社会的圧力、そしてプライバシーと公共性の選択」. American Economic Journal: Microeconomics . 2 (2): 191– 221. CiteSeerX 10.1.1.544.9031 . doi : 10.1257/mic.2.2.191 . 
  55. ^ Varian, HR (1997). 「個人プライバシーの経済的側面」.情報化時代におけるプライバシーと自己規制.
  56. ^ Laudon, K. (1997).市場理論とプライバシーの拡張:価格情報の仕組み(PDF) .
  57. ^ Taylor, CR (2004). 「消費者のプライバシーと顧客情報市場」. RAND Journal of Economics . 35 (4): 631– 650. doi : 10.2307/1593765 . hdl : 10161/2627 . JSTOR 1593765 . 
  58. ^ Cornière, AD (2011). 「検索連動型広告」 .アメリカ経済誌: ミクロ経済学. 8 (3): 156– 188. doi : 10.1257/mic.20130138 .
  59. ^ Anderson, S.; de Palma, A. (2012). 「情報(過負荷)時代における注目度をめぐる競争」. RAND Journal of Economics . 43 : 1– 25. doi : 10.1111/j.1756-2171.2011.00155.x . hdl : 10.1111/j.1756-2171.2011.00155.x . S2CID 11606956 . 
「 https://en.wikipedia.org/w/index.php?title=Personal_data&oldid=1326557220」より取得