個人を特定できる情報の収集

個人識別情報(PII)の収集とは、合法的・違法を問わず、様々な目的で個人を特定するために使用できる公開データおよび非公開データの収集を指します。PII収集は、データ所有者からプライバシーへの脅威と見なされることが多く、テクノロジー企業、政府、その他の組織は、消費者行動、政治的嗜好、個人の関心を分析するためにこのデータを利用しています。

情報技術の進歩により、個人情報(PII)へのアクセスと共有が容易になりました。スマートフォンやソーシャルメディアは、個人データの広範な収集に大きく貢献しており、これは広く蔓延し、議論の的となっている問題となっています。[ 1 ]

ケンブリッジ・アナリティカによるFacebookユーザー8,700万人以上の個人情報不正収集事件など、近年の違法な個人情報収集事例は、プライバシー侵害への懸念を高め、より強力なデータ保護法の要求を強めています。EquifaxTargetYahoo!Home Depot米国人事管理局などの企業における大規模な情報漏洩は、数百万人のアメリカ人の個人情報と金融データを侵害し、情報セキュリティと個人情報保護の強化を求める声を高めています。[ 2 ]

意味

現在、PII収集に関する普遍的に受け入れられた定義はありません。米国国立標準技術研究所(NIST)によると、PIIは次のように定義されています。[ 3 ]

(1)氏名、社会保障番号、生年月日、出生地、母親の旧姓、生体認証記録など、個人の身元を識別または追跡するために使用できる情報。 (2)医療、教育、財務、雇用情報など、個人に関連付けられている、または関連付けられる可能性のあるその他の情報。

PII 収集とは、そのようなデータの収集、整理、操作、分析、交換、または共有を指します。

コレクター

政府

政府は、社会的・法的利益の提供、サービスの向上、法的義務の履行のために個人情報を収集します。[ 4 ]政府の種類(民主制か権威主義制か)によって個人情報を収集する方法は異なりますが、目的は概ね同様です。[ 5 ]

アメリカ合衆国

米国では、納税申告、不動産登記、運転免許証申請などの手続きを通じてPIIが収集されます。[ 6 ]政府も犯罪防止や国家安全保障の目的でPIIを収集していますが、特に国家安全保障局(NSA)によるそのような慣行は依然として物議を醸しています。[ 7 ]

中国

中国は、2,000万台のカメラを備えた「スカイネット」システムのような高度な監視ネットワークを活用し、ビッグデータを活用して統治を強化しています。民間企業が収集する個人情報は規制で保護されていますが、政府によるそのようなデータの収集には制限がなく、そのような制限を設ける計画もありません。[ 8 ] [ 9 ]

欧州連合

欧州連合諸国は、厳格な国内および国際的な個人情報(PII)規制を施行している。[ 10 ]例えば、一般データ保護規則(GDPR)は、個人データに対する包括的な保護を提供している。[ 11 ]

企業

インターネットとモバイル技術の進歩に伴い、民間企業はユーザー登録、位置情報追跡、Cookie、その他の方法を通じて個人識別情報(PII)を収集するようになりました。データブローカーは、多くの場合ユーザーの同意を得ることなく、様々な情報源からPIIを売買し、分析しています。[ 12 ] Facebookとケンブリッジ・アナリティカのデータスキャンダルは、データの不正利用の一例であり、データ収集の対象となったユーザーのうち、同意を得たのはごく一部でした。[ 13 ]

ハッカー

ハッカーは、金銭的利益や政治的利益のために、個人情報を違法に収集します。注目すべき例としては、ソニー・ピクチャーズを標的とした北朝鮮のハッカーや、数百万人のユーザーの機密データを漏洩させた Equifaxの大規模侵入事件などが挙げられます。

個人情報の収集はプライバシーの侵害と関連付けられることが多く、プライバシー擁護者から反対されることが多い。米国や欧州連合諸国などの民主主義国では、個人情報の収集に対するプライバシー法がより整備されている。欧州連合の法律は、より包括的かつ統一的な個人データ保護を提供している。米国では、連邦データ保護法はセクターごとに適用されている。[ 14 ]権威主義国では、国民に対する個人情報の収集保護が不十分であることが多い。例えば、中国国民は民間企業に対する立法上の保護を受けているが、政府による違反行為に対する保護は受けていない。[ 15 ]

欧州連合

GDPRは2018年5月25日に発効し、あらゆるセクターと業界に一貫した包括的なプライバシー保護を提供します。この規制は、欧州連合(EU)加盟国におけるすべての企業と政府機関に適用されます。また、欧州でサービスを提供するすべての外国企業と組織も規制対象となります。GDPRに違反または遵守しない場合、企業の全世界における年間売上高の最大4%に相当する罰金が科せられる可能性があります。GDPRは、企業と政府機関に対し、データ処理に関する同意の取得、データ収集の匿名化、データ侵害の迅速な通知、国境を越えたデータ転送の安全な処理、データ保護責任者の任命を義務付けています。[ 16 ]

アメリカ合衆国

連邦取引委員会法(FTC法)第5条は、企業に対し収集した個人情報(PII)データの保護を義務付けるために用いられている。[ 17 ]米国の企業はプライバシーポリシーを策定する義務はないが、プライバシーポリシーを開示した場合は遵守する義務がある。また、企業はユーザーにオプトアウトの機会を提供することなく、データ収集ポリシーを遡及的に変更することはできない。FTCは、社会保障番号、クレジットカード番号、銀行口座番号などの顧客のPIIデータを保護しなかったとして、ライフロック社に1億ドルの罰金を科した。これは2010年の連邦裁判所命令に違反した。[ 18 ]

FTCは行動ターゲティング広告原則を用いて、ウェブサイト運営者に対し、データ収集方法、活動追跡、オプトアウトの仕組みに関するガイドラインと提案を提供しています。ウェブサイト運営者は、社会保障番号、金融データ、健康情報、未成年者のデータなど、機密性の高い個人情報(PII)の収集・利用前に、明示的な同意を得ることが求められています。行動ターゲティング広告原則では、収集された個人データを保護するための合理的なセキュリティ対策と、正当な事業上または法執行上のニーズを満たすために必要な期間に限り、データ保持期間を限定することも求められています。この原則は自主規制的なものであり、すべての利害関係者による議論と発展を促進することを目的としています。[ 19 ]

懸念事項

個人情報の収集に関する国民の懸念は、プライバシーの侵害と潜在的な差別に集中しています。許可されていない収集と使用は

ケンブリッジ・アナリティカのスキャンダルに見られるように、個人情報の不正使用はFacebookのような大手プラットフォームへの不信感を煽り、多くのユーザーがより厳しい政府規制を求めている。[ 20 ] [ 21 ]個人情報収集のリスクには、差別、個人および集団の自由の喪失、金銭的リスク、社会的リスク、身体的リスク、心理的リスクなどがある。[ 22 ]

参照

参考文献

  1. ^ Li, Xiao Bai; Motiwalla, Luvai F. (2016). 「経済取引における消費者のプライバシーパラドックス行動の解明」 . International Journal of Business Information Systems . 23 (3): 307– 329. doi : 10.1504/IJBIS.2016.10000351 . PMC  5046831. PMID  27708687 .
  2. ^ 「サイバーセキュリティインシデント」米国人事管理局2020年11月25日時点のオリジナルよりアーカイブ。 2018年4月19日閲覧
  3. ^ Milne, George R.; Pettinico, George; Hajjat​​, Fatima M.; Markos, Ereni (2017年3月). 「情報機密性の類型:個人データ共有における消費者の認識するリスクの程度と種類のマッピング」Journal of Consumer Affairs . 51 (1): 133– 161. doi : 10.1111/joca.12111 . hdl : 10.1111/joca.12111 .
  4. ^カペッロ、ローレンス(2016年12月15日)「ビッグアイアンと小さな政府:アメリカ合衆国におけるデータ収集とプライバシーの歴史」政策史ジャーナル29 ( 1): 177–196 . doi : 10.1017/S0898030616000397 .
  5. ^ Li, Xiao Bai; Motiwalla, Luvai F. (2016). 「経済取引における消費者のプライバシーパラドックス行動の解明」 . International Journal of Business Information Systems . 23 (3): 307– 329. doi : 10.1504/IJBIS.2016.10000351 . PMC 5046831. PMID 27708687 .  
  6. ^カペッロ、ローレンス(2016年12月15日)「ビッグアイアンと小さな政府:アメリカ合衆国におけるデータ収集とプライバシーの歴史」政策史ジャーナル29 ( 1): 177–196 . doi : 10.1017/S0898030616000397 .
  7. ^テイラー、アイザック (2017). 「データ収集、テロ対策、そしてプライバシーの権利」.政治・哲学・経済学. 16 (3): 326– 346. doi : 10.1177/1470594x17715249 .
  8. ^ ZENG, JINGHAN (2016年11月). 「中国とビッグデータ:権威主義体制を強化するのか、脅威にするのか?」『国際情勢92 (6): 1443–1462 . doi : 10.1111/1468-2346.12750 .
  9. ^ ZENG, JINGHAN (2016年11月). 「中国とビッグデータ:権威主義体制を強化するのか、脅威にするのか?」『国際情勢92 (6): 1443–1462 . doi : 10.1111/1468-2346.12750 .
  10. ^ミッコネン、トミ(2014年4月1日)「EUデータ保護改革に関する管理者の認識:フィンランドの視点」『コンピュータ法とセキュリティレビュー30 (2): 190–195 . doi : 10.1016/j.clsr.2014.01.011 . ISSN 0267-3649 . 
  11. ^ミッコネン、トミ(2014年4月1日)「EUデータ保護改革に関する管理者の認識:フィンランドの視点」『コンピュータ法とセキュリティレビュー30 (2): 190–195 . doi : 10.1016/j.clsr.2014.01.011 . ISSN 0267-3649 . 
  12. ^ 「オンライン行動追跡におけるプライバシーの考慮」欧州連合ネットワーク情報セキュリティ機関
  13. ^ Solon, Olivia (2018年4月4日). 「Facebookは、ケンブリッジ・アナリティカが3,700万人以上のユーザーデータを入手した可能性があると述べている」 . The Guardian .
  14. ^ 「法執行目的における米国とEUのデータ保護法の比較 - シンクタンクwww.europarl.europa.eu
  15. ^ ZENG, JINGHAN (2016年11月). 「中国とビッグデータ:権威主義体制を強化するのか、脅威にするのか?」『国際情勢92 (6): 1443–1462 . doi : 10.1111/1468-2346.12750 .
  16. ^ 「2016年4月27日付欧州議会及び理事会規則 (EU) 2016/679 個人データの処理に関する自然人の保護及び個人データの自由な移動に関するもの並びに指令95/46/ECの廃止(一般データ保護規則)(EEA関連テキスト)」 2016年5月4日。
  17. ^ 「プライバシーとデータセキュリティアップデート(2016)」連邦取引委員会2017年1月18日。
  18. ^ 「ライフロック社、2010年の命令違反でFTCの告発を受け、消費者に1億ドルを支払う」連邦取引委員会、2015年12月17日。
  19. ^ 「オンライン行動広告:議論を自主規制原則の可能性へ前進させる:消費者保護局によるオンライン行動広告の規制原則の提案とコメント要請に関する声明」連邦取引委員会。2014年1月16日。2021年2月9日時点のオリジナルよりアーカイブ2018年4月19日閲覧。
  20. ^ 「Facebookユーザーのプライバシーに関する懸念は2011年以来増加」ギャラップ
  21. ^ 「Facebookに注目が集まっているが、Googleもプライバシー問題で苦境に立たされている」 NDTV Gadgets360.com
  22. ^ Milne, George R.; Pettinico, George; Hajjat​​, Fatima M.; Markos, Ereni (2017年3月). 「情報機密性の類型:個人データ共有における消費者の認識するリスクの程度と種類のマッピング」Journal of Consumer Affairs . 51 (1): 133– 161. doi : 10.1111/joca.12111 . hdl : 10.1111/joca.12111 .
「 https://en.wikipedia.org/w/index.php?title=Gathering_of_personally_identifiable_information&oldid=1304808757」より取得