機密情報とは
機密情報には幅広いデータが含まれますが、共通しているのは、その露出が人々や組織にリスクをもたらすということです。機密情報の種類には、次のようなものがあります。
- ビジネス関連データ:会計情報、財務、計画、企業秘密
- 政府データ:部外秘情報、制限情報、極秘情報、最高機密情報
- 個人データ:メール アドレス、電話番号、住所、病歴
- 取引データ:銀行口座情報、クレジット カード番号、社会保障番号
多くの機密情報は、政府や組織によって策定、施行された、国内外の法規制によって保護されています。これらの保護規制では、不正アクセスから機密情報を保護することを義務付けています。
機密情報は、物理的またはデジタル形式かを問わず、保存中(機密情報が保存されている場所)および伝送中(郵送などの物理チャネルまたはメール、アプリケーション間での共有などのデジタルチャネルを通じて機密情報を伝送する場合)に保護する必要があります。
ここでは、いくつかの機密情報カテゴリを詳しく説明します。
個人情報
個人情報は、個人を特定できる情報(PII)と呼ばれることが多いです。機密情報の大部分を占めており、個人を直接追跡することができます。個人情報が開示されると、該当する個人に損害を与える可能性があります。個人情報は、個人を識別できるため、匿名データのを非匿名化するために使用される可能性があります。
個人情報は、単体では機密情報ではないという点に留意してください。複数の個人情報を関連付けることで、その集合体がPIIとして扱われる可能性があります。そのため、組織は、コンプライアンス違反による罰則やその他の悪影響を回避するために、個人情報と機密情報に同水準の保護を適用することが推奨されます。
個人情報に含まれる機密情報の種類には、次のようなものがあります。
- 外国人登録番号
- 生体認証データ(例:指紋、声紋、網膜または虹彩の画像、その他の一意の身体的測定値)
- 犯罪歴
- 生年月日
- 運転免許証番号
- 遺伝データ
- インターネット プロトコル(IP)アドレス
- 位置情報
- 母親の旧姓
- 氏名
- 運転免許証以外の身分証明書番号
- パスポート番号
- 電話番号
- 写真
- 出生地
- 支持政党または政治的見解
- 人種または民族的出身
- 宗教的または哲学的信念
- 性的指向
- 社会保障番号
- 労働組合への加入
- 退役軍人、障がい者データ
ビジネス情報、顧客情報
ビジネスに関する機密情報には、露出された場合に組織にリスクをもたらすあらゆる情報が含まれます。機密情報とみなされるビジネス情報、顧客情報の例には、次のようなものがあります。
- 銀行口座情報
- カード会員データ
- 消費者報告書に記載されている裁判所記録
- クレジット カードまたはデビット カードでの購入記録
- 信用スコア
- 顧客データ
- 連邦納税者番号
- 財務データ
- 知的財産データ
- インベントリ情報
- マーケティング計画
- オペレーション情報
- 決済カード情報
- 保留中の企業活動または計画(例:新規株式公開(IPO)、合併、買収、株式分割)
- 売上高
- サプライヤー情報
- 企業秘密
- 未公開の収益レポート
国家機密情報
国家機密情報とは、機密レベル(最高機密、極秘、部外秘)に基づいてアクセスが制限されている政府情報を指します。
最高機密最高機密の国家機密情報は、最高レベルの保護を必要とする国家安全保障情報を指します。機密情報がこの指定を受けるには、高いハードルを乗り越える必要があります。
連邦規則集(CFR)によると、最高機密の国家機密情報が認可なしでアクセスされた場合、「国家安全保障に極めて重大な損害」をもたらすことが合理的に予想されます。
CFRに規定されている「極めて重大な損害」の例には、次のようなものがあります。
- 米国またはその同盟国に対する武力行使、敵対行為
- 国家安全保障に極めて重大な影響を与える外交関係の混乱
- 重要な国防計画の漏洩
- 諜報活動の暴露
- 国家安全保障に不可欠な科学技術の発展に関する情報開示
極秘極秘の国家機密情報とは、CFRによって「厳重な保護」を必要とすると認められた機密情報のことです。極秘の国家機密情報に対して不正アクセスが行われた場合、「国家安全保障への重大な損害」が引き起こされることが合理的に予想されます。
CFRに規定されている「重大な損害」の例には、次のようなものがあります。
- 国家安全保障に重大な影響を与える外交関係の混乱
- 国家安全保障に直接関係するプログラムまたは政策の重大な障害
- 重要な軍事計画または諜報活動の暴露
- 国家安全保障に関連する重要な科学技術の発展に関する情報漏洩
部外秘部外秘として分類されている政府情報は、未認証アクセスが発生した場合に「国家安全保障への損害」を引き起こすことが合理的に予想されます。部外秘情報は保護する必要があるものの、極秘情報や最高機密情報と同水準の保護は必要ありません。
部外秘情報の例には、次のようなものがあります。
- 米国および海外地域における陸軍、空軍、海軍の戦力を示す情報の漏洩
- 敵にとって価値のある情報が記載された作戦、戦闘報告書
- 諜報報告書
- 機密軍需品の訓練、保守、検査に使用される技術情報が記載された文書、マニュアル
- 軍需品の研究、開発、生産、調達
- 軍需品の性能特性、試験データ、設計、生産データ
- 動員計画
- 部外秘情報を指すコード ネームや記号の意味が記載された文書
- 特別調査、クリアランス、部外秘情報を取得する、またはアクセスできる関係者の割り当てに関する文書
- 部外秘資料の輸送専用コンテナの特徴、ルート、輸送スケジュールなどの詳細情報
保護対象保健情報(PHI)、電子化された保護対象保健情報(ePHI)
PHI(ePHI)とは、米国における医療保険の相互運用性と説明責任に関する法令(HIPAA法)によって規制されている機密情報の一種です。PHI、ePHIには、個人を特定できる医療情報や、医療サービスの提供中に作成、使用、開示される医療情報が含まれます。また、物理レコードまたはデジタル レコードに記録、保存される、個人の医学的、身体的、精神的健康に関連するあらゆる情報が含まれます。
PHI、ePHIの例には、次のようなものがあります。
- 予約
- 端末識別子、シリアル番号
- 病歴
- 提供される医療サービス
- 研究結果、検査結果
- 医療記録
- 医療費
- 患者フォーム
- 処方箋
- 医療従事者、患者の会話記録
学歴
教育に関する情報や学歴は機密情報とみなされ、潜在的な雇用主、公的資金を受けている教育機関、外国政府によるアクセスが厳しく規制されています。
学歴の例には、次のようなものがあります。
- 学術的な専門分野、活動
- 指導歴
- 受賞歴
- 受講した学科
- 生年月日、出生地
- 取得した学位
- 懲戒処分に関する記録
- 出席に関する文書
- 受けた教育サービス
- 親、保護者の緊急連絡先
- 成績、成績平均点
- 学校が作成、収集、維持する医療、健康記録
- 学生が履修登録している単位数
- 学校での学生の状況に関する公式文書
- 親、保護者の住所
- スケジュール
- 通学していた学校
- 特別教育の記録
- 学生のメール
- 学生の識別コード
- 試験の得点
機密情報と個人情報の比較
機密情報 | 個人情報 |
|---|---|
個人情報の一種。開示されると、個人が差別や嫌がらせを受ける可能性があります。また、生計、生活の質、日常的な活動への参加能力に影響を与える可能性があります。 | 個人情報とは、個人を特定する情報のことです。生存している個人を正確に識別するために使用できる、あらゆる情報が含まれます。 |
機密情報の例は次のとおりです。 | 個人情報の例は次のとおりです。 |
機密情報に関する法規制
ここでは、機密情報に言及し、その保護を義務付けている法規制をいくつか紹介します。
国内法
米国
- 児童オンライン プライバシー保護法(COPPA)
- 家庭教育の権利とプライバシーに関する法律(FERPA)
- グラム、リーチ、ブライリー法(GLBA)
- 米国における医療保険の相互運用性と説明責任に関する法令(HIPAA法)
- 1974年プライバシー法
国際法
- オーストラリア連邦プライバシー法
- オーストラリアのプライバシー法および機密情報
- ブラジルのLei Geral de Proteção de Dados(LGPD:一般データ保護法)
- カナダの個人情報保護および電子文書法(PIPEDA)
- チリの私生活の保護に関する法律(Law No. 19.628 Protection of Private Life)
- 中国のデータ保護法(個人情報保護法(PIPL))
- エジプトの個人データ保護法(PDPL)
- EU一般データ保護規則(GDPR)
- 日本の個人情報保護法
- ナイジェリアのデータ保護規則(NDPR)
- タイの個人情報保護法(PDPA)
- 英国のデータ保護法
機密情報を統制する米国の州法
- カリフォルニア州プライバシー権法(CPRA)(カリフォルニア州消費者プライバシー法(CCPA)の改正法)
- コロラド州プライバシー法(CPA)
- コネチカット州個人情報、プライバシー、オンライン監視法
- インディアナ州消費者データ保護法
- アイオワ州消費者データ保護法(ICDPA)
- メリーランド州オンライン消費者保護法
- マサチューセッツ州データ プライバシー法
- モンタナ州消費者データ プライバシー法
- ニューヨーク州プライバシー法
- ニューヨーク州SHIELD法(ハッキング禁止および電子データ セキュリティ改善に関する法律)
- オレゴン州消費者プライバシー法(OCPA)
- テネシー州情報保護法
- テキサス州データ プライバシーおよびセキュリティ法(TDPSA)
- ユタ州消費者プライバシー法(UCPA)
- バージニア州消費者データ保護法
法規制に含まれる機密情報関連の主なカテゴリ
米国のさまざまな法規制では、機密情報の取り扱いについて、次のような条項を定めています。
生体認証
- 消費者が生体認証情報の販売をオプト アウトできるようにする
- 生体認証識別子の収集、保持に関する、書面によるポリシーの作成
- 特定の種類の生体認証(指紋、顔、声、虹彩、手のひらなど)を実装
児童のオンライン プライバシー
- マーケティング目的での未成年ユーザーに関する情報収集の禁止
- 未成年者に関する個人情報がすでに収集されている場合、Webサイト、オンライン サービス、アプリケーションの運営者に対して、当該情報を削除するように要求
接続された端末(スピーカー、スマートフォン、カメラ、ビデオ監視など)法規制では、接続された端末を通じて取得されたデータについて、個人の同意なしに次の行為を行うことを禁止している場合があります。
- 収集
- 保存
- 使用
消費者の権利機密情報、個人情報に関連する、次のような特定の消費者の権利を付与します。
- アクセス:保存されている消費者情報を表示
- 削除:消費者情報の削除を要請
- 修正:不正確な情報の更新を要請
位置情報プライバシー
- 消費者の地理位置情報または全地球測位システム(GPS)データを許可なく転送、販売することを禁止
Webサイト プライバシー
- 個人を特定できる情報を収集する、商用Webサイト、オンライン サービスの運営者に対して、個人情報の共有慣行について顧客に通知することを要求
- インターネット ブラウザー情報を共有する前に同意を得ることを要求
プライバシー バイ デザインで機密情報を確実に保護
機密情報の保護は、企業にとって極めて重要です。機密情報を保護するために、プライバシー バイ デザインのアプローチを採用する組織が増えています。このセキュリティ アプローチでは、すべてのポリシー、システム、端末の実装と展開において、プライバシー保護対策を組み込みます。
組織は、プライバシー バイ デザインを導入することで、次の7つの基本原則に基づいて、機密情報を確実に保護できます。
- 事後対応(修正)ではなく先手対応(予防)
- プライバシーを初期設定で保証
- プライバシーをデザインに組み込む
- 全機能的(ゼロサムではなく、ポジティブサム)
- エンド ツー エンドのセキュリティ(ライフサイクル全体でプライバシーを保護)
- 可視性、透明性(プライバシー保護対策を常に公開)
- ユーザー プライバシーの尊重(ユーザー中心主義の維持)
さまざまな法規制を遵守し、機密データ保護に対する期待に応えるために、組織は何らかの方法で機密情報を保護する必要があります。
