PIIは、個人を特定できる情報、または他情報と組み合わせて特定できる情報です。氏名、住所、メール、電話、顔写真、端末ID、顧客IDなどが典型例になります。国や規制で範囲が異なるため、扱うデータの定義を社内で固定する必要があるでしょう。
実務では、収集目的と保存期間を明確にし、最小権限とマスキングでアクセスを制御します。監査ログで閲覧・抽出・共有の履歴を残し、削除要求や同意撤回に追随できる手順が重要です。分析用には仮名化や匿名化を使い分け、再識別リスクを評価しながら提供範囲を決めると安全でしょう。
