PII
ぴーあいあい
PII
一言でいうと
氏名・メール・住所など、個人を特定できる情報の総称のこと。
詳しい意味
PII(Personally Identifiable Information、個人識別情報)は、氏名・メールアドレス・電話番号・住所・マイナンバー・クレジットカード番号など、それ単独または組み合わせで個人を特定できる情報の総称です。日本では「個人情報」、医療領域では PHI(Protected Health Information)が近い概念。PII を扱うシステムは、暗号化保管・アクセス権限の最小化・ログへの平文記載禁止・第三者提供時の同意取得・侵害時の通知などが必須です。法律レベルでは GDPR、CCPA(カリフォルニア)、日本の個人情報保護法などがそれぞれ規制を課します。エンジニア視点では「PII を扱うエンドポイントは特別扱い」する設計と運用が基本姿勢です。
何に使うか
ユーザー登録機能を実装するとき。決済・本人確認フローを扱うとき。社内のデータベース設計と権限設計。
どんな時に出るか
「PIIをログに出すな」「PIIマスキング」「PII扱いだから別テーブルに分離」といった場面で登場します。
具体例
- PIIを含む可能性があるログは、出力時にマスキングしてから保存する仕組みを入れた。
- PIIテーブルにアクセスできる人を最小限に絞り、監査ログを別途取得している。
別名・略称
pii(ぴーあいあい)Personally Identifiable Information(ぱーそなりーあいでんてぃふぁいあぶるいんふぉめーしょん)個人識別情報(こじんしきべつじょうほう)個人情報(こじんじょうほう)PHI(ぴーえいちあい)
初心者向けメモ
「個人を識別できる情報」全般です。1つだけなら大丈夫でも、組み合わせで特定できれば PII(例: 「東京都港区」だけならOKだが「+ 田中太郎 + 1980年生」になると個人が絞れる)。プログラム内で扱う時は、暗号化と権限制御を必ず付けるのが鉄則です。