従業員またはバッジ番号はPIIですか?
Identity Management/Lifecycleシステムの実装を検討しています。すべての認証をこのシステムに集約することを検討しています。ただし、懸念事項の1つは同じ名前の従業員であるため、従業員を区別して適切に認証するために従業員番号とバッジ番号を実装しています。
これらの数値はPIIであると考えられているため、相互参照のために他のシステムに格納すると、そのシステムはPII規制の対象になります。
従業員またはバッジの番号はPIIと見なされますか?
明確化のために編集これは主にGDPRではなく、DOE O 206.1プライバシーディレクティブに関連しています。ただし、これは以前にも同様の議論があったため、少し一般的です。
私が直面している問題は、少々誇張されていますが、私が知っている誰もがanythingと関係があるとanyoneはPIIと見なされていると考えています。したがってeveryシステムは規制する必要があります。
[〜#〜] gdpr [〜#〜] または [〜#〜] nist [〜#〜] の定義では、これは個人を特定できる情報(PII)としてカウントされます。個人を(それ自体で、または他の情報と組み合わせて)一意に識別するために使用できるものは、PIIと見なされます。
(海軍省CIOからの)以下の参照によると、バッジ番号は「機密性の低いPII」です。一方、名前、母親の旧姓、SSNなどは「機密PII」です。
おそらく、従業員番号も「機密性の低いPII」と見なされます。
したがって、このリファレンスによると、従業員とバッジの番号は「機密性の低いPII」です。
これがGDPR PIIに関するものである場合、GDPRは法的な制度であるため、これらのトピックについては、弁護士に通知し、助言に耳を傾ける責任があります。
とはいえ、2つの点があります。IANALの会話では、いくつかの理由により、この種の数値はGDPRの意味でのPIIではないことを示しています。しかし、より重要なことに、ID情報を統合するのが賢明ですが、これは必ずしもGDPRのシステムのスコープを外すための戦略であると見なすべきではありません。 GDPRデータは、PANのように「出血」しません。これは、MDM(マスターデータ管理)のような問題です。
GDPRは、個人に関するデータまたは個人が所有するデータが存在する場所に適用される個人に権利を付与します。姓名フィールドを持つユーザーテーブルへの外部キーを含むテーブル内にある必要はありません。あなたが所有していなかったであろう場所、従業員としてこの人物が存在したことがない場所、すべてのデータが対象となる可能性があります。
GDPRでは、従業員のオンボーディングと離職に関するデータライフサイクルがすでに存在し、雇用契約には通常、写真や医療データなどのデータに関連する言語があり、HRPRの「処理」に関するルールがすでにあるため、雇用主と従業員の関係は一般にGDPRでより簡単です昇進、昇給、割り当てなどのイベント。 GDPRは、人間の顧客データにとってより適切で緊急です。
バッジ/従業員IDの問題に戻ります。 GDPRの法律では、これらの種類のIDに固有の言語が存在する可能性があります。オフハンドでは覚えていませんが、一般的に言えば、これらのIDは割り当てられた人間が所有する属性ではありません。彼らはあなたの会社の文脈でその人間を特定するだけであり、その人間があなたの雇用を去った後、彼らはそうするのをやめるでしょう。つまり、PIIではなくトップレベルです。
人間が去った後、それらが人間に割り当てられたという事実を保持でき、人間の管理下にあるすべての属性を削除した場合でも、それらのIDが人間に割り当てられたという記録を保持できます。退去後および削除の件名の削除後に人間の名前を保持できるかどうか-私の思い出は、そのデータを一定期間保持しなければならない状況がありますが、詳細は重要ではありません-重要ではありません私はSOの単なるランドーであり、あなたの弁護士ではありません。乾杯!
以下の質問に答えることで、自分でこれを評価できます。
- 国/地域固有の規制が影響しますか? (GDPR /米国プライバシー法など)
- ユーザー名として従業員番号を使用して、組織内の任意のシステムにログインしていますか(これは多くの組織で一般的であることがわかりました)?
これらのいずれかに対する答えが「はい」である場合、間違いなく従業員番号はPIIです。