web-dev-qa-db-ja.com

ユーザーのログイン認証情報や秘密の質問は、EUの規制ではPIIと見なすことができますか?

欧州連合は、個人を特定できる情報の取り扱いについて最も規制されている場所の1つです。

私は この質問 に答えようとしましたが、EUの規制によりユーザーのパスワードをハッシュする必要があったと言いましたが、私にはよくわかりません。

では、以下のログイン情報/メタデータのうち、EU PII規制に該当するものは何ですか?

  • ユーザー名(メール)
  • パスワード
  • 秘密の質問と回答
  • 電話番号(2要素認証の場合)
  • ユーザーがログインに使用したIPアドレス
regulationeu-data-protection
2
Mindwin

パスワードは個人の識別に使用できるものではないため、PIIとは見なされません。対照的に、あなたがリストしている他のすべてはそれを行うために使用することができます。

また、PIIにはさまざまなレベルがあることに注意してください。メールと電話番号はIDと1対1の関係にありますが、秘密の質問と回答のペアとIPアドレスは、ユーザーのIDに直接リンクされていない場合があります。後者は、いわゆる「リンク可能PII」と見なされます。つまり、IDの識別に使用できますが、1対1の関係の確立には使用できません。

実際、EUのPIIは、PIIと見なされるものとそうでないものを単にリストするよりも複雑です。 EUには「地域全体」の規制がありますが、国固有の制限もあります。たとえば、私の知る限り、ドイツではIPアドレスは社会保障番号と同じくらい重要であると考えられています。

4
eez0