PII è qualsiasi dato che può identificare una persona specifica, da solo o combinato con altri record. Esempi comuni includono nomi, numeri di documenti governativi, indirizzi email, numeri di telefono, dettagli di contatto dei dipendenti e registri HR. Nel lavoro di sicurezza, la PII è trattata come sensibile perché può facilitare il furto di identità, il phishing, il dirottamento degli account, le frodi e le violazioni della privacy.
Nei casi di ransomware ed estorsione di dati, la PII rubata spesso diventa leva di negoziazione. Gli aggressori possono minacciare di pubblicare i registri dei dipendenti, le liste dei clienti o i dati delle buste paga su un sito di leak per esercitare pressione al pagamento. I difensori riducono questo rischio classificando la PII, limitando l'accesso, cifrando i dati, registrando gli accessi, segmentando i sistemi HR e finance e monitorando trasferimenti di dati insoliti. Se la PII potrebbe essere stata esposta, la risposta all'incidente deve includere passaggi legali, sulla privacy e di notifica, non solo il ripristino dei sistemi.