G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
3-5 
3.2.6  Access to and Location of PII 
Organizations may choose to take into consideration the nature of authorized access to PII.  When PII is 
accessed more often or by more people and systems, there are more opportunities for the confidentiality 
of the PII to be compromised.  Another aspect of the nature of access to PII is whether PII is being stored 
on or accessed from teleworkers‘
devices or other systems and other systems, such as web applications, 
outside the direct control of the organization.
41
These considerations could cause an organization to 
assign a higher impact level to widely-accessed PII than would otherwise be assigned to help mitigate the 
increased risk caused by the nature of the access. 
Additionally, organizations may choose to consider whether PII that is stored or regularly transported off-
site by employees should be assigned a higher PII confidentiality impact level.  For example, surveyors, 
researchers, and other field employees often need to store PII on laptops or removable media as part of 
their jobs.  Another example is the offsite storage of backup and archive data.  PII located offsite could be 
more vulnerable to unauthorized access or disclosure because it is more likely to be lost or stolen than PII 
stored within the physical boundaries of the organization.   
3.3  PII Confidentiality Impact Level Examples 
The following examples illustrate how an organization might assign PII confidentiality impact levels to 
specific instances of PII.  The examples are intended to help organizations better understand the process 
of considering the various impact level factors, and they are not a substitute for organizations analyzing 
their own situations.  Certain circumstances within any organization or specific system, such as the 
context of use or obligation to protect, may cause different outcomes.     
Obligation to protect is a particularly important factor that should be determined early in the 
categorization process.  Since obligation to protect confidentiality should always be made in consultation 
with an organiza
tion‘s legal counsel and privacy officer, it is not addressed in the following examples. 
3.3.1  Example 1:  Incident Response Roster 
A Federal government agency maintains an electronic roster of its computer incident response team 
members.  In the event that an IT staff member detects any kind of security breach, standard practice 
requires that the staff member contact the appropriate people listed on the roster.  Because this team may 
need to coordinate closely in the event of an incident, the contact information includes names, 
professional titles, office and work cell phone numbers, and work email addresses.  The agency makes the 
same types of contact information available to the public for all of its employees on its main web site. 
Identifiability:  The information directly identifies a small number of individuals using names, phone 
numbers, and email addresses. 
Quantity of PII:  The information directly identifies fewer than twenty individuals. 
Data field sensitivity:  Although the roster is intended to be made available only to the team members, 
the individuals‘ information included in the roster is already available to the public on the agency‘s 
web 
site.  
41
 Systems containing PII that are owned and/or maintained at contractor site for a Federal agency are subject to same controls 
and authorization requirements as if the systems were located at a Federal agency site.  See NIST SP 800-37 Revision 1, 
Guide for Applying the Risk Management Framework to Federal Information Systems: A Security Life Cycle Approach, 
http://csrc.nist.gov/publications/nistpubs/800-37-rev1/sp800-37-rev1-final.pdf
.  
Pdf signature field - C# PDF Form Data fill-in Library: auto fill-in PDF form data in C#.net, ASP.NET, MVC, WinForms, WPF
Online C# Tutorial to Automatically Fill in Field Data to PDF
create fillable form pdf online; form pdf fillable
Pdf signature field - VB.NET PDF Form Data fill-in library: auto fill-in PDF form data in vb.net, ASP.NET, MVC, WinForms, WPF
VB.NET PDF Form Data fill-in library: auto fill-in PDF form data in vb.net, ASP.NET, MVC, WinForms, WPF
pdf form filler; convert pdf to form fill
G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
3-6 
Context of use:  
The release of the individuals‘ names and contact information would not likely cause 
harm to the individuals, and disclosure of the fact that the agency has collected or used this information is 
also unlikely to cause harm. 
Access to and location of PII:  The information is accessed by IT staff members who detect security 
breaches, as well as the team members themselves.  The PII needs to be readily available to teleworkers 
and to on-call IT staff members so that incident responses can be initiated quickly. 
Taking into account these factors, the agency determines that unauthorized access to the roster would 
likely cause little or no harm, and it chooses to assign the PII confidentiality impact level of low .
42
3.3.2  Example 2:  Intranet Activity Tracking 
An organization maintains a web use audit log for an intranet web site accessed by employees.  The web 
use audit log contains the following: 
The user‘s IP address
The Uniform Resource Locator (URL) of the web site the user was viewing immediately before 
coming to this web site (i.e., referring URL) 
The date and time the user accessed the web site 
The web pages or 
topics accessed within the organization‘s 
web site (e.g., organization security 
policy). 
Identifiability:  By itself, the log does not contain any directly identifiable data.  However, the 
organization has a closely-related system with a log that contains domain login information records, 
which include user IDs and corresponding IP addresses.  Administrators who have access to both systems 
and their logs could correlate information between the logs and identify individuals.  Potentially, 
information could be stored about 
the actions of most of the organization‘s users involving 
web access to 
intranet resources.  The organization has a small number of administrators who have access to both 
systems and both logs. 
Quantity of PII:  The log contains a large number of records containing linked PII. 
Data field sensitivity:  The information on which internal web pages and topics were accessed could 
potentially cause some embarrassment if the pages involved certain human resources-related subjects, 
such as a user searching for information on substance abuse programs.  However, since the logging is 
limited to use of intranet-housed information, the amount of potentially embarrassing information is 
minimal.   
Context of use:  Creation of the logs is known 
to all staff members through the organization‘s acceptable 
use policies.  The release of the information would be unlikely to cause harm, other than potential 
embarrassment for a small number of users.   
Access to and location of PII:  The log is accessed by a small number of system administrators when 
troubleshooting operational problems and also occasionally by a small number of incident response 
42
 This scenario is presented for illustrative purposes only.  It is possible that this type of information could be used for a social 
engineering attack.  Organizations may consider their particular circumstances and assign a higher impact level for this 
scenario. 
C# PDF Digital Signature Library: add, remove, update PDF digital
things. Add a signature or an empty signature field in any PDF file page. Search unsigned signature field in PDF document. Prepare
create fillable forms in pdf; converting a word document to a fillable pdf form
VB.NET PDF Digital Signature Library: add, remove, update PDF
things. Add a signature or an empty signature field in any PDF file page. Search unsigned signature field in PDF document. Prepare
convert pdf file to fillable form online; asp.net fill pdf form
G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
3-7 
personnel when investigating incidents.  All access to the log occurs only from the organization‘s own 
systems. 
Taking into account these factors, the organization determines that a breach of the log‘s confidentiality 
would likely cause little or no harm, and it chooses to assign the PII confidentiality impact level of low . 
3.3.3  Example 3:  Fraud, Waste, and Abuse Reporting Application 
A database contains web form submissions by individuals claiming possible fraud, waste, or abuse of 
organizational resources and authority.  Some of the submissions include serious allegations, such as 
accusing individuals of accepting bribes or not enforcing safety regulations.  The submission of contact 
information is not prohibited, and individuals often 
enter their personal information in the form‘s 
narrative text field.  The web site is hosted by a server that logs IP address and referring web site 
information. 
Identifiability:  By default, the database does not request PII, but a significant percentage of users choose 
to provide PII.  The web log contains IP addresses, which could be identifiable.  However, the log 
information is not linked or readily linkable with the database or other sources to identify specific 
individuals. 
Quantity of PII:  A recent estimate indicated that the database has approximately 50 records with PII out 
of nearly 1000 total records.    
Data field sensitivity:  
The database‘s narrative text field contains user
-supplied text and frequently 
includes information such as name, mailing address, email address, and phone numbers.      
Context of use:  Because of the nature of the submissions (i.e., reporting claims of fraud, waste, or 
abuse), 
the disclosure of individuals‘ identities would likely cause some of the individuals making the 
claims to fear retribution by management and peers.  Additionally, it could negatively impact individuals 
about whom accusations are made.  The ensuing harm could include blackmail, severe emotional distress, 
loss of employment, and physical harm.  A breach would also undermine employee and public trust in the 
organization. 
Access to and location of PII:  The database is only accessed by a few people who investigate fraud, 
waste, and abuse claims.  All access to the database occurs only from the organization‘s 
internal systems. 
Taking into account these factors, the organization determines that a breach of the database‘s 
confidentiality would likely cause catastrophic harm to some of the individuals and chooses to assign the 
PII confidentiality impact level of high
C# PDF insert image Library: insert images into PDF in C#.net, ASP
field. Access to freeware download and online C#.NET class source code. How to insert and add image, picture, digital photo, scanned signature or logo into PDF
pdf fillable forms; convert pdf fillable form to word
How to C#: Basic SDK Concept of XDoc.PDF for .NET
To be specific, you can edit PDF password and digital signature, and set PDF file permission. Class: PasswordSetting. Class: PDFDigitalSignatureHandler.
convert excel to fillable pdf form; add attachment to pdf form
G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
4-1 
4.  PII Confidentiality Safeguards 
PII should be protected through a combination of measures, including operational safeguards, privacy-
specific safeguards, and security controls.  Many of these measures also correspond to several of the Fair 
Information Practices.  Organizations should use a risk-based approach for protecting the confidentiality 
of PII.  The PII safeguards provided in this section are complementary to other safeguards for data and 
may be used as one part of an organization‘s 
comprehensive approach to protecting the confidentiality of 
PII and implementing the Fair Information Practices.   
4.1  Operational Safeguards 
This section describes two types of operational safeguards for PII protection: policy and procedure 
creation; and education, training, and awareness.  Organizations can choose whether these policy, 
education, and awareness activities are combined with related security controls (e.g., AT-1, AT-2) or are 
separated as part of a privacy program.   
As agencies work to establish a variety of safeguards to protect the confidentiality of PII, they must also 
ensure that mechanisms are in place to make certain that individuals are held accountable for 
implementing these controls adequately and that the controls are functioning as intended.  Accountability 
is also an important Fair Information Practice.  In this context, agencies may already have some pre-
established processes for providing oversight and accountability for the implementation of key controls, 
such as those related to information system assessment and authorization, Privacy Impact Assessments, 
and Privacy Act compliance.  However, some additional oversight mechanisms or amendments to pre-
existing procedures could be necessary to ensure that all measures for protecting PII are being considered 
and properly implemented.   
4.1.1  Policy and Procedure Creation 
Organizations should develop comprehensive policies and procedures for handling PII at the organization 
level, the program or component level, and where appropriate, at the system level.
43
Some types of 
policies include foundational privacy principles, privacy rules of behavior, policies that implement laws 
and other mandates, and system-level policies.  The foundational privacy principles reflect the 
organization‘s privacy objectives.  Foundational privacy principles may also be used as a guide against 
which to develop additional policies and procedures.  Privacy rules of behavior policies provide guidance 
on the proper handling of PII, as well as the consequences for failure to comply with the policy.  Some 
policies provide guidance on implementing laws and OMB guidance in an organization‘s environment 
based upon 
the organization‘s authorized business purposes and mission.  Organizations should consider 
developing privacy policies and associated procedures for the following topics: 
Access rules for PII within a system 
PII retention schedules and procedures 
PII incident response and data breach notification 
43
There are laws and OMB guidance that provide agency requirements for policy development. For example, OMB 
Memorandum 05-
08 requires that a ―senior agency official must…have a central policy
-
making role in the agency‘s 
development and evaluation of legislative, regulatory and other policy proposals which implicate information privacy 
issues…
.
‖  Additionally, the Privacy Act requires agencies to ―establish rules of
conduct for persons involved in the design, 
development, operation, or maintenance of any system of records, or in maintaining any record, and instruct each such 
person with respect to such rules and the requirements of…‖ the Privacy Act ―including any ot
her rules and procedures 
adopted…and the penalties for noncompliance.‖
5 U.S.C. § 552a(e)(9). 
VB.NET PDF: Basic SDK Concept of XDoc.PDF
To be specific, you can edit PDF password and digital signature, and set PDF file permission. Class: PasswordSetting. Class: PDFDigitalSignatureHandler.
convert word form to pdf with fillable; change font size pdf fillable form
VB.NET PDF insert image library: insert images into PDF in vb.net
project. Import graphic picture, digital photo, signature and logo into PDF document. file. Insert images into PDF form field in VB.NET. An
converting a word document to pdf fillable form; create a fillable pdf form online
G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
4-2 
Privacy in the system development life cycle process 
Limitation of collection, disclosure, sharing, and use of PII 
Consequences for failure to follow privacy rules of behavior. 
If the organization permits access to or transfer of PII through interconnected systems external to the 
organization or shares PII through other means, the organization should implement the appropriate 
documented agreements for roles and responsibilities, restrictions on further sharing of the information, 
requirements for notification to each party in the case of a breach, minimum security controls, and other 
relevant factors.  Also, Interconnection Security Agreements (ISA) should be used for technical 
requirements as necessary.
44
These agreements ensure that the partner organizations abide by rules for 
handling, disclosing, sharing, transmitting, retaining, and using the organization‘s PII.
PII maintained by the organization should also be reflected in the organization‘s incident response 
policies and procedures.  A well-defined incident response capability helps the organization detect 
incidents rapidly, minimize loss and destruction, identify weaknesses, and restore IT operations rapidly.  
OMB M-07-16 sets out specific requirements for reporting incidents involving the loss or inappropriate 
disclosure of PII.  For additional information, see Section 5.  
4.1.2  Awareness, Training, and Education 
Awareness, training, and education are distinct activities, each critical to the success of privacy and 
security programs.
45
Their roles related to protecting PII are briefly described below.  Additional 
information on privacy education, training, and awareness is available in NIST SP 800-50, Building an 
Information Technology Security Awareness and Training Program  
Awareness efforts are designed to change behavior or reinforce desired PII practices.  The purpose of 
awareness is to focus attention on the protection of PII.  Awareness relies on using attention-grabbing 
techniques to reach all different types of staff across an organization.  For PII protection, awareness 
methods include informing staff of new scams that are being used to steal identities, providing updates on 
privacy items in the news such as government data breaches and their effect on individuals and the 
organization, providing examples of how staff members have been held accountable for inappropriate 
actions, and providing examples of recommended privacy practices.   
The goal of training is to build knowledge and skills that will enable staff to protect PII.  Laws and 
regulations may specifically require training for staff, managers, and contractors.  An organization should 
have a training plan and implementation approach, and an organization‘s leadership should communicate 
the seriousness of protecting PII to its staff.  Organizational policy should define roles and responsibilities 
for training; training prerequisites for receiving access to PII; and training periodicity and refresher 
training requirements.  To reduce the possibility that PII will be accessed, used, or disclosed 
inappropriately, all individuals that have been granted access to PII should receive appropriate training 
and, where applicable, specific role-based training.  Depending on the roles and functions involving PII, 
important topics to address may include: 
The definition of PII 
44
See NIST SP 800-47, Security Guide for Interconnecting Information Technology Systems, 
http://csrc.nist.gov/publications/PubsSPs.html
.  
45
 Some organizations have chosen to combine their security and privacy awareness, education, and training, whereas other 
organizations have chosen to keep them separate.  Additionally, the Privacy Act and OMB guidance specifically require 
privacy training. 
VB.NET PDF Library SDK to view, edit, convert, process PDF file
NET program. Password, digital signature and PDF text, image and page redaction will be used and customized. PDF Annotation Edit.
pdf create fillable form; pdf add signature field
C# Create PDF Library SDK to convert PDF from other file formats
PDF file. What's more, you can also protect created PDF file by adding digital signature (watermark) on PDF using C# code. Create
convert html form to pdf fillable form; create a writable pdf form
G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
4-3 
Applicable privacy laws, regulations, and policies  
Restrictions on data collection, storage, and use of PII 
Roles and responsibilities for using and protecting PII 
Appropriate disposal of PII 
Sanctions for misuse of PII 
Recognition of a security or privacy incident involving PII 
Retention schedules for PII 
Roles and responsibilities in responding to PII-related incidents and reporting. 
Education develops a common body of knowledge that reflects all of the various specialties and aspects of 
PII protection.  It is used to develop privacy professionals who are able to implement privacy programs 
that enable their organizations to proactively respond to privacy challenges.   
4.2  Privacy-Specific Safeguards
46
Privacy-specific safeguards are controls for protecting the confidentiality of PII.  These controls provide 
types of protections not usually needed for other types of data.  Privacy-specific safeguards help 
organizations collect, maintain, use, and disseminate data in ways that protect the confidentiality of the 
data.    
4.2.1  Minimizing the Use, Collection, and Retention of PII 
The practice of minimizing the use, collection, and retention of PII is a basic privacy principle.
47
By 
limiting PII collections to the least amount necessary to conduct its mission, the organization may limit 
potential negative consequences in the event of a data breach involving PII.  Organizations should 
consider the total amount of PII used, collected, and maintained, as well as the types and categories of PII 
used, collected, and maintained.  This general concept is often abbreviated as the ―minimum necessary‖ 
principle.  PII collections should only be made where such collections are essential to meet the authorized 
business purpose and mission of the organization.  If the PII serves no current business purpose, then the 
PII should no longer be used or collected.  
Also, an organization should regularly review
48
its holdings of previously collected PII to determine 
whether the PII is s
till relevant and necessary for meeting the organization‘s business purpose and 
mission.
49
If PII is no longer relevant and necessary, then PII should be properly destroyed.  The 
destruction or disposal of PII must be conducted in accordance with any litigation holds and the Federal 
Records Act and records control schedules approved by the National Archives and Records 
Administration (NARA).
50
Organizations should also ensure that retired hardware has been properly 
46
 Portions of this section were submitted as contributions to the ISO/IEC 29100 Privacy Framework draft standard.  
47
 Fair Information Practices are also referred to as privacy principles.  See Appendix D for additional information. 
48
 The frequency of reviews should be done in accordance with laws, regulations, mandates, and organizational policies that 
apply to the collection of PII. 
49
 The Privacy Act requires that Federal agencies only maintain records relevant and necessary to their mission.  5 U.S.C. § 
552a(e)(1).  Also, OMB directed Federal agencies to review their PII holdings annually and to reduce their holdings to the 
minimum necessary for proper performance of their missions.  OMB M-07-16. 
50
The Federal R
ecords Act, 44 U.S.C. § 3301, defines records as ―[a]
ll books, papers, maps, photographs, machine-readable 
materials, or other documentary materials, regardless of physical form or characteristics, made or received by an agency of 
the United States Government under Federal law or in connection with the transaction of public business and preserved or 
C# PDF remove image library: remove, delete images from PDF in C#.
in Field Data. Field: Insert, Delete, Update Field. graphic picture, digital photo, scanned signature, logo, etc. remove multiple or all images from PDF document.
convert an existing form into a fillable pdf form; c# fill out pdf form
C# PDF Convert to Images SDK: Convert PDF to png, gif images in C#
in C#.NET class. Create image files including all PDF contents, like watermark and signature in .NET. Turn multipage PDF file into
convert excel spreadsheet to fillable pdf form; attach image to pdf form
G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
4-4 
sanitized before disposal (e.g., no disk images contain PII, the hard drive has been properly sanitized).
51
The effective management and prompt disposal of PII, in accordance with NARA-approved disposition 
schedules, will minimize the risk of unauthorized disclosure.  
4.2.2  Conducting Privacy Impact Assessments 
PIAs are structured processes for identifying and mitigating privacy risks, including risks to 
confidentiality, within an information system.  According to OMB, PIAs are 
―structured reviews of how 
information is handled: (i) to ensure handling conforms to applicable legal, regulatory, and policy 
requirements, (ii) to determine the risks and effects of collecting, maintaining and disseminating 
information in identifiable form
52
in an electronic information system, and (iii) to identify and evaluate 
p
rotections and alternative processes for handling information to mitigate potential privacy risks.‖
53
If 
used effectively, a PIA should address confidentiality risks at every stage of the system development life 
cycle (SDLC).  Many organizations have established their own templates that provide the basis for 
conducting a PIA.  The following are some topics that are commonly addressed through the use of a PIA:     
What information is to be collected 
Why the information is being collected 
The intended use of the information 
With whom the information will be shared 
How the information will be secured 
What choices the agency made regarding an IT system or collection of information as a result of 
performing the PIA. 
4.2.3  De-Identifying Information 
Full data records are not always necessary, such as for some forms of research, resource planning, and 
examinations of correlations and trends.  The term de-identified information is used to describe records 
that have had enough PII removed or obscured, also referred to as masked or obfuscated, such that the 
remaining information does not identify an individual and there is no reasonable basis to believe that the 
information can be used to identify an individual.
54
De-identified information can be re-identified 
appropriate for preservation by that agency or its legitimate successor as evidence of the organization, functions, policies, 
decisions, procedures, operations, or other activities of the Government or because of the informational value of the data in 
them.‖  Agencies are required to create and maintain ―adequate and proper documentation‖ of their organization, mission, 
functions, etc., and may not dispose of records without the approval of the Archivist of the United States.  This approval is 
granted through the General Records Schedules (GRS) and agency specific records schedules.   
51
 For more information on media sanitization, see NIST SP 800-88, Guidelines for Media Sanitization
http://csrc.nist.gov/publications/nistpubs/800-88/NISTSP800-88_rev1.pdf
52
 See Appendix C for additional information about information in identifiable form (IIF). 
53
 OMB M-03-22, Guidance for Implementing the Privacy Provisions of the E-Government Act of 2002
http://www.whitehouse.gov/omb/memoranda/m03-22.html
.  For additional PIA information specific to Federal agencies, see 
Appendix B. 
54
 For the purpose of analysis, the definition for de-identified information used in this document is loosely based on the 
requirements for de-identified data defined in the HIPAA Privacy Rule, and it is generalized to apply to all PII.  This 
definition differs from the HIPAA definition in that it is applied to all PII and does not specifically require the removal of all 
18 data elements described by the HIPAA Privacy Rule.  The HIPAA Privacy Rule recognizes two ways to de-identify data 
such that it is no longer considered to be protected health information (PHI).  First, 18 specific fields can be removed, such 
as name, SSN, and phone number.  Second, a person with appropriate knowledge and experience in statistical methods 
G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
4-5 
(rendered distinguishable) by using a code, algorithm, or pseudonym that is assigned to individual 
records.  The code, algorithm, or pseudonym should not be derived from other related information
55
about 
the individual, and the means of re-identification should only be known by authorized parties and not 
disclosed to anyone without the authority to re-identify records.  A common de-identification technique 
for obscuring PII is to use a one-way cryptographic function, also known as a hash function, on the PII.
56
De-identified information can be assigned a PII confidentiality impact level of low , as long as the 
following are both true: 
The re-identification algorithm, code, or pseudonym is maintained in a separate system, with 
appropriate controls in place to prevent unauthorized access to the re-identification information.  
The data elements are not linkable, via public records or other reasonably available external records, 
in order to re-identify the data.  
For example, de-identification could be accomplished by removing account numbers, names, SSNs, and 
any other identifiable information from a set of financial records.  By de-identifying the information, a 
trend analysis team could perform an unbiased review on those records in the system without 
compromising the PII or providing the team with the ability to identify any individual.  Another example 
is using health care test results in research analysis.  All of the identifying PII fields can be removed, and 
the patient ID numbers can be obscured using pseudo-random data that is associated with a cross-
reference table located in a separate system.  The only means to reconstruct the original (complete) PII 
records is through authorized access to the cross-reference table. 
Additionally, de-identified information can be aggregated for the purposes of statistical analysis, such as 
making comparisons, analyzing trends, or identifying patterns.  An example is the aggregation and use of 
multiple sets of de-identified data for evaluating several types of education loan programs.  The data 
describes characteristics of loan holders, such as age, gender, region, and outstanding loan balances.  With 
this dataset, an analyst could draw statistics showing that 18,000 women in the 30-35 age group have 
outstanding loan balances greater than $10,000.  Although the original dataset contained distinguishable 
identities for each person, the de-identified and aggregated dataset would not contain linked or readily 
identifiable data for any individual.  
4.2.4  Anonymizing Information 
Anonymized information
57
is defined as previously identifiable information that has been de-identified and 
for which a code or other association for re-identification no longer exists.
58
Anonymizing information 
applies de-identification methods, determines the risk is very small, and documents the justification.  45 C.F.R. § 164.514, 
http://www.hhs.gov/ocr/privacy/hipaa/administrative/privacyrule/index.html
55
 This is not intended to exclude the application of cryptographic hash functions to the information. 
56
 Hashing may not be appropriate for de-identifying information covered by HIPAA.  45 C.F.R. § 164.514 (c)(1) specifically 
excludes de-identification techniques where the code is derived from the PII itself.  Organizations should consult their legal 
counsel for legal requirements related to de-identification and anonymization. 
57
 For additional information about anonymity, see: A. Pfitzmann and M. Hansen, A Terminology for Talking about Privacy by 
Data Minimization: Anonymity, Unlinkability, Undetectability, Unobservability, Pseudonymity, and Identity Management
updated 2009, http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.32.pdf
58
 Based on the Common Rule, which governs confidentiality requirements for research, 15 C.F.R. Part 27.  Some 
organizations do not distinguish between the terms de-identified and anonymized information and use them interchangeably.  
Additionally, the amount of information available publicly and advances in computational technology make full anonymity 
of released datasets (e.g., census data and public health data) difficult to accomplish.  For additional information, see: 
American Statistical Association, 
Data Access and Personal Privacy: Appropriate Methods of Disclosure Control
December 6, 2008, http://www.amstat.org/news/statementondataaccess.cfm
.  
G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
4-6 
usually involves the application of statistical disclosure limitation techniques
59
to ensure the data cannot 
be re-identified, such as:
60
Generalizing the Data
Making information less precise, such as grouping continuous values  
Suppressing the Data
Deleting an entire record or certain parts of records 
Introducing Noise into the Data
Adding small amounts of variation into selected data 
Swapping the Data
Exchanging certain data fields of one record with the same data fields of 
another similar record (e.g., swapping the ZIP codes of two records) 
Replacing Data with the Average Value
Replacing a selected value of data with the average value 
for the entire group of data. 
Using these techniques, the information is no longer PII, but it can retain its useful and realistic 
properties.
61
Anonymized information is useful for system testing.
62
Systems that are newly developed, newly 
purchased, or upgraded require testing before being introduced to their intended production (or live) 
environment.  Testing generally should simulate real conditions as closely as possible to ensure the new 
or upgraded system runs correctly and handles the projected system capacity effectively.  If PII is used in 
the test environment, it is required to be protected at the same level that it is protected in the production 
environment, which can add significantly to the time and expense of testing the system. 
Randomly generating fake data in place of PII to test systems is often ineffective because certain 
properties and statistical distributions of PII may need to be retained to effectively test the system.  There 
are tools available that substitute PII with synthetic data generated by anonymizing PII.  The anonymized 
information retains the useful properties of the original PII, but the anonymized information is not 
considered to be PII.  Anonymized data substitution is a privacy-specific protection measure that enables 
system testing while reducing the expense and added time of protecting PII.  However, not all data can be 
readily anonymized (e.g., biometric data).         
4.3  Security Controls 
In addition to the PII-specific safeguards described earlier in this section, many types of security controls 
are available to safeguard the confidentiality of PII.  Providing reasonable security safeguards is also a 
Fair Information Practice.  Security controls are often already implemented on a system to protect other 
types of data processed, stored, or transmitted by the system.  The security controls listed in NIST SP 
800-53 address general protections of data and systems.  The items listed below are some of the NIST SP 
800-53 controls that can be used to help safeguard the confidentiality of PII.  Note that some of these 
59
 Both anonymizing and de-identifying should be conducted by someone with appropriate training.  It may be helpful, as 
appropriate, to consult with a statistician to assess the level of risk with respect to possible unintended re-identification and 
improper disclosure.  For additional information on statistical disclosure lim
itation techniques, see OMB‘s Statistical Policy 
Working Paper #22, http://www.fcsm.gov/working-papers/spwp22.html
 See also Census Bureau, Report on Confidentiality 
and Privacy 1790-2002, http://www.census.gov/prod/2003pubs/conmono2.pdf. 
60
The Federal Committee on Statistical Methodology provides a checklist to assist in the assessment of risk for re-
identification and improper disclosure.  For additional information, see the Federal Committee on Statistical Methodology: 
Confidentiality and Data Access Committee, Checklist on Disclosure Potential of Data Releases
http://www.fcsm.gov/committees/cdac/
61
 The retention of useful properties in anonymized data is dependent upon the statistical disclosure limitation technique 
applied. 
62
Anonymization is also commonly used by agencies to release datasets to the public for research purposes.
G
UIDE TO 
P
ROTECTING THE 
C
ONFIDENTIALITY OF 
P
ERSONALLY 
I
DENTIFIABLE 
I
NFORMATION 
(PII)
4-7 
controls may not be in the recommended set of security controls for the baselines identified in NIST SP 
800-53 (e.g., a control might only be recommended for high-impact systems).  However, organizations 
may choose to provide greater protections than what is recommended; see Section 3.2 for a discussion of 
factors to consider when choosing the appropriate controls.  In addition to the controls listed below, NIST 
SP 800-53 contains many other controls that can be used to help protect PII, such as incident response 
controls.   
Access Enforcement (AC-3).  Organizations can control access to PII through access control policies 
and access enforcement mechanisms (e.g., access control lists).  This can be done in many ways.  One 
example is implementing role-based access control and configuring it so that each user can access 
only the pieces of data necessary for the user‘s role.  Another example is only permitting
users to 
access PII through an application that tightly restricts their access to the PII, instead of permitting 
users to directly access the databases or files containing PII.
63
Encrypting stored information is also 
an option for implementing access enforcement.
64
OMB M-07-16 specifies that Federal agencies 
must ―encrypt, using only NIST certified cryptographic modules, all data on mobile 
computers/devices carrying agency data unless the data is determined not to be sensitive, in writing, 
by your Deputy Secretary or a senior-
level individual he/she may designate in writing‖.
Separation of Duties (AC-5).  Organizations can enforce separation of duties for duties involving 
access to PII.  For example, the users of de-identified PII data would not also be in roles that permit 
them to access the information needed to re-identify the records.  
Least Privilege (AC-6).  Organizations can enforce the most restrictive set of rights/privileges or 
accesses needed by users (or processes acting on behalf of users) for the performance of specified 
tasks.  Concerning PII, the organization can ensure that users who must access records containing PII 
only have access to the minimum amount of PII, along with only those privileges (e.g., read, write, 
execute) that are necessary to perform their job duties. 
Remote Access (AC-17).  Organizations can choose to prohibit or strictly limit remote access to PII.  
If remote access is permitted, the organization should ensure that the communications are encrypted. 
User-Based Collaboration and Information Sharing (AC-21).  Organizations can provide 
automated mechanisms to assist users in determining whether access authorizations match access 
restrictions, such as contractually-based restrictions, for PII.   
Access Control for Mobile Devices (AC-19).  Organizations can choose to prohibit or strictly limit 
access to PII from portable and mobile devices, such as laptops, cell phones, and personal digital 
assistants (PDA), which are generally higher-risk than non-portable devices (e.g., desktop computers 
at the organization‘s facilities).  Some organizations may choose to restrict remote access involving 
higher-
impact instances of PII so that the information will not leave the organization‘s physical 
boundaries.  If access is permitted, the organization can ensure that the devices are properly secured 
and regularly scan the devices to verify their security status (e.g., anti-malware software enabled and 
up-to-date, operating system fully patched).   
Auditable Events (AU-2).  Organizations can monitor events that affect the confidentiality of PII, 
such as unauthorized access to PII.  
63
For example, suppose that an organization has a database containing thousands of records on employees‘ benefits.  Instead 
of allowing a user to have full and direct access to the database, which could allow the user to save extracts of the database 
records to the user‘s computer, removable media, or other locations, the organization could permit the user to access only 
the necessary records and record fields.  A user could be restricted to accessing only general demographic information and 
not any information related to the employees‘ identities.  
64
 Additional encryption guidelines and references can be found in FIPS 140-2: Security Requirements for Cryptographic 
Moduleshttp://csrc.nist.gov/publications/PubsFIPS.html
Documents you may be interested
Documents you may be interested