ISO/IEC 20889 비식별 처리 표준 개발 동향

정보 식별성 분류

1. 개인 식별 정보: 주어진 정보를 통하여 특정인으로서 같은 사람이라는 것을 식별하는 정보

2. 개인 식별가능 정보: 개인 식별 정보를 포함하여 주어진 정보를 통하여 특정인의 것으로 식별 가능한 잠재적 위험을 내포하는 정보

3. 특정인으로 식별 불가능한 정보

 

비식별 개념

1. 특정인의 것으로 식별되는 정보를 개인 식별 가능 정보로 처리하는 프로세스

2. 특정인의 것으로 식별되는 정보를 개인 식별 불가능한 정보로 처리하는 프로세스

3. 개인 식별가능 정보를 개인 식별 불가능한 다른 정보로 처리하는 프로세스

 

식별자 개념

지역 식별자 : 데이터셋에서 특정 개인을 식별가능토록 하는 속성들의 집합

직접 식별자: 일정 문맥하의 정보안에서 그 자체로 특정 개인을 유일하게 식별하는 속성

- 유일 식별자: 직접 식별자 중에서 데이터셋에서 그 자체로 동일 개인을 식별가능한 속성 (가명화처리된 일련번호)

준 식별자: 데이터셋 내부 혹은 외부의 다른 속성과 결합하여 특정 개인을 식별하는 속성(예: 생일, 우편번호, 성별)

- 지역 준 식별자: 데이터셋 내에서 혹은 데이터셋에 포함된 다른 속성과 결합하여 동일 개인을 식별 가능한 속성

 

---

공격자 구분

1. Re-identify a record belonging to a specific data principal, possibly using pre-existing knowledge.
NOTE 1 Such an attack is sometimes referred to as a “Prosecutor attack”
2. Re-identify the data principal of a specific record, possibly using pre-existing knowledge.
NOTE 2 Such an attack is sometimes referred to as a “Journalist attack” or a “Journalist risk”
3. Re-identify as many records with their corresponding data principals as possible, possibly using pre-existing knowledge.
NOTE 3 Such an attack is sometimes referred to as a “Marketer attack” or “Marketer risk”
4. Establish the presence of a specific data principal in a dataset.
NOTE 4 Such an attack is sometimes referred to as a “(In-)distinguishability attack” or a “data membership attack”) 
5. Deduce a sensitive attribute associated with a group of other attributes.
NOTE 5 Such an attack is sometimes referred to as a “inference attack” 

Prosecutor Attack 사전 지식을 가지고 특정 데이터 주체에 속하는 레코드를 재식별하는 공격 모델

Journalist Attack 사전 지식을 가지고 특정 레코드의 데이터 주체를 재식별하는 공격 모델

Marketer Attack 사전 지식을 가지고 가능한 많은 레코드를 가지고 해당 데이터 주체를 재식별하는 공격 모델

(In)distinguishability Attack 데이터셋의 특정 주체의 존재 여부를 확인하는 공격 모델

Inference Attack 다른 속성 그룹과 관련있는 민감정보에서 추론하는 공격 모델

---

De-identification techniques

통계 도구활용

1. 표본 추출(sampling)

2. 통계처리(aggregation)

 

암호 도구 활용

1. 결정성 암호화(deterministic encryption)

2. 순서보존 암호화(order-preserving encryption)

3. 형식보존 암호화(format-preserving encryption)

4. 동형 암호(homomorphic encryption)

5. 동형 비밀분산(homomorphic secret sharing)

 

삭제 기술

1. 마스킹(masking)

2. 로컬 삭제(local suppression)

3. 레코드 삭제(record suppression)

가명화 기술

1. Pseudonymization techniques

해부화

1. Anatomization

일반화 기술

1. 라운딩(rounding)

2. 상하단코딩(top and bottom coding)

3. 속성집합을 단일 속성값으로 결합(combining a set of attributes into a single attribute)

4. 로컬 일반화(local generalization)

무작위화 기술

1. 잡음 추가(noise addition)

2. 순열(permutation)

3. 미세집합(microaggregation)

합성 데이터

1. Synthetic data

 

---

Formal privacy measurement models

1. K-anonimity model

2. L-diversity

3. T-closeness

 

---

Differential privacy model

1. server model

2. local model

 

Key considerations for a Differentially Private System

1. Probability distribution

2. Sensitivity

3. Privacy budget

4. Cumulative privacy loss

---

Liniear Sensitivity model

1. Threshold rule

2. Dominance rule

3. Ambiguity rule

 

---

General principles for application of de-identification techniques

1. Sampling considerations

2. Aggregated vs microdata

3. Classification of attributes

4. Handling of direct identifiers

5. Handling of remaining attributes

6. Privacy guarantee models

---

Additional technical or organizational measures

1. Data flow scenarios

2. Access to de-identified data

3. Controlled re-identification

 

Technique name	Data truthfulness at record level	Applicable to types of values	Applicable to types of attributes	Reduces the risk of
				Singling out	Linking	Inference
Statistical tools
Sampling
Aggregation	N/A	Continuous, discrete	All attributes	Yes	Yes	Yes
Cryptographic tools	Yes
Deterministic encryption	Yes	All	All attributes	No	Partially	No
Order-preserving encryption	Yes	All	All attributes	No	Partially	No
Homomorphic encryption	Yes	All	All attributes	No	No	No
Homomorphic secret sharing	Yes	All	All attributes	No	No	No
Suppression	Yes
Masking	Yes	Categorical	Local identi- fiers	Yes	Partially	No
Local suppression	Yes	Categorical	Identifying at- tributes	Partially	Partially	Partially
Record suppression	Yes	N/A	N/A	Partially	Partially	Partially
Sampling	Yes	N/A	N/A	Partially a	Partially	Partially
Pseudonymization	Yes	Categorical	Direct identi- fiers	No	Partially	No
Generalization	Yes	All, subject to meaning	Identifying at- tributes
Rounding	Yes	Continuous	Identifying at- tributes	No	Partially	Partially
Top/bottom coding	Yes	Continuous, ordinal	Identifying at- tributes	No	Partially	Partially
Randomization	No	Identifying at- tributes
Noise addition	No	Continuous	Identifying at- tributes	Partially	Partially	Partially
a If the data principal record is not included in the sample. b Unless K-anonymity is implemented using microaggregation. N/A Not applicable.

 

Technique name	Data truthfulness at record level	Applicable to types of values	Applicable to types of attributes	Reduces the risk of
				Singling out	Linking	Inference
Permutation	No	All	Identifying at- tributes	Partially	Partially	Partially
Micro aggregation	No	Continuous	Indirect identi- fiers, and all attributes	No	Partially	Partially
Differential privacy	No	All	Identifying at- tributes	Yes	Yes	Partially
K-anonymity	Yes b	All	Quasi identi- fiers	Yes	Partially	No
a If the data principal record is not included in the sample. b Unless K-anonymity is implemented using microaggregation. N/A Not applicable.