-
ISO/IEC 20889 비식별 처리 표준 개발 동향GDPR 2020. 8. 1. 19:44728x90
정보 식별성 분류
1. 개인 식별 정보: 주어진 정보를 통하여 특정인으로서 같은 사람이라는 것을 식별하는 정보
2. 개인 식별가능 정보: 개인 식별 정보를 포함하여 주어진 정보를 통하여 특정인의 것으로 식별 가능한 잠재적 위험을 내포하는 정보
3. 특정인으로 식별 불가능한 정보
비식별 개념
1. 특정인의 것으로 식별되는 정보를 개인 식별 가능 정보로 처리하는 프로세스
2. 특정인의 것으로 식별되는 정보를 개인 식별 불가능한 정보로 처리하는 프로세스
3. 개인 식별가능 정보를 개인 식별 불가능한 다른 정보로 처리하는 프로세스
식별자 개념
지역 식별자 : 데이터셋에서 특정 개인을 식별가능토록 하는 속성들의 집합
직접 식별자: 일정 문맥하의 정보안에서 그 자체로 특정 개인을 유일하게 식별하는 속성
- 유일 식별자: 직접 식별자 중에서 데이터셋에서 그 자체로 동일 개인을 식별가능한 속성 (가명화처리된 일련번호)
준 식별자: 데이터셋 내부 혹은 외부의 다른 속성과 결합하여 특정 개인을 식별하는 속성(예: 생일, 우편번호, 성별)
- 지역 준 식별자: 데이터셋 내에서 혹은 데이터셋에 포함된 다른 속성과 결합하여 동일 개인을 식별 가능한 속성
공격자 구분
1. Re-identify a record belonging to a specific data principal, possibly using pre-existing knowledge.
NOTE 1 Such an attack is sometimes referred to as a “Prosecutor attack”
2. Re-identify the data principal of a specific record, possibly using pre-existing knowledge.
NOTE 2 Such an attack is sometimes referred to as a “Journalist attack” or a “Journalist risk”
3. Re-identify as many records with their corresponding data principals as possible, possibly using pre-existing knowledge.
NOTE 3 Such an attack is sometimes referred to as a “Marketer attack” or “Marketer risk”
4. Establish the presence of a specific data principal in a dataset.
NOTE 4 Such an attack is sometimes referred to as a “(In-)distinguishability attack” or a “data membership attack”)
5. Deduce a sensitive attribute associated with a group of other attributes.
NOTE 5 Such an attack is sometimes referred to as a “inference attack”Prosecutor Attack 사전 지식을 가지고 특정 데이터 주체에 속하는 레코드를 재식별하는 공격 모델
Journalist Attack 사전 지식을 가지고 특정 레코드의 데이터 주체를 재식별하는 공격 모델
Marketer Attack 사전 지식을 가지고 가능한 많은 레코드를 가지고 해당 데이터 주체를 재식별하는 공격 모델
(In)distinguishability Attack 데이터셋의 특정 주체의 존재 여부를 확인하는 공격 모델
Inference Attack 다른 속성 그룹과 관련있는 민감정보에서 추론하는 공격 모델
De-identification techniques
통계 도구활용
1. 표본 추출(sampling)
2. 통계처리(aggregation)
암호 도구 활용
1. 결정성 암호화(deterministic encryption)
2. 순서보존 암호화(order-preserving encryption)
3. 형식보존 암호화(format-preserving encryption)
4. 동형 암호(homomorphic encryption)
5. 동형 비밀분산(homomorphic secret sharing)
삭제 기술
1. 마스킹(masking)
2. 로컬 삭제(local suppression)
3. 레코드 삭제(record suppression)
가명화 기술
1. Pseudonymization techniques
해부화
1. Anatomization
일반화 기술
1. 라운딩(rounding)
2. 상하단코딩(top and bottom coding)
3. 속성집합을 단일 속성값으로 결합(combining a set of attributes into a single attribute)
4. 로컬 일반화(local generalization)
무작위화 기술
1. 잡음 추가(noise addition)
2. 순열(permutation)
3. 미세집합(microaggregation)
합성 데이터
1. Synthetic data
Formal privacy measurement models
1. K-anonimity model
2. L-diversity
3. T-closeness
Differential privacy model
1. server model
2. local model
Key considerations for a Differentially Private System
1. Probability distribution
2. Sensitivity
3. Privacy budget
4. Cumulative privacy loss
Liniear Sensitivity model
1. Threshold rule
2. Dominance rule
3. Ambiguity rule
General principles for application of de-identification techniques
1. Sampling considerations
2. Aggregated vs microdata
3. Classification of attributes
4. Handling of direct identifiers
5. Handling of remaining attributes
6. Privacy guarantee models
Additional technical or organizational measures
1. Data flow scenarios
2. Access to de-identified data
3. Controlled re-identification
Technique name
Data truthfulness at record level
Applicable to types of values
Applicable to types of attributes
Reduces the risk of
Singling out
Linking
Inference
Statistical tools
Sampling
Aggregation
N/A
Continuous, discrete
All attributes
Yes
Yes
Yes
Cryptographic tools
Yes
Deterministic encryption
Yes
All
All attributes
No
Partially
No
Order-preserving encryption
Yes
All
All attributes
No
Partially
No
Homomorphic encryption
Yes
All
All attributes
No
No
No
Homomorphic secret sharing
Yes
All
All attributes
No
No
No
Suppression
Yes
Masking
Yes
Categorical
Local identi- fiers
Yes
Partially
No
Local suppression
Yes
Categorical
Identifying at- tributes
Partially
Partially
Partially
Record suppression
Yes
N/A
N/A
Partially
Partially
Partially
Sampling
Yes
N/A
N/A
Partially
a
Partially
Partially
Pseudonymization
Yes
Categorical
Direct identi- fiers
No
Partially
No
Generalization
Yes
All, subject to meaning
Identifying at- tributes
Rounding
Yes
Continuous
Identifying at- tributes
No
Partially
Partially
Top/bottom coding
Yes
Continuous, ordinal
Identifying at- tributes
No
Partially
Partially
Randomization
No
Identifying at- tributes
Noise addition
No
Continuous
Identifying at- tributes
Partially
Partially
Partially
a
If the data principal record is not included in the sample.
b Unless K-anonymity is implemented using microaggregation. N/A Not applicable.
Technique name
Data truthfulness at record level
Applicable to types of values
Applicable to types of attributes
Reduces the risk of
Singling out
Linking
Inference
Permutation
No
All
Identifying at- tributes
Partially
Partially
Partially
Micro aggregation
No
Continuous
Indirect identi- fiers, and all attributes
No
Partially
Partially
Differential privacy
No
All
Identifying at- tributes
Yes
Yes
Partially
K-anonymity
Yes
b
All
Quasi identi- fiers
Yes
Partially
No
a
If the data principal record is not included in the sample.
b Unless K-anonymity is implemented using microaggregation. N/A Not applicable.
'GDPR' 카테고리의 다른 글
NISTIR 8053 (0) 2020.08.01 개인정보 비식별화 안내서 (0) 2020.08.01