프라이버시 엔지니어링

Privacy engineering

프라이버시 엔지니어링은 시스템이 허용 가능한 수준의 프라이버시를 제공하는 방법론, 도구 및 기술을 제공하는 것을 목적으로 하는 새로운 엔지니어링 분야입니다.

미국에서는 프라이버시 정책을 통해 정해진 기능적 요건과 비기능적 요건을 준수한다는 관점에서 허용 가능한 프라이버시 수준이 정의됩니다.이는 데이터 관리 주체가 공정한 정보 관행, 의료 기록 보안 규제 및 기타 프라이버시 법률에 대한 컴플라이언스를 표시하는 계약상 아티팩트입니다.s. 단, EU에서는 GDPR(General Data Protection Regulation)이 충족해야 할 요건을 정한다.다른 국가에서는 프라이버시 및 데이터 보호법의 현지 구현에 따라 요건이 달라집니다.

정의 및 범위

NIST(National Institute of Standards and Technology)가 제공하는 프라이버시 엔지니어링의 정의는 다음과 같습니다.[1]

프라이버시 리스크를 경감하기 위해 사용할 수 있는 가이던스를 제공하는 것에 중점을 두고 있습니다.또, 정보 시스템에서의 자원 할당과 제어의 효과적인 실장에 관한 목적 있는 의사결정을 조직이 실시할 수 있도록 합니다.

프라이버시는 법적 영역으로서 발전해 왔지만, 프라이버시 엔지니어링은 정보 시스템의 도입에 있어서 해당 프라이버시 법률을 실시할 필요성이 확실히 요구되고 있기 때문에, 최근 몇 년 사이에 실제로 표면화되고 있다.예를 들어, IPEN은 이 점에 관한 자신의 입장을 다음과 [2]같이 정리합니다.

개발 중에 프라이버시 문제에 주의를 기울이지 않는 이유 중 하나는 적절한 도구와 베스트 프랙티스가 부족하기 때문입니다.개발자는 시장 투입 시간과 노력을 최소화하기 위해 신속하게 제공해야 하며, 개인 정보 보호상의 결함에도 불구하고 기존 구성요소를 재사용하는 경우가 많습니다.유감스럽게도 프라이버시 친화적인 애플리케이션 및 서비스를 위한 구성요소는 거의 없으며 보안도 취약할 수 있습니다.

프라이버시 엔지니어링은 프로세스 관리, 보안, 온톨로지소프트웨어 [3]엔지니어링과 같은 측면을 포함합니다.이러한 기능의 실제 [4]적용은 필요한 법령 준수, 프라이버시 정책 및 설계별 프라이버시 등의 '매니페스토'에서 비롯됩니다.

PbD와 프라이버시 엔지니어링의 관계

보다 높은 구현 수준을 위해 프라이버시 엔지니어링은 데이터의 익명화와 식별 해제를 가능하게 하는 프라이버시 강화 기술을 사용합니다.프라이버시 엔지니어링에서는 적절한 보안 엔지니어링 방식을 도입해야 하며 보안 기술을 사용하여 프라이버시 측면을 구현할 수 있습니다.프라이버시 영향 평가는 이 컨텍스트의 다른 도구이며, 그 사용이 프라이버시 엔지니어링이 실시되고 있음을 의미하는 것은 아닙니다.

한 가지 관심 분야는 소프트웨어, 정보 시스템 및 데이터 세트에 적용할 때 충분하고 상세한 의미가 결여된 개인 데이터, 개인 식별 정보, 익명화 및 의사 익명과 같은 용어의 적절한 정의와 적용이다.

정보 시스템 프라이버시의 또 다른 측면은 감시, 빅데이터 수집, 인공지능 등에 특히 관심을 가지고 이러한 시스템을 윤리적으로 사용하는 것입니다.프라이버시 및 프라이버시 엔지니어링 커뮤니티의 일부 구성원은 윤리 엔지니어링의 개념을 옹호하거나 감시를 목적으로 하는 시스템에 프라이버시를 엔지니어링할 가능성을 거부합니다.

소프트웨어 엔지니어는 법적 규범을 현재의 테크놀로지로 해석할 때 종종 문제에 직면합니다.법적 요건은 본질적으로 기술에 대해 중립적이며, 법적 충돌이 발생할 경우 법원은 기술과 개인 정보 보호 관행에 대한 현재 상태를 고려하여 해석할 것입니다.

핵심 프랙티스

이 특정 분야는 아직 초기 단계에 있으며 법적 측면이 다소 우세하기 때문에 다음 목록은 프라이버시 엔지니어링의 기반이 되는 주요 영역의 개요에 불과합니다.

상기 영역의 통합적 개발이 이루어지지 않음에도 불구하고, 프라이버시 [7][8][9]엔지니어링의 트레이닝을 위한 코스는 이미 존재합니다.IEEE 보안 및 프라이버시에 관한 심포지엄과 공동으로 개최된 프라이버시 엔지니어링에 관한 국제 워크숍은 "정보 [10][11][12]시스템을 엔지니어링하면서 프라이버시 문제를 포착하고 대처하기 위한 접근방식을 체계화하고 평가하는 데 있어 연구와 실무의 차이"에 대처하는 장을 제공합니다.

프라이버시 엔지니어링에는 몇 가지 접근법이 있습니다.LINDUN[13] 방법론은 위험에 처한 개인 데이터 흐름을 식별하여 [14][15]개인 정보 제어로 보호하는 개인 정보 엔지니어링에 대한 위험 중심적 접근법을 취합니다.GPR 해석에 대한 지침은 적절한 프라이버시 설계 [18][19]패턴을 식별하기 위한 목적으로 GPR을 소프트웨어 엔지니어링[17] 세력에 매핑하는 의사결정[17] 도구로 코드화된 GPR [16]리사이틀에 제공되어 왔다.또 하나의 접근방식은 8가지 프라이버시 설계 전략(4가지 기술 전략과 4가지 관리 전략)을 사용하여 데이터를 보호하고 데이터 주체 [20]권한을 구현합니다.

정보의 양상

프라이버시 엔지니어링은 특히 다음 측면 또는 온톨로지 및 소프트웨어[21] 구현과의 관계에 대한 정보 처리에 관여합니다.

  • 데이터 처리 온톨로지
  • Information Type Ontologies (PII 또는 머신 타입이 아닌)
  • 컨트롤러와[22] 프로세서의 개념
  • 권한과 정체성의 개념(데이터의 소스에 대한 확고한)
  • 데이터[23] 주체의 개념을 포함한 정보 제공
  • 정보의 목적, viz: 프라이머리 수집과 세컨더리 수집
  • 정보 및 데이터 세트의 의미론(소음 및 익명화 참조)
  • 정보의 이용

또한 위의 사항이 보안 분류, 위험 분류에 어떻게 영향을 미치는지, 따라서 시스템 내의 보호 및 흐름 수준에 영향을 미치는지 측정하거나 계산할 수 있다.

프라이버시의 정의

프라이버시는 법적 측면이 지배적인 영역이지만 표면적으로는 엔지니어링 기술, 규율 및 기술을 사용하여 구현해야 합니다.프라이버시 엔지니어링은 전체적인 분야로서 프라이버시를 법적 측면이나 엔지니어링 측면뿐만 아니라 그 통일성뿐만 아니라 다음 [24]영역을 활용하는 것으로부터 그 기초를 다지고 있습니다.

  • 철학적인 측면으로서의 프라이버시
  • 경제적 측면, 특히 게임 이론으로서의 프라이버시
  • 사회학적 측면으로서의 사생활

법적 근거

프라이버시 엔지니어링의 기술적 진보의 원동력은 일반적인 프라이버시 법률과 다양한 특정 법률 행위에서 비롯됩니다.

「 」를 참조해 주세요.

주 및 참고 자료

  1. ^ "Privacy Engineering at NIST". NIST. Retrieved 3 May 2015.
  2. ^ Internet Privacy Engineering Network. "Background and purpose". Retrieved 9 May 2015. {{cite web}}: last1=범용명(도움말)이 있습니다.
  3. ^ Oliver, Ian (July 2014). Privacy Engineering: A Dataflow and Ontological Approach (1st ed.). CreateSpace. ISBN 978-1497569713. Archived from the original on 14 March 2018. Retrieved 3 May 2015.
  4. ^ Gürses, Seda; Troncoso, Carmela; Diaz, Claudia (2011). Engineering Privacy by Design (PDF). International Conference on Privacy and Data Protection (CPDP) Book. Retrieved 11 May 2015.
  5. ^ Dennedy, Fox, Finneran (2014-01-23). The Privacy Engineer's Manifesto (1st ed.). APress. ISBN 978-1-4302-6355-5.{{cite book}}: CS1 maint: 여러 이름: 작성자 목록(링크)
  6. ^ MITRE Corp. "Privacy Engineering Framework". Archived from the original on 4 May 2015. Retrieved 4 May 2015.
  7. ^ "MSIT-Privacy Engineering". Carnegie Mellon University.
  8. ^ "Privacy Engineering". cybersecurity.berkeley.edu. University of California, Berkeley.
  9. ^ Oliver, Ian (17 March 2015). "Introduction to Privacy and Privacy Engineering". EIT Summer School, University of Brighton. Retrieved 9 May 2015.
  10. ^ "International Workshop on Privacy Engineering". IEEE Security.
  11. ^ "IEEE Symposium on Security and Privacy". IEEE Security.
  12. ^ Gurses, Del Alamo (Mar 2016). "Privacy Engineering: Shaping an Emerging Field of Research and Practice". 14 (2). IEEE Security and Privacy. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  13. ^ "HOME". LINDDUN.
  14. ^ "A LINDDUN-Based framework for privacy threat analysis on identification and authentication processes". Computers & Security.
  15. ^ Wuyts, K. & Joosen, W. (2015년)LINDUN 프라이버시 위협 모델링: 튜토리얼.CW 리포트2019-12-10에 접속
  16. ^ "Recitals of the GDPR (General Data Protection Regulation)".
  17. ^ a b https://privacypatterns.cs.ru.nl/tool/
  18. ^ Colesky, M.; Demetzou, K.; Fritsch, L.; Herold, S. (2019-03-01). "Helping Software Architects Familiarize with the General Data Protection Regulation". 2019 IEEE International Conference on Software Architecture Companion (ICSA-C): 226–229. doi:10.1109/ICSA-C.2019.00046. ISBN 978-1-7281-1876-5. S2CID 155108256.
  19. ^ Lenhard, J.; Fritsch, L.; Herold, S. (2017-08-01). "A Literature Study on Privacy Patterns Research". 2017 43rd Euromicro Conference on Software Engineering and Advanced Applications (SEAA): 194–201. doi:10.1109/SEAA.2017.28. ISBN 978-1-5386-2141-7. S2CID 26302099.
  20. ^ Colesky, M.; Hoepman, J.; Hillen, C. (2016-05-01). "A Critical Analysis of Privacy Design Strategies". 2016 IEEE Security and Privacy Workshops (SPW): 33–40. doi:10.1109/SPW.2016.23. ISBN 978-1-5090-3690-5. S2CID 15713950.
  21. ^ Stanford Encyclopedia of Philosophy. "Semantic Conceptions of Information". Retrieved 9 May 2015.
  22. ^ Article 29 Data Protection Working Party (16 February 2010). "Opinion 1/2010 on the concepts of "controller" and "processor"". 00264/10/EN WP 169. {{cite journal}}:Cite 저널 요구 사항 journal=(도움말)
  23. ^ Paul Groth, Luc Moreau. "An Overview of the PROV Family of Documents". W3C. Retrieved 10 May 2015.
  24. ^ Gurses, Seda; del Alamo, Jose M. (March 2016). "Privacy Engineering: Shaping an Emerging Field of Research and Practice". IEEE Security & Privacy. 14 (2): 40–46. doi:10.1109/MSP.2016.37. ISSN 1540-7993. S2CID 10983799.
  25. ^ "Privacy by design Karlstads universitet". www.kau.se.
  26. ^ Fischer-Hübner, Simone; Martucci, Leonardo A.; Fritsch, Lothar; Pulls, Tobias; Herold, Sebastian; Iwaya, Leonardo H.; Alfredsson, Stefan; Zuccato, Albin (2018). Drevin, Lynette; Theocharidou, Marianthi (eds.). "A MOOC on Privacy by Design and the GDPR" (PDF). Information Security Education – Towards a Cybersecure Society. IFIP Advances in Information and Communication Technology. Springer International Publishing. 531: 95–107. doi:10.1007/978-3-319-99734-6_8. ISBN 978-3-319-99734-6.