가명화

Pseudonymization

가명화데이터 기록 내의 개인 식별 가능 정보 필드를 하나 이상의 인공 식별자 또는 가명으로 대체하는 데이터 관리식별 해제 절차다.[1]교체된 각 필드 또는 교체된 필드의 컬렉션에 대한 가명 하나만 있으면 데이터 기록의 식별성이 떨어지는 동시에 데이터 분석데이터 처리에 적합한 상태를 유지할 수 있다.null

가명화(또는 유럽 지침에 따른 가명화, 철자법)는 개인정보의 안전한 데이터 저장에 대한 유럽연합(EU)의 새로운 GDPR(General Data Protection Regulations) 요구를 준수하는 한 방법이다.가명화된 데이터는 개인을 재식별할 수 있는 정보를 추가하면 원상복구가 가능하다.반대로 익명화는 데이터 집합 내의 개인에 대한 재식별을 방지하기 위한 것이다.[2]null

슈렘스 2세 판결의 영향

유럽 데이터 보호 감독자(EDPS)는 2021년 12월 9일 슈렘스 II 준수를 위한 상위 기술 보완책으로 가명화를 강조했다.[3]그로부터 2주도 채 지나지 않아 유럽연합(EU) 집행위원회는 가명화를 한국에 대한 동등성 결정의 필수 요소로 부각시켰는데, 이는 유럽연합(EU) 사법재판소(CJEU)의 슈렘스2 판결로 미국이 잃어버린 지위다.[4]

GDPR 준수 가명화의 중요성은 2021년 6월 유럽데이터보호위원회(EDPB)와 유럽위원회가 제3국(즉, 비 EU) cl을 사용할 때 EU 개인 데이터의 지속적인 합법적 사용을 위한 첨단 기술 보완책으로 GDPR 준수 가명화를 강조하면서 급격히 증가했다.CJEU의 "Schrems II" 판정에 따른 ud 프로세서 또는 원격 서비스 제공업체.[5] GDPR 및 최종 EDPB Schrems II Guidance에서 [6]Philogonization이라는 용어는 새로운 보호된 "상태"의 데이터를 필요로 하며, 다음과 같은 보호 결과를 생성한다.

(1) 특성 및 행동과 함께 직접, 간접 및 준 식별자를 보호한다.

(2) 현장 수준 대비 기록 및 데이터 세트 레벨에서 보호하여 데이터가 이동하는 곳(사용 중인 때를 포함)을 보호한다.

(3) 다양한 용도로 서로 다른 토큰을 동적으로 할당하여 높은 엔트로피(불확실성) 수준을 생성함으로써 모자이크 효과를 통한 무단 재식별으로부터 보호한다.null

이러한 보호의 조합은 GDPR [7]제4조 제5항에 따라 요구되고 최종 EDPB Schrems II 지침 제85(4)항에 의해 더 강조된 바와 같이 별도로 보관된 추가 정보를 사용하지 않고 데이터 주체의 재식별을 방지하기 위해 필요하다.[8]GDPR 준수 가명화는 가장 엄격한 EU의 의미에서 데이터가 "익명성(nonymous)"이라는 단어로, 즉 전 세계적으로 익명성이 없지만, 개별 데이터 주체의 재식별 허용에 대해 데이터 통제관이 승인한 통제된 조건에서 별도로 보유 및 이용할 수 있도록 하는 추가 정보에 대해 요구한다.[9]null

슈렘스 2세 판결 전 가명화는 보안 전문가나 정부 관계자가 개인정보를 숨겨 데이터 구조와 정보의 프라이버시를 유지하기 위해 사용하는 기법이었다.민감한 정보의 일반적인 예로는 우편번호, 개인의 위치, 개인의 이름, 인종과 성별 등이 있다.null

슈렘스 II 판결 후, GDPR 준수 가명화는 위에 언급된 요소들을 단순한 기법이 아닌 "발견"으로 만족시켜야 한다.null

데이터 필드

어떤 데이터 필드가 가명화되어야 하는지는 부분적으로 주관적이다.생년월일이나 우편번호와 같은 덜 선택적인 필드도 종종 포함된다. 왜냐하면 그것들은 보통 다른 출처로부터 제공되기 때문에 기록을 식별하기 더 쉽기 때문이다.이러한 식별이 적은 필드를 가명화하면 분석 가치가 대부분 제거되므로 일반적으로 생년월 또는 더 큰 우편번호 지역과 같이 식별이 덜하고 파생된 새로운 형태의 도입이 수반된다.null

출석일 등 식별력이 떨어지는 데이터 필드는 대개 가명화되지 않는다.이것은 너무 많은 통계적 효용성이 그렇게 하는데 상실되기 때문이지, 데이터를 식별할 수 없어서가 아니라는 것을 깨닫는 것이 중요하다.예를 들어, 몇 개의 출석 날짜에 대한 사전 지식이 있는 경우, 해당 날짜 패턴을 가진 사람만 선택하여 가명화된 데이터 집합에서 누군가의 데이터를 식별하는 것이 쉽다.이것은 추론 공격의 한 예다.null

추론 공격에 대한 GDPR 이전의 가명화된 데이터의 약점은 일반적으로 간과된다.대표적인 예가 AOL 검색 자료 스캔들이다.무단 재식별의 AOL 예는 "GDPR에 따른 가명화에 대한 새로운 정의" 절에 설명된 GDPR 준수 가명화에 필요한 데이터 제어기의 관리 하에 별도로 보관된 "추가 정보"에 대한 액세스를 요구하지 않았다.

통계적으로 유용한 가명화된 데이터를 재식별으로부터 보호하려면 다음이 필요하다.

  1. 건전한 정보 보안 기반
  2. 분석가, 연구원 또는 기타 데이터 작업자가 개인 정보 침해의 위험 통제

가명은 데이터의 출처를 추적할 수 있게 해 가명화와 익명화를 구분하는데,[10] 이 가명제는 역추적을 허용할 수 있는 모든 개인 관련 데이터가 제거된 곳이다.가명화는 예를 들어 임상 센터 간에 안전하게 전달되어야 하는 환자 관련 데이터에서 이슈가 된다.null

e-health에 가명화를 적용하는 것은 환자의 사생활데이터 기밀성을 보존하려는 것이다.그것은 공인된 의료 사업자에 의한 의료 기록의 일차적 사용을 허용하고 연구자에 의한 이차적 사용을 보존하는 프라이버시를 허용한다.[11]미국에서 HIPAA는 의료 데이터를 어떻게 처리해야 하는지에 대한 지침을 제공하며, HIPAA 컴플라이언스를 단순화하는 한 가지 방법이 데이터 식별 또는 가명화다.그러나 프라이버시 보존을 위한 일반 가명화는 종종 유전자 데이터가 관련될 때 한계에 도달한다(유전자 프라이버시 참조).유전 데이터의 식별 특성 때문에 비인격화는 해당 사람을 숨기기에 충분하지 않은 경우가 많다.잠재적 해결책은 가명화와 단편화 및 암호화의 결합이다.null

가명화 절차의 적용 예로는 식별된 단어를 같은 범주의 단어로 대체함으로써(예: 이름 사전에서 임의의 이름으로 대체)[12][13][14] 탈식별 연구를 위한 데이터셋을 만드는 것이 있으나, 이 경우 일반적으로 데이터를 그 기원으로 되돌리는 것은 불가능하다.null

GDPR의 가명화에 대한 새로운 정의

2018년 5월 25일부로 발효된 EU 일반 데이터 보호 규정(GDPR)은 제4조 5항 EU 차원에서 처음으로 가명화를 정의하고 있다.제4조 제5항 정의요건에 따라 데이터는 별도로 보관하는 '추가정보'를 사용하지 않고 특정 자료주체에 귀속할 수 없는 경우 가명화된다.가명화된 데이터는 직접 및 간접 식별자(직접뿐만 아니라)의 보호가 필요하기 때문에 설계별 및 기본값에 의한[15] 데이터 보호에서 기술 상태를 구현한다.설계에 의한 GDPR 데이터 보호와 가명화에 내재된 기본 원칙은 직접 및 간접 식별자를 모두 보호하여 컨트롤러가 별도로 보관하는 "추가 정보"에 접근하지 않고 "모사 효과"[16]를 통해 개인 데이터가 상호 참조(또는 재식별 가능)되지 않도록 해야 한다.재식별을 위해 별도로 보관된 "추가 정보"에 대한 액세스가 필요하기 때문에, 관제사가 적법한 목적만을 지원하도록 특정 데이터 주체에 대한 데이터 귀속성을 제한할 수 있다.null

GDPR 제25조 제1항은 가명화를 "적절한 기술적·조직적 조치"로 규정하고 있으며, 제25조 제2항은 관제자에게 다음을 요구한다.

"…처리의 각 특정 목적에 필요한 개인 데이터만 기본적으로 처리되도록 하기 위해 적절한 기술적 및 조직적 조치를 취하십시오.이 의무는 수집된 개인 데이터의 양, 처리 범위, 저장 기간 및 접근성에 적용된다.특히, 그러한 조치는 개인의 개입 없이는 기본적으로 개인 데이터가 무한정 많은 자연인에게 접근할 수 없도록 보장해야 한다."null

GDPR 제25조에 따른 설계별 및 기본값에 의한 데이터 보호의 핵심은 적절한 사용을 지원하는 기술 제어의 시행이며, 실제로 약속을 지킬 수 있음을 입증하는 능력이다.설계 및 기본값에 의한 데이터 보호를 시행하는 가명화와 같은 기술은 데이터로부터 가치를 도출하는 새로운 방법을 고안하는 것 외에도 조직들이 데이터 프라이버시를 보호하기 위해 똑같이 혁신적인 기술 접근방식(특히 d의 유행에 따른 민감하고 주제적인 문제)을 추구하고 있음을 개별 데이터 주체에 보여준다.ata 보안 침해.null

"신뢰 경제", 생명 과학 연구, 개인화된 의학/교육, 사물 인터넷, 재화와 서비스의 개인화 등 경제 활동의 활기차고 성장하는 분야는 자신의 데이터가 자신과 사회에 최대의 가치를 가져다 주는 적절한 목적만을 위해 비공개, 보호 및 사용된다고 믿는 개인에 기반을 두고 있다.이러한 신뢰는 데이터 보호에 대한 구시대적인 접근방식을 사용하여 유지될 수 없다.GDPR에 따라 새롭게 정의된 가명화는 신뢰를 얻고 유지하며 기업, 연구원, 의료 사업자 및 데이터의 무결성에 의존하는 모든 사람에게 효과적으로 서비스를 제공하기 위해 설계 및 기본에 의한 데이터 보호를 달성하는 데 도움을 주는 수단이다.null

GDPR을 준수하는 가명화는 오늘날의 데이터 공유 및 결합의 "빅데이터" 세계에서 프라이버시에 대한 존중적 데이터 사용을 증대시킬 뿐만 아니라, 데이터 컨트롤러와 프로세서가 정확하게 가명화된 데이터에 대해 GDPR에 따라 명시적 이익을 얻을 수 있게 한다.적절한 가명 데이터의 이점은 다음과 같은 여러 GDPR 조항에 강조되어 있다.

  • 제6조(4)항은 새로운 데이터 처리의 호환성을 보장하기 위한 보호 수단이다.
  • 제25조는 데이터 최소화 원칙과 설계 및 기본 의무에 의한 데이터 보호 컴플라이언스를 시행하는 데 도움이 되는 기술적 및 조직적 조치다.
  • 제32조, 제33조 및 제34조는 "자연인의 권리와 자유에 대한 위험을 초래하는 것과 달리" 데이터 침해에 대한 책임과 통지 의무를 경감시키는 보안 조치로서 데이터 침해에 대한 책임을 경감한다.
  • 제89조제1항은 공익상 보관 목적, 과학적 또는 역사적 연구 목적, 또는 통계적 목적과 관련하여 안전장치로서 제89조제1항에 따른 가명화의 효익도 다음 각 호에 따라 더 큰 유연성을 제공한다.
    1. 목적 제한에 관한 제5조 (1)(b)항
    2. 보관 제한에 관한 제5조 (1)(e)항 및
    3. 제9조 제2항(j)항은 제9조 제1항 개인자료의 특수한 범주에 대한 일반적인 처리금지 극복에 관한 사항이다.
  • 또한, 적절하게 가명화된 데이터는 제29조 실무당사자 의견 06/2014에서 "…처리가 데이터 주체에 미치는 잠재적 영향에 대한 평가에 관한 역할...제6조 GDPR 6(1)(f)에 따른 법적 근거로서 합법적 이자 처리를 지원하기 위해 "통제자에게 유리한 잔액을 지불"한다.GDPR에 따른 법적 기준으로 가명화된 합법적 이자를 사용하여 개인 데이터를 처리함으로써 얻는 혜택은 다음과 같다.
    1. 제17조 제(1)항(c)항에 따르면, 데이터 통제관이 관심 시험의 균형을 충족하기 위한 기술적 및 조직적 조치의 지원을 받는 "적법한 처리 근거를 재정의한다"고 표시할 경우, 그들은 잊혀질 권리 요청을 준수하는 데 있어 더 큰 유연성을 갖는다.
    2. 제18조 제(1)항(d)항에 따라 데이터 통제자는 데이터 주체의 권리가 보호되기 때문에 데이터 통제자의 권리가 데이터 주체의 권리를 적절히 우선하도록 기술적·조직적 조치를 갖추고 있음을 보여줄 수 있는 경우 개인 데이터의 처리를 제한하는 주장을 유연하게 준수할 수 있다.
    3. 제20조제1항에 따라 정당한 이익처리를 이용하는 데이터 관제자는 동의에 의한 처리에만 적용되는 휴대권의 적용을 받지 않는다.
    4. 제21조제1항에 따라, 정당한 이익 처리를 이용하는 데이터 통제자는 데이터 주체의 권리가 보호되기 때문에 데이터 통제자의 권리가 데이터 주체의 권리보다 적절히 우선하도록 적절한 기술적, 조직적 조치를 취하고 있음을 보여줄 수 있다. 그러나 데이터 주체는 항상 권리를 가진다.제21조 제3항은 이러한 처리의 결과로 직접적인 마케팅 지원을 받지 않는다.

참고 항목

참조

  1. ^ "General Data Protection Regulation". 4(5).{{cite web}}: CS1 maint : 위치(링크)
  2. ^ 2021년 6월 4일 유럽의회 규정(EU) 2016/679에 따라 제3국으로 개인 데이터를 이전하기 위한 표준 계약 조항에 관한 유럽 집행위원회(EU) 2021/914의 채택 각주 2에는 익명화가 "데이터를 익명으로 렌더링할 것을 요구한다"고 명시되어 있다.규정(EU) 2016/679의 리사이틀 26에 따라 개인이 더 이상 누구에 의해 식별되지 않으며, 이 과정은 되돌릴 수 없는 것이다."[1]
  3. ^ 2021년 12월 9일 EDPS에서 주최하는 "가명 데이터: 위험을 완화하는 동안 개인 데이터 처리" 웨비나를 참조하십시오 [2]
  4. ^ 2021년 12월 7일 유럽위원회가 한국의 개인정보보호법("PIPA")이 통제관과 프로세서에 의해 처리되는 EU 개인 데이터에 대한 적절한 수준의 보호를 보장한다는 결정을 참조하라[3]
  5. ^ CJEU Schrems II 법원 판결[4]
  6. ^ 최종 EDPB Schrems II 지침 [5]
  7. ^ GDPR 제4조 제5항은 가명화를 "추가 정보를 사용하지 않고서는 더 이상 특정 데이터 주체에 귀속할 수 없는 방식으로 개인 데이터를 처리하는 것"으로 정의한다. 단, 그러한 추가 정보가 별도로 보관되고 있으며, 이를 보장하기 위한 기술적, 조직적 조치의 대상이 된다.개인 데이터는 식별되거나 식별 가능한 자연인에게 귀속되지 않는다."
  8. ^ 최종 EDPB Schrems II 지침의 문단 85(4)는 "통제자는 수취 국가의 공공기관이 소유하고 사용할 것으로 예상할 수 있는 모든 정보를 고려하여 문제의 데이터를 철저히 분석함으로써, 가명화된 개인 데이터는 ID에 귀속될 수 없다"고 규정하고 있다.그러한 정보와 교차하여 대조하더라도 자연인이 개입되거나 식별될 수 있다.
  9. ^ 2021년 6월 4일 유럽의회 규정(EU) 2016/679에 따라 제3국으로 개인 데이터를 이전하기 위한 표준 계약 조항에 관한 유럽 집행위원회(EU) 2021/914의 채택 각주 2에는 익명화가 "데이터를 익명으로 렌더링할 것을 요구한다"고 명시되어 있다.규정(EU) 2016/679의 리사이틀 26에 따라 개인이 더 이상 누구에 의해 식별되지 않으며, 이 과정은 되돌릴 수 없는 것이다."[6]
  10. ^ http://dud.inf.tu-dresden.de/literatur/Anon_Terminology_v0.31.pdf 익명성, 연결 불가, 탐지 불가, 관측 불가, 가명성 및 신원 관리 – 용어에 대한 통합 제안
  11. ^ Neubauer, T; Heurix, J (Mar 2011). "A methodology for the pseudonymization of medical data". Int J Med Inform. 80 (3): 190–204. doi:10.1016/j.ijmedinf.2010.10.016. PMID 21075676.
  12. ^ Neamatullah, Ishna; Douglass, Margaret M; Li-wei; Lehman, H; Reisner, Andrew; Villarroe, Mauricio; Long, William J; Szolovits, Peter; Moody, George B; Mark, Roger G; Clifford, Gari D (2008). "Automated de-identification of free-text medical records". BMC Medical Informatics and Decision Making. 8: 32. doi:10.1186/1472-6947-8-32. PMC 2526997. PMID 18652655.
  13. ^ org/probotools/deid/doc/ishna-resistance.pdf
  14. ^ Deleger, L; et al. (2014). "Preparing an annotated gold standard corpus to share with extramural investigators for de-identification research". J Biomed Inform. 50: 173–183. doi:10.1016/j.jbi.2014.01.014. PMC 4125487. PMID 24556292.
  15. ^ https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/obligations/what-does-data-protection-design-and-default-mean_en
  16. ^ Vijayan, Jaikumar (2004-03-15). "Sidebar: The Mosaic Effect". Computerworld. Retrieved 2021-01-26.