仮名化

どのデータフィールドを仮名化するかの選択は、部分的に主観的です。 出生日や郵便番号などの選択性の低いフィールドは、通常は他のソースから入手できるため、レコードを識別しやすくするため、多くの場合、含まれています。 これらの識別度の低いフィールドを仮名化すると、その分析値の大部分が削除されるため、通常は、誕生年やより大きな郵便番号地域など、新しい派生した識別度の低いフォームの導入が伴います。

出席日など、識別性の低いデータフィールドは、通常、仮名化されません。 これは、データを識別できないためではなく、統計的有用性があまりにも失われるためであることを認識することが重要です。 たとえば、いくつかの出席日に関する事前知識があれば、日付のパターンを持つ人だけを選択することで、仮名化されたデータセット内の誰かのデータを識別するのは簡単です。 これは推論攻撃の例です。

GDPR前の仮名化データの推論攻撃に対する弱点は、一般的に見落とされています。 有名な例は、AOL検索データスキャンダルです。 不正な再識別のAOLの例では、GDPR準拠の仮名化のために現在必要とされているように、データ管理者の管理下にあった別々に保管された”追加情報”へのアクセ 以下のGDPRの下での仮名化の新しい定義を参照してください。

統計的に有用な仮名化されたデータを再識別から保護するには、以下が必要です:

  1. 健全な情報セキュリティベース
  2. アナリスト、研究者、または他のデータワーカーがプライバシー侵害を引き起こすリスクを制御する

仮名は、データをその起源まで追跡することを可能にし、匿名化と匿名化を区別し、バックトラッキングを可能にする可能性のあるすべての個人関連データがパージされている。 偽名化は、例えば、臨床センター間で安全に渡されなければならない患者関連データの問題である。

e-healthへの仮名化の適用は、患者のプライバシーとデータの機密性を維持することを意図しています。 これは、承認された医療提供者による医療記録の一次使用と研究者による二次使用を維持するプライバシーを可能にします。 米国では、HIPAAは、医療データの処理方法に関するガイドラインを提供し、データの識別または仮名化は、HIPAAコンプライアンスを簡素化する一つの方法です。 しかし、プライバシー保護のための単純な仮名化は、遺伝的データが関与している場合には限界に達することが多い(遺伝的プライバシーも参照)。 遺伝子データの特定の性質のために、非個人化はしばしば対応する人を隠すのに十分ではない。 潜在的な解決策は、仮名化と断片化と暗号化の組み合わせです。

仮名化手順の適用例としては、識別語を同じカテゴリの単語に置き換えることによる識別解除研究のためのデータセットの作成(例えば、名前辞書からの無作為な名前に置き換えるなど)があるが、この場合、一般的にデータをその起源に戻すことはできない。

GDPREdit

に基づく仮名化の新しい定義2018年5月25日に発効したEU一般データ保護規則(GDPR)は、第4条(5)でEUレベルで初めて仮名化を定義しています。 第4条(5)定義要件の下では、個別に保持された”追加情報”を使用せずに特定のデータ主体に帰属することができない場合、データは仮名化されます。”仮名化されたデータは、(直接だけでなく)直接識別子と間接識別子の両方の保護を必要とするため、設計およびデフォルトでデータ保護の最先端を体現し Gdprのデータ保護は、設計および仮名化に具体化されているデフォルトの原則により、直接および間接の識別子の両方の保護を必要とし、個人データが”モザイク効果”を介して相互参照可能(または再識別可能)ではなく、管理者によって別々に保持されている”追加情報”にアクセスできないようにします。 再識別のために別途保管された「追加情報」へのアクセスが必要なため、特定のデータ主体へのデータの帰属は、合法的な目的のみをサポートするために管理者に制限される可能性があります。

GDPR第25条(1)は、仮名化を”適切な技術的および組織的措置”として識別し、第25条(2)は、管理者に以下のように要求します。

“…デフォルトでは、処理の特定の目的に必要な個人データのみが処理されることを保証するための適切な技術的および組織的措置を実施する。 この義務は、収集された個人データの量、その処理の範囲、保管期間、およびアクセス可能性に適用されます。 特に、このような措置は、デフォルトでは、個人が無期限の数の自然人に介入することなく、個人データにアクセスできないようにするものとします。”

GDPR第25条に基づくデータ保護の中心的なコアは、適切な使用をサポートする技術管理の実施と、実際に約束を守ることができることを実証する能力です。 匿名化のような技術は、データから価値を引き出すための新しい方法を考え出すことに加えて、組織はデータプライバシーを保護するために同様に革新的な技術的アプローチを追求していることを個々のデータ主体に示しています。これは、世界中でデータセキュリティ侵害が流行していることを考えると、特に敏感で局所的な問題です。

経済活動の活発で成長している分野—”信頼経済”、ライフサイエンス研究、個別化医療/教育、モノのインターネット、商品やサービスのパーソナライゼーション—は、自分のデータがプライベートであり、保護され、それらと社会に最大の価値をもたらす適切な目的のためにのみ使用されることを信頼する個人に基づいている。 この信頼は、データ保護への古いアプローチを使用して維持することはできません。 GDPRの下で新たに定義された仮名化は、設計によるデータ保護を実現し、信頼を獲得し維持し、企業、研究者、医療提供者、およびデータの完全性に依存するすべての人に、より効果的にサービスを提供するための手段です。

GDPR準拠の仮名化により、今日の”ビッグデータ”のデータ共有と組み合わせの世界でデータのプライバシーを尊重した使用が可能になるだけでなく、データ管理者と処理者が正しく仮名化されたデータに対してGDPRの下で明示的な利益を享受できるようになります。適切に仮名化されたデータの利点は、以下を含む複数のGDPR記事で強調されています:

  • 第6条(4)新しいデータ処理の互換性を確保するための安全策として。
  • 第25条は、データ最小化の原則を実施し、設計およびデフォルト義務によるデータ保護の遵守を支援するための技術的および組織的措置として。
  • 第32条、第33条および第34条は、データ侵害を”自然人の権利および自由にリスクをもたらす可能性が低い”ようにするためのセキュリティ対策として、データ侵害に対する責任および通知義務を削減することを支援するものである。
  • 第89条(1)公共の利益のためのアーカイブ目的、科学的または歴史的研究目的、または統計的目的のための処理に関連するセーフガードとして、第89条(1)に基づく仮名化の利点は、
    1. 第5条(1)(b)の目的の制限に関する柔軟性を提供する。;
    2. 第5条(1)(e)保管制限に関するもの、および
    3. 第9条(2)(j)第9条(1)個人データの特別なカテゴリーの処理に関する一般的な禁止の克服に関するもの。
  • さらに、適切に仮名化されたデータは、第29条作業当事者の意見06/2014において、”…データ主体に対する処理の潜在的な影響の評価に関する役割を果たすものとして認識されている。..「GDPR第6条(1)(f)に基づく法的根拠としての正当な利益処理を支援するために、管理者に有利な残高をチップ化する」。 GDPRに基づく法的根拠として仮名化された正当な利益を使用して個人データを処理することによる利点には、以下が含まれますが、これに限定されません。
    1. 第17条(1)(c)に基づき、データ管理者が「処理の正当な根拠を上書きしている」と示した場合、関心のバランステストを満たすための技術的および組織的措置によってサポートされている場合、忘れられる権利の要求に準拠する柔軟性が高くなります。
    2. 第18条(1)(d)に基づき、データ管理者は、データ管理者の権利が保護されているため、データ管理者の権利がデータ主体の権利を適切に上書きするように、技術的およ
    3. 第20条(1)に基づき、正当な利益処理を使用するデータ管理者は、同意に基づく処理にのみ適用される移植性の権利の対象とはなりません。
    4. 第21条(1)に基づき、正当な利益処理を使用するデータ管理者は、データ主体の権利が保護されているため、データ管理者の権利がデータ主体の権利を適切に上書きするように、適切な技術的および組織的措置を講じていることを示すことができるかもしれません。ただし、データ主体は常に第21条(3)に基づき、そのような処理の結果としてダイレクトマーケティングアウトリーチを受けない権利を有します。



+