[논문]개인정보 비식별 조치를 위한 데이터 상황 기반의 위험도 측정에 관한 새로운 방법

김동현; 김순석

doi:10.13089/jkiisc.2020.30.4.719

개인정보 비식별 조치를 위한 데이터 상황 기반의 위험도 측정에 관한 새로운 방법
A New Scheme for Risk Assessment Based on Data Context for De-Identification of Personal Information 원문보기

情報保護學會論文誌 = Journal of the Korea Institute of Information Security and Cryptology, v.30 no.4, 2020년, pp.719 - 734

초록
AI-Helper

본 논문은 최근 개정된 데이터 3법에 맞추어 조직 내 실무자들이 개인정보를 활용함에 있어 비식별 조치 수행 시 위험도에 따른 처리 수준 산정을 위한 새로운 측정방법을 제안한 것이다. 우리가 제안한 방법은 위험도 측정 시 데이터만이 아닌 데이터를 둘러싼 주위 상황을 고려하였고, 모든 분야에 적용이 가능하도록 범용 환경에서 데이터 상황을 크게 데이터 활용방법, 데이터 이용환경, 그리고 데이터(자체) 3가지 카테고리로 나누어 보다 체계적으로 분류하였으며, 제시된 분류에 따라 각 상황별 위험도에 기반하여 정량적으로 계산할 수 있도록 새로운 측정 방법을 제안하였다. 제안한 방법은 기존의 비식별 정보의 위험도 산정을 전문가들의 정성적 판단에만 맡기는 것이 아니라 일반 조직 내 개인정보처리자가 실무에 활용할 수 있도록 정량적인 방법으로 위험도를 산정할 수 있도록 설계하였다.

Abstract ▼ AI-Helper

This paper proposes a new measurement scheme for estimating the processing level according to risk when performing de-identification in the use of personal information by practitioners in the organization in line with the recently revised Data 3 Act. Our proposed methods considered the surrounding circumstances surrounding the data, not just the data, for risk measurement, and divided the data situation into three categories more systematically so that it can be applied in all areas in a general-purpose environment, the data utilization environment, and the data (self) so that it can be calculated quantitatively based on each context risk according to the presented classification. The proposed method is designed to calculate the risk of existing de-identifiable information in a quantitative manner so that personal information controller in general organizations can use it in practice, not just in the qualitative judgment of experts.

주제어

표/그림 (15)

그림 Fig. 1. The classification of data situation
그림 Fig. 2. The classification of how data is used
그림 Fig. 3. Flow chart on how to use data
표 Table 1. The Classification for data usage
표 Table 2. The Classification for data usage environment
표 Table 3. Difference between the guidelines for de-identification of personal information in Korea[9] and the proposed method
표 Table 4. Detailed indicators on '2.2.1 Impact on information subject during re-identification' among classification systems for data use environment
표 Table 5. The Classification for data(itself)
표 Table 6. Differences between the guidelines for de-identification of personal information in Korea[9] and the proposed method in the classification of data(itself)
표 Table 7. Measurement of data organisation parts in data(itself) classification(some examples)
표 Table 8. Risk measurement scheme according to data situation classification
표 Table 9. Processing level according to the final evaluation result
그림 Fig. 4. Flow Chart(How to use data(simple use of pseudonymization))
표 Table 10. Risk calculation table for simple use of pseudonymization
표 Table 11. Comparison of existing risk measurement methods with the proposed method

AI 본문요약
AI-Helper

* AI 자동 식별 결과로 적합하지 않은 문장이 있을 수 있으니, 이용에 유의하시기 바랍니다.

문제 정의

따라서 본 논문에서는 기존 가이드라인의 단점을 극복하고자 가이드라인에서 제안한 데이터 이용환경에 관한 오류들을 수정하여 2. 데이터 이용환경으로 카테고리화하고 이를 확장한 새로운 방법론을 제안하고자 한다. 한편 기존 가이드라인과 제안 방법론과의 구체적인 차이점은 Table 3에서 제시하였다.
본 논문에서는 이를 3. 데이터(자체)로 카테고리화 하여 보다 확장된 새로운 측정 방법론을 제안하고자 한다. 후자로 맥락 즉, 이용환경에 따른 위험도 측정 방법에 있어서의 문제점은 의료분야에 지나치게 편중되어 범용적으로 사용하기에는 한계가 있다는 점이다.
따라서 본 논문에서는 기존 가이드라인의 단점을 극복하고자 가이드라인에서 제안한 데이터 이용환경에 관한 오류들을 수정하여 2. 데이터 이용환경으로 카테고리화하고 이를 확장한 새로운 방법론을 제안하고자 한다.
따라서 본 논문에서는 이러한 단점들을 개선하고자 최근 개정된 우리나라의 데이터 3법에 따르면서 데이터 상황 접근법에 따라 각 상황을 우리나라의 환경에 맞추어 체계적으로 분류하고, 분류된 각 구성요소들을 위험도에 기반하여 정량화하여 측정할 수 있는 새로운 방법을 제시하고자 한다.
본 논문에서 제안하는 방법은 이러한 애로를 겪는 실무자들을 위해 현장에서 비식별 조치 이전에 데이터 상황에 대한 전반적인 위험도를 측정, 진단하고 조치 수준을 결정할 수 있도록 방법론을 제안하고 돕고자 하는데 그 목적이 있다. 아울러 개정된 이른바 데이터 3법에 따라 활용 목적에 맞게 가명처리와 익명처리를 구분하여 측정하도록 제시하였다.
따라서 데이터 자체에 대한 위험도는 이러한 상황을 감안하여 데이터 구성이나 분포, 그리고 데이터에 대한 민감도를 함께 측정할 필요가 있다. 본 논문에서는 이를 3. 데이터(자체)로 카테고리화 하여 보다 확장된 새로운 측정 방법론을 제안하고자 한다.
우리가 제안한 측정 방법에 대한 예시로 가명처리 단순 사용시 데이터 활용방법을 예시로 들고자 한다.
우리는 지금까지 개인정보 비식별 조치에 있어 데이터 상황을 고려한 위험도 기반의 측정에 대한 새로운 방법을 제안하였다. 제안한 방법은 데이터에 대한 상황을 크게 데이터 활용방법, 데이터 이용환경, 그리고 데이터(자체) 3가지 카테고리로 나누어 보다 체계적으로 분류하였으며 기존 Duncan 등[5], Emam의 방법[6,7,14,15], 그리고 우리나라 개인정보 비식별조치 가이드라인[9]에 비해 위험도의 산정을 외부 전문가에게만 맡기는 것이 아니라 일반 조직 내 개인정보처리자가 정량적으로 위험도를 산정할 수 있도록 일종의 가이드 형태로 구현하였다.

가설 설정

다섯 안전의 내용은 다음과 같다. 첫째, Safe projects - 자료의 사용은 적절합니까? 둘째, Safe people - 연구자들이 적절한 방법으로 그것을 사용한다고 신뢰받을 수 있습니까? 셋째, Safe data - 자료 자체에 공개 위험이 있습니까? 넷째, Safe settings - 접근 시설이 승인되지 않은 사용을 제한합니까? 다섯째, Safe outputs - 통계적 결과는 비폭로적(non-disclosive)입니까?
다섯 안전의 내용은 다음과 같다. 첫째, Safe projects - 자료의 사용은 적절합니까? 둘째, Safe people - 연구자들이 적절한 방법으로 그것을 사용한다고 신뢰받을 수 있습니까? 셋째, Safe data - 자료 자체에 공개 위험이 있습니까? 넷째, Safe settings - 접근 시설이 승인되지 않은 사용을 제한합니까? 다섯째, Safe outputs - 통계적 결과는 비폭로적(non-disclosive)입니까?
다섯 안전의 내용은 다음과 같다. 첫째, Safe projects - 자료의 사용은 적절합니까? 둘째, Safe people - 연구자들이 적절한 방법으로 그것을 사용한다고 신뢰받을 수 있습니까? 셋째, Safe data - 자료 자체에 공개 위험이 있습니까? 넷째, Safe settings - 접근 시설이 승인되지 않은 사용을 제한합니까? 다섯째, Safe outputs - 통계적 결과는 비폭로적(non-disclosive)입니까?
즉, 환경 제어를 다음과 같이 ‘누가(who)’, ‘무엇을(what)’, ‘어디서(where), 어떻게(how)’라는 질문의 답을 통해 특징지어지는 것으로 정의하고 있다. 첫째, 누가(who) 데이터에 접근할 수 있는가? 둘째, 무슨(what) 분석이 이뤄지거나 이뤄지지 않는가? 셋째, 어디서(where) 데이터 접근/분석이 이뤄지는가? 그리고 어떻게(how) 접근하는가?
다섯 안전의 내용은 다음과 같다. 첫째, Safe projects - 자료의 사용은 적절합니까? 둘째, Safe people - 연구자들이 적절한 방법으로 그것을 사용한다고 신뢰받을 수 있습니까? 셋째, Safe data - 자료 자체에 공개 위험이 있습니까? 넷째, Safe settings - 접근 시설이 승인되지 않은 사용을 제한합니까? 다섯째, Safe outputs - 통계적 결과는 비폭로적(non-disclosive)입니까?
다섯 안전의 내용은 다음과 같다. 첫째, Safe projects - 자료의 사용은 적절합니까? 둘째, Safe people - 연구자들이 적절한 방법으로 그것을 사용한다고 신뢰받을 수 있습니까? 셋째, Safe data - 자료 자체에 공개 위험이 있습니까? 넷째, Safe settings - 접근 시설이 승인되지 않은 사용을 제한합니까? 다섯째, Safe outputs - 통계적 결과는 비폭로적(non-disclosive)입니까?

제안 방법

2항에 분류하였다. 둘째, 2. 데이터 이용환경에 있어서도 가명처리의 경우와 익명처리의 경우를 구분하여 분류하였다. 다시 말해 2.
첫 번째 측정 요소로서 데이터 활용 방법에 있어 기존 Duncan 등[5]이 누가, 무었을, 어디서, 어떻게로 단순 분류하였다면 우리는 이를 보다 구체화하여 왜, 무엇을, 어디서, 어떻게로 분류하였다. 4가지 구성은 동일하지만 범주가 다르고 세부 항목도 7가지로 제시하였다. 여기서 누가에 대한 부분이 빠진 이유는 이 부분을 제안 방법에서는 데이터 이용 환경 부분에서 보다 상세하고 다루고 있기 때문이다.
결론적으로 볼 때 제안하는 방법은 기존 Duncan 등[5]이 제안하는 환경제어 부분과 우리나라 가이드라인[9]과 Emam[6,7,14,15]의 방법에서 제안한 데이터 이용 환경 및 데이터(자체)에 대한 부분을 종합적으로 고려하여 보완하고 개선하였다.
본 논문에서는 Duncan 등[5]이 제안한 4가지의 환경제어를 그동안 우리들이 산업 현장에서 쌓은 경험과 요구사항들을 토대로 보다 다양한 상황을 고려하여 1. 데이터 활용방법으로 카테고리화하고 7가지(왜, 무엇을, 어디서(처리관점, 장소관점), 어떻게(공개관점, 제공관점, 이용관점)으로 확장하여 제시하고자 한다.
본 논문에서 제안하는 방법은 이러한 애로를 겪는 실무자들을 위해 현장에서 비식별 조치 이전에 데이터 상황에 대한 전반적인 위험도를 측정, 진단하고 조치 수준을 결정할 수 있도록 방법론을 제안하고 돕고자 하는데 그 목적이 있다. 아울러 개정된 이른바 데이터 3법에 따라 활용 목적에 맞게 가명처리와 익명처리를 구분하여 측정하도록 제시하였다.
여기서 누가에 대한 부분이 빠진 이유는 이 부분을 제안 방법에서는 데이터 이용 환경 부분에서 보다 상세하고 다루고 있기 때문이다. 아울러 나머지 3가지 항목은 비식별 조치의 실제 환경에 맞게 보다 구체화하여 7가지로 확장하여 제안하였다.
우리는 Table 11을 통해 지금까지 제안한 방법과 기존에 제안된 방법들을 비교 분석하고자 한다.
우리가 제안하는 위험도 측정 방법은 먼저 데이터 상황에 대한 체계적이고 명확한 분류에서 시작된다. 우리는 우리나라의 개정된 법과 제도 그리고 이를 둘러싼 다양한 상황을 고려하여 크게 데이터 활용방법(7가지 관점), 데이터 이용 환경(2가지 관점), 그리고 데이터 자체에 대한 위험도(3가지 관점) 3가지 카테고리, 총 12가지 관점으로 나뉘어 Fig.1과 같이 분류하였다.
우리는 지금까지 개인정보 비식별 조치에 있어 데이터 상황을 고려한 위험도 기반의 측정에 대한 새로운 방법을 제안하였다. 제안한 방법은 데이터에 대한 상황을 크게 데이터 활용방법, 데이터 이용환경, 그리고 데이터(자체) 3가지 카테고리로 나누어 보다 체계적으로 분류하였으며 기존 Duncan 등[5], Emam의 방법[6,7,14,15], 그리고 우리나라 개인정보 비식별조치 가이드라인[9]에 비해 위험도의 산정을 외부 전문가에게만 맡기는 것이 아니라 일반 조직 내 개인정보처리자가 정량적으로 위험도를 산정할 수 있도록 일종의 가이드 형태로 구현하였다. 한편 Table 9에 따라 결정된 비식별 처리 수준에 따른 세부적인 처리 방법, 절차, 그리고 처리 결과에 대한 적정성 평가 등에 대한 부분은 현재 후속 연구로 진행 중이며 조만간 결과를 발표할 예정이다.

이론/모형

본 논문에서는 Duncan 등[5]이 제안한 4가지의 환경제어를 그동안 우리들이 산업 현장에서 쌓은 경험과 요구사항들을 토대로 보다 다양한 상황을 고려하여 1. 데이터 활용방법으로 카테고리화하고 7가지(왜, 무엇을, 어디서(처리관점, 장소관점), 어떻게(공개관점, 제공관점, 이용관점)으로 확장하여 제시하고자 한다.

성능/효과

첫째, 데이터 자체에 대한 위험도는 k-익명성[2] 프라이버시 보호 모델에서 말하는 최대 재식별률 혹은 평균 재식별률로 계산한다. 둘째, 맥락 즉, 이용환경에 따른 위험도는 다시 고의적인 시도에 대한 발생 가능성, 의도치 않은 시도에 대한 발생 가능성, 그리고 위반할 가능성 3가지로 나뉘며, 위험도는 이들 중 최대값으로 계산한다.

후속연구

제안한 방법은 향후 기업이나 기관 등 조직 내 개인정보 비식별 조치를 다루는 실무자나 혹은 전문가들이 개정된 데이터 3법의 테두리 내에서 실제 비식별 조치 수행 시 어떠한 시각과 방법을 통해 안전하고 적절하게 조치를 수행해야 하는지에 대한 기초 자료로서 활용 가능성이 매우 높을 것으로 판단된다.
아울러 최종 평가 결과에 따라 결정되는 비식별 처리 수준은 Table 9와 같다. 한편 Table 9에 따라 결정된 비식별 처리 수준에 따른 세부적인 처리 방법, 절차, 그리고 처리 결과에 대한 적정성 평가 등에 대한 부분은 현재 후속 연구로 진행 중이며 조만간 결과를 발표할 예정이다.

질의응답

핵심어	질문	논문에서 추출한 답변
	SDC의 기본적인 원리는 무엇인가?	통계적 익명처리의 개념은 통계적 노출 제어(Statistical Disclosure Control, SDC)라는 기술 분야와 관계가 있다. SDC의 기본적인 원리는 재식별의 가능성을 제로로 만드는 것이 불가능하기 때문에 그 대신 노출 상황의 위험을 통제하거나 제한할 필요가 있다는 것이다. 형식적 익명처리와 보장된 익명처리는 모두 단순히 통계적 익명처리의 특별한 경우라고 말할 수 있다.
	비식별은 무엇인가?	비식별은 주어진 원본 데이터셋(Dataset)에 대해 개인정보처리자 또는 제3자로부터 데이터 주체가 누구인지를 알아볼 수 없도록 처리하는 것을 말하며 이를 세분화하면 크게 가명처리와 익명처리로 나뉜다. 익명처리는 가명처리의 한 부분이긴 하지만 가명 처리만으로는 충분한 익명처리로 보기 어렵기 때문에 추가적인 비식별 조치가 필요하다.
	개인과 관련된 데이터를 공유하고 배포하려는 사람의 목표에는 두 가지가 있는데, 그것은 무엇인가?	그러나 개인과 관련된 데이터를 공유하고 배포하려는 사람의 목표는 두 가지이다. 첫째는 유용한 데이터를 공유하고 배포하는 것과 둘째는 이 데이터의 기밀성과 프라이버시를 유지하는 형태로 만드는 것이다. 형식적 익명처리는 후자의 목적을 달성할 수 없으며, 보장된 익명처리는 전자의 목적을 달성할 수 없다.

참고문헌 (18)

Elliot, M. J., Dibben, C., Gowans, H., Mackey, E., Lightfoot, D., O'Hara, K., and Purdam, K, "Functional Anonymisation: The crucial role of the data environment in determining the classification of data as (non-) personal," CMIST work paper 2015.
Sweeney L, "k-anonymity: A model for protecting privacy," International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, 10(3), pp. 557-570, 2002.

상세보기
UKAN(UK Anonymisation Network), "The anonymisation decision making framework," 2016.
Mackey, E and Elliot, M. J, "Understanding the Data Environment," XRDS: Crossroads, 20(1), pp. 37-39, 2016.
Duncan, G. T, Elliot, M. J and Salazar-Gonzalez, J. J, "Statistical Confidentiality," New York: Springer, 2011.
Khaled El Eman, "Guide to the De-identification of Personal Health Information," CRC Press, pp. 203-221, 2013.
HITRUST and Privacy Analytics, HITRUST Data De-identification Methodology, Training course material, 2019.
NIST 800-188(2nd Draft) De-Identifying Government Datasets, Dec. 2016.
Joint government departments in Korea, Guidelines for de-identification of personal information, June. 2016.
Nissenbaum HF, "Privacy in Context: technology, policy, and the integrity of social life, Stanford, California," Stanford Law Books, 2010.
Bieker F, Friedewald M, Hansen M, Obersteller H, and Rost M, "A process for data protection impact assessment under the european general data protection regulation," Lecture notes in computer science, Proceeedings of 4th annual privacy forum, pp. 21-37, 2016.
Mulligan DK, Koopman C, and Doty N, "Privacy is an essentially contested concept: a multi-dimensional analytic for mapping privacy," Philos Trans Ser A Math Phys Eng Sci, 374(2083), pp. 1-17, 2016.
Solove DJ, "A taxonomy of privacy," Univ Pa Law Rev, 154(3), pp. 477-564, 2006.
Khaled El Emam, "Risk-based de-identification of health data," IEEE Security & Privacy,8(3), pp. 64-67, 2010.

상세보기
Khaled El Emam and Luk Arbuckle, "Anonymizing health data," O'Reilly book, pp. 29-33, 2013.
Fabian Prasser, Florian Kohlmayer, and Klaus A. Kuhn, "The Importance of Context: Risk-Based De-Identification of Biomedical Data," Methods of Information in Medicine, Schattauer, June. 2016.
Oleksandr Tomashchuk, Dimitri Van Landuyt, Daniel PleteaKim Wuyts, and Wouter Joosen, "A data utility- driven benchmark for de-identification methods," International Conference on Trust and Privacy in Digital Business, TrustBus 2019, Lecture Notes in Computer Science book series, volume 11711, pp 63-77, 2019.
HIPAA(Health Insurance Portability and Accountability Act) Privacy Rule, Dec. 2012.

저자의 다른 논문 :

표제어: PCR

동의어: Packet Collision Rate

용어 설명 출처 목록 (6)

용어 설명: PCR은 세균 특이성이 있는 primer를 이용하여 적은 수의 세균이 있을지라도 쉽게 검출할 수 있는 유용한 방법이며, 이를 이용하여 구강 내 치면세균막이나 타액에서 직접 세균을 검출할 수 있게 되었다[8].

내보내기 구분	파일저장 인쇄 메일전송
구성항목	기본정보 상세정보 관리번호, 논문명, 저널/프로시딩명, 저자 , 발행년, 권, 호, 시작페이지, 끝페이지, 발행기관 관리번호, 논문명, 대등논문명, 저자 , 저널/프로시딩명, 발행기관, 발행년, 발행언어, 권, 호, 시작페이지, 끝페이지, ISBN, ISSN, 주제분야, 키워드, 초록(한글), 초록(영문), 저자(소속기관)
저장형식	Text(ASCII format) Excel format RefWorks Direct Export RIS format (for Reference Manager, ProCite, EndNote), Scholar's Aids, Mendeley
메일정보	받는사람 (필수) @ 보내는사람 (선택) @ 제목 내용 KISTI 검색결과 이메일 서비스
안내	총 건의 자료가 검색되었습니다. 다운받으실 자료의 인덱스를 입력하세요. (1-10,000) 검색결과의 순서대로 최대 10,000건 까지 다운로드가 가능합니다. 데이타가 많을 경우 속도가 느려질 수 있습니다.(최대 2~3분 소요) 다운로드 파일은 UTF-8 형태로 저장됩니다. 파일의 내용이 제대로 보이지 않을실 때는 웹브라우저 상단의 보기 -> 인코딩 -> 자동선택 여부를 확인하십시오. ~ Text(ASCII format) Excel format

연합인증