De-identification
匿名化は、誰かの個人的な身元が明らかになるのを防ぐために使用されるプロセスです。たとえば、被験者の研究中に生成されたデータは、研究参加者のプライバシーを保護するために匿名化される場合が生物学的データは、患者のプライバシー法を定義および規定するHIPAA規制に準拠するために匿名化される場合が
通常、人物を直接撮影した写真から簡単に特定できますが、限られたデータに基づいて人物を特定する作業
は困難ですが、場合によっては可能です。
識別に関するメタデータまたは一般データに適用される場合、このプロセスはデータ匿名化とも呼ばれます。一般的な戦略には、個人名などの個人識別子の削除またはマスキング、生年月日などの準識別子の抑制または一般化が含まれます。匿名化されたデータを使用して個人を識別する逆のプロセスは、データの再識別として知られています。再識別の成功 は、匿名化の有効性に疑問を投げかけます。14の異なる再識別攻撃の系統的レビューでは、「既存の標準に従って匿名化されていないデータに関する小規模な調査が支配的な高い再識別率」が見つかりました。
匿名化は、データプライバシー保護に向けた主要なアプローチの1つとして採用されています。通信、マルチメディア、バイオメトリクス、ビッグデータ、クラウドコンピューティング、データマイニング、インターネット、ソーシャルネットワーク、オーディオビデオ監視の分野で一般的に使用されています。
コンテンツ
1 例
1.1 調査の設計において
1.2 情報を使用する前に
2 匿名化
3 テクニック
3.1 仮名化
3.2 k-匿名化
4 アプリケーション
5 制限
6 アメリカ合衆国の匿名化法
6.1 セーフハーバー
6.2 専門家の決定
6.3 子孫に関する研究
7 も参照してください
8 参考文献
9 外部リンク
例
調査の設計において
国勢調査などの調査が行われるとき、彼らは特定の人々のグループに関する情報を収集します。参加を促し、調査回答者のプライバシーを保護するために、研究者は、人々が調査に参加するときに、参加者の個々の回答を公開されたデータと照合できないように調査を設計しようとします。
情報を使用する前に
オンラインショッピングWebサイトは、ユーザーの好みや買い物の習慣を知りたい場合、データベースから顧客のデータを取得して分析することを決定します。個人データ情報には、顧客がアカウントを作成したときに直接収集された個人識別子が含まれます。Webサイトは、顧客のプライバシーを侵害しないように、データレコードを分析する前に、匿名化手法によってデータを事前に処理する必要が
匿名化
匿名化とは、研究の主催者がいかなる条件下であっても、将来の再識別を防ぐために、研究のデータ提供者のIDからデータセットを不可逆的に切断することを指します。 匿名化には、特定の状況で信頼できる当事者によってのみ再リンクできる識別情報の保存も含まれる場合が 技術コミュニティでは、信頼できる当事者であっても再リンクできるデータを匿名化と見なすべきかどうかについて議論が
テクニック
匿名化の一般的な戦略は、個人識別子のマスキングと準識別子の一般化です。仮名をマスクするために使用される主な技術である個人識別子をデータレコードから、およびK-匿名化は、通常、一般化のために採用されている準識別子。
仮名化
仮名化は、実名を一時IDに置き換えることによって実行されます。個人識別子を削除またはマスクして、個人を識別できないようにします。この方法では、レコードが更新される場合でも、個人のレコードを経時的に追跡できます。ただし、データレコード内の属性の特定の組み合わせによって個人が間接的に識別される場合は、個人が識別されるのを防ぐことはできません。
k-匿名化
k-匿名化は、個人のIDを準識別子(QI)として間接的に指し示す属性を定義し、少なくともk人の個人にQI値の同じ組み合わせを持たせることによってデータを処理します。 QI値は、特定の基準に従って処理されます。たとえば、k-匿名化により、レコード内の元のデータの一部が新しい範囲値に置き換えられ、一部の値は変更されません。QI値の新しい組み合わせにより、個人の識別が防止され、データレコードの破壊も回避されます。
アプリケーション
匿名化の研究は、主に健康情報を保護するために推進されています。一部の図書館は、読者のプライバシーを保護するために医療業界で使用されている方法を採用しています。
ビッグデータでは、匿名化は個人や組織で広く採用されています。ソーシャルメディア、eコマース、ビッグデータの開発に伴い、匿名化が必要になる場合があり、ユーザーの個人データを分析する企業やサードパーティ組織がユーザーの個人データを収集する場合、データのプライバシー保護に使用されることがよく自分の個人的な使用法。
スマートシティでは、居住者、労働者、訪問者のプライバシーを保護するために匿名化が必要になる場合が厳格な規制がなければ、センサーは同意なしに情報を収集できるため、匿名化が困難になる可能性が
制限
人が遺伝学研究に参加するときはいつでも、生物学的標本の寄付はしばしば大量の個人化されたデータの作成をもたらします。このようなデータは、匿名化が非常に困難です。
遺伝子データの匿名化は、生物試料の膨大な遺伝子型情報、検体が病歴としばしば結びつくこと、 、データマイニング用の最新のバイオインフォマティクスツールの出現により、特に困難です。遺伝子型データセットの集合体コレクションに含まれる個人のデータは、検体提供者の身元に結び付けることができるというデモンストレーションが
一部の研究者は、遺伝学研究の参加者に匿名性を維持できると約束することは合理的ではないと示唆していますが、代わりに、そのような参加者は匿名化プロセスでコード化された識別子を使用することの限界を教えられるべきです。
アメリカ合衆国の匿名化法
2014年5月、米国大統領科学技術諮問委員会は、匿名化を「追加の保護手段としてある程度有用」であると判断しましたが、「短期的な将来の再識別に対して堅牢ではないため、「ポリシーの有用な基盤」ではありませんでした。メソッド」。
HIPAAプライバシールールは、患者の同意を必要とせずに責任を持って健康データを使用および開示するためのメカニズムを提供します。これらのメカニズムは、セーフハーバーと専門家の決定方法という2つのHIPAA匿名化基準に重点を置いています。安全な港は、特定の患者ID(名前、電話番号、電子メールアドレスなど)の削除に依存していますが、専門家の決定方法では、情報を個別に識別できないようにするための一般的に受け入れられている統計的および科学的原則と方法に関する知識と経験が必要です。
セーフハーバー
セーフハーバー方式では、リストアプローチを使用して匿名化を行い、次の2つの要件が
データからの18要素の削除または一般化。
対象事業体またはビジネスアソシエイトは、個人を特定するために、データ内の残りの情報を単独で、または他の情報と組み合わせて使用できるという実際の知識を持っていないこと。セーフハーバーは、匿名化に対する非常に規範的なアプローチです。この方法では、すべての日付を年に一般化し、郵便番号を3桁に減らす必要がコンテキストに関係なく、同じアプローチがデータに使用されます。急性呼吸器の症例の季節変動についてデータを分析したいため、入院月を必要とする信頼できる研究者と情報を共有する場合でも、この情報を提供することはできません。入学年のみが保持されます。
専門家の決定
専門家の決定は、リスクベースのアプローチを採用して匿名化を行い、現在の基準と調査のベストプラクティスを適用して、保護された健康情報から個人を特定できる可能性を判断します。この方法では、一般的に受け入れられている統計的および科学的原理と方法に関する適切な知識と経験を持つ人が、情報を個別に識別できないようにする必要が必要なもの:
情報の対象である個人を特定するために、予想される受信者が情報を単独で、または他の合理的に入手可能な情報と組み合わせて使用できるリスクは非常に小さいこと。
そのような決定を正当化する分析の方法と結果を文書化します。
子孫に関する研究
電子健康記録データの調査に関する重要な法律は、 HIPAAプライバシールールです。この法律は、死亡した被験者の電子健康記録を研究に使用することを許可しています(HIPAAプライバシールール(セクション164.512(i)(1)(iii)))。
も参照してください
遺伝的プライバシー
統計開示管理
参考文献
^ 権利(OCR)、市民局(2012-09-07)。「PHIの匿名化の方法」。HHS.gov 。
^ Sweeney、L。(2000)。「単純な人口統計はしばしば人々をユニークに識別します」。データプライバシーワーキングペーパー。3。
^ Montjoye、Y.-A。(2013)。「群衆の中でユニーク:人間の移動のプライバシーの限界」。ScientificReports。3:1376。Bibcode : 2013NatSR … 3E1376D。土井:10.1038 / srep01376。PMC3607247。_ PMID23524645。_
^ Montjoye、Y.-A。; Radaelli、L。; シン、VK; ペントランド、AS
「ショッピングモールでユニーク:クレジットカードのメタデータの再識別可能性について」。科学。347(6221):536–539。Bibcode:2015Sci … 347..536D。土井:10.1126 /science.1256297。PMID25635097。_
^ Narayanan、A。(2006)。「netflix賞のデータセットの匿名性を破る方法」。arXiv:cs / 0610105。
^ El Emam、Khaled(2011)。「健康データに対する再識別攻撃の系統的レビュー」。PLOSONE。10(4):e28071。Bibcode:2011PLoSO … 628071E。土井:10.1371 /journal.pone.0028071。PMC3229505。_ PMID22164229。_
^ Simson。、Garfinkel。個人情報の匿名化:暗号化アルゴリズムとキー長の使用を移行するための推奨事項。OCLC933741839。_
^ Ribaric、Slobodan; Ariyaeeinia、アラジン; Pavesic、Nikola。「マルチメディアコンテンツにおけるプライバシー保護のための匿名化:調査」。信号処理:画像通信。47:131–151。土井:10.1016 /j.image.2016.05.020。
^ ゴダール、BA; シュミットケ、JR; カシマン、JJ; Aymé、SGN(2003)。「生物医学研究のためのデータストレージとDNAバンキング:インフォームドコンセント、機密性、品質問題、所有権、利益の返還。専門家の視点」。ヒト遺伝学のヨーロッパジャーナル。11:S88–122。土井:10.1038 /sj.ejhg.5201114。PMID14718939。_
^ フラートン、SM; アンダーソン、NR; Guzauskas、G。; フリーマン、D。; Fryer-Edwards、K。(2010)。「次世代バイオリポジトリ研究のガバナンスの課題への対応」。科学翻訳医学。2(15):15cm3。土井:10.1126 /scitranslmed.3000361。PMC3038212。_ PMID20371468。_
^ マクマリー、AJ; ギルバート、カリフォルニア; レイス、BY; Chueh、HC; コハネ、IS; Mandl、KD(2007)。「公衆衛生、研究、および臨床ケアのための自己スケーリング、分散情報アーキテクチャ」。J Am Med InformAssoc。14(4):527–33。土井:10.1197 /jamia.M2371。PMC2244902。_ PMID17460129。_
^ 伊藤幸一; 小暮淳; 下山武; 津田宏(2016)。「個人情報を保護するための匿名化および暗号化技術」(PDF)。富士通科学技術ジャーナル。52(3):28–36。
^ Nicholson、S。; スミス、カリフォルニア(2006)。「図書館利用者のプライバシーを保護するための医療からの教訓の使用:HIPAAに基づく図書館データの匿名化のためのガイドライン」(PDF)。アメリカ情報科学技術協会の議事録。42:該当なし。土井:10.1002 /meet.1450420106。
^ コープ、アレックス。「プライバシーに関する厳しい決定を第三者に任せるというSidewalkLabsの決定は間違っている」と、元コンサルタントは述べています。ITワールドカナダ。
^ マクガイア、AL; ギブス、RA(2006)。「遺伝学:もはや匿名化されていない」。科学。312(5772):370–371。土井:10.1126 /science.1125339。PMID16627725。_
^ Thorisson、GA; Muilu、J。; ブルックス、AJ(2009)。「遺伝子型-表現型データベース:ポストゲノム時代の課題と解決策」。ネイチャーレビュー遺伝学。10(1):9–18。土井:10.1038 / nrg2483。hdl:2381/4584。PMID19065136。_ S2CID5964522。_
^ ホーマー、N。; Szelinger、S。; レッドマン、M。; Duggan、D。; Tembe、W。; Muehling、J。; ピアソン、JV; ステファン、DA; ネルソン、SF; クレイグ、DW(2008)。ヴィッシャー、ピーターM.(編)。「高密度SNPジェノタイピングマイクロアレイを使用して、非常に複雑な混合物に微量のDNAを提供する個人を解決する」。PLOSGenetics。4(8):e1000167。土井:10.1371 /journal.pgen.1000167。PMC2516199。_ PMID18767915。_
^ PCAST。「大統領への報告-ビッグデータとプライバシー:技術的展望」(PDF)。科学技術政策局。
– NationalArchives経由。
^ 「匿名化201」。プライバシー分析。2015年。
^ 「HIPAAトレーニング要件」。HIPAAジャーナル(アメリカ英語)。2021-11-26を取得しました。
^ 45 CFR 164.512)
外部リンク
シムソンL.ガーフィンケル(2015-12-16)。「NISTIR8053、個人情報の匿名化」 (PDF)。NIST 。
米国政府の匿名化基準に関するトレーニングシリーズ
保護された健康情報の匿名化の方法に関するガイダンス
オーム、ポール(2010)。「プライバシーの約束の破れ:匿名化の驚くべき失敗への対応」 (PDF)。UCLAローレビュー。57:1701–77。
Padilla-López、JoséRamón; Chaaraoui、Alexandros Andre; Flórez-Revuelta、フランシスコ。「視覚的プライバシー保護方法:調査」 (PDF)。アプリケーションを備えたエキスパートシステム。42(9):4177–4195。土井:10.1016 /j.eswa.2015.01.041。hdl:10045/44523。
Chaaraoui、Alexandros; Padilla-López、José; フェランデス-牧師、フランシスコ; Nieto-Hidalgo、マリオ; Flórez-Revuelta、フランシスコ
「インテリジェントモニタリングのためのビジョンベースのシステム:コンテキストによる人間行動分析とプライバシー」。センサー。14(5):8895–8925。Bibcode:2014Senso..14.8895C。土井:10.3390 / s140508895。PMC4063058 。_ PMID24854209 。_