Personal Health Information De-identified Performing Methods in Big Data Environments

Ya-Ri Lee,Young-Chul Chung,Jung-Sook Kim,Ho-Kyun Park 보안공학연구지원센터 2016 International Journal of Software Engineering and Vol.10 No.8

The field that shows the most promise among the application areas of Big Data is the medical sector. We must first deal with the problems of the invasion of privacy and misuse of personal information before we can utilize personal health information. There is a method known as the de-identification of personal health information which is one of the methods that can be used to perform the tasks of the protection and the utilization of personal health information at the same time. De-identification refers to the process of making it impossible to know the identity of an individual just by the information that is revealed. The biggest problem related to de-identification is the phenomenon of re-identification. Even with information that at first cannot be used to readily identify an individual, when enough of it has accumulated in various categories, it may become possible to identify the hidden individual behind it. What makes de-identification difficult is that one cannot completely rule out the possibility of re-identification, and that the information becomes an object of much regulatory legislation if it is re-identified as personal information. Thus, it is a priority to reach an agreement among the many parties involved since we need to organize the data into categories that are actually used. This study seeks to analyze the current state of de-identification measures which are some of the protective measures for personal information for the safe utilization of Big Data in the medical sector, both in and out of Korea, and to propose implementation plans for safe de-identification. Furthermore, this study advocates an active consideration of the establishment of a "central tower" agency which will be able to carry out the much-needed continuous monitoring for re-identification as well as the assessment of the adequacy of the de-identification methods.

개인신용정보 비식별 조치의 내용과 한계에 관한 연구

백승엽,김일환 성균관대학교 법학연구원 2017 성균관법학 Vol.29 No.4

현행 개인정보보호법상 개인정보란 특정한 개인을 ‘식별할 수 있는’정보를 의미한다. 개인정보를 대상으로 하는 조사, 수집, 보관, 이용 등의 행위는 원칙적으로 개인정보자기결정권에 대한 제한에 해당하므로 개인정보보호법은 개인정보처리자가 당초 수집, 이용 목적 외로 개인정보를 이용 또는 제3자에게 제공하는 것을 원칙적으로 금지하고, 예외적으로 정보주체로부터 동의를 받은 경우 등에만 이를 허용한다. 신용정보의 이용 및 보호에 관한 법률(이하 신용정보법) 또한 신용정보회사 등이 개인신용정보를 타인에게 제공하는 경우 원칙적으로 신용정보주체의 개별 동의를 받도록 하고, 일부 예외적인 경우에만 동의 없는 제공을 인정하고 있다. 그러나 비식별(de-identification) 조치된 정보의 경우에는 양법 모두 정보주체의 동의 없이 개인신용정보를 제공 및 이용할 수 있도록 허용하고 있다. 특히 신용정보법은 비식별 정보에 대한 특별 취급을 하고 있는데, 첫째 신용조회회사는 개인신용정보를 그 지배주주 및 계열회사에게 제공할 수 없지만, 비식별 조치된 정보는 예외적으로 제공을 허용하고 있고, 둘째 신용정보회사 등이 ‘통계작성 및 학술연구 등을 위하여 필요한 경우로서 특정 개인을 알아볼 수 없는 형태로 개인신용정보를 제공받기 위한 목적’으로 사용하는 자에게 개인신용정보를 제공하는 경우에는 정보주체의 동의 없이도 가능하며, 셋째 통계작성 및 학술연구를 목적으로 비식별 조치를 하면 정보주체의 동의 없이도 목적 외 이용이 가능하게 된다. 그러나 이러한 법적근거에도 불구하고 비식별 조치는 몇 가지 근본적인 문제점을 가지고 있다. 첫째 비식별 조치는 개인정보자기결정권의 핵심인 정보 주체의 동의권을 행사할 수 없도록 하는 조치임에도 불구하고, 그러한 기본권 제한의 근거를 신용정보법에서 위임하고 있지 않은 점, 둘째 비식별 조치 사유로서 통계작성과 학술연구 목적을 열거하고 있는 바, 이는 통계작성이나 학술연구 두 가지 목적이 아닌 다른 사유를 근거로 비식별 조치가 허용되지 않음으로써 본래의 도입 목적인 빅데이터 산업 활성화와는 상관없이 작동하게 되어 버린 점, 셋째 법문의 ‘통계작성 및 학술연구 등’이라는 개념이 포괄적이고 불확정적이며 예시적인 형태로도 해석이 가능하고, 대량의 정보가 저장, 조합, 분석되는 빅데이터 처리 과정에서 다른 정보와의 결합을 통해 당초의 개인신용정보로 재식별될 가능성을 무시할 수 없는 등 개인정보자기결정권이 침해될 수 있는 점, 다섯째 현행 법률은 물론이고 개정안 어디에서도 비식별 조치에 대한 구체적인 판단기준이나 한계의 불명확성으로 인해 그 위반행위에 대한 처벌 구성요건을 적용하기가 어려워 죄형법정주의에 위배될 수 있는 문제점을 가지고 있다. On existing privacy protection act, the privacy protection means information that can identify specific individual. Since actions like investigation, collection, keep, use focused on personal information apply as a rule the limit of individual privacy protection right, the privacy protection law in principle prohibits the case that the manager of personal information uses his information out of purpose of collection, use, or provides a third party with information. By the way, exceptionally he can be allowed if principals of information afford the agreement. Credit information act (the law about use and protection of credit information) also exceptionally acknowledges the offer without agreement the case of a credit information company offers personal credit information to others, in principal after receiving individual agreement of credit information object. However, in the case of the information that takes de-identification action, both allow one provides personal credit information without agreement of principals of information or uses it. In other words, personal information protection act defines one can provide personal information to a third party or use information as a use except of purpose in the case of providing personal information as a form that nobody can identify specific individual for the purpose of statistics producing and academic research if one has no risk to unfairly violate profits of principals of information or a third party. For this, similar to personal information protection act, de-identification information admits the use except of primary purpose and providing to a third party without an agreement of principals of information. This purpose of act presumes through de-identification action, since information that specific principal of information is unrecognizable is no more personal information, it is not applied to individual information protection act, and it can’t violate individual information right that is protected by constitution. Also the government is implementing personal information de-identification guide line announced for clearly abducing de-identification action standard and de-identification information application scope of individual information to utilize Big Data safely in the form of personal information protection act along the appearance of a new ear like Big Data , IoT, etc. Especially, credit information act does special handling about de-identification information. Firstly, a credit inquiry company is not able to provide personal credit information to the controlling shareholder and subsidiary, but it can provide de-identified information exceptionally. Second, in the case a credit information company provides personal credit information to the one who uses it as the purpose to be provided personal credit information that a specific individual can’t be recognized for statistics writing and academic research. In this case, the agreement of principals of information is not needed. Additionally, for statistics writing and academic research, after de-identification action, one can use out of purpose without agreement of principals of information. However, in spite of these legal bases, de-identification action has several fundamental problems. First, de-identification action is the action that prohibits principals of information from the agreement right that is the core of personal information right. Though, the basis of prohibition of basic human right is not delegated by credit information act. Second, the reason of de-identification action is statistics and academic research. This is operating regardless Big Data industry vitalization that was primary introduction purpose, not the original twin purposes, with other reasons. And It can’t be allowed as de-identification action. Third, in the law, the notion of statistics writing and academic research is not obvious and comprehensive and interpreted as a form of foreshadower. And in the handling process that wholes...

개인정보 비식별 조치 가이드라인의 법률적 의미와 쟁점

전승재(Jeon, Seung Jae),주문호(Joo, Moon Ho),권헌영(Kwon, Hun Yeong) 한국정보법학회 2017 정보법학 Vol.20 No.3

The Personal Information Protection Act of Korea includes strict opt-in clause for prior consent thereby forcing personal information processors who collect⋅use⋅provide personal information to third parties(herein after denoted collectively as ‘processing’) to clearly acquire consent from the individuals concerned in advance; at the same time, personal information thusly acquired may only be used within the parameters of the consent given explicitly for processing. However, it is difficult to apply such measures in the big data environment we are facing. As alternative, the concerted effort from 6 government ministries of the Korean government led to the announcement of the ｢Guideline for Personal Information De-identification Measures｣ on June 30, 2016 which allows the use of de-identified personal information for big data analysis and also the establishment of standards for technical⋅managerial measures for data processors. Such efforts are very encouraging in that the institutional foundation that allow big data analysis and exchange of analyzed data is being built. However, despite the establishment of such a guideline, there still exist a number of issues that need legislative⋅policy actions. First, despite the title of the Guideline for Personal Information De-identification Measures, the legal characteristics of this Guideline confers administrative regulatory authority that greatly affects the big data industry and the rights⋅obligations of its practitioners; as such, prior to enactment of this Guideline, appropriate regulatory control procedures such as administrative notice and opinion gathering should have been followed. Second, this Guideline imposes post management responsibilities on de-identified information; the core of this management basically consists of the transferor of personal information to inform and demand the transferee to stop processing of the transferred personal information if there is possibility of re-identification as well as all other measures such as the retrieval⋅deletion of the compromised information. But because such post management responsibilities have been incorporated into this Guideline and enforced on the public without proper delegation from legal regulations, thereby creating a possible conflict with the principle of legal reservation. Third, the enforcement of post management responsibilities above possesses a large likelihood of discouraging the exchange of the result of big data analysis. The burden posed on the transferor of de-identified personal information even after the transfer to monitor possible risks of re-identification means that the transferor is not free from the risk of re-identification of transferred information over which the transferor has no control whatsoever. Therefore, preparing relevant legal regulations to reasonably limit the responsibility of the transferor so long as the transferor has faithfully followed the measures in the Guideline and punishing the perpetrators of the illegal act of re-identification together with the transferee for not preventing such acts is more in line with the efforts to promote the big data industry. Fourth, the Guideline for Personal Information De-identification Measures defines information that have not been properly processed in accordance with the de-identification measures and procedures as ‘personal information’ which leads to the logical conclusion that the act of de-identification may be seen as intrusion on personal information. In such case, a review is needed to determine if such minor negligence should be punished based on the same legal grounds. Fifth, because external experts carry out the evaluation of the appropriateness of the de-identification measures and these experts are legally different entities from the personal information processors, a standard for distributing responsibility of the risk of de-identification is needed. 우리나라 개인정보 보호법은 엄격한 사전동의 방식(Opt-In)을 채택하여, 개인정보처리자는 개인정보를 수집⋅활용⋅제3자 제공(이들을 일괄하여 지칭할 경우 이하 ‘처리’라 한다)함에 있어 사전에 정보주체의 명시적 동의를 받아야 하며, 그 동의 받은 처리목적 범위 내에 한정하여서만 이를 활용할 수 있다. 그러나 이와 같은 규제 방식은 빅데이터 환경에서 그대로 적용되기 어렵다. 대안으로 정부는 6개 부처 합동으로 2016. 6. 30. ｢개인정보 비식별 조치 가이드라인｣을 발표함으로써 비식별화(de-identification)를 거친 개인정보를 빅데이터 분석 용도로 사용할 수 있도록 허용하고 이를 위해 사업자가 취해야 할 기술적⋅관리적 조치의 기준을 마련하기에 이르렀다. 이로 인해 빅데이터 분석 및 분석된 데이터의 교류가 가능해지도록 하는 제도적 기반이 조성되었다는 점은 상당히 고무적이다. 다만, 이번 가이드라인의 제정에도 불구하고 다음과 같은 문제점이 발견되어 입법적⋅정책적 해결을 요한다. 첫째, 개인정보 비식별 조치 가이드라인은 그 명칭에도 불구하고 법적 성질은 행정규칙에 해당하며, 빅데이터 산업의 방향성과 그 종사자들의 권리⋅의무에 지대한 영향을 미친다는 점을 고려할 때 그 제정에 앞서 행정예고 및 사전 의견청취와 같은 규 범통제 절차를 거칠 필요가 있었다. 둘째, 개인정보 비식별 조치 가이드라인은 비식별 정보에 대한 사후관리 의무를 부과하고 있는데, 여기에는 비식별 정보의 양도인이 사후에 재식별 가능성을 발견할 경우 이를 즉시 양수인에게 통지하고 처리 중단 요구 및 해당 정보의 회수⋅파기 등 조 치를 하여야 한다는 내용이 포함되어 있다. 그런데 위와 같은 사후관리 의무는 법률규정의 위임 없이 이번 가이드라인에서 독자적으로 정하여 일반국민에게 부과한 것으로서 법률유보원칙과 조화되기 어려운 측면이 있다. 셋째, 위와 같은 사후관리 의무의 부과는 빅데이터 분석 결과의 교류 자체를 위축시킬 우려가 크다. 비식별 정보의 양도인으로서는 해당 데이터를 양수인에게 전달한 이후에도 출현할 수 있는 재식별 위험을 모니터링하여 이를 양수인에게 알려주어야 하 는 새로운 의무를 부담함으로 인하여, 향후 양도인 자신의 책임 영역 밖에서 언제든지발생할 수 있는 재식별 리스크를 떨치지 못하게 되기 때문이다. 따라서 비식별 정보의 양도인이 가이드라인에 따른 조치를 충실히 수행한 경우 향후 그의 책임 영역 밖에서 발생하는 재식별 행위에 대하여는 그 재식별 행위자 및 재식별을 방지하지 못한 양수인의 책임을 추궁하는 것에 그치고, 양도인의 책임을 합리적인 범위 내로 제한할 수있는 근거규정을 마련하는 것이 빅데이터 산업 활성화 취지에 부합할 것이다. 넷째, 개인정보 비식별 조치 가이드라인은 비식별 조치의무를 ‘불충분’하게 거친 정보의 경우 ‘개인정보’에 해당한다고 보아 그 처리 행위에 대해 개인정보 침해에 관한처벌규정을 그대로 적용하는 논리구조를 취하고 있으나, 고의⋅중과실에 이르지 않고 단순 경과실로 비식별 조치의무를 불이행한 경우에도 동일한 근거규정으로 처벌할 수 있는지 여부에 대하여 검토가 필요하다. 다섯째, 비식별 조치의 적정성 평가를 수행하는 외부위원은 해당 정보의 개인정보처리자와는 별개의 법적 주체이므로, 그러한 외부위원에게 어느 정도의 비식별 위험에 관한 책임을 분배시킬 수 있는지에 관한 기준이 필요하다.

데이터 비식별화 논의의 쟁점과 맹점

오길영 한국공법학회 2016 공법연구 Vol.45 No.2

This paper aims to point out the discussion needed for progress on the occasion of current domestic debate situation that remains in a state of constant confrontation and standstill concerning de-identification of data. This article focuses on discussion related to de-identification of data, make classification by the point of Issue and Blind and composed of reviewing each of the two themes. The first part of this article focuses on a point of Issue, reviewing the ‘concept definition’ and ‘composition of legal principle’ over de-identification. On a part of the concept definition, I try to clarify real meaning of de-identification, which we are currently discussing, by analysis of the concept element of personal information and de-identification. On a part of the composition of the legal principle, through reviewing the privisions associated with de-identification which is existing in current legislation, and analysis on the content of foreign legislation associated with de-identification, I try to reveal the meaning of new provisions which discussed in the current debate. To sum up of reviewing on a point of Issue, the current domestic policy of de-identification is that excluding from regulation of personal information protection law for data which is below the international level in processing level, means ‘no-regulation’ and ‘no-countermeasure’ ultimately. The first part of this article focuses on a point of Blind, as for the current legal debate which has not been fully understood about technical field of de-identification, I try to present and analyze two problems that are not considered yet. First, I analyze the technical limitations of de-identification. That is, the level of processing for data is not so clear in the setting of the category, and the reliability is also not inherently high. In short, the de-identification technology is incomplete. Next, I argue the legal limitations of the protection of personal information about the recent data processing. In other words, new types of information that are not included in the scope of personal information should be countered through introduction of the new interest concept on a legal protection. About this, I proposed new possibilities of privacy rights as an alternative. 본고는 데이터 비식별화에 대한 담론이 지속적인 대립과 답보 상태에 머물러있는 현재의 국내 상황에 즈음하여, 그 진전을 위하여 필요한 논의들을 검토하는 글이다. 이 글은 비식별화와 관련된 논점들에 대하여 크게 ‘쟁점’과 ‘맹점’으로 대분하면서, 각각 2개씩의 세부주제에 대한 검토를 진행하는 형태로 구성된다. 글의 전반부인 쟁점 부분에서는, 비식별화를 둘러싼 ‘개념 정의’와 ‘법리 구성’에 대한 검토를 진행한다. 개념 정의에 대한 검토에 있어서는, 개인정보에 대한 개념요소와 비식별화의 개념요소를 분석하여 현재 우리가 논의하고 있는 비식별화의 정체를 제대로 밝히고자 하였다. 법리 구성에 대한 검토에 있어서는, 현행 입법에 존재하는 비식별화와 연관되는 규정들을 검토하고 비식별화에 대한 입법을 가지고 있는 외국규정의 내용을 분석하여, 현재 담론에서 논의되고 있는 새로운 규정들의 의미를 분석하였다. 쟁점 부분에서의 검토내용을 간추리자면, 현재 국내의 비식별화 정책은 그 가공의 수준에 있어 국제수준 이하인 데이터들을 대상으로 개인정보보호법의 규제대상에서 제외시킴으로써 그야말로 ‘무규제․무대책’의 정책이라는 것이다. 글의 후반부인 맹점 부분에서는, 비식별화 기술에 대하여 충분한 이해가 없는 채로 진행되어 온 지금의 법적 담론에 있어, 미처 고려하지 못하고 있는 문제점 두 가지를 제시하고 분석한다. 먼저 비식별화의 기술적인 한계를 분석한다. 데이터에 대한 가공수준이라는 것이 그 범주의 설정에 있어 그리 명확할 수 없다는 점, 그리고 그 신뢰도 또한 본질적으로 높을 수가 없다는 것이 그것이다. 요컨대 비식별화 기술은 불완전하다는 것이다. 다음으로 현행 개인정보 보호법리로 데이터 가공과 같은 새로운 기술을 감당할 수 없다는 법적 한계를 분석한다. 즉 개인정보의 범위에 포섭되지 않는 새로운 형태의 정보들에 대하여는 새로운 보호법익의 도입을 통하여 대응해야 한다는 것이다. 이에 대하여 필자는 프라이버시권의 새로운 가능성을 대안으로 제시한다.

데이터 비식별화 정책에 대한 규범적 비판

오길영 한국공법학회 2017 공법연구 Vol.46 No.2

This paper aims to criticize the government’s policy about de-idenified data from the normative standpoint, regarding the recent case of de-identified data binding events. The main content of this article is that analyzing the problems of ‘guidelines for de-identification’ which is prepared by the government to activate the data industry where we were in a state of constant confrontation and stalling around de-identification, and that examination of the problems about theories that support the overall de-identification policy. For this review, this paper divides the issues related to de-identification into three topics: ‘problem of conceptual interpretation’, ‘problem of processing level’, and ‘problem of safety procedure’. First of all, the ‘problem of conceptual interpretation’ is examined based on the interpretation of the guideline on the concept of personal information, and the problems implied in various concept definitions surrounding de-identification are examined. In particular, it is important to review the problems of the interpretation of the guidelines, which have been criticized for creating new regulations beyond the limits of the interpretation. Next, in the ‘problem of processing Level’ part, I tried to diagnose the actual level of processing and to identify problems related to it, based on the actual case of data merging which is used the guidelines as a basis. The content is to review the disputes about the method and level of data processing, which are problems arising from mixed use of ‘anonymization’ and ‘pseudonymization’ and ‘specific possibility’, and conflicting interpretations of encryption, etc. Finally, in the ‘problem of safety procedure’ part, I reviewed various safety assurance procedure for data merging. For example: Composition and evaluation of the newly tried evaluation team by guidelines, merging support by specialized agencies, the distinction between ‘identifiability’ and various safeguards as follow-up measures. Each problem was analyzed from a critical point of view. These critical analyzes are ultimately for the establishment of correct de-identification policies. In other words, it is a normative examination for the social acceptance of new technologies, not for preventing the entry of new technologies. I hope that the analysis of this article will be used as a meaningful foundation for smooth technology entry. 본고는 최근 사회적 문제로 불거진 비식별화 데이터 결합 사건에 대하여, 규범학의 입장에서 우리 정부의 비식별화 정책을 비판하기 위한 글이다. 비식별화를 둘러싸고 지속적인 대립과 답보 상태에 머물러있던 국내의 데이터 산업의 활성화를 위해 범정부차원에서 마련했던 ‘비식별 조치 가이드라인’의 문제점을 분석하고, 이를 통해 비식별화 정책의 전반을 지지하고 있는 이론들의 문제점들을 검토하는 것이 이 글의 주요한 내용이다. 이러한 검토를 위하여 본고는, 비식별 조치와 관련된 논점들에 대하여 크게 ‘개념해석의 문제’와 ‘가공수준의 문제’, 그리고 ‘안전장치의 문제’로 구분하여 분석을 진행한다. 먼저 ‘개념의 해석 문제’ 부분에서는, 개인정보의 개념에 대한 가이드라인의 해석을 기반으로 하여 비식별화를 둘러싼 여러 개념 정의에 내포된 문제점들을 검토한다. 특히 해석상의 한계를 넘어 새로운 규정을 창설하기까지 하였다는 비판을 받고 있는 가이드라인의 해석상 문제점을 상세히 검토하는 것을 주요한 내용으로 한다. 다음으로 ‘가공수준의 문제’ 부분에서는, 가이드라인의 기반으로 하여 실제 진행된 데이터 결합의 사례를 기반으로 하여 그 가공의 수준을 진단하고 이와 관련된 문제점들을 밝히고자 하였다. ‘익명화’와 ‘가명화’ 등 용례의 혼용으로 인하여 발생하는 문제와 함께 암호화에 대한 상치되는 해석 등 데이터 가공의 기법과 수준에 대한 논박들을 검토하는 것을 주요한 내용으로 한다. 마지막으로 ‘안전장치의 문제’ 부분에서는, 데이터 결합을 위해 마련한 각종의 안전성 확보 장치들에 대하여 검토를 진행하였다. 가이드라인을 통해 새로이 시도된 적정성 평가단의 구성과 평가, 분야별 전문기관에서의 결합지원, ‘식별 가능성’과 ‘특정 가능성’의 구별문제, 그리고 사후조치로서의 각종 안전장치에 대하여 비판적인 시각에서 각각의 문제점들을 분석하였다. 이러한 비판적 분석들은, 결국 올바른 비식별화 정책의 수립을 위한 것이다. 즉 새로운 기술의 사회적 수용을 위한 규범적 검토인 것이지, 새로운 기술의 진입을 막기 위함이 아니다. 이 글의 분석이 원활한 기술 진입을 위한 의미 있는 초석으로 활용되기를 기대해 본다.

의료 비정형 텍스트 비식별화 및 속성기반 유용도 측정 기법

노건,전종훈 한국전자거래학회 2019 한국전자거래학회지 Vol.24 No.1

De-identification is a method by which the remaining information can not be referred to a specific individual by removing the personal information from the data set. As a result, de-identification can lower the exposure risk of personal information that may occur in the process of collecting, processing, storing and distributing information. Although there have been many studies in de-identification algorithms, protection models, and etc., most of them are limited to structured data, and there are relatively few considerations on de-identification of unstructured data. Especially, in the medical field where the unstructured text is frequently used, many people simply remove all personally identifiable information in order to lower the exposure risk of personal information, while admitting the fact that the data utility is lowered accordingly. This study proposes a new method to perform de-identification by applying the k-anonymity protection model targeting unstructured text in the medical field in which de-identification is mandatory because privacy protection issues are more critical in comparison to other fields. Also, the goal of this study is to propose a new utility metric so that people can comprehend de-identified data set utility intuitively. Therefore, if the result of this research is applied to various industrial fields where unstructured text is used, we expect that we can increase the utility of the unstructured text which contains personal information. 비식별화는 데이터셋으로부터 개인정보를 제거함으로써 개인을 식별할 수 없도록 하는 방법으로, 정보를 수집, 가공, 저장, 배포하는 과정에서 발생할 수 있는 개인정보 노출 위험도를 낮추기 위해 사용한다. 그간 비식별화와 관련된 알고리즘, 모델 등의 관점에서 많은 연구가 이루어졌지만, 대부분은 정형 데이터를 대상으로 하는 제한적인 연구로, 비정형 데이터에 대한 고려는 상대적으로 많지 않은 실정이다. 특히 비정형 텍스트가 빈번히 사용되는 의료 분야의 경우에서는 개인 식별 정보들을 단순 제거함으로써 개인정보 노출 위험도는 낮추지만, 그에 따른 데이터 활용성이 떨어지는 점을 감수하는 실정이다. 본 연구는 개인정보 보호 이슈가 가장 중요하고 따라서 비식별화가 활발하게 연구되고 있는 의료분야 데이터 중 비정형 텍스트를 대상으로 k-익명성 보호모델을 적용한 비식별화 수행 방안을 제시하고, 비식별화 결과에 대한 새로운 유용도 측정 기법을 제안하여 이를 통해 직관적으로 데이터 활용성을 판단할 수 있도록 하는 것을 목표로 한다. 따라서 본 연구의 결과물이 의료 분야뿐만 아니라 비정형 텍스트가 활용되는 모든 산업 분야에서 활용될 경우, 개인 식별 정보가 포함된 비정형 텍스트의 활용도를 향상시킬 수 있을 것으로 기대한다.

개인정보를 활용한 비식별정보의 유용성 측정 방법에 관한 연구

김동현(Dong-Hyun Kim) 한국컴퓨터정보학회 2022 韓國컴퓨터情報學會論文誌 Vol.27 No.6

국내외에서 개인정보의 안전한 활용을 위한 비식별 조치에 대한 관심이 높아지고 있으나 불충분한 비식별 조치 및 추론 등을 통해 비식별 정보가 재식별되는 사례가 발생하고 있다. 이러한 문제점을 보완하고 비식별 조치 신기술을 발굴하기 위해 비식별 정보의 안전성과 유용성을 경진하는 대회를 국내와 일본에서 개최하고 있다. 본 논문은 이러한 경진대회에서 사용되고 있는 안전성과 유용성 지표를 분석하고 보다 효율적으로 유용성을 측정할 수 있는 새로운 지표를 제안하고 검증하고자 한다. 비식별 처리 분야에 수학 및 통계 분야의 전문가가 현저히 부족하여 많은 모집단을 통한 검증은 할 수는 없었지만 신규 지표에 대한 필요성과 타당성에 대해 매우 긍정적인 결과를 도출할 수 있었다. 우리나라의 방대한 공공데이터를 비식별 정보로 안전하게 활용하기 위해서는 이러한 유용성 측정 지표에 대한 연구가 꾸준히 진행되어야 하며, 본 논문을 시작으로 보다 활발한 연구가 진행되길 기대한다. Although interest in de-identification measures for the safe use of personal information is growing at home and abroad, cases where de-identified information is re-identified through insufficient de-identification measures and inferences are occurring. In order to compensate for these problems and discover new technologies for de-identification measures, competitions to compete on the safety and usefulness of de-identified information are being held in Korea and Japan. This paper analyzes the safety and usefulness indicators used in these competitions, and proposes and verifies new indicators that can measure usefulness more efficiently. Although it was not possible to verify through a large population due to a significant shortage of experts in the fields of mathematics and statistics in the field of de-identification processing, very positive results could be derived for the necessity and validity of new indicators. In order to safely utilize the vast amount of public data in Korea as de-identified information, research on these usefulness metrics should be continuously conducted, and it is expected that more active research will proceed starting with this thesis.

통계모형의 정확도에 기반한 비식별화 데이터의 품질 측정

전희주,이현지,연규필,김동례 한국콘텐츠학회 2019 한국콘텐츠학회논문지 Vol.19 No.5

In this study, the method of quality measurement for the statistical usefulness of de-identified data was examined in terms of prediction accuracy by statistical modeling. In the era of the 4th industrial revolution, effective use of big data is essential to innovation through information and communication technology, but personal information issues are constrained to actively utilize big data. In order to solve this problem, de-identification guidelines have been established and the possibility of actual re-identification of personal information has become very low due to the utilization of various de-identification methods. On the other hand, strong de-identification can have side effects that degrade the usefulness of the data. We have studied the quality of statistical usefulness of the de-identified data by KLT model which is a representative de-identification method, A case study was conducted to see how statistical accuracy of prediction is degraded by de-identification. We also proposed a new measure of data usefulness of the de-identified data by quantifying how much data is added to the de-identified data to restore the accuracy of the predictive model. 본 연구에서는 개인정보 비식별화 데이터의 통계적 유용성에 대한 품질 측정 방안에 대하여 통계 모형화에 따른 예측 정확도 측면에서 고찰하였다. 4차 산업혁명 시대에서 정보통신기술을 통한 혁신에는 반드시 빅데이터의 효과적인 활용이 필수적이지만, 개인정보 이슈는 적극적인 빅데이터 활용에 제약이 되고 있다. 이를 해결하기 위해 비식별화 가이드라인이 제정되었으며 다양한 개인정보 비식별화 방법이 활용되면서 개인정보의 실질적인 재식별 가능성은 매우 낮아졌다. 반면에 강력한 비식별화는 데이터의 유용성을 떨어뜨리는 부작용이 나타날 수 있다. 그 동안은 재식별 불가능한 비식별화 방법이 연구의 주를 이루어 왔다면 본 연구에서는 대표적인 비식별 방법인 KLT 모형에 의한 비식별화 데이터에 대한 통계적 유용성 측면의 품질 측정에 대하여 연구하였다. 비식별화 데이터에 대한 통계적 예측모형의 정확도에 기반하여 비식별화 된 데이터의 통계적 유용성이 어느 정도 훼손되는지에 대하여 사례분석을 수행하였다. 또한, 비식별 자료에 어느 정도의 비식별화 되지 않은 자료가 추가되어야 예측모형의 정확도를 회복하는 지를 살펴봄으로써 비식별화된 자료의 데이터 유용성 정도에 대한 새로운 측정지표를 제안하였다.

논문 : 데이터 상업화 과정으로서의 개인정보 비식별화

오길영 ( Kil Young Oh ) 민주주의법학연구회 2015 민주법학 Vol.0 No.58

본고는 현재 ICT 분야의 ‘핫이슈’라고 칭해지는 개인정보의 비식별화에 대하여 법적인 그리고 사회과학적인 검토를 하기 위한 글이다. 이 글은 빅데이터의 핵심기술이라 칭해지는 개인정보 비식별화가 미완의 상태임에도 불구하고, 박근혜 정부의 소위 ‘창조경제’ 입김에 힘입은 빅데이터 열풍 덕분에 이러한 문제점들이 가려져 아직 국내에서는 제대로 된 담론이 충분히 형성되지 못한 상태이기 때문에 작성되었다. 글의 전반부는 데이터의 상업화에 관하여 검토한다. 폐기대상이던 데이터들의 재활용이 불러온 새로운 가능성에 대하여 대표적인 사례와 변화의 내용을 중심으로 빅데이터가 꿈꾸는 블루오션을 진단한다. 글의 중반부에서는 데이터의 비식별화에 대하여 본격적으로 검토하였다. 먼저 비식별화의 대상이 되는 데이터들을 분석함으로써, 비식별화의 실체가 결국 개인정보에 대한 법적 제한을 회피하기 위한 기술적 방안임을 밝힌다. 다음으로 국내에서 추진 중인 비식별화가 이미 재식별의 가능성을 포함하고 있는 우려스러운 방법임을 밝힌다. 이는 미국에서의 경험적 사례와 비식별화에 관한 용례의 분석을 통해 진행 된다. 마지막으로는 빅데이터의 내재적 한계에 대하여 검토한다. 차별과 배제를 제대로 고려하지 못하게 되는 빅데이터 분석의 본연적 맹점에 대한 검토를 통하여 데이터 가공의 위험성을 짚어본다. 글의 후반부에는 지금까지의 논의를 바탕으로 한 필자의 평가와 우려를 짧은 분량으로 담았다. 오염된 토양위에 진행되고 있는 국내 빅데이터 담론에 대한 비판과, 새로운 디지털 시대에 있어 종래의 정보보호 메커니즘이 맞게 될 혼란에 대한 우려가 그것이다. This paper aims at legal and socio-scientific analysis of the de-identification of personal data, which is referred to as a ‘hot issue’ of the current ICT sector. Even if the de-identifying personal data, which is called core technology of Big Data, is still in a problematic state, problems are covered with Big Data craze thanks to the so-called ‘creative economy’ backing of ‘Park Geun-hye’ regime and are not properly discussed in domestic academia. This is why I am writing. The first part of this article reviews the commercialization of data. I diagnose the blue ocean Big Data is dreaming, and new possibilities created by data recycling, focusing on recent changes and typical examples. In the middle part of this article, I allot concentrated analysis of the de-identification on personal data. Firstly, through the analysis of the data which are the very subject of de-identification process, I reveal that the reality of de-identification is technical measures intended to circumvent the legal regulations for personal data protection. Then I point out that the de-identification process promoted by the Korean government raises a serious concern because de-identification already includes the possibility of re-identification. To do this, I examine the related US cases and analyze how the term is used in various countries. Finally, I review the immanent limit of Big Data. Also, I review the danger of data processing, demonstrating the weaknesses of Big Data analysis that it does not consider the discrimination and exclusion from itself. In the last part of this article, I criticize the situation of domestic discourse on Big Data being in progress on the contaminated soil, and express the fear that the current data protection mechanisms would soon be faced with a great confusion in the new digital era.

재식별 시간에 기반한 k-익명성 프라이버시 모델에서의 k값에 대한 연구

김채운 ( Chaewoon Kim ),오준형 ( Junhyoung Oh ),이경호 ( Kyungho Lee ) (사)한국빅데이터학회 2020 한국빅데이터학회 학회지 Vol.5 No.2

빅데이터 활용 기술의 발전으로 데이터의 저장 및 공유가 늘어나면서 그에 따른 프라이버시 침해가 일어나게 되었다. 이 문제를 해결하기 위해 비식별 기술이 도입되었지만 비식별된 데이터에 대해서도 재식별이 가능하다는 것이 여러 차례 증명되었다. 재식별 가능성이 존재하기 때문에 완전히 안전할 수 없지만 그럼에도 불구하고 충분한 비식별처리가 이루어져야 하는데, 현재 법령이나 규제는 어느 정도로 비식별 처리를 해야 하는지 정량적으로 규정하고 있지 않다. 본 논문에서는 재식별 작업을 할 때 소요되는 시간을 고려하여 적절한 비식별 기준을 제시하려고 한다. 다양한 비식별 평가 모델 중에서 k-익명성 모델에 대해 집중적으로 연구하였으며 어느 정도의 k값이 적절한 지 판단하였다. 본 연구의 결과를 일반화시킬 수 있다면 각종 법률 및 규제에서 적절한 비식별 강도를 규정하는 데 사용할 수 있을 것이다. With the development of data technology, storing and sharing of data has increased, resulting in privacy invasion. Although de-identification technology has been introduced to solve this problem, it has been proved many times that identifying individuals using de-identified data is possible. Even if it cannot be completely safe, sufficient de-identification is necessary. But current laws and regulations do not quantitatively specify the degree of how much de-identification should be performed. In this paper, we propose an appropriate de-identification criterion considering the time required for re-identification. We focused on the case of using the k-anonymity model among various privacy models. We analyzed the time taken to re-identify data according to the change in the k value. We used a re-identification method based on linkability. As a result of the analysis, we determined which k value is appropriate. If the generalized model can be developed by results of this paper, the model can be used to define the appropriate level of de-identification in various laws and regulations.