(표준)개인식별정보 와 비식별 ISO/IEC 20889 privacy framework

(표준)개인식별정보 와 비식별 ISO/IEC 20889 privacy framework

#비식별처리표준 #비식별기술가이드라인 

마이데이터, 초개인화 등으로 개인의 정보를 활용한 정보 분석에서 데이터의 비식별화는 중요한 요소가 되었습니다. 개인정보를 비식별화하여 분석하기 위해서는 개인정보의 정의와 비식별화를 위한 방법에 대한 기술의 정의와 처리 절차가가 필요합니다.
또 다양한 데이터를 비식별화하여 분석을 하더라도 결합에 의한 재식별의 위험도 있습니다. 특히 여러 기관의 데이터를 결합하여 분석하는 경우의 별도의 "데이터 결합 전문 기관"을 통해서 데이터 익명성을 에 대한 기준도 애매하여 데이터 분석을 엄두도 못내는 경우들도 있습니다.

2017년 부터 검토되어온 ISO/IEC 20889 를 통해서 국내에서도 개인 정보 비식별 기술 가이드라인(2019년)을 제시하고 있습니다.

식별/식별자에 대한 기준과 비식별 처리를 위한 통계도구, 암호화 기법, 삭제/가명화 기법 등에 대한 표준화를 통해서 K익명성, I-다양성, t-접근성 등에 대한 검증 등에 대하여 표준 프레임워크로 활용 가능합니다.

[관련 문서]

 2019년 개인정보 비식별 기술 가이드라인

ISO/IEC 20889 비식별 처리 표준

ISO/IEC 20889 비식별 처리 표준 개발 동향 (금융보안원)

[ISO/IEC 20889 개요]

ISO/IEC에서는 2014년부터 개발한 비식별 처리 기술 표준(ISO/IEC 20889) 입니다.

ISO/IEC 29100(privacy framework)에서는 프라이버시를 강화하기 위한 비식별 기술을 정의하고, 비식별 관련 용어 정의, 비식별 기술에 대한 분류, 비식별 모델, 비식별 기술의 적용 원칙을 포함하고 있습니다.

[주요 내용]

1. 개인식별정보에 대한 개념

(식별의 개념) 주어진 정보를 통해 그 정보를 “특정인의 것으로 식별”하거나 “동일인의 것으로 식별”하는 것이다.

(사례) 사과와 오랜지를 판매하는 신용카드 가맹점이 존재할 때, 가맹점에서 누가 사과를 구입했는지 알고 있다면 “특정인으로 식별 상태”임을 의미함. 해당 가맹점에서 사과를 구입한 사람과 오랜지를 구입한 사람이 같은 사람인지 여부만을 알 수 있다면 “동일인으로 식별 상태”임을 의미

(식별 가능성의 개념) 개인 식별정보(Personally identifying information)와 개인 식별가능 정보(Personally identifiable information)의 개념을 구분
(개인 식별 정보) 주어진 정보를 통하여 특정인으로서 같은 사람이라는 것을 식별하는 정보(예, 주민번호, 여권번호 등)
(개인 식별가능 정보(PII)) 개인 식별 정보를 포함하여 주어진 정보를 통하여 특정인의 것으로 식별 가능한 잠재적 위험을 내포하는 정보 , PII(Personally Identifiable Information)
(정보의 식별성 분류) <그림1>에서와 같이 주어진 정보 혹은 정보 간에 
     ① 특정인의 것으로 식별되는 정보 
     ② 동일인의 것으로 식별되나 특정인은 식별하지 못하는 정보 
     ③ 동일인 및 특정인의 것으로도 식별되지 못하는 정보

 

<그림 1 정보 식별성의 개념적 분류>

2. 비식별처리에 대한 개념

(비식별 개념 분류) 비식별 개념은 서로 다른 식별성을 갖는 정보 상태 간 변환 프로세스의 차이에 따라 3가지 형태로 정의

(개념1) 특정인의 것으로 식별되는 정보를 개인 식별 가능 정보 (예: 가명 처리된 개인식별자)로 처리하는 프로세스
(개념2) 특정인의 것으로 식별되는 정보를 개인 식별 불가능한 다른 정보로 처리하는 프로세스
(개념3) 개인 식별가능 정보를 개인 식별 불가능한 다른 정보로 처리하는 프로세스

<그림 2 비식별 처리의 3가지 개념>

(비식별의 위험) 다양한 비식별 개념에 따라 비식별 위험이란 비식별 처리된 데이터가 비식별 처리전 상태인 “특정인의 것으로 식별 가능한 정보” 혹은 “개인식별가능정보” 상태로 재식별되는 상태 혹은 가능성을 의미

* 현재 특정인을 식별하지 못하나 정보간의 결합 분석 및 추론을 통해 재식별 가능성을 가지는 정보 가능성

(개인식별가능정보 범위) <그림3>는 주어진 정보 범위 중에서 식별 가능성을 내포하고 있는 개인식별가능정보(점선)의 범위가 달라 질 수 있음을 표현

<그림 3 가변적인 개인식별가능정보(PII)의 범위>

따라서, 비식별 처리 대상 정보로서 개인식별가능정보에 대한 재식별 위험 분석이 필요하고 이러한 정보의 판별 여부가 효과적인 비식별 처리의 중요 인자임을 제시

3. 식별자에 대한 분류

(식별자 의미) 식별자는 데이터 셋(dataset)에서 특정 개인을 식별할 수 있는 속성들의 전체 집합입니다.

• (지역 식별자) 데이터셋에서 특정 개인을 식별가능토록 하는 속성들의 집합
• (직접 식별자) 일정 문맥(context)하의 정보안에서 그 자체로 특정 개인을 유일하게 식별하는 속성
• (유일 식별자) 직접 식별자 중에서 데이터셋에서 그 자체로 동일 개인을 식별가능한 속성 (예: 가명화처리된 일련번호)
• (준 식별자) 데이터셋 내부 혹은 외부의 다른 속성과 결합하여 특정 개인을 식별하는 속성(예: 생일, 우편번호, 성별 등)
• (지역 준 식별자) 데이터셋 내에서 혹은 데이터셋에 포함된 다른 속성과 결합하여 동일 개인을 식별 가능한 속성

<그림 4 식별자의 분류>

「 개인정보 비식별 조치 가이드라인 」 의 개인정보 속성 분류
 -  식별자 와 속성자 로 부르고 있음
-  속성자는  '준식별자 (QI : Quasi Identifier)'와 '민감정보(SA : Sensitive Attribute)'로 분류하고 있으며
-  준식별자 와 민감정보 모두 넓은 의미 운영 환경 전반 에서 간접식별자 에 해당함