Security-Gym
실전형 사이버 훈련장
edu.dataprivacy.go.kr
5차시 가명처리 이해
1. 가명처리 이해
# 가명처리와 가명정보의 처리 차이점
- 가명처리 : 개인정보의 일부를 삭제하거나 일부 또는 전부를 대체하는 과정
- 가명정보처리 : 가명처리를 통해 생성된 가명정보를 이용·제공 등 활용하는 행위
# 가명정보처리 가이드라인 5단계 절차
# 가명정보를 처리함에 있어 안전조치의무와 처리 시 금지의무(재식별 금지 원칙) 준수
# 취급자와 '다른정보' 이용 기준으로 재식별 가능성 검토
- 익명정보 : 불특정 다수, 합법적 '다른정보' 활용 (통제 불가)
- 가명정보 : 개인정보보호법 준수
# 개인정보 처리 목적에 적법하게 수집한 개인정보를 가명처리하여 이용 및 활용
-> 서로 다른 이종간 데이터들을 가명처리한 가명정보를 결합하여 새로운 Insight를 도출하거나 서비스 개발 등에 이용 및 활용
# 전통적인 비식별 기술의 한계 : 데이터 유용성과 개인정보 보호 수준이 Trade Off 요소 존재
- Privacy-utility trade-off : 기존 비식별화 기술이 Privacy를 더 잘 보호할 수록 데이터 유용성은 떨어짐
- Accuracy-privacy trade-off : 기존 비식별화 기술로 데이터 정확도를 높이면 Privacy 보호 수준이 떨어짐
2. 가명처리 기술에 대한 이해
# 개인정보 속성 분류 목적 : 가명정보를 처리하는 환경과 데이터의 위험을 분석하여 적절한 가명처리 수준을 결정
# 개인정보
- 살아 있는 개인에 관한 정보로서 개인을 알아볼 수 있는 정보
- 해당 정보만으로는 특정 개인을 알아볼 수 없더라도 다른 정보와 쉽게 결합하여 알아 볼 수 있는 정보
- 가명처리된 가명정보
| 개인정보 속성 분류 | 식별에 대한 영향 | 프라이버시 침해 가능성 |
| 고유식별자 (Unique Identifier) | 매우 높음 | 일부 있음 |
| 준식별자 (Quasi Identifier) | 높음 | 일부 있음 |
| 민감정보 (Sensitive Attribute) | 거의 없음 (단, 특이치의 경우 높음) |
매우 높음 |
| 일반정보 (Non Sensitive Attribute) | 거의 없음 (단, 특이치의 경우 높음) |
거의 없음 |
# 개인정보를 포함한 일반적 자료 형태 : Raw Data, Micro Data, Macro Data, 자료의 3가지 속성
# 자료형태별 데이터 분석 특징
# 특이정보 관찰 방법 : 데이터에서 구별, 연결, 추론 대상을 확인하고, 가명정보 취급자 기준을 검토함
| 관찰 방법 분류 | 분석 방법 | 상세 내용 |
| k-익명성 | 동질 그룹 분석 | 준식별자 그룹으로 묶어서 동질 그룹을 형성하는데 최소의 수로 구성되는 동질 그룹을 관찰 |
| Outlier | 3시그마 규칙 | 정규분포 그래프 등을 이용하여 수치형 데이터 중에서 3시그마규칙을 벗어난 데이터 관찰 |
| 사분위수 분석 | 박스플롯 그래프 등을 이용하여 수치형 데이터 중에서 사분위수 기준 상하한값 규칙을 벗어난 데이터 관찰 | |
| 도수분포표 | 빈도 분석 | 막대 그래프 등을 이용하여 범주형 데이터 중에서 빈도가 적은 데이터 관찰 |
- K-익명성은 데이터세트에서 구별되는 레코드와 연결 위험을 관찰
- K-익명성은 대표적인 Privacy 보호 모델
- 정보보호 기술로 가장 직관적이며 안정적임
- 가명처리 기술로는 적합하지 않음
- 수치형 관찰방법
- 3시그마 규칙 : 정규분포형태의 데이터 분포에서 3시그마를 벗어나는 데이터는 특이치로 판단
- 1.5*IQR 방법 : Q1에서 하단으로 1.5*IQR을 벗어난 값과 Q3에서 상단으로 1.5*IQR을 벗어난 값을 특이치로 판단
- 범주형 관찰방법
6차시 분야별 가명처리 이해
1. 분야별 가명처리 이해
# 국내 법 체계와 개인정보보호법
# 일반법과 특별법
- 개인정보 보호법은 개인정보 보호 분야의 일반법
- 다른 법률에 특별한 규정이 있는 경우 해당 법률의 규정을 우선 적용
# 의료법(특별법) vs 개인정보보호법
- 의료법 우선 적용 : i) 의료기관이, ii) 보유 중인, iii) 환자에 관한 기록을 iv) 제3자(외부자)에게, v) 열람 또는 사본 발급 등 그 내용의 확인을 제공하는 경우에 개인정보보호법을 적용하지 않고 의료법을 적용함 -> 의료법에서 정하는 경우가 아니면 환자에 관한 기록과 관련한 정보를 제3자에게 제공 금지
- 개인정보보호법 적용 (의료법 미적용)
- 가명처리하여 환자식별력이 없는 진료기록
- 의료기관이 아닌 자(또는 기관)가 보유하는 진료기록(정보)
# 데이터3법 외 가명정보 처리 관련 법령과 조문
2. 분야별 가명처리 절차 설명
# 적합성 검토
- 가명처리 절차 중 '사전준비' 단계에서 수행하는 업무
- 가명처리 신청의 적합함을 검토하는 업무
- 외부에서 공공기관을 대상으로 가명정보 제공 신청 시 적합성 검토 절차를 수립하여 검토를 진행함
# 적정성 검토
- 가명처리 절차 중 '적정성검토' 단계에서 수행하는 업무
- 가명처리 사전준비, 위험성검토, 가명처리 각 절차의 적정함을 검토하는 업무
- 사전준비 단계에서 수행하는 '적합성 검토'와 신정법 기반의 반출 절차인 '적정성 평가'를 구분하는 용어
# 데이터심의위원회
- 가명처리 절차 중 '사전준비'와 '적정성검토' 단계에 대한 적합과 적정을 검토하는 조직을 말함
- '보건의료 데이터 활용 가이드라인'에서 기술한 기준을 충족한 5인 이상의 위원으로 구성
# 적성성평가위원회
- 신용정보법 기반 데이터전문기관이 결합된 가명정보 또는 익명정보를 반출 시 평가를 수행하는 조직을 말함
# 적합성 검토 절차에 대한 이해
- 가명정보 제공 신청 -> 신청서 접수 -> 가명정보 제공신청 적합성 검토 -> 적합성 검토 결과 통보 -> 제공 거부 or 제공 결정
'내용정리' 카테고리의 다른 글
| [가명정보 지원 플랫폼] 가명정보 전문인력 양성 실무교육 (0) | 2024.05.22 |
|---|---|
| [가명정보 지원 플랫폼] 가명정보 전문인력 양성 기본교육_제도의 이해 (0) | 2024.05.14 |
| [유튜브] 리버싱 핵심원리_Ch.13 PE File Format (0) | 2023.11.20 |
| [유튜브] 리버싱 핵심원리_Ch.09 Process Explorer - 최고의 작업 관리자 & Ch.10 함수호출규약 (0) | 2023.11.08 |
| [유튜브] 리버싱 핵심원리_Ch 05. 스택 & Ch 07. 스택 프레임 (0) | 2023.11.08 |