どのような情報"とは、個人を特定できる"とは何ですか？

テクニカル分析によるセスシェーン

X氏は、ZIPコードを02138に住んでいると1945年7月31日に生まれました。

彼についてのこれらの事実は一般に公開匿名医療記録に含まれていた。 ミスターXのような音はかなり無名ですよね？

あなたはならない場合はLatanyaスウィーニー 、カーネギーメロン大学コンピュータサイエンスの教授は、この情報が十分であった1997年に示した -ミスターXがより身近なアイデンティティだ突き止めるためにウィリアム·ウェルド 、1990年代を通じてマサチューセッツ州の知事。

性別、ZIPコード、生年月日は、匿名を感じるが、教授のスウィーニーは、2つの理由から、それらを介して知事溶接を識別することができた。 まず、個々の（我々は通常の識別としては考えられないかもしれない事実のまたは他の種類）について、これらの事実は、それぞれ独立の組み合わせ（性別、郵便番号、誕生日は）はそんなにので、人口を絞り込む約87のユニークであった米国の人口の割合 。 あなたが米国に住んでいる場合、あなたは他の米国の居住者でこれらの属性のすべての3つを共有していないことが87％のチャンスがあります。 名前と住所のような伝統的な識別子を含む - 第二に、人々がより学ぶために彼らは誰かについて知っているブートストラップに検索を任せる可能な特定のデータソース（スウィーニーはマサチューセッツ州有権者登録のデータベースを使用）があるかもしれません。 非常に具体的な意味で、人々について、 "匿名"または "単に人口統計"の情報はどちらのかもしれません。 （そして自分自身についての、一見些細な情報については、 "匿名"ユーザに要求したWebサイトが個々に固有のプロファイルを作成し、あるいは他のデータベースにその個人をルックアップするためにその情報を使用することができるかもしれません。）

"個人を特定できる情報"（PII）の概念の多くの現代的なプライバシールールと議論の中心。 PIIの概念は、いくつかの法律上の制度と、多くの組織のプライバシーポリシーによって使用されます。一般的には、特定の個人を識別する情報がない情報よりもはるかに敏感であると考えられる。 例えば、

• 連邦通信プライバシー法では、お客様独自のネットワーク情報（CPNI）と呼ばれる保護された情報のカテゴリのための基礎として"個別に識別可能な情報を"（加入者約）を使用します。
• 連邦政府の健康のプライバシー規制が保護された健康情報（PHI）と呼ばれるカテゴリのための基礎として"個別に識別可能な健康情報を"（患者約）を使用します。
• 連邦政府の金融プライバシー法 、 EUデータ保護指令 、および状態のプライバシー法は、すべての類似の用語と概念を採用。

と、それぞれのケースで、事実 "とは、個人を特定できる"または "個別に識別可能な"これらの法律や規制の下で劇的に高い保護を受けることができると考えました。

しかし、教授はスウィーニーと他の専門家による研究は非常に無害、中性、または "共通"に見えるものも含め、驚くほど多くの事実が、潜在的に個人を識別できることを実証しています。 主に識別可能従来の直感的な概念にしがみつくプライバシー法は、主として技術的な現実に追いついていません。

ポール·オームによる最近の論文では、 " プライバシーの破られた約束：匿名化の意外な障害への対処は 、 "この問題について徹底的な導入と有用な視点を提供しています。 それはLatanyaスウィーニーなどの研究者によって達成さdeanonymization結果方法を示していますので、教授は、オームの論文では、個人のプライバシーに興味を持つ人のための重要な読書ですアーヴィンドナラヤナンが真剣に伝統的なプライバシーの仮定を損なう。 特に、 "個人を特定できる情報"と "非個人を特定できる情報"の間でバイナリの区別は維持することはますます困難です。 特定の情報は "匿名"であるという我々の直感は、しばしば間違っています。 人に関する情報がより多くの想定されていたよりも識別であり、長い目で "PII"または "しないPII"として事実を分類する企業全体を実行し、適切な状況と洞察力、情報のほとんどすべての種類は、個々を識別するために傾向があるかもしれません与えられた疑問である。

データベースの統計的推論と巧妙な使用は、おそらく匿名データのdeanonymizationの印象的な例は、ほとんどの組織は、PIIとみなしていないことをデータの種類をもたらしました。 別に人口統計データの組み合わせから、よく一意に識別することができるものの種類のいくつかが含まれる検索用語を 、あなたの購入習慣、 音楽、本、または映画についてあなたの好みや意見 、さらにはあなたの社会的ネットワークの構造 -のお友達やご連絡先の身元奪わも純粋に抽象的な意味、。 Deanonymizationは有効であり、それは劇的に私たちの直観が提案するより簡単です。 潜在的に私たちを区別する変数の数を考えると、我々は予想以上にお互いから多くの異なるものであり、我々が正確に特定のレコードが参照する人を絞り込むために使用することができることを理解するよりも、より多くのデータソースがあります。

これらの論文の多くは、コンセプトの証明として意味されました：彼らは、誰もがなることを、人々が潜在的にこの種のデータで再認識することができません表示されます。 誰もの医療記録は、知事溶接のように名前を置くことと同じくらい簡単でした。 ない、その評価Netflixの出版されたすべてのユーザ-とナラヤナンとShmatikovの研究では、決定的にその映画の評価は2つだけNetflixのユーザーが識別されます。 彼らの目標は、個人のプライバシーを侵害するために、数学的手法の有効性を示すことはないですので、まだ、意図的にこれらの研究結果の多くは、個人に関する利用可能なすべてのデータを使用しないでください。 現実世界の攻撃は、人々のアイデンティティを絞り込むために同時に入手可能な情報の多くの種類を使用します。 Bruce Schneier氏が観察しているように、このような攻撃は時間の経過とともに良くなって、彼らは悪くなることはありません。

Ωは連続体として識別可能と考える方がより適切だと主張している。 "匿名"や "消毒"データの概​​念は、その後問題があり、研究者が習慣的に共有する、あるいは、個人コード番号を割り当てるデータセットを公開しています。 すでに時のように、この慣行に目立つ問題があったAOLは、 "匿名"検索ログを公開し 、その検索用語単独での内容からいくつかの個人を識別することが判明した。

私たちは、 "プライバシーの破られた約束は、"彼らの保持、共有の実践と、彼らが使用している匿名またはpseudonymization技術の有効性について多くの批判的に考えるために個人データを扱う人々を奨励願っています。 我々はまた、幅広い視聴者を発見し、研究者、技術者、および "プライバシー保護"がdeanonymizationの時代に意味するべきかについて弁護士の間で広範な議論を開始できます願っています。

コメントはクローズされます。