KR102358158B1 - 정보집합물 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 기록 매체 - Google Patents

정보집합물 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 기록 매체 Download PDF

Info

Publication number
KR102358158B1
KR102358158B1 KR1020200052457A KR20200052457A KR102358158B1 KR 102358158 B1 KR102358158 B1 KR 102358158B1 KR 1020200052457 A KR1020200052457 A KR 1020200052457A KR 20200052457 A KR20200052457 A KR 20200052457A KR 102358158 B1 KR102358158 B1 KR 102358158B1
Authority
KR
South Korea
Prior art keywords
identification
information set
compliance
risk
identification risk
Prior art date
Application number
KR1020200052457A
Other languages
English (en)
Other versions
KR20210133625A (ko
Inventor
박성수
김광훈
Original Assignee
주식회사 파수
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 파수 filed Critical 주식회사 파수
Priority to KR1020200052457A priority Critical patent/KR102358158B1/ko
Publication of KR20210133625A publication Critical patent/KR20210133625A/ko
Application granted granted Critical
Publication of KR102358158B1 publication Critical patent/KR102358158B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/106Enforcing content protection by specific content processing
    • G06F21/1066Hiding content
    • G06F2221/0748
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2139Recurrent verification

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Medical Informatics (AREA)
  • Multimedia (AREA)
  • Technology Law (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

본 개시는 컴플라이언스를 고려한 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체에 대한 것이다. 본 개시의 일 실시예에 따른 비식별 처리 방법은, 컴플라이언스를 선택하는 단계, 상기 컴플라이언스를 정보집합물과 연결하여 정보집합물 데이터를 구성하는 단계, 상기 구성된 정보집합물 데이터를 비식별 처리하는 단계, 상기 비식별 처리된 정보집합물 데이터의 재식별 위험도 값을 측정하는 단계, 및 상기 측정된 재식별 위험도 값과 재식별 위험도 임계값을 비교하여 재식별 여부 판단하는 단계를 포함할 수 있다.

Description

정보집합물 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 기록 매체{METHOD FOR DE-IDENTIFICATION OF INFORMATION COLLECTION, APPARATUS FOR THE SAME, COMPUTER PROGRAM FOR THE SAME, AND RECORDING MEDIUM STORING COMPUTER PROGRAM THEREOF}
본 개시는 컴플라이언스(compliance)를 고려하여 비식별화 처리를 수행하고, 재식별 위험도(risk)를 측정하여 재식별 여부를 판단하며, 재식별 위험도는 이후에도 재평가 프로세스에 의해 변경될 수 있도록 구성된 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체에 대한 것이다.
최근 정보 통신 기술의 급속한 발전으로 인해 다양한 경로를 통하여 개인정보가 수집 및 이용됨에 따라, 개인정보 보호에 대한 요구가 높아지고 있다. 예를 들어, 빅데이터 활용의 측면에서 개인정보가 포함된 정보에 대한 이용자의 동의 또는 비식별(de-identification) 처리가 요구되고 있다.
비식별 처리 방법은 비식별 처리 후 비식별 처리가 적절히 수행되었는지 재식별 위험도를 측정 및 비교한다. 이에 따라, 재식별이 필요한 경우 다시 비식별 처리를 수행한다.
다만, 상기 한 번 측정한 재식별 위험도 값은 변화시킬 수 없어 재식별 요소가 발생할 수 있는 위험한 환경에서도 정보집합물을 통제할 수 있는 방안이 없는 문제가 있다.
또한, 컴플라이언스 마다 다른 기준을 가짐에도 불구하고 위험도 값을 동일하게 측정하는 문제가 있다.
본 개시의 기술적 과제는 비식별 처리에 있어서 컴플라이언스를 고려하도록 하는 것이다.
본 개시의 추가적인 기술적 과제는 비식별 처리가 적절히 수행되지 않은 경우, 재식별을 가능하게 하며, 이때 사용되는 위험도 값은 정보집합물의 위험도 값과 환경 평가 체크리스트의 위험도 값을 포함하도록 하는 것이다.
본 개시의 추가적인 기술적 과제는 일정 측정 주기가 경과하면 재식별 위험도 값을 재평가하는 프로세스를 제공하는 것이다.
본 개시의 일 실시예에 따른 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체는, 컴플라이언스를 선택하는 단계, 상기 컴플라이언스를 정보집합물과 연결하여 정보집합물 데이터를 구성하는 단계, 상기 구성된 정보집합물 데이터를 비식별 처리하는 단계, 상기 비식별 처리된 정보집합물 데이터의 재식별 위험도 값을 측정하는 단계, 및 상기 측정된 재식별 위험도 값과 재식별 위험도 임계값을 비교하여 재식별 여부를 판단하는 단계를 포함할 수 있다.
본 개시의 일 실시예에 따른 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체에 있어서, 상기 재식별 여부 판단하는 단계는, 상기 비교 결과 상기 재식별 위험도 값이 상기 재식별 위험도 임계값을 만족하지 못하는 경우 상기 비식별 처리하는 단계를 다시 수행하는 것을 포함할 수 있다.
본 개시의 일 실시예에 따른 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체에 있어서, 상기 컴플라이언스를 선택하는 단계는, 재식별 위험도 모델에서 비식별 수준을 선택하는 단계, 상기 선택된 컴플라이언스 또는 상기 선택된 비식별 수준 중 적어도 하나를 고려하여 상기 재식별 위험도 임계값을 정의하는 단계, 및 재식별 위험도 측정 주기 및 담당자를 정의하는 단계를 더 포함할 수 있다.
본 개시의 일 실시예에 따른 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체에 있어서, 상기 정보집합물 데이터를 구성하는 단계는, 상기 정보집합물의 속성과 상기 컴플라이언스의 속성자 군을 연결하여 정보집합물의 속성자를 정의하는 단계를 포함하고, 여기서, 상기 정보집합물의 속성에 대응되는 컴플라이언스 속성자 군이 존재하지 않는 경우, 별도의 컴플라이언스 속성자 군을 생성하여 연결할 수 있다.
본 개시의 일 실시예에 따른 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체에 있어서, 상기 재식별 위험도 값의 측정은, 상기 정보집합물의 속성자를 기초로 구한 재식별 위험도 값과 환경 평가를 기초로 구한 재식별 위험도 값의 가중치 합에 의해 수행될 수 있다.
본 개시의 일 실시예에 따른 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체에 있어서, 상기 비식별 처리 방법은, 상기 측정 주기마다 상기 재식별 위험도 값을 재평가하는 재식별 위험도 재평가 단계를 더 포함할 수 있다.
본 개시의 일 실시예에 따른 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 그 기록 매체에 있어서, 상기 재식별 위험도 재평가 단계는, 상기 담당자를 확인하고, 상기 담당자가 변경된 경우 상기 재식별 위험도 재평가 단계를 종료하는 담당자 확인 단계, 상기 정보집합물의 속성자를 확인하고, 상기 정보집합물의 속성자가 변경된 경우 상기 정보집합물의 속성자를 재측정하여 변경하는 정보집합물 재측정 단계, 및 상기 환경 평가를 확인하고, 상기 환경 평가가 변경된 경우 상기 환경 평가를 재측정하여 변경하는 환경 평가 재측정 단계를 포함할 수 있다.
본 발명은 컴플라이언스를 고려하여 비식별 처리하므로, 각 정보집합물별로 사용 목적에 따라 적합한 측정 가능하다.
본 발명은 측정 주기마다 재식별 위험도 재평가를 수행하므로, 재식별 위험도는 지속적이고 상대적으로 관리될 수 있다.
도 1은 본 개시와 관련된 정보집합물 비식별 처리 방법을 나타내는 흐름도이다.
도 2는 본 개시에 따른 컴플라이언스를 고려한 정보집합물 비식별 처리 장치의 구성을 개념적으로 나타내는 블록도이다.
도 3은 본 개시에 일 예시에 따른 정보집합물 재식별 위험도 모델을 도시한 도면이다.
도 4는 본 개시에 일 예시에 따른 컴플라이언스를 고려한 정보집합물 비식별 처리 방법을 설명하기 위한 흐름도이다.
도 5는 본 개시에 일 예시에 따른 컴플라이언스를 고려한 정보집합물 비식별 처리 방법 내 정보집합물 데이터 구성 단계를 설명하기 위한 흐름도이다.
도 6는 본 개시에 일 예시에 따른 재식별 위험도 재평가 방법을 설명하기 위한 흐름도이다.
도 7은 본 개시에 일 예시에 따른 정보집합물에 대한 재식별 위험도 측정의 주요 내용을 도시한 도면이다.
이하에서는 첨부한 도면을 참고로 하여 본 개시의 실시예에 대하여 본 개시가 속하는 기술 분야에서 통상의 지식을 가진 자가 용이하게 실시할 수 있도록 상세히 설명한다. 그러나, 본 개시는 여러 가지 상이한 형태로 구현될 수 있으며 여기에서 설명하는 실시예에 한정되지 않는다.
본 개시의 실시예를 설명함에 있어서 공지 구성 또는 기능에 대한 구체적인 설명이 본 개시의 요지를 흐릴 수 있다고 판단되는 경우에는 그에 대한 상세한 설명은 생략한다. 그리고, 도면에서 본 개시에 대한 설명과 관계없는 부분은 생략하였으며, 유사한 부분에 대해서는 유사한 도면 부호를 붙인다.
본 개시에 있어서, 어떤 구성요소가 다른 구성요소와 "연결", "결합" 또는 "접속"되어 있다고 할 때, 이는 직접적인 연결관계 뿐만 아니라, 그 중간에 또 다른 구성요소가 존재하는 간접적인 연결관계도 포함할 수 있다. 또한 어떤 구성요소가 다른 구성요소를 "포함한다" 또는 "가진다"고 할 때, 이는 특별히 반대되는 기재가 없는 한 다른 구성요소를 배제하는 것이 아니라 또 다른 구성요소를 더 포함할 수 있는 것을 의미한다.
본 개시에 있어서, 제1, 제2 등의 용어는 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만 사용되며, 특별히 언급되지 않는 한 구성요소들 간의 순서 또는 중요도 등을 한정하지 않는다. 따라서, 본 개시의 범위 내에서 일 실시예에서의 제1 구성요소는 다른 실시예에서 제2 구성요소라고 칭할 수도 있고, 마찬가지로 일 실시예에서의 제2 구성요소를 다른 실시예에서 제1 구성요소라고 칭할 수도 있다.
본 개시에 있어서, 서로 구별되는 구성요소들은 각각의 특징을 명확하게 설명하기 위한 것이며, 구성요소들이 반드시 분리되는 것을 의미하지는 않는다. 즉, 복수의 구성요소가 통합되어 하나의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있고, 하나의 구성요소가 분산되어 복수의 하드웨어 또는 소프트웨어 단위로 이루어질 수도 있다. 따라서, 별도로 언급하지 않더라도 이와 같이 통합된 또는 분산된 실시예도 본 개시의 범위에 포함된다.
본 개시에 있어서, 다양한 실시예에서 설명하는 구성요소들이 반드시 필수적인 구성요소들은 의미하는 것은 아니며, 일부는 선택적인 구성요소일 수 있다. 따라서, 일 실시예에서 설명하는 구성요소들의 부분집합으로 구성되는 실시예도 본 개시의 범위에 포함된다. 또한, 다양한 실시예에서 설명하는 구성요소들에 추가적으로 다른 구성요소를 포함하는 실시예도 본 개시의 범위에 포함된다.
본 개시에서 사용하는 용어에 대한 정의는 다음과 같다.
정보집합물(information collection)은 특정한 구분자로 숫자나 문자 또는 날짜 형의 정보들이 구분되어 있는 파일을 의미하며, 본 개시에 따른 정보집합물 비식별 처리 과정이 개시되는 대상 데이터를 의미한다.
컨텍스트(context)는 정보집합물이 사용되는 환경을 의미한다.
컴플라이언스(compliance)는 정보집합물이 사용되는 조직 또는 기관의 규정을 의미하며, 각 컴플라이언스마다 관리되는 개인정보 속성자 군이 정의되어 있으며 환경을 평가하는 체크리스트도 정의되어 있을 수 있다.
개인정보속성자는 개인을 1:1로 연결하는 식별자 또는 다른 정보와 결합될 때 개인을 특정할 수 있는 준식별자 중 적어도 하나를 포함하여 구성되는 것을 의미한다.
직접식별자(Direct Identity, DI)는 개인 식별자를 의미한다. 다른 언급이 없는 식별자는 DI를 의미할 수 있다.
준식별자(Quasi Identity, QI)는 다른 정보들과 결합하여 개인을 특정할 수 있는 정보를 의미한다.
비식별(de-identification) 처리는 개인정보의 일부 또는 전부를 가공함으로써 다른 정보와 쉽게 결합하여도 특정 개인을 식별할 수 없도록 하는 조치를 의미한다. 본 개시에 따른 비식별 처리는, 예를 들어, 데이터 값 삭제, 가명처리, 총계처리, 범주화, 데이터 마스킹 등을 통해 개인정보의 일부 또는 전부를 삭제하거나 대체하는 것과, 프라이버시 보호 모델을 적용하는 것 등의 다양한 방식을 포함할 수 있다. 그러나, 본 개시의 범위는 비식별 처리의 방식에 의해 제한되지 않는다.
가역 처리는 비식별화처리에 의해 데이터 사실성이 제거된 상태에서 원래의 정보로 되돌아올 수 있는 처리를 의미한다.
재식별 위험도는 비식별 처리에 의해 데이터 사실성이 제거된 상태에서 싱글 아웃(single out), 링킹(linking), 인터피어런스(interference) 등의 공격에 의해 재식별될 수 있는 위험을 의미한다.
재식별 위험도 모델은 식별자, 준식별자에 대한 비식별 처리 유형과 환경 통제 유형에 따라 생성되는 정보집합물의 수준과 재식별 위험도 값을 정의한 모델을 의미한다.
재식별 위험도 측정은 정보집합물의 개인정보 속성자 처리와 정보집합물을 사용하는 환경에 대한 평가를 종합하여 측정하는 것을 의미한다.
싱글 아웃(Single out)은 특정한 특성을 가진 유일한 정보가 존재하는 경우를 의미한다.
링킹(Linking)은 다른 정보와 결합할 수 있는 정보가 존재하는 경우를 의미한다.
인터피어런스(Inference)는 특정한 정보를 추측할 수 있는 정보가 존재하는 경우를 의미한다.
재식별 임계 값은 재식별 위험도 모델에서 정의된 각 정보집합물의 위험도 값을 의미한다.
데이터 사실성은 원본 정보가 일부라도 유지된 경우와 전혀 다른 정보인 경우로 나눌 수 있으며, 데이터 사실성이 없는 비식별 기법은 노이즈 추가, 순열, 마이크로 어그리게이션, 차분 프라이버시(Differential privacy), K-익명성(K-anonymity)(일부만)이 해당되며, 암호화 중 해쉬는 데이터 사실성이 유지되는 기법이나, 순서보존암호화 등은 데이터 사실성이 유지되지 않는 기법에 해당한다. 또한, 마스킹의 경우 데이터 사실성의 일부가 유지되는 기법에 해당한다.
<정보집합물 비식별 처리 방법>
도 1은 본 개시와 관련된 정보집합물 비식별 처리 방법을 나타내는 흐름도이다.
정보집합물 비식별 처리 방법은 정보집합물 데이터 구성 단계(S110), 정보집합물에 대한 비식별 처리 단계(S120), 재식별 위험도 측정 단계 (S130), 재식별 여부 판단 단계(S140)로 구성될 수 있다. 다만, 이에 한정되지 않고, 일부 단계가 생략되거나 일부 단계가 추가되는 등의 변경된 예도 가능할 수 있다.
1. 정보집합물 데이터 구성
단계 S110에서는 정보집합물 데이터를 구성할 수 있다. 또한, 정보집합물 데이터 구성시 정보집합물 내 개인정보속성자 (예를 들어, ID: 식별자, QI: 준식별자, 기타)를 정의할 수 있다.
2. 정보집합물에 대한 비식별 처리
단계 S120에서는 구성된 정보집합물 데이터를 이용하여 비식별 처리를 수행할 수 있다. 여기서, 비식별 처리는 전술한 하나 이상의 비식별 처리를 포함할 수 있다.
3. 재식별 위험도 측정
단계 S130에서는 비식별 처리된 정보집합물 데이터의 재식별 위험도를 측정할 수 있다.
4. 재식별 여부 판단
단계 S140에서는 측정된 재식별 위험도 값과 재식별 위험도 임계값과 비교하여 재식별 여부를 판단할 수 있다. 만약, 재식별 위험도 값이 재식별 위험도 임계값을 만족하는 경우 본 프로세스는 종료될 수 있다. 이와 달리, 재식별 위험도 값이 재식별 위험도 임계값을 만족하지 않는 경우, 정보집합물에 대한 비식별 처리(S120)이 다시 수행될 수 있다.
상기 비식별 처리 방법은, 컴플라이언스를 고려하지 않고 동일한 기준으로 수행되기 때문에, 각 정보집합물 별로 사용 목적에 따른 적합한 측정이 어렵다. 또한, 컴플라이언스 고려하지 않으므로, 별도의 환경 평가 체크리스트가 정의되지 않으므로, 한 번 정보집합물의 비식별 처리가 수행되면 그걸로 프로세스는 종료하게 된다. 즉, 이후에 환경 변화가 있더라도, 그에 대응하여 재식별 위험도를 재평가하여 비식별 처리를 다시 수행하는 등의 과정을 수행할 수 없다.
기존 위험도 기반 솔루션들과 차이는 아래와 같다.
구분 종래 기술 본 발명 비고
개별성 동일한 기준으로 측정 컴플라이언스라는 개별 기준으로 측정 본 발명은 각 정보집합물별로 사용 목적에 따라 적합한 측정 가능
상대성 개인정보 속성자와 환경 변화를 측정하지 않음 개인정보 속성자와 환경의 변화를 측정 본 발명은 위험도 관리는 지속적이고 상대적으로 관리 가능
이하, 컴플라이언스를 고려한 비식별 장치 및 방법을 검토한다.
<정보집합물 비식별 처리 장치의 구성>
도 2는 본 개시에 따른 정보집합물 비식별 처리 장치의 구성을 개념적으로 나타내는 블록도이다.
정보집합물 비식별 처리 장치 (200)는 프로세서(210), 송수신기(220), 메모리(230) 및 사용자 인터페이스(240)를 포함할 수 있다. 프로세서(210), 송수신기(220), 메모리(230) 및 사용자 인터페이스(240)는 내부 통신망을 통하여 데이터, 요청, 응답, 명령 등을 주고받을 수 있다.
프로세서(210)는 송수신기(220), 메모리(230) 및 사용자 인터페이스(240)의 동작을 제어할 수 있다. 프로세서(210)는 본 개시에 따른 컴플라이언스 선택, 정보집합물 데이터 구성, 정보집합물에 대한 비식별 처리, 재식별 위험도 측정, 재식별 위험도 여부 판단, 재식별 위험도 재평가 등의 동작을 수행할 수 있다. 또한, 프로세서(210)는 도 2에서 도시하지 않은 비식별 처리 장치 (200)의 구성요소들을 포함한 비식별 처리 장치 (200)의 전반적인 동작을 제어할 수 있다.
송수신기(220)는 유선 또는 무선으로 다른 개체(entity)와 데이터를 주고받는 물리 계층의 기능을 수행할 수 있다.
메모리(230)는 프로세서(210)에서 생성되거나 처리된 정보, 비식별 처리 장치 (200)의 동작에 관련된 소프트웨어, 운영체제, 애플리케이션 등을 저장할 수 있으며, 버퍼 등의 구성요소를 포함할 수도 있다. 또한, 메모리(230)는 본 개시에 따른 컴플라이언스 관련 정보, 정보집합물 데이터, 재식별 위험도 임계값, 측정된 재식별 위험도 값, 측정된 환경 평가 위험도 값, 환경 평가 체크리스트의 요소들의 값(데이터 민감도 관련 정보(데이터의 상세 정보, 원본 성격, 잠재적 손해 비용, 및 정보주체 동의여부 등), 데이터 수신자의 신뢰도 관련 정보(재식별 동기, 재식별 역량, 및 계약관계 등), 정보보호 규정 관련 정보) 등을 저장할 수 있다. 또한, 메모리(230)는 데이터를 임시로 저장하거나 유지하는 저장소(예를 들어, 하드디스크 등)를 포함할 수도 있다.
사용자 인터페이스(240)는 비식별 처리 장치 (200)에 대한 사용의 조작, 입력 등을 감지하여 프로세서(210)로 전달하거나, 프로세서(210)의 처리 결과를 사용자가 인식할 수 있는 다양한 방식으로 출력할 수 있다.
프로세서(210)는 컴플라이언스 선택부(211), 정보집합물 데이터 구성부(212), 비식별 처리부(213), 재식별 위험도 측정부(214), 재식별 여부 판단부(215), 재식별 위험도 재평가부(216)를 포함할 수 있다.
컴플라이언스 선택부(211)는 컴플라이언스 선택, 재식별 위험도 모델에서 비식별 수준 선택, 재식별 위험도 임계값 정의, 또는 재식별 위험도 측정 주기 및 담당자 정의 중 적어도 하나를 수행할 수 있다. 다만, 이에 한정되지 않으며, 다른 프로세스가 더 수행되거나 일부 프로세스만 수행하는 등의 변경된 예의 경우도 가능할 수 있다. 여기서, 컴플라이언스가 선택되면, 컴플라이언스 내 개인정보 속성자 군 또는 환경 평가 체크리스트 중 적어도 하나가 특정될 수 있다.
정보집합물 데이터 구성부(212)는 정보집합물 데이터를 구성할 수 있다. 상기 정보집합물 데이터 구성은 정보집합물 데이터 준비, 정보집합물과 컴플라이언스 연결, 속성자 통제 규칙 생성 중 적어도 하나를 포함하여 수행될 수 있다. 다만, 이에 한정되지 않으며, 다른 프로세스가 더 수행되거나 일부 프로세스만 수행하는 등의 변경된 예의 경우도 가능할 수 있다. 이 경우, 정보집합물 데이터 구성은 컴플라이언스 선택부(211)에 의해 선택된 컴플라이언스를 기초로 수행될 수 있다. 또한, 정보집합물과 컴플라이언스 연결은 정보집합물의 속성과 컴플라이언스 속성자 군을 연결하는 것을 포함할 수 있다. 만약, 정보집합물 속성에 대응하는 컴플라이언스 속성자 군이 존재하지 않는 겨우 별도의 컴플라이언스 속성자 군을 생성할 수 있다.
비식별 처리부(213)는 정보집합물 데이터 구성부(212)에 의해 구성된 정보집합물 데이터를 이용하여 비식별 처리를 수행할 수 있다. 여기서, 비식별 처리는 전술한 적어도 하나의 비식별 처리를 포함 수 있다. 복수의 비식별 처리들이 수행되는 경우, 상기 복수의 비식별 처리들은 동시에 수행되거나, 별도의 순서에 따라 순차적으로 수행될 수 있다. 여기서, 복수의 비식별 처리들이 동시에 수행되는 경우, 각 비식별 처리는 다른 비식별 처리와 독립적 또는 종속적으로 수행될 수 있다.
재식별 위험도 측정부(214)는 비식별 처리부(213)에 의해 비식별 처리된 정보집합물의 데이터의 재식별 위험도를 측정할 수 있다. 재식별 위험도 측정은 정보집합물 위험도 측정, 환경 평가 위험도 측정 중 적어도 하나를 포함하여 수행될 수 있다. 또한, 상기 정보집합물 위험도 측정은, 정보집합물의 속성자에 따라 다르게 수행될 수 있다. 또한, 상기 환경 평가 위험도 측정은, 환경 평가 체크리스트의 각 요소에 따라 다르게 수행될 수 있다. 또한, 재식별 위험도 측정은 측정된 정보집합물 위험도와 측정된 환경 평가 위험도의 가중치의 합으로 수행될 수 있다. 여기서, 상기 가중치는 고정된 값을 가지거나 각 컴플라이언스 마다 상이한 값을 가질 수 있다. 일 예로, 상기 가중치는 5:5의 고정된 값을 가질 수 있다. 상기 가중치의 비는 5:5의 비율이 기본이나 정보집합물에 대한 보호 관리 책임을 지는 조직에서 정보집합물과 환경 중 중요하게 생각하는 요소에 가중치를 더 두어 관리할 수도 있다.
재식별 여부 판단부(215)는 재식별 위험도 측정부(214)에 의해 측정된 재식별 위험도 값과 컴플라이언스 선택부(211)에 의해 정의된 재식별 위험도 임계값을 비교하여, 재식별 여부 판단을 수행할 수 잇다. 만약, 재식별 위험도 값이 재식별 위험도 임계값을 만족하는 경우 본 프로세스는 종료될 수 있다. 이와 달리, 재식별 위험도 값이 재식별 위험도 임계값을 만족하지 않는 경우, 정보집합물에 대한 비식별 처리(S430)이 다시 수행될 수 있다.
상기 비식별 처리는 종전에 수행 비식별 처리와 같은 방법에 의해 수행되거나, 다른 비식별 처리 방법에 의해 수행될 수 있다. 재식별 위험도 임계값을 만족하는 경우의 예는, 재식별 위험도 값이 재식별 위험도 임계값보다 작은 경우, 작거나 같은 경우, 큰 경우, 크거나 같은 경우, 또는 같은 경우 중 적어도 하나를 포함할 수 있다.
재식별 위험도 재평가부(216)는 재식별 위험도의 재평가를 수행할 수 있으며, 재평가 개시부, 담당자 확인부, 정보집합물 속성자 변경부, 환경 평가 변경부, 또는 정보집합물 회수 처리부 중 적어도 하나를 포함할 수 있다.
재평가 개시부는 컴플라이언스 선택부(211)에서 정의된 재식별 위험도 측정 주기를 고려하여 재평가 개시를 수행할 수 있다. 구체적으로, 최초 위험도 평가를 기준부터 상기 측정 주기가 경과한 경우, 재평가 개시를 수행할 수 있다. 이 경우 재평가가 개시됨을 알리는 처리가 수행될 수 있다.
담당자 확인부는 재평가 개시부에 의해 재평가가 개시되면 담당자 확인을 수행할 수 있다. 상기 확인 결과, 정보집합물의 담당자가 변경된 경우에는, 재식별 위험도 재평가부는 재식별 위험도 재평가 프로세스를 종료할 수 있다. 그렇지 않은 경우, 다음 단계인 정보집합물 속성자 변경부가 수행될 수 있다.
정보집합물 속성자 변경부는 담당자 확인 결과 담당자가 변경되지 않는 경우 수행될 수 있다. 정보집합물 속성자 변경부는 정보집합물 속성자의 정의 확인, 정의된 속성자의 변경 여부 확인, 또는 변경된 정보 기반으로 속성자 재측정 및 변경 중 적어도 하나를 포함하여 수행할 수 있다.
먼저, 정보집합물 속성자의 정의를 확인하여, 속성자를 특정할 수 있다. 그 다음으로, 상기 확인을 통해 정의된 속성자의 변경 여부를 확인할 수 있다. 이는, 현재 환경을 기준으로 측정한 값과 기존에 이미 입력되어 있는 값을 비교하여 수행될 수 있다. 여기서, 상기 비교는 일부 오차 범위 기준으로 수행될 수 있다. 구체적으로, 비교를 통해 얻은 차이값이 상기 일부 오차 범위 내일 경우 변경되지 않은 것으로 판단할 수 있다. 만약, 정의된 속성자가 변경된 경우, 변경된 정보 기반으로 속성자 재측정 및 변경을 수행할 수 있다. 그렇지 않은 경우, 별도의 속성자 재측정 및 변경은 수행되지 않으며, 다음 단계인 환경 평가 변경부가 수행될 수 있다.
환경 평가 변경부는 환경 평가 값을 변경할 수 있다. 이는, 환경 평가 정의 확인, 환경 평가 변경 여부 확인, 또는 변경 정보 기반 재측정 및 변경 중 적어도 하나를 포함하여 수행될 수 있다.
먼저, 환경 평가의 정의를 확인하여, 환경 평가 (또는 환경 평가 체크리스트)를 특정할 수 있다. 그 다음으로, 상기 확인을 통해 정의된 환경 평가의 변경 여부를 확인할 수 있다. 이는, 현재 환경을 기준으로 측정한 값과 기존에 이미 입력되어 있는 값을 비교하여 수행될 수 있다. 여기서, 상기 비교는 일부 오차 범위 기준으로 수행될 수 있다. 구체적으로, 비교를 통해 얻은 차이값이 상기 일부 오차 범위 내일 경우 변경되지 않은 것으로 판단할 수 있다. 만약, 정의된 환경 평가가 변경된 경우, 변경된 정보 기반으로 환경 평가 재측정 및 변경을 수행할 수 있다. 그렇지 않은 경우, 별도의 환경 평가 재측정 및 변경은 수행되지 않을 수 있다.
정보집합물 회수 처리부는 정보집합물을 회수 처리할 수 있다. 이는, 정보집합물 속성자 또는 환경 평가의 변경 여부에 따라 결정될 수 있다. 일 예로, 정보집합물 속성자 또는 환경 평가 중 적어도 하나가 변경된 경우, 정보집합물을 회수 처리할 수 있다. 일 예로, 정보집합물 속성자 또는 환경 평가가 변경되고, 변경된 값이 임계값을 넘는 경우에만 정보집합물 회수 처리를 수행할 수 있다.
<정보집합물 재식별 위험도 모델>
도 3은 본 개시에 일 예시에 따른 정보집합물 재식별 위험도 모델을 도시한 도면이다. 여기서, 위험도 값(risk value)는 재식별 위험도 임계값으로 사용될 수 있다. 또한, 위험도 값은 정보집합물 속성자 위험도와 환경 평가 위험도의 가중치 합을 의미할 수 있다.
도 3에 개시된 재식별 위험도 모델은 본 발명의 일 실시예이므로, 재식별 위험도의 모델의 요소들은 이에 한정되지 않을 수 있다. 즉, 별도의 요소가 추가되거나 일부가 생략되는 등의 변경된 예도 가능 할 수 있다.
<컴플라이언스를 고려한 정보집합물 비식별 처리 방법>
구체적으로, 재식별 위험도 측정은 정보집합물 데이터를 구성하는 개인정보 속성자와 정보집합물이 사용되는 환경에 따라 측정 결과가 달라질 수 있다. 따라서, 재식별 위험도 지속적으로 재평가되고 측정될 수 있는 프로세스를 가져야 하기에 초기 비식별 처리시 재식별 위험도 측정 후 설정된 주기에 따라 재식별 위험도를 재측정하는 프로세스가 필요하다.
종래 기술과 달리 재식별 위험도 재측정 프로세스를 가지므로, 재식별 위험도 재측정을 위해 비식별 처리 방법도 종래와 달리 수행되어야 한다. 따라서, 이하, 컴플라이언스를 고려한 정보집합물 비식별 처리 방법을 구체적으로 살펴본다.
도 4는 본 개시에 일 예시에 따른 컴플라이언스를 고려한 정보집합물 비식별 처리 방법을 설명하기 위한 흐름도이다.
컴플라이언스를 고려한 정보집합물 비식별 처리 방법은 컴플라이언스 선택 단계(S410), 정보집합물 데이터 구성 단계(S420), 정보집합물에 대한 비식별 처리 단계(S430), 재식별 위험도 측정 단계(S440), 또는 재식별 여부 판단 단계(S450) 중 적어도 하나를 포함할 수 있다.
1. 컴플라이언스 선택
단계 S410에서는 컴플라이언스를 선택하는 단계 S4101, 재식별 위험도 모델에서 비식별 수준을 선택하는 단계 S4102, 재식별 위험도 임계값을 정의하는 단계 S4103, 재식별 위험도를 측정하는 주기와 담당자를 정의하는 단계 S4104 중 적어도 하나를 포함할 수 있다. 여기서, S410 내 각 단계의 순서는 일 예에 불과하므로 이에 한정되지 않으므로, 다른 순서에 S410 단계가 수행될 수 있다. 또한, 다른 단계가 추가되거나 일부 단계가 생략될 수 있다.
단계 S4101에서는 컴플라이언스를 선택할 수 있다. 컴플라이언스가 선택되면, 상기 컴플라이언스 내 개인정보 속성자 군 또는 환경을 평가하는 체크리스트 중 적어도 하나도 정의될 수 있다.
단계 S4102에서는 재식별 위험도 모델에서 비식별 수준을 선택할 수 있다. 일 예로, 도 3을 참조하면, 비식별 수준을 레벨(Level) 0과 같이 하나의 레벨로 선택할 수 있다. 이와 달리, 비식별 수준을 레벨 0 내지 3으로 일정 범위를 같는 레벨로 선택할 수도 있다.
단계 S4103에서는 재식별 위험도 임계값을 정의할 수 있다. 상기 재식별 위험도 임계값을 정의는 상기 선택된 컴플라이언스 또는 상기 선택된 비식별 수준 중 적어도 하나를 고려하여 수행될 수 있다.
여기서, 컴플라이언스 고려하는 것은, 상기 컴플라이언스 내 개인정보 속성자 군 또는 상기 환경을 평가하는 체크리스트 중 적어도 하나를 고려하는 것을 의미할 수 있다. 여기서, 상기 개인정보 속성자 군을 고려하는 것은 상기 개인정보 속성자 군의 전부 또는 일부를 고려하는 것을 포함할 수 있다. 여기서, 상기 체크리스트를 고려하는 것은 상기 체크리스트의 전부 또는 일부를 고려하는 것을 포함할 수 있다. 또한, 상기 체크리스트의 일부를 고려하는 것은, 상기 체크리스트들 중 일부만 고려하는 것 및 상기 체크리스트 내 일부 요소들만 고려하는 것을 포함할 수 있다.
재식별 위험도 모델이 도 3의 모델인 경우를 예로 들면, ⅰ) 비식별 수준이 Level 0인 경우, 재식별 위험도 임계값은 위험도 값인 9가 될 수 있다 ⅱ) 식별자 처리는 가역 처리로 수행되며, 준식별자는 처리하지 않는 경우, 재식별 위험도 임계값은 위험도 값인 9가 될 수 있다. ⅲ) 일반 준식별자만 가역 처리하며, 환경 통제가 강한 경우, 재식별 위험도 임계값은 위험도 값인 8이 될 수 있다.
이와 같이, 재식별 위험도 모델의 요소인 비식별 수준, 식별자 처리, 준식별자 처리, 및 환경 통제 등을 (상기 선택된 컴플라이언스 또는 상기 선택된 비식별 수준을) 고려하여 재식별 위험도 임계값이 정해질 수 있다. 상기 재식별 위험도 모델의 요소는 일 예에 불과하므로, 이에 한정되지 않는다.
단계 S4104에서는 재식별 위험도를 측정하는 주기와 담당자가 정의된다. 상기 주기는 기-약속된 고정된 값이거나 재식별 위험도 모델의 요소 등에 의해 가변적으로 결정되는 값일 수 있다. 일 예로, 상기 주기는 일, 월, 년도와 같이 일정 기간으로 정해질 수 있고, 특정 위험도의 발생 주기에 따른 기간으로 정해질 수 있다. 여기서, 특정 위험도는 전술한 바와 같이 Single out, Linking, Inference 공격 등을 포함할 수 있다.
위 프로세스에서 컴플라이언스를 선택하는 것은 재식별 위험도를 측정하는데 두 가지 중요한 절차를 가진다. 하나는 정보집합물의 속성자가 의료, 금융, 교육, 유통 등으로 동일하지 않고 상대적으로 변경될 수 있다는 점에 중요하고 다른 하나는 환경 또는 컨텍스트의 체크리스트가 상대성을 가진다는 의미에서 중요하다.
2. 정보집합물 데이터 구성
도 5는 본 개시에 일 예시에 따른 컴플라이언스를 고려한 정보집합물 비식별 처리 방법 내 정보집합물 데이터 구성 단계를 설명하기 위한 흐름도이다.
단계 S420에서는 정보집합물과 컴플라이언스를 연결하여 정보집합물 데이터를 구성할 수 있다. 구체적으로, 단계 S420은 정보집합물 준비 단계 S4201, 정보집합물과 컴플라이언스 연결단계 S4202, 속성자 통제 규칙 생성 단계 S4203 중 적어도 하나를 포함할 수 있다.
단계 S4201에서는 뒤의 단계에서 이용될 정보집합물 데이터를 준비할 수 있다. 상기 준비는, 정보집합물 특정하는 것 및 정보집합물의 내 개인정보속성자 (예를 들어, ID: 식별자, QI: 식별자, 기타)를 정의하는 것 등을 포함할 수 있다.
단계 S4201에서는 정보집합물과 컴플라이언스를 연결할 수 있다. 구체적으로, 정보집합물의 속성과 컴플라이언스 속성자 군을 연결할 수 있다. 먼저, 정보집합물 속성과 컴플라이언스 속성자 군이 연결되어 있는지 확인할 수 있다. 여기서, 정보집합물 속성과 컴플라이언스 속성자 군이 연결된 경우에는 S4203 단계로 넘어가나, 그렇지 않은 경우에는 컴플라이언스 속성자 군이 존재하는지 여부를 확인할 수 있다. 여기서, 컴플라이언스 속성자 군이 존재하는 경우에는 정보집합물 속성과 컴플라이언스 속성자 군을 연결할 수 있으나, 그렇지 않은 경우에는 별도의 컴플라이언스 속성자 군을 생성하여 정보집합물 속성과 연결할 수 있다. 이후, 다시 정보집합물 속성과 컴플라이언스 속성자 군이 연결되어 있는지 확인할 수 있다. 여기서, 정보집합물 속성과 컴플라이언스 속성자 군이 연결된 경우에는 S4203 단계로 넘어가고, 그렇지 않은 경우 전술한 단계를 다시 수행할 수 있다.
단계 S4203에서는 속성자 통제 규칙을 생성할 수 있다. 구체적으로, Direct Identifier(DI), Quasi Identifier(QI) 별로 통제 규칙을 생성할 수 있다.
3. 정보집합물에 대한 비식별 처리
단계 S430에서는 구성된 정보집합물 데이터를 이용하여 비식별 처리를 수행할 수 있다. 여기서, 비식별 처리는 전술한 적어도 하나의 비식별 처리를 포함할 수 있다. 복수의 비식별 처리들이 수행되는 경우, 상기 복수의 비식별 처리들은 동시에 수행되거나, 별도의 순서에 따라 순차적으로 수행될 수 있다. 여기서, 복수의 비식별 처리들이 동시에 수행되는 경우, 각 비식별 처리는 다른 비식별 처리와 독립적 또는 종속적으로 수행될 수 있다.
4. 재식별 위험도 측정
단계 S440에서는 비식별 처리된 정보집합물 데이터의 재식별 위험도를 측정할 수 있다. 재식별 위험도 측정은 정보집합물 위험도 측정, 환경 평가 위험도 측정 중 적어도 하나를 포함하여 수행될 수 있다. 또한, 상기 정보집합물 위험도 측정은, 정보집합물의 속성자에 따라 다르게 수행될 수 있다. 또한, 상기 환경 평가 위험도 측정은, 환경 평가 체크리스트의 각 요소에 따라 다르게 수행될 수 있다. 또한, 재식별 위험도 측정은 측정된 정보집합물 위험도와 측정된 환경 평가 위험도의 가중치의 합으로 수행될 수 있다. 여기서, 상기 가중치는 고정된 값을 가지거나 각 컴플라이언스 마다 상이한 값을 가질 수 있다. 일 예로, 상기 가중치는 5:5의 고정된 값을 가질 수 있다. 상기 가중치의 비는 5:5의 비율이 기본이나 정보집합물에 대한 보호 관리 책임을 지는 조직에서 정보집합물과 환경 중 중요하게 생각하는 요소에 가중치를 더 두어 관리할 수도 있다.
5. 재식별 여부 판단
단계 S450에서는 측정된 재식별 위험도 값과 재식별 위험도 임계값과 비교하여 재식별 여부를 판단할 수 있다. 만약, 재식별 위험도 값이 재식별 위험도 임계값을 만족하는 경우 본 프로세스는 종료될 수 있다. 이와 달리, 재식별 위험도 값이 재식별 위험도 임계값을 만족하지 않는 경우, 이와 달리, 재식별 위험도 값이 재식별 위험도 임계값을 만족하지 않는 경우, 정보집합물에 대한 비식별 처리(S430)이 다시 수행될 수 있다.
상기 비식별 처리는 종전에 수행 비식별 처리와 같은 방법에 의해 수행되거나, 다른 비식별 처리 방법에 의해 수행될 수 있다. 재식별 위험도 임계값을 만족하는 경우의 예는, 재식별 위험도 값이 재식별 위험도 임계값보다 작은 경우, 작거나 같은 경우, 큰 경우, 크거나 같은 경우, 또는 같은 경우 중 적어도 하나를 포함할 수 있다.
<재식별 위험도 재평가 방법>
도 6는 본 개시에 일 예시에 따른 재식별 위험도 재평가 방법을 설명하기 위한 흐름도이다.
컴플라이언스를 고려한 정보집합물의 비식별 처리 방법이 수행되면, 재식별 위험도 측정 주기가 정해질 수 있다. 비식별 처리 방법에서 재식별 위험도 값이 측정된 이래로 상기 재식별 위험도 측정 주기가 경과한 경우 재식별 위험도 재평가가 수행될 수 있다. 재식별 위험도 재평가 수행 결과 재식별 위험도 값이 달라질 수 있으며, 그에 따라 재식별 위험도 값이 재식별 위험도 임계값을 만족하지 못하는 경우, 정보집합물에 대한 비식별 처리가 다시 수행될 수 있다. 그렇지 않은 경우(재식별 위험도 임계값 만족하는 경우), 별도의 재식별 처리는 수행되지 않을 수 있다.
재식별 위험도 재평가 방법은 재평가 개시 단계 S610, 담당자 확인 단계 S620, 정보집합물 속성자 변경 단계 S630, 환경 평가 변경 단계 S640을 포함할 수 있다. 이하에서는, 단계 S630 수행 후 단계 S640를 수행하는 것을 설명하나, 이에 한정되지 않는다. 이에 따라, 단계 S640 수행 후 단계 S630을 수행하는 경우, 단계 S630 및 S640을 동시에 수행하는 경우 등의 변경된 예도 가능할 수 있다.
1. 재평가 개시 단계
단계 S610에서는 최초 정보집합물 작업 설정에서 정의된 평가 주기를 참조하여, 해당 주기가 경과한 경우, 재평가가 개시될 수 있다. 이 경우, 재평가가 개시됨을 알리는 처리가 수행될 수 있다.
2. 담당자 확인 단계
단계 S620에서는 정보집합물 담당자의 확인을 수행한다. 상기 확인 결과, 담당자가 변경된 경우에는, 관리자에게 변경됨을 알리고 재식별 위험도 재평가 방법을 종료할 수 있다. 그렇지 않은 경우에는, 상기 프로세스는 정보집합물 속성자 변경 단계로 넘어갈 수 있다.
3. 정보집합물 속성자 변경 단계
단계 S630은 정보집합물 속성자 정의 확인 단계(S6301), 속성자 변경 여부 확인 단계(S6302), 또는 변경 정보 기반 재측정 및 변경 단계(S6303) 중 적어도 하나를 포함할 수 있다.
단계 S6301에서는 정보집합물 속성자의 정의를 확인할 수 있다.
단계 S6302에서는 정의된 속성자가 변경되었는지 여부를 확인할 수 있다. 이는, 현재 환경을 기준으로 측정한 값과 기존에 이미 입력되어 있는 값을 비교하여 수행될 수 있다. 여기서, 상기 비교는 일부 오차 범위 기준으로 수행될 수 있다. 구체적으로, 비교를 통해 얻은 차이값이 상기 일부 오차 범위 내일 경우 변경되지 않은 것으로 판단할 수 있다. 만약, 정의된 속성자가 변경된 경우, 변경된 정보 기반으로 속성자 재측정 및 변경 단계(S6303)을 수행할 수 있다. 그렇지 않은 경우, 별도의 속성자 재측정 및 변경 단계(S6303)는 수행되지 않으며, 다음 단계인 환경 평가 변경 단계(S640)가 수행될 수 있다.
단계 S6303에서는 변경된 정보를 기반으로 속성자를 재측정하고, 재측정된 속성자 값을 이용하여 기존 속성자 값을 변경할 수 있다.
4. 환경 평가 변경 단계
단계 S640은 환경 평가 정의 확인 단계(S6401), 환경 평가 변경 여부 확인 단계(S6402), 변경 정보 기반 재측정 및 변경 단계(S6403), 또는 임계값 확인 단계(S6404) 중 적어도 하나를 포함할 수 있다.
단계 S6401에서는 환경 평가의 정의를 확인할 수 있다.
단계 S6402에서는 정의된 환경 평가가 변경되었는지 여부를 확인할 수 있다. 이는, 현재 환경을 기준으로 측정한 값과 기존에 이미 입력되어 있는 값을 비교하여 수행될 수 있다. 여기서, 상기 비교는 일부 오차 범위 기준으로 수행될 수 있다. 구체적으로, 비교를 통해 얻은 차이값이 상기 일부 오차 범위 내일 경우 변경되지 않은 것으로 판단할 수 있다. 만약, 정의된 환경 평가가 변경된 경우, 변경된 정보 기반으로 환경 평가 재측정 및 변경 단계(S6403)이 수행할 수 있다. 그렇지 않은 경우, 별도의 환경 평가 재측정 및 변경 단계(S6403)는 수행되지 않고, 재식별 위험도 재평가가 종료될 수 있다.
단계 S6403에서는 변경된 정보를 기반으로 환경 평가를 재측정하고, 재측정된 환경 평가 값을 이용하여 기존 환경 평가 값을 변경할 수 있다.
단계 S6404에서는 변경된 환경 평가 값을 기초로 일정 임계 값 만족 여부를 판단할 수 있다. 만약, 변경된 환경 평가 값이 임계 값을 만족하는 경우, 상기 재식별 위험도 재평가는 종료될 수 있다. 그렇지 않는 경우, 정보집합물 회수 처리 단계가 진행될 수 있다.
5. 정보집합물 회수 처리 단계
정보집합물 회수 처리 단계는 정보집합물을 회수 처리할 수 있다. 이는, 정보집합물 속성자 또는 환경 평가의 변경 여부에 따라 결정될 수 있다. 일 예로, 정보집합물 속성자 또는 환경 평가 중 적어도 하나가 변경된 경우, 정보집합물을 회수 처리할 수 있다. 일 예로, 정보집합물 속성자 또는 환경 평가가 변경되고, 변경된 값이 임계값을 넘는 경우에만 정보집합물 회수 처리를 수행할 수 있다.
<재식별 위험도 측정 내용>
재식별 위험도 측정은 정보집합물의 개인정보 속성자 처리와 정보집합물을 사용하는 환경에 대한 평가를 종합하여 측정한다. 이러한 측정의 결과는 환경의 상대성(환경 변수 발생 가능성)으로 변할 수 있다.
재식별 위험도 모델에서 위험도 값은 0 내지 9 값을 가지도록 정의되어 있어 정보집합물 자체 위험도와 환경 위험도는 5:5의 비율이 기본이나 정보집합물에 대한 보호 관리 책임을 지는 조직에서 정보집합물과 환경 중 중요하게 생각하는 요소에 가중치를 두어 관리할 수도 있다.
<정보집합물 측정 내용>
도 7은 본 개시에 일 예시에 따른 정보집합물에 대한 재식별 위험도 측정의 주요 내용을 도시한 도면이다.
도 7을 참조하면, 정보집합물에 대한 재식별 위험도 측정의 주요 내용은, Single out, Linking, Inference의 값 등을 포함할 수 있다.
정보집합물에 대한 측정 결과는 개인정보 속성자 분류 등이 변경될 경우 변경될 위험이 있다. 구체적으로, 다음과 같은 사례가 존재할 수 있다. ⅰ) 특정 조직에서만 개인의 신분이 공개되는 정보였으나 그 의미를 상실하는 경우로 회원 ID, 사번코드 등이 있을 수 있다. ⅱ) 특정 조직에서만 추가 정보에 의해 개인의 신분이 공개되는 정보였으나 그 의미를 상실하는 경우로 부서코드, 부서명 등이 있을 수 있다.
<환경 평가 측정 내용>
환경 평가 측정은 사전에 정의된 체크리스트 기반으로 측정을 하게 된다. 중요한 내용은 아래와 같다. 여기서, 사전에 정의된 체크리스트는 컴플라이언스를 기준으로 결정될 수 있다.
구체적으로, 데이터 민감도, 데이터 수신자 신뢰도, 정보보호 규정 등을 체크리스트로서 측정할 수 있다.
데이터 민감도는, 데이터의 상세 정보, 데이터 원본 성격, 잠재적 손해 비용, 정보주체 동의 여부, 정보집합물 내 속성자와 다른 정보집합물 간의 속성자 관계, 정보집합물 내 개인정보 등의 요소를 포함할 수 있다.
일 예로, 상기 정보집합물 내 속성자와 다른 정보집합물 간의 속성자 관계는, ⅰ) 위험하고 참조가 많은 속성자, ⅱ) 위험하고 참조가 적은 속성자, ⅲ) 위험하지 않고 참조가 많은 속성자, ⅳ) 위험하지 않고 참조가 적은 속성자 중 어느 하나로 특정될 수 있다.
일 예로, 상기 정보집합물 내 개인정보는, ⅰ) 위험하고 비식별된 경우, ⅱ) 위험하고 비식별되지 않은 경우, ⅲ) 위험하지 않고 비식별된 경우, ⅳ) 위험하지 않고 비식별되지 않은 경우 중 어느 하나로 특정될 수 있다.
데이터 수신자 신뢰도는, 재식별 동기, 재식별 역량, 계약관계 등의 요소를 포함할 수 있다.
일 예로, 상기 계약관계는, ⅰ) 계약된 상태이고 IT 전문가이고 데이터 관련 업무자, ⅱ) 계약된 상태이고 IT 전문가이고 데이터 관련 비업무자, ⅲ) 계약된 상태이고 IT 비전문가이고 데이터 관련 업무자, ⅳ) 계약된 상태이고 IT 비전문가이고 데이터 관련 비업무자, ⅴ) 미계약된 상태이고 IT 전문가이고 데이터 관련 업무자, ⅵ) 미계약된 상태이고 IT 전문가이고 데이터 관련 비업무자, ⅶ) 미계약된 상태이고 IT 비전문가이고 데이터 관련 업무자, ⅷ) 미계약된 상태이고 IT 비전문가이고 데이터 관련 비업무자 등 중 어느 하나로 특정될 수 있다.
정보보호 규정은, 개인정보 및 정보보호 규정, 관리, 감사 정책 등의 요소를 포함할 수 있다.
상기 생성된 체크리스트를 컴플라이언스에 등록(컴플라이언스 선택)하고 재식별 위험도 모델에서 비식별 수준을 선택하면 환경평가에 대한 위험도를 측정할 수 있다.
환경평가에 대한 위험도는 비식별 절차에서 정의된 평가 담당자가 주기적으로 재 평가를 하게 되며 이에 따라 위험도 결과는 변경될 수 있다.
즉, 측정 요소에 정보집합물 관련된 환경 요소들을 포함시켜 정보집합물 내 개인정보를 식별할 수 있는 기술적 변화나 정보접근 변화 또는 추론이 가능한 배경지식의 발전 등이 발생하는 경우 정보집합물의 재식별 위험 측정 값이 변화되어 적절한 통제를 적용하여 개인정보를 보호할 수 있다.
체크리스트의 요소들에 변수가 발생하여 측정 값이 변할 경우, 측정 값 변경 이외에 별도의 이벤트 처리가 수행될 수 있다. 일 예로, 관련된 사용자의 업무 또는 계약 내용이 변경 시 정보집합물 사용자와 정보집합물 데이터 민감도 측정 값이 변경(위험이 높아짐)에 따라 정보집합물의 가명화처리 수준을 높이는 알림을 발생할 수 있다.
또한, 상기 알림 이벤트가 발생한 경우, 상기 알림 이벤트에 따른 적절한 조치를 취하였는지를 기록한 보고서를 확인하는 이벤트가 추가로 수행될 수 있다.
본 개시에서 예시된 방법들은 설명의 명확성을 위해서 동작의 시리즈로 표현되어 있지만, 이는 단계가 수행되는 순서를 제한하기 위한 것은 아니며, 필요한 경우에는 각각의 단계가 동시에 또는 상이한 순서로 수행될 수도 있다. 본 개시에 따른 방법을 구현하기 위해서, 예시하는 단계에 추가적으로 다른 단계를 포함하거나, 일부의 단계를 제외하고 나머지 단계를 포함하거나, 또는 일부의 단계를 제외하고 추가적인 다른 단계를 포함할 수도 있다.
본 개시의 다양한 실시예는 모든 가능한 조합을 나열한 것이 아니고 본 개시의 대표적인 양상을 설명하기 위한 것이며, 다양한 실시예에서 설명하는 사항들은 독립적으로 적용되거나 또는 둘 이상의 조합으로 적용될 수도 있다.
또한, 본 개시의 다양한 실시예는 하드웨어, 펌웨어(firmware), 소프트웨어, 또는 그들의 결합 등에 의해 구현될 수 있다. 하드웨어에 의한 구현의 경우, 하나 또는 그 이상의 ASICs(Application Specific Integrated Circuits), DSPs(Digital Signal Processors), DSPDs(Digital Signal Processing Devices), PLDs(Programmable Logic Devices), FPGAs(Field Programmable Gate Arrays), 범용 프로세서(general processor), 컨트롤러, 마이크로 컨트롤러, 마이크로 프로세서 등에 의해 구현될 수 있다.
본 개시의 범위는 다양한 실시예의 방법에 따른 동작이 장치 또는 컴퓨터 상에서 실행되도록 하는 소프트웨어 또는 머신-실행가능한 명령들(예를 들어, 운영체제, 애플리케이션, 펌웨어(firmware), 프로그램 등), 및 이러한 소프트웨어 또는 명령 등이 저장되어 장치 또는 컴퓨터 상에서 실행 가능한 비-일시적 컴퓨터-판독가능 매체(non-transitory computer-readable medium)를 포함한다.

Claims (10)

  1. 정보집합물에 대한 비식별 처리 방법에 있어서,
    컴플라이언스를 선택하는 단계;
    상기 컴플라이언스를 상기 정보집합물과 연결하여 정보집합물 데이터를 구성하는 단계;
    상기 구성된 정보집합물 데이터를 비식별 처리하는 단계;
    상기 비식별 처리된 정보집합물 데이터의 재식별 위험도 값을 측정하는 단계; 및
    상기 측정된 재식별 위험도 값과 재식별 위험도 임계값을 비교하여 재식별 여부를 판단하는 단계를 포함하되,
    상기 컴플라이언스는 상기 정보집합물이 사용되는 조직 또는 기관의 비식별화에 대한 규정을 포함하는, 비식별 처리 방법.
  2. 제1항에 있어서,
    상기 재식별 여부를 판단하는 단계는, 상기 비교 결과, 상기 재식별 위험도 값이 상기 재식별 위험도 임계값을 만족하지 못하는 경우, 상기 비식별 처리하는 단계를 다시 수행하는, 비식별 처리 방법.
  3. 제1항에 있어서,
    상기 컴플라이언스를 선택하는 단계는,
    재식별 위험도 모델에서 비식별 수준을 선택하는 단계;
    상기 선택된 컴플라이언스 또는 상기 선택된 비식별 수준 중 적어도 하나를 고려하여 상기 재식별 위험도 임계값을 정의하는 단계; 및
    재식별 위험도 측정 주기 및 담당자를 정의하는 단계를 더 포함하는, 비식별 처리 방법.
  4. 제1항에 있어서,
    상기 정보집합물 데이터를 구성하는 단계는,
    상기 정보집합물의 속성과 상기 컴플라이언스의 속성자 군을 연결하여 정보집합물의 속성자를 정의하는 단계를 포함하고,
    상기 정보집합물의 속성에 대응되는 컴플라이언스 속성자 군이 존재하지 않는 경우, 별도의 컴플라이언스 속성자 군을 생성하여 연결하는, 비식별 처리 방법.
  5. 제4항에 있어서,
    상기 재식별 위험도 값의 측정은,
    상기 정보집합물의 속성자를 기초로 구한 재식별 위험도 값과 환경 평가를 기초로 구한 재식별 위험도 값의 가중치 합에 의해 수행되는, 비식별 처리 방법.
  6. 제5항에 있어서,
    상기 비식별 처리 방법은, 재식별 위험도 측정 주기마다 상기 재식별 위험도 값을 재평가하는 재식별 위험도 재평가 단계를 더 포함하는, 비식별 처리 방법.
  7. 제6항에 있어서,
    상기 재식별 위험도 재평가 단계는,
    담당자를 확인하고, 상기 담당자가 변경된 경우 상기 재식별 위험도 재평가 단계를 종료하는 담당자 확인 단계;
    상기 정보집합물의 속성자를 확인하고, 상기 정보집합물의 속성자가 변경된 경우 상기 정보집합물의 속성자를 재측정하여 변경하는 정보집합물 재측정 단계; 및
    상기 환경 평가를 확인하고, 상기 환경 평가가 변경된 경우 상기 환경 평가를 재측정하여 변경하는 환경 평가 재측정 단계를 포함하는, 비식별 처리 방법.
  8. 데이터에 대한 비식별화 처리 장치로서,
    송수신기;
    메모리;
    사용자 인터페이스; 및
    프로세서를 포함하고,
    상기 프로세서는,
    컴플라이언스를 선택하는 컴플라이언스 선택부;
    상기 컴플라이언스를 정보집합물과 연결하여 정보집합물 데이터를 구성하는 정보집합물 구성부;
    상기 구성된 정보집합물 데이터를 비식별 처리하는 비식별 처리부;
    상기 비식별 처리된 정보집합물 데이터의 재식별 위험도 값을 측정하는 재식별 위험도 측정부; 및
    상기 측정된 재식별 위험도 값과 재식별 위험도 임계값을 비교하여 재식별 여부를 판단하는 재식별 판단부를 포함하되,
    상기 컴플라이언스는 상기 정보집합물이 사용되는 조직 또는 기관의 비식별화에 대한 규정을 포함하는,
    비식별 처리 장치.
  9. 하드웨어와 결합되어 제 1 항 내지 제 7 항 중의 어느 한 항에 따른 방법을 실행시키기 위하여 컴퓨터 판독 가능한 기록 매체에 기록된 컴퓨터 프로그램.
  10. 제 1 항 내지 제 7 항 중의 어느 한 항에 따른 방법을 컴퓨터에서 실행하기 위한 컴퓨터 프로그램이 기록된, 컴퓨터로 판독 가능한 기록 매체.
KR1020200052457A 2020-04-29 2020-04-29 정보집합물 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 기록 매체 KR102358158B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020200052457A KR102358158B1 (ko) 2020-04-29 2020-04-29 정보집합물 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 기록 매체

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020200052457A KR102358158B1 (ko) 2020-04-29 2020-04-29 정보집합물 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 기록 매체

Publications (2)

Publication Number Publication Date
KR20210133625A KR20210133625A (ko) 2021-11-08
KR102358158B1 true KR102358158B1 (ko) 2022-02-04

Family

ID=78497048

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020200052457A KR102358158B1 (ko) 2020-04-29 2020-04-29 정보집합물 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 기록 매체

Country Status (1)

Country Link
KR (1) KR102358158B1 (ko)

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017215869A (ja) 2016-06-01 2017-12-07 Necソリューションイノベータ株式会社 匿名化処理装置、匿名化処理方法、及びプログラム
JP2017215868A (ja) 2016-06-01 2017-12-07 Necソリューションイノベータ株式会社 匿名化処理装置、匿名化処理方法、及びプログラム
KR101859636B1 (ko) * 2017-07-19 2018-05-21 주식회사 디지털즈 보안기능을 가지는 개인정보 비식별화 시스템 및 방법

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2017215869A (ja) 2016-06-01 2017-12-07 Necソリューションイノベータ株式会社 匿名化処理装置、匿名化処理方法、及びプログラム
JP2017215868A (ja) 2016-06-01 2017-12-07 Necソリューションイノベータ株式会社 匿名化処理装置、匿名化処理方法、及びプログラム
KR101859636B1 (ko) * 2017-07-19 2018-05-21 주식회사 디지털즈 보안기능을 가지는 개인정보 비식별화 시스템 및 방법

Also Published As

Publication number Publication date
KR20210133625A (ko) 2021-11-08

Similar Documents

Publication Publication Date Title
US9038134B1 (en) Managing predictions in data security systems
US11704212B2 (en) Evaluation of processes of a system or portion thereof
US10630713B2 (en) Method and tool to quantify the enterprise consequences of cyber risk
US10282702B2 (en) Dynamic employee security risk scoring
US7716242B2 (en) Method and apparatus for controlling access to personally identifiable information
US9679264B2 (en) Role discovery using privilege cluster analysis
CN109146638B (zh) 异常金融交易群体的识别方法及装置
US8813170B2 (en) Testing access policies
US10635794B2 (en) Determine security access level based on user behavior
US8584247B1 (en) Systems and methods for evaluating compliance checks
US20100223103A1 (en) Deal management in a customer relationship management environment
US20150154713A1 (en) Claim work assignment using weighted workloads
US11640470B1 (en) System and methods for reducing an organization&#39;s cybersecurity risk by determining the function and seniority of employees
US11645418B2 (en) Data processing systems for data testing to confirm data deletion and related methods
JP2007323511A (ja) 個人情報を保護する方法及びそのシステム
US20200151090A1 (en) Testing Program Code Created in a Development System
RU2592460C1 (ru) Система и способ управления привилегиями потребителей персональных данных
CN113536319B (zh) 接口风险预测方法、装置、计算机设备和存储介质
CN108009444A (zh) 全文搜索的权限控制方法、装置与计算机可读存储介质
KR102358158B1 (ko) 정보집합물 비식별 처리 방법, 장치, 컴퓨터 프로그램 및 기록 매체
JP2022537124A (ja) サイバーリスクをリアルタイムで継続的に判定、処理、修正するためのソフトウェアアプリケーション
Yoose Balancing privacy and strategic planning needs: A case study in de-identification of patron data
CA3228130A1 (en) Methods, systems, apparatuses, and devices for facilitating controlling and managing cloud usage costs for using cloud resources
Ermicioi et al. An interdisciplinary study of cybersecurity investment in the nonprofit sector
CN101944127B (zh) 数据权限控制方法和装置

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant