375
многие другие категории персональных данных, которые позволяют
однозначно идентифицировать субъекта, к которому они относятся.
Следовательно,
для обезличивания данных необходимо определить
совокупность каких данных из имеющегося набора позволяет однозначно
определить субъекта персональных данных
.
Согласно проведенному исследованию с использованием данных
переписи в Массачусетском университете Латанией Сюини, было
определено, что почтовый индекс, дата рождения и
пол субъекта могут
позволить однозначно определить 87% населения Соединенных Штатов
Америки. Чтобы проиллюстрировать эту угрозу, ею были собраны данные,
представленные государственной организацией, чтобы идентифицировать
личность губернатора штата Массачусетс. Комиссия страховой группы
оформляла медицинскую страховку для сотрудников, в связи с чем
выпустила отчет с данными государственных служащих для исследователей.
Организация при поддержке губернатора штата Массачусетс, удалила имена,
адреса, номера социального страхования и другие идентифицирующие
данные, для того, чтобы защитить частную жизнь этих работников.
Губернатор штата Массачусетс Уэлд заверил жителей,
что опубликованные
сведения, останутся обезличенными. Сюини приобрела списки избирателей,
которые включают имя, почтовый индекс, адрес, пол и дату рождения
избирателей в Кембридже, где губернатор Уэлд проживал, использовала их в
сочетании с данными сведений Комиссии страховой группы и
продемонстрировала, насколько легко найти губернатора. Из базы данных
комиссии страховой группы, шесть человек, в Кембридже родились в один
день с губернатором, половина из них были мужчинами, а
губернатор был
единственным, кто жил в местности с почтовым кодом, указанным в списке
избирателей. Информация в базе данных включала диагноз и предписания по
лечению.
Данное исследование показало, насколько
простое удаление нескольких
ключевых идентификаторов недостаточно для процесса обезличивания
данных
.
Поэтому
необходимо
применять
методы
обезличивания,
позволяющие предотвратить раскрытие информации. Среди действий
которые могут выполняться с персональными данными для их обезличивания
выделяют следующие:
̶
уменьшение перечня обрабатываемых сведений
может потребоваться в
связи с тем, что выбор средств защиты, которые необходимо установить для
предотвращения утечек персональных данных, зависит от количества
записей в базе - чем их больше, тем более сложными продуктами приходится
защищаться. Количество субъектов может быть достаточно большим,
поэтому сведения обо всех пациентах стоит разделить на несколько баз
данных по какому-либо критерию;
̶
замена части сведений идентификатором
- после выполнения
обезличивания защите будет подлежать лишь справочник, позволяющий
выполнить обратное преобразование. В организации
при создании записи,
376
связанной с конкретным субъектом, создается идентификатор, а соответствие
между именем субъекта и его идентификационным номером обеспечивается
справочником, который будет расположен на отдельной машине;
̶
сегментация
-
физическая
или
логическая
сегментация
информационной системы персональных данных по классам обрабатываемой
информации, выделение сегментов сети, в которых происходит
автоматизированная обработка персональных данных. Данные работы можно
провести с помощью межсетевых экранов, разграничив права доступа к
персональным данным или обособляя группы пользователей по признаку
доступа к персональным данным (рис.1);
̶
маскирование данных
заменой одних символов в персональных данных
другими;
̶
абстрагирование персональных
данных
позволяет сделать их менее
точными, например, группированием общих характеристик. Это позволяет
хранить в базе не точные сведения, а лишь некоторые атрибуты, понятные
только специалистам.
̶
замена персональных данных
в виде
перестановки
поля одной записи
ПДн с теми же самыми полями другой аналогичной записи;
̶
сокрытие персональных данных
удалением всей или часть записи
персональных данных;
̶
внесение шума
путем добавления небольшого количества посторонней
информации в персональные данные.
Сервер приложений
Брандмауэр
Пользователь,
обрабатывающий
персональные
данные
Пользователь, не
обрабатывающий
персональные
данные
БД с персональными данными
Рис.1. Обособление пользователей при работе с базой данных персональных данных
Несмотря на все многообразие методов обезличивания, основная
проблема, с которой сегодня приходится сталкиваются операторы обработки
персональных данных субъектов на основе применения обезличивания
персональных данных - это то, что, несмотря на то, что существуют и
достаточно хорошо
известны способы обезличивания, они являются
достаточно абстрактными и общими, при этом отсутствует четкое
определение предметной области применения конкретного метода
обезличивания.