NIST SP 800-188 政府データセットの非識別化 (2023.09.14)
こんにちは、丸山満彦です。
NISTが、SP 800-188(政府データセットの非識別化を公表していますね。ドラフト第2版から、6年の時を経て、昨年の11月に第三ドラフトが公開され、今回確定しましたね。。。
差分プライバシーは今後ということで、非識別の話が中心です。。。
● NIST - ITL
・2023.09.14 De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188
De-Identifying Government Datasets: Techniques and Governance | NIST Publishes SP 800-188 | 政府データセットの非識別化: 技術とガバナンス|NIST、SP 800-188を発表 |
NIST has published Special Publication (SP) 800-188, De-Identifying Government Datasets: Techniques and Governance. | NISTは特別刊行物(SP)800-188「政府データセットの非識別化: 技術とガバナンス」を発行した。 |
De-identification removes identifying information from a data set so that the remaining data cannot be linked to specific individuals. Government agencies can use de-identification to reduce the privacy risks associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST published NIST Internal Report (IR) 8053, De-Identification of Personal Information, which provided a survey of de-identification and re-identification techniques. SP 800-188 provides specific guidance to government agencies that wish to use de-identification. | 非識別化は、データセットから識別情報を削除し、残りのデータが特定の個人にリンクできないようにするものである。政府機関は、政府データの収集、処理、保管、配布、公表に関連するプライバシ ー・リスクを軽減するために、非識別化を使用することができる。以前、NIST は NIST 内部報告書(IR)8053「個人情報の非識別化(De-Identification of Personal Information)」を発行し、非識別化および再識別化技術のサーベイを提供した。SP 800-188は、非識別化の利用を希望する政府機関に具体的なガイダンスを提供する。 |
This final document was authored by experts at NIST and the U.S. Census Bureau and references up-to-date research and practices for both traditional de-identification approaches as well as the use of formal privacy methods, such as differential privacy to create de-identified datasets. This document also addresses other approaches for making datasets that contain sensitive information available to researchers and for public transparency. Where appropriate, this document cautions users about the inherent limitations of traditional de-identification approaches when compared to formal privacy methods, such as differential privacy. | この最終文書は、NISTと米国国勢調査局の専門家によって作成され、従来の非識別化アプローチと、非識別化データセットを作成するための差分プライバシーなどの正式なプライバシー手法の両方について、最新の研究と実践を参照している。この文書では、機密情報を含むデータセットを研究者に提供し、一般に公開するための他のアプローチも取り上げている。適切な場合、本文書は、差分プライバシーなどの正式なプライバシ ー手法と比較した場合の、従来の非識別化アプローチ固有の限界について利用者に注意を促す。 |
・2023.09.14 NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance
NIST SP 800-188 De-Identifying Government Datasets: Techniques and Governance | NIST SP 800-188 De-Identifying Government Datasets: 技術とガバナンス |
Abstract | 概要 |
De-identification is a general term for any process of removing the association between a set of identifying data and the data subject. This document describes the use of deidentification with the goal of preventing or limiting disclosure risks to individuals and establishments while still allowing for the production of meaningful statistical analysis. Government agencies can use de-identification to reduce the privacy risk associated with collecting, processing, archiving, distributing, or publishing government data. Previously, NIST IR 8053, "De-Identification of Personal Information," provided a detailed survey of deidentification and re-identification techniques. This document provides specific guidance to government agencies that wish to use de-identification. Before using de-identification, agencies should evaluate their goals for using de-identification and the potential risks that releasing de-identified data might create. Agencies should decide upon a data-sharing model, such as publishing de-identified data, publishing synthetic data based on identified data, providing a query interface that incorporates de-identification, or sharing data in non-public protected enclaves. Agencies can create a Disclosure Review Board to oversee the process of de-identification. They can also adopt a de-identification standard with measurable performance levels and perform re-identification studies to gauge the risk associated with de-identification. Several specific techniques for de-identification are available, including de-identification by removing identifiers, transforming quasi-identifiers, and generating synthetic data using models. People who perform de-identification generally use special-purpose software tools to perform the data manipulation and calculate the likely risk of re-identification. However, not all tools that merely mask personal information provide sufficient functionality for performing de-identification. This document also includes an extensive list of references, a glossary, and a list of specific de-identification tools, which is only included to convey the range of tools currently available and is not intended to imply a recommendation or endorsement by NIST. | 非識別化(De-identification)とは、一連の識別データとデータ主体との関連性を除去するあらゆる プロセスの総称である。本文書は、個人および事業所に対する開示リスクを防止または制限する一方で、意味のある統計 分析を可能にすることを目的とした非識別化の使用について説明する。ガバナンスは、政府データの収集、処理、保管、配布、または公表に関連するプライバシー・リスクを低減するために非識別化を使用することができる。以前、NIST IR 8053「個人情報の非識別化(De-Identification of Personal Information)」は、非識別化および再識別化技術の詳細なサーベイを提供した。本文書は、非識別化の使用を希望する政府機関に具体的なガイダンスを提供する。非識別化を使用する前に、政府機関は非識別化を使用する目的と、非識別化されたデータを公開することで生じる可能性のあるリスクを評価する必要がある。機関は、非識別化データの公開、識別されたデータに基づく合成データの公開、非識別化を組み込んだクエリ・インターフェースの提供、非公開の保護されたエンクレーブでのデータ共有など、データ共有モデルを決定する必要がある。各機関は、非識別化のプロセスを監督するために、情報開示審査委員会(Disclosure Review Board)を設置することができる。また、測定可能なパフォーマンス・レベルを持つ非識別化標準を採用し、非識別化に関連するリスクを測定するために再識別化調査を実施することもできる。識別子の除去による非識別化、準識別子の変換、モデルを使用した合成データの生成など、非識別化のためのいくつかの具体的な技術が利用可能である。非識別化を実行する人々は、一般に、データ操作を実行し、再識別化の可能性の高いリスクを計算するために、特別な目的のソフトウェア・ツールを使用する。しかし、個人情報をマスキングするだけのツールのすべてが、非識別化の実行に十分な機能を提供するわけではない。本文書には、広範な参考文献のリスト、用語集、および特定の非識別化ツールのリストも含まれているが、これは現在利用可能なツールの範囲を伝えるために含まれているに過ぎず、NISTによる推奨または推奨を意味するものではない。 |
・[PDF] NIST.SP.800-188
エグゼクティブサマリー...
Executive Summary | 要旨 |
Every federal agency creates and maintains internal datasets that are vital for fulflling its mission. The Foundation for Evidence-based Policymaking Act of 2018 [2] and its Phase 1 implementation memorandum M-19-23 [168] mandate that agencies also collect and publish their government data in open, machine-readable formats when it is appropriate to do so. Agencies can use de-identifcation to make government datasets available while protecting the privacy of the individuals whose data are contained within those datasets. | すべての連邦政府機関は、その使命を果たすために不可欠な内部データセットを作成し、維持している。2018年のFoundation for Evidence-based Policymaking Act [2]とそのフェーズ1実施覚書M-19-23 [168]は、政府データも収集し、そうすることが適切な場合には、オープンで機械可読なフォーマットで公開することを義務付けている。政府は、データセットに含まれる個人のプライバシーを保護しつつ、政府データセットを利用可能にするために、個人識別の解除を利用することができる。 |
The U.S. Government defnes personally identifable information (PII) as “information that can be used to distinguish or trace an individual’s identity, either alone or when combined with other information that is linked or linkable to a specifc individual.”[4] | 米国政府は、個人を特定できる情報(PII)を「単独で、または特定の個人に結びついたり結びつけたりできる他の情報と組み合わされた場合に、個人の身元を識別したり追跡したりするために使用できる情報」と定義している[4]。 |
For decades, de-identifcation based on simply removing identifying information was thought to be suffcient to prevent the re-identifcation of individuals in large datasets. Since the mid 1990s, a growing body of research has demonstrated the reverse, resulting in new pri- vacy attacks that are capable of re-identifying individuals in “de-identifed” data releases. For several years, the goals of such attacks appeared to be embarrassing the publishing agency and achieving academic distinction for the privacy researcher [65]. More recently, as high-resolution de-identifed geolocation data have become commercially available, re- identifcation techniques have been used by journalists, activists, and malicious actors [130, 170, 90] to learn information about individuals that was intended to be kept confdential. These attacks highlight the defciencies in traditional approaches to de-identifcation. | 何十年もの間、単に識別情報を除去することに基づく非識別化は、大規模なデータセッ トにおける個人の再識別化を防止するのに十分であると考えられていた。1990年代半ば以降、その逆を実証する研究が増え、その結果、「非識別化」されたデータ公開の個人を再識別することができる新たなプライバシ攻撃が生まれた。数年間、このような攻撃の目的は、出版機関を困惑させ、プライバシー研究者の学術的な名誉を獲得することであったようだ[65]。より最近では、高解像度の非識別化されたジオロケーションデータが商業的に利用できるようになったため、再識別化技術がジャーナリスト、活動家、悪意のある行為者[130, 170, 90]によって利用され、秘密にしておくつもりだった個人に関する情報を知るようになっている。このような攻撃は、従来の非識別化アプローチの欠陥を浮き彫りにしている。 |
Formal models of privacy, like k-anonymity [151] and differential privacy [52], use mathe- matically rigorous approaches that are designed to allow for the controlled use of confden- tial data while minimizing the privacy loss suffered by the data subjects.1 Because there is an inherent trade-off between the accuracy of published data and the amount of privacy protection afforded to data subjects, most formal methods have some kind of parameter that can be adjusted to control the “privacy cost” of a particular data release. Informally, a data release with a low privacy cost causes little additional privacy risk to the participants, while a higher privacy cost results in more privacy risk. When they are available and have suffcient functionality for the task at hand, formal privacy methods should be preferred over informal ad hoc methods. | k-匿名性[151]や差分プライバシー[52]のようなプライバシーの形式的モデルは、データ主体が被るプライバシー損失を最小限に抑えながら、秘匿データの制御された使用を可能にするように設計された、数学的に厳密なアプローチを使用している。非公式には、プライバシーコストが低いデータ公開は参加者にプライバシーリスクをほとんど与えないが、プライバシーコストが高い場合はプライバシーリスクが高くなる。それらが利用可能で、手元のタスクに十分な機能を持つ場合、正式なプライバシー手法は、非公式なアドホック手法よりも優先されるべきである。 |
Decisions and practices regarding the de-identifcation and release of government data can be integral to the mission and proper functioning of a government agency. As such, an agency’s leadership should manage these activities in a way that ensures performance and | 政府データの非識別化と公開に関する決定と機能は、政府機関の使命と適切な機能にとって 不可欠な場合がある。そのため、政府機関の指導者は、政府機関のパフォーマンスと結果を保証する方法で、これらの活動を管理する必要がある。 |
results in a manner that is consistent with the agency’s mission and legal authority. One way that agencies can manage this risk is by creating a formal Disclosure Review Board (DRB) that consists of legal and technical privacy experts, stakeholders within the organization, and representatives of the organization’s leadership. The DRB evaluates applications for data release that describe the confdential data, the techniques that will be used to minimize the risk of disclosure, the resulting protected data, and how the effectiveness of those tech- niques will be evaluated. The DRB’s work complements other parts of the organization, such as the Chief Information Security Offcer (CISO), who is responsible for technical controls, as well as the parts of the organization responsible for adopting administrative or organizational controls and written data-sharing agreements. | このようなリスクを管理するための一つの方法として、政府機関はこのようなリスク を管理することができる。政府機関がこのリスクをマネジメントする一つの方法は、法的および技術的なプライバシーの専門家、組織内の利害関係者、および組織のリーダーシップの代表者で構成される正式な情報開示審査委員会(Disclosure Review Board:DRB)を設置することである。DRBは、機密データ、開示リスクを最小化するために使用される技術、結果として得られる保護データ、およびそれらの技術の有効性がどのように評価されるかを記述したデータ公開申請書を評価する。DRBの活動は、技術的管理を担当する最高情報セキュリティ責任者(CISO)や、管理的または組織的管理や書面によるデータ共有契約の採用を担当する組織の他の部分を補完するものである。 |
Establishing a DRB may seem like an expensive and complicated administrative under- taking for some agencies. However, a properly constituted DRB and the development of consistent procedures regarding data release should enable agencies to lower the risks as- sociated with each data release, which is likely to save agency resources in the long term. Agencies can create or adopt standards to guide those performing de-identifcation and re- garding the accuracy of de-identifed data. If accuracy goals exist, then techniques such as differential privacy can be used to make the data suffciently accurate for the intended purpose but not unnecessarily more accurate, which can limit the amount of privacy loss. However, agencies must carefully choose and implement accuracy requirements. If data accuracy and privacy goals cannot be well-maintained, then releases of data that are not suffciently accurate can result in incorrect scientifc conclusions and policy decisions. | DRBを設立するのは、高価で複雑な管理作業に思える機関もあるかもしれない。しかし、適切に構成されたDRBとデータ公開に関する一貫した手順の開発により、各機関は各データ公開に伴うリスクを下げることができ、長期的には機関のリソースを節約できる可能性が高い。各機関は、非識別化の実施者および非識別化されたデータの正確性を再保持するための指針 となる標準を作成または採用することができる。精度の目標が存在する場合、差分プライバシーのような技法を使用することで、意図した目的には十分な精度を持つが、不必要に精度を上げないデータにすることができ、プライバシーの損失量を抑えることができる。しかし、機関は精度の要件を慎重に選択し、実施しなければならない。データの正確性とプライバシーの目標が十分に維持できない場合、十分に正確でないデータを公表することで、誤った科学的結論や政策決定がなされる可能性がある。 |
Agencies should consider performing de-identifcation with trained individuals using soft- ware specifcally designed for that purpose. While it is possible to perform de-identifcation with off-the-shelf software like a commercial spreadsheet or fnancial planning program, such programs typically lack the key functions required for sophisticated de-identifcation. As a result, they may encourage the use of simplistic de-identifcation methods, such as deleting columns that contain sensitive data categories and manually searching and removing individual data cells that appear sensitive.2 This may result in a dataset that appears de-identifed but still contains signifcant disclosure risks. | 機関は、その目的のために特別に設計されたソフトウエアを使用し、訓練を受けた個人によって個人識別の解除を行うことを検討すべきである。市販の表計算ソフトや財務計画プログラムのような既製のソフトウェアで個人識別の 解除を実行することは可能であるが、そのようなプログラムには通常、高度な個人識別の 解除に必要な主要機能が欠けている。その結果、機密性の高いデータ・カテゴリーを含む列を削除したり、機密性が高いと思われる個々のデータ・セルを手作業で検索して削除したりするような、単純化された非識別化手法の使用が助長される可能性がある2 。 |
Finally, different countries have different standards and policies regarding the defnition and use of de-identifed data. Information that is regarded as de-identifed in one jurisdiction may be regarded as being identifable in another. This may be especially relevant in the case of international scientifc collaborations and illustrates the need for agencies that perform de-identifcation to create mechanisms for data scientists, attorneys, and policymakers to coordinate on these topics. | 最後に、国によって非識別化データの定義と使用に関する標準や方針が異なる。ある法域では非識別化とみなされる情報が、別の法域では識別可能とみなされる場合がある。このことは、国際的な科学共同研究の場合に特に関連する可能性があり、データ科学者、弁護士、政策立案者がこのようなトピックについて協調するための仕組みを、非識別化を実施する機関が構築する必要性を示している。 |
1. While k-anonymity and differential privacy are both mathematically rigorous formal models, k-anonymity is a privacy framework based on the content of the published data, while differential privacy places bounds on the amount of information that can be learned about the confdential data from the published data. | 1. k-匿名性と差分プライバシーはどちらも数学的に厳密な形式モデルであるが、k-匿名性は公開データの内容に基づくプライバシーの枠組みであり、差分プライバシーは公開データから機密データについて知ることができる情報量に境界を設けるものである。 |
2. For information on characterizing the sensitivity of information, see NIST SP 800-60 Volume I, Revision 1 [147]. | 2. 情報の機密性の特徴については、NIST SP 800-60 Volume I, Revision 1 [147]を参照のこと。 |
[2] | 115th Congress (2017–2018). Public Law 115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174. | 第115議会(2017-2018年)。公法115-435: The Foundations for Evidence- Based Policymaking Act of 2018. 2018. URL: https://www.congress.gov/bill/115th- congress/house-bill/4174. |
[4] | 81 FR 49689: Revision of OMB Circular No. A-130, “Managing Information as a Strategic Resource. July 28, 2016. URL: https://www.cio.gov/policies-and- priorities/circular-a-130/. | 81 FR 49689: OMB Circular No.A-130「戦略的資源としての情報の管理」の改訂。2016年7月28日。URL: https://www.cio.gov/policies-and- priorities/circular-a-130/. |
[52] | Cynthia Dwork et al. “Calibrating Noise to Sensitivity in Private Data Analysis”. In: Theory of Cryptography. Ed. by Shai Halevi and Tal Rabin. Berlin, Heidelberg: Springer Berlin Heidelberg, 2006, pp. 265–284. ISBN: 978-3-540-32732-5. | Cynthia Dwork et al. "Calibrating Noise to Sensitivity in Private Data Analysis". In: Theory of Cryptography. Shai Halevi and Tal Rabin. ベルリン、ハイデルベルク: Springer Berlin Heidelberg, 2006, pp.265-284. ISBN: 978-3-540-32732-5. |
[65] | Simson Garfnkel. De-Identifcation of Personally Identifable Information. Tech. rep. NIST IR 8053. National Institute of Science and Technology, Nov. 2015. URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf. | Simson Garfnkel. 個人を特定できる情報の非識別化。技術報告書。NIST IR 8053. 国立科学技術研究所、2015年11月。URL: http://nvlpubs.nist.gov/nistpubs/ir/2015/NIST.IR.8053.pdf. |
[90] | Leah Krehling. De-Identifcation Guideline. Tech. rep. WL-2020-01. Department of Electrical and Computer Engineering, Western University, 2020, p. 45. | Leah Krehling. 非識別化ガイドライン。Tech. rep. WL-2020-01. Western University, Electrical and Computer Engineering, 2020, p. 45. |
[130] | “Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gations”. In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec. | 「Pillar Investigates: "Pillar Investigates: USCCB gen sec Burrill resigns after sexual misconduct alle- gates". In: The Pillar (July 2021). URL: https://www.pillarcatholic.com/p/pillar- investigates-usccb-gen-sec. |
[147] | Kevin Stine et al. Volume I: guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf. | Kevin Stine et al. Volume I: Guide for mapping types of information and infor- mation systems to security categories. Gaithersburg, MD, 2008. DOI: 10.6028/ NIST.SP.800-60v1r1. URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/ nistspecialpublication800-60v1r1.pdf. |
[151] | Latanya Sweeney. “k-anonymity: a model for protecting privacy”. In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp. 557–570. | Latanya Sweeney. 「k-anonymity: a model for protecting privacy". In: International Journal on Uncertainty, Fuzziness and Knowledge-based Systems 10 (5 2002), pp. |
[168] | Russell T. Vought. Phase 1 Implementation of the Foundations for Evidence-Based Policymaking Act of 2018: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf. | ラッセル・T・ヴォート Evidence-Based Policymaking Act of 2018の第1段階実施: Learning Agendas, Personnel, and Planning Guidance. URL: https://www.whitehouse.gov/wp-content/uploads/2019/07/M-19-23.pdf. |
[170] | Charlie Warzel and Stuart A. Thompson. “How Your Phone Betrays Democracy”. In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html. | Charlie Warzel and Stuart A. Thompson. 「How Your Phone Betrays Democracy". In: The New York Times (Dec. 2019). URL: https://www.nytimes.com/interactive/ 2019/12/21/opinion/location-data-democracy-protests.html. |
目次...
ExecutiveSummary | 要旨 |
1. Introduction | 1. 序文 |
1.1. DocumentPurposeandScope | 1.1. 文書の目的と範囲 |
1.2. IntendedAudience | 1.2. 想定読者 |
1.3. Organization | 1.3. 組織 |
2. Introducing De-Identifcation | 2. 非識別化について |
2.1. Historical Context | 2.1. 歴史的背景 |
2.2. Terminology | 2.2. 用語 |
3. Governance and Management of Data De-Identifcation | 3. データ非識別についてのガバナンスと管理 |
3.1. Identifying the Goals and Intended Uses of De-Identifcation | 3.1. 非識別化の目的と用途を特定する。 |
3.2. Evaluating the Risks and Benefts That Arise from De-Identifed Data Releases | 3.2. 非識別化データの公開から生じるリスクと便益の評価 |
3.2.1. ProbabilityofRe-Identifcation | 3.2.1. 再識別の確率 |
3.2.2. Adverse Impacts of Re-Identifcation | 3.2.2. 再識別による悪影響 |
3.2.3. Impacts Other Than Re-Identifcation | 3.2.3. 再識別以外の影響 |
3.2.4. Remediation | 3.2.4. 修復 |
3.3. Data LifeCycle. | 3.3. データライフサイクル |
3.4. Data-Sharing Models | 3.4. データ共有モデル |
3.5. The Five Safes | 3.5. 5つの安全 |
3.6. Disclosure Review Boards | 3.6. 情報開示審査委員会 |
3.7. De-Identifcation and Standards | 3.7. 非識別化と標準 |
3.7.1. Benefts of Standards | 3.7.1. 標準の恩恵 |
3.7.2. Prescriptive De-Identifcation Standards | 3.7.2. 規定的な非識別化標準 |
3.7.3. Risk-Based De-Identifcation Standards | 3.7.3. リスクベースの非識別化標準 |
3.8. Education, Training, and Research | 3.8. 教育、訓練、研究 |
3.9. Alternative Approaches for Computing Statistics on Confdential Information | 3.9. 機密情報の統計計算の代替アプローチ |
3.9.1. Encryption and Access Control | 3.9.1. 暗号化とアクセス制御 |
3.9.2. Secure Computation | 3.9.2. 安全な計算 |
3.9.3. Trusted Execution Environments | 3.9.3. 信頼された実行環境 |
3.9.4. Physical Enclaves | 3.9.4. 物理的飛び地 |
4. Technical Steps for Data De-Identifcation | 4. データ識別の技術的ステップ |
4.1. Determine the Privacy, Data Usability, and Access Objectives | 4.1. プライバシー、データの有用性、およびアクセスの目的を決定する。 |
4.2. Conducting a Data Survey | 4.2. データ調査の実施 |
4.3. De-Identifcation by Removing Identifers and Transforming Quasi-Identifers | 4.3. 識別子の削除と準識別子の変換による非識別化 |
4.3.1. Removing or Transforming of Direct Identifers | 4.3.1. 直接識別子の除去または変換 |
4.3.2. Special Security Note Regarding the Encryption or Hashing of Direct Identifers | 4.3.2. 直接識別子の暗号化またはハッシュ化に関する特別なセキュリティ上の注意事項 |
4.3.3. De-Identifying Numeric Quasi-Identifers | 4.3.3. 数値的な準識別子の非識別化 |
4.3.4. De-Identifying Dates | 4.3.4. 日付の非識別化 |
4.3.5. De-Identifying Geographical Locations and Geolocation Data | 4.3.5. 地理的位置と地理的位置データの非識別化 |
4.3.6. De-Identifying Genomic Information | 4.3.6. ゲノム情報の非識別化 |
4.3.7. De-Identifying Text Narratives and Qualitative Information | 4.3.7. テキストナレーションと質的情報の非識別化 |
4.3.8. Challenges Posed by Aggregation Techniques. | 4.3.8. 集約技術がもたらす課題。 |
4.3.8.1. Example | 4.3.8.1. 例 |
4.3.9. Challenges Posed by High-Dimensiona lData | 4.3.9. 高次元データによる課題 |
4.3.10.Challenges Posed by LinkedData | 4.3.10.リンクデータによる課題 |
4.3.11.Challenges Posed by Composition | 4.3.11.合成による課題 |
4.3.12.Potential Failures of De-Identifcation | 4.3.12.識別の失敗の可能性 |
4.3.13.Post-Release Monitoring | 4.3.13.公開後のモニタリング |
4.4. Synthetic Data | 4.4. 合成データ |
4.4.1. Partially Synthetic Data | 4.4.1. 部分合成データ |
4.4.2. Test Data | 4.4.2. テストデータ |
4.4.3. Realistic Test Data | 4.4.3. 現実的なテストデータ |
4.4.4. Fully Synthetic Data | 4.4.4. 完全合成データ |
4.4.5. Synthetic Data with Validation | 4.4.5. 検証付き合成データ |
4.4.6. Synthetic Data and Open Data Policy | 4.4.6. 合成データとオープンデータポリシー |
4.4.7. Creating a Synthetic Dataset with Diferential Privacy | 4.4.7. 差分プライバシーを持つ合成データセットの作成 |
4.5. De-Identifying with an Interactive Query Interface | 4.5. 対話型クエリー・インターフェースによる非識別化 |
4.6. Validatinga De-Identifed Dataset | 4.6. 非識別化データセットの検証 |
4.6.1. Validating Data Usefulness | 4.6.1. データの有用性を検証する |
4.6.2. Validating Privacy Protection | 4.6.2. プライバシー保護の検証 |
4.6.3. Re-Identifcation Studies | 4.6.3. 再識別の調査 |
5. Software Requirements, Evaluation, and Validation | 5. ソフトウェア要件、評価、検証 |
5.1. EvaluatethePrivacy-PreservingTechniques | 5.1. プライバシー保護技術の評価 |
5.2. De-IdentifcationTools | 5.2. 非識別化ツール |
5.2.1. De-IdentifcationToolFeatures. | 5.2.1. 非識別化ツールの特徴。 |
5.2.2. Data Provenance and File Formats | 5.2.2. データ証明とファイルフォーマット。 |
5.2.3. Data Masking Tools | 5.2.3. データ・マスキング・ツール |
5.3. Evaluating De-Identifcation Software | 5.3. 非識別化ソフトウェアの評価 |
5.4. Evaluating Data Accuracy | 5.4. データ精度の評価 |
6. Conclusion | 6.結論 |
References | 参考文献 |
A.Standards | A.標準 |
A.1.NIST Publications | A.1.NISTP出版物 |
A.2.Other U.S. Government Publications | A.2.その他の米国政府刊行物 |
Selected Publications by Other Governments | その他の政府刊行物。 |
Reports and Books | 報告書および書籍 |
How-To Articles | ハウツー記事 |
B. List of Symbols, Abbreviations, and Acronyms | B.記号、略語、頭字語のリスト |
C. Glossary | C.用語集 |
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.11.20 NIST SP 800-188(ドラフト)政府データセットの非識別化(ドラフト第3版)(2022.11.15)
Comments