Tietojoukkojen anonymisointi ja jälleentunnistaminen

Abstract

Nykyään ihmisistä kerätään ja tallentuu massiivisia määriä henkilökohtaista dataa, mutta kyseisen datan yksityisyydensuojasta ja turvallisuudesta ei aina voida olla täysin varmoja. Kun ihmisten henkilökohtaisia tietoja, kuten sairaushistoriaa tai hoitotietoja, julkaistaan esimerkiksi tutkimuskäyttöön, tulee tiedot anonymisoida riittävällä tavalla eli käsitellä siten, ettei yksittäisiä henkilöitä kyetä tunnistamaan tiedoista. Vaikka anonymisointitekniikoita on useita ja ne voivat olla tehokkaita, eivät ne ole täydellisiä: joskus anonymisointi voi pettää ja ihmisten mahdollisesti arkaluontoisiakin tietoja voi tulla julki ja päätyä vääriin käsiin. Anonymisoinnin pettäminen voi johtua joko ihmisten tietoja sisältävän tietokannan hallinnoijan virheestä, tai vastustajan – tietojen paljastamista haluavan henkilön – aktiivisista toimista. Tämän kirjallisuuskatsauksen tarkastelun kohteena on tietojoukkojen anonymisointi sekä deanonymisointi eli jälleentunnistaminen. Tutkimuskysymyksenä on selvittää, ovatko nykyiset tietojoukkojen anonymisointitoimenpiteet riittäviä ihmisten yksityisyyden takaamiseksi tietojoukoissa, eli voidaanko anonymisointiin täysin luottaa nykyajan digitaalisessa maailmassa. Katsauksessa tutustutaan erilaisiin tietojoukkojen anonymisointitekniikoihin ja -menetelmiin sekä niiden epäonnistumisiin eli tapauksiin, joissa anonymisointi on pettänyt ja deanonymisointi on onnistunut, jolloin yksityishenkilöiden piilotettuja identiteettejä on kyetty paljastamaan. Yhteenvetona voidaan todeta, että täydellisesti anonyymiä ja samanaikaisesti hyödyllistä tietojoukkoa ei ole mahdollista luoda, sillä muun muassa täydentävää, ulkopuolista informaatiota hyväksikäyttäen yksityishenkilöistä on mahdollista paljastaa tunnistavaa henkilökohtaista informaatiota.

Nowadays, massive amounts of personal data are being collected and stored but the security of the data cannot always be guaranteed. When people’s per-sonal information such as the history of illnesses or treatments is published for example for research purposes, the data needs to be anonymized in a sufficient way so that single individuals cannot be recognized from the dataset. Although different anonymization methods are numerous and they can be efficient, sometimes the anonymization can fail and potentially sensitive information can end up in the wrong hands. The failure of anonymization can be caused by an error made by the data administrator or due to the actions of an adversary – a person who wishes to uncover anonymized information. The object of this lit-erature review is to examine the anonymization and deanonymization of da-tasets. The research question seeks to find out whether current anonymization procedures are sufficient in guaranteeing the privacy of individuals and if anonymization can be fully trusted in today’s digital world. I review various anonymization techniques and methods, their strengths, weaknesses, and fail-ures, i.e. cases where the anonymization has failed and reidentification has suc-ceeded: hidden identities of individuals have been revealed. As a conclusion it can be stated that a dataset that is simultaneously perfectly anonymous and useful cannot currently be created, because of the fact that by, for example, combining outside information with the data it is still possible to reveal per-sonal information about individuals.