在从测试数据中清除PII时,我遇到了一个具有挑战性的情况:通过数据中的外键关系级联更改。鉴于对隐私和法规的关注,是否应该劝阻这种做法?如果PII本身没有以任何关键方式使用,一个巧妙的技巧就是将列重新洗牌。
有一些商业工具可以解决这个问题,但它们似乎都没有很好地处理各种各样的数据库。
答案 0 :(得分:4)
听起来危险且愚蠢的和效率低下。键应该是合成ID。
答案 1 :(得分:1)
HIPAA有一个名为“唯一患者标识符”的概念,我们可以使用它来链接数据:http://www.ncvhs.hhs.gov/app4.htm
独特的患者标识符消除 需要重复使用和 披露个人的个人信息 识别信息(即名称, 年龄,性别,种族,婚姻状况,地方 居住等) 内部和外部沟通 (例如订单,结果,药物, 咨询等)并保护 个人隐私。它有助于 保护患者匿名 促进沟通和 信息共享。医疗保健是 从根本上说是一个多学科的 处理。独特的患者标识符 实现集成和 急需的可用性 来自多学科的信息 来源和多种护理设置。 因此,诚信和安全 患者信息取决于 使用可靠的独特患者 标识符
隐私问题不仅取决于标识符本身,还取决于标识符用于访问的数据的安全性和隐私性,以及如何控制访问权限。我的理解是,通常这意味着通过患者标识符查询信息的系统应该只返回不能拼凑在一起以显示私人信息的信息。
基本上你会为每个人生成一个人工密钥。即使它是个人独有的,也不是个人识别,除非您同时发布个人身份信息。例如,如果您让人们只看到具有特定查询的名字,但也返回了人工密钥,那么他们现在知道人工密钥00003与名字Bob相关联。现在,如果您允许它们以某种方式返回并以00003作为条件进行查询,并允许它们访问姓氏,您可以看到它们如何开始累积信息。重要的是,未经授权的用户无法获得在同一查询中返回的人工密钥和PII,因为这将使人工密钥本身成为PII。这至少是我的解释。
答案 2 :(得分:0)
除了HIPPA问题之外,使用PII作为关键的另一个问题是它会发生变化。当他们的身份被盗时,人们会获得新的SSN。 SSN也经常被误导,因此将错误的人的信息联系起来(在这里考虑更多来自其他系统的数据输入)。人们(特别是女性)经常改名。不同的人也有相同的名称(并且通常,由于这个原因,数据库为他们保留不正确的SSN信息,因为他们匹配该名称的错误SSN)因此非常少的PPI实际上是唯一足以成为关键字段。此外,PII应存储在加密字段中,使其成为关键字段的更糟糕选择。