_._Tutkijat ovat toistuvasti osoittaneet, että yksilö voidaan tunnistaa ”anonymisoidusta” tietomassasta. Muutama esimerkki:
Yli 80% Netflixin käyttäjistä voidaan tunnistaa, kun tiedetään miten ja milloin he arvioivat kolme vuokraamaansa elokuvaa (Ohm, 2010)
87% ihmisistä voidaan tunnistaa syntymäajan, sukupuolen ja postinumeron avulla (Ohm, 2010).
Yksittäisen henkilön tekemät luottokorttiostokset pystytään tunnistamaan yli 90% tapauksista noin miljoonan käyttäjän anonymisoidusta tietomassasta (de Montjoye ym., 2015). Tunnistamiseen riittää neljän ostotapahtuman päivämäärä ja paikka.
Samalla uudelleentunnistustekniikat (eng. reidentification) kehittyvät koko ajan. Harvard Business Review -lehden Scott Berinato onkin jo julistanut, ettei anonyymia tietoa ole (Berinato, 2015).Oleellista onkin kysyä:
”Ovatko tietyn tietojoukon tiedot riittävän anonyymeja?”, kysymyksen ”Ovatko tiedot anonymisoituja sijaan?”.
”Riittävän anonyymi” tarkoittaa kuitenkin sitä, että henkilötietojen tietoturvassa ei voida luottaa pelkästään anonymisointiin. Kerroksellinen tietoturva esimerkiksi salauksen, rajattujen käyttövaltuuksien ja jatkuvan järjestelmätestauksen muodossa osaltaan varmistaa, etteivät tiedot joudu vääriin käsiin.
Lisätietoa:
Berinato (2015): There’s No Such Thing as Anonymous DataDe Montjoye ym. (2015): Unique in the shopping mall: On the reidentifiability of credit card metadataOhm (2010): Broken Promises of Privacy: Responding to the Surprising Failure of AnonymizationSmith ym. (2011): Information Privacy Research: An Interdisciplinary Review
Elina Niemimaa
Liiketoimintajohtaja
