Использование Личной информации (PII) в качестве внешних ключей не рекомендуется при разработке базы данных?

Question

При извлечении PII из тестовых данных я застрял в сложном сценарии: каскадное изменение изменений через отношения внешнего ключа в данных. Учитывая акцент на неприкосновенности частной жизни и правилах, следует ли препятствовать этой практике? Если бы сам PII не использовался каким-либо ключевым способом, то хитрый трюк состоял бы в том, чтобы просто перемешать столбцы.

Есть несколько коммерческих инструментов, доступных для решения этой проблемы, но ни один из них, похоже, не справляется с большим разнообразием баз данных.

Answer 1

Звучит опасно и глупо и неэффективно. Ключи должны быть синтетическими идентификаторами.

Answer 2

HIPAA имеет концепцию, называемую «Уникальный идентификатор пациента», которую можно использовать, как мы описываем, для связи данных: http://www.ncvhs.hhs.gov/app4.htm

Уникальный идентификатор пациента исключает необходимость повторного использования и раскрытие личного лица идентификационная информация (то есть имя, возраст, пол, раса, семейное положение, место проживания и т. д.) внутренние и внешние коммуникации (например, заказы, результаты, лекарства, консультации и т. д.) и защищает конфиденциальность личности. Это помогает сохранить анонимность пациента во время облегчение общения и распространение информации. Здравоохранение в основном междисциплинарный процесс. Уникальный идентификатор пациента позволяет интеграцию и наличие критически необходимого информация из междисциплинарного источники и несколько параметров ухода. Поэтому целостность и безопасность информация о пациенте зависит от использование надежного уникального пациента Identifier.

Проблема конфиденциальности зависит не столько от самого идентификатора, сколько от безопасности и конфиденциальности данных, к которым этот идентификатор используется, и того, как этот доступ контролируется. Насколько я понимаю, обычно это означает, что система, запрашивающая информацию через идентификатор пациента, должна возвращать только ту информацию, которая не может быть объединена для раскрытия частной информации.

По сути, вы бы сгенерировали искусственный ключ для каждого человека. Несмотря на то, что он уникален для человека, он не является личным идентификатором, если только вы не должны были раскрывать личную информацию вместе с ним. Например, если вы позволяете людям видеть только имена с определенным запросом, но также возвращаете искусственный ключ, то теперь они знают, что искусственный ключ 00003 связан с именем Боба. теперь, если вы позволите им как-то вернуться назад и запросить 00003 в качестве критерия и разрешить им доступ к фамилии, вы сможете увидеть, как они могут начать накапливать информацию. Важно, чтобы у неавторизованного пользователя не было возможности получить искусственный ключ и PII, возвращенные в одном и том же запросе, поскольку тогда сам искусственный ключ стал бы PII. по крайней мере, это моя интерпретация.

Answer 3

Помимо проблем HIPPA, другая проблема с использованием PII в качестве ключа заключается в том, что он изменяется. Люди получают новые SSN, когда у них украдены личные данные. SSN также часто неправильно вводятся и, таким образом, связывают информацию не с тем человеком (здесь больше думают об импорте данных из других систем). Люди (особенно женщины) часто меняют свои имена. Разные люди также имеют одно и то же имя (и часто, по этой причине, базы данных содержат неверную информацию SSN для них, так как они соответствуют неправильному SSN для этого имени), и, таким образом, очень маленький PPI на самом деле достаточно уникален, чтобы быть ключевым полем , Кроме того, PII должен храниться в зашифрованном поле, что делает его еще более плохим выбором для ключевого поля.