Download PDF
Methods Inf Med 1976; 15(01): 36-42
DOI: 10.1055/s-0038-1635718
Original Article
Schattauer GmbH

Confidentiality of Statistical Records: A Threat-Monitoring Scheme for On Line Dialogue

Zum Statistikgeheimnis: Sicherungen Für den on Line-Dialog
J. Schlörer
1   Department of Medical Statistics, Documentation, and Data Processing, University of Ulm
› Author Affiliations
Further Information

Publication History

Publication Date:
19 February 2018 (online)

    Permissions and Reprints

From a statistical data bank containing only anonymous records, the records sometimes may be identified and then retrieved, as personal records, by on line dialogue. The risk mainly applies to statistical data sets representing populations, or samples with a high ratio n/N. On the other hand, access controls are unsatisfactory as a general means of protection for statistical data banks, which should be open to large user communities. A threat monitoring scheme is proposed, which will largely block the techniques for retrieval of complete records. If combined with additional measures (e.g., slight modifications of output), it may be expected to render, from a cost-benefit point of view, intrusion attempts by dialogue valueless, if not absolutely impossible. The bona fide user has to pay by some loss of information, but considerable flexibility in evaluation is retained. The proposal of controlled classification included in the scheme may also be useful for off line dialogue systems.

Personenbezogene Information, bis hin zu kompletten Datensätzen, läßt sich unter Umständen per Online-Dialog aus statistischen Datenbanken herausziehen. Gefährdet sind vor allem Datenbestände, die Populationen oder Stichproben mit hohem Verhältnis n/N repräsentieren. Zugangskontrollen aber sind keine befriedigende Lösung für den Schutz statistischer Datenbanken, die einem großen Benutzerkreis offenstehen sollten. Ein Überwachungsschema für den on line-Dialog wird vorgeschlagen, das die Techniken zum Retrieval kompletter Datensätze weitgehend ausschaltet. Verbunden mit weiteren Maßnahmen (etwa geringfügigen Modifikationen des Output), bietet es die Aussicht, Versuche des Eindringens per Dialog — vom Kosten-Nutzen-Standpunkt aus — wertlos, wenn auch nicht absolut unmöglich zu machen. Der Normalbenutzer bezahlt mit einem gewissen Verlust an Information, behält aber erhebliche Freiheit bei der Auswertimg. Der im Schema enthaltene Vorschlag einer kontrollierten Klassifikation kann auch für Systeme mit Off-line-Dialog nützlich sein.

Key-Words

Statistical Confidentiality - Statistical Data Banks - Security - Evaluation by Dialogue

Schlüssel-Wörter

Statistikgeheimnis - statistische Datenbanken - Datensicherung - Dialogauswertung
 

  • References

  • 1 Baran P. Statement. U.S. Congress, House, Committee on Government Operations, Special Subcommittee on Invasion of Privacy: The computer and invasion of privacy, pp. 119—135. U.S. Government Printing Office: Washington, D.O.,; 1966
    Google Scholar
  • 2 Boruch R. F. Security of information processing — implications from social research. AFIPS Conf. Proc 41 I 1972; 425-433.
    PubMedGoogle Scholar
  • 3 Boruch R. F, Endruweit G. Mathematische Methoden zur Sicherung der Vertraulichkeit und Anonymität von Forschungsdaten. Z. Soziol 2 1973; 227-238.
    PubMedGoogle Scholar
  • 4 Eimeren W. van, Selbmann H. K, Überla K. Modell einer allgemeinen Vorsorgeuntersuchung im Jahre 1969/70. Schlußbericht. W. E. Weinmann Druckerei GmbH: Bonlanden bei Stuttgart; 1972
    Google Scholar
  • 5 Fano R. M. On the social role of computer communications. Proc. IEEE 60 1972; 1249-1253.
    CrossrefPubMedGoogle Scholar
  • 6 Fellegi I. P. On the question of statistical confidentiality. J. Amer, statist. Ass 67 1972; 7-18.
    CrossrefPubMedGoogle Scholar
  • 7 Fellegi I. P, Phillips J. L. Statistical confidentiality: some theory and applications to data dissemination. Ann. Econ. Soc. Measurement 3 1974; 399-409.
    PubMedGoogle Scholar
  • 8 Hansen M. H. Insuring confidentiality of individual records in data storage and retrieval for statistical purposes. AFIPS Conf. Proc 39 1971; 579-585.
    PubMedGoogle Scholar
  • 9 Hoffman L. J, Miller W. F. Getting a personal dossier from a statistical, data bank. Datamation 16 (05) 1970; 74-75.
    PubMedGoogle Scholar
  • 10 Jacobs G. Die Unwirksamkeit der Anonymisierung von In- dividualdaten — dargestellt am Beispiel der Amtlichen Studentenstatistik. Öff. Verw. Datenverarbeitung 3 1973; 258-261.
    PubMedGoogle Scholar
  • 11 Karhausen M. Inwieweit können anonymisierte Daten ohne Zuhilfenahme der Identifikationsmerkmale de-anonymisiert werden ?. Presse- und Informationszentrum des Deutschen Bundestages : Zur Sache Nr. 5 — Datenschutz/Meldegesetz. 150-155. Bonn: 1974
    Google Scholar
  • 12 Müller P. J. Datenschutz und Sicherung der Individualdaten der empirischen Sozialforschung. Datenverarbeitung in Steuer, Wirtschaft und Recht 3 1974; 2-11.
    PubMedGoogle Scholar
  • 13 Nargundkar M. S, Saveland W. Random-rounding: α means of preventing disclosure of information about individual respondents in aggregate data. Statistics Canada. Ottawa: 1972
    Google Scholar
  • 14 Nargundkar M. S, Saveland W. Random-rounding to prevent statistical disclosures. Amer, statist. Ass. Proc., Soc. Statistics Sect. 1972: 382-385.
    PubMedGoogle Scholar
  • 15 Palme J. Software security. Datamation 20 (01) 1974; 51-55.
    PubMedGoogle Scholar
  • 16 Reed I. S. Information theory and privacy in data banks. AFIPS Conf. Proc 42 1973; 581-587.
    PubMedGoogle Scholar
  • 17 Schlörer J. Schnüffeltechniken und Schutzmaßnahmen bei statistischen Datenbank-Informationssystemen mit Dialogauswertung. Materialien Nr. 29 der Abteilung für Med. Statistik, Dokumentation und Datenverarbeitung Ulm: 1974
  • 18 Schlörer J. Identification and retrieval of personal records from a statistical data bank. Metli. Inform. Med 14 1975; 7-13.
    PubMedGoogle Scholar
  • 19 Schlörer J. On statistical confidentiality: minimum query language requirements for tracker building. Materialien Nr. 33 der Abteilung für Med. Statistik, Dokumentation und Datenverarbeitung Ulm: 1975
  • 20 Schlörer J. Confidentiality and security in statistical data banks. Gaus W. Proceedings of the European Workshop on Data Documentation. Aegis, Ulm: (in press)
    Google Scholar
  • 21 Schlörer J. Zum Statistikgeheimnis: Risiken und Schutz statistischer Datenbanken. (In preparation).
    PubMedGoogle Scholar
  • 22 Selbmann H. K. Ein Datenbanksystem zur Auswertung statistischer Datenbestände. Materialien Nr. 15 der Abteilung für Med. Statistik, Dokumentation und Datenverarbeitung Ulm: 1972
  • 23 Selbmann H. K. Bitstring processing for statistical evaluation of large volumes of medical data. Meth. Inform. Med 13 1974; 61-64.
    PubMedGoogle Scholar
  • 24 Steinmüller W, Lutterbeck B, Mallmann C, Harbort U, Kolb G, Schneider J. Grundfragen des Datenschutzes. Deutscher Bundestag: Drucksache VI/3826, S. 5—161. Heger, Bonn-Bad Godesberg: 1972
    Google Scholar
  • 25 Turn R. Privacy and security in personal information databank systems. The Rand Corporation. Santa Monica, Calif.: R-1044-NSF, March 1974
    Google Scholar
  • 26 Turn R, Shapiro N. Z. Privacy and security in databank systems—measures of effectiveness, costs, and protector-intruder interactions. AFIPS Conf, Proc. 41 I 1972; 435-444.
    PubMedGoogle Scholar