Posted inNote

หลักการ K-anonymity

Posted inNote

หลักการ K-anonymity ซึ่งเป็นเทคนิคสำคัญในการทำข้อมูลนิรนาม (De-identification) เพื่อคุ้มครองความเป็นส่วนตัว โดยมีรายละเอียดเชิงลึกดังนี้

คอนเซปต์หลัก: การซ่อนตัวในฝูงชน

หัวใจของภาพนี้คือการเปรียบเทียบระหว่าง "ข้อมูลดิบ" กับ "ข้อมูลที่ผ่านการปกปิดแล้ว" โดยมีเป้าหมายคือการทำลายเอกลักษณ์ของบุคคล ให้คนหนึ่งคนกลายเป็นเพียงส่วนหนึ่งของกลุ่มที่หน้าตาเหมือนกัน (Equivalence Class)

ลองจินตนาการว่าถ้าคุณใส่เสื้อแดงเดินในห้องที่มีแต่คนใส่เสื้อขาว คุณจะถูกระบุตัวได้ทันที (K=1) แต่ถ้าเราบังคับให้ทุกคนใส่เสื้อคลุมสีดำเหมือนกันหมด คุณก็จะกลืนไปกับฝูงชน แยกไม่ออกว่าใครเป็นใคร หลักการนี้เรียกว่า "Safety in Numbers"

การจำแนกประเภทข้อมูลในตาราง

ในภาพมักจะแบ่งคอลัมน์ออกเป็น 3 ประเภทหลัก ซึ่งสำคัญมากต่อการจัดการข้อมูล:

  1. Explicit Identifiers (ตัวระบุโดยตรง): คือข้อมูลที่ชี้ชัดได้ทันทีว่าคือใคร เช่น ชื่อ-นามสกุล, เลขบัตรประชาชน ในกระบวนการนี้ ข้อมูลส่วนนี้จะถูก ลบทิ้ง (Remove) ทันที

  2. Quasi-Identifiers หรือ QIDs (ตัวระบุทางอ้อม): นี่คือส่วนที่ซับซ้อนและสำคัญที่สุด เช่น อายุ, เพศ, รหัสไปรษณีย์, วันเกิด ข้อมูลพวกนี้ดูเผินๆ เหมือนระบุตัวไม่ได้ แต่ถ้านำมาประกอบกัน (เช่น ชายไทย อายุ 45 อยู่แขวงลาดยาว) มันจะกลายเป็น "ลายนิ้วมือ" ที่ชี้ตัวบุคคลได้แม่นยำ หน้าที่ของ K-anonymity คือจัดการกับคอลัมน์พวกนี้ให้เบลอลง

  3. Sensitive Attributes (ข้อมูลอ่อนไหว): คือข้อมูลปลายทางที่เราต้องการนำไปวิเคราะห์ เช่น โรคประจำตัว, เงินเดือน, หรือประวัติการรักษา ข้อมูลส่วนนี้มักจะ ถูกเก็บไว้คงเดิม เพื่อให้ยังนำไปใช้ประโยชน์ทางสถิติหรือการแพทย์ได้

กลไกการแปลงข้อมูล (Transformation)

เพื่อให้บรรลุเป้าหมาย K-anonymity (เช่น K=5) เราต้องใช้สองเทคนิคหลักกับกลุ่ม QIDs:

  • Generalization (การทำให้นามธรรมขึ้น): แทนที่จะบอกอายุ 28 ปี ก็เปลี่ยนเป็นช่วงอายุ 20-30 ปี หรือแทนที่จะบอกรหัสไปรษณีย์ 10900 ก็ตัดเหลือ 10*** การทำแบบนี้ช่วยดึงคนที่มีค่าใกล้เคียงกันให้มารวมอยู่ในกลุ่มเดียวกันได้

  • Suppression (การปกปิด/ลบ): ถ้าข้อมูลไหนโดดเด่นเกินไปจนหาพวกไม่ได้ (Outlier) เช่น คนอายุ 95 ปีที่มีแค่คนเดียวในฐานข้อมูล เราอาจจำเป็นต้องลบแถวนั้นทิ้งไปเลย หรือใส่เครื่องหมายดอกจัน (*) แทนค่าบางอย่าง เพื่อไม่ให้ความลับรั่วไหล

จุดประสงค์เพื่อป้องกันการเชื่อมโยง (Linkage Attack)

สาเหตุที่ต้องทำเรื่องนี้เพราะแฮกเกอร์หรือผู้ประสงค์ร้ายมักใช้วิธีนำ "ตารางข้อมูลที่ดูเหมือนนิรนาม" (เช่น ข้อมูลคนไข้ที่ลบชื่อออกแล้ว) ไปเทียบกับ "ฐานข้อมูลสาธารณะ" (เช่น ทะเบียนผู้มีสิทธิเลือกตั้ง) โดยใช้คอลัมน์ QIDs (เพศ, วันเกิด, ที่อยู่) เป็นกุญแจเชื่อมโยง ถ้าข้อมูลตรงกัน เขาก็จะรู้ทันทีว่านาย A ป่วยเป็นโรคอะไร

การทำ K-anonymity จึงเป็นการตัดวงจรนี้ ทำให้ถึงแม้จะเชื่อมโยงข้อมูลได้ ก็จะเจอกลุ่มคนจำนวน K คน (เช่น 5 คน) ที่มีคุณสมบัติเหมือนกันหมด จนไม่สามารถฟันธงได้ว่าใครคือเป้าหมายที่แท้จริง

ข้อจำกัดที่ควรทราบ

แม้ K-anonymity จะดีแต่ก็มีจุดอ่อน ถ้าคนในกลุ่ม K นั้นมีค่า Sensitive Attribute เหมือนกันหมด (เช่น ทั้ง 5 คนในกลุ่มเป็นมะเร็งเหมือนกันหมด) แม้จะระบุตัวไม่ได้ แต่ก็รู้ทันทีว่ากลุ่มนี้เป็นมะเร็ง จึงเกิดเทคนิคขั้นสูงกว่าชื่อ l-diversity หรือ t-closeness มารองรับในงานที่ต้องการความปลอดภัยระดับสูงสุด