728x90
"구글 클라우드에 의료 정보 올리기, 데이터 보호법 위반" 英 단체 주장
영국 단체들은 의료 정보처럼 중요한 데이터 데이터를 영국 정부 관할을 벗어난 업체에 업로드해선 안된다고 당부했다.
영국의 개인정보 보호 단체들이 의료 기록을 처리하는데 구글의 클라우드 서비스를 사용하는 것은 영국의 데이터 보호법을 심각하게 위반하는 것이라고 해당 정부의 데이터보호기관에 항의했다.
영국의 개인정보 보호 단체인 메드컨피덴셜(medConfidential), 빅 브라더 와치(Big Brother Watch), 정보 정책 연구 재단(Foundation for Information Policy Research)은 최근 컨설팅 기업인 PA컨설팅이 의료 데이터를 수집하고 이를 분석하고자 구글의 클라우드에 업로드했다고 밝혔으며 영국 정보 위원회 사무국(ICO)에 문제를 제기했다.
정보센터에 따르면, 2011년 영국의 보건 및 사회 복지 정보센터(HSCIC)의 전신이 병원 에피소드 통계(HES) 환자 데이터베이스를 PA 컨설팅과 공유할 수 있는 계약을 체결했다.
병원 에피소드 통계는 매년 1억 2,500명 이상의 환자들의 외래, 사고, 응급처치 기록을 처리하는 것으로 전해졌다.
각 HES 기록은 일반적으로 연령, 성별, 인종, 진단 및 치료 코드, 환자 치료, 생의 한 지점에 대한 자세한 내용 등 개별 환자에 대한 광범위한 정보가 포함돼 있다. 기본적으로 HES 데이터는 환자의 약 98%를 개인적으로 식별할만한 출생, 우편 번호, 날짜 등 환자 개인의 정보가 충분히 들어있다고 단체들은 말했다.
데이터는 필명으로 기록됐고 분석 프로젝트에서 쓰였다고 PA컨설팅은 성명서에 반박했다.
그러나, 방대한 환자 데이터의 수집물을 분석하기 위해 PA 컨설팅은 구글에 데이터를 업로드했고 구글의 분석 서비스인 빅쿼리(BigQuery)를 통해 처리했다. 클라우드 서비스인 빅쿼리는 대규모 데이터 세트의 상호분석을 가능하게 해준다. 개인정보 보호 단체들은 일어나지 말아야 할 일이 일어날 수도 있다고 주장했다.
"어떤 엄격한 규제를 준수하지 않는다면, 대규모의 환자 데이터 세트는 어떤 클라우드 업체에도 업로드해서는 안된다고 생각한다"라고 메드콘피덴셜의 코디네이터인 필 부스는 이메일을 통해서 밝혔다.
"이러한 중요한 데이터는 영국과 EU의 데이터 보호 당국 및 EU 인권 프레임워크의 간섭을 받지 않는 외부 업체에 절대 올려서는 안된다. 이러한 조치가 불법이 아니라면, 그렇게 해야 한다”라고 그는 덧붙였다.
PA 컨설팅에 따르면, 데이터 세트는 특정 개인에 링크될 수 있는 정보를 포함하지 않으며 HSCIC가 승인하고 지정한 조건에 따라 안전하게 클라우드에 저장된다고 한다. 데이터 집합에 대한 접근도 엄격하게 통제되고 최대 12명의 프로젝트 팀으로 제한된다고 PA컨설팅은 밝혔다.
그러나 개인정보 보호 단체들은 그 주장에 이의를 제기했다. "구글의 클라우드 서비스에 저장된 HES 데이터 세트는 환자의 이름이나 NHS 번호를 포함하지 않더라도, 데이터가 특정 개인에 쉽게 링크할 수 있으며, 따라서 종종 민감한 개인 데이터를 구성해준다"라고 이들은 주장했다.
따라서 ICO는 구글의 클라우드 서비스에 환자 데이터를 업로드하는 것이 영국 법률과 규제를 이반할 수 있는지에 대해 조사해야 한다고 이 단체들은 요구했다.
한편 ICO는 개인정보 보호 단체들의 주장에 대한 논평 요청에 대해 즉각적으로 답변하지 않았다
728x90
'Security_News > 해외보안소식' 카테고리의 다른 글
중국 곤명 무차별 살상 사건에 편승 한 E 메일 공격 도구 "Gh0st RAT"유도 (0) | 2014.03.19 |
---|---|
표적형 공격「Siesta」を確認 (0) | 2014.03.19 |
malware that went straing for victims money (0) | 2014.03.18 |
에너지 산업분야 대상 표적공격 시도 증가 (0) | 2014.03.18 |
구글검색 암호화 (0) | 2014.03.18 |