SEARCH

SEARCH BY CITATION

Keywords:

  • Confidentiality;
  • disclosure limitation;
  • identification;
  • intruder

Résumé

Les agences statistiques ont à coeur la mise au point de procédés permettant l'accès à leurs données dans le respect de la confidentialité de ces dernières. Bien que les méthodes d'évaluation du risque de divulgation soient désormais bien établies dans la littérature statistique, l'intégration de ces méthodes à la pratique des instituts sur des bases scientifiques se révèle encore difficile. Cet article vise à examiner, tout en le clarifiant, le rôle de la statistique dans les fondements conceptuels de l'évaluation du risque de divulgation dans le cadre des activités des instituts. Ce risque comporte deux composantes: la mesure de la possibilité d'une réelle divulgation, et le dommage potentiellement associéà celle-ci. Nous développons l'idée que la statistique est bien adaptée à l'évaluation de la première de ces deux composantes, et proposons un cadre pour une telle évaluation. Nous soutenons que le comportement liéà une éventuelle intrusion malveillante peut être considéré indépendamment de ce cadre pourvu qu'il soit tenu compte de façon appropriée de la nature des tentatives d'attaques dans la définition du potentiel de divulgation.

Summary

Statistical agencies are keen to devise ways to provide research access to data while protecting confidentiality. Although methods of statistical disclosure risk assessment are now well established in the statistical science literature, the integration of these methods by agencies into a general scientific basis for their practice still proves difficult. This paper seeks to review and clarify the role of statistical science in the conceptual foundations of disclosure risk assessment in an agency’s decision making. Disclosure risk is broken down into disclosure potential, a measure of the ability to achieve true disclosure, and disclosure harm. It is argued that statistical science is most suited to assessing the former. A framework for this assessment is presented. The paper argues that the intruder’s decision making and behaviour may be separated from this framework, provided appropriate account is taken of the nature of potential intruder attacks in the definition of disclosure potential.