Giyilebilir Sağlık Verileri ve Makine Öğrenimi ile Kişilerin Yeniden Tanınması

Massachusetts Lowell Üniversitesi’nden araştırmacılar tarafından giyilebilir sağlık verilerine dayalı yeni bir tür gizlilik saldırısı tespit edilmiştir. Kişi Yeniden Tanıma Saldırısı (PRI-Attack), HIPAA uyumlu, halka açık sağlık giyilebilirlerden kalp atış hızı, nefes alma ve el jesti verisi de dahil olmak üzere verileri kullanarak bireylerin kimliğini belirlemek için kullanılır.

Bu açıklık, ABD’de Sağlık Sigortası Taşınabilirlik ve Hesap Verebilirlik Yasası (HIPAA) tarafından mümkün kılınır. HIPAA, tıbbi verilerin anonim kalmasını gerektirir, ancak ham sensör verilerini (cilt sıcaklığı ve ivmeölçer (ACC) verileri gibi) gizlilik duyarlı olarak dikkate almaz ve bu nedenle bu tür kamuyla paylaşılan verilerin şifrelenmesini veya geleneksel hasta verilerine sağladığı genel korumalara tabi olmasını gerektirmez.

Vektörden Görselle

Bir PRI-Attack, yorumlanan görüntü verilerini diğer sağlık verilerine karşılık gelen ortak desenleri belirlemek için kullanır. Bir kişinin cilt tepkisi, örneğin, video (fotoplethysmography) üzerinden değerlendirilebilir ve giyilebilir saatler ve diğer izleme cihazları gibi sağlık izleme cihazlarından gelen anonim vektör bilgileriyle eşleştirilebilir. Fotoplethysmography, kalp atış hızı verisi sağlar ve anonim giyilebilir kardiyak veriyle eşleştirilebilir.

Jest tanıma, vektör verilerini görsel bir matrise dönüştürülebilen başka bir “anahtar”dır. Bu, yorumlanan görüntü/vidyo verilerinin anonim ivmeölçer bilgileriyle ilişkili olmasına izin verir.

Giyilebilir verilerden el jesti bilgileri. Kaynak: https://arxiv.org/pdf/2106.11900.pdf

Sensör Verileri sebagai PII

UML Yardımcı Profesörü Mohammad Arif Ul Alam’dan yapılan araştırmaya göre, fizyolojik sensör verileri gerçekten PII oluşturabilir ve web’de kullanıcı gizliliği korumaya yönelik yeni girişimlerin altını oymak için şu anda inanıldığı gibi tarayıcı parmak izi tekniklerinin biyolojik bir analogudur.

Hipotezi test etmek için, araştırmacı, giyilebilir bir ivmeölçerden kaydedilen jest verilerini yorumlayan ve hareketleri görsel bir kayda dönüştürebilen bir el jesti tanıma ve konumlandırma çerçevesi geliştirdi.

Bir Multi-Modal Siamese Neural Network (mm-SNN) oluşturuldu ve jest bilgilerini Destek Vektör Makinesi (SVM) ile sınıflandırmak için kullanıldı. Bir ağ, vektör bilgilerini (3D uzayda görüntü bilgileri olarak yorumlanır) işler ve ikinci ağ, sensör verisinden kaydedilen fizyolojik verileri işler.

Test

Sistem, beş gönüllü öğrencinin yedi gün boyunca Empatica E4 kolu takarak video oyunları oynadığı “Oyuncu Yorgunluğu Veri Seti” dahil çeşitli veri setleri üzerinde test edildi. Saat, ivmeölçer (ACC), elektrodermal kontekst (EDA), cilt sıcaklığı ve fotoplethysmography (PPG) sensörleri içerir.

E4 ayrıca, sekiz gönüllünün yirmi dakika boyunca sandviç hazırlayıp yediği “restoran verileri” veri setinde ve 22 yaşlı konusun, 75-95 yaşlarında, saat takarak 13 senaryolu aktivite gerçekleştirdiği “yaşlı yetişkinler” veri setinde kullanıldı.

Son olarak, araştırmacılar, 28 sağlıklı erkeğin ve kadının ortalama 42 yaşlarında, 1-219 ardışık gün boyunca benzer bir çok sensörlü giyilebilir cihazla izlenen “Sağlıklı Yetişkin Yorgunluğu Veri Seti”ni kullandı.

Sonuçlar, kalp atış hızı ve nefes alma hızının yeniden tanımlama için en güvenli yöntemler olduğunu, ortalama %66’dan fazla bir doğruluk oranına ulaştığını gösteriyor.

PRI-Attack metodolojisinin test sonuçları. Crib: PPG: fotoplethysmography; HR: kalp atış hızı; BR: nefes alma hızı; PVP: Kan Hacmi Darbesi (PPG’den elde edilir); IBI: Atış Arası Aralıkları (PPG’den elde edilir); TC: EDA sinyalinin Tonik Bileşeni; EDA verilerinin Fazik Bileşeni (Aynısı); Temp: Sıcaklık.

Araştırma şu sonuca varıyor:

‘Çağdaş bilgisayar görme teknolojisi, kamu güvenlik kameralarından el jestlerini ve ilgili fizyolojik sinyalleri (kalp atış hızı, nefes alma hızı) öğrenmek için kolayca kullanılabilir. Bu büyük miktarda kaydedilen video, saldırganların HIPAA uyumlu sunuculardaki giyilebilir sensör verisinden kimliği açığa çıkarmak için kullanıcıya özel biyometriyi öğrenmek için kolayca kullanılabilir.’

HIPAA, PHR Verilerini ‘Varsayılan Olarak Anonim’ Olarak Değerlendirir

ABD hükümeti, kişisel sağlık kayıtlarının (PHR) büyümesini tanımıştır ve bunu (sağlık giyilebilirlerden gelen veriler de dahil olmak üzere) ‘bireyin sağlık bilgilerine erişimini kontrol ettiği, sağlık bilgilerini yönetmek, izlemek ve kendi sağlık bakımına katılmak için yeteneklere sahip olabileceği bir bireyin sağlık bilgilerinin elektronik kaydı’ olarak sınıflandırır.

Ancak, bu, özel sektörden bir olgu olduğundan, hükümet, bu verilerin kişisel olarak tanımlanabilir bilgi (PII) içermediğini belirterek resmi bir denetimi kabul etmez. Haziran 2016’da ABD Sağlık ve İnsan Hizmetleri Bakanlığı tarafından yapılan bir rapor şunları belirtir:

‘[Büyük] boşluklar, erişim, güvenlik ve gizlilik politikalarında devam etmektedir ve hem tüketiciler hem de yenilikçiler arasında karışıklık sürmektedir. Giyilebilir fitness takip cihazları, sağlık sosyal medyası ve mobil sağlık uygulamaları, tüketici katılımı fikrine dayanmaktadır. Ancak yasalarımız ve düzenlemelerimiz bu yeni teknolojilerle aynı hızda ilerlememiştir.’