差分プライバシー
Differential Privacy
プライバシーの保護手法。
分析するデータセットに数学的に定義されたノイズを加えることで、プライバシーを保護しながら統計的な分析ができる。
差分プライバシーは、当時Microsoft Researchに在籍していたDworkら(2006)によって考案された、プライバシー保護度合いの汎用的・数学的な定義です。データに対するクエリの出力に適切なノイズを付与することによって、統計的な有用性を維持したまま、数学的に証明可能なプライバシー保証を提供します。
平たく言えば、ノイズを付与することで、ある特定の個人がデータセットに含まれていてもいなくても、同じような統計量を出力する(区別がつかないことを保証する)ことで、出力から元のデータセットに含まれる個人を推測困難にするメカニズムです。
差分プライバシーにおける安全性の根拠は「識別不可能性」。
これまでのプライバシー保護手法と異なり、「攻撃者」を仮定していない。
特に、以下のような攻撃は従来の手法では防ぐことが困難でした
複数のデータセットの突合による個人の特定
特異なデータを持つ個人の識別
データの追加・削除による差分攻撃
外部知識との組み合わせによる再識別
識別不可能=「元のデータセットに特定の個人が含まれている場合と含まれていないを区別できないこと」を安全性の根拠としている
差分プライバシーでは、特定の攻撃者仮定を置いておらず、差分プライバシーを適用した出力に関して、元のデータセットに特定の個人が含まれている場合と含まれていないを区別できないこと(識別不可能性)を安全性の根拠としています。
# 技術の変遷と差分プライバシー
## 1.1 技術の変遷
- 2006年に差分プライバシーが登場し、プライバシーを理論的に扱うためのフレームワークが確立した。 - 従来から暗号技術などの研究が進んでいたが、実際に統計局などで利用されるようになるまでには時間差があった。
(04:17付近の発言) 「秘密計算とか、そういったものが出てきたのが90年代ですね。でもこういった形でプライバシーを適切に扱うための要素技術は結構昔からあったんですけど、実際にサブプライバシーという統計的なプライバシー保護の技術が出てきたのって2006年なので、そこで6年のギャップがあったわけです」
## 1.2 差分プライバシーの意義
- 「あるデータが含まれるか否か」に着目し、出力結果への影響度合いを基準にプライバシーリスクを評価できる。
- セマンティック(意味的)な問題を直接扱うのではなく、統計的な視点で「データ有無の差」を捉える。 # プライバシーがギャップを生みやすい理由
## 2.1 定義の難しさ
- セキュリティは「情報が漏れたかどうか」を比較的明確に定義しやすい。 - 一方でプライバシーは「どの1bitが漏れたらどのくらい不快なのか?」という主観的要素を含み、意味的側面が大きいため定義が難しい。
## 2.2 セマンティックな問題
- 「何を知られたら嫌か?」は個人によって異なり、社会・文化的背景によって変わりやすい。
- そのため、法律や技術のみで一律に扱うのが難しく、研究や実装、社会の受容にギャップが生じやすい。
# 差分プライバシーのAIへの応用
## 3.1 理論の適用
- AIモデルに対して差分プライバシーの枠組みを適用すると、「学習データがある個人を含む/含まない」場合の出力差分を小さくするよう制御でき、情報漏洩リスクを低減できる。 (07:31付近の発言) 「例えば顔画像から何かを識別するAIモデルでも、差分プライバシーの観点からみると、あるデータが含まれていたときといなかったときでAIの挙動が変わらないようにすれば、データ漏洩を抑えられるわけですね」
- 単に「漏れる/漏れない」だけでなく、データ1つひとつが結果に与える影響度を制御することができる。
- AIでは膨大なデータが学習に用いられるため、「何をプライバシーと捉えればよいのか?」がさらに曖昧になる。
- 差分プライバシーの枠組みを下敷きにすることで、理論面からある程度の整理が可能だが、実運用上の問題は依然として残る。