序論:AIとプライバシーの根本的緊張

[PR] 人気おすすめビジネス書特集

機械学習の性能は一般に訓練データの量と質に依存する。大規模データセットへのアクセスは、モデルの精度向上に不可欠であるが、同時に個人のプライバシーに対する深刻な脅威をもたらす。この「データ利活用」と「プライバシー保護」の間の根本的緊張関係は、AI倫理の中核的課題の一つである。

[PR] 副業アイデアのビジネス書籍

従来のプライバシー保護手法——匿名化(anonymization)、仮名化(pseudonymization)、k-匿名性(k-anonymity)——は、現代の機械学習技術に対して脆弱であることが明らかになっている。Sweeney(2000)は、米国人口の87%がZIPコード、生年月日、性別の組み合わせによって一意に特定可能であることを示した。Narayanan & Shmatikov(2008)は、Netflixの匿名化された映画評価データを、IMDbの公開データとの照合によって再特定できることを実証した。

本稿では、プライバシー保護機械学習(Privacy-Preserving Machine Learning, PPML)の主要な技術的アプローチを体系的に論じる。差分プライバシー(Differential Privacy)、連合学習(Federated Learning)、準同型暗号(Homomorphic Encryption)、セキュアマルチパーティ計算(Secure Multi-Party Computation)、および合成データ生成(Synthetic Data Generation)を取り上げ、それぞれの理論的基盤、実装上の課題、および応用事例を検討する。

差分プライバシーの理論的基盤

差分プライバシー(Differential Privacy, DP)は、Dwork, McSherry, Nissim, & Smith(2006)によって提案された、プライバシー保護の数学的定義である。DPの基本的な直感は、「あるデータベースに対するクエリの結果が、特定の個人のレコードの有無によってほとんど変化しない」ことを保証するものである。

形式的定義:ランダム化アルゴリズム M は、任意の隣接データベース D と D'(高々1レコードが異なる)、および任意の出力集合 S ⊆ Range(M) に対して、P[M(D) ∈ S] ≤ e^ε × P[M(D') ∈ S] + δ を満たすとき、(ε, δ)-差分プライバシーを満たすという。ε はプライバシーバジェット(privacy budget)と呼ばれ、小さいほどプライバシー保護が強い。δ は確率的な緩和パラメータである。

差分プライバシーの基本的なメカニズムとして、ラプラスメカニズム(数値クエリにラプラス分布のノイズを加算)、ガウスメカニズム(ガウス分布のノイズを加算、(ε,δ)-DPを達成)、指数メカニズム(離散的な出力に対する選択メカニズム)がある。

DPの重要な性質として、合成定理(composition theorem)がある。k個の(ε,δ)-DPメカニズムを逐次的に適用した場合、全体は(kε, kδ)-DPを満たす(基本合成)。より洗練された上級合成定理(advanced composition theorem, Dwork, Rothblum, & Vadhan, 2010)は、k個の(ε,0)-DPメカニズムの合成が(√(2k ln(1/δ'))·ε + kε(e^ε - 1), δ')-DPを満たすことを示す。

[PR] 人気おすすめビジネス書特集

Abadi, Chu, Goodfellow, McMahan, Mironov, Talwar, & Zhang(2016)のDP-SGD(Differentially Private Stochastic Gradient Descent)は、深層学習の訓練過程に差分プライバシーを導入する画期的な手法であった。DP-SGDは、(1) ミニバッチの各サンプルの勾配をクリッピング(上限C以下に制限)し、(2) クリッピング後の集約勾配にガウスノイズ(σ = C·√(2ln(1.25/δ))/ε)を加算する。Rényi差分プライバシー(Rényi DP, Mironov 2017)による厳密なプライバシー会計(privacy accounting)を用いることで、実用的なプライバシー保証を提供する。

差分プライバシーの大規模実装として、Apple(2017年のiOS差分プライバシー)、Google(RAPPORシステム、PROCHLO)、US Census Bureau(2020年国勢調査でのTopDownアルゴリズム)が注目される。特に米国国勢調査での適用は、プライバシー保護とデータ精度のトレードオフを社会的規模で顕在化させ、活発な論争を引き起こした。

図1:プライバシー保護技術の体系

プライバシー 保護ML 差分 プライバシー 連合学習 Federated Learning 準同型暗号 HE セキュアMPC 秘密分散・GC 合成データ DP-GAN等 数学的保証 / ノイズ付加 データ非共有 / 分散学習 暗号化状態で計算 秘密を明かさず共同計算

連合学習の理論と実践

連合学習(Federated Learning, FL)は、McMahan, Moore, Ramage, Hampson, & y Arcas(2017)によって提案された分散機械学習のパラダイムであり、複数のクライアント(デバイスや組織)がデータを共有することなく、協調的にモデルを訓練する。FLの基本プロトコルであるFederated Averaging(FedAvg)は、以下の手順を反復する:(1) サーバーが現在のグローバルモデルをクライアントに配布、(2) 各クライアントがローカルデータでモデルを更新、(3) クライアントがモデル更新(勾配または重み差分)をサーバーに送信、(4) サーバーが更新を集約してグローバルモデルを更新。

連合学習の主要な技術的課題として、以下の点が挙げられる。第一に、非IID(non-identically and independently distributed)データの問題——クライアント間のデータ分布が異質な場合、FedAvgの収束が著しく劣化する。Karimireddy, Kale, Mohri, Reddi, Stich, & Suresh(2020)のSCAFFOLDは、制御変量(control variates)を用いてクライアントドリフト(client drift)を補正する手法を提案している。第二に、通信効率——各ラウンドでの通信コストが大きいため、勾配圧縮(gradient compression)、量子化(quantization)、連合蒸留(federated distillation)などの通信効率化手法が研究されている。

連合学習のプライバシー保護には重要な限界がある。モデル更新からの情報漏洩の可能性が指摘されている。Zhu, Liu, & Han(2019)は、勾配からの訓練データ復元攻撃(gradient inversion attack)を実証し、共有された勾配情報からピクセルレベルで訓練画像を再構成できることを示した。この脆弱性への対策として、連合学習と差分プライバシーの組み合わせ(DP-FedAvg, McMahan et al., 2018)、セキュアアグリゲーション(Bonawitz et al., 2017)などが提案されている。

連合学習の実用事例として、GoogleのGboardにおける次単語予測(Hard et al., 2018)、Appleの音声認識・Siri改善、および医療分野におけるマルチサイト臨床研究(Sheller et al., 2020——脳腫瘍セグメンテーションにおける連合学習の有効性の実証)が注目される。

暗号学的アプローチ

準同型暗号(Homomorphic Encryption, HE)は、暗号化されたデータに対して直接計算を行うことを可能にする暗号技術である。完全準同型暗号(Fully Homomorphic Encryption, FHE)は、Gentry(2009)によって初めて構成が示された。FHEは、暗号化された入力に対して任意の計算を行い、復号後に正しい結果を得ることができる。

[PR] 人気おすすめビジネス書特集

FHEの機械学習への応用は、CryptoNets(Gilad-Bachrach et al., 2016)——暗号化されたデータに対するニューラルネットワークの推論——に始まり、近年ではCKKS(Cheon, Kim, Kim, & Song, 2017)スキームの導入により、浮動小数点演算の効率的な近似が可能となっている。しかし、FHEは計算オーバーヘッドが依然として大きく(平文に比べて数桁遅い)、実用的な深層学習の訓練への適用は限定的である。

セキュアマルチパーティ計算(Secure Multi-Party Computation, MPC)は、複数の当事者がそれぞれの入力を秘密にしたまま、関数の出力のみを共同で計算するプロトコルである。Yaの暗号化回路(Yao's Garbled Circuit)やシャミアの秘密分散(Shamir's Secret Sharing)に基づく手法が代表的である。MPCは、差分プライバシーとは異なり、情報理論的あるいは計算論的に安全なプライバシー保証を提供する。

SecureML(Mohassel & Zhang, 2017)やABY3(Mohassel & Rindal, 2018)は、MPCを用いた機械学習の訓練・推論のプロトコルを提案している。これらの手法は、2者間または3者間の設定で、線形回帰、ロジスティック回帰、ニューラルネットワークの訓練を秘密裡に行うことを可能にする。

合成データ生成

[PR] 副業アイデアのビジネス書籍

合成データ生成(Synthetic Data Generation)は、元のデータの統計的特性を保持しつつ、個人を特定できない人工的なデータを生成するアプローチである。差分プライバシー付き合成データ生成は、データの有用性とプライバシー保護を両立させる有力な手法として注目されている。

[PR] 副業アイデアのビジネス書籍

PATE-GAN(Jordon, Yoon, & van der Schaar, 2019)は、Private Aggregation of Teacher Ensembles(PATE)フレームワークとGANを組み合わせ、差分プライバシー保証を持つ合成データを生成する。DP-GAN(Xie, Lin, Wang, Wang, & Zhou, 2018)は、GANの訓練過程にDP-SGDを直接適用する。

合成データの品質評価は、(1) 統計的忠実度(statistical fidelity)——元データの統計的特性の保持度、(2) 機械学習有用性(ML utility)——合成データで訓練したモデルの性能、(3) プライバシー保護度——メンバーシップ推論攻撃(membership inference attack)への耐性、の三軸で行われる。Stadler, Oprisanu, & Troncoso(2022)は、合成データが直感的に期待されるほどのプライバシー保護を提供しない場合があることを実証的に示し、注意を喚起している。

お金の作り方を学ぶオンライン講座【Finorie|フィノリー】

図2:プライバシー保護技術の特性比較

技術 プライバシー保証 精度への影響 計算コスト 実用段階 差分プライバシー ◎ 数学的保証 △ ノイズによる劣化 ◎ 低コスト ◎ 実用済 連合学習 △ 勾配漏洩リスク ○ 比較的良好 △ 通信コスト ◎ 実用済 準同型暗号 ◎ 暗号学的保証 ◎ 影響なし ✕ 非常に高い △ 推論のみ セキュアMPC ◎ 情報理論的保証 ◎ 影響なし ✕ 高い △ 限定的 合成データ △ DP付きなら保証 △ 分布の歪み ○ 生成時のみ ○ 拡大中

プライバシー攻撃の分類

プライバシー保護技術の設計・評価には、想定される攻撃モデルの理解が不可欠である。主要な攻撃として以下が挙げられる。

お金の作り方を学ぶオンライン講座【Finorie|フィノリー】

メンバーシップ推論攻撃(Membership Inference Attack):Shokri, Stronati, Song, & Shmatikov(2017)が提案した攻撃であり、特定のデータポイントがモデルの訓練データに含まれていたかどうかを推論する。モデルの過学習(overfitting)が攻撃の成功率を高める。

モデル逆転攻撃(Model Inversion Attack):Fredrikson, Jha, & Ristenpart(2015)が示した攻撃であり、モデルの出力から訓練データの特徴を推定する。顔認識モデルに対するモデル逆転攻撃は、特定個人の顔画像の近似的な復元を可能にする。

訓練データ抽出攻撃(Training Data Extraction):Carlini, Tramer, Wallace, Jagielski, Herbert-Voss, Lee, Roberts, Brown, Song, Erlingsson, Oprea, & Riedel(2021)は、GPT-2から訓練データの一部(個人情報を含む)を抽出できることを実証した。大規模言語モデルの記憶(memorization)は、プライバシー保護の観点から深刻な課題を提起する。

プライバシー規制との接合

[PR] 人気おすすめビジネス書特集

EU一般データ保護規則(GDPR)は、個人データの処理に関する包括的な法的枠組みを提供し、AI開発に直接的な影響を与える。GDPR第5条のデータ最小化(data minimization)原則、第25条のプライバシー・バイ・デザイン(privacy by design)要件は、PPMLの採用を促進する規制的インセンティブとなっている。

差分プライバシーとGDPRの関係は、法学的に複雑な問題を提起する。差分プライバシーは個人レベルの保証を提供するが、GDPRの「個人データ」の定義(特定された又は特定可能な自然人に関するあらゆる情報)と差分プライバシーの保証が正確に整合するかについては議論がある。Desfontaines & Pejó(2020)は、差分プライバシーがGDPRの各条項とどのように対応するかについて詳細な分析を提供している。

連合学習についても、GDPRとの関係は単純ではない。連合学習はデータの物理的な移転を回避するが、モデル更新の集約が「データ処理」に該当するかどうか、各参加者の役割が「管理者(controller)」か「処理者(processor)」かなどの法的問題が未解決である。

結論と今後の展望

本稿では、プライバシー保護機械学習の主要な技術的アプローチを体系的に論じた。差分プライバシーは数学的に厳密なプライバシー保証を提供するが、精度とのトレードオフが存在する。連合学習はデータの非共有を実現するが、モデル更新からの情報漏洩リスクがある。暗号学的手法は強力なプライバシー保護を提供するが、計算コストが大きい。合成データは利便性が高いが、プライバシー保証は生成手法に依存する。

今後の研究方向として、(1) 異なるPPML技術の組み合わせ(例:連合学習+差分プライバシー+セキュアアグリゲーション)による多層防御、(2) 大規模言語モデルにおけるプライバシー保護——訓練データの記憶と忘却の制御、(3) プライバシー保護と説明可能性の同時達成——差分プライバシーの制約下で有意な説明を提供する手法、(4) 規制要件の技術的実装——GDPRやAI Act等の法的要件をPPML技術に翻訳するための標準化、が重要な課題である。

参考文献

  1. Abadi, M., et al. (2016). "Deep Learning with Differential Privacy." CCS 2016.
  2. Bonawitz, K., et al. (2017). "Practical Secure Aggregation for Privacy-Preserving Machine Learning." CCS 2017.
  3. Carlini, N., et al. (2021). "Extracting Training Data from Large Language Models." USENIX Security 2021.
  4. Cheon, J.H., Kim, A., Kim, M., & Song, Y. (2017). "Homomorphic Encryption for Arithmetic of Approximate Numbers." ASIACRYPT 2017.
  5. Desfontaines, D., & Pejó, B. (2020). "SoK: Differential Privacies." PETS 2020.
  6. Dwork, C., McSherry, F., Nissim, K., & Smith, A. (2006). "Calibrating Noise to Sensitivity in Private Data Analysis." TCC 2006.
  7. Fredrikson, M., Jha, S., & Ristenpart, T. (2015). "Model Inversion Attacks That Exploit Confidence Information and Basic Countermeasures." CCS 2015.
  8. Gentry, C. (2009). "Fully Homomorphic Encryption Using Ideal Lattices." STOC 2009.
  9. Jordon, J., Yoon, J., & van der Schaar, M. (2019). "PATE-GAN: Generating Synthetic Data with Differential Privacy Guarantees." ICLR 2019.
  10. Karimireddy, S.P., et al. (2020). "SCAFFOLD: Stochastic Controlled Averaging for Federated Learning." ICML 2020.
  11. McMahan, H.B., et al. (2017). "Communication-Efficient Learning of Deep Networks from Decentralized Data." AISTATS 2017.
  12. Mironov, I. (2017). "Rényi Differential Privacy." CSF 2017.
  13. Mohassel, P., & Zhang, Y. (2017). "SecureML: A System for Scalable Privacy-Preserving Machine Learning." IEEE S&P 2017.
  14. Narayanan, A., & Shmatikov, V. (2008). "Robust De-anonymization of Large Sparse Datasets." IEEE S&P 2008.
  15. Sheller, M.J., et al. (2020). "Federated Learning in Medicine." Nature Medicine, 26, 1342–1350.
  16. Shokri, R., et al. (2017). "Membership Inference Attacks Against Machine Learning Models." IEEE S&P 2017.
  17. Stadler, T., Oprisanu, B., & Troncoso, C. (2022). "Synthetic Data — Anonymisation Groundhog Day." USENIX Security 2022.
  18. Sweeney, L. (2000). "Simple Demographics Often Identify People Uniquely." Carnegie Mellon Data Privacy Working Paper.
  19. Zhu, L., Liu, Z., & Han, S. (2019). "Deep Leakage from Gradients." NeurIPS 2019.