2019/01/31 Deep Learning JP: http://deeplearning.jp/hacks/

1. DL Hacks LT
tensorflow/privacy 使ってみた
2019/1/31
理学部情報科学科3年
古賀 樹
1

2. 目次
• tensorflow/privacy
• 経緯
• Differential privacy
• プライバシーについて
• DPの定義
• DPの実現方法
• 機械学習におけるDP
• Differentially private SGD
• Tutorial 動かしてみた
• 概要
• 実験結果
• まとめ・感想
• 参考資料・その他
2

3. tensorflow/privacy
3

4. tensorflow/privacy / 経緯
• 元々は
tensorflow/models/research/differential_privacy
以下にあった
• 最近独立したレポジトリとして
登場（参照：右ツイート）
• プライバシーロスの計算が
tensorflow非依存になった
（気がする）
4

5. Differential privacy / プライバシーについて
• 出力プライバシーモデル
• 収集した個人情報に関する解析結果を公開
• データセット
• 解析アルゴリズム（メカニズム）
• メカニズムのプライバシー侵害リスクを知りたい
5
𝐷 = (𝑋1, … , 𝑋 𝑛)
𝑀(𝐷)

6. Differential privacy / プライバシーについて
• 出力プライバシーモデルにおける攻撃モデル
• 攻撃者が から の中の個人情報 を知ること
ができる <- プライバシー侵害リスク
• 攻撃者について
• 無限の計算能力と任意の事前知識( 以外の個人情報
も含む)を持つ
6
𝑀(𝐷) 𝐷 𝑋𝑖
𝑋𝑖

7. Differential privacy / DPの定義
• 個人情報 の如何なる部分情報が漏れないことが理想
• adjacent input: 1つの個人情報のみ異なるデータセット
• と の分布がどの程度同じかが と が示して
いる（どちらも小さいほど強いプライバシーであるこ
とを示す）
7
𝑋𝑖
𝑀(𝐷) 𝑀(𝐷′
) 𝜖 𝛿

8. Differential privacy / DPの実現方法
• 解析のクエリにノイズを与える (メカニズム)
• ex: Laplaceメカニズム、Gaussianメカニズム
• （どの程度のノイズを与えるかはセンシティビティを
用いて決める）
• 隣接データセット組 でクエリの出力が最大で
どの程度変わるか
8
(𝐷, 𝐷′
)

9. Differential privacy / 機械学習におけるDP
• 公開情報はモデルとする
• モデルがDPを満たすならば、何回予測してもDP
• post-processing theorem
• 具体的にはパラメータ(ex: ロジスティック回帰におけ
る など)
• そのためパラメータの、勾配による更新の際にメカ
ニズムを適用
9
𝑊

10. tensorflow/privacy / Differentially private SGD
• 1 sample毎に勾配
を計算
• 勾配をclip
(センシティビティ
を抑える)
• ノイズを加える
(Gaussian
メカニズム)
10Abadi et al. (2016) https://arxiv.org/pdf/1607.00133.pdf

11. tensorflow/privacy / Differentially private SGD
11
？

12. tensorflow/privacy / Differentially private SGD
• 実際の実装では…
Subsample + Gaussian Mechanism
-> (Wang et al. 2018)
Renyi DP (IIya 2017)
-> (llya 2017)
-DP
12
(𝜀, 𝛿)

13. Tutorial 動かしてみた
13

14. Tutorial 動かしてみた / 概要
• https://github.com/tensorflow/privacy/tree/master/tutorial
s
• MNISTの分類問題をCNNで解く
• Optimizer が DP-SGD (以下のパラメータを指定可能)
• learning rate
• num_microbatches
• l2_norm_clip
• noise_multiplier
14

15. Tutorial 動かしてみた / 概要
• DPの を知るだけなら
https://github.com/tensorflow/privacy/blob/master/privac
y/analysis/compute_dp_sgd_privacy.py
を動かせば良い (tensorflow 非依存)
15
𝜀

16. Tutorial 動かしてみた / 実験結果
• https://github.com/tensorflow/privacy/tree/master/tutorials#select-
parameters に沿って実験 (1回のみ) (batch_size: 256, )
• 追加で時間を計測
16
lr
noise_ mu
ltiplier
l2_norm_ cli
p
num_ microb
atches
Number of
epochs
Privacy
eps
Accurac
y
Time
per
epoch
(sec)
0.1 256 10
no
privacy
98.9% 1.87
0.32 1.2 1.0 256 10 1.20 95.3% 42.5
0.08 1.12 1.0 256 60 2.92 96.4% 41.8
0.4 0.6 1.0 256 30 9.74 97.2% 41.7
𝛿 = 10−5

17. まとめ・感想
17

18. まとめ・感想
• ようやくコードとしてしっかりと整備されている状態に
• 誰でも使えるように
• Utility vs Privacy のトレードオフがあるが、時間のかかるタスク
で実験を繰り返すのは時間的にしんどそう
(約20倍くらいの時間がかかった)
• 一度学習が済んでしまえば良いという見方もある
• この分野ではtensorflowが他のフレームワークの先を行っている
• PyTorch実装欲しい…
• (tensorflow x docker とても使いやすかった)
18

19. 参考・その他
19

20. 参考資料
• 論文
• Deep Learning with Differential Privacy (Abadi et al. 2016)
https://arxiv.org/abs/1607.00133
• Renyi Differential Privacy (IIya 2017)
https://arxiv.org/abs/1702.07476
• Subsampled Renyi Differential Privacy and Analytical
Moments Accountant (Wang et al. 2018)
https://arxiv.org/abs/1808.00087
• 書籍
• データ解析におけるプライバシー保護 (佐久間先生)
• 機械学習プロフェッショナルシリーズ
20

21. 動かす際の注意点
• Python 2系（？）
21