PPDM-2006

1. プライバシ保護データマイニング入門東京大学中川裕志

2.  ビッグデータのうちでもビジネス価値が高いと言われるパーソナルデータの利活用が注目されています。これは個人情報なので、プライバシーに係わるデータです。  個人情報保護法の改正の動きの中では、直接のターゲットになっているデータです。  Web上に晒されたり、悪用されてはたまりません。  このような事態を防ごうとするのが、プライバシ保護データマイニングです。  プライバシ保護データマイニング（Privacy Preserving Data Mining: PPDM)は21世紀に入って発展してきた分野です。  最近は機械学習、データ工学系の学会で相当数の論文が発表されています。 2

3. このスライドの目的  このスライドでは、プライバシー保護データマイニングという技術分野が認識されてから2006年ごろまでに提案された基本的アイデアを説明します。 プライバシー周りのことがちょっと気になるという人向けにまとめてみました。  2007年以降、種々の発展があり多数の成果が提案されていますが、このスライドでは、それらを理解する基礎知識を与えます。 なお、以下ではプライバシー保護データマイニングPrivacy Preserving Data Mining)を短くPPDMと書きます。 3

4. ＰＰＤＭの大分類  摂動法 – データベースに雑音を加え、利用者がデータベースに質問しても真のデータベースの内容が利用者には取得できないようにする方法です – プライベートな情報は漏れないようにしたいが、一方で雑音による汚染の小さなデータを得たいのです  暗号法あるいは秘密計算法 – データ保持者をパーティと呼びます。 – 複数のパーティが自分のデータは公開鍵暗号で暗号化します。当然、他のパーティには自分のデータは知られません。 – 暗号化したまま何らかの計算をして計算結果（例えば平均値など）だけは全パーティが共有するようにすることが目的です – 安全ですが、計算に時間がかかります • 以下では、この2種類について説明します 4

5. 摂動法

6. 摂動法に関して 2002年から2006年ころまでに導入された概念 • 摂動法によるPPDMを始めた動機 • k-匿名性（k-anonymity） • l-多様性（l-diversity） • t-近接性(t-closeness)

7. 動機  複数の組織が個人情報として、個人識別子（氏名や住所）の他にプラバイシーに係わる機微情報 (sensitive data)を持ち、場合によっては公開しています 機微情報とは、病歴、収入、思想、信条、宗教、などなど なかなか定義しにくく、今も何が機微情報なのか、議論が続いています。 機微情報も含む個人の詳細データが解析やマイニングに利用される状況です  匿名化(Anonymize)：個人の詳細データの保護のため個人識別子の削除などを行います

8. 動機  しかし、個人識別子だけを消す匿名化で十分か？  否! 公開データからプライバシー情報を推測できる可能性あります。 Link Attackと呼びます。 匿名化の崩壊を参照していただくとよいと思います。 医療分野では病名などの機微情報のデータベースの個々のレコードと個人名の対応表がない状況を連結不可能匿名性と呼び、匿名化の基準にしています。  対応表がある場合は連結可能匿名化と呼びます。 これは、個人の医療情報を医療機関の外部に出さないというシステムであるために安全と考えられます。 ただし、医療機関間、あるいは介護ホームなど医療関連機関でも使われる場合はもう少し検討が必要でしょう。

9. Link Attack の例 • Sweeney [S01a] によれば、マサチューセッツ州知事の医療記録が公開情報から特定可能です – MA では、収集した医療データを匿名化して公開している（下図左円内 – 一方、選挙の投票者名簿は公開 (下図右円内） • 両者をつきあわせると • 6 人が知事と同じ生年月日 • うち3 人が男 • うち1 人が同じzipcode • よって、知事の医療記録が特定できてしまいます。 • 1990年の the US 1990 census dataによれば – 87% の人が (zipcode, 性別, 生年月日)によって一意特定可能です [S01a]より

10. 個人情報の保護 • 個人情報の属性 – 個人識別子そのもの（explicit identifiers）は削除：匿名化 – 疑似識別子（quasi identifiers：ＱＩ）は個人特定に利用可能 – 準識別子とも言います。 – 機微情報となるデータベースの属性の値は知られたくない（保護したい）個人識別子疑似識別子機微情報名前誕生日性別 Zipcode 病名太朗 21/1/79 男 53715 風邪花子 10/1/81 女 55410 肺炎光子 1/10/44 女 90210 気管支炎次郎 21/2/84 男 02174 ねんざ明菜 19/4/72 女 02237 エイズプライバシー保護の目標は、個人を疑似識別子から特定できないようにすること

11. 個人情報の保護 • 個人情報の属性 – 個人識別子そのもの（explicit identifiers）は削除：匿名化 – 疑似識別子（quasi identifiers：ＱＩ）は個人特定に利用可能 – 準識別子とも言います。 – 機微情報となるデータベースの属性の値は知られたくない（保護したい）個人識別子疑似識別子機微情報名前誕生日性別 Zipcode 病名太朗 21/1/79 男 53715 風邪花子 10/1/81 女 55410 肺炎光子 1/10/44 女 90210 気管支炎次郎 21/2/84 男 02174 ねんざ明菜 19/4/72 女 02237 エイズプライバシー保護の目標は、個人を疑似識別子から特定できないようにすること匿名化

12. 識別と特定 • 混乱しやすい用語の定義をしておきます  特定：あるデータベースの疑似識別子と外部のデータベースを突き合わせると、個人識別子が一意に分かり、個人を特定できてしまうこと  識別：疑似識別子を調べると、ある疑似識別子を持つ人は1人であることが分かること 識別できなければ特定はできない 識別も特定もできない場合（非識別非特定） 識別できたが特定はできない場合（識別非特定） 12

13. k-匿名性（k-anonymity） • k-匿名性によるプライバシー保護, Sweeney and Samarati [S01, S02a, S02b] • k-匿名性: 疑似知識子を変形して個人を他のk-1 人に紛れさせ、個人を識別できなくする方法です – つまり、匿名化されたデータベースにおいては、疑似識別子の組み合わせ（年齢、郵便番号、性別など）の値が同一の個人は少なくともk 人存在することを保証 – よって、Link Attackでも個人特定の確率は 1/kになります • 実現方法 – 一般化と抑圧 – 当面はデータの値に雑音加算することは考えません • プライバシーとデータマイニングにおける有用性のトレードオフとして – 必要以上に疑似識別子を変形しないことが重要です

14. k-匿名化の例匿名化手法：＝疑似識別子の変形法 • 一般化 – 例えば、対象分野のデータは抽象度によって階層化されているなら、上の階層のデータを公開 • 抑圧 – 特異性のあるデータ項目は削除（個別セルごと、レコードごと、属性ごと）誕生日性別 Zipcode 21/1/79 男 53715 10/1/79 女 55410 1/10/44 女 90210 21/2/83 男 02274 19/4/82 男 02237 誕生日性別 Zipcode group 1 */1/79 人 5**** */1/79 人 5**** 抑圧されます 1/10/44 女 90210 group 2 */*/8* 男 022** */*/8* 男 022** 元データ 2-匿名化されたデータ

15. 種々の一般化 • 全分類階層での一般化（大域的一般化精度低下大） – 一般化に使う分類階層の全てに対して一般化します – if 弁護士とエンジニアが専門家として一般化されるthen 同時に演奏家と画家も芸術家として一般化 • 専門家芸術家 • 弁護士エンジニア演奏家画家 • 部分木の一般化（大域的一般化） – 一般化に使う分類階層の部分木だけを一般化します – 法律家、エンジニアは一般化しても、演奏家と画家は一般化しないこともあり、無駄な一般化を避けています • 専門家芸術家 • 弁護士エンジニア演奏家画家 15

16. 種々の一般化 • 兄弟の片方のみ一般化（大域的一般化） – 弁護士は専門家に一般化されてもエンジニアはそのまま • 専門家芸術家 • 弁護士エンジニア演奏家画家 • 個別データ単位の一般化（局所的一般化精度低下小） – 階層構造に当てはまるデータ全部に一般化を適用するのではなく、 – 個別レコードないし特定のレコードデータ集合に対してだけ一般化します。 • 太郎さん（弁護士）は専門家と一般化されますが、花子さん（弁護士）は弁護士のままです。 16

17. 匿名化のアルゴリズム • 匿名化アルゴリズムでは、アルゴリズムの進行を制御するための評価関数として以下のようなものを使います • minimal distortion metric:MD – 詳細データのうち失われたデータ数。例えば、エンジニアの10 個のデータを専門家に一般化するとMD=10 • 𝑣𝑔より詳細なデータを𝑣𝑔に置き換えたときの損失 𝐼𝐿𝑜𝑠𝑠 𝑣𝑔 = 𝑣 𝑔 −1 𝐷 𝐴 𝑣𝑔 は置き換えた𝑣𝑔の子孫のデータ種類数、 𝐷𝐴 は𝑣𝑔の属性Aにおける元々の詳細なデータ種類数 17

18. 数物系生命系数学物理化学生物 𝐷𝐴 =4 𝑣𝑔 =2 𝐼𝐿𝑜𝑠𝑠 𝑣𝑔 = 𝑣𝑔 − 1 𝐷𝐴 = 2 − 1 4 = 1 4 18

19. • 情報/プライバシーのTrade-off 評価関数 • 𝐼𝐺𝑃𝐿(𝑠) = 𝐼𝐺 𝑠 𝑃𝐿 𝑠 +1 – sは一般化をデータに施したこと – 𝐼𝐺 𝑠 はsという処理によって損失した情報利得、あるいはMD – 𝑃𝐿 𝑠 はsによって匿名化された度合い（例えば、原データをk-匿名化した場合はk 19

20. 一般化を行う束： lattice K-匿名化 zipcode 誕生日性別全ての疑似識別子に対して一般化を行う束を構成目的 k-匿名化を満たしつつ、最小限の一般化を行う一般化 less more Z0 Z1 Z2 ={53715, 53710, 53706, 53703} ={5371*, 5370*} ={537**} B0 B1 ={26/3/1979, 11/3/1980, 16/5/1978} ={*} <S0, Z0> <S1, Z0> <S0, Z1> <S1, Z1> <S1, Z2> <S0, Z2> [0, 0] [1, 0] [0, 1] [1, 1] [1, 2] [0, 2] S0 S1 ={Male, Female} ={Person}

21. 一般化のために束構造を使う incognito [LDR05] 単調性の利用 <S0, Z0> <S1, Z0> <S0, Z1> <S1, Z1> <S1, Z2> <S0, Z2> (I) 一般化の性質 (~rollup) if k-匿名性があるノードで成立 then そのノードの任意の上位ノードでも成立 (II) 部分集合の性質 (~apriori) if あるノードで疑似識別子の属性の集合が k-匿名性を満たさない then その集合を含む集合でもk-匿名性でない e.g., <S1, Z0> k-匿名性  <S1, Z1> も <S1, Z2> k-匿名性 e.g., <S0, Z0> k-匿名性でない  <S0, Z0, B0> and <S0, Z0, B1> k-匿名性でない <S,Z,B>を全部使って描くと複雑すぎるので<S,Z>のみ

22. 分割によっては匿名化できない例 incognito の例 2 個の疑似識別子属性, 7 個のデータ点 zipcode sex group 1 w. 2 tuples group 2 w. 3 tuples group 3 w. 2 tuples 2-匿名性でない 2-匿名性

23. 一般化の良い例、悪い例[LDR05, LDR06] 各次元を順次一様に一般化 incognito [LDR05] 各次元を個別に一般化 mondrian [LDR06] 多次元まとめて一般化 topdown [XWP+06] 一般化の強さ

24. Mondrianの例 [LDR06] 2－匿名性

25. グループの周囲長を利用してグループ化 [XWP+06]: まずい一般化長い箱データマイニングの精度が低い良い一般化正方形に近いデータマイニングの精度が高い

26. Topdown [XWP+06] split algorithm 最も遠い２点を種にして開始 • これはヒューリスティックではある • 種から２グループへ成長させる各データ点を調べ、近くの種（あるいは種から成長したグループ）に周囲長が最小になる点を追加して新しいグループとする右図では、全ての点は、元々は赤と緑に分離されていなかったが、矢印に示すような流れで2グループに分離された。 ①② ③ ③ ② ①

27. 外部DBを逆に利用 • 外部データは通常攻撃側が使うが、これを逆利用して役立てたい • join k-anonymity (JKA) [SMP] x3 k-匿名 x3 x3 合併 JKA マイクロデータ公開データ 3-匿名合併 3-匿名 anonymous 合併されたマイクロデータ

28. k-匿名性の問題点 • ４-匿名性の例（右側のデータベース） • Homogeneityによる攻撃: 最終グループは全員「がん」なので、外部データベースと突き合わせると、識別されていなくても「がん」だと分かります。 • 背景知識による攻撃: 第1グループで、日本人が1人いたことが知られたとしましょう。日本人は心臓疾患にかかりにくいことが知られているので感染症だと分かります id Zipcode 年齢国籍病名 1 13053 28 ロシア心臓病 2 13068 29 US 心臓病 3 13068 21 日本感染症 4 13053 23 US 感染症 5 14853 50 インドがん 6 14853 55 ロシア心臓病 7 14850 47 US 感染症 8 14850 49 US 感染症 9 13053 31 US がん 10 13053 37 インドがん 11 13068 36 日本がん 12 13068 35 US がん id Zipcode 年齢国籍病名 1 130** <30 ∗ 心臓病 2 130** <30 ∗ 心臓病 3 130** <30 ∗ 感染症 4 130** <30 ∗ 感染症 5 1485* ≥40 ∗ がん 6 1485* ≥40 ∗ 心臓病 7 1485* ≥40 ∗ 感染症 8 1485* ≥40 ∗ 感染症 9 130** 3∗ ∗ がん 10 130** 3∗ ∗ がん 11 130** 3∗ ∗ がん 12 130** 3∗ ∗ がん匿名化データ 4-匿名性データ

29. l-多様性 [MGK+06] • 各グループにおいて機微情報の値がうまく管理されることが目的です。つまり、 – homogeneity 攻撃を防ぐ – 背景知識攻撃を防ぐ l-多様性 (簡単な定義) あるグループが l-多様性を持つとは、そのグループ内では機微情報に関して、少なくとも l 種類のデータ値が存在する • group内にl種類の機微な値があり、できるだけ均等に出現することが望ましいという直感を実現します

30. 30 名前年齢性別病名一郎 65 男インフルエンザ次郎 30 男胃炎三子 43 女肺炎四郎 50 男インフルエンザ五子 70 女肺炎六夫 32 男インフルエンザ七子 60 女インフルエンザ八郎 55 男肺炎九美 40 女鼻炎一郎インフル六夫インフル七子インフル四郎インフル三子肺炎五子肺炎八郎肺炎次郎胃炎九美鼻炎病名の頻度順に並んだ部分データベースに分解します l-多様化のアルゴリズムその１ •機微情報（下のデータベースでは病名）毎にを部分データベースに分割して

31. 31 一郎インフル六夫インフル七子インフル四郎インフル三子肺炎五子肺炎八郎肺炎次郎胃炎九美鼻炎一郎インフル七子インフル三子肺炎八郎肺炎九美鼻炎六夫インフル四郎インフル五子肺炎次郎胃炎２つのグループはいずれも3種類の病名(機微情報)を含む：３-多様性病名の頻度順に並んだDB l-多様化のアルゴリズムその２ •大きい順に l 個の部分データベース（左側）からデータを引き出して、右側にグループを形成ここにはk-匿名化された疑似識別子が入ることに注意

32. Anatomy • グループ化したデータを疑似識別子の表と機微情報データの表に分割。対応付けはグループIDだけ。グループ内では個人の区別無し • 3-多様性 32 グループ ID 病名頻度１インフル２１肺炎２１鼻炎１２インフル２２肺炎１２胃炎１名前：匿名化する QI: 年齢 QI：性別グループID 一郎 65 男１七子 60 女１三子 43 女１八郎 55 男１九美 40 女１六夫 32 男２四郎 50 男２五子 70 女２次郎 30 男２これらの2つの表からデータマイニングする個別の値は一般化されないので精度高

33. t-近接性 • l-多様性があっても、ある属性がaの確率99%,bの確率1%というように偏りが激しいと、プライバシーは危険 • ２つのグループ（上記a属性のグループとb属性のグループ）は、機微情報データの分布における距離と、全属性の分布における距離が t 以下であるとき、 t-近接性があるという • 上記の分布間の距離としては、属性を各次元とする。分布Pの各属性値をどのくらい移動させれば分布Qになるかを測りたい。そこで下に示す Earth Mover’s distance(EMD)を用いて評価する – KL-divergenceだと、上記の「移動」のイメージが出てこない。 33       1 ,1,10.. min, andbewteenflow :andbetweendistance,,..,,,,..,, 111 1 11 1 1 1 1 2121                    m i i m i i m i m j ij i m j ji m j ijiij ij m i m j ij f ij m i m j ijij jiij jiijmm qpf qffpmjmifts fdQPEMD EMDfdf qpf givenqpdqqqQpppP ij 最適化したのがを変化させて：　　

34. 攻撃を断ち切るにはをどこか断ち切れば良い 34 個人情報データベースと公開外部データとの突き合わせを狙う攻撃背景知識を用いた疑似識別子と機微情報の突き合わせを狙う攻撃個人情報データベース公開された外部データベース背景知識個人情報流出 k-匿名性 l-多様性 t-近接性

35. k-匿名性, l-多様性, t-近接性の参考文献 • [LDR 05]LeFevre, K., DeWitt, D.J., Ramakrishnan, R. Incognito: Efficient Full-domain k- Anonymity. SIGMOD, 2005. • [LDR06]LeFevre, K., DeWitt, D.J., Ramakrishnan, R. Mondrian Multidimensional k-Anonymity. ICDE, 2006. • [XWP+06] Xu, J., Wang, W., Pei, J., Wang, X., Shi, B., Fu, A., Utility-Based Anonymization Using Local Recoding. SIGKDD, 2006. • [MGK2007]MACHANAVAJJHALA,A. KIFER,D. GEHRKE,J. and VENKITASUBRAMANIAM, U. l- Diversity: Privacy Beyond k-Anonymity. ACM Transactions on Knowledge Discovery from Data, Vol. 1, No. 1, Article 3,2007 • [S01] Samarati, P. Protecting Respondents' Identities in Microdata Release. IEEE TKDE, 13(6):1010-1027, 2001. • [S02a] Sweeney, L. k-Anonymity: A Model for Protecting Privacy. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 2002. • [S02b] Sweeney, L. k-Anonymity: Achieving k-Anonymity Privacy Protection using Generalization and Suppresion. International Journal on Uncertainty, Fuzziness and Knowledge-based Systems, 2002. • Ninghui Li,Tiancheng Li,Venkatasubramanian, S. “t-Closeness: Privacy Beyond k-Anonymity and –Diversity”. ICDE2007, pp.106-115, 2007. • [SMP] Sacharidis, D., Mouratidis, K., Papadias, D. k-Anonymity in the Presence of External Databases（to be appeared) 35

36. • ここまで述べてきたように、公開された複数のデータベースを串刺しする攻撃への対策は、t-近接性に至って、一段落した感あり。  次に考えられた攻撃者は、データベースへの質問者の場合を想定 – 攻撃者の事前知識に左右されることなく、データベースのプライバシー保護の強度を数学的に制御できる概念として、2006年以降、マイクロソフトのCynthia Dworkが中心になって提案した差分プライバシーがトレンドとなった。 36

37. DIFFERENTIAL PRIVACY 差分プライバシー  同じドメインのデータベース：D1,D21レコードだけ異なる  直観的にはデータベース中の1レコードを特定できないことを狙う  任意のD1,D2のペアにおいて、両者を質問 f に対して区別できない結果を返す  データベースの内容が利用者に同定しにくいという相対的安全性：差分プライバシー  X=D1 or D2 に対してYをうまく決めて  t=f(X)+Y  p(t-f(D1)) ≦ eε p(t-f(D2))   あるいはとしたい。  （ε- differential privacy)   このようなYの分布はラプラス分布で実現 37 Ｄ２Ｄ１ α １レコードだけ違う          2 1 log Dftp Dftp

38.               exp )2()1( exp )2()1( exp )2(||)1( exp /)2(exp /)1(exp ))2(( ))1(( exp 2 1 :                                      f DfDfDfDf DftDft Dft Dft Dftp Dftp t Lapalacep 　　がラプラス分布 38                             f LaplaceXftY f LaplaceXftpYp f DfDff DD ~)()( 1 21max 12,1 　　　　　　　パラメータ ε の調整右側のほうがより安全

39. Sensitivityの計算 • ∆𝑓 = 𝑚𝑎𝑥 𝐷1,𝐷2 𝑓 𝐷1 − 𝑓 𝐷2 1を sensitivityと言います。 • ∆𝑓 の計算は1レコードだけ違うデータベースのペアの全てについてmaxを計算するので、実は非常に計算量が大きい。 – 差分プライバシーが実用になりにくい一つの理由 – このmaxの計算量を減らすにはデータベースのサイズを小さくするのがてっとり早い（後に詳述） – 幸いなことに次に述べるヒストグラムデータではこの問題がない。 39

40. ヒストグラムデータなら ∆𝑓 = 1 • 右の図のようにデータベースの属性（この図では年齢）によってレコード数が記録されているようなヒストグラムデータの場合は 1レコードだけ異なるデータベースの場合、この属性を満たすデータの個数に関する質問では、必ず差＝１ つまり、∆𝑓 = 1 なので、𝑚𝑎𝑥 𝐷1,𝐷2の計算は不要なので、楽。 40 レコード数１０，２０，３０，４０，５０，６０年齢

41. データベースの階層的細分化 • データベースを階層的に分割して、木構造とする。 • ルートからの高さi の部分木のノード毎に差分プライバシーを適用すると、maxの計算範囲が小さいのでsensitivity ∆𝑓の計算量が減る。 • すると、問題はデータベース全体の差分プライバシーの𝜀と個別の部分木の𝜀𝑖との関係だが、そこはうまくできていて、以下に述べる定理がある。 41

42. データベースを木構造に分割して差分プライバシーを適用するとき重要になる定理 • 木構造分割のルートからの高さ𝑖の部分木でラプラス分布の雑音加算し 𝜀𝑖 − 𝐷𝑃 が成立させると、全体の高さ𝑛階層あるとき、 • 全体での𝜀 − 𝐷𝑃と各部分木の𝜀𝑖 − 𝐷𝑃の間に以下の関係が成り立つ。 • 𝜀 = 𝜀𝑖 𝑛 𝑖=1 --(1) • つまり、全体として達成したい𝜀を各部分木の𝜀𝑖に分割して総和が𝜀になるように設計すればよい。 . . . . . . . i=1  𝜀1 i=n  𝜀 𝑛 𝜀 = 𝜀𝑖 𝑛 𝑖=1

43. 𝜀 − 𝐷𝑃 の合成定理 • 前のページの式(1)は以下に示す𝜀 − 𝐷𝑃 の合成定理の繰り返しによって得られます。 ℕは正の整数全体を表します。 • 定理： • Χをレコード全体の集合とする。よって Χ はデータベース中のレコード数 • 𝑅1,𝑅2はレコードであり、𝑀1：ℕ Χ → 𝑅1、 𝑀2：ℕ Χ → 𝑅2は各々𝜀1 − 𝐷𝑃、 𝜀2 − 𝐷𝑃を満たす雑音加算メカニズムとする。 • 𝑀1,2：ℕ Χ → 𝑅1 × 𝑅2 、つまり𝑀1と 𝑀2の組み合わせて適用する写像とする。このとき、 • 𝑴 𝟏,𝟐 𝒙 = 𝑴 𝟏 𝒙 , 𝑴 𝟐 𝒙 は（𝜺 𝟏 + 𝜺 𝟐） − 𝑫𝑷 である。 • 証明 • 𝑥, 𝑦 ∈ ℕ 𝑋 であり、 𝑥 − 𝑦 1 ≤ 1とし、 𝑟1, 𝑟2 ∈ 𝑅1, 𝑅 すると、 • 𝑃𝑟 𝑀1,2 𝑥 = 𝑟1,𝑟2 𝑃𝑟 𝑀1,2 𝑦 = 𝑟1,𝑟2 = 𝑃𝑟 𝑀1 𝑥 =𝑟1 𝑃𝑟 𝑀1 𝑦 =𝑟1 𝑃𝑟 𝑀2 𝑥 =𝑟2 𝑃𝑟 𝑀2 𝑦 =𝑟2 ≤ 𝑒 𝜀1 𝑒 𝜀2= 𝑒 𝜀1+𝜀2 • 対称性により 𝑃𝑟 𝑀1,2 𝑥 = 𝑟1,𝑟2 𝑃𝑟 𝑀1,2 𝑦 = 𝑟1,𝑟2 ≥ 𝑒− 𝜀1+𝜀2 □

44. • 補遺： • より一般に、下の式を満たす 𝜀, 𝛿 − 𝐷𝑃となると定理の証明はかなり難しいです。 • 𝜀, 𝛿 − 𝐷𝑃： 𝑃𝑟 𝑀 𝑓, 𝐷1 ≤ 𝑒 𝜀 𝑃𝑟 𝑀 𝑓, 𝐷2 + 𝛿 – “The Algorithmic Foundations of Differential Privacy” Foundations and Trends R in Theoretical Computer Science, Vol. 9, Nos. 3–4 (2013) 211– 407, Dwork and A. Roth, DOI: 10.1561/0400000042 の pp.477-478 に証明が書かれています。

45. 𝜀, 𝛿 − 𝐷𝑃 の合成定理 • 𝑀1 𝐷 ∈ 𝐶1は 𝜀1, 𝛿1 − 𝐷𝑃を満たす雑音加算メカニズム • 𝑀1 𝐷 の結果𝑠1 ∈ 𝐶1を別の 𝜀2 𝛿2 − 𝐷𝑃である雑音加算メカニズム𝑀2の入力に使い、 𝑀2 𝑠1 ∈ 𝐶2 • このとき、任意の1レコードだけ異なる隣接データベース𝐷, 𝐷′ に対して • 𝑃𝑟 𝑀1 𝐷 ∈ 𝐶1⋀ 𝑀2 𝑠1 ∈ 𝐶2 ≤ 𝑒 𝜀1+𝜀2 𝑃𝑟 𝑀1 𝐷′ ∈ 𝐶1⋀ 𝑀2 𝑠′1 ∈ 𝐶2 + 𝛿1 + 𝛿2 – 𝛿1 = 𝛿2= 0のときには𝜀 − 𝐷𝑃の合成定理となる。

46. 差分プライバシーの有効なケース 46 病院ＡのＤＢ at 10:30am インフル 10名太郎が来院 at 10:31 病院ＡのＤＢ at 10:40am インフル 11名ＤＢにインフル患者数を質問し、10:30am で１０，10:40am で１１と分かると、太郎の来院を知っていた人は太郎がインフルだと分かってしまう。  質問への結果に雑音加算すると回避できる。 10+1=11名 11-2=9名

47. 差分プライバシーの弱点 47 病院ＡのＤＢ at 10:30am インフル 10名攻撃者がＤＢへ同じ質問（インフル患者数）を繰り返すと９１２８１１平均すると (9+12+8+11)/4=10 同じ質問を繰り返してもε-privacy が保てるようにするには、非常に大きな雑音を加算しないとならないデータマイニング精度の低下対策１．質問監査同じ質問が来たら回答を拒否ただし、同じ質問が過去に来たかどうかのチェックの計算量が大きい対策２．バイアスのある雑音期待値＝０ではない雑音の加算  データマイニングの精度とのトレードオフ

48. 差分プライバシーに意義 • 差分プライバシーは1レコードだけ異なる2個のデータベースを質問への応答で区別できないようにする • 1レコードに対応する個人情報を攻撃者が質問への応答から推定しにくくなります。 • しかし、直接的な使い方はなかなか難しく、最近も活発に研究されてはいますが。。。 • むしろ、データベースの内容を攻撃されにくい度合いを評価する尺度としての意味が重要かもしれませ – 参照「サンプリングかk-匿名化か差分プライバシーで比較してみよう」 48

49. 差分プライバシーの文献 • C. Dwork. Differential privacy. In ICALP, LNCS, pp.1–12, 2006. • C. Dwork. Dierential privacy: A survey of results. In TAMC, pp. 1-19, 2008. • Cynthia Dwork, Frank McSherry, Kunal Talwar. “The Price of Privacy and the Limits of LP Decoding”. STOC’07, pp.85-94, 2007 49

50. 暗号化あるいは秘密計算準同型性公開鍵暗号を用いたPPDMプロトコル 50

51. プライバシ保護データマイニングの目的 • Alice は彼女のデータベースを Bob に開示したくない． • Bob も彼のデータベースを Alice に開示したくない． • ただし，結合されたデータ XA∪XB についてデータマイニングや統計処理を実行し，その結果のみを知りたい． • PPDMではAliceやBobを「パーティ」と呼ぶ。 51 XA XBAlice Bob XA ∪ XB

52. プライバシー保護データマイニング (PPDM)では  自分自身のデータを持つ多数のパーティが、各々のデータを他のパーティに知られることなく、全パーティのデータを統合的に利用したデータマイニング結果を入手することが目的です.  暗号技術に基づく PPDM 実現が目標となります.  このようなPPDMには多数の応用分野があります  多数の病院が協調して疫病の感染ルート追跡  多数の金融機関が協調して個人の信用情報を得る（与信）  競合数社が共同して市場調査  多数のセンサからネットワーク経由でデータ収集して解析

53. 暗号学的アプローチ • データマイニングを複数の分散計算に分割されているという状況です． • セキュリティプロトコルや暗号学的ツールを組み合わせて，それぞれの計算をプライバシを保護して実行します． – 準同型性公開鍵暗号により，暗号化されたデータ同士の加算や乗算を組み合わせた計算が可能です． • Epk(m)をメッセージmを公開鍵pkで暗号化したものとすると • Epk(m1)* Epk(m2)= Epk(m1+m2) 53 XA XB 暗号プロトコルによる関数の評価 BobAlice XA XB 暗号化暗号化

54. 暗号法の参考文献 プライバシー保護データマイニング J.ヴァイダヤ、C.W.クリフトン、Y.M.ズー著シュプリンガージャパン 2010 (原著は 2006） 計算機科学、機械学習の国際会議としては、 KDD,ICML,ICDM,などに論文が発表されています。 54

55. A knows x and m, B knows y and n  Both A and B knows public key : pk  A only knows secret key: sk  A B  Epk(x) , Epk(m)   B generates random z  Epk(y)z =Epk(yz), Epk(n)z =Epk(nz),  Epk(m)z =Epk(mz), Epk(x)z =Epk(xz),   Epk(yz)xEpk(xz)=Epk(z(x+y))   Epk(mz)xEpk(nz)= Epk(z(m+n)) Dsk( Epk(z(x+y))) /Dsk( Epk(z(m+n)) ) =z(x+y)/z(m+n) = (x+y)/(m+n)  (x+y)/(m+n) Both A and B knows (x+y)/(m+n) Note: A couldn’t know z nor y because couldn’t factor out z or y from z(x+y) 大きな数の因数分解の不可能性準同型性公開鍵暗号による平均値の計算プロトコル上から下に進みます

56. 内積をプライバシー保護しつつ計算し、結果を乱数としてシェアを計算するプロトコル． • ここで rB は，Bob しか知らない乱数です． • 準同型性公開鍵暗号を用いれば，実現できます． • シェアしているのは乱数だが、足せば内積が得られる 56 Alice Bob 入力 xA yB 出力 (xA)T yB - rB rB Alice BobAlice Bob 公開鍵 pk を生成． ci = Encpk(xi) (i = 1,…,d) Alice Bob 公開鍵 pk を生成． ci = Encpk(xi) (i = 1,…,d) wi = ci yi (i = 1,…,d) w = Πi=1 d wi Alice Bob 公開鍵 pk を生成． ci = Encpk(xi) (i = 1,…,d) wi = ci yi (i = 1,…,d) w = Πi=1 d wi 乱数 rB を生成． w’ = w * Encpk(-rB) Alice Bob 公開鍵 pk を生成． ci = Encpk(xi) (i = 1,…,d) Decsk(w’ ) = (xA)T yB – rB wi = ci yi (i = 1,…,d) w = Πi=1 d wi =Enc((xA)T yB）乱数 rB を生成． w’ = w * Encpk(-rB) 乱数を使うのがミソ。乱数によってBobは自分のデータを守ります

57. 付録：1-out of-2 紛失通信：Oblivious Transfer protocol：ＯＴ  n- out of –N も同様  Alice will send Bob one of two messages. Bob will receive one, and Alice will not know which. Alice Bob (m1, m2) m1を受け取ると決める (pk1, sk1), (pk2, sk2) pk1, pk2 K:symmetric key, Epk1(K) Aliceはpk1,pk2のどちらでencryptされたか分からない。 Dsk1( Epk1(K))=K, Dsk2(Epk1(K))=G EK(m1), EG(m2) DK(EK(m1))= m1, DK(EG(m2)) 1-out of-2 紛失通信を使うと、暗号化したままで比較演算ができる。計算量大

58. データマイニング • 上記のプライバシー保護計算のプロトコルを基礎に、より高度なデータマイニングアルゴリズムを実現する。 • 全データはデータ保持者であるパーティ毎への分割は水平分割と垂直分割の2種類あり（次ページ） • 水平、垂直分割データにおけるEMアルゴリズム、 K-meansなどを実現するプロトコルが知られている。 58

59. データ分割のモデル垂直分割と水平分割 59 エンティティ属性１属性２属性３１ a A α ２ b B β ３ c C γ ４ d D δ ５ e E ε ６ f F ζ ７ g G η エンティティ属性１属性２属性３１ a A α ２ b B β エンティティ属性１１ a ２ b ３ c ４ d ５ e ６ f ７ g エンティティ属性２１ A ２ B ３ C ４ D ５ E ６ F ７ G エンティティ属性３１ α ２ β ３ γ ４ δ ５ ε ６ ζ ７ η エンティティ属性１属性２属性３３ c C γ ４ d D δ エンティティ属性１属性２属性３５ e E ε ６ f F ζ ７ g G η パーティ１パーティ１パーティ２パーティ２パーティ３パーティ３水平分割垂直分割

60. 水平分割におけるK-means • パーティ数はr – 図より分かるように、パーティ iのm番目のデータの属性j j=1,..,J(J次元）のデータは元データベースの ( 𝑑 𝑘 + 𝑚, 𝑗)𝑖−1 𝑘=1 番目の要素 • J次元のベクトル空間の距離はユークリッド距離など適当なものを用いる • k番目のクラスタの属性j の値をγkj , クラスタ数はK • γkjの初期値はγkj0 • 目的：K個のクラスタのγkjのK-meansの計算結果を全パーティが知る。ただし、個別のパーティのデータは他へは漏れない。 60

61. パーティ１とパーティ r は特殊 Step 1 パーティ１は乱数Rbを生成し、自分だけで保持 Step 2 パーティrは公開鍵pkを作り全パーティに送る。秘密鍵skは自分だけで保持。 61

62.  Step 3 for all m (in パーティ1) ｛パーティ1は自分の（d1,m)番目のデータに対してクラスタ中心γk が一番近いクラスタのJ次元ベクトルΓkJに（d1×m）番目のデータを加算し、カウントCkにも1を加算｝  以上によって生成された ΓkJとCk はパーティ1がクラスkにもっとも近いデータの属性の総和と、そのようなデータの個数  次は自分のデータを隠す乱数Rbの加算と暗号化をし、その結果をパーティ２に送る for j=1,J Epk[Γkj+Rb]  パーティ２に送る end for Epk[Ck+ Rb」パーティ２に送る 62 パーティ１は1番目であるが、それが保持している情報はRb によって保護される

63. Step 4 for i=2からr-1  パーティ i-1 から受け取った J 種のデータとCk をEpk[Γ’kj+Rb]（j=1,..,J ）、 Epk[Ck’+Rb] とする  パーティ i は自分の(di×m)データに対してクラスタ中心γk が一番近いクラスタのJ次元ベクトルΓkJに (di×m)データを加算し、カウントCkにも1を加算 ただし、計算は以下のように暗号化したままで行う  Epk[Γ’kj+Rb]E[Γkj ] =Epk[Γ’kj+ Γkj +Rb]（j=1,..,J ）  Epk[Ck’+Rb]E[Ck]=Epk[Ck’+Ck+Rb] これらを計算してパーティ i+1 に送る 63

64.  Step 5 パーティ r そしてパーティ１においての操作  パーティ r まず、Step 4と同様に自分のデータを用いてEpk[Γ’kj+ Γkj +Rb]（j=1,..,J ）、 Epk[Ck’+Rb]E[Ck]=Epk[Ck’+Ck+Rb] を計算 秘密鍵skでこれらを復号し、 Dsk Epk[Γ’kj+ Γkj +Rb]= Γ’k+ Γkj +Rb ， Dsk Epk[Ck’+Ck+Rb] =Ck’+Ck+Rb パーティ１に返送  パーティ 1 Rbを差し引いた上で比をとる。すなわち  Γ’kj+ Γkj +Rb－Rb=Σパーティ１からr Γkj=Akj Ck’+Ck+Rb－Rb=Σパーティ１からr Ck=Bk  Akj／Bk＝ γkj すなわち次元jにおけるクラスタkの属性の平均値がわかった。これを全パーティに送信 64 パーティrは平均値以外には、他の個々のパーティの情報は得ることができない。

65. Step 6 Step 5でパーティrから送られたγkjを新たなクラスタkの中心の属性jの値として、Step 3, 4, 5をγkjが収束するまで繰り返す。 65 γkjの収束判定はパーティ1かrが直前のγkjと比較して行えばよい繰り返しのたびに暗号化や復号かが行われるので計算時間が莫大です

66. 垂直分割におけるK-means • 付録で説明を試みますが、大変にややこしいです • 垂直分割でも水平分割でも、収束までの繰り返し計算になるので、暗号化、復号の回数も多く、速度は非常に遅いのです。 – 1000件のデータのクラスタリングに1時間くらいかかりました。 • このようなPPDMプロトコルが実用になるには、もう一歩のbreak throughが必要のようです • あるいは、少ない計算で可能な応用を探すのが現実的でしょう 66

67. つけたし  ここまで述べた暗号技術を用いるPPDMプロトコルにおいてはさらに結託攻撃が強敵です  結託攻撃とは t 個のパーティが結託して、別のパーティのデータを入手しようとします  定義 t-private ：上記の結託攻撃を防げるなら、PPDM は t-private といいます.  総パーティ数= Mのとき, M-1-private なら full-private と呼ぶ.  full-private は PPDM の安心な利用の試金石だと思われます. 67

68. 付録：垂直分割におけるK-means • 以下で説明を試みますが、大変にややこしいので詳細を知りたい方はむしろ下記を参考にしていただいたほうがよいかもしれません。あるいは飛ばしていただいてもけっこうです。 – J.Vaidya et.al. Privacy Preserving k-means clustering over vartically partitioned data. KDD2003, 206-215, 2003 • 垂直分割の場合は、各パーティのデータを保護するために水平分割の場合とは異なる工夫が必要 • パーティ数はr  各データはr個の属性値からなる • クラスタ数はK • 総データ数はN パーティiはN個のデータ y(i)n (n=1,..,N) を持つ（データの属性は1個） 68

69. パーティ毎のデータ保持状況 • クラスタk (k=1,..,K)は属性i (i=1,..,r)に対してそのクラスタに属すると想定されるデータの平均値μkiを持つ • パーティiが保持しているN個のデータはyniという値を持つ • パーティiはデータ毎に属性iの値をクラスタkの平均値との差 X(i)nk= y(i)niーμkiを成分とするベクトルを持つ（下図参照） 69 データi パーティ１ … パーティi … パーティr クラスタ１ X(i)11 X(i)r1 ….. クラスタk X(i)nk= y(i)niーμki ….. クラスタK X(i)1k X(i)rk  N 枚ある

70. 分散データに対するK-means • 各パーティi において以下を繰り返す – ただし、パーティiが保持しているのは yni (n=1,..,N)とμki 1. for n=1,N 2. for k=1,K 3. X(i)nk= yniーμki (前頁の行列の成分の計算) 4. end for 5. SecureNearestCluster: n番目のデータの一番近いクラスタを求める 6. end for 7. 6.までで各データに一番近いクラスタが求まったら、それを用いてクラスタkに対応する属性iの平均値μki を再計算する 70 この作業を各パーティのデータを保護しつつ行うアルゴリズムを次のページ以降で述べる

71. SecureNearestCluster アルゴリズム • Key Idea • 順同型公開鍵暗号 E[]、D[]を使う • 乱数Vを利用して各パーティのデータの流出を防ぐ • 距離の比較計算は比較結果だけを得て公開 • クラスタの順番を秘匿された置換πで隠す • 特別な機能を果たす3パーティをP1,P2,Prとする • 全パーティ 1,..rのデータを総合的にみて、データ n （値はyni (i=1,..,r))にもっとも近いクラスタknを求める  次ページ以降ではnは省略する。 71      r i Kk i1 nk ,..,1 Xminargkn

72. SecureNearestCluster アルゴリズム-1 3 つの特別パーティを P1, P2 , Prとする P1 はK次元の乱数ベクトルをr個（i=1,..,r) 生成。 ただし P1 はK次元の乱数ベクトルの各要素を置換する置換πを生成 iV  T r i Vi 00 1  0

73. SecureNearestCluster プロトコルのstage1 各パーティi(i≠1,r) とパーティ１の間で以下の計算を行う ,V P1 Pi  iX          T NiXEiXEiXE ,,1 ①　          T NN ViXEViXEViXE   ,,)( 11 ②　準同型性暗号: E[x]*E[y] = E[x+y]   )( ViX ②を復号し            　　　 TT NN iXiXiXiXVVV n ,,,,1,,1   P1には暗号化によりX(i)の内容はわからない Piには置換πと乱数Vの加算により、元のデータとの対応はわからない

74. SecureNearestCluster プロトコルのstage2 stage1でパーティiが得た結果をパーティrに送りX(i)の総和を得る ,iV P1 P2   22 XE    )2( 2VXE  Pr-1  VrrXE )(   1rXE  ))1(( 1 rVrXE Stage 1 Pr-1 Pr   )1( 1VX    11  rVrX Stage 2   iViX i 2 P3 P3 この結果とP2のデータをsecureに比較して目的のクラスタを求める   rXE

75. SecureNearestCluster プロトコルのstage3 stage2の結果とP2のデータを総合して、PrとP2の間で最も近いクラスタを求めるプロトコル • n-1番目まで調べたところで、X(i)のベクトルのm番目に対応するクラスタがデータiに一番近いと想定されているとしよう。 • この状況で、次のn番目のクラスタがそれより近いかどうかを判定できればよい 75               を知っているととはまた　が知っているのはただし、　を調べる。　　 VimmiXVnXP VinniX ViniXVimiX ViiXViiX r in i r i r i r i r i r i             122 2 11 111 2 Pr 0

76. データnに一番近いクラスタのindexを求める • Prは乱数Raを生成 76  P2は公開鍵pkと秘密鍵skを作り pkをPrに送るとをPrに送る skで復号 skで復号これらを割り算しそれが１より小さければ最小値を更新                       RaVimmiXpk VimmiXpk RaVinniXpk VinniXpk VinniXpk VnXpkVinniXpk r i Rar i r i Rar i r i ni                    1 1 1 1 1 22 E E E E E 2EE         r i n VimmiXEpk VnXpk 1 22E           1or1 1 1 1 1               r i r i r i r i VimmiX VinniX RaVimmiX RaVinniX

77. • 上記までで求まったクラスタindexはまだ置換されたまま。 • そこでこれをP1に送りπ－１を作用させ、真のindex を求める • このようなstage 1,2,3,4の操作をN個すべてのデータに対して行うと、各データがどのクラスタに属するかわかる。 • この後、Piはi番目の属性のクラスタ毎の平均値をローカルに計算できる。 77

PPDM-2006

Hiroshi Nakagawa

PPDM-2006