本スライドでは、「参加型センシングの多次元データに対するプライバシー保護データマイニング」の手法について紹介しています。 参加型センシング・モバイルセンシングでは、一般ユーザの所有するモバイルデバイスをセンサとして想定するため、プライバシー情報侵害の問題が非常に重要な問題となります。 この問題を解決するために、本研究ではデータ摂動化手法のNegative Surveys (否定解調査法) 及び Randomized Response (ランダム回答法) を多次元データに拡張・適用し、低計算量のプライバシー保護処理を実現します。 本手法は，複数フィールド情報を持つ多次元データのデータ間相関性を保ったままプライバシー情報を保護する手法としては世界初の計算手法です。 (2014年5月開催の電子情報通信学会 知的環境とセンサネットワーク研究会 若手研究奨励賞 受賞講演 の発表資料を基に作成) 参考資料: ・S. Aoki and K. Sezaki, "Privacy-Preserving Community Sensing for Medical Research with Duplicated Perturbation", IEEE International Conference on Communications (IEEE ICC), Sydney, Australia, Jun 10-14, 2014. ・青木俊介，瀬崎薫，"摂動化を用いた多次元データに対するプライバシー保護データマイニング，" 電子情報通信学会 知的環境とセンサネットワーク研究会(ASN), 2014年05月 ・青木俊介, 岩井将行, 瀬崎薫, ” 参加型環境センシングを用いた統計情報構築のためのプライバシー保護手法”，電子情報通信学会 論文誌B，vol. J97-B, no. 1, pp. 41-50, 2014年1月．

1. 参加型センシングの多次元データに対する
プライバシー保護データマイニング
東京大学 情報理工学系研究科 瀬崎研究室
日本学術振興会
青木俊介
[受賞講演]

2. 概要
 IEEE International Conference on Communications 2014 (ICC)※ で話す内容
 医療調査/ヘルスケア研究におけるプライバシー情報保護が目的
 ランダム回答法と否定解調査法を拡張
※ S. Aoki and K. Sezaki, ‘Privacy-Preserving Community Sensing
for Medical Research with Duplicated Perturbation,’ IEEE International
Conference on Communications, Australia, 2014
Randomized Response Negative Surveys
→ 本資料は数理的な部分を中心に記載
 2014年5月開催の「知的環境とセンサネットワーク研究会」の資料の改変版
インヨォ…┌（┌ ＾o＾）┐

3. Outline
 背景: 参加型センシング
 関連研究: プライバシー保護技術
 ユーザ側のプライバシー保護処理手法
 提案手法: Multidimensional Randomized Response
 評価
 議論とまとめ
3

4. 参加型センシング
~ センサデータとプライバシー ~
4
ユーザ側
モバイルセンサを用いたセンサデータ収集
サーバ側
統計的な情報を利活用
- 都市環境調査/医療調査 等で利用
→ モバイルセンサとユーザ行動は密接な関係
大量のユーザを確保する必要
→ プライバシー情報取得は不要なリスク
‘プライバシー’問題の解決無しに
参加型センシングは実現できない

5. 参加型センシング
~ センサデータの特徴 ~
30
dB
80
dB
実際にモバイルデバイスで
構築した都市騒音地図
- 位置情報 vs 環境情報、疾病 vs 日常の運動量
(データ相関性が重要)
★ 多様なプライバシー情報を含むセンサデータ
- 行動認識技術・コンテキスト推定技術の発展
- 複数センサデータの組み合わせ
- 医療情報
二酸化炭素濃度
★ 複数フィールド情報を持つ多次元データ
二酸化炭素センサ情報5

6. Outline
 背景: 参加型センシング
 関連研究: プライバシー保護技術
 ユーザ側のプライバシー保護処理手法
 提案手法: Multidimensional Randomized Response
 評価
 議論とまとめ
6

7. 関連研究
◆ 暗号技術
- 通信におけるプライバシー保護
- 復号化後に生データ取得可能
- 莫大な消費電力・計算量
◆ サーバ上でプライバシー保護処理
◆ ユーザ側でプライバシー保護処理
- k-匿名性, Differential Privacy
- 情報をサーバ側が保持していることが前提
- データ摂動化(Data Perturbation)
- ユーザ側の計算資源に配慮
7

8.  報告される値から真の値は推定不可
 統計的なデータ分布のみ明らかに
ユーザ側のプライバシー保護処理手法
◆ Randomized Response (ランダム回答法)
真の値
報告する値
A1 A2 A3 A4
A’1 A’2 A’3 A’4
確率
例) A1 ~ A4のカテゴリデータ
8

9.  報告される値から真の値は推定不可
 統計的なデータ分布のみ明らかに
ユーザ側のプライバシー保護処理手法
◆ Randomized Response (ランダム回答法)
◆ Negative Surveys (2006 F. Esponda) (否定解調査法)
真の値
報告する値
A1 A2 A3 A4
A’1 A’2 A’3 A’4
確率
 p = 0 とすることで計算量削減
 統計的なデータ分布のみ明らかに
真の値
報告する値
A1 A2 A3 A4
A’1 A’2 A’3 A’4
確率
例) A1 ~ A4のカテゴリデータ
N : データ総数
α: カテゴリ数
多次元データへの拡張が可能
9但し、報告値と真値の間は常に補完関係
再構築処理:
多次元データへの拡張は実現できていない

10. Outline
 背景: 参加型センシング
 関連研究: プライバシー保護技術
 ユーザ側のプライバシー保護処理手法
 提案手法: Multidimensional Randomized Response
 評価
 議論とまとめ
10

11. 提案手法: Multidimensional Randomized Response
★ 従来手法 Multidimensional Negative Surveys
[M. M. Groat et al., IEEE PerCom 2012]
A1,1 A1,2 A1,3 A1,4
A2,1 A2,2 A2,3 A2,4
A3,1 A3,2 A3,3 A3,4
A4,1 A4,2 A4,3 A4,4
2次元データ
- ユーザ側のプライバシー保護処理
各次元に対して Negative Surveysの処理
A1,1 A1,2 A1,3 A1,4
A2,1 A2,2 A2,3 A2,4
A3,1 A3,2 A3,3 A3,4
A4,1 A4,2 A4,3 A4,4
11

12. 提案手法: Multidimensional Randomized Response
★ 従来手法 Multidimensional Negative Surveys
[M. M. Groat et al., IEEE PerCom 2012]
A1,1 A1,2 A1,3 A1,4
A2,1 A2,2 A2,3 A2,4
A3,1 A3,2 A3,3 A3,4
A4,1 A4,2 A4,3 A4,4
2次元データ
- ユーザ側のプライバシー保護処理
各次元に対して Negative Surveysの処理
真値A2,2の時、黒字の値にのみ遷移(右図)
12

13. 提案手法: Multidimensional Randomized Response
★ 従来手法 Multidimensional Negative Surveys
[M. M. Groat et al., IEEE PerCom 2012]
A1,1 A1,2 A1,3 A1,4
A2,1 A2,2 A2,3 A2,4
A3,1 A3,2 A3,3 A3,4
A4,1 A4,2 A4,3 A4,4
2次元データ
- ユーザ側のプライバシー保護処理
- サーバ側の再構築処理
N: データ総数
D: 次元の数
Y: プライバシー保護処理した時のデータ分布
A: 再構築処理した時のデータ分布
各次元に対して Negative Surveysの処理
真値A2,2の時、黒字の値にのみ遷移(右図)
13
を参考に考えると…

14. 提案手法: Multidimensional Randomized Response
★ 従来手法 Multidimensional Negative Surveys
[M. M. Groat et al., IEEE PerCom 2012]
2次元データ
→ 報告値から真値の絞り込みが可能
(報告値としてA1,1を攻撃者が得た時…)
A1,1 A1,2 A1,3 A1,4
A2,1 A2,2 A2,3 A2,4
A3,1 A3,2 A3,3 A3,4
A4,1 A4,2 A4,3 A4,4
- ユーザ側のプライバシー保護処理
各次元に対して Negative Surveysの処理

15. 15
提案手法: Multidimensional Randomized Response
★ 従来手法 Multidimensional Negative Surveys
[M. M. Groat et al., IEEE PerCom 2012]
2次元データ
→ 報告値から真値の絞り込みが可能
(報告値としてA1,1を攻撃者が得た時…)
A1,1 A1,2 A1,3 A1,4
A2,1 A2,2 A2,3 A2,4
A3,1 A3,2 A3,3 A3,4
A4,1 A4,2 A4,3 A4,4
理想
盗聴(攻撃)で得られるデータからは、
オリジナルデータの値(真値)が絞り込めない
各次元に対するRandomized Response実現を目指す
- ユーザ側のプライバシー保護処理
各次元に対して Negative Surveysの処理

16. 提案手法: Multidimensional Randomized Response
★ 提案手法 [S. Aoki et al., IEEE ICC 2014]
- 各次元データの相関性を保存しつつ、プライバシー保護
 多次元データに対するRandomized Responseを実現
 Multidimensional Negative Surveys の処理を2回繰り返す

17. 提案手法: Multidimensional Randomized Response
★ 提案手法 [S. Aoki et al., IEEE ICC 2014]
- 各次元データの相関性を保存しつつ、プライバシー保護
 多次元データに対するRandomized Responseを実現
 Multidimensional Negative Surveys の処理を2回繰り返す
例) カテゴリ数4とカテゴリ数6の2次元データ (<2,b>を取得)
真値

18. 1/15遷移確率: 遷移確率: 1/15
2/15
4/75
8/225
提案手法: Multidimensional Randomized Response
★ 提案手法 [S. Aoki et al., IEEE ICC 2014]
- 各次元データの相関性を保存しつつ、プライバシー保護
 多次元データに対するRandomized Responseを実現
 Multidimensional Negative Surveys の処理を2回繰り返す
サーバに送信
Multidimensional
Negative Surveys
Multidimensional
Negative Surveys
例) カテゴリ数4とカテゴリ数6の2次元データ (<2,b>を取得)
報告値真値

19. 提案手法: Multidimensional Randomized Response
★ 提案手法 [S. Aoki et al., IEEE ICC 2014]
- サーバ側の再構築処理
 Multidimensional Negative Surveysの処理を単純に繰り返すと
統計的なデータ分布を再構築可能

20. 提案手法: Multidimensional Randomized Response
★ 提案手法 [S. Aoki et al., IEEE ICC 2014]
- サーバ側の再構築処理
遷移確率: 1/15
2/15
4/75
8/225
 Multidimensional Negative Surveysの処理を単純に繰り返すと
統計的なデータ分布を再構築可能
 遷移確率に着目するとほぼ半分の時間計算量で再構築可能

21. 提案手法: Multidimensional Randomized Response
★ 提案手法 [S. Aoki et al., IEEE ICC 2014]
- サーバ側の再構築処理
遷移確率: 1/15
2/15
4/75
8/225
 Multidimensional Negative Surveysの処理を単純に繰り返すと
統計的なデータ分布を再構築可能
 遷移確率に着目するとほぼ半分の時間計算量で再構築可能

22. 提案手法: Multidimensional Randomized Response
★ 提案手法
22
★ Multidimensional Negative Surveysの処理を繰り返し
(下の処理を2回行う)
N: データ総数
D: 次元の数
Y: プライバシー保護処理後のデータ分布
A: 再構築処理した時のデータ分布
αj: 次元j のカテゴリ数
rx
z: xからzへの遷移確率

23. Outline
 背景: 参加型センシング
 関連研究: プライバシー保護技術
 ユーザ側のプライバシー保護処理手法
 提案手法: Multidimensional Randomized Response
 評価
 議論とまとめ
23

24. 評価: Multidimensional Randomized Response
- 4×3の2次元データで評価
- 慢性疾患の原因究明を目的とした健康モニタリング(疾患別の運動量データを利用*)
データ数データ数
データ数データ数
統計的な分布を正確に取得
24
※ R. Agrawal et al., ACM communications, 2007.

25. 評価: Multidimensional Randomized Response
- 4×3の2次元データで評価
- 慢性疾患の原因究明を目的とした健康モニタリング(疾患別の運動量データを利用*)
データ数データ数
データ数データ数
統計的な分布を正確に取得
25
※ R. Agrawal et al., ACM communications, 2007.

26. 議論とまとめ (1/2)
本研究
Private Cloud (情報銀行*)
 情報の個人利用が可能
 情報はユーザに所有権
 Cloud管理者への絶対的な信頼が前提
※ 金杉洋, 柴崎亮介., 情報銀行の検討, 2012.
 処理された情報は社会全体に所有権
 プライバシー情報を他者に明かす必要無
26

27.  参加型センシング
• プライバシー情報侵害の懸念をいかに取り除くかが重要
• センサデータは多次元データ
• ユーザ側でプライバシー保護処理
議論とまとめ (2/2)
 提案手法: Multidimensional Randomized Response
• 盗聴による推定攻撃が不可能な手法
• 時間依存性の低いデータ(医療情報等)への活用
• 再構築処理の計算量削減
 他分野での利活用の可能性
• サーバ上でのPPDMへの拡張
27

28. Outline
 背景: 参加型センシング
 関連研究: プライバシー保護技術
 ユーザ側のプライバシー保護処理手法
 提案手法: Multidimensional Randomized Response
 評価
 議論とまとめ 東京大学 情報理工学系研究科
青木 俊介
瀬崎 薫
http://www.mcl.iis.u-tokyo.ac.jp/
※ S. Aoki and K. Sezaki, ‘Privacy-Preserving Community Sensing
for Medical Research with Duplicated Perturbation,’ IEEE International Conference on Communications, Australia, 2014

29. 評価指標: Jensen-Shannon Divergences (JSD )
𝐷 𝐾𝐿 𝑋||𝐴 = 𝑋 𝑖 log
𝑋 𝑖
𝐴 𝑖
𝑖
29
Kullback-Leibler Divergenceに対称性を持たせた指標
異なる離散確率分布の距離を計算

30. 雑記
研究トレンドとして 『Introduction → Preliminaries → … → Related Works →
Conclusion』の展開が流行っているけど、
通信系は『Introduction → Related Work → … 』の方が良いのかな、と思ったり。
(Reviewer 4人中2人に指摘された)
 IEEE ICC2015(ロンドン開催)
→ (論文通して)みんなで激マズロンドン飯食べましょう！