厳密な差分プライバシー保証を持つ連合学習(1/3)

１．厳密な差分プライバシー保証を持つ連合学習(1/3)まとめ

・連合学習は学習データをデバイスに残したままモデルの学習が可能でプライシー重視
・ユーザーデータを使って学習するモデルにとって重要なもう一つの原則は匿名化処理
・差分プライバシーという数学的概念を組み込み匿名化を正式に数値化できるようにした

２．連合学習と差分プライバシー

以下、ai.googleblog.comより「Federated Learning with Formal Differential Privacy Guarantees」の意訳です。元記事は2022年2月28日、Brendan McMahanさんとAbhradeep Thakurtaさんによる投稿です。

原タイトルのFormalを意識したアイキャッチ画像のクレジットはPhoto by Ruthson Zimmerman on Unsplash

2017年、Googleは、モバイルデバイスが機械学習(ML:Machine Learning)モデルを協調して学習できるようにする連合学習(FL:Federated Learning)を発表しました。

FLは、生の学習データを各ユーザーのデバイスに残したままモデルを学習させる事が出来るので、MLを行う能力とデータをクラウドに保存する必要性を切り離すアプローチです。

それ以来、GoogleはFLの研究に積極的に取り組み、次の単語予測、絵文字の提案、語彙ではない単語の発見など、Gboardの多くの機能を支えるためにFLを導入しています。連合学習は、Google アシスタントの「Hey Google」検出モデルの改善、Googleメッセージにおける返信の提案、テキスト選択の予測などを実現しています。

FLは生のデータを収集せずにMLを可能にしますが、差分プライバシー(DP:Differential Privacy)はデータの匿名化に関する定量的な指標を提供し、MLに適用した場合、モデルがユーザーの機密データを記憶することに対する懸念に対処することができます。これも研究の最優先事項であり、2014年のRAPPOR、オープンソースのDPライブラリPipeline DP、TensorFlow Privacyによって、DPを分析に利用する最初の製品の1つが実現されました。

基礎研究から製品化までの複数年、複数チームによる取り組みを通じて、本日、厳密な差分プライバシー保証を備えた連合学習を用いたMLモデルの実運用を開始を発表できることを嬉しく思います。

この概念実証の展開では、DP-FTRLアルゴリズムを利用してリカレントニューラルネットワークを学習させ、スペイン語のGboardユーザーのために次の単語を予測する機能を実現しました。

これは、DP保証(formal DP guarantee、技術的にはρ=0.81 zero-Concentrated-Differential-Privacy、zCDP、詳細は後述)のある、ユーザーデータから直接訓練された最初のニューラルネットワークです。さらに、連合型アプローチにより、データの最小化という利点もあり、DP保証により、個々の学習サンプルだけでなく、各デバイス上のすべてのデータが保護されます。

Federated Learningにおけるデータの最小化と匿名化

透明性や同意の取得といった基本的な事項とともに、データの最小化や匿名化といったプライバシーに関する原則は、機密性の高いデータを扱うMLアプリケーションにおいて重要です。

Federated Learningシステムは、構造的にデータ最小化の原則を組み込んでいます。FLは、モデルの学習タスクのために最小限の更新のみを送信し(focused collection)、すべての段階でデータへのアクセスを制限し、個人のデータをできるだけ早く処理し(early aggregation)、収集データと処理データの両方をできるだけ早く廃棄します(minimal retention)。

ユーザーデータで学習するモデルにとって重要なもう一つの原則は匿名化です。つまり、最終的なモデルは、特定の個人のデータに固有の情報、例えば電話番号、住所、クレジットカード番号などを記憶してはならないということです。しかし、FLだけではこの問題に直接取り組むことはできません。

差分プライバシーという数学的概念により、この匿名化の原理を正式に数値化することができます。差動プライベート学習アルゴリズムでは、学習中にランダムなノイズを加え、出力モデルに対する確率分布を生成します。そして、この分布が学習データのわずかな変更によって大きく変化しないことを保証します。

ρ-zCDPは分布がどの程度変化する可能性があるかを定量化します。1つの学習サンプルを追加または削除することで、モデルの出力分布が証明可能なほど小さく変化することを、事例レベルDP(example-level DP)と呼んでいます。

事例レベル差分プライバシーを用いた深層学習が、より単純な一元化訓練(centralized training)設定でも可能であることを示したことは、2016年の大きな前進でした。DP-SGDアルゴリズムによって達成され、鍵となったのは、訓練時の事例サンプリングにおけるランダム性を活用してプライバシー保証を増幅(amplification-via-sampling)する事でした。

しかし、ユーザーが学習データセットに複数の事例を投稿できる場合、事例レベルのDPは必ずしもユーザーのデータを記憶しないことを保証するほど強力ではありません。そこで、我々はユーザレベルDPのためのアルゴリズムを設計しました。これは、あるユーザ(私達のアプリケーションではあるデバイスを意味します)からの学習事例をすべて追加／削除しても、モデルの出力分布が変化しないことを要求するものです。幸いなことに、FLは一人のユーザーのすべての学習データを一つのモデル更新としてまとめるため、連合アルゴリズムはユーザーレベルのDP保証を提供するのに適しています。

しかし、1人のユーザーから得るデータを制限することと、ノイズを加えることは、どちらもモデルの精度を犠牲にすることになるため、モデルの品質を維持しつつ、強力なDP保証を提供することが研究の焦点となります。