1.LabelDP:秘匿対象をラベルに限定する事で差分プライバシーの精度を向上(1/2)まとめ
・米国国勢調査も採用している差分プライバシーは製品を実世界に展開する際に良く使われる
・差分プライバシーを使うとシステムがプライバシーをどの程度保証してるかわかるため
・しかし、差分プライバシーを使うとプライバシー非保護モデルより精度が著しく低くなる
2.LabelDPとは?
以下、ai.googleblog.comより「Deep Learning with Label Differential Privacy」の意訳です。元記事は2022年5月25日、Pasin ManurangsiさんとChiyuan Zhangさんによる投稿です。
大事な物を守ってる感を出したかったアイキャッチ画像のクレジットはDALL·E Mini(Mega)
ここ数年、機械学習(ML:machine Learning)アルゴリズムの開発において、差分プライバシー(DP:Differential Privacy)に対する注目が高まっています。DPは、産業界においていくつかの製品を実世界に展開する際の基礎となっており、また、米国国勢調査でも採用されています。DPを採用すると、システムやアルゴリズムのプライバシー保証を理解することができるためです。
DPの基本的な前提は、あるアルゴリズムに対する一人のユーザーの貢献度を変えても、その出力分布は大きく変化しないはずだということです。
標準的な教師あり学習の設定では、モデルは、サンプルのペア{[input1,label1], …, [inputn,labeln]} をトレーニングセットとして与えられた各入力のラベルの予測を行うように訓練されます。深層学習の場合、以前の研究では、TensorFlowとPyTorchに統合されたDP学習フレームワークであるDP-SGDが紹介されました。
DP-SGDは、確率的勾配降下(SGD:stochastic gradient descent )学習アルゴリズムにノイズを加えることで、各例ペア[input, label]のプライバシーを保護するものです。しかし、広範な努力にもかかわらず、ほとんどの場合、DP-SGDで学習したモデルの精度は、プライバシーを保護しないモデルの精度に比べて著しく低いままです。
DPアルゴリズムには、各ユーザーの最悪のプライバシー損失を定量化するプライバシー予算枠εが含まれています。具体的には、εはトレーニングセットの任意のサンプルを任意の異なるサンプルで置き換えた場合に、DPアルゴリズムの任意の特定の出力の確率がどの程度変化し得るかを反映します。つまり、εが小さいほど、アルゴリズムは1つのサンプルの変更に無頓着であるため、より良いプライバシーに対応します。
しかし、εが小さいほどモデルの実用性を損なう傾向があるため、深層学習アプリケーションではεを8まで考慮することが珍しくありません。注目すべきは、広く使われているマルチクラス画像分類データセットであるCIFAR-10において、ε=3のDPモデルの最高精度(事前学習なし)は69.3%と報告されており、これは手作りの視覚特徴に依存した結果です。
一方、学習された特徴表現を持つ非プライベートシナリオ(ε = ∞)は、最新のニューラルネットワークアーキテクチャを使用しながら、95%以上の精度を達成することが示されています。この性能差は、多くの実世界のアプリケーションがDPを採用する際の障害となっています。さらに、最近の進歩にもかかわらず、DP-SGDは収束が遅く、サンプル毎の勾配のノルムを計算する必要があるため、計算とメモリのオーバーヘッドが増加することがよくあります。
NeurIPS 2021で発表した「Deep Learning with Label Differential Privacy」では、入力(input1, …, inputn)は公開されており、学習ラベル(label1, …, labeln)のプライバシーのみを保護する必要がある、より緩やかだが重要な、ラベル差分プライバシー(LabelDP:label differential privacy)という特殊ケースを考察しています。
この緩和された保証により、ラベルの事前理解を利用してモデルの実用性を向上させる新しいアルゴリズムを設計することができます。私達はCIFAR-10データセットにおいて、LabelDPがDP-SGDよりも20%高い精度を達成することを実証します。
複数のタスクにわたる結果から、LabelDPはプライベートモデルと非プライベートモデルの性能差を大幅に縮小し、実世界のアプリケーションにおける課題を緩和できることが確認されました。また、LabelDPを用いたディープニューラルネットワークのトレーニングのための多段アルゴリズムも紹介しています。最後に、この多段学習アルゴリズムのコードも公開します。。
LabelDP
LabelDPはPAC(Probably Approx Correct)学習設定において研究されてきた概念であり、いくつかの実用的なシナリオを捉えています。その例は以下の通りです。
(i)計算機広告では、広告が表示された事は広告主に知られるので非センシティブとみなされますが、購入決定はユーザの興味を明らかにするのでプライベート情報です
(ii)推薦システムでは、何が選択されたかはサービスプロバイダに知られますが、ユーザ評価はセンシティブとみなされます
(iii)ユーザ調査や分析では、デモグラフィック情報(例えば、年齢、性別)は非センシティブだが収入はセンシティブです
など。
このシナリオでは、いくつかの重要な観察がなされています。
(i)ラベルのみを保護する必要がある場合、データの前処理にはるかに単純なアルゴリズムを適用することで、既存の深層学習学習パイプラインに何の修正も加えることなくLabelDPを実現することができます。例えば、アンケート集計における回避的な回答バイアスを排除するために設計された古典的なRandomized Response(RR)アルゴリズムは、ラベルをεに依存する確率でランダムなものに反転させるだけでLabelDPを実現できます。
(ii)公開された入力を条件として、事前確率分布を計算し、与えられた入力に対するクラスラベルの尤度の事前信念(prior belief)を提供することができます。RRの新しい変形であるRR-with-priorを用いると、古典的RRと同等のプライバシー保証を維持しつつ、ラベルノイズを低減するために事前情報を取り込むことができます。
3.LabelDP:秘匿対象をラベルに限定する事で差分プライバシーの精度を向上(1/2)関連リンク
1)ai.googleblog.com
Deep Learning with Label Differential Privacy
2)arxiv.org
Deep Learning with Label Differential Privacy
3)github.com
google-research / label-dp