(邦訳:個人時空間データ利活用のための厳密で柔軟なプライバシ保護フレームワーク)
曹 洋 エモリー大学 ポスドクフェロー |
[背景]プライバシ保護要素技術として差分プライバシが注目されている
[問題]データの相互関連性がある場合,差分プライバシには予想外のプライバシ漏えいの恐れがある
[貢献]個人時空間データのための新しい差分プライバシモデルを提案した
[問題]データの相互関連性がある場合,差分プライバシには予想外のプライバシ漏えいの恐れがある
[貢献]個人時空間データのための新しい差分プライバシモデルを提案した
本研究は厳密で柔軟なプライバシ保護基盤技術を開発することを目的とする.近年,モバイル,ウェアラブルデバイスの小型化,高性能化に伴い,個々人の位置情報や活動履歴などの時空間データを収集することが容易になっている.大規模・多様な個人にかかわる実生活情報は,ビッグデータ利活用の中心的な課題の一つである.しかし,このような個人時空間データの利用においてはプライバシ保護上の配慮が欠かせない.一方,近年,差分プライバシ(Differential Privacy)モデルは厳格な数学的証明に基づく高い安全性が保証されている点で注目されているが,現実での応用が少ない.その原因の一つとして従来の差分プライバシは柔軟性が乏しい点がある.個人時空間データに対して,差分プライバシの柔軟性が不足している理由は2つある.一つは,差分プライバシは個々人の異なるプライバシレベルを考えていない.差分プライバシは理論的に統計的なモデルであり,ユーザ全体のプライバシレベルを評価している.つまり,すべてのユーザは同じプライバシレベルに設定するしかない.しかし,プライバシは個人の考え方(個々人が要求するプライバシレベルは異なる可能性がある)や応用的場面(災害時個人プライバシと公共的利益のバランスなど)がかかわるので,細かく調整できるべきである.もう一つは,従来の差分プライバシはデータの関連性がないことを想定している.しかし,実世界から収集される時空間データには,時間的相関性やユーザ間の相関性があり,従来の差分プライバシが使えるかどうか自明ではない.たとえば,以下の図における(a)と(b)はそれぞれ時間的な相関性とユーザ間の相関性の例である.これらの関連性は実世界から収集される時空間データの(c)にはっきりパターンが現れている.もし攻撃者がこの情報を知れば,予想外のプライバシ漏えいの恐れがある.
上述の問題を解決するため,我々は以下の3つの面から新しい差分プライバシモデルを提案した.
(1)異なるユーザが自分のプライバシレベルを指定することができる差分プライバシモデル.
(2)時間的相関性があるデータのための差分プライバシモデル.
(3)ユーザ間の相関性があるデータのための差分プライバシモデル.
3つのモデルは,l-trajectory privacy ,Differential Privacy under Temporal CorrelationsとDifferential Privacy under User-User Correlationsという.l-trajectory privacyは個々人のユーザが保護したい移動経路の長さを指定することができる.Differential Privacy under Temporal CorrelationsとDifferential Privacy under User-User Correlationsは関連性があるデータに対して保護程度の定量化によって差分プライバシを達成する.以上のモデルは差分プライバシの定義を満たすため,厳密なモデルといえる.さらに,ユーザの異なるプライバシ要求とデータ関連性の強さの程度によって,加えたノイズを精密に定量化するため,柔軟なモデルといえる.
上述の問題を解決するため,我々は以下の3つの面から新しい差分プライバシモデルを提案した.
(1)異なるユーザが自分のプライバシレベルを指定することができる差分プライバシモデル.
(2)時間的相関性があるデータのための差分プライバシモデル.
(3)ユーザ間の相関性があるデータのための差分プライバシモデル.
3つのモデルは,l-trajectory privacy ,Differential Privacy under Temporal CorrelationsとDifferential Privacy under User-User Correlationsという.l-trajectory privacyは個々人のユーザが保護したい移動経路の長さを指定することができる.Differential Privacy under Temporal CorrelationsとDifferential Privacy under User-User Correlationsは関連性があるデータに対して保護程度の定量化によって差分プライバシを達成する.以上のモデルは差分プライバシの定義を満たすため,厳密なモデルといえる.さらに,ユーザの異なるプライバシ要求とデータ関連性の強さの程度によって,加えたノイズを精密に定量化するため,柔軟なモデルといえる.
(2017年6月2日受付)