新しいプライバシー保護データ解析プロトコル「local-noise-free protocol」を開発

【研究成果】

　本研究では、データ解析のタスクとして頻度分布の推定に着眼し、従来のシャッフルモデルが抱えていた「ポイズニング攻撃」と「結託攻撃」に対する脆弱性を根本的に解決する新しいプロトコル「local-noise-free protocol」を開発しました（図2）。開発したプロトコルでは、ユーザは自身のデータにノイズを全く加えず、そのまま暗号化してshufflerに送ります。その後、shufflerは(1)ランダムサンプリング、(2)ダミーデータの追加、(3)シャッフルという3つの処理を行います。まず、各ユーザから受け取ったデータを一定の確率で削除します（ランダムサンプリング）。次に、データのとり得る値の各々に対して、「ダミー数分布」と呼ばれる分布に従ってダミーデータ数を決定し、その数だけ暗号化されたダミーデータを加えます（ダミーデータの追加）。最後に、残ったユーザのデータとダミーデータをランダムにシャッフルした上で（シャッフル）、サービス事業者に送ります。サービス事業者は、シャッフルされたデータを復号して取り出し、そこから頻度分布を求めます。本研究では、このようにshufflerがデータのシャッフルに加えて、ランダムサンプリングやダミーデータの追加を行うモデルを「拡張シャッフルモデル（augmented shuffle model）」と呼んでいます。

　開発したプロトコルの最大の特徴は、ユーザがノイズを一切加えない点（即ち、「local-noise-free」である点）にあります。従来のシャッフルモデルのプロトコルでは、ユーザがノイズを加えていたため、一部のユーザが偽データを送る「ポイズニング攻撃」によってデータ解析の精度が大幅に劣化する問題を抱えていました。また、サーバが一部のユーザと結託してノイズ付きデータを入手する「結託攻撃」によって、他のユーザの元データが推定されるリスクもありました。これらの脆弱性は、どちらもユーザがノイズを加えることに原因がありました。一方、開発したプロトコルでは、ユーザではなく、shufflerがランダムサンプリング・ダミーデータの追加というノイズ付与処理を行うため、「ポイズニング攻撃」と「結託攻撃」の両方に対する頑健性を実現できます。その結果、サービス事業者や一部のユーザが不正を試みても、安全で高精度な頻度分布の推定が可能となります。また、shufflerには暗号化されたデータしか送られないため、shufflerからの元データの漏洩リスクも回避できます。尚、shufflerのランダムサンプリング・ダミーデータの追加・シャッフルという3つの処理は、ユーザから受け取った暗号化データを復号することなく実行でき、開発したプロトコルは任意の公開鍵暗号方式を用いて簡単に実現できます。