差分プライバシーとは
差分プライバシーとは、データセットに特定の個人のデータが含まれているかどうかにかかわらず、分析結果がほぼ同じになることを数学的に保証するプライバシー保護フレームワークです。AI訓練におけるプライバシー保護の標準的な手法として広く採用されています。
セキュリティにおける役割
差分プライバシーは、メンバーシップ推定攻撃、モデル反転攻撃、訓練データ抽出攻撃に対する数学的に証明可能な防御を提供します。DP-SGD(Differentially Private Stochastic Gradient Descent)は、訓練時に各勾配をクリッピングしてノイズを追加することで、個別の訓練サンプルがモデルパラメータに過度な影響を与えることを防ぎます。プライバシーバジェット(ε, δ)により、保護の強度を定量的に管理できます。
実用上の課題
差分プライバシーの適用にはモデル精度とのトレードオフがあります。強いプライバシー保証(小さなε値)を求めるほど、モデルの有用性が低下します。大規模モデルほど差分プライバシーのコストが高くなる傾向にあり、LLMへの適用は依然として活発な研究課題です。実用的な対策として、パブリックデータでの事前訓練と差分プライバシー付きのファインチューニングの組み合わせが注目されています。AppleやGoogleなどの企業が実運用で差分プライバシーを活用しています。