交渉による時系列データのプライバシ保護に関する研究

2016 Fiscal Year Research-status Report

• Project/Area Number: 16K12437
• Research Institution: Kyoto University
• Principal Investigator: 吉川 正俊 京都大学, 情報学研究科, 教授 (30182736)
• Co-Investigator(Kenkyū-buntansha): 浅野 泰仁 京都大学, 情報学研究科, 特定准教授 (20361157)
• Project Period (FY): 2016-04-01 – 2019-03-31
• Keywords: プライバシ保護 / 経路情報 / パーソナルデータ市場

Outline of Annual Research Achievements

まず，個人時空間データを活用するための厳密で柔軟なプライバシ保護の枠組みに関する研究を行った．具体的には，プライバシ情報漏洩リスクを数学的に厳密に表現可能な差分プライバシに基づき，時間的な相関があるデータのためのプライバシモデルを開発すると共に，データ漏洩の程度を定量化する手法の開発，データ保護手法の開発を行った．既存の差分プライバシはデータには時間的な相関関係がないと仮定する。しかし、時系列データには通常，時間的依存関係が存在することが多いため，ある対象期間の統計値の開示がその対象期間より過去や未来のデータに対する情報をある程度漏洩することになる．その上、一般に攻撃者はこのような相関関係を容易に取得できる。本研究では、攻撃者がマルコフモデルでモデル化できる時間的な相関関係の知識を持つ場合でも、差分プライバシを達成する方法を提案した。具体的には、既存研究で提案されたプライバシ保護機構を時間的な相関があるデータを保護できる機構に転換する方法を設計した。

次に，差分プライバシの概念に基づいて地図上の場所を曖昧化する手法であるgeo識別不能性を拡張することにより，自宅の位置などのような移動経路の端点を曖昧化する手法を開発した．これにより，自宅などプライバシ保護が必要な場所は保護程度を高くする一方で駅の近くなど公共性が高い地域の移動経路情報は少ない誤差で収集することが可能となる．

さらに，多数の個人が自らの移動経路，購買履歴，心拍データなどの時系列データに対し個人識別ができない程度に雑音を加えた後に売却し，会社などはそのような大量のパーソナルデータの統計情報を購入できるパーソナルデータ市場に関する研究を行った．各利用者のプライバシ保護レベルに対する要求には個人差があるため，それを反映したパーソナルデータ市場の価格機構に関する研究を行った．

Current Status of Research Progress

2: Research has progressed on the whole more than it was originally planned.

Reason

時間的な相関があるデータのプライバシモデルは，相関をマルコフモデルでモデル化できる場合は，データ漏洩確率の定量化手法を与えた．また，既存研究で提案されたプライバシ保護機構を時間的な相関があるデータを保護できる機構に転換する方法を開発したため，提案した枠組みは高い汎用性を持つ．この成果の論文は，データ工学のトップカンファレンスであるIEEE ICDE2017に採択された．

また，差分プライバシの概念に基づき移動経路の端点を曖昧化し自宅などの位置情報を保護する手法は基本的な実験によりその有用性を確認した．

さらに，パーソナルデータ市場の価格付けに関する研究では，個人のパーソナルデータ保護に対する要求の程度を調査するため，クラウドソーシングにより大規模アンケートを実施し，概ね保護要求の程度が異なる二つの利用者群が存在することを確認した．

Strategy for Future Research Activity

差分プライバシは異なる利用者のデータ間に相関関係がないと仮定する。しかし、利用者の社会活動により生産されたデータには相互に関連性が存在する場合がある。攻撃者がこの関連性に関する知識を持っていれば、差分プライバシの保護レベルが下がる可能性がある。本研究では、差分プライバシのプライバシ漏洩を定量化し、利用者データ間の相関がある場合にデータを保護できる機構について研究を推進する予定である．

また，移動経路端点の曖昧化については，端点のみならず経路途中の点も曖昧化できるようにその手法を拡張することや，本手法により保護された大量の移動経路情報の利用ニーズの明確化などを行う予定である．

さらに，パーソナルデータ市場に関しては，アンケート結果を参考にしながら各データ所有者と市場機構との間の価格契約に関する理論及び実験研究を進める予定である．

Causes of Carryover

パーソナルデータ市場については，研究分野が萌芽的であるため当初予定よりも問題設定に時間がかかり，研究発表のための旅費を当初通り使用することがなかったため．

Expenditure Plan for Carryover Budget

関連する国際会議での発表，資料収集などの目的に使用する予定である．

Research Products

• [Int'l Joint Research] Emory University(U.S.A.)
  • Country Name: U.S.A.
  • Counterpart Institution: Emory University
• [Presentation] Quantifying Differential Privacy under Temporal Correlations (2017)
  • Author(s): Yang Cao, Masatoshi Yoshikawa, Yonghui Xiao and Li Xiong
  • Organizer: IEEE International Conference on Data Engineering (ICDE)
  • Place of Presentation: San Diego, U.S.A.
  • Year and Date: 2017-04-21
  • Int'l Joint Research
• [Presentation] Geo識別不能性を用いた経路端点の曖昧化 (2017)
  • Author(s): 浅田真帆, 曹洋, 吉川正俊
  • Organizer: 第9回データ工学と情報マネジメントに関するフォーラム(DEIM)
  • Place of Presentation: 岐阜県高山市 高山グリーンホテル
  • Year and Date: 2017-03-06