高階確率的プログラムにおける差分プライバシーの形式的検証

• 研究課題/領域番号: 20K19775
• 研究種目: 若手研究
• 配分区分: 基金
• 審査区分: 小区分60050:ソフトウェア関連
• 研究機関: 東京工業大学
• 研究代表者: 佐藤 哲也 東京工業大学, 情報理工学院, 助教 (40761797)
• 研究期間 (年度): 2020-04-01 – 2025-03-31
• 研究課題ステータス: 交付 (2023年度)
• 配分額: 2,080千円 (直接経費: 1,600千円、間接経費: 480千円); 2023年度: 520千円 (直接経費: 400千円、間接経費: 120千円); 2022年度: 520千円 (直接経費: 400千円、間接経費: 120千円); 2021年度: 520千円 (直接経費: 400千円、間接経費: 120千円); 2020年度: 520千円 (直接経費: 400千円、間接経費: 120千円)
• キーワード: 差分プライバシー / プログラミング言語理論 / 圏論 / 確率的プログラム / 定理証明支援系 / ソフトウェア検証 / 次数付きホーア論理 / 証明支援系 / 二項関係持ち上げ / 形式的検証 / 意味論 / プログラム検証 / 確率的プログラミング言語 / 高階プログラミング言語

研究開始時の研究の概要

本研究では、ビッグデータを統計処理する機械学習アルゴリズムのプライバシーを保障する方法を与えるために、それらのアルゴリズムが「差分プライバシー」と呼ばれるプライバシーの強力な基準を満たしているかの形式的な（フォーマルな）証明を構成するための検証ツールを提供する。
研究は以下の2段階で進める：（1）高階確率的プログラミング言語を抽象化することで得られる数学的モデルをもとに、機械学習アルゴリズムの差分プライバシーの検証を行えるだけ十分強力な、プログラム検証のための論理体系を与える。（2）その論理体系を実装し、差分プライバシーの形式的な証明を対話的に与えるための定理証明支援系を作る。

研究実績の概要

本研究プロジェクトは（A）連続型の確率分布を含む高階確率的プログラムとして与えられるデータベースの差分プライバシーを検証するためのプログラム論理を構築する（B）左記のプログラム論理を定理証明支援系の上で実装し、ソフトウェア上でのプログラム検証の実現を目指す、の２段階に分かれている。本年度は以下のように研究を進めた。

（A）については、勝股審也氏と共同で連続型の確率分布を含む高階確率的プログラムの差分プライバシーを検証する次数付きプログラム論理、およびその基礎的な構造となる「モナド上のダイバージェンス」についての研究論文を出版した。この論文では距離空間上のモナドの代数構造である量的等式理論の特定の形のものが適当なモナド上のダイバージェンスと随伴同型であることを与えている。

(B)については、Isabelle/HOLによる差分プライバシーの形式化に着手した。まず、差分プライバシーの定義を形式化し、差分プライバシーの基本的性質(合成性等)の形式的証明を与えた。差分プライバシーのためのノイズ付与メカニズムは多数存在するが、本年度はそのうちRandomized responseメカニズムとLaplace Mechanismの２つを形式化した。また、可測空間上のリストがなす可測空間の形式化を与えた。これは基本的な構成であるものの、Isabelle/HOLライブラリに存在していなかったものである。最後に差分プライバシーの典型例で知られるReport Noisy MaxメカニズムのIsabelle/HOLによる形式化を与えた。

現在までの達成度 (区分)

3: やや遅れている

理由

(A) について、当初期待していたプログラム論理は得られた。差分プライバシーの局所的な特徴づけである local sensitivity/smooth sensitivityといった性質を検証するために、「項を次数にもつプログラム論理」の一般論の構築を試みており、やや具体的な状況(プログラム集合と関数の圏上のモナドを用いて解釈する場合)下での圏論的構成が得られたが、それを一般化することはできていない。
(B) について、Isabelle/HOLによる差分プライバシーの形式化に手を付けたものの、定理証明支援系においては具体的な計算の形式化がむしろ厄介であること、差分プライバシーにおいて示すべき命題の多さ、Renyiダイバージェンスの形式化には予想以上に多くの準備が必要であることから研究が遅れている。

今後の研究の推進方策

本年度は、差分プライバシーのIsabelle/HOL上での形式化に注力する。特にGaussian mechanismの形式化、Report Noisy Max mechanismの形式化の拡張、Sparse vector techniqueなどの差分プライバシーの具体的な構成の形式化を行う。
「項を次数にもつプログラム論理」の一般論の構成と、Renyiダイバージェンスの形式化についてはそれぞれ独立の研究計画を立てて再挑戦することとする。

研究成果

• [雑誌論文] Sound and relatively complete belief Hoare logic for statistical hypothesis testing programs (2024)
  • 著者名/発表者名: Kawamoto Yusuke、Sato Tetsuya、Suenaga Kohei
  • 雑誌名: Artificial Intelligence 巻: 326 ページ: 104045-104045
  • DOI: 10.1016/j.artint.2023.104045
  • 査読あり / オープンアクセス
• [雑誌論文] Divergences on monads for relational program logics (2023)
  • 著者名/発表者名: Sato Tetsuya、Katsumata Shin-ya
  • 雑誌名: Mathematical Structures in Computer Science 巻: 33 号: 4-5 ページ: 427-485
  • DOI: 10.1017/s0960129523000245
  • 査読あり
• [雑誌論文] Program logic for higher-order probabilistic programs in Isabelle/HOL (2023)
  • 著者名/発表者名: Hirata Michikazu、Minamide Yasuhiko、Sato Tetsuya
  • 雑誌名: Science of Computer Programming 巻: 230 ページ: 102993-102993
  • DOI: 10.1016/j.scico.2023.102993
  • 査読あり
• [雑誌論文] Formalizing Statistical Causality via Modal Logic (2023)
  • 著者名/発表者名: Kawamoto Yusuke、Sato Tetsuya、Suenaga Kohei
  • 雑誌名: Logics in Artificial Intelligence: 18th European Conference, JELIA 2023, Dresden, Germany, September 20-22, 2023, Proceedings 巻: - ページ: 681-696
  • DOI: 10.1007/978-3-031-43619-2_46
  • ISBN: 9783031436185, 9783031436192
  • 査読あり / オープンアクセス
• [雑誌論文] Semantic Foundations of Higher-Order Probabilistic Programs in Isabelle/HOL (2023)
  • 著者名/発表者名: Michikazu Hirata, Yasuhiko Minamide, Tetsuya Sato
  • 雑誌名: In: Proceedings of the Fourteenth Conference on Interactive Theorem Proving (ITP 2023) 巻: -
  • 査読あり
• [雑誌論文] Program Logic for?Higher-Order Probabilistic Programs in?Isabelle/HOL (2022)
  • 著者名/発表者名: Hirata Michikazu、Minamide Yasuhiko、Sato Tetsuya
  • 雑誌名: Lecture Notes in Computer Science 巻: 13215 ページ: 57-74
  • DOI: 10.1007/978-3-030-99461-7_4
  • ISBN: 9783030994600, 9783030994617
  • 査読あり
• [雑誌論文] Formalizing Statistical Beliefs in Hypothesis Testing Using Program Logic (2021)
  • 著者名/発表者名: Kawamoto Yusuke、Sato Tetsuya、Suenaga Kohei
  • 雑誌名: Proceedings of the 18th International Conference on Principles of Knowledge Representation and Reasoning 巻: － ページ: 411-421
  • DOI: 10.24963/kr.2021/39
  • 査読あり / オープンアクセス
• [学会発表] Isabelle/HOLによる 差分プライバシーの形式的検証 についての進捗報告 (2023)
  • 著者名/発表者名: 佐藤 哲也
  • 学会等名: The 19th Theorem Proving and Provers meeting (TPP 2023)
• [学会発表] Towards Formal Verification of Differential Privacy in Isabelle/HOL (2023)
  • 著者名/発表者名: Tetsuya Sato
  • 学会等名: 8th Franco-Japanese Cybersecurity Workshop
  • 国際学会 / 招待講演
• [学会発表] On Hypothesis Testing Interpretations of Renyi Differential Privacy (2022)
  • 著者名/発表者名: Tetsuya Sato
  • 学会等名: 7th Franco-Japanese Cybersecurity Workshop
  • 国際学会 / 招待講演
• [学会発表] 仮説検定による差分プライバシーの特徴付けとRenyi 差分プライバシー (2022)
  • 著者名/発表者名: 佐藤哲也
  • 学会等名: 第5回ステアラボソフトウェア技術セミナー
  • 招待講演
• [学会発表] 関係プログラム論理のための モナド上のダイバージェンス (2022)
  • 著者名/発表者名: 佐藤哲也
  • 学会等名: 第24回プログラミングおよびプログラミング言語ワークショップ(PPL 2022)