拓海さん、最近AIの話で部下が「プライバシー対策が必須です」と言うのですが、そもそも推薦システムで何が問題になるんでしょうか。
素晴らしい着眼点ですね!推薦システムは個人の嗜好を学ぶため、学習済みモデルから性別や年齢などの属性が漏れることがありますよ。まず結論を言うと、今回の研究は「学習済みモデルから特定の属性を忘れさせ、攻撃者にとって区別不能にする」ことを後から実行する方法を示していますよ。
なるほど、学習済みモデルから忘れさせるというのは初めて聞きました。現場で後からやるというのは現実的ですかね。
大丈夫、一緒に整理しましょう。要点は三つです。第一に、学習データを消しても学習済みモデルには属性情報が残る場合があること。第二に、論文は学習後でも属性を『目立たなくする(indistinguishable)』ための損失関数を設計していること。第三に、これを現場に適用するための実効的な検証を行っている点です。
これって要するに属性がわからなくするということ?
その通りですよ。簡潔に言えば、外部の攻撃者がモデルを使って「このユーザーは男性か女性か」などを判定できないようにするということです。実務的には、攻撃者の判別精度を下げるためにモデルの出力空間を調整するイメージです。
導入コストと効果の見積もりが知りたいです。うちのシステムでやるとなると、既存モデルを全部作り直す必要がありますか。
いい質問ですね。論文は「Post-Training Attribute Unlearning(PoT-AU)=学習後の属性忘却」を扱っていますから、既存の学習済みモデルに後から処置を加えることを前提としています。つまり、全部を作り直す必要はなく、追加の最適化ステップで対応できる場合が多いです。
効果の確認はどうやるのですか。現場の品質(推薦精度)が落ちたりしませんか。
ここも重要な点です。論文は二つの損失(loss)を同時に最適化しています。ひとつは攻撃者から見て属性を区別できなくするための”distinguishability loss”、もうひとつはモデルの大幅な変化を防ぐための正則化(regularization loss)です。結果的に推薦精度の大きな悪化を避けつつプライバシー性を高められるように調整しますよ。
これをうちで試す場合、まず何から始めればいいですか。部署の誰に説明すれば理解が早いでしょう。
大丈夫、順序立てれば進みますよ。まずはデータガバナンス担当と現行のモデル評価指標を持ってきてください。次に、セキュリティ担当とプライバシー要件を擦り合わせ、最後にプロトタイプとして一モデルでPoT-AUを試験的に適用して効果を測るのが現実的です。これで社内合意も得やすくなりますよ。
分かりました。では、まずは一モデルで後処理をかけて、攻撃者に属性が見えなくなるかを検証するということで進めます。私の言葉で言うと、学習済みの脳に『この属性はもう見えないでくれ』と後から教える感じですね。
