LLMにおけるプライバシーの保護を目的とした手法の登場
3つの要点
✔️ ローカルモデルがプライベートデータを共有せずにリモートモデルから高性能を引き出すプライバシー保護の手法を提案
✔️ 3つのアルゴリズム(問題説明、新ラベルなしの例生成、エンティティ置換)で精度とプライバシーを評価
✔️ エンティティ漏洩とマッピング漏洩の評価で、手法3が最少漏洩、手法2が補助情報のもとで最適
Can LLMs get help from other LLMs without revealing private information?
written by Florian Hartmann, Duc-Hieu Tran, Peter Kairouz, Victor Cărbune, Blaise Aguera y Arcas
(Submitted on 1 Apr 2024 (v1), last revised 2 Apr 2024 (this version, v2))
Comments: Published on arxiv.
Subjects: Machine Learning (cs.LG); Artificial Intelligence (cs.AI); Cryptography and Security (cs.CR); Multiagent Systems (cs.MA)
code:
本記事で使用している画像は論文中のもの、紹介スライドのもの、またはそれを参考に作成したものを使用しております。
概要
GoogleのGemini Ultra(2023年)やOpenAIのGPT-4(2023年)などの大規模言語モデルは、多くのタスクで驚異的な性能を示しています。しかし、これらのモデルは高い推論コストがかかるだけでなく、プライベートなデータが利用可能なローカル環境ではないデータセンターで実行されます。一方、Gemini Nanoのようにプライベート環境で実行できるモデルは、ユーザーのデバイス上で動作するものの、その性能は限られています。
プライベート環境で最先端の性能を引き出すためには、センシティブなデータを共有せずにリモートモデルにクエリを送信できるプライバシー保護のメカニズムを持つローカルモデルが必要です。従来のカスケードシステムでは、小型で能力の低いモデルが大型で能力の高いモデルにクエリを投げる仕組みが研究されてきましたが、プライバシー保護の観点からの研究はまだ進んでいません。現在のカスケードシステムでは、大型モデルを利用するかどうかの判断は通常、クエリが小さなモデルで独立して処理できるかどうかによって判断されます。
大型モデルで処理することが決定された場合、プライベートなデータを含むクエリがそのまま転送されます。これにより、センシティブなデータの漏洩や、転送されたクエリがリモートシステムの学習データセットに取り込まれるといったプライバシーの脅威が生じます。
この論文では、カスケードシステムに対する初のプライバシー保護のアプローチを提案しています。従来のカスケードシステムとは異なり、提案アプローチでは、ローカルモデルは常にデータがプライベートであると仮定しています。そのため、ローカルモデルはリモートモデルにプライベートな情報を一切共有しません。さらに、ローカルモデルがプライベート情報を逐語的に共有しない場合でも、リモートモデルのオペレーターが補助情報を利用してプライベートなデータを再構築することを防ぎます。これらの課題に対処するために、効率性の制約がないと仮定し、ローカルモデルは常にリモートモデルからの助けを求めることができるとしています。したがって、このアプローチの最適なカスケード設定は、タスクのパフォーマンスを最大化しながらプライバシー損失を最小化することにあります。
このタスクを成功させるためには、通常は小さくて能力の低いローカルモデルが、問題に関する十分な情報を公開してより能力の高いリモートモデルから有用な信号を受け取りながら、プライベートな詳細を保護するバランスを見つける必要があります。リモートモデルから学習するために、ローカルモデルは、大規模言語モデルのコンテキスト内学習(ICL)能力を利用した自然言語を通じて勾配フリーの学習能力を活用しています。また、他の大規模言語モデルから自然言語を通じて学習するという「Mohtashami et al.(2023)」「Bandura & Walters(1977)」による最近導入された社会的学習パラダイムも利用しています。
問題設定
この論文では、ラベル付きデータを持たない社会的学習の一形態について考察しています。ローカルモデルである「生徒」は、自身でうまくラベル付けできないプライベートなデータを持ち、より大きなリモートモデルである「教師」は、そのデータのラベル付けをより適切に行うことができます。これらの2つのモデルは、下図のようにカスケードを形成し、「生徒」は「教師」とのコミュニケーションを通じてパフォーマンスを向上させます。「生徒」が「教師」に送る情報は「クエリ」と呼ばれます。
この「生徒」から「教師」へのクエリには、2つの制約があります。1つ目は、プライバシーの保護に関するものです。「生徒」はデータをコピーしたり、プライベートな情報を明かしたりすることなく、プライバシーを保護しなければなりません。2つ目は、単一ラウンドのコミュニケーションに関するものです。「生徒」と「教師」の間のコミュニケーションは単一ラウンドで行われ、どちらも互いの能力について状態を維持したり、モデルを更新することはできません。このため、すべてのアルゴリズムは同じ構造に従っています。つまり、「生徒」が助けを必要としている場合、「生徒」はプライベートデータを使って「教師」へのクエリを生成します。その後、「教師」はそのクエリを使って「生徒」のためにICL(コンテキスト内学習)例を生成します。最後に、「生徒」はそのICL例を使って元の問題を解決します。
また、さらに、2つの簡略化された仮定を行っています。1つ目は、リモートの「教師」とのコミュニケーションが常に有益であると仮定しています。2つ目は、「生徒」と「教師」の両方が例のフォーマットを認識していると仮定しています。この仮定は、「生徒」が単にフォーマットや思考の連鎖(CoT)を学ぶのではなく、「教師」からデータに関するより複雑なことを学ぶことを目的としているため、有用です。
このような問題設定において、「生徒」の目標は、自身のデータの一部であるプライベートな情報を明かすことなく、データの正確なラベル付けにおけるパフォーマンスを最大化することです。
プライバシー対策
「生徒」のデータには、「教師」から隠しておくべきセンシティブな個人情報が含まれていることがあります。例えば、ユーザーが特定の活動の後に経験する健康症状を説明するクエリでは、活動や症状のセットを特定のユーザーと結びつけることは、プライバシー侵害となります。
こうしたプライバシー侵害に対処するために、差分プライバシー(DP)などのデータ匿名化技術が考えられますが、、DPは多くのユーザーにわたる集計を計算する際に有用です。DPを用いた場合、クエリのプライベート情報と非プライベート情報の両方がマスクされ、タスクに役立たないクエリが生成されることがあります。また、DP-ICLモデルを使用して「生徒」のデータのセンシティブな部分をプライベートにすることも難しくなります。
これは、「生徒」がクエリを作成する際に多くのプライベートな例を考慮することを前提としているためです。この論文では、「生徒」が少ないプライベートな例しか持っていない場合でもプライバシーを保護するクエリを生成できるようにしたいと考えています。しかし、このような設定ではDP-ICLは機能しません。
そこで、データ最小化のプライバシー技術、特にコンテクスト的整合性を活用しています。これは、プライバシーを情報の適切な流れとして説明します。この技術では、「生徒」はタスクに有用な情報を保持し、クエリの文脈に関連しない個人識別情報を削除します。完璧なマスクでも、「教師」モデルが特定の特徴を識別するために利用できる補助情報にアクセスできる場合、センシティブな情報が漏洩する可能性があります。したがって、提案アプローチの重要な貢献は、補助情報の下での漏洩を測定し評価する方法論です。
提案アプローチの成功は、タスクの記述を改ざんせずにクエリのセンシティブな部分を正しく識別し、マスクすることにかかっています。このため、クエリ内の情報を分析し、「教師」モデルと共有できる安全なクエリを生成するためのさまざまな技術を提案しています。クエリのプライバシーを評価するために、エンティティ漏洩メトリックと、補助情報を考慮した設定を考えるマッピング漏洩メトリックの2つの具体的なメトリックを考慮しています。
コンテクスト的整合性は、プライバシーを情報の適切な流れとして定義します。ほとんどのプロダクションアプリケーションでは、何を共有するのが適切かを判断するのは難しいです。これの代用として、漏洩したエンティティの解釈可能なメトリックを考えます。データセット内の名前、場所、メールアドレス、または番号などのすべてのエンティティはプライベートと見なされます。マスクした後に、元の例に存在するエンティティが「生徒」のクエリにどれだけ残っているかを測定します。
「生徒」のクエリからすべてのエンティティが削除されたとしても、「教師」がクエリを慎重に分析することでプライベート情報を再構築することは依然として可能です。実際、「教師」がアクセスできる補助情報は、その効果を高めるのに役立ちます。この分析を最悪のケースで測定します。
具体的には、「教師」に元の例と100のマスクされたクエリを提示し、そのうち1つだけが元の例から生成されたものであると仮定します。「教師」が100のオプションのうち、元の例をこの特定の(マスクされた)クエリに正しくマッピングできる頻度を測定します。「教師」に完全な元の例を提供することは、「教師」が持つ可能性のある補助情報の上限を表します。このマッピングをよりうまく行うために、「教師」が「生徒」モデルにクエリを投げることを許可します。これは、マスクされたクエリを生成するために使用されたため有用です。マッピングを行うために、元の例と100の生成されたクエリの継続をスコア付けし、正しいクエリが最も高いスコアを獲得する頻度を測定します。この(最悪のケースの)補助情報へのアクセスは、エンティティが適切にマスクされていても、重要なプライバシー漏洩につながる可能性があることを示します。
提案手法
「教師」から「生徒」がプライベートに学ぶための3つのアルゴリズムを紹介しています。これらの手法は、「生徒」が直面する問題の説明、「教師」がラベルを付けられる類似の非プライベートな例の生成に基づいています。すべての手法で、拡張サイズというハイパーパラメータを使って、「生徒」が「教師」から受け取るラベル付きICL例の数を示しています。
1つ目の方法(方法1)は、問題の説明を作成するものです。まず「生徒」が与えられた問題を分析し、それを高レベルの説明に変える方法です。たとえ問題を解決できなくても、「生徒」は問題のタイプを説明することができます。この説明が「教師」へのクエリとなります。次に、「教師」は少数の例を作成し、「生徒」が直面している問題を解決する手助けをします。「教師」は例の構造に関するテンプレートを使用し、「生徒」の説明を元に新しい例を生成します。
2つ目の方法(方法2)は、新しいラベルなし例を生成するものです。「生徒」は直面している問題の抽象的な説明を提供する代わりに、類似した新しい問題を生成します。例えば、GSM8kという中学生レベルの数学問題のデータセットでは、詳細は異なるが同等の教育的価値を持つ類似した数学問題を作成できます。
大規模言語モデルが文脈内で見た元の例から新しい例を生成できることが示されています。多くのタスクでは、例を生成する方が解決するよりも簡単です。この手法では、(1)「生徒」の大規模言語モデルに新しいラベルなしの例を生成させ、(2)「教師」がこれらの例にラベルを付け、(3)「生徒」がそのラベルを使って元の問題を解決するようにします。
3つ目の方法(方法3)は、元の例のエンティティを置き換えるものです。「生徒」は完全に新しい例を生成する代わりに、元の例の名前、場所、数値などのエンティティを置き換えます。こうして元の例に似た新しいラベルなしの例を生成します。この方法でも拡張サイズ分の例を生成できます。
大規模言語モデルはエンティティの置き換えをかなりうまく行います。したがって、「生徒」モデルにプライベートエンティティを見つけて置き換えるように指示します。この手法の全体の流れは2つ目の方法と同じですが、ステップ(1)でエンティティを置き換える点が異なります。
「教師」への問い合わせにはプライベート情報が漏れるリスクがあります。そこで、「教師」を経済的に利用するために、グループサイズというハイパーパラメータを導入します。これは、「生徒」が拡張サイズ分のICL例を作成するためにグループ化するプライベートな例の数を示します。「生徒」はグループ化された例から情報を組み合わせて新しい例を合成します。ラベル付け予算=拡張サイズ/グループサイズとして、各元の例に対して作成される「教師」ラベル付き例の予算を示します。「生徒」がどの例をグループ化するかは選択できません。
実験
提案手法の効果を評価するために、さまざまなデータセットを用いて精度とプライバシーの観点から評価し、2つのベースラインと比較しています。
この論文では、Googleが提供するGemini 1.0系統のモデルを使用しています。「教師」には系統で最も強力なUltraを利用し、また、「生徒」としてNano-2(3.5Bパラメータモデル、モバイルでの展開可能)を使用しています「。生徒」モデルの能力が手法の性能に影響するため、実験によっては「生徒」としてProを使用しています。すべての実験で、Nanoの性能に関する過去の報告(Google, 2023)に基づき、タスク成功率を「教師」の性能で正規化しています。
提案手法の汎用性を示すために、以下の多様なデータセットを使用します。
- GSM8kの数学問題(Cobbe et al., 2021)
- アシスタントの意図検出(Srivastava et al., 2022)
- 主観・客観の分類(Conneau & Kiela, 2018)
- 中程度のリソースを持つ機械翻訳(Tiedemann, 2020)
また、ベースラインとの比較では、弱いベースラインと強いベースラインの2つと比較しています。弱いベースラインでは、「生徒」が「教師」と全く通信せず、自身でラベル付きデータを持たないため、0ショットの設定となります。強いベースラインでは、「生徒」が8つの任意の完璧なラベル付き例にアクセスできる場合を評価します。これらの例は完全にラベル付けされ、「生徒」が解決しようとしているタスクと同じものであるため、強いベースラインと見なされます。しかし、実際にはこのようなデータは存在せず、「生徒」の問題に簡単に適合させることはできません。
結果は、下表のようになっています。すべてのデータセットで提案手法が弱いベースラインと強いベースラインの両方を上回っています。ただし、GSM8kに関しては、Proのような強力な「生徒」モデルが必要であることがわかりました。
(方法3)はすべてのデータセットで非常に良いパフォーマンスを示します。これは、この手法で生成されるクエリが、「生徒」が解決しようとしている問題に最も近いからだと考えられます。(方法1)は最も性能が低く、この手法をうまく機能させるのが最も難しいことがわかりました。例えば、意図認識のようなタスクでは、生徒モデルがラベルを付けられる場合にのみ、ラベルなしの例を明示的に説明できるため、この手法は競争力が低くなります。
さらに、ラベル付け予算(拡張サイズ/グループサイズ)の最適な使用方法を調査するために、異なる手法で完全なグリッド検索を実施しました。各ラベル付け予算に対して、達成可能な最良のパフォーマンスを取得します。下図に示すように、これらのハイパーパラメータの選択により、グループ化なしでは不可能な1未満の予算が可能になります。
さらに、提案手法がプライバシーの観点でどのように機能するかを分析するために、エンティティ漏洩メトリックと、補助情報を考慮した設定を考えるマッピング漏洩メトリックの2つの指標を計算しています。Gemini 1.0 Ultraにエンティティ検出器として機能させ、名前、場所、数値などのプライベートなエンティティを検出させました。これが目的のエンティティを確実に検出することを確認するために、例のサブセットで手動検証を行いました。この分析結果は下表のとおりです。
(方法1)が最も多くのエンティティを漏らすことが観察されました。この手法は理論的には最も高レベルのクエリを生成するはずですが、実際にはうまく機能させるのが難しいです。元の例のサブセットで、「生徒」が高レベルの説明を合成できず、直面している問題を詳細に説明することに戻ることがあります。一方で、(方法3)のクエリは元のメッセージに最も近いものですが、最も少ないエンティティを漏らします。これは、「生徒」が問題をよく理解することなく、エンティティを見つけて置き換えることができるためだと考えられます。
しかし、補助情報を持つ攻撃者が元の例を特定する能力を示すマッピング指標を分析すると、結果は異なります。この指標では、(方法3)が大幅に劣ります。この手法ではエンティティの漏洩は少ないものの、構造と文体が維持されており、元の例と生成された例の間のマッピングが特に容易です。これは、特に構造が明確なGSM8kとSubjのデータセットで顕著です。
グループ化した例が(方法2)と特によく機能することがわかりました。グループサイズ=2の場合、両方の指標で漏洩が大幅に減少し、GSM8kではパフォーマンスの低下なしで達成できます。
最後に、適切な手法の選択は具体的な脅威モデルによって異なることに留意します。(方法1)は品質とプライバシーの観点で説得力がありませんが、(方法3)は補助情報を含まない脅威モデルにおいて非常にうまく機能します。一方、補助情報を考慮する場合、(方法2)が最も適切です。
また、提案手法がどこで効果を発揮し、どこで不足しているのかをよりよく理解するために、「生徒」モデルが「教師」から支援を受けた後に行える予測について詳細な分析を行います。大規模にこれを行うために、Gemini 1.0 Ultraにゴールデンラベルと「生徒」の予測を見てもらい、エラーを特定のクラスに分類させます。一部のケースについて手動で確認し、これらの分類が妥当であることを確認します。下表は、強いベースラインと各手法の最良の設定に基づくGSM8kの500例に関するこの分析の結果を示しています。
まとめ
この論文では、大規模言語モデルが外部の大規模言語モデルにプライバシーを守りながらクエリを送信し、そのパフォーマンスを向上させることができるかどうかを調査しました。その結果、提案方法は、プライバシー制約を持つ強力なベースラインを大幅に上回ることが明らかになりました。
提案方法のプライバシーパフォーマンスを評価するために、漏洩したエンティティの数を数える簡単なメトリックと、補助情報を持つ「教師」が「生徒」のクエリからどれだけ情報を回復できるかの上限を測定する新しいメトリックの2つを使用しています。最初のメトリックでは、問題をマスクする方法が効果的であり、新しい問題を生成する方法は、「教師」が補助情報を持っている場合に有効であることがわかりました。
最終的に、どの方法を選択するかは具体的な脅威モデルに依存します。しかし、どちらの脅威モデルに対しても、提案手法では低い漏洩率を示し、強力な品質のベースラインを上回る結果を示しました。さらに、サンプルをグループ化することでプライバシーメトリックが改善され、特定のラベル付け予算の制約下でもモデルの品質が向上することが確認されました。
今後の研究では、より複雑な「生徒」と「教師」の相互作用を検討し、プライバシーメトリックをさらに改善し、テキスト以外のモダリティにも注目することが期待されます。
この記事に関するカテゴリー