AIはどのように個人データを漏洩するのか

画像を生成するニューラルネットワークは、すでに広く普及しています。これにより、どのようなプライバシーのリスクが生じるのでしょう?

(ニューラル)ネットワークによる漏洩

米国とスイスの大学の研究者は、GoogleおよびDeepMindと協力し、機械学習アルゴリズムのDALL-EImagen、またはStable Diffusionを使用している画像生成システムから、データがどのように漏洩するのかを示す論文を発表しました。これらのシステムはすべてユーザー側で同じように機能します。たとえば、「アボカドの形をした肘掛け椅子」といった特定のテキストクエリを入力すると、生成された画像が表示されます。

neural-networks-data-leaks-01

Dall-Eニューラルネットワークによって生成された画像。出典

画像生成システムはすべて、事前に準備された説明を含む膨大な数(数万または数十万)の画像を学習します。そうすることで、さらに新しい独自の画像を作成できると考えられています。しかし、論文によりますと、これらの画像は、必ずしも独自のものではありません。学習時に使われた元の画像をニューラルネットワークでほぼ正確に再現させることができます。つまり、ニューラルネットワークは、意図せずに個人情報を漏洩する可能性があるのです。

neural-networks-data-leaks

Stable Diffusionニューラルネットワークによって生成された画像(右)とトレーニングセットの元の画像(左)。出典

「データの神様」のためにデータを追加

クエリに対応する機械学習システムの出力は、専門家でない人には「魔法使いのロボットみたい!」と思うでしょう。しかし、本当は魔法でも何でもありません…

すべてのニューラルネットワークは、一連のデータを学習することから始まります。ニューラルネットワークは、ゼロから新しいものを作り出すことはできません。アルゴリズムが作られ、データセット(猫と犬の一連の写真など)と各画像の正確な説明を使って学習します。その後、このアルゴリズムに新しい画像を示し、それが猫か犬か判断するよう求めます。最初は単純な作業ですが、システム開発者によって徐々にタスクが複雑になります。無数の猫の写真で学習したアルゴリズムを使い、まだ存在していないペットの画像を、オンデマンドで作成するようになります。このような実験は、画像だけでなく、テキスト、ビデオ、さらには音声でも行われています。ディープフェイクの問題についてはこちらのブログもお読みください。例えば、海外の選挙期間中には、ディープフェイクを使って政治家や有名人が、実際には言っていないことを言っているかのように見せるコンテンツが多く確認されています。

このようなデータセットの秘密保持に関しては、これまでに何度も議論されています。データセットには、公のものもあれば、多大な時間と労力を費やして作成した開発企業の知的財産を使用する場合もあります。競合他社と差をつけるためです。さらに、センシティブな個人情報が含まれる場合もあります。たとえば、ニューラルネットワークを使用してX線や他の医療スキャンに基づき病気を診断するといった研究も進められています。この場合、アルゴリズムのトレーニングデータには、実在する人の実際の健康データが含まれているため、万が一漏えいすると深刻な問題に発展します。

拡散せよ

機械学習アルゴリズムをあまりよく知らない人たちにとって、一見すべて同じように見えますが、実際にはそれぞれ異なります。研究者はこの論文で、機械学習拡散モデルに特に注目しています。拡散では、トレーニングデータ(人、車、家などの画像)にノイズを追加してぼやかします。そして、その画像を元の状態に復元するようニューラルネットワークをトレーニングします。この方法では、ある程度の品質の画像を生成できますが、データ漏洩のリスクが高くなるという潜在的な欠陥があります(敵対的生成ネットワークのアルゴリズムと比較した場合など)。

元のデータは、少なくとも3つの異なる方法で抽出することができます。まず、特定のクエリを使用してニューラルネットワークに強制的に出力させることができます。これは、数千もの画像に基づいて生成されたユニークなものではなく、特定のソース画像になります。2つ目の方法では、元の画像の一部しか利用できない場合でも元の画像を再構築できます。3つ目の方法は、特定の画像がトレーニングデータに含まれているかどうか確認することです。

多くの場合、ニューラルネットワークは「怠け者」なので、同じ画像の複製がいくつも含まれていることもあれば、新しい画像の代わりにトレーニングセットから画像を生成することもあります。上記のAnn Graham Lotzの写真の例のほかにも、この研究では同様の結果を多数示しています。

neural-networks-data-leaks

奇数行:元の画像。偶数行:Stable Diffusion v1.4によって生成された画像。出典

画像がトレーニングセットで100回以上複製されると、原画に極めて似た画像が漏洩する可能性が高くなります。しかし、研究者は、トレーニング画像が、元のセットに一度だけ表示された場合でも、これを取得できることを証明しています。この方法は、効率がはるかに悪く、テストした500枚の画像のうち、アルゴリズムがランダムに再作成できたのは3枚だけでした。ニューラルネットワークを攻撃する最も巧妙な方法は、ソース画像の断片だけを入力情報として使い、ソース画像を再作成することです。

neural-networks-data-leaks-4

研究者は画像の一部を削除した後、ニューラルネットワークに画像を完成させるよう指示しました。これにより、特定の画像がトレーニングセットに含まれていたかどうかをかなり正確に判断できるのです。トレーニングセットに含まれていた場合、機械学習アルゴリズムは元の写真や絵のほぼ正確なコピーを生成できました。出典

ここで、ニューラルネットワークと著作権の問題に注目してみましょう。

誰が誰から盗んだのか?

2023年1月、3人のアーティストが、機械学習アルゴリズムを使用した画像生成サービスの作成者を訴えました。ニューラルネットワークの開発者が、著作権を無視して、オンラインで収集された画像でニューラルネットワークを学習させたと主張したのです。実際、ニューラルネットワークは、特定のアーティストのスタイルをコピーすることができるため、彼らの収入を奪う可能性も考えられます。この論文は、様々な理由から、アルゴリズムが公然と盗作行為を行い、実在の人物の作品とほぼ同じ図面や写真、その他の画像を生成することがあることを示唆しています。

この研究では、元のトレーニングセットのプライバシーを強化する対策を推奨しています。

  • 重複を取り除く。
  • トレーニング画像を再処理する。たとえば、ノイズの追加や明るさの変更することで、データ漏洩の可能性を低くする。
  • 特別なトレーニング画像でアルゴリズムをテストし、誤って正確に再現しないことを確認する。

次への備えは?

ジェネラティブアートの倫理と合法性は、確かに興味深いテーマであり、アーティストと技術開発者の間でバランスを模索していかなければならない課題です。著作権は尊重されなければなりません。しかし一方で、コンピューターアートは人間のアートとそんなに違うものでしょうか?どちらも、アーティストは、同僚やライバルの作品からインスピレーションを得ています。

さて、セキュリティについて話しましょう。この論文は、1つの機械学習モデルに関する特定の事実を提示しています。この概念をすべての類似したアルゴリズムに拡張すると、興味深いことが見えてきます。たとえば、モバイルオペレーターのスマートアシスタントが、ユーザーのクエリに応じて、企業の機密情報を提供するシナリオは簡単に想定できます。その情報は、トレーニングデータに含まれていたからです。また、巧妙なクエリによって公共のニューラルネットワークをだまし、誰かのパスポートのコピーを作ることも可能でしょう。研究者たちは、このような問題は当分の間、机上の空論にすぎないと強調しています。

しかし、すでに発生している他の問題があります。現在、テキスト生成ニューラルネットワークのChatGPTは、悪意のあるコードを実際に作成するために使われており、このようなコードが悪用される可能性があります。また、GitHub Copilotは、大量のオープンソースソフトウェアを入力に使い、コードを作成できるようプログラマーを支援しています。このツールは、作成者の著作権とプライバシーを尊重するとは限らず、多大なトレーニングデータセットに、作成者のコードが含まれる可能性があります。ニューラルネットワークが進化するにつれて、それに対する攻撃も進化します。その結果がどうなるのか、まだ誰にもわかりません。

ヒント