このページは Cloud Translation API によって翻訳されました。

デバイス上のパーソナライズ - プライバシー保護が強化されたパーソナライズ

この技術解説ドキュメントでは、Android オープンソースプロジェクト（AOSP）での実装が予定されている On-Device Personalization（ODP）の背後にある動機、その開発の指針となる設計原則、機密性保持モデルによるプライバシー、検証可能なプライバシー体験の確保に役立つ方法について説明します。

これを実現するために、データアクセスモデルを簡略化し、セキュリティ境界外に出るすべてのユーザーデータを（ユーザー、導入者、model_instance）レベルごと（場合によっては、下記のようにユーザーレベルに短縮される場合もある）に差分プライベート化します。

エンドユーザーのデバイスから送信される可能性のあるエンドユーザーデータに関連するコードはすべてオープンソースであり、外部エンティティによって検証できます。提案の初期段階では、On-Device Personalization の最適化を促進できるように、プラットフォームに対する関心を高め、フィードバックを収集することを目指しています。Google では、プライバシーの専門家、データアナリスト、セキュリティ担当者などの関係者からのご協力を期待しています。

ビジョン

On-Device Personalization は、エンドユーザーがやり取りしたことのないビジネスからエンドユーザーの情報を保護するように設計されています。企業は、エンドユーザー向けに商品やサービスをカスタマイズし続けることができます（たとえば、適切に匿名化され差分プライベート化した機械学習モデルを使用するなど）。しかし、企業とエンドユーザーが直接やり取りしない限り、エンドユーザー向けに行われた正確なカスタマイズ（ビジネスオーナーによって生成されたカスタマイズルールだけでなく、個々のエンドユーザーの好みにも依存）を確認することはできません。企業が機械学習モデルや統計分析を作成する場合、ODP は、適切な差分プライバシーメカニズムを使用して、それらが適切に匿名化されるようにします。

現在の計画では、次の特長と機能をカバーする複数のマイルストーンで ODP を検討しています。この取り組みをさらに進めるために、関心をお持ちの方からの、追加の機能やワークフローに関する建設的なご提案も歓迎いたします。

すべてのビジネスロジックが含まれており、それが実行されるサンドボックス環境。サンドボックスへの多数のエンドユーザーシグナル入力を許可する一方で、出力は制限されています。
下記のデータ用のエンドツーエンドで暗号化されたデータストア:
1. ユーザーコントロール、その他のユーザー関連データ。これは、エンドユーザーが提供するものもあれば、企業が収集して推論するものもあります。有効期間（TTL）制御、消去ポリシー、プライバシーポリシーなども含まれます。
2. ビジネス設定。ODP には、これらのデータを圧縮または難読化するアルゴリズムが用意されています。
3. ビジネス処理の結果。結果は次のようになります。
  1. 以降の処理ラウンドで入力として消費される。
  2. 適切な差分プライバシーメカニズムによりノイズが追加され、対象となるエンドポイントにアップロードされる。
  3. 適切なセントラル差分プライバシーメカニズムを備えたオープンソースワークロードを実行する高信頼実行環境（TEE）に、信頼できるアップロードフローを使用してアップロードされる。
  4. エンドユーザーに表示される。
次の目的で設計された API:
1. 2（a）をバッチまたは増分方式で更新する。
2. 2（b）を定期的に（バッチまたは増分方式で）更新する。
3. 信頼できる集計環境で適切なノイズ追加メカニズムを使用して、2（c）をアップロードする。このような結果は、次の処理ラウンドでは 2（b）になる可能性があります。

設計の原則

ODP は、プライバシー、公平性、有用性の 3 つの柱のバランスを追求します。

タワー型のデータモデルでプライバシー保護を強化

ODP はプライバシーバイデザインに準拠し、エンドユーザーのプライバシーを最初から保護するように設計されています。

ODP では、パーソナライズ処理をエンドユーザーのデバイスに移すことを検討します。このアプローチでは、データを可能な限りデバイスに保持し、必要な場合にのみデバイスの外部で処理することで、プライバシーと有用性のバランスを取ります。ODP は以下に焦点を当てています。

エンドユーザーデータのデバイスコントロール（デバイスから外部に送信される場合でも）。宛先は、ODP で作成されたコードを実行するパブリッククラウドプロバイダが提供する高信頼実行環境であることが証明されている必要があります。
エンドユーザーデータがデバイスから離れた場合にどうなるかのデバイス検証可能性。ODP は、オープンソースの連携コンピューティングワークロードを提供し、クロスデバイス機械学習と統計分析を連携させます。エンドユーザーのデバイスは、そのようなワークロードが変更されずに高信頼実行環境で実行されることを証明します。
デバイスの制御下にある / 検証可能な境界を離れる出力の技術的なプライバシー保証（集計、ノイズ、差分プライバシーなど）。

したがって、パーソナライズはデバイス固有になります。

さらに、企業はプライバシー保護対策も必要としており、プラットフォームはこれに対処する必要があります。そのためには、それぞれのサーバーでビジネスの元データを維持する必要があります。これを実現するために、ODP では次のデータモデルを採用しています。

各元データソースはデバイスまたはサーバー側に保存され、ローカルでの学習と推論が可能になります。
Google は、2 つの異なるデータロケーション間のフィルタリングや、さまざまなソースにわたるトレーニングや推論など、複数のデータソースにわたる意思決定を容易にするアルゴリズムを提供します。

ここでは、ビジネスタワーとエンドユーザータワーがあります。

比較として、クラウド中心のインフラストラクチャでは、エンドユーザータワーからのすべての元データが企業のサーバーに転送されます。逆に、デバイス中心のインフラストラクチャでは、エンドユーザータワーからのすべての元データは元の場所に残り、ビジネスデータはサーバーの保存場所に残ります。

On-Device Personalization は、証明済みのオープンソースコードのみが、よりプライベートな出力チャネルを使用して TEE のエンドユーザーに関連する可能性があるデータを処理できるようにすることで、両方の長所を兼ね備えています。

公平なソリューションに向けたインクルーシブな一般エンゲージメント

ODP は、多様性のあるエコシステム内のすべての参加者にとってバランスの取れた環境を確保することを目的としています。Google は、このエコシステムの複雑さを認識しています。このエコシステムは、それぞれ異なるサービスや商品を提供するさまざまなプレーヤーで構成されています。

イノベーションを促進するために、ODP は、デベロッパーとその企業が実装できる API を提供しています。On-Device Personalization により、リリース、モニタリング、デベロッパーツール、フィードバックツールを管理しながら、これらの実装をシームレスに統合できます。On-Device Personalization では、具体的なビジネスロジックは作成されませんが、その代わりにクリエイティビティを促進します。

ODP では、今後、より多くのアルゴリズムを提供していきます。適切な機能レベルを決定し、参加する企業ごとに妥当なデバイスリソースの上限を設定するためには、エコシステムとの協力が不可欠です。新しいユースケースの認識と優先順位付けのために、エコシステムからのフィードバックをお待ちしています。

ユーザーエクスペリエンスを向上させるデベロッパーユーティリティ

ODP では、すべてのイベントがデバイスレベルでローカルに記録されるため、イベントデータの損失やモニタリングの遅延は発生しません。結合エラーはなく、すべてのイベントが特定のデバイスに関連付けられています。その結果、モニタリングされたすべてのイベントは、ユーザーの操作を反映した時系列のシーケンスを自然に形成します。

この簡素化されたプロセスにより、データの結合や再配置が不要になり、ほぼリアルタイムで、無損失なユーザーデータアクセスを行えます。これにより、エンドユーザーがデータドリブンのプロダクトやサービスを利用しているときに認識する有用性が向上し、満足度が向上し、より有意義なエクスペリエンスにつながる可能性があります。ODP を使用すると、企業はユーザーのニーズに効果的に適応できます。

プライバシーモデル: 機密性保持によるプライバシー

以降のセクションでは、このプライバシー分析のベースとしてのコンシューマー / プロデューサーモデルと、計算環境のプライバシーと出力の精度について説明します。

このプライバシー分析のベースとなるコンシューマー / プロデューサーモデル

ここでは、コンシューマー / プロデューサーモデルを使用して、機密性保持によるプライバシーの保証について検証します。このモデルの計算は、ノードとサブグラフで構成される有向非巡回グラフ（DAG）内のノードとして表されます。各計算ノードには、消費される入力、生成される出力、入力から出力への計算マッピングという 3 つのコンポーネントがあります。

コンシューマー / プロデューサーモデルを示すグラフです。 — コンシューマープロデューサーモデルを表すグラフ。このグラフには 2 つのコンピューティングノードがあります。実行順序は、Node 1 -> Node 2 です。最初にノード 1 を実行します。Input 1 と Input 2 の 2 つの初期入力を消費します。ノード 1 が出力 1 を生成します。ノード 2 はノード 1 の出力と初期入力（入力 3）を使用します。Output 2 を生成します。出力 2 は、このグラフの最終出力でもあります。

このモデルでは、プライバシー保護は次の 3 つの要素すべてに適用されます。

入力のプライバシー。ノードには 2 種類の入力があります。入力が先行ノードによって生成される場合、その先行ノードの出力プライバシー保証がすでに入力に設定されています。それ以外の場合は、ポリシーエンジンを使用して入力データの内向きポリシーをクリアする必要があります。
出力のプライバシー。出力は、差分プライバシー（DP）などの手法により、非公開化する必要がある場合があります。
計算環境の機密性保持。計算は、ノード内の中間状態にアクセスできないように、安全にシーリングした環境で実行する必要があります。これを可能にするテクノロジーには、連携コンピューティング（FC）、ハードウェアベースの高信頼実行環境（TEE）、秘匿マルチパーティ計算（sMPC）、準同型暗号化（HPE）などがあります。機密性保持によるプライバシー保護対策がされている中間状態および機密性境界外に出るすべての出力は、引き続き差分プライバシーメカニズムによって保護される必要があることに注意してください。次の 2 つのクレームが必要です。
- 環境の機密性保持。宣言された出力のみが環境から外部に出ることを保証します。
- 健全性。入力プライバシーのクレームから出力プライバシーのクレームを正確に推論できるようにします。健全性により、プライバシープロパティを DAG に伝播できます。

非公開システムでは、入力プライバシー、計算環境の機密性、出力プライバシーが維持されます。ただし、機密計算環境内にシーリングしてより多くの処理を扱うことで、差分プライバシーメカニズムの適用数を減らすことができます。

このモデルには、主に 2 つの利点があります。1 つ目は、大小のほとんどのシステムを DAG として表せることです。次に、DP の後処理 [セクション 2.1] と合成 The Complexity of Differential Privacy プロパティの定理 2.4 は、グラフ全体の（最悪のケースの）プライバシーと精度のトレードオフを分析するための強力なツールとなります。

後処理により、一度ある量が非公開化されると、元データが再び使用されない限り「非公開を解除」できないことが保証されます。ノードのすべての入力が非公開である限り、その計算に関係なく、出力は非公開になります。
高度な合成では、グラフの各部分が DP の場合、グラフ全体も同様に DP であることを保証します。グラフが κ 個のユニットを持ち、各ユニットの出力が (ε, δ)-DP であると仮定すると、グラフの最終出力の ε と δ をそれぞれ約 ε√κ で効果的に束縛します。

これらの 2 つのプロパティは、各ノードに対する次の 2 つの設計原則に変換できます。

プロパティ 1（後処理から）: ノードの入力がすべて DP の場合、その出力は DP になり、ノードで実行される任意のビジネスロジックに対応し、ビジネスの「シークレットソース」をサポートします。
プロパティ 2（高度な合成から）: ノードの入力がすべて DP とは限らない場合、その出力を DP に準拠させる必要があります。計算ノードが高信頼実行環境上で実行され、オープンソースの On-Device Personalization によって提供されるワークロードと構成を実行している場合は、より厳しい DP 境界を設定できます。それ以外の場合、On-Device Personalization では、最悪のケースの DP 境界を使用する必要があります。リソースの制約により、パブリッククラウドプロバイダが提供する高信頼実行環境が最初に優先されます。

計算環境のプライバシーと出力の精度

今後、On-Device Personalization では、機密計算環境のセキュリティを強化し、中間状態にアクセスできないようにすることに重点を置きます。シーリングと呼ばれるこのセキュリティプロセスはサブグラフレベルで適用され、複数のノードをまとめて DP に準拠させることができます。つまり、前述のプロパティ 1 とプロパティ 2 はサブグラフレベルで適用されます。

7 つのノードを持つグラフを 2 つのサブグラフと 1 つのノードに分割します。この例では、各サブグラフに 3 つのノードがあります。各サブグラフの実行が敵からシールされている場合は、サブグラフの結果である出力 3 と出力 6 のみを DP 処理する必要があります。
もちろん、最終的なグラフ出力である出力 7 は、コンポジションごとに DP されます。つまり、このグラフの DP は合計で 2 になりますが、シーリングを使用しない場合は合計 3（ローカル）DP になります。

基本的に、計算環境を保護し、攻撃者がグラフまたはサブグラフの入力と中間状態にアクセスする機会を排除することで、セントラル DP の実装が可能になります（つまり、シール環境の出力は DP に準拠します）。これにより、ローカル DP（つまり、個々の入力が DP 準拠）と比較して精度が向上します。この原則は、プライバシー技術として FC、TEE、sMPC、HPE を検討するベースとなります。『The Complexity of Differential Privacy』の第 10 章をご覧ください。

実用的な良い例は、モデルのトレーニングと推論です。以下の説明では、（1）トレーニング母集団と推論母集団が重複し、（2）機能とラベルの両方が非公開のユーザーデータを構成することを前提としています。DP はすべての入力に適用できます。

デバイス上のパーソナライズでは、ユーザーラベルや機能をサーバーに送信する前にローカル DP を適用できます。 — ローカル DP: プロパティ 1 の限定公開特徴 + 限定公開ラベル -> 限定公開モデル。（プロパティ 1）プライベートモデル + 非公開の特徴 -> 非公開の推論
オンデバイスのパーソナライズでは、ユーザーラベルと特徴をサーバーに送信する前にローカル DP を適用できます。この方法では、サーバーの実行環境やそのビジネスロジックに要件は課されません。

中央の DP:（プロパティ 2）または、特徴量とラベルの精度を維持しながら、モデルのトレーニング中に DP を適用できます。このシナリオでは、モデルのオーナーは、推論のためにモデルを別の場所に転送できます。ただし、推論中にプライバシーを維持するには、非公開モデルに入力される特徴もプロパティ 1 に従い、DP に準拠する必要があります。

トレーニングと推論をシーリングすることで推論の精度を向上させます。 — トレーニングと推論をシールすることで、推論の精度をさらに高めることができます。これにより、プライベートモデルに正確な特徴をフィードできます。

最終的な推論をシーリングします。 — さらに一歩進めて、最終的な推論を封じ込めることもできます。この場合、モデルオーナーも推論にアクセスできません。
これは現在のデバイス上のパーソナライズの設計です。

検証可能なプライバシー

On-Device Personalization は、検証可能なプライバシーを実現することを目的としています。ユーザーのデバイス外に出ると何が起こるかを検証することに重点を置いています。ODP は、エンドユーザーのデバイスから送信されるデータを処理するコードを作成し、NIST の RFC 9334 リモート認証手続き（RATS）アーキテクチャを使用して、そのようなコードが Confidential Computing Consortium 準拠のインスタンス管理者特権のないサーバーで変更されていないことを認証します。これらのコードはオープンソースとして利用でき、透明性の高い検証により信頼を構築できます。このような対策により、個人は自分のデータが保護されているという確信を得ることができ、企業はプライバシー保証の強固な基盤に基づいて評判を確立できます。

収集、保存される個人データの量を減らすことも、On-Device Personalization の重要な側面です。連携コンピューティングや差分プライバシーなどのテクノロジーを採用することで、この原則を遵守し、個人の機密情報や個人を特定できる情報を公開することなく、貴重なデータパターンを発見できます。

データ処理と共有に関連するアクティビティを記録する監査証跡を維持することは、検証可能なプライバシーのもう一つの重要な側面です。これにより、監査レポートの作成と脆弱性の特定が可能になり、プライバシーに対する Google の取り組みを如実に示します。

設計と実装の継続的な改善のため、プライバシーの専門家、機関、業界、個人に建設的なコラボレーションをお願いしています。

下のグラフは、差分プライバシーに従ったクロスデバイス集計とノイズ追加のコードパスを示しています。

連携コンピューティングサービスの構造。 — フェデレーションラーニングとフェデレーション分析の両方を処理するフェデレーションコンピューティングサービスの構造。暗号化されていないノイズのないデータは、デバイス上でのみ処理されます（赤い線）。処理結果は、転送中も保存時も暗号化してアップロードされます（青緑色の線）。複数の関係者による構成証明が成功した後、暗号化されていない未加工のデバイスの結果にアクセスできるのは、作成されたオンデバイスパーソナライズ、オープンソースのクロスデバイス集計、ノイズワークロードに限られます。高信頼実行環境内で差分プライバシーメカニズムに従ってノイズが適切に適用されると、すべてのダウンストリームデータフローの暗号化を解除できます（オレンジ色の線）。

設計の概要

機密性保持によるプライバシーを実装するにはどうすればよいでしょうか。大まかに言うと、シーリングした環境で実行される ODP によって作成されたポリシーエンジンは、各ノード / サブグラフを監視すると同時にその入力と出力の DP ステータスを追跡するコアコンポーネントとして機能します。

ポリシーエンジンの観点においては、デバイスとサーバーは同じように扱われます。同じポリシーエンジンを実行しているデバイスとサーバーは、ポリシーエンジンが相互に認証されると、論理的に同一とみなされます。
デバイスでは、AOSP の分離プロセス（または長期的には可用性が高くなった後は pKVM）によって分離が行われます。サーバーでは、分離は「信頼できる当事者」に依存します。信頼できる当事者とは、TEE にその他の技術的シーリングソリューションを追加したもの（こちらを推奨します）、または契約上の合意のいずれか、あるいはその両方です。

つまり、プラットフォームポリシーエンジンをインストールして実行するシーリングされた環境はすべて、トラステッドコンピューティングベース（TCB）の一部とみなされます。TCB では、ノイズ追加なしでデータを伝播できます。DP は、データが TCB から出るときに適用する必要があります。

On-Device Personalization の大まかな設計には、次の 2 つの重要な要素が効果的に統合されています。

ビジネスロジック実行用のペアのプロセスアーキテクチャ
データの出入り、および許可されたオペレーションを管理するためのポリシーとポリシーエンジン。

この一貫した設計により、企業は、高信頼実行環境で独自のコードを実行し、適切なポリシーチェックをクリアしたユーザーデータにアクセスできる、公平な競争の場を提供します。

以降のセクションでは、この 2 つの重要な側面について詳しく説明します。

ビジネスロジック実行用のペアのプロセスアーキテクチャ

On-Device Personalization では、AOSP にペアのプロセスアーキテクチャが導入され、ビジネスロジックの実行中にユーザーのプライバシーとデータセキュリティが強化されます。このアーキテクチャは、次の要素で構成されています。

ManagingProcess。このプロセスは、IsolatedProcess を作成および管理し、許可リストに登録された API のみにアクセスを限定し、ネットワークやディスクの権限がないプロセスレベルの分離を維持します。ManagingProcess は、すべてのビジネスデータとすべてのエンドユーザーデータを集めて、ビジネスコード用にポリシーの承認を受け、IsolatedProcesses にプッシュしてこれを実行します。さらに、IsolatedProcesses と system_server などの他のプロセスとの間のやり取りを仲介します。
IsolatedProcess。このプロセスは、分離（マニフェストの isolatedprocess=true）として指定され、ManagingProcess からビジネスデータ、ポリシーで承認されたエンドユーザーデータ、ビジネスコードを受け取ります。これにより、ビジネスコードがビジネスデータとポリシーの承認を得たエンドユーザーデータを操作できるようになります。IsolatedProcess は、入力と出力の両方で ManagingProcess とのみ通信し、追加の権限は与えられません。

ペアのプロセスアーキテクチャにより、ビジネスロジックやコードをオープンソース化しなくても、エンドユーザーデータのプライバシーポリシーの独立した検証を行えます。ManagingProcess が IsolatedProcesses の独立性を維持し、IsolatedProcess がビジネスロジックを効率的に実行することで、このアーキテクチャでは、パーソナライズ中にユーザーのプライバシーを保護するための、より安全で効率的なソリューションが保証されます。

次の図は、このペアのプロセスのアーキテクチャを示しています。

「Adopter App」を作成するエンティティは、グラフ内の「Adopter apk」を作成するエンティティと同じ場合もあれば、そうでない場合もあります。 — 「Adopter App」を作成するエンティティは、グラフ内の「Adopter apk」を作成するエンティティと同じ場合とそうでない場合があります。「Adopter apk」を作成するエンティティは、グラフ内の「Adopter Local Store」を所有するエンティティと同じです。

データ運用のためのポリシーとポリシーエンジン

On-Device Personalization では、プラットフォームとビジネスロジックの間にポリシー適用レイヤが導入されます。エンドユーザーとビジネスのコントロールを一元化された実用的なポリシー決定にマッピングする一連のツールを提供することが目的です。これらのポリシーは、フローやビジネス全体で包括的かつ確実に適用されます。

ペアのプロセスアーキテクチャでは、ポリシーエンジンは ManagingProcess 内に存在し、エンドユーザーデータとビジネスデータの出入りを監視します。また、許可リストに登録されたオペレーションを IsolatedProcess に提供します。対象となる領域の例としては、エンドユーザーコントロールの尊重、児童の保護、同意のないデータ共有の防止、ビジネスのプライバシーなどがあります。

このポリシー適用アーキテクチャは、次の 3 種類の利用可能なワークフローから構成されています。

高信頼実行環境（TEE）通信を使用したローカルで開始されるオフラインワークフロー:
- データダウンロードフロー: 信頼できるダウンロード
- データアップロードフロー: 信頼できるトランザクション
ローカルで開始されるオンラインワークフロー:
- リアルタイム提供フロー
- 推論フロー
ローカルで開始されるオフラインワークフロー:
- 最適化フロー: フェデレーションラーニング（FL）を介して実装されたオンデバイスモデルトレーニング
- レポートフロー: フェデレーション分析（FA）を介して実装されたクロスデバイス集計

次の図は、ポリシーとポリシーエンジンの観点からアーキテクチャを示しています。

ポリシーエンジンは設計の中心に位置します。例（すべての例を網羅するものではありません）:

ダウンロード: 1 -> 2 -> 4 -> 7 -> 10 -> 11 -> 3

提供: 1 + 3 -> 4 -> 6 -> 9 -> 11 -> 3

最適化: 2（トレーニング計画を提供）-> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2

レポート: 3（集計プランを提供）-> 1 + 3 -> 4 -> 5 -> 8 -> 11 -> 2

全体として、On-Device Personalization のペアのプロセスアーキテクチャにポリシー適用レイヤとポリシーエンジンを導入することで、必要なデータとオペレーションへの制御されたアクセスを提供しながら、ビジネスロジックを実行するための分離されたプライバシー保護環境を確保します。

レイヤ化された API サーフェス

On-Device Personalization は、関心のある企業に階層化された API アーキテクチャを提供します。最上位レイヤは、特定のユースケース向けに構築されたアプリケーションで構成されています。潜在的な企業は、最上位レイヤ API と呼ばれるこれらのアプリケーションにデータを接続できます。最上位レイヤ API は、中間レイヤ API 上に構築されています。

今後、最上位レイヤ API をさらに追加していく予定です。最上位レイヤ API が特定のユースケースで利用できない場合、または既存の最上位レイヤ API の柔軟性が十分でない場合、企業はプログラミングプリミティブにより柔軟性を高めることができる中間レイヤ API を直接実装できます。

まとめ

On-Device Personalization は、高い実用性をもたらすことが期待される最新かつ最高水準のテクノロジーを使用して、エンドユーザーのプライバシーに関する懸念に対処する長期的なソリューションへの関心を喚起し、フィードバックを求める初期段階の研究提案です。

Google は、プライバシーの専門家、データアナリスト、潜在的なエンドユーザーなどの関係者と連携して、ODP がニーズを満たし、懸念事項に対処できるようにしたいと考えています。