要旨: GDPRのような規制枠組みは、たとえ生データや学習済みモデルを公開できない場合でも、ML予測には事後的な説明を伴うことをますます要求しています。差分プライバシー(DP)は、これらの説明を公開することによる残余のプライバシーリスクを低減する標準的な手法です。私たちはDPが十分ではないことを示します。DPで摂動されたGNNの説明だけを観測する攻撃者は、高い精度で隠されたグラフ構造を再構築できます。私たちの攻撃PRIVXは、ガウスDPメカニズムが既知のノイズ水準{}({})における単一のDDPM前向きステップであるという事実を利用し、再構築を、破損した信号に条件付けられた逆拡散として再定式化します。これは、既知のDPによる破損に対する原理的なベイズ型のデノイザーです。私たちは、(M, {}, {}, S, { ho})によってパラメータ化された階層化された攻撃者モデルを形式化し、無知の攻撃者とオラクル攻撃者の間を補間することにより、再構築のAUCに対して両側の端点一致境界を導出します。実務者向けに、説明器の選択に関するレジーム別の指針を提示します。同質性(ホモフィリック)なグラフでは、近傍を集約する説明器(GraphLIME、GNNExplainer)は、同じDP予算のもとで個々のノードの勾配に基づく説明器よりも、より多くの構造を漏えいします。一方、強い異質性(ヘテロフィリック)のグラフでは順序が逆転します。さらに、拡散バックボーンを同様に共有する補助的な診断手法PRIVFを導入し、漏えいを説明器が誘発した成分と、本質的なグラフ分布に由来する成分に分解します。7つのベンチマーク、3つのDPメカニズム、3つのGNNバックボーンにまたがる実験の結果、PRIVXは{} = 5において7つのデータセット中5つでAUC 0.7を超え、攻撃は通常導入されているプライバシー予算の範囲内で良好に成功することが示されました。
差分プライバシー付きGNN説明からのグラフ再構成
arXiv cs.LG / 2026/5/6
📰 ニュースSignals & Early TrendsIdeas & Deep AnalysisModels & Research
要点
- この論文は、差分プライバシー(DP)だけではGNNの事後説明を保護できないと主張しており、DPで摂動を与えた説明を観測する攻撃者が隠れたグラフ構造を高精度で再構成できることを示しています。
- 攻撃手法PRIVXを提案し、既知のガウスDPノイズ機構を利用して再構成をリバース拡散(破損信号に条件付けされたベイズ的デノイザ)として定式化しています。
- 障害物の有無が異なる攻撃者モデル(無知型〜オラクル型までを補間する階層化モデル)を定義し、再構成AUCに関する両側のエンドポイント整合的な境界を導出しています。
- 実務的な指針として、同一のDP予算下では同質性(ホモフィリー)の強いグラフで近傍集約型の説明手法(GraphLIME、GNNExplainerなど)が、ノードごとの勾配ベース説明よりもより多くの構造情報を漏らしやすく、異質性(ヘテロフィリー)の強いグラフでは順序が逆転し得ると述べています。
- さらに、PRIVFという補助的診断を導入し、漏えいが説明手法の設計由来かグラフ分布の本質的性質由来かを分解するのに役立てます。複数のベンチマーク、DP機構、GNNバックボーンで実験的に攻撃の有効性が確認されています。
