概要: 凍結された視覚埋め込み(例:CLIP、DINOv2/v3、SSCD)は、検索・照合および完全性(インテグリティ)システムを支えていますが、顔を含むデータへの利用は、未測定のアイデンティティ漏えい(identity leakage)と、展開可能な対策の欠如によって制約されています。私たちは攻撃者を想定した観点から検討し、次を貢献します:(i)オープンセット検証を低い誤受理率で報告する、視覚埋め込みのベンチマーク、較正された拡散(diffusion)ベースのテンプレート反転チェック、そして等面積摂動による顔コンテキストの帰属分析;および(ii)推定されたアイデンティティ部分空間を除去しつつ、有用性のために必要な補完空間を保持するワンショットの線形プロジェクタを提案します。これを簡潔に、アイデンティティ・サニタイズ・プロジェクション(Identity Sanitization Projection, ISP)と呼びます。CelebA-20とVGGFace2において、これらのエンコーダはオープンセットの線形プローブ下で頑健であることを示します。具体的には、CLIPはDINOv2/v3およびSSCDよりも比較的高い漏えいを示し、テンプレート反転に対して頑健であり、かつコンテキスト優勢です。さらに、ISPが線形アクセスをほぼ偶然の水準(near-chance)まで押し下げる一方で、高い非生体(non-biometric)の有用性を維持し、データセット間で軽微な劣化を伴って転移できることを示します。本研究は、非FRエンコーダに対する最初の攻撃者を較正した顔面プライバシー監査を確立し、線形部分空間の除去によって強いプライバシー保証を実現しつつ、視覚検索・照合のための有用性を保持できることを実証します。
測定から低減へ:線形部分空間除去による画像表現エンコーダにおけるアイデンティティ・リーケージの定量化と削減
arXiv cs.CV / 2026/4/8
📰 ニュースSignals & Early TrendsIdeas & Deep AnalysisModels & Research
要点
- 本論文は、凍結済みの視覚画像エンコーダ(例:CLIP、DINOv2/v3、SSCD)を顔を含むデータに適用する際のアイデンティティ・リーケージのリスクを調査し、現状の実務には、測定可能で実運用に適した低減策が欠けていると主張する。
- 攻撃者を前提にしたベンチマークを導入する。このベンチマークには、低い誤受理率でのオープンセット検証、校正(キャリブレーション)された拡散モデルによるテンプレート反転の確認、等面積(equal-area)摂動による顔コンテキストの帰属(attribution)が含まれる。
- 著者らは、推定したアイデンティティ部分空間を除去しつつ、残りの特徴空間を保持して下流タスクの有用性を維持する、一回限りの線形「アイデンティティ・サニタization投影」(ISP)を提案する。
- CelebA-20およびVGGFace2での実験により、リーケージはエンコーダによって異なり(CLIPはDINOv2/v3およびSSCDより高い)、テンプレート反転に対して性能は頑健であり、ISPは線形アクセスによる近い偶然(near-chance)への低減を達成しつつ、高い非生体(非バイオメトリクス)的有用性は維持できることが示される。
- 本手法はデータセットをまたいで伝搬し、劣化は軽微であると報告されており、著者らはこれを「非顔認識(FR)エンコーダに対する初の攻撃者校正済みフェイシャル・プライバシー監査」と位置づけている。
