特許 7290606 機械学習装置、機械学習方法及び機械学習プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2023-06-05

(45)【発行日】2023-06-13

(54)【発明の名称】機械学習装置、機械学習方法及び機械学習プログラム

(51)【国際特許分類】

   G06N 20/00 20190101AFI20230606BHJP

【ＦＩ】

G06N20/00

【請求項の数】 5

(21)【出願番号】P 2020099778

(22)【出願日】2020-06-09

(65)【公開番号】P2021193533

(43)【公開日】2021-12-23

【審査請求日】2022-06-07

(73)【特許権者】

【識別番号】000208891

【氏名又は名称】ＫＤＤＩ株式会社

(74)【代理人】

【識別番号】100106002

【弁理士】

【氏名又は名称】正林 真之

(74)【代理人】

【識別番号】100120891

【弁理士】

【氏名又は名称】林 一好

(72)【発明者】

【氏名】披田野 清良

(72)【発明者】

【氏名】清本 晋作

【審査官】金田 孝之

(56)【参考文献】

【文献】国際公開第２０１７／０９０１９４（ＷＯ，Ａ１）

【文献】特開２０１９－１０１４８５（ＪＰ，Ａ）

【文献】Nicolas Papernot et al.，Semi-supervised Knowledge Transfer for DeepLearning from Private Training Data，arXiv:1610.05755v4，2017年03月，<URL: https://arxiv.org/abs/1610.05755>

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０６Ｎ ３／００－９９／００

(57)【特許請求の範囲】

【請求項1】

機械学習モデルの訓練データを、プライベートなデータを含む第１の集合、及びプライベートなデータを含まない第２の集合に分割するデータ分割部と、
前記第１の集合を用いて前記機械学習モデルを学習する第１学習部と、
前記第１学習部により学習された前記機械学習モデルを、入力側モデルと出力側モデルとに分割するモデル分割部と、
前記出力側モデルを、前記第２の集合のタスクに適合した形式の初期モデルに置き換えるモデル置換部と、
前記第２の集合を用いて、前記機械学習モデルのうち、少なくとも前記初期モデルを含む部分を学習する第２学習部と、を備える機械学習装置。

【請求項2】

前記第２学習部は、前記機械学習モデルの全体を更新する請求項１に記載の機械学習装置。

【請求項3】

前記データ分割部は、プライベートなデータのみで前記第１の集合を構成する請求項１又は請求項２に記載の機械学習装置。

【請求項4】

機械学習モデルの訓練データを、プライベートなデータを含む第１の集合、及びプライベートなデータを含まない第２の集合に分割するデータ分割ステップと、
前記第１の集合を用いて前記機械学習モデルを学習する第１学習ステップと、
前記第１学習ステップにおいて学習された前記機械学習モデルを、入力側モデルと出力側モデルとに分割するモデル分割ステップと、
前記出力側モデルを、前記第２の集合のタスクに適合した形式の初期モデルに置き換えるモデル置換ステップと、
前記第２の集合を用いて、前記機械学習モデルのうち、少なくとも前記初期モデルを含む部分を学習する第２学習ステップと、をコンピュータが実行する機械学習方法。

【請求項5】

請求項１から請求項３のいずれかに記載の機械学習装置としてコンピュータを機能させるための機械学習プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、プライバシを保護する機械学習装置、機械学習方法及び機械学習プログラムに関する。

【背景技術】

【0002】

従来、機械学習のプライバシに関する脅威として、学習済みモデルの出力から訓練データを推測する攻撃がある。代表的な攻撃としては、訓練データそのものを復元するモデルインバージョン攻撃や、あるデータが訓練データに含まれていたかどうかを推定するメンバシップインファレンス攻撃がある（例えば、非特許文献１参照）。

【0003】

メンバシップインファレンス攻撃の概念に基づき定義されたメンバシッププライバシは、機械学習のプライバシに関する最も強い安全性の定義である。本概念では、学習済みモデルの出力が訓練データとテストデータとで同じ場合、あるデータが訓練データに入っていたかどうかを推定できないため、このモデルはメンバシッププライバシを満たすという。

【先行技術文献】

【非特許文献】

【0004】

【文献】S. Reza, et al., “Membership Inference Attacks Against Machine Learning Models,” IEEE S&P 2017.

【発明の概要】

【発明が解決しようとする課題】

【0005】

しかしながら、一般的な学習方法では、機械学習モデルを完全に汎化することが難しく、訓練データとテストデータとで出力される予測値（確率）に乖離が生じるため、メンバシッププライバシを達成することはできなかった。

【0006】

訓練データからプライベートなデータを除外すれば、たとえ出力から訓練データの情報が漏洩したとしても、メンバシッププライバシは問題とならない。しかしながら、プライベートなデータが訓練データの大多数を占める場合、プライベートなデータを除外することで全体のデータ数が大幅に減少する。この場合、学習済みモデルの性能が大幅に低下する。このため、モデルの性能を低下させずに、プライベートなデータを除外する方法が必要となる。

【0007】

本発明は、プライベートなデータを含むデータ集合から、プライバシを保護しつつ、十分な性能を持つ学習済みモデルを作成できる機械学習装置、機械学習方法及び機械学習プログラムを提供することを目的とする。

【課題を解決するための手段】

【0008】

本発明に係る機械学習装置は、機械学習モデルの訓練データを、プライベートなデータを含む第１の集合、及びプライベートなデータを含まない第２の集合に分割するデータ分割部と、前記第１の集合を用いて前記機械学習モデルを学習する第１学習部と、前記第１学習部により学習された前記機械学習モデルを、入力側モデルと出力側モデルとに分割するモデル分割部と、前記出力側モデルを、前記第２の集合のタスクに適合した形式の初期モデルに置き換えるモデル置換部と、前記第２の集合を用いて、前記機械学習モデルのうち、少なくとも前記初期モデルを含む部分を学習する第２学習部と、を備える。

【0009】

前記第２学習部は、前記機械学習モデルの全体を更新してもよい。

【0010】

前記データ分割部は、プライベートなデータのみで前記第１の集合を構成してもよい。

【0011】

本発明に係る機械学習方法は、機械学習モデルの訓練データを、プライベートなデータを含む第１の集合、及びプライベートなデータを含まない第２の集合に分割するデータ分割ステップと、前記第１の集合を用いて前記機械学習モデルを学習する第１学習ステップと、前記第１学習ステップにおいて学習された前記機械学習モデルを、入力側モデルと出力側モデルとに分割するモデル分割ステップと、前記出力側モデルを、前記第２の集合のタスクに適合した形式の初期モデルに置き換えるモデル置換ステップと、前記第２の集合を用いて、前記機械学習モデルのうち、少なくとも前記初期モデルを含む部分を学習する第２学習ステップと、をコンピュータが実行する。

【0012】

本発明に係る機械学習プログラムは、前記機械学習装置としてコンピュータを機能させるためのものである。

【発明の効果】

【0013】

本発明によれば、プライベートなデータを含むデータ集合から、プライバシを保護しつつ、十分な性能を持つ学習済みモデルを作成できる。

【図面の簡単な説明】

【0014】

【図1】実施形態における機械学習装置の機能構成を示す図である。

【図2】実施形態における機械学習方法を説明する概念図である。

【図3】実施形態における機械学習方法の流れを示すフローチャートである。

【発明を実施するための形態】

【0015】

以下、本発明の実施形態の一例について説明する。
本実施形態では、機械学習のためにｎ個のデータからなる訓練データの集合Ｄが用意されているものとする。各データｘには、データが分類されたクラスを表すラベルｙが付与されている。機械学習では、データｘとラベルｙとを関連付けるモデルｆが学習される。

【0016】

ここで、あるデータｘが与えられたときに、攻撃者はｘをモデルｆに入力し、出力ｆ（ｘ）を得る。このとき、攻撃者がｆ（ｘ）に基づいてデータｘがモデルｆの訓練データに含まれていたかどうかを推定することが難しい場合、モデルｆは、メンバシッププライバシが満たされているという。

【0017】

訓練データの集合Ｄには、プライベートなデータが含まれているため、本実施形態では、プライバシ保護のため、プライベートな情報を含まないデータを分類するための機械学習モデルを生成する。
このとき、本実施形態の機械学習方法では、学習済みモデルの分類性能を維持するために、プライベートな情報を含むデータ集合も学習に用いつつ、転移学習の手法を適用することで、このデータ集合に基づく訓練データとテストデータとの間での出力の乖離を消失させる。

【0018】

図１は、本実施形態における機械学習装置１の機能構成を示す図である。
機械学習装置１は、サーバ装置又はパーソナルコンピュータ等の情報処理装置（コンピュータ）であり、制御部１０及び記憶部２０の他、各種データの入出力デバイス及び通信デバイス等を備える。

【0019】

制御部１０は、機械学習装置１の全体を制御する部分であり、記憶部２０に記憶された各種プログラムを適宜読み出して実行することにより、本実施形態における各機能を実現する。制御部１０は、ＣＰＵであってよい。

【0020】

記憶部２０は、ハードウェア群を機械学習装置１として機能させるための各種プログラム、及び各種データ等の記憶領域であり、ＲＯＭ、ＲＡＭ、フラッシュメモリ又はハードディスクドライブ（ＨＤＤ）等であってよい。具体的には、記憶部２０は、本実施形態の各機能を制御部１０に実行させるためのプログラム（機械学習プログラム）、及び機械学習モデル、訓練データ等を記憶する。

【0021】

制御部１０は、データ分割部１１と、第１学習部１２と、モデル分割部１３と、モデル置換部１４と、第２学習部１５とを備える。

【0022】

データ分割部１１は、機械学習モデルの訓練データ集合Ｄを、プライベートなデータを含む第１の集合Ｄ_１、及びプライベートなデータを含まない第２の集合Ｄ_２に分割する。
データ分割部１１は、プライベートなデータのみで第１の集合Ｄ_１を構成してもよいが、第１の集合Ｄ_１には、プライベートでないデータが含まれてもよい。
また、分割の条件としてラベルｙに関する制約はないものとする。

【0023】

第１学習部１２は、第１の集合Ｄ_１を訓練データとして用い、機械学習モデルを学習する。
このとき、機械学習モデルのパラメータは、第１の集合Ｄ_１に含まれるラベルｙに応じた出力となるように設計される。

【0024】

モデル分割部１３は、第１学習部１２により学習された機械学習モデルを、入力側モデルＡと出力側モデルＢ_１とに分割する。
なお、複数レイヤで構成された機械学習モデルの分割箇所は、モデルによる分類タスクに応じて適宜決定されてよい。

【0025】

モデル置換部１４は、分割された出力側モデルＢ_１を、第２の集合Ｄ_２のタスクに適合した形式の初期モデルＢ_２に置き換える。
なお、第１の集合Ｄ_１と第２の集合Ｄ_２とは、分類のタスクが異なっていてよく、第２の集合Ｄ_２に付与されているラベルｙに応じた出力となるように初期モデルＢ_２のパラメータが設計される。
すなわち、Ｂ_１とＢ_２とは、同じ形式でなくてよく、例えば、ニューラルネットワークにおけるユニットの数や、分類クラスの数等、構造が異なっていてよい。

【0026】

第２学習部１５は、第２の集合Ｄ_２を訓練データとして用い、機械学習モデルのうち、少なくとも初期モデルＢ_２を含む部分を学習する。
このとき、第２学習部１５は、機械学習モデルの全体（Ａ＋Ｂ_２）を更新してもよいし、初期モデルＢ_２のみを更新してもよい。

【0027】

図２は、本実施形態における機械学習方法を説明する概念図である。
訓練データの集合Ｄを分割して、プライベートなデータを含む第１の集合Ｄ_１と、プライベートなデータを含まない第２の集合Ｄ_２とが与えられると、まず、第１の集合を用いて、モデルｆ_１が学習される。
学習済みモデルｆ_１は、Ｄ_１に含まれているラベル（例えばａ，ｂ，ｃ）に応じた予測値を出力する。

【0028】

次に、モデルｆ_１は、入力に近い前半部分（Ａ）と出力に近い後半部分（Ｂ_１）とに分割され、転移学習の手順にしたがって、後半部分がＢ_１からＢ_２に置き換えられる。
このとき、モデルＢ_２は、第２の集合Ｄ_２のタスクに合わせて初期化され、モデルｆ_２は、Ｄ_２に含まれているラベル（例えばｃ，ｄ，ｅ）に応じた予測値を出力する。

【0029】

続いて、モデルｆ_２は、第２の集合Ｄ_２を用いて学習され、少なくとも後半部分（Ｂ_２）が更新される。

【0030】

図３は、本実施形態における機械学習方法の流れを示すフローチャートである。
ステップＳ１において、データ分割部１１は、訓練データの集合Ｄを、プライベートなデータを含む第１の集合Ｄ_１と、プライベートなデータを含まない第２の集合Ｄ_２とに分割する。

【0031】

ステップＳ２において、第１学習部１２は、第１の集合Ｄ_１を訓練データとして用い、Ｄ_１に含まれているデータのクラスを分類するための複数のレイヤからなるモデルｆ_１を学習する。

【0032】

ステップＳ３において、モデル分割部１３は、学習したモデルｆ_１を２つのモデルに分割し、入力に近い側の前半部のモデルをＡ、出力に近い側の後半部のモデルをＢ_１とする。

【0033】

ステップＳ４において、モデル置換部１４は、学習済みモデルｆ_１の前半部のモデルＡに繋げて、第２の集合Ｄ_２に含まれているデータのクラスを分類するための後半部のモデルＢ_２を作成し、モデルｆ_２を初期化する。

【0034】

ステップＳ５において、第２学習部１５は、第２の集合Ｄ_２を訓練データとして用い、Ｄ_２に含まれているデータのクラスを分類するためのモデルｆ_２を更新する。なお、第２学習部１５は、Ａを更新せずにＢ_２のみを更新してもよいし、Ａ及びＢ_２の両方を更新してもよい。

【0035】

本実施形態によれば、機械学習装置１は、訓練データＤを、プライベートなデータを含む第１の集合Ｄ_１、及びプライベートなデータを含まない第２の集合Ｄ_２に分割する。そして、機械学習装置１は、第１の集合Ｄ_１を用いて機械学習モデルを学習した後、入力側のモデルＡのみを転移させ、出力側モデルＢ_１を第２の集合Ｄ_２のタスクに適合した形式の初期モデルＢ_２に置き換えてからＤ_２を用いて更新する。

【0036】

これにより、モデルｆ_２の出力はプライベートなデータを含まない第２の集合Ｄ_２のみに依存し、プライベートなデータを含む第１の集合Ｄ_１についての訓練データとテストデータとの差は消失する。この結果、モデルｆ_２の出力からプライベートなデータが訓練データに含まれていたことを推定できなくなる。
また、モデルｆ_２の入力に近い部分（Ａ）はプライベートなデータを含む第１の集合を用いて学習されたため、データ集合Ｄ全体の傾向を反映したものであり、特徴抽出が十分に行われ学習済みモデルｆ_２の性能は保たれる。
したがって、機械学習装置１は、転移学習の手法を応用することで、プライベートなデータを含むデータ集合から、プライバシを保護しつつ、十分な性能を持つ学習済みモデルを作成できる。

【0037】

機械学習装置１は、プライベートなデータを含まない第２の集合Ｄ_２を用いて機械学習モデルの全体（Ａ＋Ｂ_２）を更新してもよい。
これにより、プライベートなデータを含まない第２の集合Ｄ_２の特徴も含めて前半部分（Ａ）が学習され、学習済みモデルの性能の向上が期待できる。

【0038】

機械学習装置１は、プライベートなデータのみで第１の集合を構成することにより、プライベートなデータが多数の場合に、プライベートなデータを含まない第２の集合Ｄ_２のデータ量を最大化でき、学習済みモデルの性能低下を抑制できる。

【0039】

以上、本発明の実施形態について説明したが、本発明は前述した実施形態に限るものではない。また、前述した実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、実施形態に記載されたものに限定されるものではない。

【0040】

機械学習装置１による機械学習方法は、ソフトウェアにより実現される。ソフトウェアによって実現される場合には、このソフトウェアを構成するプログラムが、情報処理装置（コンピュータ）にインストールされる。また、これらのプログラムは、ＣＤ－ＲＯＭのようなリムーバブルメディアに記録されてユーザに配布されてもよいし、ネットワークを介してユーザのコンピュータにダウンロードされることにより配布されてもよい。さらに、これらのプログラムは、ダウンロードされることなくネットワークを介したＷｅｂサービスとしてユーザのコンピュータに提供されてもよい。

【符号の説明】

【0041】

１ 機械学習装置
１０ 制御部
１１ データ分割部
１２ 第１学習部
１３ モデル分割部
１４ モデル置換部
１５ 第２学習部
２０ 記憶部

【図1】

【図2】

【図3】