米国商務省指令 DAO 216-26 と差分プライバシーの禁止
米国商務省指令 DAO 216-26 と差分プライバシーの禁止
DAO 216-26 は時代遅れのプライバシー手法への回帰を義務付ける
2026年6月4日、米国商務長官は指令 DAO 216-26 を発令し、すべての経済分析局(BEA)および米国国勢調査局の出版物に対する機密保護を 1970 年代初頭の統計手法に限定することを定めました。この指令は「ノイズ注入」――データセットにランダムな値を加えて個人の身元を保護するプロセス――を明示的に禁止し、開示回避手段を「粗化」(丸め、集計、範囲化)と「抑制」(最終手段としての値の削除)のみと限定しています。
この政策転換により、データの有用性とプライバシーのバランスを取る現在のゴールドスタンダードである差分プライバシーや、1990 年以降使用されているスワッピング、2002 年以降使用されている入力ノイズ注入といった最新手法が実質的に禁止されます。これらの手法は、国勢調査法(13 U.S. Code Section 9)に基づき、個人が特定できるデータの公表を犯罪とする規定を遵守しつつ、詳細な人口統計や事業データを共有するために不可欠でした。
粗化と抑制だけではプライバシー保護が不十分
粗化と抑制は、基本的な代数を用いれば回避できるため、詳細データの保護には不十分です。複数の粗化されたデータセットが公開されると、これらの集合の交差により攻撃者は正確な値を再構築でき、個人や企業を実質的に特定できてしまいます。
ケーススタディ:醸造所の例
この脆弱性を示すために、研究者は 2 つの町(ノースベンドとサウスベンド)を持つ郡のビール関連事業をシナリオとして提示しています:
- 設定:郡には 4 つの事業体が存在します――ノースベンドにある醸造所と瓶詰め会社、サウスベンドにある醸造所と瓶詰め会社です。そのうち 2 つは公的所有です。
- 粗化:国勢調査局は 5 つの統計を公表し、カテゴリを「ビール関連」に粗化したり、町別または所有者別にグループ化したりして、単一事業のデータが開示されないようにします。
- 結果:これらの善意の粗化にもかかわらず、5 つの方程式と 4 つの未知数からなるシステムは、高校レベルの代数ができれば 4 社それぞれの従業員数を正確に求めることができます。
ノイズ注入は方程式に摂動を加えることでこの正確な再構築を防ぎ、集計総計から個別の値を数学的に導き出すことを不可能にします。
政治的動機と科学的根拠の対立
シンシア・ドワーク教授らコンピュータサイエンスの指導者を含む批評家は、DAO 216-26 が科学的証拠ではなく政治的利益に基づいていると主張しています。特に、この指令はヘリテージ財団の Project 2025 と Center for Renewing America(CRA)の目標と合致しています。
CRA の解説によれば、2020 年国勢調査で差分プライバシーを使用した結果、国籍に関する質問が追加された場合でも「個人のステータスを把握することが不可能」になったとされています。差分プライバシーを禁止することで、政権は国勢調査法の下でデータをマスクする法的要件にもかかわらず、こうした個人属性をより容易に取得できるようにしようとしているのです。
データ有用性と公共の信頼への影響
最新のプライバシー手法の禁止は、以下のような連鎖的な問題を連邦統計担当者に突き付けます:
- データ有用性の低下:ノイズ注入なしで法的違反を回避するために、機関はデータを過度に粗化せざるを得ず、研究者や政策立案者にとって実用不可能になる可能性があります。
- プライバシーリスクの増大:政治的圧力により、簡単に特定できるデータが公開され、法違反と回答者のプライバシー侵害が生じます。
- 信頼の侵食:回答者が自分のデータが容易に特定されると感じれば、調査への協力意欲が低下し、いわゆる「民主主義のデータ」の質が低下します。
コミュニティの視点と議論
ゲスト投稿の著者らの科学的コンセンサスはノイズ注入が必要であるというものですが、コミュニティ内の議論はより広範な論点を提示しています:
- 実装への批判:一部の統計学者や政治学者は、2020 年国勢調査における差分プライバシーの実装が配分や選挙区割りに歪みをもたらす可能性があると批判しています。
- 法的挑戦:連邦統計に差分プライバシーを使用することが憲法に適合するかどうかについて、現在も訴訟が進行中です。
- 制度的懸念:Hacker News のコメント投稿者は、議員への働きかけの効果に懐疑的で、政治システムが企業・政治的利益に捕らわれているため、DAO 216-26 のような技術的指令はより大きな制度的問題の症状に過ぎないと指摘しています。
要約:米国商務長官は指令 DAO 216-26 を発令し、国勢調査や BEA データにおける差分プライバシーやその他の最新ノイズ注入技術を禁止しました。これにより、データの有用性と回答者の機密保持の両方が危険にさらされています。
タイトル:米国商務省指令 DAO 216-26 と差分プライバシーの禁止