核心概念
DP-SGDのプライバシー保証は、バッチサンプリングの方法によって大きく異なる。シャッフルベースのDP-SGDは実装では一般的だが、プライバシー分析が難しく、一方ポアソンサブサンプリングベースのDP-SGDは分析が容易だが実装が難しい。この差異により、ポアソンサブサンプリングのプライバシー分析を用いてシャッフルベースのDP-SGDのプライバシーを報告することは、大幅な過小評価につながる可能性がある。
要約
本論文では、適応的バッチ線形クエリ (ABLQ) メカニズムにおいて、異なるバッチサンプリング手法 (決定論的バッチ、ポアソンサブサンプリング、シャッフル) を使用した場合のプライバシー保証の違いを分析している。
まず、決定論的バッチ (D) を使用したABLQDは、シャッフルバッチ (S) を使用したABLQSよりも常に弱いプライバシー保証を持つことを示した。
次に、ABLQD とABLQPの比較では、小さなεでは ABLQP のほうが強いプライバシー保証を持つが、大きなεでは ABLQD のほうが強いプライバシー保証を持つことを示した。
最後に、ABLQS とABLQPの比較では、十分大きなεでは ABLQS のほうが強いプライバシー保証を持つが、小さなεでは ABLQS のほうが大幅に弱いプライバシー保証しか持たない可能性があることを示した。
これらの結果から、DP-SGDのプライバシー保証を報告する際は、正しいバッチサンプリング手法に基づいた分析を行う必要があり、ポアソンサブサンプリングベースの分析を用いるのは適切ではない可能性があることが分かる。
統計
ε = 4のとき、決定論的バッチ (D) では δD(4) ≈ 0.244、ポアソンサブサンプリング (P) では δP(4) ≤ 1.18 × 10^-5、シャッフルバッチ (S) では δS(4) ≥ 0.226
ε = 12のとき、シャッフルバッチ (S) では δS(12) ≥ 7.5 × 10^-5、ポアソンサブサンプリング (P) では δP(4) ≤ 1.18 × 10^-5