Skip to main content
QUICK REVIEW

[論文レビュー] Differentially Private Location Privacy in Practice

Vincent Primault, Sonia Ben Mokhtar|arXiv (Cornell University)|Oct 28, 2014
Privacy-Preserving Technologies in Data参考文献 20被引用数 28
ひとこと要約

この論文は、実際の移動トレースを用いて、位置プライバシーのための微分プライバシー機構であるGeo-Indistinguishabilityを評価している。強固な理論的保証にもかかわらず、研究では高い誤魔化しレベルであっても、悪意ある攻撃者は少なくとも63%のユーザーのポイント・オブ・インタレスト(POI)を再特定可能であることが判明し、位置プライバシー保護における理論と実践の間には深刻なギャップが存在することが明らかになった。

ABSTRACT

With the wide adoption of handheld devices (e.g. smartphones, tablets) a large number of location-based services (also called LBSs) have flourished providing mobile users with real-time and contextual information on the move. Accounting for the amount of location information they are given by users, these services are able to track users wherever they go and to learn sensitive information about them (e.g. their points of interest including home, work, religious or political places regularly visited). A number of solutions have been proposed in the past few years to protect users location information while still allowing them to enjoy geo-located services. Among the most robust solutions are those that apply the popular notion of differential privacy to location privacy (e.g. Geo-Indistinguishability), promising strong theoretical privacy guarantees with a bounded accuracy loss. While these theoretical guarantees are attracting, it might be difficult for end users or practitioners to assess their effectiveness in the wild. In this paper, we carry on a practical study using real mobility traces coming from two different datasets, to assess the ability of Geo-Indistinguishability to protect users' points of interest (POIs). We show that a curious LBS collecting obfuscated location information sent by mobile users is still able to infer most of the users POIs with a reasonable both geographic and semantic precision. This precision depends on the degree of obfuscation applied by Geo-Indistinguishability. Nevertheless, the latter also has an impact on the overhead incurred on mobile devices resulting in a privacy versus overhead trade-off. Finally, we show in our study that POIs constitute a quasi-identifier for mobile users and that obfuscating them using Geo-Indistinguishability is not sufficient as an attacker is able to re-identify at least 63% of them despite a high degree of obfuscation.

研究の動機と目的

  • Geo-Indistinguishabilityがユーザーの位置プライバシーを実世界で効果的に保護できるかを評価すること。
  • 微分プライバシー機構が実際の場面で、ユーザーの機微なポイント・オブ・インタレスト(POI)の再特定を防げるかどうかを評価すること。
  • プライバシー保護(誤魔かしレベル)とモバイルデバイス上のシステムオーバーヘッドのトレードオフを測定すること。
  • 誤魔かされた位置データが、攻撃者がPOIを高い地理的・意味的精度で推定できるほど十分な情報を漏洩させることを調査すること。
  • POIが微分プライバシー下でもユーザーの再特定を可能にする準識別子として機能するかどうかを特定すること。

提案手法

  • 研究は、2つの異なるデータセットから得た実際の移動トレースを用い、Geo-Indistinguishability下での位置データをシミュレートした。
  • 研究者は、微分プライバシーを保証するためにユーザーの位置にノイズを追加するGeo-Indistinguishabilityメカニズムを適用した。
  • 研究者は、誤魔かされた位置データを観測する「好奇心をもった位置ベースのサービス(LBS)」のシナリオを想定し、ユーザーの実際のPOIを推定しようとした。
  • 地理的精度(推定位置が真のPOIにどれほど近いか)と意味的精度(POIの種別が正しく特定されたか)の両方を評価した。
  • プライバシー予算(ε)の異なる水準で再特定率を測定した。εは追加されるノイズの量を制御する。
  • 誤魔かしプロセスの計算コストを測定することで、モバイルデバイス上のオーバーヘッドを定量化した。

実験結果

リサーチクエスチョン

  • RQ1好奇心をもったLBSは、微分プライバシーに基づく誤魔かされた位置データから、ユーザーのポイント・オブ・インタレスト(POI)を再特定できるか?
  • RQ2誤魔かしのレベル(プライバシー予算εによって制御される)が、攻撃者がPOIを推定する精度にどのように影響するか?
  • RQ3POIが微分プライバシー下でもユーザー再特定を可能にする準識別子として機能する程度はどの程度か?
  • RQ4プライバシー保護(誤魔かし)とモバイルデバイス上の計算オーバーヘッドのトレードオフはどのようなものか?
  • RQ5強いプライバシー保証のもとでも、推定されたPOIの意味的・地理的精度は高いままであるか?

主な発見

  • 高い誤魔かしレベルが適用されても、攻撃者は少なくとも63%のユーザーのポイント・オブ・インタレスト(POI)を再特定可能である。
  • 推定されたPOIの地理的および意味的精度は依然として高く、誤魔かされたデータが依然として顕著な情報を漏洩させていることが示された。
  • プライバシー予算(ε)は、POI推定の精度とモバイルデバイス上の計算オーバーヘッドの両方に直接的な影響を与える。
  • 強固な理論的保証があるにもかかわらず、POIの準識別子としての性質のおかげで、Geo-Indistinguishabilityは実際の場面で再特定を防げない。
  • 研究は、顕著な理論と実践のギャップを明らかにした:微分プライバシー機構は、位置データに対する実世界の推定攻撃を完全に保護しない。
  • 誤魔かしのレベルが高くなるほど、モバイルデバイス上のオーバーヘッドも増加し、プライバシーとパフォーマンスの実用的トレードオフが生じていることが示された。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。