Skip to main content
Nubint
QUICK REVIEW

[論文レビュー] Google COVID-19 Community Mobility Reports: Anonymization Process Description (version 1.1)

Ahmet Aktay, Shailesh Bavadekar|arXiv (Cornell University)|Apr 8, 2020
Data-Driven Disease Surveillance被引用数 158
ひとこと要約

この論文は、GoogleのCOVID-19 Community Mobility Reportsを生成する際に用いられる匿名化と差分プライバシーの方法を説明しており、ノイズ追加、寄与の境界、ベースライン、データ信頼性フィルターを含む。

ABSTRACT

This document describes the aggregation and anonymization process applied to the initial version of Google COVID-19 Community Mobility Reports (published at http://google.com/covid19/mobility on April 2, 2020), a publicly available resource intended to help public health authorities understand what has changed in response to work-from-home, shelter-in-place, and other recommended policies aimed at flattening the curve of the COVID-19 pandemic. Our anonymization process is designed to ensure that no personal data, including an individual's location, movement, or contacts, can be derived from the resulting metrics. The high-level description of the procedure is as follows: we first generate a set of anonymized metrics from the data of Google users who opted in to Location History. Then, we compute percentage changes of these metrics from a baseline based on the historical part of the anonymized metrics. We then discard a subset which does not meet our bar for statistical reliability, and release the rest publicly in a format that compares the result to the private baseline.

研究の動機と目的

  • Location Historyデータから匿名化指標がどのように生成されるかを説明する。
  • 使用された差分プライバシー機構とノイズスケールを説明する。
  • 公表指標のデータ信頼性基準と領域サイズの制約を定義する。
  • ベースラインの計算とパーセンテージ変化の報告を説明する。
  • 精度とプライバシーバジェットの管理の時間的更新について論じる。

提案手法

  • ラプラスノイズを各指標のカウントと継続時間に追加するため、オープンソースの差分プライバシーライブラリを使用する。
  • 1日あたりの地理レベルごとに、ユーザーあたりの寄与を最大4つの(カテゴリ、場所)ペアに制限する。
  • 日次指標とベースライン指標を差分プライバシーで計算し、ベースラインに対する百分率変化を公表する。
  • 3km^2未満の地域やノイジーなユーザーカウントが100未満の指標を破棄する。
  • 平日と一致する日を用いた5週間の固定ベースラインを計算し、プライバシー保証(εベース)を伴う比率指標を公表する。
  • ±10ポイント超の誤差リスクが高い変化を抑制する信頼性の低い指標フィルターを提供する。

実験結果

リサーチクエスチョン

  • RQ1Googleは個人のプライバシーを保護しつつ、どのように集計モビリティ指標を公開できるか。
  • RQ2異なる地理的粒度で使用されるノイズスケール、プライバシーパラメータ、そして1人当たりの寄与制限は何か。
  • RQ3パーセンテージ変化報告のベースラインがどのように構築され、適用されるか。
  • RQ4指標が公開に値する信頼性を持つと判断される基準は何か。

主な発見

  • 指標は、国・地域、トップレベルの区分、より高解像度の地域という複数の粒度レベルで、ラプラスノイズを用いた差分プライバシーで生成される。
  • 1日あたり地理レベルごとに最大4つのカテゴリ-場所ペアの寄与を制限してプライバシーリスクを緩和する。
  • 3 km^2未満の地域やノイズの多いカウントが100未満の地域は、プライバシーとデータ品質を保つために破棄される。
  • ベースライン計算は、平日が一致する日を含む固定の5週間ウィンドウを使用し、それらの日のDP指標の中央値を用いる。
  • 信頼性不足指標フィルターは、97.5%信頼区間が全体で5%を超える高い誤差リスクを示す変化を抑制する。
  • 本手法は、述べられた指標について δ = 0 の ε-差分プライバシーである。

より良い研究を、今すぐ始めましょう

論文設計から論文執筆まで、研究時間を劇的に削減しましょう。

クレジットカード登録不要

このレビューはAIが作成し、人間の編集者が確認しました。