Privacy-Preserving Conformal Prediction Under Local Differential Privacy

要約

Conformal Prediction（CP）は、一連の候補クラスに、真のクラスを含む確率が保証されていることを提供します。
ただし、通常、クリーンラベルを備えたキャリブレーションに依存しています。
アグリゲーターが信頼されず、真のラベルの摂動バージョンのみにアクセスできるプライバシーに敏感なシナリオに対処します。
ローカル差別的プライバシー（LDP）の下で2つの補完的なアプローチを提案します。
最初のアプローチでは、ユーザーはモデルにアクセスするのではなく、K-ARYランダム化応答を使用して入力機能と摂動ラベルを提供します。
より厳格なプライバシーの制約を強制する2番目のアプローチでは、ユーザーはバイナリ検索応答によって適合スコアにノイズを追加します。
この方法では、分類モデルへのアクセスが必要ですが、両方のデータとラベルのプライバシーを保持します。
どちらのアプローチでも、真のラベルにアクセスすることなく、騒々しいデータからコンフォーマルしきい値を直接計算します。
有限サンプルのカバレッジ保証を証明し、重度のランダム化下でも堅牢なカバレッジを示します。
このアプローチは、予測的な不確実性制御を備えた強力なローカルプライバシーを統合し、ユーザーが自分のスコアを計算できる（または喜んで計算する）かどうかに関係なく、医療イメージングや大規模な言語モデルクエリなどのデリケートなアプリケーションに適しています。

要約(オリジナル)

Conformal prediction (CP) provides sets of candidate classes with a guaranteed probability of containing the true class. However, it typically relies on a calibration set with clean labels. We address privacy-sensitive scenarios where the aggregator is untrusted and can only access a perturbed version of the true labels. We propose two complementary approaches under local differential privacy (LDP). In the first approach, users do not access the model but instead provide their input features and a perturbed label using a k-ary randomized response. In the second approach, which enforces stricter privacy constraints, users add noise to their conformity score by binary search response. This method requires access to the classification model but preserves both data and label privacy. Both approaches compute the conformal threshold directly from noisy data without accessing the true labels. We prove finite-sample coverage guarantees and demonstrate robust coverage even under severe randomization. This approach unifies strong local privacy with predictive uncertainty control, making it well-suited for sensitive applications such as medical imaging or large language model queries, regardless of whether users can (or are willing to) compute their own scores.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google