An Examination of the Alleged Privacy Threats of Confidence-Ranked Reconstruction of Census Microdata

要約

再構成攻撃の脅威が疑われるため、米国国勢調査局 (USCB) は、2020 年 10 年ごとの国勢調査で、順位交換に基づく従来の統計開示制限を差分プライバシー (DP) に基づく制限に置き換えました。
これにより、発表された統計の精度が大幅に失われています。
さらに悪いことに、DP に移行するための議論として使用された再構成攻撃は、回答者の明確な再特定を許可することからはほど遠いことが示されています。一般に、公開された統計と一致する再構成が多数あるためです。
ごく最近の論文では、新しい再構成攻撃が提案されており、その目的は、再構成された記録が元の回答者のデータに含まれていたという信頼性を示すことです。
このような信頼度に基づく再構築に伴う重大な情報開示のリスクが疑われるため、USCB は DP ベースのソリューションを使用することに改めて関心を持っています。
これらのソリューションの採用によって生じる将来のデータリリースでの潜在的な精度損失を未然に防ぐために、この論文では、提案されている信頼ランク付けされた再構成がプライバシーを脅かすものではないことを示します。
具体的には、提案されたランキングは再識別攻撃や属性開示攻撃を導くことができず、したがって USCB の DP への動きを正当化できないことを示す実証結果を報告します。
さらに、国勢調査データが編集、処理、公開される方法のせいで、どのような方法論を使ってもオリジナルの完全な記録を再構成することは不可能であり、信頼度ランク付けされた再構成は国勢調査を正確に再構成するのにまったく効果がないだけでなく、国勢調査データを正確に再構成することもできないことも示しています。
しかし、公表された集計統計を適切に解釈すれば、それをわずかに上回るパフォーマンスを示します。

要約(オリジナル)

The alleged threat of reconstruction attacks has led the U.S. Census Bureau (USCB) to replace in the Decennial Census 2020 the traditional statistical disclosure limitation based on rank swapping with one based on differential privacy (DP). This has resulted in substantial accuracy loss of the released statistics. Worse yet, it has been shown that the reconstruction attacks used as an argument to move to DP are very far from allowing unequivocal reidentification of the respondents, because in general there are a lot of reconstructions compatible with the released statistics. In a very recent paper, a new reconstruction attack has been proposed, whose goal is to indicate the confidence that a reconstructed record was in the original respondent data. The alleged risk of serious disclosure entailed by such confidence-ranked reconstruction has renewed the interest of the USCB to use DP-based solutions. To forestall the potential accuracy loss in future data releases resulting from adoption of these solutions, we show in this paper that the proposed confidence-ranked reconstruction does not threaten privacy. Specifically, we report empirical results showing that the proposed ranking cannot guide reidentification or attribute disclosure attacks, and hence it fails to warrant the USCB’s move towards DP. Further, we also demonstrate that, due to the way the Census data are compiled, processed and released, it is not possible to reconstruct original and complete records through any methodology, and the confidence-ranked reconstruction not only is completely ineffective at accurately reconstructing Census records but is trivially outperformed by an adequate interpretation of the released aggregate statistics.

arxiv情報

提供元, 利用サービス

arxiv.jp, Google