差分プライバシーの20年とこれから——TPDPパネル討論を聴講して

Acompany AI Labの髙橋翼です。2026年6月1日から2日かけてボストンで開催されたTPDP (Theory and Practice of Differential Privacy）に参加してきました（私自身もポスター発表をしております）。今回のTPDPは、差分プライバシー（Differential Privacy, 以下DP）の提唱から20年を記念する特別な場でした。DPの歴史を語るうえで欠かせない研究者の方々が一堂に会していました。

本記事では、差分プライバシーの20周年を記念したパネル討論の模様について、当日の議論を論点ごとに再構成してお伝えします。

差分プライバシーは2006年にCynthia Dwork先生が提唱した、プライバシー保護の標準的な尺度・技術群です。今年でちょうど20年の節目を迎えます。奇しくも、メリル・ストリープ主演の映画「プラダを着た悪魔」も第一作の公開が2006年。20年の月日を経て、第二作が今年5月に公開されました。Dwork先生もメリル・ストリープさんも、どちらも第一線で活躍を続けておられ、その代表作がそろって20周年の節目を迎えたことになります。「プラダを着た悪魔」は実は私が一番好きな映画で、何度も繰り返し観てきました。差分プライバシーもまた、私が一番好きな理論です。これがなくては、私のキャリアを築くこともできなかったと思っています。 そんな差分プライバシーの20周年を祝い、歴史を振り返り、次の20年を描くために、豪華な登壇者のみなさんが集結しました。

登壇者

• Cynthia Dwork（Harvard University）
• Adam Smith（Boston University）
• Salil Vadhan（Harvard University）
• Jonathan Ullman（Northeastern University）

モデレーター

• Amrita Roy Chowdhury（University of Michigan, Ann Arbor）

本記事は聴講者によるメモを再構成したものです。個々の発言を特定の登壇者に帰属させる形ではなく、「パネルで挙がった論点」としてまとめています。聞き取りや理解の誤りが含まれる可能性がある点はご了承ください。

この20年を振り返って

パネルの口火を切ったのは、この20年への率直な感慨でした。DPが理論として登場した当初と比べ、アプリケーションのスケールがこれほどまでに大きくなったこと自体が驚きだ、という声が挙がりました。

象徴的だったのは、20年前との対比です。かつてプライバシー保護は、ケースバイケース、テーブルごと、手作業による匿名化処理（manual manipulation）の世界でした。データセットごとに「どの属性を、どこまで隠すか」を個別に判断していく営みです。DPはこの状況を根本から変えました。保護の手続きを場当たり的な手作業から、数学的に定式化された枠組みへと移行させたわけです。

このDPの本質的な強みとして、「何を保護したいか」を事前に列挙しなくてよい点が改めて強調されました。守るべき属性のリストを網羅的に維持する必要がなく、DPはいわばデータを守る「防御の境界線（defensive perimeter）」として機能する——という捉え方です。再現可能な主張（repeatable claims）を担保できることが、工学・研究の両面で基礎的な原則になっている、という整理もなされました。

DPの「中身」をめぐる近年の論点——εとは何か、privacy unitとは何か

一方で、DPが広く使われるようになったからこそ顕在化してきた論点も語られました。代表的なものが、ε（イプシロン）が実際には何を意味するのかという問いです。DPのプライバシー保護の強さを表すパラメータであるεですが、その具体的な意味について明確なコンセンサスは存在しない、という指摘がありました。プライバシー定義のバリエーションは数多く存在するものの、εという数値が現実に何を保証しているのかを、私たちはまだ十分に語り尽くせていない、というわけです。

あわせて、privacy unit（プライバシーの保護単位）の議論も重要だと位置づけられました。「1人のユーザー」を単位とするのか、「1レコード」を単位とするのか——保護の対象をどう定義するかは、保証の意味を大きく左右します。

こうした論点に通底するのは、標準的なプライバシーモデルから逸脱する場合には、その逸脱を明示的にし、伴うリスクを慎重に検討すべきだ、という姿勢でした。

生成AI時代のDP——楽観と懸念

議論は自然と、基盤モデル（foundation model）時代におけるDPの行方へと移りました。

ここで印象的だったのは、Dwork先生がこの時代に対して楽観的（optimistic）だった点です。その具体例として挙がったのが、GoogleのVaultGemmaでした。VaultGemmaはGoogle ResearchとGoogle DeepMindが共同で、差分プライバシーを用いて一から学習した10億パラメータのLLMです。プライバシー保護と（学習データの記憶に起因する）著作権上のリスク低減を両立させた事例として言及されました。DPのスケーリング則を提示し、「DPを前提としてもモデルは成長しうる」という予兆が見え始めている——そうした文脈での引用です。

関連して、Smith先生からはPeter Kairouz氏（Google）やGiulia Fanti先生（CMU）らの研究も重要だと挙げられました。両氏はそれぞれ連合学習やDP合成データといった、DPを大規模機械学習に組み込む研究で知られており、「DPを前提にしてもモデルは育つ」という見立てを支える流れに位置づけられます。

ただし、楽観一色だったわけではありません。最大の懸念として挙がったのは、業界が「AI競争」に急速に注力するあまり、DPの実装が後回しにされかねないという点でした。プライバシー保護が二次的な位置づけに追いやられてしまうのではないか、という危惧です。

社会に広がるAIとプライバシー

生成AIの普及は、古典的な「モザイク問題（mosaic problem）」を新たな形で深刻化させています。モザイク問題とは、散在する断片的な情報をつなぎ合わせることで、個人の姿を浮かび上がらせてしまう問題です。AIへのプロンプティングによって、こうした情報の組み立てが格段に容易になった、と指摘されました。

さらに、自動意思決定（automated decision-making）が急速に増えていることも論点になりました。こうしたシステムが社会に広がるほど、差分プライバシーのように形式的に検証可能な（formally verifiable）プライバシーの概念がいっそう必要になります。プライバシー研究は、自動化が進む世界においてますます不可欠だ、という認識が共有されました。

こうした検証可能性の要請と表裏をなすのが、産業界の不透明さでした。広告業界やLLM業界では、競争上の懸念から研究内容が公開されにくく、その不透明さに対する強い懸念が示されました。

そして、この不透明な状況に対処するうえで欠かせないのが、市民への教育だという指摘です。データがどのように収集され、利用されているのか——その実態への理解を社会全体で深めていくことが、必要な要素として挙げられました。

国勢調査（Census）における政治的な難しさ

DPの実適用として最も注目を集めてきた事例のひとつが、米国国勢調査（Census）への導入です。ここで語られたのは、技術そのものよりも、政治的な論点として議論が枠づけられてしまうという難しさでした。連邦議会での議論は、人口カウントや選挙区割り（redistricting）といった政治的関心を中心に展開されがちだ、というわけです。

技術的な懸念として、後処理（post-processing）に起因する小規模集団でのバイアスがあった点にも触れられました。ただしこれについては、ノイズ付き測定ファイル（noisy measurement file）を公開することで、将来の実装では対処しうる、という見通しが示されました。

歴史的な文脈として、Total Information Awarenessプログラムやスノーデンによる暴露が引き合いに出されました。監視と技術をめぐる社会的な議論は、決して新しいものではなく、何十年にもわたって続いてきたものだ——という視座です。

過去から未来へ

20年の研究を振り返るなかで、Ullman先生が影響を受けた論文として "The Complexity of Differential Privacy" を挙げました。これはVadhan先生が2017年に発表されたモノグラフです。

過去の学術的な仕事の見え方が、技術をめぐるメタファーの変化によって左右される、という指摘も興味深いものでした。たとえば光学メディア（optical media）になぞらえた用語が、あっという間に時代遅れになってしまう——そうした例が語られました。

最後に、DPコミュニティの未来の姿についても語られました。鍵となるのは、好奇心駆動の研究（curiosity-driven research）と、現実世界への実装（practical deployment）のバランスを保ち続けることです。

そして繰り返し強調されたのは、DPはあくまでツールであり、定式化のための設計図（blueprint）であって、あらゆるプライバシー問題を解決する唯一の解ではないという認識でした。コミュニティとして、専門性において「タイト（tight）」であると同時に、視野において「ブロード（broad）」であり続けること——それが、これからの発展に向けた姿勢として示されました。

おわりに

差分プライバシーの20年は、データセットごと・属性ごとに個別判断を重ねる匿名化の運用を、背景知識に依存しない数学的な保証へと置き換え、ビッグテックの大規模サービスから国勢調査、そして生成AIの基盤モデルへと、その適用範囲を広げてきた歩みでした。同時に、εの意味、privacy unitの定義、AI競争のなかでの位置づけ、社会的な透明性といった、次の20年に向けた課題も浮き彫りになったパネルだったと感じます。 個人的な話を少しだけ。私自身もLINEに在籍していた当時に差分プライバシーの導入に携わっていました。Acompany AI Labでも差分プライバシーを生成AIやConfidential Computing環境で活用するための技術の研究開発をスタートしたところです。こうして自分のキャリアを振り返っても、差分プライバシーは一つの技術という以上の存在です。コミュニティをなし、著名な研究者を輩出し、多くの企業で実用化されてきました。提唱から20年を経てなお、生成AIという新しい地平でその役割を問い直され続けています。次の20年、この理論がどこまで適用範囲を広げ、どんな課題に答えを出していくのか——一人の研究者として、その歩みに関わり続けられればと思います。