米国の個人情報保護の非常事態
(scottaaronson.blog)- 2026年6月4日、米国商務省の DAO 216-26 指令は、BEA と U.S. Census Bureau の公開統計保護方式を1970年代式の手法へと巻き戻し、細分化された公共データの有用性と回答者保護の両方を揺るがしかねない
- この指令は 差分プライバシー(differential privacy) やノイズ注入のような現代的な公開制限手法を禁止し、丸め・集計・範囲化のような coarsening と、最後の手段としての suppression のみを許容する
- County Business Patterns の醸造所の例は、単純な coarsening が産業・地域統計を役に立たなくしうること、あるいは複数の集計値を組み合わせると高校レベルの代数で個別事業者の値を再構成できることを示している
- Census Act は、特定の個人や事業者が提供したデータが識別される形での公開を犯罪と定めており、国勢調査の回答率と連邦統計への信頼は 機密性の保証 に大きく依存している
- プライバシー保護手法をめぐる科学コミュニティ内部の見解の相違とは別に、連邦統計機関の専門家ではなく政治的アクターが手法選択を一方的に禁止するアプローチは拒否されるべきである
DAO 216-26 が変えた公開統計の機密保護
- 2026年6月4日、米国商務長官は DAO 216-26 を発令し、BEA と U.S. Census Bureau のすべての公開物で使用できる 機密保護手法 を制限した
- この指令は、公開統計保護の手段を1970年代初頭の手法へと戻し、半世紀以上にわたって続いてきたデータ主体保護と方法論の発展を後退させる
- 機密性保護技術の発展のおかげで、Census Bureau はより多くのデータをより細かな水準で共有できていた
- その結果、統計の有用性が低下したり、公開可能な統計数が減ったり、保護水準が弱まったりする可能性がある
政治的背景と法的衝突
- DAO 216-26 の背景には、科学的妥当性 よりも政治的利害が強く働いている
- この指令は、法的に必要な行政手続きを迂回したという批判を受けている
- Heritage Foundation の Project 2025 設計者たちがした約束を実行し、OMB Director Russell Vought が設立した Center for Renewing America(CRA)のレトリックと誤解を反映している
- CRA の 2020 Census 差分プライバシー説明文は、「citizenship question が Census に追加されたとしても、differential privacy が使われている限り個人の状態を確認することは不可能だ」と述べている
- しかし、このような個人特性データのマスキングは、Census Act、すなわち 13 U.S. Code Section 9 が要求している事項である
- この条項は、特定の個人が提供したデータを識別できる公開を犯罪と定めている
- 機密性は、人々に国勢調査へ回答してもらううえでも重要である
禁止された手法と許容された手法
- DAO 216-26 は 差分プライバシー だけでなく、現代的な公開回避手法や一部の古い手法まで禁止している
- 許容される中核的手法は「coarsening」に限定される
- 公開統計の詳細度や具体性を下げる方式である
- 丸め、集計、グループ化、範囲の使用などがこれに当たる
- 「suppression」は特定の値を明示的に削除する方式だが、最後の手段 としてのみ許可される
- 「noise infusion」はデータセットに任意値やノイズを追加して修正する方法であり、禁止対象である
- ノイズ注入は、再識別可能なデータ公開を禁じる機密性法制のもとで、細分化データへの需要増加に対応するために作られた手法である
既存データ製品に及ぶ範囲
- coarsening と suppression は、Principal Federal Economic Indicators のような全国単位の集計統計には概ね十分だった
- しかし、細かな地理・産業単位の事業者データや人口統計データには、これらの手法はうまく適合しない
- ノイズ注入の禁止は、過去30年間にわたる数十のデータ公開で中核的な公開回避手法を禁止する効果を持つ
- input noise infusion は2002年から Quarterly Workforce Indicators に使用され、BEA 統計にも計画されていた
- swapping は1990年以降の decennial census 公開物に使用されてきた
- differential privacy は2008年から通勤パターンデータ OnTheMap の共有と、2020 Census ベースの公開物に使用されてきた
- 最近の指令までは differential privacy は 2030 Census にも計画されていた
- BEA Working Paper WP2026-9 は商務省によって削除されたと明記されている
County Business Patterns の例が示す問題
- DAO 216-26 は、Census Bureau が機密性と利用適合性を同時に提供しなければならない 二重の義務 と両立しにくい
- Nathan Goldschlag の County Business Patterns の例は、事業活動統計を産業と地理で分けるときに生じる緊張を示している
- 小さな郡に醸造所が1社しかなく、正確な従業員数を公開すれば、その1事業者の情報がそのまま明らかになる
- 醸造所が2社なら、片方の所有者は総従業員数から自社の従業員数を引いて競合の従業員数を知ることができる
- 3社以上であっても、従業員数の合計を公開しなければ、市場参入を検討する予備的事業者は必要な情報を得にくい
- この例では coarsening が公開統計を役に立たなくしてしまう
coarsening だけでも再構成が可能なシナリオ
- 追加の例は、coarsening が機密性維持にも失敗しうることを示している
- 架空の郡には North Bend と South Bend という2つの町があり、それぞれに醸造所が1社ある
- North Bend には移動式ボトリング会社がある
- South Bend には固定式ボトリング会社がある
- 合計4つのビール関連事業者がある
- North Bend の醸造所と South Bend のボトリング会社は公開所有会社である
- CBP は5つの統計を公開する
- North Bend のビール関連事業者全体の従業員数
- South Bend のビール関連事業者全体の従業員数
- 郡全体の醸造業従業員数
- 郡全体のボトリング業従業員数
- 郡全体の公開所有会社従業員数
- この場合、未知数4つに方程式5つ が生じ、A・B・C・E の4つだけでも各社の正確な従業員数を高校レベルの代数で解くことができる
- 地理、業種、所有形態ごとの coarsening が善意で適用されても、相互作用が悪ければすべての値を完全に再構成できる
- noise infusion はこの方程式群を攪乱し、正確な再構成を防ぐ
「tradstat」回帰の実行上の限界
- 商務省は、この指令が1970年代の伝統的統計手法、すなわち「tradstat」へ戻るものであり、データ利用者にとって良いと主張している
- BEA FAQ は、この公開制限手法の更新が回答者を保護し、「一般により不可欠な経済情報を提供する」と述べている
- しかし Goldschlag の例は、coarsening が逆に働きうることを示している
- coarsening は定義上、詳細情報へのアクセス を減らす
- 3つの coarsening が悪く相互作用する例では、ノイズ注入がなければ基本的な計算だけで機密性が破られうる
- 国勢調査では、差分プライバシーのような形式的ノイズ注入手法が、市民権状態のような個人特性を機密に保つ役割を果たす
連邦統計で機密性が重要な理由
- 回答者データの機密性を保護する最善の方法をめぐっては、科学コミュニティ内部でも議論が続いている
- しかし DAO 216-26 は、科学よりも 政治的利害 によって推進された措置と位置づけられている
- この指令は、国勢調査プロセスに対する公衆の信頼を危険にさらす可能性がある
- 公務員たちは、回答者の機密性を保護しなければならない法律を守りながら、この指令に従おうとするだろう
- より少ないデータしか生み出せないかもしれない
- データを粗くしすぎて使えないものにしてしまうかもしれない
- 政治的圧力によって、醸造所の例のように容易にマスキングが剥がれるデータを公開してしまうかもしれない
- どの選択をしても回答者の機密性保証が難しくなり、多くの事業者や個人が回答しなくなる可能性がある
- これは「民主主義のデータ」を提供する機関に破壊的な結果をもたらしうる
必要な対応
- 政府の統計専門家を政治的アクターが押さえつけるのではなく、米国の統計機関への 深い投資 が必要である
- 機関が最善のツールで方法を改善できるよう、人員と支援が保障されるべきである
- 特定のプライバシー保護強化手法に対する見解にかかわらず、連邦統計運用における反科学的アプローチは共同で拒否されるべきである
- 提案されている行動は次のとおり
- 専門ネットワークやコミュニティで文章を共有する
- 下院議員の連絡先 を探し、Congressional representative に懸念を伝える
- DAO の撤回、適切な行政手続きの遵守、有用性と機密性の均衡を取る技術的手法の選択を連邦統計機関の専門家に委ねるよう求める
- Census working paper と文書保存を支援するため、Data Rescue Project の differential privacy statement に参加したり、Internet Archive の Save Page Now を利用したりできる
- noise infusion と differential privacy を説明するページはすでにオフライン化が進んでおり、関連する方法論ページと技術文書のアーカイブが必要になっている
1件のコメント
Hacker Newsの意見
2026年6月4日に米国商務長官が出した DAO-216-26 指針は、差分プライバシーと複数の最新・旧来の手法を禁止し、公開回避手法を「粗くすること」に限定している
「ランダムな値、つまりノイズを追加してデータセットを修正する方法」である ノイズ注入 も禁止し、過去30年間にわたって数十件のデータ公開の中核だった保護手法を封じてしまった
公務員は回答者データの機密性を守れという法律と、この命令の両方に合わせようとして、データの提供を減らすか、粗くしすぎて使い物にならなくする可能性がある。政治的圧力によって、容易に再識別可能なデータを公開することになる恐れもあり、現政権は呪われたレベルだ
それでも彼らが 差分プライバシー を調べたという事実自体が驚きで、さらに驚くのは、調べたうえで廃止すべきだという結論に至ったことだ。ここにどんな論理があり得るのだろうか
米国が再び真剣に受け止められるには、多くの人々が投獄されるか、絞首刑になるか、国外追放される必要があるだろう
銃と憲法修正第2条を声高に語っていた好戦的な臆病者たちは、今どこにいるのか。家が燃えている間も自由を叫ぶのだろう
それでも一部の人々は、親愛なる指導者をもっと熱心に応援すれば、流れが自分たちにも戻ってくると勘違いしている。ルールを堂々と破るチームであっても応援すべきスポーツの試合のように見ている
この程度の精度差が実体経済にどのような影響を与えるのかは誰にも分からない
もっと洗練された手法を使えればよいし、この政策が悪いという直感もあるが、ここで「非常事態」とまでは見えない。そう呼ぶのは誇張のように感じる
この記事の行動要請は議員に連絡しろというものだが、肝心の連絡先を探すリンクが抜けている。ここで探せる: https://www.congress.gov/members/find-your-member
この指針の背後にある 政治的目標 は何なのだろうか。明らかにまったく控えめではない目的があるはずだが、何なのか分からない
恣意的な基準で人々を分け、その集団を好きなように扱おうとしているのだ。人によっては拘禁、国外追放、あるいはそれよりさらに悪いことになり得る
「この命令に従えば、私たちのコミュニティの福祉に必要なサービスをどこに建てるかといった重要な判断が依存している商務省の公共データが破壊される」という箇所を見ると、これはプライバシーに関する文章ではない
Scottは米国のエコシステムのせいで大げさな言い回しをするようになったコンピューター科学者のように聞こえる
データ担当者が匿名化に使う手法を禁じられれば、十分に匿名化できない。理解しにくい論理ではない
Heritage Foundationがなぜこうした 統計手法 を標的にしたのか説明できる人はいるか。政治的動機は何だろう
しかも国勢調査の結果は2016年12月にホワイトハウスへ届くはずだったのに、なぜか2017年1月21日までホワイトハウスに届かなかった
差分プライバシーが直接関係していたのかは分からないが、他の問題と一緒くたにされて非難されているようだ
この記事は、データセットでプライバシーを保護する2つの方法を提示したうえで、古い方法の理論上の弱点を不自然なシナリオで攻撃し、より新しいとされる別の解決策を選ばせるよう誘導している
ただし、その新しい解決策については名前以外ほとんど説明していない。気になるのは、1) この記事で述べられているような形で実際に粗くすることが失敗し、情報が漏えいした例があるのか、2) 私たちが望むべきだという「別の」解決策はどう動作するのか、3) 実際にデータを粗くする必要があったときには不可能だったが、新しい解決策で可能になった詳細度の違いは何なのか、という点
(2) 綿密に調整したガウスノイズを追加する方式。過去6年で、はるかに少ないガウスノイズを追加する方法も分かってきた: “The 2020 Census Disclosure Avoidance System TopDown Algorithm” https://arxiv.org/abs/2204.08986
(3) これは答えるのがより難しい。国勢調査局は、過去数十年と同じ形式の統計を公開することを目標にしていたため。2020年の目標は、同じ統計を同じ誤差範囲で公開することであり、証拠を見る限りその目標は達成したように見える。“Evaluating Bias and Noise Induced by the U.S. Census Bureau's Privacy Protection Methods” http://arxiv.org/abs/2306.07521、“Evaluating the Impacts of Swapping on the US Decennial Census” http://arxiv.org/abs/2502.01320
以前の議論: https://news.ycombinator.com/item?id=48517377
関連記事: https://news.ycombinator.com/item?id=48517377
これが政治化されてしまって残念。GDPR準拠のために差分プライバシーに取り組んでいるが、興味深い技術だ
最近知った議会に関する事実で、気に入っているものがある
連邦レベルの育児休暇、つまり父親・母親の休暇は、米国の成人人口の約80%が支持している。政治的立場に関係なく、民主党・共和党の有権者のどちらも支持している
それほど人気があるのに、なぜ連邦の義務になっていないのか不思議に思うかもしれない。これを嫌っている集団は企業であり、企業は政治家に多額の献金をしている。育児休暇の費用を直接負担するより、育児休暇に反対する政治家に献金するほうが安く済むからだ
自分たちの意思を通すために多くの時間とお金を使う集団がいることを思い出させてくれるので、この話をよくする。気が重く感じられるかもしれないが、地元の議員に電話をかければ、その電話は集計される。彼らは有権者が何に関心を持っているのか知りたがっているので、電話して知らせればいい
反対した20%は、例えば小規模事業者かもしれない。小規模事業者を免除しなければ、長期休暇を取る人に給与を払いながら代替要員にも給与を払わなければならず、負担しきれない。小規模事業者を免除すれば、大企業の所有者は小さな会社に相対的な優位を与えるものを何でも嫌がる
だから、80%が望んでいるが気にしているのは1%だけという側と、20%が望んでいるが75%が気にしている側がぶつかると、後者の数字のほうが大きくなる
最高裁は最近、裕福なオリガルヒ層が自分のお気に入りの操り人形、いや政治家に無制限の金額を渡せるようにする判断を下した[1]
[1]: https://www.npr.org/2026/06/30/nx-s1-5827039/supreme-court-c...
問題は、そうしたものは実際には「無料」ではなく、誰かが費用を払わなければならないという点だ
https://en.wikipedia.org/wiki/Tyranny_of_the_majority
議員に電話しても、正確に言えば何の効果もないだろう[1]
データセンターも、地域社会がほぼ例外なく反対しており、負の外部性がはるかに現実的で直接的であるにもかかわらず、承認され続けている。
本当の危機は捕捉された政治システムにある。
1990年代のオーストラリアでは、One Nationという人種差別・白人至上主義政党が奇妙な出来事の組み合わせによって登場し、フィッシュ&チップス店主だったPauline Hansonが議員になった。ほぼ30年前、彼女は議会で有名な初演説を行った[2]。
いくつものスキャンダルの後、One Nationはしばらく姿を消した。部分的には、保守連合であるLiberal/Nationalが2000年代初めに難民をスケープゴートにする人種差別的な綱領を事実上取り込んだからだ。ところが奇妙なことに、今また戻ってきている。ただし、それが本題ではない。
オーストラリアでは、米国で通常「順位選択投票」と呼ばれる優先順位付き投票制度を使っている。有権者は候補者に直接番号を付けることも、政党が登録した優先順位に従うこともできる。多くの人が後者を選ぶため、優先順位の配分が重要になる。
One Nationは現職に反対する側へ優先順位を配分する戦略を取った。Liberalの議席ならLaborへ、逆ならその逆へ送る、という具合だ。これが政治的既得権層を怖がらせ、互いに対立する主要政党同士がOne Nationよりも互いを高く優先配分するようになり、One Nationは得票率が10%を超えたにもかかわらず議席を得られなかった。
要点は、あまりに多くの政治家や政党が自分の議席を自分の所有物のように見ていることだ。米国の予備選挙も、政党が目を付けた候補のための形式的手続きのように扱われることが多く、議会の再選率は数十年にわたり95%以上にとどまっている。
興味深いことに、現在の民主党はほとんど公然たる反乱状態にあり、ここ数週間で、10〜30年務めてきた長期現職の複数人が挑戦者に予備選で押し出された。
今週知った面白い事実もある。Citizens United判決が選挙支出制限を事実上なくしてから約18年が経ったが、その後に使われた全資金の3分の1が今年の予備選挙で使われた。Thomas Massieの予備選では、反対陣営に3,500万ドル以上が投じられ、米国史上最も高額な予備選となり、他の地域でも数百万ドル規模になっている。Maine州の上院1議席では、総支出が4億ドルに達すると見積もられている。
結局、通用する唯一の方法は、議員たちに自分たちの居心地のいい席を失うかもしれないと恐れさせることだ。30年間その席に座っていて、見せるものが何もないなら、もう退く時だ。
[1]: https://act.represent.us/sign/problempoll-fba
[2]: https://www.youtube.com/watch?v=p2ypTX9ntTQ
私も最初は、なぜそんなことをするのかという感じで冷笑的だったけれど、実際にやってみたら自分が間違っていて、かなり良い経験だった。
今では、議員たちが常に事実に近づける立場にいるわけではないと思っている。だから連絡して自分の考えを伝えれば、むしろ大きな贈り物をしているようなものだ。
特に州や地方の問題では、実際にかなり効果があることもある。連邦レベルの案件ではそれほどではないかもしれないが、少なくとも首席補佐官や補佐官から確認の返事をもらえる満足感はある。
二大政党制は、親が子どもにブロッコリーとニンジンのどちらかを選ばせ、子どもに自分で決めたと信じ込ませるような、意図的に強制された偽りの二者択一だ。両党とも投資家階級に支配されている。
曖昧な態度を取ったり確約を避けたりするなら、予備選で追い落とすためにできることをすべきだ。あらゆる「中道派」は結局、あなたをパノプティコンに売り渡すことになる。
もっと急を要するのは、Californiaのように、今では票を「集計」するのに30日以上かかる壊れた選挙手続きを直すことだ。