医療診断AIは訓練データの患者を特定できるように騙される可能性がある

『Nature』誌に発表された新しい研究によると、医療診断を支援する人工知能（AI）モデルには深刻なプライバシーの脆弱性がある。すなわち、どの患者のデータが訓練に使用されたかを漏洩するよう騙される可能性がある。ドイツの研究者らは、データを分類し訓練セットに基づいて新しい入力を予測する識別型AIモデルが、特定のデータポイントが訓練セットに含まれているかどうかを推測するメンバーシップ推論攻撃（MIA）に対して特に脆弱であることを発見した。

これは、医療AIの訓練に使用された患者データが露出し、病歴や診断の詳細が漏洩する可能性があることを意味する。研究者らは、画像、心電図記録、一般的な電子健康記録からなる7つの医療AIデータセットを分析し、個人患者を標的にした攻撃が「ほぼ完璧な成功率」で成功することを明らかにした。これは、現在のモデル安全性評価の基準では適切に捉えられていない。

さらに悪いことに、データセット内の患者の特徴が特異的であるほど、識別が容易になる。人種、保険ステータス、性別、医療画像撮影プロトコル、特定の疾患ステータスなどが外れ値として機能し、個人の特定を容易にする。研究の主著者であるミュンヘン工科大学のMoritz Knolle氏は、「訓練コホートが特異的になるほど、MIAによるプライバシーリスクは深刻になる」と述べている。

攻撃者は、AIモデルが訓練データに対してより確実な予測を行うという特性を利用する。得られた患者データをモデルに入力し、信頼度を確認することで、その患者が訓練データに含まれているかどうかを判断できる。Knolle氏によると、攻撃者は完全なデータを必要とせず、部分的なアクセスでも成功する可能性がある。

Knolle氏は、この研究が医療AIコミュニティにプライバシーリスクを真剣に受け止め、緩和技術の使用を促すことを期待している。研究者らは、差分プライバシーフレームワークの使用や、プライバシー監査基準の変更、訓練データにおける過少代表グループの代表性向上を推奨している。

最終的に、患者データのプライバシーを保護するためには、これらの対策が不可欠である。