米国勢調査局、統計製品からのノイズ注入を禁止

米国商務省は先週、国勢調査局（Census Bureau）と経済分析局（Bureau of Economic Analysis）が公表するすべての統計製品から「ノイズ注入（noise infusion）」を禁止する命令を発出した。この決定は、統計的開示制御（Statistical Disclosure Control）の分野に大きな波紋を投げかけている。本稿では、この命令の背景にある技術的経緯と、プライバシー保護とデータ有用性の将来に与える影響を分析する。

命令の概要

商務省の命令は、国勢調査局と経済分析局が公表する統計製品全般に対して、ノイズ注入を全面的に禁止する内容だ。ノイズ注入は、秘密データセットから計算された統計量にランダムな誤差を意図的に加える手法であり、個々の回答者の機密情報が統計値から逆算されるのを防ぐ目的を持つ。

この手法は、近年の差分プライバシー（differential privacy）の実装において中核的な役割を果たしてきた。差分プライバシーとは、単一の個人データが統計的クエリの結果に与える影響を数学的に制限することで、プライバシー保護の保証を行う枠組みである。ノイズ注入と寄与制限（contribution bounding）の組み合わせにより達成される。

統計的開示制御の手法群

統計製品とは、秘密データセットから算出された数値群であり、公開される一方で個々の記録（例えば国勢調査の各世帯の回答内容）は法的に秘匿されなければならない。この両立を図るために、統計学の分野では様々な開示制御手法が開発されてきた。

抑制（suppression）は、特定の閾値未満の数値を公表しない方法である。粗密化（coarsening）は、属性の精度を低下させる手法で、誕生日を年齢層に変換するなどが該当する。サンプリングはデータセットからランダムに一部のレコードを除去する。交換（swapping）は、異なるレコードの属性をランダムに入れ替える。寄与制限は、単一の個人が統計量に過度に影響を与えないよう上限を設ける。そしてノイズ注入は、統計量にランダム値を加えて真の値を隠す手法である。

これらのうち、交換とノイズ注入の組み合わせは差分プライバシーの定義を達成できるため、科学者の間では長らくゴールドスタンダードと見なされてきた。

国勢調査における変遷

米国勢調査局は1990年から2010年までの国勢調査で、主として交換（swapping）を開示制御の主要手法として採用していた。しかし2010年代に入り、この手法が実際には極めて脆弱であることが判明する。公表された統計値から個々のレコードを再構築する攻撃が比較的容易であると認識され、連邦法で義務付けられた機密保持が危機に晒されることとなった。

この事態を受けて、国勢調査局は複数の代替手法を検討した。その結果、2020年国勢調査では差分プライバシーを採用する決定を下した。ブログの筆者であるフランスのプライバシー研究者によれば、差分プライバシーはその数学的な美しさや理論的な魅力から選ばれたわけではない。新たに発見された攻撃に対して統計の有用性を最大限維持できる手法として、他の選択肢の中から選ばれたという。

差分プライバシーの採用により、プライバシー漏洩リスクは低減された。しかし「新たなプライバシー制約下で最も有用性を維持できた」という事実は、「2010年国勢調査と同じ水準の有用性を維持できた」ことを意味しない。精度とプライバシーのトレードオフは、依然として深刻な課題として残り続けた。

今回の決定の技術的意義

商務省の命令は、差分プライバシーの中核であるノイズ注入を全面禁止するため、実質的に差分プライバシーの枠組みを統計製品から排除することになる。

この決定の背景として、ノイズ注入が統計の精度を著しく損ない、政策決定や配分計算、学術研究に悪影響を及ぼしたという批判がある。特に2020年国勢調査のデータ利用者からは、従来の調査と比較して統計値の信頼性が低下したとの指摘が相次いでいた。

一方で、ノイズ注入の禁止は、以前の交換手法への回帰を意味するものではない。交換手法は再識別攻撃に対して脆弱であることが既に確認されているためである。商務省が今後どのような開示制御手法の採用を想定しているのかは、現時点では明らかにされていない。

プライバシーと精度のジレンマ

この決定が浮き彫りにしたのは、統計データの公開における根元的なジレンマである。すなわち、有用な統計情報を提供するためには十分な精度が必要であるが、個人のプライバシーを保護するためにはある程度のノイズや情報量の削減が不可避である。

このトレードオフは、技術的に解決可能な問題というより、社会的合意を必要とする政策判断の領域にある。差分プライバシーは、プライバシー損失の量を数学的に定量化し、制御可能にする枠組みを提供する。しかし、どの程度のプライバシー保護が「十分」であり、どの程度の精度低下が「許容可能」かは、結局のところ政治的な決定に委ねられる。

米国国勢調査のデータは、連邦議会の議席配分（apportionment）、選挙区画定（redistricting）、年間約6750億ドル（約100兆円）に上る連邦補助金の配分基準として使用される。こうした用途において、統計データの精度に対する要求は極めて高い。

今後の展望

商務省の命令は、統計製品のプライバシー保護手法に関する国際的な議論にも影響を与える可能性がある。EUの一般データ保護規則（GDPR）や各国の統計局は、差分プライバシーを重要な技術的選択肢として検討してきた。米国がこの方向性を転換した場合、国際的な統計の相互運用性や比較可能性に影響が生じる可能性も考えられる。

国勢調査局は今後、ノイズ注入に代わる新たな開示制御手法の開発と評価を迫られる。従来の交換手法では脆弱性が明らかであり、抑制や粗密化のみではデータの有用性が著しく低下する。完全に新しいアプローチ、または既存手法の改良版の採用が検討されることになる。

この分野では、合成データ（synthetic data）の生成や、暗号技術を用いた安全な計算（secure multiparty computation）などの技術も発展しつつあるが、大規模な国勢調査への実装には依然として多くの課題が残る。

編集部の見解

本件は、プライバシー保護技術と公共政策の複雑な交差点を示す事例として位置づけられる。差分プライバシーは理論的には強力な枠組みであるが、実運用におけるユーザビリティと政治的受容性には課題があったということだ。

短期的には、2020年国勢調査データの再処理や修正が検討される可能性がある。また、各州や地方政府、研究機関が既に差分プライバシー処理済みのデータに基づいて構築したモデルや分析の再検討が必要になる。この過程で、データの一貫性や比較可能性が一時的に損なわれるリスクがあると見る。

長期的な視点では、プライバシー保護手法の「政治化」が進む可能性を懸念する。技術的に適切なプライバシー保護手法であっても、その導入が政治的な判断で覆される事例が増えれば、統計行政の継続性や信頼性に影響が出る。一方で、本サイトでも報じたCanonical、ARM64向けSteam Snapを安定版に認定のようなソフトウェア配信基盤の信頼性確保と同様に、データ処理の基盤技術に対する社会的な理解と合意形成が不可欠である。

編集部としては、ノイズ注入のみを禁止するのではなく、プライバシー保護の水準を維持しつつデータの有用性を最大化するための、より透明性の高いプロセスの構築が求められると評価する。差分プライバシーが「ゴールドスタンダード」とされた経緯を振り返れば、今回の決定は技術的な後退ではなく、より実用的なプライバシー保護手法を模索する契機となる可能性もある。しかし、プライバシー保護の後退が結果的に個人情報の漏洩リスクを高めることにならないか、注視する必要がある。

参考

• Banning noise from official US statistics — 2026-06-13公開
• Hacker News Discussion — 2026-06-13公開