AI วินิจฉัยโรคเสี่ยงต่อการเปิดเผยข้อมูลผู้ป่วยจากการโจมตีแบบ Membership Inference

การวินิจฉัยโรคด้วยระบบ AI กำลังเผชิญความเสี่ยงใหม่จากการโจมตีแบบ **membership inference attacks (MIAs) ซึ่งอาจเปิดเผยข้อมูลผู้ป่วยที่ใช้ฝึกโมเดลได้โดยตรง ผลการวิจัยของนักวิจัยเยอรมันที่ตีพิมพ์ใน *Nature* เมื่อวันพุธนี้ชี้ให้เห็นว่าระบบ AI ด้านการแพทย์อาจให้ข้อมูลส่วนบุคคลรั่วไหลถึงระดับ “ใกล้เคียงกับความสำเร็จแบบสมบูรณ์” ทำให้ความปลอดภัยของโมเดลต้องได้รับการตรวจสอบใหม่ทั้งหมด

Overview

โมเดล AI ที่ใช้ในคลินิกและโรงพยาบาลส่วนใหญ่เป็น discriminative models ซึ่งทำหน้าที่จำแนกข้อมูลและทำนายผลจากชุดข้อมูลฝึกฝน การทำงานเช่นนี้ทำให้โมเดลจดจำลักษณะของข้อมูลที่เคยเห็นได้ดี แม้ว่าในการประเมินความปลอดภัยทั่วไปจะมองที่ประสิทธิภาพโดยรวมของโมเดล แต่ไม่ได้ตรวจสอบความเสี่ยงต่อผู้ใช้คนละคนอย่างละเอียด

ตามรายงานของ *Nature* นักวิจัยได้ทดสอบ seven medical AI datasets ที่ประกอบด้วยภาพถ่าย, บันทึก ECG และข้อมูลสุขภาพอิเล็กทรอนิกส์ (EHR) ผลการทดสอบแสดงให้เห็นว่าอัตราการสำเร็จของการโจมตีต่อผู้ป่วยแต่ละรายอยู่ในระดับ “ใกล้เคียงกับความสำเร็จแบบสมบูรณ์” ซึ่งขัดแย้งกับแนวคิดว่าการประเมินความปลอดภัยแบบรวมทั้งหมดเพียงพอ

Membership Inference Attacks

การโจมตีแบบ MIA ทำงานโดยการส่งข้อมูลที่สงสัยว่าอาจเป็นส่วนหนึ่งของชุดฝึกฝนเข้าไปในโมเดล แล้วตรวจสอบระดับความมั่นใจของผลลัพธ์ หากโมเดลให้ความมั่นใจสูงกว่าปกติ แสดงว่าข้อมูลนั้นเคยอยู่ในชุดฝึกฝน นักวิจัยชี้ว่า “ผู้โจมตีไม่จำเป็นต้องรู้ว่าใครเป็นเจ้าของข้อมูล” เนื่องจากข้อมูลที่ใช้ในการทดสอบได้ถูกทำให้ไม่ระบุชื่อแล้ว

แม้จะต้องมี access to a target data point อย่างน้อยบางส่วน ผู้วิจัยพบว่าการเข้าถึงข้อมูลส่วนหนึ่งของผลตรวจเลือดหรือข้อมูลทางการแพทย์อื่น ๆ ก็เพียงพอที่จะทำการโจมตีได้สำเร็จ ความจริงที่ว่าแหล่งข้อมูลทางการแพทย์มักถูกเปิดเผยในกรณีการละเมิดข้อมูลทำให้ความเสี่ยงนี้เป็นเรื่องที่คาดไม่ถึงแต่ก็เป็นไปได้จริง

Findings from the Study

การวิเคราะห์ของทีมงานพบว่าผู้ป่วยที่อยู่ในกลุ่มที่ underrepresented ในชุดฝึกฝนมีความเสี่ยงต่อการถูกเปิดเผยสูงกว่า ตัวอย่างเช่น ผู้ป่วยที่มีเผ่าพันธุ์เฉพาะ, สถานะประกันสุขภาพ, เพศ, หรือสภาพโรคที่หายาก ซึ่งทำให้ข้อมูลของพวกเขาเป็น “outliers” ที่โมเดลจดจำได้ง่ายกว่า

นอกจากนี้ ความใหญ่ของชุดข้อมูลฝึกฝนก็เป็นปัจจัยสำคัญ: “ขนาดของ dataset ที่ใหญ่ขึ้นทำให้การเปิดเผยข้อมูลระดับผู้ป่วยง่ายขึ้น” นักวิจัยระบุว่าผลกระทบต่อความเป็นส่วนตัวของผู้ป่วยระดับบุคคลยังไม่เคยถูกประเมินอย่างละเอียดก่อนหน้านี้ แม้ว่าโมเดลขนาดใหญ่จะให้ผลลัพธ์ที่แม่นยำกว่า แต่ก็เพิ่มความเสี่ยงต่อการรั่วไหลของข้อมูลส่วนบุคคล

Implications for Patient Privacy

ผลของการโจมตี MIA ไม่ได้จำกัดอยู่แค่การเปิดเผยข้อมูลสุขภาพทั่วไปเท่านั้น แต่อาจทำให้ผู้ป่วยที่มี เงื่อนไขทางพันธุกรรมที่ซ่อนเร้น เช่น Huntington’s disease หรือภาวะซึมเศร้า ถูกระบุตัวตนได้ นำไปสู่การเลือกปฏิบัติหรือการละเมิดสิทธิส่วนบุคคลในระดับที่รุนแรง

การที่ข้อมูลฝึกฝนของ AI สามารถบ่งบอกว่าผู้ป่วยเคยเข้ารับการรักษาที่คลินิกเฉพาะทางหรือได้รับการตรวจสอบโดยโปรโตคอลพิเศษ ทำให้ข้อมูลส่วนบุคคลเหล่านี้อาจถูกใช้เป็นเครื่องมือในการกดดันหรือทำให้เกิดความเสียหายต่อชื่อเสียงของผู้ป่วย

Recommended Mitigations

นักวิจัยเสนอแนวทางแก้ไขหลายประการเพื่อเพิ่มความปลอดภัยของข้อมูลฝึกฝน AI ทางการแพทย์ ได้แก่

• ใช้กรอบการทำงาน Differential Privacy เพื่อให้แน่ใจว่าการเรียนรู้ของโมเดลไม่สามารถเปิดเผยข้อมูลบุคคลได้โดยตรง
• ปรับปรุงมาตรฐานการตรวจสอบความเป็นส่วนตัว ให้ครอบคลุมระดับผู้ป่วยคนละราย แทนการประเมินความเสี่ยงแบบรวมทั้งหมด
• เพิ่มการเป็นตัวแทนของกลุ่มผู้ป่วยที่มีสัดส่วนน้อย ในชุดข้อมูลฝึกฝน เพื่อลดความเป็น outlier ที่ทำให้โมเดลจดจำได้ง่าย
• บังคับใช้การควบคุมการเข้าถึงข้อมูล อย่างเคร่งครัด ทั้งในระดับคลินิกและระบบคลาวด์ เพื่อป้องกันการขโมยข้อมูลส่วนหนึ่งของผลตรวจหรือบันทึกสุขภาพ

นักวิจัยเชื่อว่าการนำแนวทางเหล่านี้ไปปฏิบัติจะช่วยลดความเสี่ยงจาก MIA และสร้างความเชื่อมั่นให้กับผู้ป่วยต่อการใช้ AI ในการวินิจฉัย

Impact on AI Audits

ผลการวิจัยบ่งชี้ว่ามาตรฐานการตรวจสอบ AI ด้านความเป็นส่วนตัวที่ใช้อยู่ในปัจจุบันยังไม่ครอบคลุมความเสี่ยงระดับบุคคล การเปลี่ยนแปลงกระบวนการตรวจสอบให้รวม การประเมินความเสี่ยงของ MIA ที่ระดับผู้ป่วย จึงเป็นสิ่งจำเป็นเพื่อให้สอดคล้องกับข้อกำหนดด้านกฎหมายคุ้มครองข้อมูลส่วนบุคคล (GDPR, PDPA)

นอกจากนี้ ผู้พัฒนา AI ทางการแพทย์อาจต้องพิจารณา การออกแบบโมเดลที่มีความไม่แน่นอนสูงขึ้น ในการทำนายข้อมูลที่อาจเป็นส่วนหนึ่งของชุดฝึกฝน เพื่อลดสัญญาณความมั่นใจที่โจมตีใช้เป็นตัวบ่งชี้ การปรับวิธีนี้อาจทำให้ความแม่นยำของโมเดลลดลงบ้าง แต่จะเพิ่มระดับความปลอดภัยของผู้ป่วยอย่างมีนัยสำคัญ

Summary

การโจมตีแบบ membership inference ทำให้ AI ทางการแพทย์อาจเปิดเผยข้อมูลผู้ป่วยได้อย่างใกล้เคียงกับความสำเร็จแบบสมบูรณ์ นักวิจัยจึงเรียกร้องให้มีการปรับมาตรฐานการตรวจสอบความเป็นส่วนตัวและนำเทคนิค differential privacy มาใช้เพื่อปกป้องข้อมูลระดับบุคคลอย่างมีประสิทธิภาพ.