FaceLinkGen: アイデンティティ抽出によるプライバシー保護顔認識における情報漏洩の再考
FaceLinkGen: Rethinking Identity Leakage in Privacy-Preserving Face Recognition with Identity Extraction
February 2, 2026
著者: Wenqi Guo, Shan Du
cs.AI
要旨
変換ベースのプライバシー保護型顔認識(PPFR)は、攻撃者や悪意のあるサービスプロバイダから顔データを隠蔽しながら個人認証を行うことを目的としている。既存の評価手法では、プライバシー保護性をピクセル単位の再構成耐性として扱い、PSNRやSSIMで測定するのが一般的である。しかし本論文では、この再構成中心の評価観点が不適切であることを示す。我々は、保護されたテンプレートから直接、顔の照合/マッチングおよび再生成を行う個人情報抽出攻撃「FaceLinkGen」を提案する。3つの最新PPFRシステムにおいて、FaceLinkGenは98.5%以上のマッチング精度と96%以上の再生成成功率を達成し、知識ゼロに近い設定でも92%以上のマッチング率と94%以上の再生成率を示した。これらの結果は、PPFR評価で広く用いられているピクセル歪み指標と実践的プライバシー保護の間に構造的乖離が存在することを露呈する。視覚的難読化は、外部侵入者と非信頼サービスプロバイダの両方に対して個人識別情報が広範に曝露された状態を招くのである。
English
Transformation-based privacy-preserving face recognition (PPFR) aims to verify identities while hiding facial data from attackers and malicious service providers. Existing evaluations mostly treat privacy as resistance to pixel-level reconstruction, measured by PSNR and SSIM. We show that this reconstruction-centric view fails. We present FaceLinkGen, an identity extraction attack that performs linkage/matching and face regeneration directly from protected templates without recovering original pixels. On three recent PPFR systems, FaceLinkGen reaches over 98.5\% matching accuracy and above 96\% regeneration success, and still exceeds 92\% matching and 94\% regeneration in a near zero knowledge setting. These results expose a structural gap between pixel distortion metrics, which are widely used in PPFR evaluation, and real privacy. We show that visual obfuscation leaves identity information broadly exposed to both external intruders and untrusted service providers.