WO2019225531A1

WO2019225531A1 - 秘密一括近似システム、秘密計算装置、秘密一括近似方法、およびプログラム

Info

Publication number: WO2019225531A1
Application number: PCT/JP2019/019846
Authority: WO
Inventors: 浩気濱田
Original assignee: 日本電信電話株式会社
Priority date: 2018-05-25
Filing date: 2019-05-20
Publication date: 2019-11-28
Also published as: JPWO2019225531A1; EP3806071A1; EP3806071B1; CN112154495A; US20210287573A1; JP6977882B2; EP3806071A4; CN112154495B

Abstract

秘密計算で複雑な関数を計算する際に近似の精度を下げずに計算時間を低減する。秘密一括近似システム（１００）は、値xの秘匿文[x]を入力とし、y_j=f(x_j)である関数値yの近似値zの秘匿文[z]を計算する。gを関数fをm区間に分割したときの各区間を近似する多項式とする。パラメータ取得部（１１）は、1以上n以下の各整数jについて、a_jを値x_jが含まれる区間R_iに対応するパラメータp_iとして、値xに対応するパラメータaの秘匿文[a]を取得する。多項式計算部（１２）は、パラメータaの秘匿文[a]を用いて値xの秘匿文[x]を入力とする多項式g([x], [a])を計算して関数値yの近似値zの秘匿文[z]を得る。

Description

秘密一括近似システム、秘密計算装置、秘密一括近似方法、およびプログラム

　この発明は、秘密計算で関数の近似計算を行う技術に関する。

　暗号化された数値を復元することなく特定の演算結果を得る方法として、秘密計算と呼ばれる方法がある（例えば、非特許文献１参照）。非特許文献１に記載された方法では、３つの秘密計算装置に数値の断片を分散させるという暗号化を行い、３つの秘密計算装置が協調計算を行うことにより、数値を復元することなく、加減算、定数加算、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を３つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。

　指数関数や対数関数など複雑な関数の計算を秘密計算上で実現する方法として、加減算と乗算の組み合わせで計算できる多項式に近似して計算することが行われている。例えば、非特許文献２には指数関数を多項式に近似して計算する方法が記載されている。

千田浩司、濱田浩気、五十嵐大、高橋克巳、"軽量検証可能3パーティ秘匿関数計算の再考"、CSS、2010年 Liina Kamm and Jan Willemson, "Secure floating point arithmetic and private satellite collision analysis," International Journal of Information Security,Vol. 14, No. 6, pp. 531-548, 2015.

　しかしながら、従来技術では、複雑な関数を多項式で近似する場合、近似の精度を上げるために多項式の次数を上げる必要がある。例えば、非特許文献２では指数関数の計算を実現するために４次多項式による近似式を計算している。また、ロジスティック回帰やニューラルネットワークで使われるシグモイド関数は、十分な精度を出すためには少なくとも10次の多項式が必要となる。多項式の次数nが上がるとO(n)で加減算や乗算の回数が増加するため計算時間が増大する。

　この発明の目的は、上記のような技術的課題に鑑みて、秘密計算で複雑な関数を計算する際に近似の精度を下げずに計算時間を低減することである。

　上記の課題を解決するために、この発明の一態様の秘密一括近似システムは、複数の秘密計算装置を含み、n個の値x:=(x₁, …, x_n)の秘匿文[x]:=([x₁], …, [x_n])を入力とし、mを2以上の整数とし、iを1以上m以下の各整数とし、y_j=f(x_j)である関数値y:=(y₁, …,y_n)の近似値z:=(z₁, …, z_n)の秘匿文[z]:=([z₁], …, [z_n])を計算する秘密一括近似システムであって、gを関数fをm区間に分割したときの各区間を近似する多項式とし、R_iを区間とし、p_iを区間R_iに対応する多項式gのパラメータとし、秘密計算装置は、1以上n以下の各整数jについて、a_jを値x_jが含まれる区間R_iに対応するパラメータp_iとして、値x:=(x₁, …, x_n)に対応するパラメータa:=(a₁, …, a_n)の秘匿文[a]:=([a₁], …, [a_n])を取得するパラメータ取得部と、パラメータaの秘匿文[a]を用いて値xの秘匿文[x]を入力とする多項式g([x], [a])を計算して関数値yの近似値zの秘匿文[z]を得る多項式計算部と、を含む。

　この発明の秘密一括近似技術によれば、秘密計算で複雑な関数を計算する際に、従来よりも低い次数の多項式で近似することができるため、近似の精度を下げずに計算時間を低減することができる。

図１は、従来技術の近似方法を説明するための図である。図２は、従来技術の処理の流れを説明するための図である。図３は、本発明の近似方法を説明するための図である。図４は、本発明の処理の流れを説明するための図である。図５は、秘密一括近似システムの機能構成を例示する図である。図６は、秘密計算装置の機能構成を例示する図である。図７は、秘密一括近似方法の処理手続きを例示する図である。

　はじめに、この明細書における表記方法および用語の定義について説明する。

　＜表記方法＞
　ある値aを暗号化や秘密分散などにより秘匿化した値をaの秘匿文と呼び、[a]と表記する。また、aを[a]の平文と呼ぶ。秘匿化が秘密分散である場合は、[a]により各秘密計算装置が持つ秘密分散の断片の集合を参照する。

　変数の定義域における[a, b]（角括弧）は閉区間を表し、(a, b)（丸括弧）は開区間を表す。例えば、i∈[a, b]はiがa以上b以下の値を取ることを表す。また、i∈[a, b)はiがa以上b未満の値を取ることを表す。

　＜加算、減算、乗算＞
　秘匿文に対する加算、減算、乗算の各演算は、２つの値a, bの秘匿文[a], [b]を入力とし、それぞれa+b, a-b, abの計算結果c₁, c₂, c₃の秘匿文[c₁], [c₂], [c₃]を計算する。これらの演算の実行をそれぞれ次式のように記述する。

　誤解を招く恐れのない場合は、Add([a], [b]), Sub([a], [b]), Mul([a], [b])をそれぞれ[a]+[b], [a]-[b], [a]×[b]と略記する。

　＜一括写像＞
　一括写像の演算は、n個の値(x₁, …, x_n)（ただし、各x_jは後述のu_mに関してx_j<u_mを満たすものとする）の秘匿文([x₁], …, [x_n])およびm個の値(u₁, …, u_m)（ただしu_i<u_i+1）とm個の値(a₁, …, a_m)との組を入力とし、n個の値(y₁, …, y_n)（ただし、各y_iはjをu_j≦x_i<u_j+1を満たす値として、y_i=a_jを満たすものとする）の秘匿文([y₁], …, [y_n])を計算する。この演算の実行を次式のように記述する。

　一括写像を秘密計算で効率的に計算する秘密計算一括写像アルゴリズムが、下記参考文献１および２に記載されている。

　〔参考文献１〕濱田浩気, 五十嵐大, 千田浩司, “秘匿計算上の一括写像アルゴリズム”, 電子情報通信学会論文誌A, Vol.J96-A, No.4, pp.157-165, 2013
　〔参考文献２〕Peeter Laud, "Parallel Oblivious Array Access for Secure Multiparty Computation and Privacy-Preserving Minimum Spanning Trees", PoPETs 2015(2), pp. 188-205, 2015.

　［発明の概要］
　この発明では、複雑な関数であっても区間を限定すれば低次の多項式でも十分な精度で近似できることを利用する。具体的には、関数を複数の区間に分割し、各区間をより次数の低い多項式で近似することで、関数全体を複数の低次の多項式で近似する。実際に計算する際には、入力がどの区間に含まれるかを特定し、その区間に該当するパラメータを用いて低次の多項式を計算する。これにより、多数の計算を一括で行う場合に、より低い次数の近似式で従来と同等精度の近似を実現することができる。多項式の計算時間は次数に比例するため、近似の精度を下げずに全体として計算時間を削減することができる。

　図１に従来技術により複雑な関数を多項式近似で計算する具体例を示す。計算対象の関数f(x)は上下のピークが５つあるため、多項式g(x, a)で近似するためには少なくとも６次の多項式が必要となる。実際には十分な精度を得るために、より高い次数の多項式で近似する。例えば、多項式g(x, a)のパラメータaはa:=(b, c, d, e, f, g, h)であり、多項式g(x, a)はg(x, a)=bx⁶+cx⁵+dx⁴+ex³+fx²+gx+hと定義できる。この場合、１つの解を求めるために必要な計算数は乗算11回、加減算６回となる。

　図２に従来技術の処理の流れを示す。まず、関数f(x)を近似する多項式g(x, a)のパラメータaを計算する。次に、入力値x:=(x₁, …, x_n)の秘匿文[x]:=([x₁], …, [x_n])とパラメータaとを用いて、1以上n以下の各整数jについて多項式[z_j]=g([x_j], a)を計算し、関数値y:=(y₁, …, y_n)の近似値z:=(z₁, …, z_n)の秘匿文[z]:=([z₁], …, [z_n])を得る。

　図３に本発明により複雑な関数を多項式近似で計算する具体例を示す。計算対象の関数f(x)の定義域をm個の区間に分割し、各区間を2次多項式（すなわち２次関数）で近似する。このとき、多項式g(x, a)のパラメータaはa:=(b, c, d)であり、多項式g(x, a)はg(x, a)=bx²+cx+dと定義できる。この場合、１つの解を求めるために必要な計算数は乗算３回、加減算２回に低減することができる。

　図４に本発明の処理の流れを示す。まず、関数f(x)の各区間R_i（i=1, …, m）を近似する多項式g(x, a)のパラメータp_iを計算する。次に、入力値x:=(x₁, …, x_n)の秘匿文[x]:=([x₁], …, [x_n])および区間(R₁, …, R_m)とパラメータ(p₁, …, p_m)との組を用いてn個のパラメータの秘匿文[a]:=([a₁], …, [a_n])を計算する。ここで、[a_j]はx_jが属する区間R_iに対応するパラメータp_iの秘匿文である。最後に、入力値x:=(x₁, …, x_n)の秘匿文[x]:=([x₁], …, [x_n])とパラメータa:=(a₁, …, a_n)の秘匿文[a]:=([a₁], …, [a_n])とを用いて、1以上n以下の各整数jについて多項式[z_j]=g([x_j], [a_j])を計算し、関数値y:=(y₁, …, y_n)の近似値z:=(z₁, …, z_n)の秘匿文[z]:=([z₁], …, [z_n])を得る。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　［第一実施形態］
　図５を参照して、第一実施形態の秘密一括近似システム１００の構成例を説明する。秘密一括近似システム１００は、K（≧2）台の秘密計算装置１₁, …, １_Kを含む。本形態では、秘密計算装置１₁, …, １_Kはそれぞれ通信網９へ接続される。通信網９は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などを用いることができる。なお、各装置は必ずしも通信網９を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１₁, …, １_Kへ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置１₁, …, １_Kへオフラインで入力するように構成してもよい。

　図６を参照して、本形態の秘密一括近似システム１００に含まれる秘密計算装置１_k（k=1, …, K）の構成例を説明する。秘密計算装置１_kは、例えば、図６に示すように、記憶部１０、入力部１１、パラメータ取得部１２、多項式計算部１３、および出力部１４を含む。この秘密計算装置１_k（k=1, …, K）が他の秘密計算装置１_k'（k'=1, …, K、ただしk≠k'）と協調しながら後述する各ステップの処理を行うことにより本形態の秘密一括近似方法が実現される。

　秘密計算装置１_kは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１_kは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１_kに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１_kの各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。秘密計算装置１_kが備える各記憶部は、例えば、RAM（Random Access Memory）などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ（Flash Memory）のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。

　図７を参照して、本形態の秘密一括近似システム１００が実行する秘密一括近似方法の処理手続きを説明する。

　各秘密計算装置１_kの記憶部１０には、多項式g(x, a)および区間とパラメータの組の列((R₁, p₁), …, (R_m, p_m))が記憶されている。多項式g(x, a)は計算対象の関数f(x)を所定のm区間に分割したときの各区間を近似する多項式であり、関数f(x)全体を近似したときの多項式よりも低次の多項式である。aは多項式g(x, a)を定義するパラメータであり、例えば各項の係数を並べた配列である。R_i（i=1, …, m）は関数f(x)をm区間に分割したときの各区間を示す情報である。p_i（i=1, …, m）は関数f(x)の区間R_iを多項式g(x, a)で近似するときのパラメータである。

　ステップＳ１において、各秘密計算装置１_kの入力部１１は、計算対象とするn個の値x:=(x₁, …, x_n)の秘匿文[x]:=([x₁], …, [x_n])を入力として受け取る。入力部１１は、値xの秘匿文[x]をパラメータ取得部１２へ出力する。

　ステップＳ２において、各秘密計算装置１_kのパラメータ取得部１２は、入力部１１から値xの秘匿文[x]を受け取り、1以上n以下の各整数jについて、記憶部１０に記憶された区間とパラメータの組の列((R₁, p₁), …, (R_m, p_m))から∀j∈[1, n], ∃i s.t. a_j=p_i,x_j∈R_iを満たすn個のパラメータa:=(a₁, …, a_n)の秘匿文[a]:=([a₁], …, [a_n])を取得する。すなわち、1以上n以下の各整数jについて、a_jを値x_jに対応する区間R_iのパラメータp_iとし、値x₁, …, x_nそれぞれに対応するパラメータa₁, …, a_nの秘匿文[a₁], …, [a_n]を生成する。パラメータ取得部１２は、値xの秘匿文[x]とパラメータaの秘匿文[a]とを多項式計算部１３へ出力する。

　ステップＳ３において、各秘密計算装置１_kの多項式計算部１３は、パラメータ取得部１２から値xの秘匿文[x]とパラメータaの秘匿文[a]とを受け取り、1以上n以下の各整数jについて、記憶部１０に記憶された多項式g(x, a)に従って、[z_j]=g([x_j], [a_j])を計算する。多項式計算部１３は、関数値y:=(y₁, …, y_n)の近似値z:=(z₁, …, z_n)の秘匿文[z]:=([z₁], …, [z_n])を出力部１４へ出力する。

　ステップＳ４において、各秘密計算装置１_kの出力部１４は、多項式計算部１３から関数値yの近似値zの秘匿文[z]を受け取り、秘密計算装置１_kの出力とする。

　［第二実施形態］
　第二実施形態では、より具体的に、定義域がX:=[0, 1000)である次式のシグモイド関数を２次関数で近似する場合の例を示す。

　以下では、第一実施形態との相違点を中心に説明する。

　各秘密計算装置１_kの記憶部１０には、多項式g(x, a)および区間とパラメータの組の列((R₁, p₁), …, (R_m, p_m))が記憶されている。本形態の多項式g(x, a)は、a:=(b, c, d)をパラメータとし、g(x, a)=bx²+cx+dと定義される。本形態の区間R_iはR_i:=[l_i, u_i) for i∈[1, m]（ただし、l₁=0, u_m=1000, u_i=l_i+1, l_i≦u_ifor i∈[1, m）とする）と定義される。本形態のパラメータp_iはp_i:=(b_i, c_i, d_i)と定義される。

　本形態の各秘密計算装置１_kのパラメータ取得部１２は、秘匿文[x]と(u₁, …, u_m), ((b₁, c₁, d₁), …, (b_m, c_m, d_m))を入力として次式のように秘密計算一括写像アルゴリズムを実行することにより、パラメータa:=(a₁, …, a_n)の秘匿文[a]:=([a₁], …, [a_n])を取得する。

ここで、a_jはx_j∈R_iを満たすあるiについて、a_j=(b_i, c_i, d_i)を満たす。

　本形態の各秘密計算装置１_kの多項式計算部１３は、1以上n以下の各整数jについて、[a_j]:=([b'_j], [c'_j], [d'_j])として、次式を計算することにより、近似値z_jの秘匿文[z_j]を得る。

　この発明は、複雑な関数であっても区間を限定すれば低次の多項式でも十分な精度で近似できることを利用する。具体的には、予め関数を所定数の区間に分割し、各区間を低次の多項式で近似するためのパラメータを求めておき、入力値がどの区間に含まれるかに応じてその入力値に対応するパラメータを取得することで、低次の多項式による近似を行う。これにより、多数の計算を一括で行う場合に、従来と同等精度の近似をより低い次数の多項式で実現することができる。特に、複数の入力値に対して秘密計算一括写像アルゴリズムを用いて各入力値に対応するパラメータを取得することで、より効率的に多項式近似を行うことができる。例えば、ロジスティック回帰の学習の各反復計算で大量に必要とされるシグモイド関数では、ロジスティック回帰で十分な精度を出すには実験的に少なくとも10次必要との報告があるが（参考文献３参照）、例えば区間数を5000とすれば倍精度相当の精度での近似を３次の多項式で実現でき、実数の乗算と加算の回数を３割に削減することができる。

　〔参考文献３〕Payman Mohassel and Yupeng Zhang, "Secureml: A system for scalable privacy-preserving machine learning," In 2017 IEEE Symposium on Security and Privacy, SP 2017, San Jose, CA, USA, May 22-26, 2017, pp. 19-38. IEEE Computer Society, 2017.

　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　複数の秘密計算装置を含み、n個の値x:=(x₁, …, x_n)の秘匿文[x]:=([x₁], …, [x_n])を入力とし、mを2以上の整数とし、iを1以上m以下の各整数とし、y_j=f(x_j)である関数値y:=(y₁, …, y_n)の近似値z:=(z₁, …, z_n)の秘匿文[z]:=([z₁], …, [z_n])を計算する秘密一括近似システムであって、
　gを上記関数fをm区間に分割したときの各区間を近似する多項式とし、R_iを上記区間とし、p_iを上記区間R_iに対応する上記多項式gのパラメータとし、
　上記秘密計算装置は、
　1以上n以下の各整数jについて、a_jを上記値x_jが含まれる上記区間R_iに対応する上記パラメータp_iとして、上記値x:=(x₁, …, x_n)に対応するパラメータa:=(a₁, …, a_n)の秘匿文[a]:=([a₁], …, [a_n])を取得するパラメータ取得部と、
　上記パラメータaの秘匿文[a]を用いて上記値xの秘匿文[x]を入力とする上記多項式g([x], [a])を計算して上記関数値yの近似値zの秘匿文[z]を得る多項式計算部と、
　を含む秘密一括近似システム。
　請求項１に記載の秘密一括近似システムであって、
　上記パラメータ取得部は、BatchMapを秘密計算一括写像アルゴリズムとし、u_iを上記区間R_iの境界を示す値とし、u_i<u_i+1とし、次式により上記パラメータa:=(a₁, …, a_n)の秘匿文[a]:=([a₁], …, [a_n])を取得するものである、

　秘密一括近似システム。
　請求項２に記載の秘密一括近似システムであって、
　上記関数fは定義域がX:=[0, 1000)であるシグモイド関数であり、m≦5000であり、上記多項式gは３次多項式である、
　秘密一括近似システム。
　n個の値x:=(x₁, …, x_n)の秘匿文[x]:=([x₁], …, [x_n])を入力とし、mを2以上の整数とし、iを1以上m以下の各整数とし、y_j=f(x_j)である関数値y:=(y₁, …, y_n)の近似値z:=(z₁, …, z_n)の秘匿文[z]:=([z₁], …, [z_n])を計算する秘密一括近似システムに含まれる秘密計算装置であって、
　gを上記関数fをm区間に分割したときの各区間を近似する多項式とし、R_iを上記区間とし、p_iを上記区間R_iに対応する上記多項式gのパラメータとし、
　1以上n以下の各整数jについて、a_jを上記値x_jが含まれる上記区間R_iに対応する上記パラメータp_iとして、上記値x:=(x₁, …, x_n)に対応するパラメータa:=(a₁, …, a_n)の秘匿文[a]:=([a₁], …, [a_n])を取得するパラメータ取得部と、
　上記パラメータaの秘匿文[a]を用いて上記値xの秘匿文[x]を入力とする上記多項式g([x], [a])を計算して上記関数値yの近似値zの秘匿文[z]を得る多項式計算部と、
　を含む秘密計算装置。
　複数の秘密計算装置を含み、n個の値x:=(x₁, …, x_n)の秘匿文[x]:=([x₁], …, [x_n])を入力とし、mを2以上の整数とし、iを1以上m以下の各整数とし、y_j=f(x_j)である関数値y:=(y₁, …, y_n)の近似値z:=(z₁, …, z_n)の秘匿文[z]:=([z₁], …, [z_n])を計算する秘密一括近似システムが実行する秘密一括近似方法であって、
　gを上記関数fをm区間に分割したときの各区間を近似する多項式とし、R_iを上記区間とし、p_iを上記区間R_iに対応する上記多項式gのパラメータとし、
　上記秘密計算装置のパラメータ取得部が、1以上n以下の各整数jについて、a_jを上記値x_jが含まれる上記区間R_iに対応する上記パラメータp_iとして、上記値x:=(x₁, …, x_n)に対応するパラメータa:=(a₁, …, a_n)の秘匿文[a]:=([a₁], …, [a_n])を取得し、
　上記秘密計算装置の多項式計算部が、上記パラメータaの秘匿文[a]を用いて上記値xの秘匿文[x]を入力とする上記多項式g([x], [a])を計算して上記関数値yの近似値zの秘匿文[z]を得る、
　秘密一括近似方法。
　請求項４に記載の秘密計算装置としてコンピュータを機能させるためのプログラム。