WO2021149104A1

WO2021149104A1 - 秘密計算装置、秘密計算方法、およびプログラム

Info

Publication number: WO2021149104A1
Application number: PCT/JP2020/001681
Authority: WO
Inventors: 大五十嵐
Original assignee: 日本電信電話株式会社
Priority date: 2020-01-20
Filing date: 2020-01-20
Publication date: 2021-07-29
Also published as: EP4095832A4; CN114981861A; AU2020425196A1; AU2020425196B2; JP7290177B2; EP4095832A1; JPWO2021149104A1; US20220407682A1

Abstract

実数ｘの秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得、秘密分散値［ｘ］，［ｙ］を用いた秘密計算によって実数ｘの初等関数近似値ｚ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［ｙ（ζｙ＋ｂ）＋ｃｘ］を得て出力する。ただし、ｘ，ｙ，ｚが実数であり、ａ，ｂ，ｃ，δ，ζが実数係数であり、・の秘密分散値が［・］である。

Description

秘密計算装置、秘密計算方法、およびプログラム

　本発明は、秘密計算において実数の初等関数を近似する技術に関する。

　近年、秘密計算による高度な統計や機械学習の研究が盛んになってきている。しかし、これらの演算のほとんどは秘密計算の得意な加減乗算を超える、逆数関数、平方根関数、指数関数、対数関数などの初等関数の計算を含んでいる。これらは秘密計算の応用研究を花開かせる観点で極めて大きな障害である。

　非特許文献１では、秘密計算において逆数,平方根とその逆数,指数関数などの初等関数の計算を行う方法が開示されている。

五十嵐大，"秘密計算AIの実装に向けた秘密実数演算群の設計と実装-O(|p|)ビット通信量O(1)ラウンドの実数向け右シフト，"In CSS2019, 2019.

　しかしながら、非特許文献１に記載された方法では、関数の特性に応じて異なる方式を選択して適用しなければならない。

　本発明はこのような点に鑑みてなされたものであり、パラメータ変更のみで多くの初等関数に汎用的に対応可能な秘密計算技術を提供することを目的とする。

　実数ｘの秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得、秘密分散値［ｘ］および秘密分散値［ｙ］を用いた秘密計算によって実数ｘの初等関数近似値ｚ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［ｙ（ζｙ＋ｂ）＋ｃｘ］を得て出力する。ただし、ｘ，ｙ，ｚが実数であり、ａ，ｂ，ｃ，δ，ζが実数係数であり、・の秘密分散値が［・］である。

　本発明では、パラメータ変更のみで多くの初等関数を汎用的に秘密計算できる。

図１Ａは第１実施形態の秘密計算装置を例示したブロックである。図１Ｂは第１実施形態の秘密計算方法を説明するためのフロー図である。図２Ａは第２実施形態の秘密計算装置を例示したブロックである。図２Ｂは第２実施形態の秘密計算方法を説明するためのフロー図である。図３Ａは第３実施形態の秘密計算装置を例示したブロックである。図３Ｂは第３実施形態の秘密計算方法を説明するためのフロー図である。図４は第４実施形態の秘密計算装置を例示したブロックである。図５は第４実施形態の秘密計算方法を説明するためのフロー図である。図６は各初等関数に関する計算済みのパラメータを例示した表である。図７はハードウェア構成を説明するためのブロック図である。

　以下、図面を参照して本発明の実施形態を説明する。
　［第１実施形態］
　第１実施形態について説明する。本実施形態では初等関数を多項式で近似して秘密計算を行う。これによって、パラメータ変更のみで多くの初等関数を汎用的に秘密計算できる。また本形態で扱う初等関数に限定はないが、指数関数や対数関数を多項式で近似した場合には高次の係数が非常に小さくなる。このような場合に１つの多項式のみで近似を行うと係数の近似精度が低下してしまう。そのため、本実施形態では複数の多項式を用いて段階的に高次の次数を小さくしていく。なお、初等関数（Elementary function）とは、実数または複素数の１変数関数で、代数関数、指数関数、対数関数、三角関数、逆三角関数および、それらの合成関数を作ることを有限回繰り返して得られる関数をいう。初等関数の例は、逆数関数、平方根関数、指数関数、対数関数などである。

　図１Ａに例示するように、第１実施形態の秘密計算装置１は秘密計算部１１，１２および制御部１９を有する。秘密計算装置１は制御部１９の制御のもとで各処理を実行する。以下ではｘ，ｙ，ｚが実数であり、ａ，ｂ，ｃ，δ，ζが実数係数である。実数係数ａ，ｂ，ｃ，δ，ζは、所望の初等関数に応じて設定されている。・の秘密分散値が［・］である。秘密分散方式に限定はなく、例えば、加法的秘密分散方式やシャミア秘密分散方式などを例示できる。［・］の一例は剰余環上の要素・を線形秘密分散した秘密分散値（シェア）である。また環上の整数に公開の小数点位置を定めることで固定小数点の実数と見なすことができる。実施形態ではこのようにして環上で表した固定小数点の実数を単に実数と表記する。

　図１Ｂに例示するように、まず秘密計算装置１に実数ｘの秘密分散値［ｘ］が入力される（ステップＳ１０）。

　秘密分散値［ｘ］は秘密計算部１１に入力される。秘密計算部１１は秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得て出力する（ステップＳ１１）。

　秘密分散値［ｘ］，［ｙ］は秘密計算部１２に入力される。秘密計算部１２は秘密分散値［ｘ］および秘密分散値［ｙ］を用いた秘密計算によって実数ｘの初等関数近似値ｚ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［ｙ（ζｙ＋ｂ）＋ｃｘ］を得て出力する（ステップＳ１２）。

　秘密計算部１１は秘密分散値［ｆｕｎｃ（ｘ）］を出力する（ステップＳ１３）。

　［第２実施形態］
　第１実施形態では４次多項式によって初等関数を近似したが、第２実施形態では８次多項式によって初等関数を近似する。以下では、これまで説明した事項との相違点を中心に説明し、共通する事項については説明を簡略化する。

　図２Ａに例示するように、第２実施形態の秘密計算装置２は秘密計算部１１，２２，２３および制御部１９を有する。秘密計算装置２は制御部１９の制御のもとで各処理を実行する。以下ではｘ，ｙ，ｚ，ｗが実数であり、ａ，ｂ，ｃ，ｄ，ｆ，ｇ，α，β，γ，δ，ζが実数係数である。実数係数ａ，ｂ，ｃ，ｄ，ｆ，ｇ，α，β，γ，δ，ζは、所望の初等関数に応じて設定されている。

　図２Ｂに例示するように、まず秘密計算装置２に実数ｘの秘密分散値［ｘ］が入力される（ステップＳ１０）。

　秘密分散値［ｘ］，［ｙ］は秘密計算部２２に入力される。秘密計算部２２は、秘密分散値［ｘ］および秘密分散値［ｙ］を用いた秘密計算によって秘密分散値［ｚ］＝［ｙ（ζｙ＋ｂ）＋ｃｘ］を得て出力する（ステップＳ２２）。

　秘密分散値［ｘ］，［ｙ］，［ｚ］は秘密計算部２３に入力される。秘密計算部２３は、秘密分散値［ｘ］、秘密分散値［ｙ］、および秘密分散値［ｚ］を用いた秘密計算によって実数ｘの初等関数近似値ｗ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力する（ステップＳ２３）。

　秘密計算装置２は秘密分散値［ｆｕｎｃ（ｘ）］を出力する（ステップＳ１３）。

　［第３実施形態］
　第３実施形態では第１実施形態と同様に４次多項式によって初等関数を近似するが、最高次の係数が設定可能な点で第１実施形態と相違する。

　図３Ａに例示するように、第３実施形態の秘密計算装置３は秘密計算部１１，３２および制御部１９を有する。秘密計算装置３は制御部１９の制御のもとで各処理を実行する。以下ではｘ，ｙ，ｚが実数であり、ａ，ｂ，ｃ，γ，δ，ζが実数係数である。実数係数ａ，ｂ，ｃ，γ，δ，ζは、所望の初等関数に応じて設定されている。

　図３Ｂに例示するように、まず秘密計算装置３に実数ｘの秘密分散値［ｘ］が入力される（ステップＳ１０）。

　秘密分散値［ｘ］は秘密計算部１１に入力される。秘密計算部１１は、秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得て出力する（ステップＳ１１）。

　秘密分散値［ｘ］，［ｙ］は秘密計算部３２に入力される。秘密計算部３２は、秘密分散値［ｘ］および秘密分散値［ｙ］を用いた秘密計算によって実数ｘの初等関数近似値ｚ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力する（ステップＳ３２）。

　秘密計算部３１は秘密分散値［ｆｕｎｃ（ｘ）］を出力する（ステップＳ１３）。

　［第１～３実施形態の変形例］
　所望の初等関数を多項式関数ｆ_ｔ（ｘ）＝ｆｕｎｃ（ｘ）で近似し、さらに右シフト前の関数ｆ_ｔ（ｘ）と当該関数ｆ_ｔ（ｘ）の近似関数ｆ’_ｕ（ｘ）との差分ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）の秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］を計算し、ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）を右シフトした（ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ））_ｒの秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］_ｒを得、秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］_ｒと秘密分散値［ｆ’_ｔ（ｘ）］の秘密計算によってｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）にｆ’_ｔ（ｘ）を加算した関数ｆ_ｔ（ｘ）の秘密分散値［ｆ_ｔ（ｘ）］を得てもよい。ただし、ｘが実数であり、［・］が・の秘密分散値であり、ｎが１以上の整数（例えば、ｎは２以上の整数）であり、ｔ＝０，…，ｎ－１であり、ｕ＝１，…，ｎ－１であり、ｆ_ｔ（ｘ）が実数ｘに対する関数であり、ｆ’_ｔ（ｘ）は関数ｆ_ｔ（ｘ）の近似関数であり、近似関数ｆ’_０（ｘ）の秘密分散値［ｆ’_０（ｘ）］が［ｆ’_０（ｘ）］＝ｃ_０，０＋ｃ_０，１［ｘ］であり、近似関数ｆ’_ｕ（ｘ）の秘密分散値［ｆ’_ｕ（ｘ）］が［ｆ’_ｕ（ｘ）］＝ｃ_ｕ，０＋ｃ_ｕ，１［ｘ］＋ｃ_ｕ，２［ｆ_０（ｘ）］＋…＋［ｆ_ｕ－１（ｘ）］であり、ｃ_ｔ，０は公開値であり、ｃ_ｔ，１，…，ｃ_{ｔ，ｎ＋１}は係数である。ただし、ｃ_ｔ，１，…，ｃ_{ｔ，ｎ＋１}は有効ビット数の小さな値であり、ｃ_ｔ，１，…，ｃ_{ｔ，ｎ＋１}が乗じられても桁あふれによってシフトが必要になるようなことがない値である。ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）は正である。秘密分散方式に限定はなく、例えば、加法的秘密分散方式やシャミア秘密分散方式などを例示できる。ここでｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）の大きさはｆ_ｔ（ｘ）の大きさよりも小さいため、秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］のオーバーフローを抑制することができる。また右シフト前の関数ｆ_ｔ（ｘ）と当該関数ｆ_ｔ（ｘ）の近似関数ｆ’_ｕ（ｘ）との差分ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）の秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］を計算するため、高い精度を保つことができる。オーバーフローは秘密計算を実装したプロセッサの性能に基づく問題であり、本方式はこのハードウェア上の制約に基づく問題を解決するための手法を提供する。このように、本方式は純粋数学上の問題を解決するものではなく、ハードウェア実装上の問題を解決するものであって技術的特徴を有するものである。例えば、秘密分散値［ｆ_ｔ（ｘ）］を計算するとオーバーフローしてしまうが秘密分散値［ｆ_ｔ（ｘ）－ｆ’_ｔ（ｘ）］の計算ではオーバーフローしないプロセッサではその技術的特徴は顕著である。以下、第１～３実施形態の変形例を具体的に示す。

　≪第１実施形態の変形例≫
　第１実施形態の場合、ｎ＝２であり、ａ，ｂ，ｃ，δ，ｉ，ｊ，ｋ，ｓ，ｍが実数であり、ｆ_０（ｘ）＝ｙ＝δｘ^２＋ａｘであり、ｆ_１（ｘ）＝ｚ＝ｙ（ζｙ＋ｂ）＋ｃｘであり、ｆ_２（ｘ）＝ｗ＝γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）であり、ｆ’_０（ｘ）＝ｉｘ＋ｊであり、ｆ’_１（ｘ）＝ｋｙ＋ｓｘ＋ｍであり、ｆ’_２（ｘ）＝ｎｚ＋ｏｙ＋ｐｘ＋ｑである。

入力：［ｘ］∈［Ｌ，Ｒ）
設定済のパラメータ：ａ，ｂ，ｃ，δ，ｉ，ｊ，ｋ，ｓ，ｍ
出力：秘密分散値［ｆｕｎｃ（ｘ）］

１：秘密計算装置１に秘密分散値［ｘ］が入力される（ステップＳ１０）。秘密計算装置１の秘密計算部１１は、秘密分散値［ｘ］を用いた積和の秘密計算により秘密分散値［ｙ’］＝［ｘ（δｘ＋ａ-ｉ）-ｊ］を得、右シフトの秘密計算により小数点位置を下げたｙ’_ｒの秘密分散値［ｙ’］_ｒを得る（ステップＳ１１）。
２：秘密計算部１１は、秘密分散値［ｙ’］_ｒ，［ｘ］を用いた秘密計算により秘密分散値［ｙ］＝［ｙ’＋（ｉｘ＋ｊ）］を得る（ステップＳ１１）。
３：秘密計算部１２は、秘密分散値［ｘ］，［ｙ］を用いた積和の秘密計算により秘密分散値［ｚ’］＝［ｙ（ζｙ＋ｂ-ｋ）＋（ｃ-ｓ）ｘ-ｍ］を得、右シフトにより小数点位置を下げたｚ’_ｒの秘密分散値［ｚ’］_ｒを得る（ステップＳ１２）。
４：秘密計算部１２は、秘密分散値［ｚ’］_ｒを用いた秘密計算により秘密分散値［ｆｕｎｃ（ｘ）］＝［ｚ’＋（ｋｙ＋ｓｘ＋ｍ）］を得る（ステップＳ１２）。秘密計算部１２は、得た秘密分散値［ｆｕｎｃ（ｘ）］を出力する（ステップＳ１３）。

　≪第２実施形態の変形例≫
　第２実施形態の場合、ｎ＝３であり、ａ，ｂ，ｃ，ｄ，ｆ，ｇ，ｈ，ｉ，ｊ，ｋ，ｓ，ｍ，ｎ，ｏ，ｐ，ｑ，α，β，γ，δ，ζが実数であり、ｆ_０（ｘ）＝ｙ＝δｘ^２＋ａｘであり、ｆ_１（ｘ）＝ｚ＝ｙ（ζｙ＋ｂ）＋ｃｘであり、ｆ_２（ｘ）＝ｗ＝γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）であり、ｆ’_０（ｘ）＝ｉｘ＋ｊであり、ｆ’_１（ｘ）＝ｋｙ＋ｓｘ＋ｍであり、ｆ’_２（ｘ）＝ｎｚ＋ｏｙ＋ｐｘ＋ｑである。

入力：［ｘ］∈［Ｌ，Ｒ）
設定済のパラメータ：ａ，ｂ，ｃ，ｄ，ｆ，ｇ，Ｈ，ｉ，ｊ，ｋ，ｓ，ｍ，ｎ，ｏ，ｐ，ｑ，α，β，γ，δ，ζ
出力：秘密分散値［ｆｕｎｃ（ｘ）］

１：秘密計算装置２に秘密分散値［ｘ］が入力される（ステップＳ１０）。秘密計算装置２の秘密計算部１１は、秘密分散値［ｘ］を用いた積和の秘密計算により秘密分散値［ｙ’］＝［ｘ（δｘ＋ａ-ｉ）-ｊ］を得、右シフトの秘密計算により小数点位置を下げたｙ’_ｒの秘密分散値［ｙ’］_ｒを得る（ステップＳ１１）。
２：秘密計算部１１は、秘密分散値［ｙ’］_ｒ，［ｘ］を用いた秘密計算により秘密分散値［ｙ］＝［ｙ’＋（ｉｘ＋ｊ）］を得る（ステップＳ１１）。
３：秘密計算部２２は、秘密分散値［ｘ］，［ｙ］を用いた積和の秘密計算により秘密分散値［ｚ’］＝［ｙ（ζｙ＋ｂ-ｋ）＋（ｃ-ｓ）ｘ-ｍ］を得、右シフトにより小数点位置を下げたｚ’_ｒの秘密分散値［ｚ’］_ｒを得る（ステップＳ２２）。
４：秘密計算部２２は、秘密分散値［ｚ’］_ｒ，［ｘ］，［ｙ］を用いた秘密計算により秘密分散値［ｚ］＝［ｚ’＋（ｋｙ＋ｓｘ＋ｍ）］を得る（ステップＳ２２）。
５：秘密計算部２３は、秘密分散値［ｘ］，［ｙ］，［ｚ］を用いた積和の秘密計算により秘密分散値［ｗ’／γ］＝［ｚ（αｚ＋ｄ-ｎ／γ）＋（βｘ＋ｆ-ｏ／γ）ｙ＋（ｇ-ｐ）ｘ＋（Ｈ-ｑ）／γ］を得、γによる乗算と小数点位置の下降を行って秘密分散値［ｗ’］を得る（ステップＳ２３）。秘密分散値［ｗ’］を得るための処理に限定は無いが、例えば、秘密計算部２３は、公開値２^σ／γを得、公開値２^σ／γと秘密分散値［ｗ’／γ］を用いた公開値除算の秘密計算［ｗ’／γ］／（２^σ／γ）によって秘密分散値［ｗ’］_ｒを得てもよい。ただし、σは右シフト量を表す正整数である。これによってγの乗算および右シフトの秘密計算を同時に実行できるため、処理コストを低減できる。
６：秘密計算部２３は、秘密計算により秘密分散値［ｆｕｎｃ（ｘ）］＝［ｗ’＋（ｎｚ＋ｏｙ＋ｐｘ＋ｑ）］を得る（ステップＳ２３）。秘密計算部２３は、得た秘密分散値［ｆｕｎｃ（ｘ）］を出力する（ステップＳ１３）。

　≪第３実施形態の変形例≫
　第３実施形態の場合、ｎ＝２であり、ａ，ｂ，ｃ，γ，δ，ｉ，ｊ，ｋ，ｓ，ｍが実数であり、ｆ_０（ｘ）＝ｙ＝δｘ^２＋ａｘであり、ｆ_１（ｘ）＝ｚ＝γ（ｙ（δｙ＋ｂ）＋ｃｘ）であり、ｆ’_０（ｘ）＝ｉｘ＋ｊであり、ｆ’_１（ｘ）＝ｋｙ＋ｓｘ＋ｍである。

入力：［ｘ］∈［Ｌ，Ｒ）
設定済のパラメータ：ａ，ｂ，ｃ，γ，δ，ｉ，ｊ，ｋ，ｓ，ｍ
出力：秘密分散値［ｆｕｎｃ（ｘ）］

１：秘密計算装置３に秘密分散値［ｘ］が入力される（ステップＳ１０）。秘密計算装置３の秘密計算部３１は、秘密分散値［ｘ］を用いた積和の秘密計算により秘密分散値［ｙ’］＝［ｘ（δｘ＋ａ-ｉ）-ｊ］を得、右シフトの秘密計算により小数点位置を下げたｙ’_ｒの秘密分散値［ｙ’］_ｒを得る（ステップＳ１１）。
２：秘密計算部３１は、秘密分散値［ｙ’］_ｒを用いた秘密計算により秘密分散値［ｙ］＝［ｙ’＋（ｉｘ＋ｊ）］を得る（ステップＳ１１）。
３：秘密計算部３２は、秘密分散値［ｘ］，［ｙ］を用いた積和の秘密計算により［ｚ’／γ］＝［ｙ（ζｙ＋ｂ－ｋ／γ）＋（ｃ－ｓ／γ）ｘ－ｍ／γ］を得る（ステップＳ３２）。
４：秘密計算部３２は、秘密分散値［ｚ’／γ］を用いた秘密計算によってｚ’／γにγを乗算して得られるｚ’を所定ビット数だけ右シフトしたｚ’_ｒの秘密分散値［ｚ’］_ｒを得る（ステップＳ３２）。秘密分散値［ｚ’］_ｒを得るための処理に限定は無いが、例えば、秘密計算部３２は、公開値２^σ／γを得、公開値２^σ／γと秘密分散値［ｚ’／γ］を用いた公開値除算の秘密計算［ｚ’／γ］／（２^σ／γ）によって秘密分散値［ｚ’］_ｒを得てもよい。これによってγの乗算および右シフトの秘密計算を同時に実行できるため、処理コストを低減できる。
５：秘密計算部３２は、秘密分散値［ｚ’］_ｒと秘密分散値［ｘ］，［ｙ］を用いた秘密計算によって秘密分散値［ｆｕｎｃ（ｘ）］＝［ｚ’＋（ｋｙ＋ｓｘ＋ｍ）］を得る（ステップＳ３２）。秘密計算部３２は、得た秘密分散値［ｆｕｎｃ（ｘ）］を出力する（ステップＳ１３）。

　［第４実施形態］
　第４実施形態では、初等関数として対数関数を近似する。
　図４に例示するように、第４実施形態の秘密計算装置４は、秘密計算部４５，４６，４７，４８，４９，４１０，４１１、および秘密計算装置１～３の何れかまたは前述したその変形例の秘密計算装置を有する。以下ではχが実数であり、ｐが正整数であり、Ｌが２以上の整数であり、［・］がｐを法とした剰余環上の要素・を線形秘密分散した秘密分散値であり、｛・｝が２を法とした剰余環上の要素・を線形秘密分散した秘密分散値である。

　図５に例示するように、まず秘密計算装置４に実数χの秘密分散値［χ］が入力される（ステップＳ４０）。

　秘密分散値［χ］は秘密計算部４５に入力される。秘密計算部４５は、秘密分散値［χ］を用いた秘密計算によって実数χのＬビット表現χ_０…χ_Ｌ－１の秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を得て出力する（ステップＳ４５）。χ_０，…，χ_Ｌ－１は整数である。

　秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝は秘密計算部４６に入力される。秘密計算部４６は、秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を用いた秘密計算によって、ビット列χ_０…χ_Ｌ－１の最上位ビット（ｍｓｂ）χ_ｍｓｂに対応するビットη_ｍｓｂが１であり、ビットη_ｍｓｂ以外のビットη_ξ（ξ∈｛０，…，Ｌ－１｝）が０であるｍｓｂフラグ列η_０，…，η_Ｌ－１の秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を得て出力する（ステップＳ４６）。ステップＳ４６の詳細は後述する。

　秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝は秘密計算部４７に入力される。秘密計算部４７は、秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を用いた秘密計算によって、０≦ｉ＜Ｌ－１における秘密分散値｛ρ_ｉ｝＝｛ρ_ｉ＋１∨χ_ｉ｝および秘密分散値｛ρ_Ｌ－１｝＝｛χ_Ｌ－１｝を得て出力する（ステップＳ４７）。ステップＳ４７の詳細は後述する。

　秘密分散値｛ρ_０｝，…，｛ρ_Ｌ－１｝は秘密計算部４８に入力される。秘密計算部４８は、秘密分散値｛ρ_０｝，…，｛ρ_Ｌ－１｝を用いた秘密計算によって、ρ_０，…，ρ_Ｌ－１のうち１である要素の個数を表すカウント値θの秘密分散値［θ］を得て出力する（ステップＳ４８）。

　秘密分散値｛η_０｝，…，｛η_Ｌ－１｝は秘密計算部４９に入力される。秘密計算部４９は、秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を用いた秘密計算によってｍｓｂフラグ列η_０，…，η_Ｌ－１をビット結合したｍｓｂフラグ値ν＝η_０…η_Ｌ－１の秘密分散値［ν］を得て出力する（ステップＳ４９）。

　秘密分散値［χ］，［ν］は秘密計算部４１０に入力される。秘密計算部４１０は、秘密分散値［χ］および秘密分散値［ν］を用いた秘密計算によって秘密分散値［ｘ］＝［χ］［ν］を得て出力する（ステップＳ４１０）。

　秘密分散値［ｘ］は秘密計算装置１～３の何れかに入力される。秘密分散値［ｘ］が入力された秘密計算装置１～３またはその変形例の何れかの秘密計算装置は、第１～３実施形態またはその変形例の処理によって秘密分散値［ｆｕｎｃ（ｘ）］を得て出力する（ステップＳ４２０）。

　秘密分散値［ｆｕｎｃ（ｘ）］，［θ］は秘密計算部４１１に入力される。秘密計算部４１１は、秘密分散値［ｆｕｎｃ（ｘ）］および秘密分散値［θ］を用いた秘密計算によって［ｌｏｇ χ］＝［ｆｕｎｃ（ｘ）］－［θ］を得て出力する（ステップＳ４１１）。

　秘密計算装置４は秘密分散値［ｌｏｇ χ］を出力する（ステップＳ４１２）。

　＜ステップＳ４６，Ｓ４７の詳細＞
入力：秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝
出力：秘密分散値｛η_０｝，…，｛η_Ｌ－１｝
１：秘密計算部４６は、０≦ｉ＜Ｌ－１で｛ρ_ｉ｝＝｛ρ_ｉ＋１∨χ_ｉ｝とする。
２：秘密計算部４６は、｛ρ_Ｌ－１｝＝｛χ_Ｌ－１｝とする。
ここまでで、ρ_０，…，ρ_Ｌ－１は、０，０，０，１，１，…，１のように、ｍｓｂ以下のビットが１でｍｓｂよりも上位のビットが０のビット列となっている。
３：秘密計算部４６は、０≦ｉ＜Ｌ－１で｛η_ｉ｝＝｛ρ_ｉ（ＸＯＲ）ρ_ｉ＋１｝とする。ただし、α１（ＸＯＲ）α２はα１とα２との排他的論理和を表す。
４：秘密計算部４６は、｛η_Ｌ－１｝＝｛χ_Ｌ－１｝とする。
ここまでで、η_０，…，η_Ｌ－１は、０，０，０，１，０，…，０のように、ｍｓｂの位置のビットのみが１で、他のビットが０となっている。

　［第５実施形態］
　第５実施形態では、初等関数が逆数関数、平方根の逆数関数、平方根関数、指数関数である場合の処理を例示する。

　＜実施例１：逆数関数の例＞
　実施例１では、実数χの逆数関数値１／χの秘密分散値を計算する。入力された実数χを二進数表現した場合における０．５のビット列の小数点位置とχの最上位ビット（ｍｓｂ）との差を表す正整数をｅとし、実数χに対して以下の変形を行う。

すなわち、2^eを乗じて区間[0.5, 1)に正規化し、逆数

を求めた後に２^ｅを乗じる処理を秘密計算で行う。逆数においては、標準的である[0.5, 1)への正規化では８次多項式近似で21ビット程度の精度となる。一般的に単精度で23ビットの精度が必要とされるため、さらに精度を向上するテクニックを導入する必要がある。通常、最左ビットを移動して[0.5, 1)に正規化するのだが、その後さらに最左ビットの１ビット下が０であれば（すなわち値が[0.5, 0.75)であれば）1.5を乗ずる。すると、[0.5, 0.75)が[0.75, 1.125)へと動くので、[0.75, 1)であれば何もしないことと合わせると、[0.75, 1.125)に正規化されることになる。[0.75, 1.125)は[0.5, 1)よりも狭い区間であるため、近似区間が狭いほど精度が向上する補間多項式近似においては有効なテクニックである。

　≪逆数用正規化プロトコル≫
入力：［χ］
出力：［ｘ］，［ν］
ただし、χを二進数表現した場合における小数点位置をιとすると、ｘはχのｍｓｂをιの位置に移動した後、χのｍｓｂの１ビット下のビットが０であればさらに１．５を乗じた値である。ｘは［０．７５，１．１２５）に正規化されている。νはｘ＝χνを満たす値である。
１：秘密計算装置は、秘密分散値［χ］を用いた秘密計算によるビット分解により、χを二進数表現した場合のビット列χ_０…χ_Ｌ－１に対するビット表現χ_０，…，χ_Ｌ－１の秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を得る。
２：秘密計算装置は、秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を用いた秘密計算によって、ビット列χ_０…χ_Ｌ－１の最上位ビット（ｍｓｂ）χ_ｍｓｂに対応するビットη_ｍｓｂが１であり、ビットη_ｍｓｂ以外のビットη_ξ（ξ∈｛０，…，Ｌ－１｝）が０であるｍｓｂフラグ列η_０，…，η_Ｌ－１の秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を得る。この処理は前述したステップＳ４６と同じである。
３：秘密計算装置は、秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝，｛η_０｝，…，｛η_Ｌ－１｝を用いた秘密計算によって、２≦ｉ＜Ｌで｛ω_ｉ｝＝｛（￢χ_ｉ-２∧η_ｉ-１）（ＸＯＲ）η_ｉ｝を得る。
４：秘密計算装置は、秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を用いた秘密計算によって秘密分散値｛ω_０｝＝｛ω_１｝＝｛０｝，｛ω_Ｌ｝＝｛￢η_Ｌ－２∧η_Ｌ－１｝を得る。ビット列χ_０…χ_Ｌ－１のｍｓｂの１ビット下の入力ビットが１であれば、ｍｓｂの１ビット上のω_ｉが１となる。次のステップで｛ω_０｝，｛ω_１｝，｛ω_２｝，…，｛ω_Ｌ－１｝の上下桁を逆転して結合するため、ここでは上下桁を逆転して秘密分散値｛ω_０｝，｛ω_１｝，｛ω_２｝，…，｛ω_Ｌ－１｝を設定している。
５：秘密計算装置は、秘密分散値｛ω_０｝，｛ω_１｝，｛ω_２｝，…，｛ω_Ｌ－１｝を用いた秘密計算によるビット結合により、｛ω_Ｌ－１｝，…，｛ω_０｝を結合して［ν］を得て出力する。νはχに乗じられた場合、χのｍｓｂを定められた場所に移動し、さらにχのｍｓｂの１ビット下のビットが０であれば１．５をχに乗ずるという数になっている。
６：秘密計算装置は、秘密分散値［ｘ］＝［χ］［ν］を得る。

　≪逆数プロトコル≫
入力：［χ］
出力：［１／χ］
１：秘密計算装置は、上述の逆数用正規化プロトコルにより、実数χを［０．７５，１．１２５）に正規化した値ｘの秘密分散値［ｘ］、および当該正規化のために秘密分散値［χ］に乗じられる秘密分散値［ν］を得る。
２：秘密計算装置は、秘密計算によって、秘密分散値［ｘ］から秘密分散値［ｆｕｎｃ（ｘ）］を得る。ただし、実施例１のｆｕｎｃ（ｘ）はｘの逆数関数を近似する多項式である。秘密計算装置は、例えば、第１～３実施形態またはその変形例の方法を用いて秘密分散値［ｗ］＝［ｆｕｎｃ（ｘ）］を得る。
３：秘密計算装置は、秘密分散値［ｗ］，［ν］を用いた秘密計算によって秘密分散値［ｗ］［ν］を得て出力する。

　＜実施例２：平方根の逆数関数の例＞
　実施例２では、実数χの平方根の逆数関数値１／√χの秘密分散値を計算する。平方根の逆数関数では、上述の逆数関数と同じ考え方で［０．５，１）に正規化する。ただし、２^ｅではなく√（２^ｅ）が乗じられる。実施例２では、実数χに対して以下の変形を行う。

つまり、実数χに２^ｅを掛けて正規化し、２^ｅχの平方根の逆数

を求めた後に√（２^ｅ）を乗じる処理を秘密計算で行う。

　≪平方根の逆数用正規化プロトコル≫
入力：［χ］
出力：［ｘ］，［φ］，［ν’］
ただし、χを二進数表現した場合における小数点位置をιとすると、ｘはχのｍｓｂをι－１の位置に移動した値である。実施例２では、φは最後に計算値に√２を掛ける必要があるかどうかを表す真理値である。ν’は最後に掛けるべき２のべき乗値である。
１：秘密計算装置は、秘密分散値［χ］を用いた秘密計算によるビット分解により、χを二進数表現した場合のビット列χ_０…χ_Ｌ－１に対するビット表現χ_０，…，χ_Ｌ－１の秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を得る。
２：秘密計算装置は、Ｌ’＝ｃｅｉｌ（Ｌ／２）を得る。ただし、ｃｅｉｌは天井関数である。
３：秘密計算装置は、秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を用いた秘密計算によって、０≦ｉ＜ｆｌｏｏｒ（Ｌ／２）で、秘密分散値｛χ’_ｉ｝＝｛χ_ｉ∨χ_ｉ＋１｝を得る。ただし、ｆｌｏｏｒは床関数である。
４：秘密計算装置は、Ｌが奇数なら、｛χ’_Ｌ’－１｝＝｛χ_Ｌ－１｝と設定する。
５：秘密計算部は、秘密分散値｛χ’_０｝，…，｛χ’_Ｌ－１｝を用いた秘密計算によって、ビット列χ’_０…χ’_Ｌ－１の最上位ビット（ｍｓｂ）χ’_ｍｓｂに対応するビットη_ｍｓｂが１であり、ビットη_ｍｓｂ以外のビットη_ξ（ξ∈｛０，…，Ｌ’－１｝）が０であるｍｓｂフラグ列η_０，…，η_Ｌ－１の秘密分散値｛η_０｝，…，｛η_Ｌ’－１｝を得て出力する。この処理はχ_ｉをχ’_ｉとし、ＬをＬ’とした前述のステップＳ４６と同じである。
６：秘密計算部は、秘密分散値｛η_０｝，…，｛η_Ｌ’－１｝を用いた秘密計算でのビット結合により、ｍｓｂフラグ列η_Ｌ’－１，…，η_０をビット結合したｍｓｂフラグ値ν’の秘密分散値［ν’］を得て出力する。
７：秘密計算部は、０≦ｉ＜ｆｌｏｏｒ（Ｌ／２）で、｛χ”_ｉ｝＝｛χ_２ｉ｝と設定する。
８：秘密計算部は、Ｌが奇数なら、｛χ”_Ｌ’－１｝＝｛χ_Ｌ－１｝と設定する。
９：秘密計算部は、秘密分散値｛χ”_０｝，…，｛χ”_Ｌ’－１｝，｛η_０｝，…，｛η_Ｌ’－１｝を用いた積和の秘密計算によって、秘密分散値｛φ｝＝｛η_０χ”_０＋…＋η_Ｌ’－１χ”_Ｌ’－１｝を得る。
１０：秘密計算部は、秘密分散値｛φ｝を秘密分散値［φ］に変換して出力する。φはχのｍｓｂが偶数ビット目にあるかどうかを表す真理値である。χのｍｓｂが偶数ビット目にある場合にはφ＝１であり、そうでない場合にはφ＝０である。
１１：秘密計算部は、秘密分散値［ν’］，［φ］，［χ］を用いた秘密計算によって、秘密分散値［ｘ］＝［ν’］［ν’］［φ？２χ：χ］を得て出力する。ただし、φ？２χ：χは、φ＝１のときに２χであり、φ＝０のときにχである。

　≪平方根の逆数プロトコル≫
入力：［χ］
出力：［１／√χ］
１：秘密計算部は、上述した平方根の逆数用正規化プロトコルにより、実数χを［０．５，１）に正規化した値ｘの秘密分散値［ｘ］、および正規化の逆演算に必要な秘密分散値［ν’］，［φ］を得る。
２：秘密計算部は、第２実施形態もしくは３実施形態またはそれらの変形例の方法を用いて、秘密計算によって、秘密分散値［ｘ］から秘密分散値［ｆｕｎｃ（ｘ）］を得る。ただし、ｆｕｎｃ（ｘ）はｘの平方根の逆数関数を近似する多項式である。また、ステップＳ２３ではφ＝１のときにγが√２γに置換される（ステップＳ２３’）。同様に、ステップＳ３２ではφ＝１のときにγが√２γに置換される（ステップＳ３２’）。ステップＳ２３’，Ｓ３２’の処理の詳細は後述する。
３：秘密計算部は、秘密分散値［ｆｕｎｃ（ｘ）］，［ν’］を用いた秘密計算によって、秘密分散値［１／√χ］＝［ｆｕｎｃ（ｘ）］［ν’］を得て出力する。

　以下にステップＳ２３’，Ｓ３２’の処理内容を例示する。
　≪第２実施形態の方法が用いられる場合（ステップＳ２３’）≫
　秘密計算部は、上述のように［０．５，１）に正規化した値ｘの秘密分散値［ｘ］に対し、前述した第２実施形態のステップＳ１０，Ｓ１１，Ｓ２２を実行する。その後、秘密計算部は、ステップＳ２３に代えて以下のステップＳ２３２の処理を実行する。
　ステップＳ２３２：秘密計算部は、秘密分散値［ｘ］，［ｙ］，［ｚ］，［φ］を用いた秘密計算により、φ＝１のときに秘密分散値［ｆｕｎｃ（ｘ）］＝［（√２）γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力し、φ＝０のときに秘密分散値［ｆｕｎｃ（ｘ）］＝［γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力する。

　秘密計算部は、例えば、以下のようにステップＳ２３２の処理を実行する（ステップＳ２３２ａ～Ｓ２３２ｃ）。
　秘密計算部は、乗数ｍ_０＝１，ｍ_１＝√２および正整数σ０，σ１を用いて公開値２^σ０／ｍ_０，２^σ１／ｍ_１を得て出力する。ただし、σ０，σ１は、それぞれ乗数ｍ_０，ｍ_１が大きい場合に必要となる右シフト量を表すビット数である正整数である（ステップＳ２３２ａ）。

　秘密計算装置は、秘密分散値［ｘ］，［ｙ］，［ｚ］とステップＳ２３２ａで得られた公開値２^σ０／ｍ_０，２^σ１／ｍ_１とを用いた公開値除算の秘密計算［γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］／（２^σ０／ｍ_０），［γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］／（２^σ１／ｍ_１）を行って、ｍ_０γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）をσ０ビットだけ右シフトした値の秘密分散値［ｍ_０γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］_ｒおよびｍ_１γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）をσ１ビットだけ右シフトした値の秘密分散値［ｍ_１γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］_ｒを得て出力する（ステップＳ２３２ｂ）。

　秘密計算装置は、秘密分散値［φ］，［ｍ_０γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］_ｒ，［ｍ_１γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］_ｒを用いた秘密計算によって、ｍ_φγ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［φ？ｍ_０γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）：ｍ_１γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力する。すなわち、秘密計算部はφ＝０の場合に［ｆｕｎｃ（ｘ）］＝［γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力し、φ＝１の場合に［ｆｕｎｃ（ｘ）］＝［（√２）γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力する（ステップＳ２３２ｃ）。

　≪第２実施形態の変形例の方法が用いられる場合（ステップＳ２３’）≫
　秘密計算部は、上述のように［０．５，１）に正規化した値ｘの秘密分散値［ｘ］に対し、前述した第２実施形態の変形例のステップＳ１０，Ｓ１１，Ｓ２２を実行する。その後、秘密計算部は、ステップＳ２３に代えて以下のステップＳ２３２’の処理を実行する。
　ステップＳ２３２’：秘密計算部は、秘密分散値［ｘ］，［ｙ］，［ｚ］，［φ］を用いた積和の秘密計算により秘密分散値［ｗ’／γ］＝［ｚ（αｚ＋ｄ-ｎ／γ）＋（βｘ＋ｆ-ｏ／γ）ｙ＋（ｇ-ｐ）ｘ＋（Ｈ-ｑ）／γ］を得、φ＝１のときに（√２）γによる乗算と小数点位置の下降を行い、φ＝０のときにγによる乗算と小数点位置の下降を行って、秘密分散値［ｗ’］を得る。さらに、秘密計算部は、秘密分散値［ｗ’］，［ｘ］，［ｙ］，［ｚ］を用いた秘密計算により秘密分散値［ｆｕｎｃ（ｘ）］＝［ｗ’＋（ｎｚ＋ｏｙ＋ｐｘ＋ｑ）］を得る。

　秘密計算部は、例えば、以下のようにステップＳ２３２’の処理を実行する（ステップＳ２３２ａ’～Ｓ２３２ｅ’）。
　秘密計算部は、秘密分散値［ｘ］，［ｙ］，［ｚ］を用いた積和の秘密計算により秘密分散値［ｗ’／γ］＝［ｚ（αｚ＋ｄ-ｎ／γ）＋（βｘ＋ｆ-ｏ／γ）ｙ＋（ｇ-ｐ）ｘ＋（Ｈ-ｑ）／γ］を得る（ステップＳ２３２ａ’）。

　秘密計算部は、乗数ｍ_０＝１，ｍ_１＝√２および正整数σ０，σ１を用いて公開値２^σ０／ｍ_０，２^σ１／ｍ_１を得て出力する（ステップＳ２３２ｂ’）。

　秘密計算装置は、秘密分散値［ｗ’／γ］とステップＳ２３２ｂ’で得られた公開値２^σ０／ｍ_０，２^σ１／ｍ_１とを用いた公開値除算の秘密計算［ｗ’／γ］／（２^σ０／γｍ_０），［ｗ’／γ］／（２^σ１／γｍ_１）を行って、ｍ_０ｗ’をσ０ビットだけ右シフトした値の秘密分散値［ｍ_０ｗ’］_ｒおよびｍ_１ｗ’をσ１ビットだけ右シフトした値の秘密分散値［ｍ_１ｗ’］_ｒを得て出力する（ステップＳ２３２ｃ’）。

　秘密計算装置は、秘密分散値［φ］，［ｍ_０ｗ’］_ｒ，［ｍ_１ｗ’］_ｒを用いた秘密計算によって、ｍ_φｗ’の秘密分散値［ｆｕｎｃ（ｘ）］＝［φ？ｍ_０ｗ’：ｍ_１ｗ’］を得て出力する。すなわち、秘密計算部はφ＝０の場合に秘密分散値［ｆｕｎｃ’（ｘ）］＝［ｗ’］を得て出力し、φ＝１の場合に秘密分散値［ｆｕｎｃ’（ｘ）］＝［（√２）ｗ’］を得て出力する（ステップＳ２３２ｄ’）。

　秘密計算部は、秘密分散値［ｆｕｎｃ’（ｘ）］，［ｘ］，［ｙ］，［ｚ］を用いた秘密計算により秘密分散値［ｆｕｎｃ（ｘ）］＝［ｆｕｎｃ’（ｘ）＋（ｎｚ＋ｏｙ＋ｐｘ＋ｑ）］を得る（ステップＳ２３２ｅ’）。

　≪第３実施形態の方法が用いられる場合（ステップＳ３２’）≫
　秘密計算部は、上述のように［０．５，１）に正規化した値ｘの秘密分散値［ｘ］に対し、前述した第３実施形態のステップＳ１０，Ｓ１１を実行する。その後、秘密計算部は、ステップＳ３２に代えて以下のステップＳ３２３の処理を実行する。
　ステップＳ３２３：秘密計算部は、秘密分散値［ｘ］，［ｙ］，［φ］を用いた秘密計算により、φ＝１のときに秘密分散値［ｆｕｎｃ（ｘ）］＝［（√２）γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力し、φ＝０のときに秘密分散値［ｆｕｎｃ（ｘ）］＝［γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力する。

　秘密計算部は、例えば、以下のようにステップＳ３２３の処理を実行する（ステップＳ３２３ａ～Ｓ３２３ｃ）。
　秘密計算部は、乗数ｍ_０＝１，ｍ_１＝√２および正整数σ０，σ１を用いて公開値２^σ０／ｍ_０，２^σ１／ｍ_１を得て出力する（ステップＳ３２３ａ）。

　秘密計算装置は、秘密分散値［ｘ］，［ｙ］とステップＳ３２３ａで得られた公開値２^σ０／ｍ_０，２^σ１／ｍ_１とを用いた公開値除算の秘密計算［γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］／（２^σ０／ｍ_０），［γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］／（２^σ１／ｍ_１）を行って、ｍ_０γ（ｙ（ζｙ＋ｂ）＋ｃｘ）をσ０ビットだけ右シフトした値の秘密分散値［ｍ_０γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］_ｒおよびｍ_１γ（ｙ（ζｙ＋ｂ）＋ｃｘ）をσ１ビットだけ右シフトした値の秘密分散値［ｍ_１γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］_ｒを得て出力する（ステップＳ３２３ｂ）。

　秘密計算装置は、秘密分散値［φ］，［ｍ_０γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］_ｒ，［ｍ_１γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］_ｒを用いた秘密計算によって、ｍ_φγ（ｙ（ζｙ＋ｂ）＋ｃｘ）の秘密分散値［φ？ｍ_０γ（ｙ（ζｙ＋ｂ）＋ｃｘ）：ｍ_１γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力する。すなわち、秘密計算部はφ＝０の場合に［ｆｕｎｃ（ｘ）］＝［γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力し、φ＝１の場合に［ｆｕｎｃ（ｘ）］＝［（√２）γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力する（ステップＳ３２３ｃ）。

　≪第３実施形態の変形例の方法が用いられる場合（ステップＳ３２’）≫
　秘密計算部は、上述のように［０．５，１）に正規化した値ｘの秘密分散値［ｘ］に対し、前述した第３実施形態の変形例のステップＳ１０，Ｓ１１を実行する。その後、秘密計算部は、ステップＳ３２に代えて以下のステップＳ３２３’の処理を実行する。

　ステップＳ３２３’：秘密計算部は、秘密分散値［ｘ］，［ｙ］，［φ］を用いた積和の秘密計算により［ｚ’／γ］＝［ｙ（ζｙ＋ｂ－ｋ／γ）＋（ｃ－ｓ／γ）ｘ－ｍ／γ］を得、φ＝１のときに（√２）γによる乗算と小数点位置の下降を行い、φ＝０のときにγによる乗算と小数点位置の下降を行って、秘密分散値［ｆｕｎｃ’（ｘ）］を得る。秘密計算部３２は、秘密分散値［ｆｕｎｃ’（ｘ）］と秘密分散値［ｘ］，［ｙ］を用いた秘密計算によって秘密分散値［ｆｕｎｃ（ｘ）］＝［ｆｕｎｃ’（ｘ）＋（ｋｙ＋ｓｘ＋ｍ）］を得て出力する。

　秘密計算部は、例えば、以下のようにステップＳ３２３’の処理を実行する（ステップＳ３２３ａ’～Ｓ３２３ｃ’）。
　秘密計算部は、秘密分散値［ｘ］，［ｙ］を用いた積和の秘密計算により［ｚ’／γ］＝［ｙ（ζｙ＋ｂ－ｋ／γ）＋（ｃ－ｓ／γ）ｘ－ｍ／γ］を得る（ステップＳ３２３ａ’）。

　秘密計算部は、乗数ｍ_０＝１，ｍ_１＝√２および正整数σ０，σ１を用いて公開値２^σ０／ｍ_０，２^σ１／ｍ_１を得て出力する（ステップＳ３２３ｂ’）。

　秘密計算部は、秘密分散値［ｗ’／γ］とステップＳ３２３ｂ’で得られた公開値２^σ０／ｍ_０，２^σ１／ｍ_１とを用いた公開値除算の秘密計算［ｗ’／γ］／（２^σ０／γｍ_０），［ｗ’／γ］／（２^σ１／γｍ_１）を行って、ｍ_０ｗ’をσ０ビットだけ右シフトした値の秘密分散値［ｍ_０ｗ’］_ｒおよびｍ_１ｗ’をσ１ビットだけ右シフトした値の秘密分散値［ｍ_１ｗ’］_ｒを得て出力する（ステップＳ３２３ｃ’）。

　秘密計算装置は、秘密分散値［φ］，［ｍ_０ｗ’］_ｒ，［ｍ_１ｗ’］_ｒを用いた秘密計算によって、ｍ_φｗ’の秘密分散値［ｆｕｎｃ（ｘ）］＝［φ？ｍ_０ｗ’：ｍ_１ｗ’］を得て出力する。すなわち、秘密計算部はφ＝０の場合に秘密分散値［ｆｕｎｃ’（ｘ）］＝［ｗ’］を得て出力し、φ＝１の場合に秘密分散値［ｆｕｎｃ’（ｘ）］＝［（√２）ｗ’］を得て出力する（ステップＳ３２３ｄ’）。

　秘密計算部は、秘密分散値［ｆｕｎｃ’（ｘ）］，［ｘ］，［ｙ］を用いた秘密計算により秘密分散値［ｆｕｎｃ（ｘ）］＝［ｆｕｎｃ’（ｘ）＋（ｋｙ＋ｓｘ＋ｍ）］を得て出力する（ステップＳ３２３ｅ’）。

　＜実施例３：平方根関数の例＞
　実施例３では、実数χの平方根√χの秘密分散値を計算する。平方根の逆数関数では、上述の逆数関数と同じ考え方で［１，２）に正規化する。実施例３では、実数χに対して以下の変形を行う。

つまり、実数χに２^ｅを掛けて正規化し、２^ｅχの平方根√（２^ｅχ）を求めた後に√（２^ｅ）で除する処理を秘密計算で行う。

　≪平方根用正規化プロトコル≫
入力:［χ］
出力:［ｘ］，［φ］，［ν’］
ただし、χを二進数表現した場合における小数点位置をιとすると、ｘはχのｍｓｂをιの位置に移動した値である。実施例３では、φは最後に計算値を√２で割る必要があるかどうかを表す真理値である。ν’は最後に掛けるべき２のべき乗値である。
１：秘密計算装置は、秘密分散値［χ］を用いた秘密計算によるビット分解により、χを二進数表現した場合のビット列χ_０…χ_Ｌ－１に対するビット表現χ_０，…，χ_Ｌ－１の秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を得る。
２：秘密計算装置は、秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を用いた秘密計算によって、ビット列χ_０…χ_Ｌ－１の最上位ビット（ｍｓｂ）χ_ｍｓｂに対応するビットη_ｍｓｂが１であり、ビットη_ｍｓｂ以外のビットη_ξ（ξ∈｛０，…，Ｌ－１｝）が０であるｍｓｂフラグ列η_０，…，η_Ｌ－１の秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を得る。この処理は前述したステップＳ４６と同じである。
３：秘密計算装置は、Ｌ’＝ｃｅｉｌ（Ｌ／２）を得る。ただし、ｃｅｉｌは天井関数である。
４：秘密計算装置は、秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を用いた秘密計算により、各ｉ＜Ｌ’で、秘密分散値｛ω_ｉ｝＝｛η_２ｉ｝（ＸＯＲ）｛η_２ｉ＋１｝を得る。ただし、Ｌが奇数のとき、｛ω_Ｌ－１｝＝｛η_２ｉ｝とする。
５：秘密計算装置は、秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を用いた秘密計算により秘密分散値｛φ｝＝｛η_１｝（ＸＯＲ）｛η_３｝（ＸＯＲ）｛η_５｝（ＸＯＲ）…を得る。最後に計算値を√２で割る必要がある場合にはφ＝１であり、最後に計算値を√２で割る必要がない場合にはφ＝０である。
６：秘密計算装置は、秘密分散値｛φ｝を秘密分散値［φ］に変換する。
７：秘密計算装置は、秘密分散値｛ω_０｝，｛ω_１｝，｛ω_２｝，…，｛ω_Ｌ－１｝を用いた秘密計算によるビット結合により、｛ω_０｝，…，｛ω_Ｌ’－１｝を結合して［ν’］を得て出力する。
８：秘密計算装置は、秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を用いた秘密計算により、｛η_Ｌ－１｝，…，｛η_０｝を結合して［ν］を得て出力する。
９：秘密計算装置は、秘密分散値［χ］，［ν］を用いた秘密計算により、秘密分散値［ｘ］＝［χ］［ν］を得て出力する。

　≪平方根プロトコル≫
入力：［χ］
出力：［√χ］
１：秘密計算装置は、上述の平方根用正規化プロトコルにより、実数χを［１，２）に正規化した値ｘの秘密分散値［ｘ］、および正規化の逆演算に必要な秘密分散値［ν’］，［φ］を得る。
２：秘密計算装置は、Ｌ’＝ｃｅｉｌ（Ｌ／２）を得る。
３：秘密計算装置は、Ｌが奇数ならφ’＝√２とし、偶数ならφ’＝１に設定する。
４：秘密計算部は、第２実施形態もしくは３実施形態またはそれらの変形例の方法を用いて、秘密計算によって、秘密分散値［ｘ］から秘密分散値［ｆｕｎｃ（ｘ）］を得る。ただし、ｆｕｎｃ（ｘ）はｘの平方根関数を近似する多項式である。また、ステップＳ２３ではφ＝１のときにγがγφ’／√２に置換され、φ＝０のときにγがγφ’に置換される（ステップＳ２３”）。同様に、ステップＳ３２ではφ＝１のときにγが（φ’／√２）γに置換され、φ＝０のときにγがφ’γに置換される（ステップＳ３２”）。ステップＳ２３”，Ｓ３２”の処理の詳細は後述する。
５：秘密計算部は、秘密分散値［ｆｕｎｃ（ｘ）］，［ν’］を用いた秘密計算によって、秘密分散値［√χ］＝［ｆｕｎｃ（ｘ）］［ν’］を得て出力する。

　以下にステップＳ２３”，Ｓ３２”の処理内容を例示する。
　≪第２実施形態の方法が用いられる場合（ステップＳ２３”）≫
　秘密計算部は、上述のように［１，２）に正規化した値ｘの秘密分散値［ｘ］に対し、前述した第２実施形態のステップＳ１０，Ｓ１１，Ｓ２２を実行する。その後、秘密計算部は、ステップＳ２３に代えて以下のステップＳ２３４の処理を実行する。
　ステップＳ２３４：秘密計算部は、秘密分散値［ｘ］，［ｙ］，［ｚ］，［φ］を用いた秘密計算により、φ＝１のときに秘密分散値［ｆｕｎｃ（ｘ）］＝［（γφ’／√２）（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力し、φ＝０のときに秘密分散値［ｆｕｎｃ（ｘ）］＝［γφ’（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力する。

　秘密計算部は、例えば、以下のようにステップＳ２３４の処理を実行する（ステップＳ２３４ａ～Ｓ２３４ｃ）。
　秘密計算部は、乗数ｍ_０＝φ’，ｍ_１＝φ’／√２および正整数σ０，σ１を用いて公開値２^σ０／ｍ_０，２^σ１／ｍ_１を得て出力する（ステップＳ２３４ａ）。

　秘密計算装置は、秘密分散値［ｘ］，［ｙ］，［ｚ］とステップＳ２３４ａで得られた公開値２^σ０／ｍ_０，２^σ１／ｍ_１とを用いた公開値除算の秘密計算［γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］／（２^σ０／ｍ_０），［γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］／（２^σ１／ｍ_１）を行って、ｍ_０γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）をσ０ビットだけ右シフトした値の秘密分散値［ｍ_０γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］_ｒおよびｍ_１γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）をσ１ビットだけ右シフトした値の秘密分散値［ｍ_１γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］_ｒを得て出力する（ステップＳ２３４ｂ）。

　秘密計算装置は、秘密分散値［φ］，［ｍ_０γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］_ｒ，［ｍ_１γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］_ｒを用いた秘密計算によって、ｍ_φγ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［φ？ｍ_０γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）：ｍ_１γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力する。すなわち、秘密計算部はφ＝０の場合に［ｆｕｎｃ（ｘ）］＝［φ’γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力し、φ＝１の場合に［ｆｕｎｃ（ｘ）］＝［（φ’／√２）γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力する（ステップＳ２３４ｃ）。

　≪第２実施形態の変形例の方法が用いられる場合（ステップＳ２３”）≫
　秘密計算部は、上述のように［１，２）に正規化した値ｘの秘密分散値［ｘ］に対し、前述した第２実施形態の変形例のステップＳ１０，Ｓ１１，Ｓ２２を実行する。その後、秘密計算部は、ステップＳ２３に代えて以下のステップＳ２３４’の処理を実行する。
　ステップＳ２３４’：秘密計算部は、秘密分散値［ｘ］，［ｙ］，［ｚ］，［φ］を用いた積和の秘密計算により秘密分散値［ｗ’／γ］＝［ｚ（αｚ＋ｄ-ｎ／γ）＋（βｘ＋ｆ-ｏ／γ）ｙ＋（ｇ-ｐ）ｘ＋（Ｈ-ｑ）／γ］を得、φ＝１のときにγφ’／√２による乗算と小数点位置の下降を行い、φ＝０のときにγφ’による乗算と小数点位置の下降を行って、秘密分散値［ｗ’］を得る。さらに、秘密計算部は、秘密分散値［ｗ’］，［ｘ］，［ｙ］，［ｚ］を用いた秘密計算により秘密分散値［ｆｕｎｃ（ｘ）］＝［ｗ’＋（ｎｚ＋ｏｙ＋ｐｘ＋ｑ）］を得る。

　秘密計算部は、例えば、以下のようにステップＳ２３４’の処理を実行する（ステップＳ２３４ａ’～Ｓ２３４ｅ’）。
　秘密計算部は、秘密分散値［ｘ］，［ｙ］，［ｚ］を用いた積和の秘密計算により秘密分散値［ｗ’／γ］＝［ｚ（αｚ＋ｄ-ｎ／γ）＋（βｘ＋ｆ-ｏ／γ）ｙ＋（ｇ-ｐ）ｘ＋（Ｈ-ｑ）／γ］を得る（ステップＳ２３４ａ’）。

　秘密計算部は、乗数ｍ_０＝φ’，ｍ_１＝φ’／√２および正整数σ０，σ１を用いて公開値２^σ０／ｍ_０，２^σ１／ｍ_１を得て出力する（ステップＳ２３４ｂ’）。

　秘密計算装置は、秘密分散値［ｗ’／γ］とステップＳ２３４ｂ’で得られた公開値２^σ０／ｍ_０，２^σ１／ｍ_１とを用いた公開値除算の秘密計算［ｗ’／γ］／（２^σ０／γｍ_０），［ｗ’／γ］／（２^σ１／γｍ_１）を行って、ｍ_０ｗ’をσ０ビットだけ右シフトした値の秘密分散値［ｍ_０ｗ’］_ｒおよびｍ_１ｗ’をσ１ビットだけ右シフトした値の秘密分散値［ｍ_１ｗ’］_ｒを得て出力する（ステップＳ２３４ｃ’）。

　秘密計算装置は、秘密分散値［φ］，［ｍ_０ｗ’］_ｒ，［ｍ_１ｗ’］_ｒを用いた秘密計算によって、ｍ_φｗ’の秘密分散値［ｆｕｎｃ（ｘ）］＝［φ？ｍ_０ｗ’：ｍ_１ｗ’］を得て出力する。すなわち、秘密計算部はφ＝０の場合に秘密分散値［ｆｕｎｃ’（ｘ）］＝［φ’ｗ’］を得て出力し、φ＝１の場合に秘密分散値［ｆｕｎｃ’（ｘ）］＝［（φ’／√２）ｗ’］を得て出力する（ステップＳ２３４ｄ’）。

　秘密計算部は、秘密分散値［ｆｕｎｃ’（ｘ）］，［ｘ］，［ｙ］，［ｚ］を用いた秘密計算により秘密分散値［ｆｕｎｃ（ｘ）］＝［ｆｕｎｃ’（ｘ）＋（ｎｚ＋ｏｙ＋ｐｘ＋ｑ）］を得る（ステップＳ２３４ｅ’）。

　≪第３実施形態の方法が用いられる場合（ステップＳ３２”）≫
　秘密計算部は、上述のように［１，２）に正規化した値ｘの秘密分散値［ｘ］に対し、前述した第３実施形態のステップＳ１０，Ｓ１１を実行する。その後、秘密計算部は、ステップＳ３２に代えて以下のステップＳ３２５の処理を実行する。
　ステップＳ３２５：秘密計算部は、秘密分散値［ｘ］，［ｙ］，［φ］を用いた秘密計算により、φ＝１のときに秘密分散値［ｆｕｎｃ（ｘ）］＝［（φ’／√２）γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力し、φ＝０のときに秘密分散値［ｆｕｎｃ（ｘ）］＝［φ’γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力する。

　秘密計算部は、例えば、以下のようにステップＳ３２５の処理を実行する（ステップＳ３２５ａ～Ｓ３２５ｃ）。
　秘密計算部は、乗数ｍ_０＝φ’，ｍ_１＝φ’／√２および正整数σ０，σ１を用いて公開値２^σ０／ｍ_０，２^σ１／ｍ_１を得て出力する（ステップＳ３２５ａ）。

　秘密計算装置は、秘密分散値［ｘ］，［ｙ］とステップＳ３２５ａで得られた公開値２^σ０／ｍ_０，２^σ１／ｍ_１とを用いた公開値除算の秘密計算［γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］／（２^σ０／ｍ_０），［γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］／（２^σ１／ｍ_１）を行って、ｍ_０γ（ｙ（ζｙ＋ｂ）＋ｃｘ）をσ０ビットだけ右シフトした値の秘密分散値［ｍ_０γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］_ｒおよびｍ_１γ（ｙ（ζｙ＋ｂ）＋ｃｘ）をσ１ビットだけ右シフトした値の秘密分散値［ｍ_１γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］_ｒを得て出力する（ステップＳ３２５ｂ）。

　秘密計算装置は、秘密分散値［φ］，［ｍ_０γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］_ｒ，［ｍ_１γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］_ｒを用いた秘密計算によって、ｍ_φγ（ｙ（ζｙ＋ｂ）＋ｃｘ）の秘密分散値［φ？ｍ_０γ（ｙ（ζｙ＋ｂ）＋ｃｘ）：ｍ_１γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力する。すなわち、秘密計算部はφ＝０の場合に［ｆｕｎｃ（ｘ）］＝［φ’γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力し、φ＝１の場合に［ｆｕｎｃ（ｘ）］＝［（φ’／√２）γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力する（ステップＳ３２５ｃ）。

　≪第３実施形態の変形例の方法が用いられる場合（ステップＳ３２”）≫
　秘密計算部は、上述のように［１，２）に正規化した値ｘの秘密分散値［ｘ］に対し、前述した第３実施形態の変形例のステップＳ１０，Ｓ１１を実行する。その後、秘密計算部は、ステップＳ３２に代えて以下のステップＳ３２５’の処理を実行する。

　ステップＳ３２５’：秘密計算部は、秘密分散値［ｘ］，［ｙ］，［φ］を用いた積和の秘密計算により［ｚ’／γ］＝［ｙ（ζｙ＋ｂ－ｋ／γ）＋（ｃ－ｓ／γ）ｘ－ｍ／γ］を得、φ＝１のときに（φ’／√２）γによる乗算と小数点位置の下降を行い、φ＝０のときにφ’γによる乗算と小数点位置の下降を行って、秘密分散値［ｆｕｎｃ’（ｘ）］を得る。秘密計算部３２は、秘密分散値［ｆｕｎｃ’（ｘ）］と秘密分散値［ｘ］，［ｙ］を用いた秘密計算によって秘密分散値［ｆｕｎｃ（ｘ）］＝［ｆｕｎｃ’（ｘ）＋（ｋｙ＋ｓｘ＋ｍ）］を得て出力する。

　秘密計算部は、例えば、以下のようにステップＳ３２５’の処理を実行する（ステップＳ３２５ａ’～Ｓ３２５ｃ’）。
　秘密計算部は、秘密分散値［ｘ］，［ｙ］を用いた積和の秘密計算により［ｚ’／γ］＝［ｙ（ζｙ＋ｂ－ｋ／γ）＋（ｃ－ｓ／γ）ｘ－ｍ／γ］を得る（ステップＳ３２５ａ’）。

　秘密計算部は、乗数ｍ_０＝φ’，ｍ_１＝φ’／√２および正整数σ０，σ１を用いて公開値２^σ０／ｍ_０，２^σ１／ｍ_１を得て出力する（ステップＳ３２５ｂ’）。

　秘密計算部は、秘密分散値［ｗ’／γ］とステップＳ３２５ｂ’で得られた公開値２^σ０／ｍ_０，２^σ１／ｍ_１とを用いた公開値除算の秘密計算［ｗ’／γ］／（２^σ０／γｍ_０），［ｗ’／γ］／（２^σ１／γｍ_１）を行って、ｍ_０ｗ’をσ０ビットだけ右シフトした値の秘密分散値［ｍ_０ｗ’］_ｒおよびｍ_１ｗ’をσ１ビットだけ右シフトした値の秘密分散値［ｍ_１ｗ’］_ｒを得て出力する（ステップＳ３２５ｃ’）。

　秘密計算装置は、秘密分散値［φ］，［φ’］，［ｍ_０ｗ’］_ｒ，［ｍ_１ｗ’］_ｒを用いた秘密計算によって、ｍ_φｗ’の秘密分散値［ｆｕｎｃ（ｘ）］＝［φ？ｍ_０ｗ’：ｍ_１ｗ’］を得て出力する。すなわち、秘密計算部はφ＝０の場合に秘密分散値［ｆｕｎｃ’（ｘ）］＝［φ’ｗ’］を得て出力し、φ＝１の場合に秘密分散値［ｆｕｎｃ’（ｘ）］＝［（φ’／√２）ｗ’］を得て出力する（ステップＳ３２５ｄ’）。

　秘密計算部は、秘密分散値［ｆｕｎｃ’（ｘ）］，［ｘ］，［ｙ］を用いた秘密計算により秘密分散値［ｆｕｎｃ（ｘ）］＝［ｆｕｎｃ’（ｘ）＋（ｋｙ＋ｓｘ＋ｍ）］を得て出力する（ステップＳ３２５ｅ’）。

　＜実施例４：指数関数の例＞
　実施例４では、実数ｘの指数関数値ｅｘｐ（ｘ）の秘密分散値を計算する。指数関数は入力に加法性があるため、入力を以下の３パートに分解する。
I．想定される入力の最小値μ
II.ｘ-μの小数点以下ｔビット以上の上位ｕビットｘ_０，…，ｘ_ｕ-１
III．ｘ-μのｘ_０よりも下位ビット全体が表す数ｘ_ρ
　ｅｘｐｘ＝ｅｘｐ μ ｅｘｐ２^-ｔｘ_０，…，ｅｘｐ２^ｕ-ｔ-１ｘ_ｕ-１ｅｘｐｘ_ρとする。ｅｘｐ μは公開値、ｅｘｐ２^-ｔｘ_０，・・・，ｅｘｐ２^ｕ-ｔ-１ｘ_ｕ-１は表による計算である。ｅｘｐｘ_ρが近似により計算する箇所であり、［０，２^-ｔ）に正規化される。
入力：［ｘ］
出力：［ｅｘｐ（ｘ）］
設定済のパラメータ：ｔ＝-１
１：秘密計算装置は、秘密計算によって［ｘ’］＝［ｘ］-μを得る。ただし、μは想定されるｘの最小値である。
２：秘密計算装置は、秘密計算により、小数点以下ｔビットより上位のビットをビット分解で取り出してｍｏｄ　ｐ変換し、［ｘ’_０］，…，［ｘ’_ｕ-１］を得る。
３：秘密計算装置は、秘密計算により、各０≦ｉ＜ｕで、ｆ_ｉ，ε_ｉをそれぞれｅｘｐ（２^ｉ-ｔ）の仮数部、指数部とする。
４：秘密計算装置は、秘密計算によって、ｉ＝０，…，ｕ－１について、ｘ’_ｉ’＝０ならばＦ_ｉ＝１、ｘ’_ｉ’＝１ならばＦ_ｉ＝ｆ_ｉとした

を得る。
５：秘密計算装置は、秘密計算によって、各０≦ｉ＜ｕで、選択肢公開のｉｆ－ｔｈｅｎ－ｅｌｓｅゲートにより［ε’_ｉ］＝ｉｆ［ｘ’_ｉ］ｔｈｅｎ２^εｉｅｌｓｅ１を計算する。
６：秘密計算装置は、秘密計算によって、各ｉに関する［ε’_ｉ］の積［ε’］を得る（ε’＝ε’_０…ε’_ｕ－１）。これはｅｘｐ（ｘ’）の上位ビット部分の指数部の２のべき乗値である。
７：秘密計算装置は、秘密計算によって、

を得る。これはｅｘｐ（ｘ’）の下位ビット部分の表す数である。
８：秘密計算装置は、秘密計算によって、秘密分散値［ｘ’_ρ］から秘密分散値［ｗ］＝［ｆｕｎｃ（ｘ）］を得る。ただし、ｗ＝ｆｕｎｃ（ｘ）はｘの指数関数ｅｘｐｘを近似する多項式である。秘密計算装置は、例えば、ｘ＝ｘ’_ρとした第１～３実施形態またはその変形例の方法を用いて秘密分散値［ｗ］＝［ｆｕｎｃ（ｘ）］を得る。
９：秘密計算装置は、秘密計算によって、［ｗ］［ｆ’］［ε’］ｅｘｐ（μ）を得て出力する。例えば、秘密計算装置は、秘密計算によって、公開値２^σ／ｅｘｐ（μ）を得、秘密分散値［ｗ］［ｆ’］［ε’］と得られた公開値２^σ／ｅｘｐ（μ）とを用いた公開値除算の秘密計算［ｗ］［ｆ’］［ε’］／（２^σ／ｅｘｐ（μ））を行って、ｗｆ’ε’ｅｘｐ（μ）をαビットだけ右シフトした値の秘密分散値［ｗ］［ｆ’］［ε’］ｅｘｐ（μ）を得て出力する。

　［各初等関数に関する計算済みのパラメータの例］
　図６に初等関数が逆数関数、平方根関数、平方根の逆数関数、指数関数、対数関数である場合の計算済みのパラメータを例示する。なお、ｅｘ，ｅｙ，ｅｚはそれぞれｘ，ｙ，ｚの小数点位置を示す。また、ｅ’ｘ，ｅ’ｙ，ｅ’ｚはそれぞれ右シフト前のｘ’，ｙ’，ｚ’の小数点位置を示す。これらの小数点位置は、下位ビットから数えた小数点位置のビット位置を表す。このビット位置を表す値は０から始まり、下位ビットから数えてｅ１ビット目が１を表すときに、小数点位置がｅ１であると表記する。

　［ハードウェア構成］
　各実施形態における秘密計算装置１～４および各実施例における秘密計算装置は、例えば、ＣＰＵ（central processing unit）等のプロセッサ（ハードウェア・プロセッサ）やＲＡＭ（random-access memory）・ＲＯＭ（read-only memory）等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される装置である。このコンピュータは１個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めＲＯＭ等に記録されていてもよい。また、ＣＰＵのようにプログラムが読み込まれることで機能構成を実現する電子回路（circuitry）ではなく、単独で処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。また、１個の装置を構成する電子回路が複数のＣＰＵを含んでいてもよい。

　図５は、各実施形態における秘密計算装置１～４および各実施例における秘密計算装置のハードウェア構成を例示したブロック図である。図７に例示するように、この例の秘密計算装置１～４は、ＣＰＵ（Central Processing Unit）１０ａ、出力部１０ｂ、出力部１０ｃ、ＲＡＭ（Random Access Memory）１０ｄ、ＲＯＭ（Read Only Memory）１０ｅ、補助記憶装置１０ｆ及びバス１０ｇを有している。この例のＣＰＵ１０ａは、制御部１０ａａ、演算部１０ａｂ及びレジスタ１０ａｃを有し、レジスタ１０ａｃに読み込まれた各種プログラムに従って様々な演算処理を実行する。また、出力部１０ｂは、データが出力される出力端子、ディスプレイ等である。また、出力部１０ｃは、所定のプログラムを読み込んだＣＰＵ１０ａによって制御されるＬＡＮカード等である。また、ＲＡＭ１０ｄは、ＳＲＡＭ (Static Random Access Memory)、ＤＲＡＭ (Dynamic Random Access Memory)等であり、所定のプログラムが格納されるプログラム領域１０ｄａ及び各種データが格納されるデータ領域１０ｄｂを有している。また、補助記憶装置１０ｆは、例えば、ハードディスク、ＭＯ（Magneto-Optical disc）、半導体メモリ等であり、所定のプログラムが格納されるプログラム領域１０ｆａ及び各種データが格納されるデータ領域１０ｆｂを有している。また、バス１０ｇは、ＣＰＵ１０ａ、出力部１０ｂ、出力部１０ｃ、ＲＡＭ１０ｄ、ＲＯＭ１０ｅ及び補助記憶装置１０ｆを、情報のやり取りが可能なように接続する。ＣＰＵ１０ａは、読み込まれたＯＳ（Operating System）プログラムに従い、補助記憶装置１０ｆのプログラム領域１０ｆａに格納されているプログラムをＲＡＭ１０ｄのプログラム領域１０ｄａに書き込む。同様にＣＰＵ１０ａは、補助記憶装置１０ｆのデータ領域１０ｆｂに格納されている各種データを、ＲＡＭ１０ｄのデータ領域１０ｄｂに書き込む。そして、このプログラムやデータが書き込まれたＲＡＭ１０ｄ上のアドレスがＣＰＵ１０ａのレジスタ１０ａｃに格納される。ＣＰＵ１０ａの制御部１０ａｂは、レジスタ１０ａｃに格納されたこれらのアドレスを順次読み出し、読み出したアドレスが示すＲＡＭ１０ｄ上の領域からプログラムやデータを読み出し、そのプログラムが示す演算を演算部１０ａｂに順次実行させ、その演算結果をレジスタ１０ａｃに格納していく。このような構成により、図１から図４に例示した秘密計算装置１～４および各実施例における秘密計算装置の機能構成が実現される。

　上述のプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は非一時的な（non-transitory）記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。

　このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。上述のように、このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　各実施形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　なお、本発明は上述の実施形態に限定されるものではない。例えば、具体例を示した以外の初等関数を秘密計算を行う場合に本発明が用いられてもよい。また、上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　本発明は、例えば、データを秘匿化しつつ秘密計算で行う機械学習やデータマイニングでの逆数関数、平方根関数、指数関数、対数関数などの初等関数の計算に利用できる。

１～４　秘密計算装置

Claims

　ｘ，ｙ，ｚが実数であり、ａ，ｂ，ｃ，δ，ζが実数係数であり、・の秘密分散値が［・］であり、
　前記実数ｘの秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得る第１秘密計算部と、
　前記秘密分散値［ｘ］および前記秘密分散値［ｙ］を用いた秘密計算によって前記実数ｘの初等関数近似値ｚ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［ｙ（ζｙ＋ｂ）＋ｃｘ］を得て出力する第２秘密計算部と、
を有する秘密計算装置。
　ｘ，ｙ，ｚ，ｗが実数であり、ａ，ｂ，ｃ，ｄ，ｆ，ｇ，α，β，γ，δ，ζが実数係数であり、・の秘密分散値が［・］であり、
　前記実数ｘの秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得る第１秘密計算部と、
　前記秘密分散値［ｘ］および前記秘密分散値［ｙ］を用いた秘密計算によって秘密分散値［ｚ］＝［ｙ（ζｙ＋ｂ）＋ｃｘ］を得る第２秘密計算部と、
　前記秘密分散値［ｘ］、前記秘密分散値［ｙ］、および前記秘密分散値［ｚ］を用いた秘密計算によって前記実数ｘの初等関数近似値ｗ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力する第３秘密計算部と
を有する秘密計算装置。
　ｘ，ｙ，ｚが実数であり、ａ，ｂ，ｃ，γ，δ，ζが実数係数であり、・の秘密分散値が［・］であり、
　前記実数ｘの秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得る第１秘密計算部と、
　前記秘密分散値［ｘ］および前記秘密分散値［ｙ］を用いた秘密計算によって前記実数ｘの初等関数近似値ｚ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力する第２秘密計算部と、
を有する秘密計算装置。
　請求項１から３の何れかの秘密計算装置であって、
　χが実数であり、ｐが正整数であり、Ｌが２以上の整数であり、［・］がｐを法とした剰余環上の要素・を線形秘密分散した秘密分散値であり、｛・｝が２を法とした剰余環上の要素・を線形秘密分散した秘密分散値であり、
　前記実数χの秘密分散値［χ］を用いた秘密計算によって前記実数χのＬビット表現χ_０…χ_Ｌ－１の秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を得る第５秘密計算部と、
　前記秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を用いた秘密計算によって、ビット列χ_０…χ_Ｌ－１の最上位ビットχ_ｍｓｂに対応するビットη_ｍｓｂが１であり、前記ビットη_ｍｓｂ以外のビットη_ξ（ξ∈｛０，…，Ｌ－１｝）が０であるｍｓｂフラグ列η_０，…，η_Ｌ－１の秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を得る第６秘密計算部と、
　前記秘密分散値｛χ_０｝，…，｛χ_Ｌ－１｝を用いた秘密計算によって、０≦ｉ＜Ｌ－１における秘密分散値｛ρ_ｉ｝＝｛ρ_ｉ＋１∨χ_ｉ｝および秘密分散値｛ρ_Ｌ－１｝＝｛χ_Ｌ－１｝を得る第７秘密計算部と、
　前記秘密分散値｛ρ_０｝，…，｛ρ_Ｌ－１｝を用いた秘密計算によって、ρ_０，…，ρ_Ｌ－１のうち１である要素の個数を表すカウント値θの秘密分散値［θ］を得る第８秘密計算部と、
　前記秘密分散値｛η_０｝，…，｛η_Ｌ－１｝を用いた秘密計算によって前記ｍｓｂフラグ列η_０，…，η_Ｌ－１をビット結合したｍｓｂフラグ値ν＝η_０…η_Ｌ－１の秘密分散値［ν］を得る第９秘密計算部と、
　前記秘密分散値［χ］および前記秘密分散値［ν］を用いた秘密計算によって秘密分散値［ｘ］＝［χ］［ν］を得る第１０秘密計算部と、
　前記秘密分散値［ｆｕｎｃ（ｘ）］および前記秘密分散値［θ］を用いた秘密計算によって［ｌｏｇ χ］＝［ｆｕｎｃ（ｘ）］－［θ］を得て出力する第１１秘密計算部と、
を有する秘密計算装置。
　ｘ，ｙ，ｚが実数であり、ａ，ｂ，ｃ，δ，ζが実数係数であり、・の秘密分散値が［・］であり、
　第１秘密計算部が、前記実数ｘの秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得る第１秘密計算ステップと、
　第２秘密計算部が、前記秘密分散値［ｘ］および前記秘密分散値［ｙ］を用いた秘密計算によって前記実数ｘの初等関数近似値ｚ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［ｙ（ζｙ＋ｂ）＋ｃｘ］を得て出力する第２秘密計算ステップと、
を有する秘密計算方法。
　ｘ，ｙ，ｚ，ｗが実数であり、ａ，ｂ，ｃ，ｄ，ｆ，ｇ，α，β，γ，δ，ζが実数係数であり、・の秘密分散値が［・］であり、
　第１秘密計算部が、前記実数ｘの秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得る第１秘密計算ステップと、
　第２秘密計算部が、前記秘密分散値［ｘ］および前記秘密分散値［ｙ］を用いた秘密計算によって秘密分散値［ｚ］＝［ｙ（ζｙ＋ｂ）＋ｃｘ］を得る第２秘密計算ステップと、
　第３秘密計算部が、前記秘密分散値［ｘ］、前記秘密分散値［ｙ］、および前記秘密分散値［ｚ］を用いた秘密計算によって前記実数ｘの初等関数近似値ｗ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［γ（ｚ（αｚ＋ｄ）＋ｙ（βｘ＋ｆ）＋ｇｘ）］を得て出力する第３秘密計算ステップと
を有する秘密計算方法。
　ｘ，ｙ，ｚが実数であり、ａ，ｂ，ｃ，γ，δ，ζが実数係数であり、・の秘密分散値が［・］であり、
　第１秘密計算部が、前記実数ｘの秘密分散値［ｘ］を用いた秘密計算によって秘密分散値［ｙ］＝［δｘ^２＋ａｘ］を得る第１秘密計算ステップと、
　第２秘密計算部が、前記秘密分散値［ｘ］および前記秘密分散値［ｙ］を用いた秘密計算によって前記実数ｘの初等関数近似値ｚ＝ｆｕｎｃ（ｘ）の秘密分散値［ｆｕｎｃ（ｘ）］＝［γ（ｙ（ζｙ＋ｂ）＋ｃｘ）］を得て出力する第２秘密計算ステップと、
を有する秘密計算方法。
　請求項１から４の何れかの秘密計算装置としてコンピュータを機能させるためのプログラム。