WO2023233622A1

WO2023233622A1 - 秘密計算装置、秘密計算方法、プログラム

Info

Publication number: WO2023233622A1
Application number: PCT/JP2022/022486
Authority: WO
Inventors: 大喜道廣
Original assignee: 日本電信電話株式会社
Priority date: 2022-06-02
Filing date: 2022-06-02
Publication date: 2023-12-07

Abstract

欠損値を含み暗号化されたバリュー列を含む入力データを秘匿したまま計算する秘密計算装置であって、対応するバリューが欠損値である場合に0を暗号化した値であり、対応するバリューが欠損値でない場合に1を暗号化した値であるフラグの列であるフラグ列を生成するフラグ列生成部と、フラグ列のフラグの値を総和して欠損値を除く真のデータの数を計算する真データ数計算部を含む。

Description

秘密計算装置、秘密計算方法、プログラム

　本発明は、欠損値が含まれる入力データを秘匿したまま、欠損値を除くデータの代表値を計算する秘密計算装置、秘密計算方法、プログラムに関する。

　暗号化された数値を復元することなく特定の演算結果を得る方法として、秘密計算と呼ばれる方法がある（例えば、非特許文献１、非特許文献２参照）。非特許文献１に記載された方法では、３つの秘密計算装置に数値の断片を分散させるという暗号化を行い、３つの秘密計算装置が協調計算を行うことにより、数値を復元することなく、加減算、定数加算、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を３つの秘密計算装置に分散された状態、すなわち暗号化したまま保持することができる。また非特許文献２では秘密計算で実行可能な関数が具体的に示されている。近年は、秘密計算上で機械学習を行う提案もなされている。

千田浩司，濱田浩気，五十嵐大，高橋克巳，"軽量検証可能３パーティ秘匿関数計算の再考"，In CSS，2010．桐淵直人，五十嵐大，濱田浩気，菊池亮，"プログラマブルな秘密計算ライブラリMEVAL3"，In SCIS，2018 the pandas development team、"pandas.DataFrame.fillna"、［online］、［令和 4年 5月 27日検索］、インターネット〈 URL：https://pandas.pydata.org/docs/reference/api/pandas.DataFrame.fillna.html〉

　データにはしばしば欠損が存在する。例えば、アンケート調査において、回答者が回答をしなかったり、またデータがセンサーによって取得されるときに何らかの理由でセンサーがデータを取得できなかったりした場合などに該当のデータは欠損となる。こういったデータの欠損は欠損値と呼ばれる。欠損値以外に欠測値、空値、NA(Not Available)などと表現される場合もある。データに欠損値が含まれる場合、多くの機械学習モデルは当該データを学習データとして扱うことができない。このような場合、欠損値をそのデータを表す代表値に置換する処理が一般的によく行われる（非特許文献３）。代表値として、欠損値を除いたデータの平均値や中央値、最頻値を使うことが一般的である。

　しかし、秘密計算において欠損値が含まれるデータの代表値を算出する方法は自明ではないため、従来技術を秘密計算上の機械学習に適用して、欠損値を補完することはできない。

　そこで本発明では、欠損値が含まれるデータについて、欠損値の件数や場所を秘匿したまま代表値を算出するためのデータ変形を実現する秘密計算装置を提供することを目的とする。

　本発明の秘密計算装置は、欠損値を含み暗号化されたバリュー列を含む入力データを秘匿したまま計算する秘密計算装置であって、フラグ列生成部と、真データ数計算部を含む。

　フラグ列生成部は、対応するバリューが欠損値である場合に0を暗号化した値であり、対応するバリューが欠損値でない場合に1を暗号化した値であるフラグの列であるフラグ列を生成する。真データ数計算部は、フラグ列のフラグの値を総和して欠損値を除く真のデータの数を計算する。

　本発明の秘密計算装置によれば、欠損値が含まれるデータについて、欠損値の件数や場所を秘匿したまま代表値を算出するためのデータ変形を実現する。

ネットワークに接続された複数の秘密計算装置による秘密分散処理を説明するブロック図。実施例１の秘密計算装置の機能構成を示すブロック図。実施例１の秘密計算装置の動作を示すフローチャート。実施例１の平均値演算部の機能構成を示すブロック図。実施例１の平均値演算部の動作を示すフローチャート。実施例１の平均値演算部の補正バリュー列生成部により処理されるデータの例を示す図。実施例１の中央値演算部の機能構成を示すブロック図。実施例１の中央値演算部の動作を示すフローチャート。実施例１の中央値演算部の欠損値上書き部により処理されるデータの例を示す図。実施例１の中央値演算部のバリュー昇順ソート部、インデックスフラグ列生成部により処理されるデータの例を示す図。実施例１の中央値演算部の奇数フラグ列生成部、偶数フラグ列生成部により処理されるデータの例を示す図。実施例１の最頻値演算部の機能構成を示すブロック図。実施例１の最頻値演算部の動作を示すフローチャート。実施例１の最頻値演算部の欠損値上書き部、バリュー昇順ソート部、境界フラグ列生成部により処理されるデータの例を示す図。実施例１の最頻値演算部のバリューベクトル生成部、頻度ベクトル生成部、最頻値出力部により処理されるデータの例を示す図。コンピュータの機能構成例を示す図。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　図１を参照して、ネットワーク９に接続された実施例１の複数の秘密計算装置１－１，…１－ｐ，…１－Ｐ（Ｐは２以上の整数、ｐ＝１，…，Ｐ）による秘密分散処理を説明する。同図に示すように本実施例の秘密計算装置１－１，…１－ｐ，…１－Ｐは、相互に通信可能にネットワーク９に接続されている。Ｐ台の秘密計算装置１－１，…１－ｐ，…１－Ｐは何れも同じ機能を有しており、総称する場合には秘密計算装置１と呼称する。秘密計算装置１が取り扱うデータは、同図に示す構成により、秘密分散により暗号化されており、暗号化されたまま計算されるものとする。

　なお、本発明の秘密計算装置が取り扱うデータは、何らかの方法で暗号化され、暗号化されたまま計算されることが必要であるものの、必ずしも秘密分散により暗号化されることが必要というわけではない。

　図２を参照して、欠損値を含み暗号化されたバリュー列を含む入力データを秘匿したまま計算する装置である秘密計算装置１の機能構成を説明する。同図に示すように本実施例の秘密計算装置１は、フラグ列生成部１１と、真データ数計算部１２と、平均値演算部１３と、中央値演算部１４と、最頻値演算部１５を含む。以下、図３を参照して、各構成要件の動作を説明する。

＜フラグ列生成部１１＞
　欠損値を含み暗号化されたバリュー列をn≧2個の値からなるv = v₁, ..., v_nとし、任意のバリューの値をインデックスiを使ってv_iと表記する。vについて、欠損値を検査した結果をフラグ列f = f₁, ..., f_nで表記し、また欠損値をNAで表記することとする。

　フラグ列生成部１１は、対応するバリューが欠損値(NA)である場合に0を暗号化した値であり、対応するバリューが欠損値(NA)でない場合に1を暗号化した値であるフラグの列であるフラグ列

を生成する（Ｓ１１）。ここで欠損値の検査は参考特許文献１で提案されている方法を用いることができる。

（参考特許文献１：特許第５９５７１２６号公報）
＜真データ数計算部１２＞
真データ数計算部１２は、フラグ列のフラグの値を総和(Σⁿ _i=1 f_i)して欠損値を除く真のデータの数mを計算する（Ｓ１２）。従って、真データ数計算部１２は、m = Σⁿ _i=1 f_iにより、真のデータの数mを計算する。

＜平均値演算部１３＞
　平均値演算部１３は、バリュー列とフラグ列と真のデータ数mに基づいて、バリュー列の平均値を演算する（Ｓ１３）。詳細については後述する。

＜中央値演算部１４＞
　中央値演算部１４は、バリュー列とフラグ列と真のデータ数mに基づいて、バリュー列の中央値を演算する（Ｓ１４）。詳細については後述する。

＜最頻値演算部１５＞
　最頻値演算部１５は、バリュー列とフラグ列と真のデータ数mに基づいて、集約総和演算を用いてバリュー列の最頻値を演算する（Ｓ１５）。詳細については後述する。

　なお、集約関数は、テーブルにキー属性とバリュー属性があるときに、キー属性の値に基づいてグループ分けした統計値を得る演算であり、集約総和は、集約関数の一つであり、テーブルをキー属性の値に基づいてグループ分けしたときに、グループごとに所望のバリュー属性の総和を集計する演算である。集約総和演算は例えば参考特許文献２で提案されている方法を用いることができる。

（参考特許文献２：特許６９７３６３２号公報）
　参考特許文献２の秘密集約総和システムは
・キー属性の値に基づいてソートしたときのバリュー属性のベクトル
・キー属性の値に基づいてグループ分けしたときに各グループの最後の要素が真、その他の要素が偽であるフラグ
・グループ数
・キー属性の値が重複なく要素になっているベクトル
を入力とし、
・グループごとのバリュー属性の総和を表すベクトル
を出力する。

＜平均値演算部１３の詳細な機能構成＞
　以下、図４を参照して、平均値演算部１３の詳細な機能構成を説明する。同図に示すように本実施例の平均値演算部１３は、補正バリュー列生成部１３１と、平均値計算部１３２を含む。以下、図５を参照して、各構成要件の動作を説明する。

≪補正バリュー列生成部１３１≫
　補正バリュー列生成部１３１は、バリューと対応するフラグの積、すなわちv' = v×fを補正バリューとし、補正バリュー列v'を生成する（Ｓ１３１）。なお、欠損値(NA)と0との乗算結果は0になるものとする。よって、補正バリュー列v'は欠損値以外の値についてはバリュー列vにおける値と変わらず、欠損値は0に変換される。補正バリュー列生成部１３１の動作例を図６に示す。同図左の処理前のテーブル、同図右の処理後のテーブルを参照すると、NAが0に変換されていることが分かる。

≪平均値計算部１３２≫
　平均値計算部１３２は、補正バリューの総和を真のデータ数で除算、すなわち、

を計算して、入力データの平均値（mean）を計算する（Ｓ１３２）。

＜中央値演算部１４の詳細な機能構成＞
　以下、図７を参照して、中央値演算部１４の詳細な機能構成を説明する。同図に示すように本実施例の中央値演算部１４は、欠損値上書き部１４１と、バリュー昇順ソート部１４２と、インデックスフラグ列生成部１４３と、中央値インデックス計算部１４４と、奇数フラグ列生成部１４５と、偶数フラグ列生成部１４６と、中央値計算部１４７を含む。以下、図８を参照して、各構成要件の動作を説明する。

≪欠損値上書き部１４１≫
　欠損値上書き部１４１は、インデックスで対応付けられるvとfの各値の組(v_i, f_i)であるデータに対し、fに基づいて降順ソートを行う。ソート処理（安定ソートを含む）は、例えば、参考非特許文献１に記載されたソートを用いることができる。

（参考非特許文献１：五十嵐大，濱田浩気，菊池亮，千田浩司，“超高速秘密計算ソートの設計と実装:秘密計算がスクリプト言語に並ぶ日”，ＣＳＳ２０１７）
　ソート後のvとfをv'とf'と表記する。これにより、欠損値は後方に移動する。図９の左のテーブルに欠損値上書き部１４１によるソート処理前の状態、同図の中央のテーブルに欠損値上書き部１４１によるソート処理後の状態を示す。なお、このソート処理は必須ではなく、適宜省略することができる。

　次に、欠損値上書き部１４１は、欠損値を真のデータにおけるバリューの最大値より大きな値に上書きする（Ｓ１４１）。図９の右のテーブルに欠損値上書き部１４１による上書き処理後の状態を示す。

　例えば欠損値上書き部１４１は欠損値を、その処理系で表現できる最大値で上書きすればよい。値が符号なし整数型で保存されているのであれば最大値は、すべてのビットが1である値（0b1...1）になる。これは1≦i≦nについて、f_i' = 0のとき、v_i'を最大の値で上書きする処理である。

　なお、ステップＳ１４１は、この後の処理である昇順ソートを正しく行うために行われる処理であるため、欠損値を真のデータにおけるバリューの最大値より大きな値に置き換えることは必要であるものの、必ずしもNAをすべてのビットが1である値（0b1...1）に置き換える必要はない。ただ前述したようにバリュー列の値は全て暗号化されているため、バリュー列の値を知らない状態でNAを大きな値に確実に変換するためには、NAをすべてのビットが1である値（0b1...1）に上書きするのが最も簡易な方法であると考えられる。

≪バリュー昇順ソート部１４２≫
　バリュー昇順ソート部１４２は、バリューv'に基づき、バリュー列v'とフラグ列からなるデータを昇順にソートする（Ｓ１４２）。ソート結果をv''と表記するものとする。図１０の左のテーブルにバリュー昇順ソート部１４２による昇順ソート処理前の状態、同図の中央のテーブルにバリュー昇順ソート部１４２による昇順ソート処理後の状態を示す。

≪インデックスフラグ列生成部１４３≫
　インデックスフラグ列生成部１４３は、データの最初の行に対応する値は0（j₁ = 0）を暗号化した値であり、それ以外の行に対応する値は１つ前の行に対応する値に1を加えた値（j₂ = 1, j₃ = 2, ... ,j_n = n-1）を暗号化した値であるインデックスフラグの列であるインデックスフラグ列jを生成する（Ｓ１４３）。図１０の右のテーブルにインデックスフラグ列生成部１４３によるフラグ列生成処理後の状態を示す。

≪中央値インデックス計算部１４４≫
　中央値インデックス計算部１４４は、真のデータ数をmとし、(m-1)/2の小数点を切り捨てた値を中央値インデックスI_med，すなわち、

を計算する（Ｓ１４４）。なお、上式に示した括弧は小数部分を切り捨てる演算を意味する。

≪奇数フラグ列生成部１４５≫
　奇数フラグ列生成部１４５は、インデックスフラグの値と中央値インデックスの値が等しくない場合（I_med≠j_i,1≦i≦n）に値0を暗号化した値であり、インデックスフラグの値と中央値インデックスの値が等しい場合（I_med = j_i, 1≦i≦n）に値1を暗号化した値である奇数フラグの列である奇数フラグ列f_odd，すなわち、

を生成する（Ｓ１４５）。

≪偶数フラグ列生成部１４６≫
　偶数フラグ列生成部１４６は、インデックスフラグの値と中央値インデックスに1を足した値が等しくない場合（I_med+1≠j_i,1≦i≦n）に値0を暗号化した値であり、インデックスフラグの値と中央値インデックスに1を足した値が等しい場合（I_med+1 = j_i,1≦i≦n）に値1を暗号化した値であり、奇数フラグの値が1となる場合に対応する値が1である偶数フラグの列である偶数フラグ列f_even，すなわち、

を生成する（Ｓ１４６）。なお、orは一般的な論理和を行う処理を示す。図１１のテーブルに奇数フラグ列、偶数フラグ列生成後の状態を示す。

≪中央値計算部１４７≫
　中央値計算部１４７は、真のデータ数mが奇数の場合にバリューv''と奇数フラグf_oddの積の総和を中央値として計算し、真のデータ数mが偶数の場合にバリューv''と偶数フラグf_evenの積の総和を２で除算した値、すなわち

を中央値（median）として計算する（Ｓ１４７）。

＜最頻値演算部１５の詳細な機能構成＞
　以下、図１２を参照して、最頻値演算部１５の詳細な機能構成を説明する。同図に示すように本実施例の最頻値演算部１５は、欠損値上書き部１５１と、バリュー昇順ソート部１５２と、境界フラグ列生成部１５３と、グループ数計算部１５４と、バリューベクトル生成部１５５と、頻度ベクトル計算部１５６と、最頻値出力部１５７を含む。

　以下、図１３を参照して、各構成要件の動作を説明する。

≪欠損値上書き部１５１≫
　欠損値上書き部１５１は、欠損値を真のデータにおけるバリューの最大値より大きな値に上書きする（Ｓ１５１）。図１４の左のテーブルに欠損値上書き部１５１による欠損値上書き処理後の状態を示す。

≪バリュー昇順ソート部１５２≫
　バリュー昇順ソート部１５２は、バリューvに基づき、バリュー列とフラグ列からなるデータ(v_i, f_i)を昇順にソートする（Ｓ１５２）。ソートした結果をそれぞれv', f'とする。

　図１４の中央のテーブルにバリュー昇順ソート部１５２による昇順ソート処理後の状態を示す。

≪境界フラグ列生成部１５３≫
　境界フラグ列生成部１５３は、所定のバリューの値とその次のバリューの値が等しい場合（v_i'=v_i+1', 1≦i≦n-1）に、所定のバリューv_i'に対応する値は0を暗号化した値であり、所定のバリューの値とその次のバリューの値が等しくない場合（v_i'≠v_i+1', 1≦i≦n-1）に、所定のバリューv_i'に対応する値は1を暗号化した値であり、バリュー列の最も下の行に位置するバリューv_n'に対応する値は1を暗号化した値である境界フラグの列である境界フラグ列、すなわち、

を生成する（Ｓ１５３）。図１４の右のテーブルに境界フラグ列生成部１５３によるフラグ列生成処理後の状態を示す。この処理によりキー属性v'に含まれる各値の最後の要素のインデックスが1となる境界フラグeを導出することができる。

≪グループ数計算部１５４≫
　グループ数計算部１５４は、境界フラグ列の総和をグループ数gとして、グループ数g = Σⁿ _i=1 e_iを計算する（Ｓ１５４）。

≪バリューベクトル生成部１５５≫
　バリューベクトル生成部１５５は、境界フラグの値1に対応するバリューの値をそれぞれ要素に持つバリューベクトルk、すなわち、1≦i≦n, 1≦j≦gについて先頭からe_i = 1のときk_j = v_i'として、バリューベクトルkを生成する（Ｓ１５５）。バリューベクトルkは、キー属性の値が重複なく要素になっているベクトルである。図１５の左から２番目のテーブルにバリューベクトル生成部１５５により生成されたバリューベクトルの例を示す。

≪頻度ベクトル計算部１５６≫
　頻度ベクトル計算部１５６は、境界フラグの値1に基づいて区切られる各グループ内のフラグの値（バリュー属性）の総和である頻度ベクトルs = s₁, ... ,s_gを計算する（Ｓ１５６）。図１５の左から３番目のテーブルに頻度ベクトル計算部１５６により生成された頻度ベクトルの例を示す。

≪最頻値出力部１５７≫
　最頻値出力部１５７は、バリューベクトルkと頻度ベクトルsの各要素の組からなるデータ(k_i, s_i)を、頻度ベクトルsをキーとして降順ソートし、先頭のバリューベクトルの要素を最頻値（mode = k₁'）として出力する（Ｓ１５７）。図１５の最も右のテーブルに最頻値出力部１５７による降順ソート処理後の状態を示す。

＜実施例１の秘密計算装置１の効果＞
　実施例１の秘密計算装置１によれば、秘密計算によって、欠損値が含まれるデータに対し欠損値の件数や欠損値があるインデックスを秘匿したまま欠損値以外の値の代表値を算出することができる。

＜補記＞
　本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、ＣＰＵ（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるＲＡＭやＲＯＭ、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、ＣＰＵ、ＲＡＭ、ＲＯＭ、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、ＣＤ－ＲＯＭなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

　ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるＲＯＭに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、ＲＡＭや外部記憶装置などに適宜に記憶される。

　ハードウェアエンティティでは、外部記憶装置（あるいはＲＯＭなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にＣＰＵで解釈実行・処理される。その結果、ＣＰＵが所定の機能（上記、…部、…手段などと表した各構成要件）を実現する。

　本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

　既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

　上述の各種の処理は、図１６に示すコンピュータ１００００の記録部１００２０に、上記方法の各ステップを実行させるプログラムを読み込ませ、制御部１００１０、入力部１００３０、出力部１００４０などに動作させることで実施できる。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ－ＲＡＭ（Random Access Memory）、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ－Ｒ（Recordable）／ＲＷ（ReWritable）等を、光磁気記録媒体として、ＭＯ（Magneto-Optical disc）等を、半導体メモリとしてＥＥＰ－ＲＯＭ（Electrically Erasable and Programmable-Read Only Memory）等を用いることができる。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　欠損値を含み暗号化されたバリュー列を含む入力データを秘匿したまま計算する秘密計算装置であって、
　対応するバリューが欠損値である場合に0を暗号化した値であり、対応するバリューが欠損値でない場合に1を暗号化した値であるフラグの列であるフラグ列を生成するフラグ列生成部と、
　前記フラグ列のフラグの値を総和して欠損値を除く真のデータの数を計算する真データ数計算部を含む
　秘密計算装置。
　請求項１に記載の秘密計算装置であって、
　前記バリューと対応するフラグの積を補正バリューとし、補正バリュー列を生成する補正バリュー列生成部と、
　前記補正バリューの総和を前記真のデータ数で除算して、前記入力データの平均値を計算する平均値計算部を含む
　秘密計算装置。
　請求項１に記載の秘密計算装置であって、
　前記欠損値を前記真のデータにおけるバリューの最大値より大きな値に上書きする欠損値上書き部と、
　前記バリューに基づき、前記バリュー列と前記フラグ列からなるデータを昇順にソートするバリュー昇順ソート部と、
　前記データの最初の行に対応する値は0を暗号化した値であり、それ以外の行に対応する値は１つ前の行に対応する値に1を加えた値を暗号化した値であるインデックスフラグの列であるインデックスフラグ列を生成するインデックスフラグ列生成部と、
　前記真のデータ数をmとし、(m-1)/2の小数点を切り捨てた値を中央値インデックスとして計算する中央値インデックス計算部と、
　前記インデックスフラグの値と前記中央値インデックスの値が等しくない場合に値0を暗号化した値であり、前記インデックスフラグの値と前記中央値インデックスの値が等しい場合に値1を暗号化した値である奇数フラグの列である奇数フラグ列を生成する奇数フラグ列生成部と、
　前記インデックスフラグの値と前記中央値インデックスに1を足した値が等しくない場合に値0を暗号化した値であり、前記インデックスフラグの値と前記中央値インデックスに1を足した値が等しい場合に値1を暗号化した値であり、前記奇数フラグの値が1となる場合に対応する値が1である偶数フラグの列である偶数フラグ列を生成する偶数フラグ列生成部と、
　前記真のデータ数が奇数の場合に前記バリューと前記奇数フラグの積の総和を中央値として計算し、前記真のデータ数が偶数の場合に前記バリューと前記偶数フラグの積の総和を２で除算した値を中央値として計算する中央値計算部を含む
　秘密計算装置。
　請求項１に記載の秘密計算装置であって、
　前記欠損値を前記真のデータにおけるバリューの最大値より大きな値に上書きする欠損値上書き部と、
　前記バリューに基づき、前記バリュー列と前記フラグ列からなるデータを昇順にソートするバリュー昇順ソート部と、
　所定のバリューの値とその次のバリューの値が等しい場合に、所定のバリューに対応する値は0を暗号化した値であり、所定のバリューの値とその次のバリューの値が等しくない場合に、所定のバリューに対応する値は1を暗号化した値であり、前記バリュー列の最も下の行に位置するバリューに対応する値は1を暗号化した値である境界フラグの列である境界フラグ列を生成する境界フラグ列生成部と、
　前記境界フラグの値1に対応するバリューの値をそれぞれ要素に持つバリューベクトルを生成するバリューベクトル生成部と、
　前記境界フラグの値1に基づいて区切られる各グループ内の前記フラグの値の総和である頻度ベクトルを計算する頻度ベクトル計算部と、
　前記バリューベクトルと前記頻度ベクトルの各要素の組からなるデータを、前記頻度ベクトルをキーとして降順ソートし、先頭のバリューベクトルの要素を最頻値として出力する最頻値出力部を含む
　秘密計算装置。
　欠損値を含み暗号化されたバリュー列を含む入力データを秘匿したまま計算する秘密計算装置が実行する秘密計算方法であって、
　対応するバリューが欠損値である場合に0を暗号化した値であり、対応するバリューが欠損値でない場合に1を暗号化した値であるフラグの列であるフラグ列を生成するフラグ列生成部と、
　前記フラグ列のフラグの値を総和して欠損値を除く真のデータの数を計算する真データ数計算部を含む
　秘密計算方法。
　コンピュータを請求項１から４の何れかに記載の秘密計算装置として機能させるプログラム。