shukla25a_ja

Federated learning with differential privacy for breast cancer diagnosis enabling secure data sharing and model integrity

原題: Federated learning with differential privacy for breast cancer diagnosis enabling secure data sharing and model integrity 著者: S Shukla, S Rajkumar, A Sinha, M Esha, K Elango… | 会議: nature.com 2025 | 引用: 0 PDF: shukla25a.pdf

---

scientific reports

www.nature.com/scientificreports

OPEN

Federated learning with differential privacy for breast cancer diagnosis enabling secure data sharing and model integrity

Shubhi Shukla¹, Suraksha Rajkumar², Aditi Sinha², Mohamed Esha³, Konguvel Elango² & Vidhya Sampath²

Abstract
デジタル時代において、健康関連の機密情報を扱う際にはプライバシー保護が極めて重要です。本稿では、Federated Learning（FL）と Differential Privacy（DP）を組み合わせて乳がん検出を行う手法を提案します。FL の分散型アーキテクチャにより、医療機関間で生データを共有せずに共同でモデルを学習でき、DP によってモデル更新に統計的ノイズを加えることでプライバシーを強化し、敵対的な攻撃や情報漏洩のリスクを低減します。Breast Cancer Wisconsin Diagnostic データセットを用いて、データ異質性、プライバシー‑精度トレードオフ、計算コストといった課題に対処しました。実験結果から、FL と DP を組み合わせた手法はプライバシーバジェット $\epsilon =1.9$ の下で 96.1 % の精度を達成し、プライバシー保護を強化しつつ性能低下を最小限に抑えました。従来の非 FL（中央集権）モデルは 96.0 % の精度でしたが、データを集中管理する必要があり、プライバシーリスクが残ります。これらの結果は、プライバシー保護型 AI モデルが実臨床で有効に機能できることを示しています。

Keywords
Federated learning, Data security, Privacy preservation, Healthcare, Decentralized machine learning, Differential privacy

Introduction

人工知能（AI）は多くの産業を変革し、特に医療分野では AI の導入が最も有望な領域の一つです。AI モデルは診断精度の向上、治療計画の最適化、医学研究の促進に大きく貢献しています。従来の AI 手法はデータを中央サーバーに集約して学習するため、患者情報が単一のリポジトリに蓄積されます。この集中型アプローチは、プライバシー保護やセキュリティリスク、規制遵守（例：米国の HIPAA、欧州連合の GDPR）に関する懸念を伴います。データセキュリティへの関心が高まる中、分散学習手法が協働的な AI 学習を支援し、データ機密性を保持しながらモデル構築が可能です。

Federated Learning（FL）と Differential Privacy（DP）は、医療分野におけるプライバシー保護に特化した代表的手法です。FL では複数の医療機関が協調して共有モデルをトレーニングし、生データは各施設に残したままモデル更新情報だけを交換します。DP は統計的ノイズをモデル更新に付加することで、個々の患者データが特定されにくくなる「ぼかし」効果を実現します。FL と DP を組み合わせることで、プライバシーを保護しつつ高い予測精度を持つ堅牢な AI モデルを構築でき、規制に準拠した医療アプリケーションに適しています。

Main Contributions

本研究の主な貢献は以下の通りです。

• 乳がん検出タスクに対し、プライバシー保護型 FL を導入し、機密性を保ちつつ分散学習を実現しました。
• FL フレームワーク内に DP を組み込み、データセキュリティを強化しながら高いモデル精度を維持する手法を開発しました。
• 提案手法は従来の中央集権型モデルと比較して、精度向上（96.1 %）かつプライバシー保護を実証しました。
• データ異質性、セキュリティリスク、通信オーバーヘッドといった FL の課題に対し、効果的な対策を提示しました。
• 複数のプライバシー保護技術（DP、Homomorphic Encryption、Secure Multi‑Party Computation）を比較し、DP が実装容易かつ性能面で最も優れた選択肢であることを示しました。
• 将来的な拡張として、ブロックチェーンによるモデル更新の追跡、プライバシー調整可能な DP の適応、スケーラビリティ向上を提案しました。

Results and Discussion

実験では、Breast Cancer Wisconsin Diagnostic データセットを使用し、FL と DP を組み合わせた手法で $\epsilon =1.9$ のプライバシーバジェット下で 96.1 % の精度を達成しました。DP による精度低下はごく僅か（0.1 %）であり、プライバシー保護効果が顕著です。FL は従来の中央集権モデルと比較して、偽陽性・偽陰性率ともに低減し、臨床判断に有用な結果を提供します。DP の計算コストは軽微で、HE や SMPC といった暗号技術と比べても実装が容易です。

Challenges in Deploying FL‑DP

実際の病院環境へ FL‑DP を導入する際には、以下の課題があります。

• 協働体制：異なる医療機関間でのデータ共有合意やプライバシー方針の統一が必要です。
• 標準化された FL プロトコル：通信・更新形式を共通化し、異種システム間でも円滑に連携できるようにします。
• 患者同意取得：フェデレーテッド学習に対する患者の同意プロセスを整備します。
• IT インフラ：既存の電子カルテ（EHR）システムと FL エージェントを統合し、計算リソースやネットワーク帯域を確保します。

実装例として、Google の皮膚科 AI プロジェクトで採用された FL 技術が挙げられ、臨床現場への適用が成功しています。

Future Directions

今後の研究課題は次の通りです。

• ブロックチェーンとの統合：モデル更新のトレーサビリティと改ざん防止を実現します。
• 適応的プライバシー調整：動的に DP のプライバシーパラメータを最適化し、精度と保護のバランスを自動調整します。
• スケーラビリティ向上：大規模データセットや多数の医療機関にわたる FL‑DP を実証し、汎用性を高めます。

Related work

Federated Learning（FL）はプライバシー保護型機械学習として医療分野で広く採用されており、データを共有せずに共同でモデルを訓練できる点が特徴です。初期の研究では、モデル更新から情報漏洩が起こり得ることが指摘され、DP をはじめとするプライバシー保護手法が提案されました。FL は非独立同分布（non‑i.i.d.）データや通信コスト、セキュリティ攻撃（データ汚染、モデル逆推定など）に対処しつつ、規制遵守を支援します ${}^{17-22}$。

医療領域での FL の活用例は多数報告されており、例えば画像診断やバイオマーカー予測などで高い効果が示されています ${}^{23,24}$。FL による分散学習はプライバシー‑精度トレードオフを伴いますが、DP、Homomorphic Encryption（HE）、Secure Multi‑Party Computation（SMPC）といった技術で補完されます ${}^{27}$。特に DP はモデル更新にノイズを加えることで個人情報の保護を行い、実装が容易です。プライバシーバジェットの最適化により、精度低下を抑えつつ十分なプライバシー保護が可能です ${}^{20}$。

DP の限界を補うために、暗号技術として HE と SMPC が提案されています。HE は暗号文上で計算を行い、SMPC は複数参加者が共同で計算結果を得る手法です。どちらも高いプライバシー保護を提供しますが、計算コストが大きくなる点が課題です ${}^{30}$。FL のモデル更新に対する攻撃（データ汚染や逆推定）にも対応でき、ブロックチェーン技術と組み合わせることでモデル更新の改ざん防止や透明性向上が期待されています ${}^{32}$。

さらに、バイオインスパイアド AI 手法を用いた適応的 DP パラメータ調整により、精度低下を抑えつつプライバシー保護を強化する研究も報告されています ${}^{33}$。これらの技術は、実際の医療データセットでの評価を通じて、FL‑DP の有効性と実装可能性が確認されています。

---

References

1. Chen, R. J. et al. Algorithm fairness in AI for medicine and healthcare. arXiv preprint arXiv:2110.00603 (2021).
2. Shukla, S. et al. Federated learning with differential privacy for breast cancer diagnosis enabling secure data sharing and model integrity. Scientific Reports 15, 13061 (2025).

（※本文中の引用は省略せず、必要に応じて追加してください。）

Federated learning with differential privacy for breast cancer diagnosis enabling secure data sharing and model integrity (cont.)

One of the latest developments in FL deployment is its integration with edge computing platforms. Cloud‑based FL architectures traditionally suffer from high latency and network reliance, which slows down real‑time healthcare applications. Edge computing allows FL to conduct computations near data sources (e.g., hospital imaging equipment, wearable sensors), lowering communication overhead and enhancing efficiency (^{34}). This method has shown improved scalability and real‑time processing, making FL more feasible for clinical environments.

Despite these advancements, several challenges remain for real‑world FL deployment in healthcare, including issues related to heterogeneous data distributions, inter‑institutional standardization, and regulatory compliance. Several ongoing studies are exploring the use of FL‑DP in radiology, pathology, and genomic research, demonstrating its scalability across various medical fields. Early findings indicate federated learning is poised to increase model generalizability across heterogeneous hospital datasets without compromising strong privacy guarantees. Such findings attest to the viability of FL‑DP as a long‑term, privacy‑focused solution to AI‑assisted diagnosis.

This work seeks to enable secure collaborative AI‑based breast cancer diagnosis without revealing raw patient data, possibly preserving privacy while maintaining diagnostic accuracy. With FL‑DP, healthcare organizations can securely cooperate collaboratively while meeting stringent regulatory requirements.

Federated learning Overview of federated learning in healthcare

Federated learning is a machine learning approach where the data to be trained remains decentralized across multiple servers while keeping the data localized (^{2,3,4}). The clients (or devices) train the model locally and only send the updates rather than the raw data. Each client possesses its data locally and updates the model with the centralized server (^{4,17}). The central server then aggregates these updates to produce a more efficient ML model (^{3,35}). This approach not only enhances privacy by keeping sensitive information within local devices but also addresses issues inherent in traditional centralized models, such as data‑breach risk and regulatory constraints (^{36}). FL leverages the collective power of many decentralized devices to train ML models without requiring centralized storage of data. The training process is iterative: each client trains locally on its data, sends the updated model (e.g., gradients or weights) to the server, which aggregates them and redistributes the improved global model for further local training (^{37}). To increase security, we apply differential privacy, which adds noise to the model updates and prevents leakage of individual data (^{21}). FL is highly scalable and can be applied to millions of devices, especially useful when data is widely distributed (^{37-39}).

Federated learning architecture

The architecture of Federated Learning (FL) is depicted in Fig. 1, illustrating the interaction between multiple client devices and a central server to facilitate decentralized machine learning while preserving data privacy. This architecture is particularly relevant in sensitive domains such as healthcare, where safeguarding patient data is paramount (^{36}). The system consists of two primary components: Client Devices and the Central Server, each playing distinct roles in the federated learning process (^{17,40}).

• Client devices are the building blocks of the federated learning system. In a decentralized setup (as shown in the figure), each client—represented here as individual hospitals (Hospital A, B, C, and D)—holds a local dataset specific to its environment. This architecture improves data privacy by ensuring that sensitive information, such as patient records, remains stored locally and is never transmitted to remote servers (^{41,42}). The main tasks of client devices include storing raw data, performing local model training, updating the model, and sending the updated parameters to the central server. Each client first receives a global model from the server, then trains it on its own dataset locally, enabling learning from heterogeneous data without exposing the underlying records (^{45}). After training, clients transmit only the model updates (e.g., gradients or weight vectors) for aggregation.

• Central Server coordinates the federated learning process. Its primary responsibilities are to aggregate model updates from all participating clients and redistribute the updated global model back to them. The server does not receive raw data; instead, it securely aggregates model parameters, preserving confidentiality (^{52}). After collecting updates from all clients, the server applies aggregation algorithms such as Federated Averaging (FedAvg) to produce an improved global model that captures knowledge from the entire client population. This updated model is then sent back to each client for the next round of local training, creating an iterative loop until convergence or a predefined accuracy threshold is reached (^{53}).

Even with these benefits, client devices face several challenges:

• Non‑IID data: Different clients may hold datasets that are heterogeneous in distribution and quality. This non‑independent and identically distributed (non‑IID) nature can degrade the performance of the global model unless robust aggregation techniques are employed (^{49,50}).
• Resource variability: Clients differ in computational power, storage capacity, and energy availability, which can lead to uneven training times and varying update sizes (^{44,51}).

The central server also plays a crucial role beyond model aggregation:

• Managing client dropouts (e.g., devices that fail to send updates due to connectivity issues).
• Ensuring synchronization of model updates despite asynchronous arrivals.
• Enhancing privacy through techniques such as differential privacy and secure multi‑party computation during aggregation (^{54}).

Figure 2 provides a comparative overview of Federated Learning (FL) and Centralized Learning (CL) architectures, highlighting key differences in data handling, communication protocols, and privacy controls.

Aspect	Federated system	Centralized system
Data Storage	Local devices (distributed)	Centralized database
Data Exchange	No raw data exchange; only model updates	Raw data continuously sent to the central server
Privacy	High – data remains on device	Low – data stored centrally, risk of breaches
Communication	Optimized for model updates	Requires high bandwidth for data transfer
Performance	Slightly lower due to decentralized data	Higher; model can leverage the complete dataset
Use Cases	Healthcare, finance, IoT devices	E‑commerce, social media, large‑scale analytics

The Federated System (left) distributes raw data across multiple client devices. Each client performs local training and sends only the updated model parameters to the central server, which aggregates them into a global model. This approach enhances privacy and reduces bandwidth usage because only model updates are transmitted rather than full datasets. However, federated learning may experience communication latency, synchronization complexity, and challenges arising from non‑IID data.

The Centralized System (right) aggregates all raw data into a single database where the machine‑learning model is trained on the complete dataset. While this yields potentially higher performance due to access to all data, it requires sending raw data to the central server, which can raise privacy concerns and demands sufficient bandwidth.

Figure 2 illustrates these concepts visually.

Challenges in federated learning

Despite its numerous advantages, Federated Learning (FL) faces several critical challenges that can affect its efficiency, security, and model performance (^{55}). The decentralized nature of FL introduces complexities in data distribution, communication, and security. The major challenges are:

• Data heterogeneity: Client data often exhibits non‑IID characteristics; different clients may have varying data distributions, sizes, and quality. This can lead to a global model that performs well overall but may be biased toward larger or more representative client datasets. Techniques such as personalized federated learning, client clustering, and adaptive aggregation are employed to improve generalization across heterogeneous data.

• Communication overhead: Each training round requires clients to transmit model updates (e.g., gradients or weight vectors) to the server. Large models or a high number of participating clients increase bandwidth usage. Strategies like model compression, update sparsification, asynchronous communication, and federated dropout can reduce communication costs while maintaining performance.

• Security threats: Although FL inherently protects data privacy, additional security measures are needed to guard against attacks such as adversarial updates, model inversion, or membership inference. Differential privacy adds calibrated noise to updates, secure aggregation protocols protect intermediate results, and cryptographic methods (e.g., homomorphic encryption) can further safeguard the aggregated model.

Addressing these challenges is essential for deploying federated learning solutions in real‑world healthcare settings, where data heterogeneity, limited bandwidth, and stringent security requirements are common.

Federated learning with differential privacy for breast cancer diagnosis enabling secure data sharing and model integrity (cont.)

• Communication Overhead: Federated Learning (FL) inherently involves periodic communication between the client devices and the central server with considerable communication overhead (^{57}). In contrast to traditional machine‑learning practice where data is centralized, FL necessitates the transmission of model updates (gradients and weights) after each training iteration. The communication process is heavily bandwidth‑constrained, especially when dealing with large models or a large client population (^{58}). Moreover, in settings with high network latency or unreliable networks, this communication acts as a bottleneck, considerably slowing model training and prolonging convergence times (^{59}). Model compression, update sparsification, and asynchronous communication, as well as federated dropout, can alleviate communication costs; however, these practices incur some cost to model performance and stability.

• Security Concerns: While FL promises greater data privacy by keeping raw data on client devices, it is not immune to various security threats. Even when employing privacy‑preserving methods such as differential privacy and secure multi‑party computation, FL systems remain vulnerable to malicious attacks (^{58,60}). For example, model poisoning attacks can arise when malicious clients deliberately send corrupted or manipulated model updates to the central server, effectively degrading the performance of the global model or causing it to fail entirely (^{13,61}). In addition, inference attacks may enable adversaries to reconstruct sensitive data from the broadcast model updates. To counter such vulnerabilities, incorporating strong defense mechanisms—such as anomaly detection, robust aggregation algorithms (e.g., Krum, Trimmed Mean), and client verification protocols—is essential. However, adding these security practices introduces some computational overhead and complexity (^{62}).

Privacy preservation techniques

Privacy preservation in FL is essential because the data distribution is decentralized; many clients train models locally on their own data and upload only model updates rather than raw data (^{63}). Nevertheless, privacy risks remain: malicious participants can infer sensitive information from the model gradients shared by clients or even central aggregators can compromise privacy (^{64}). Various techniques for preserving privacy have been developed and can be classified into three categories: encryption‑based, perturbation‑based, and masking‑based methods (^{27,39}). Figure 3 illustrates various privacy preservation techniques categorized into encryption‑based, perturbation‑based, masking‑based methods, and tokenization.

Encryption-based techniques

Encryption‑based methods provide strong cryptographic guarantees. Client updates remain confidential even during transmission and aggregation (^{65,66}).

• Secure Multi‑Party Computation (SMPC): SMPC is a technique that allows multiple parties to jointly compute a function over their inputs while keeping the data private (^{67}). In FL, SMPC ensures that no single entity—including the central server—gains access to individual model updates (^{68}). Each client encrypts its update before sharing it, and aggregation is performed on encrypted values. However, SMPC introduces computational overhead, making it more suitable for small‑scale FL applications (^{69}).

• Homomorphic Encryption (HE): Homomorphic Encryption (HE) is a cryptographic technique that enables computations to be performed directly on encrypted data without decryption. In the context of federated learning, HE maintains model updates encrypted even as the server aggregates them, without ever exposing raw data. Clients encrypt their model updates and transmit them; the server aggregates the encrypted values. Although HE provides strong privacy protection by preventing any risk of data exposure, it also incurs significant computational overhead, making it more appropriate for scenarios where data security is a priority at the cost of increased processing complexity (^{64,66}).

Perturbation-based techniques

Perturbation techniques introduce controlled noise into data or model updates, preventing adversaries from reconstructing sensitive information while still allowing meaningful model training.

• Differential Privacy (DP): DP is widely used in FL to prevent information leakage from model updates. The Gaussian mechanism is commonly employed, where random noise drawn from a Gaussian distribution is added to gradients before sharing them with the central aggregator. The privacy budget, denoted by ((\varepsilon,\delta)), controls the trade‑off between privacy and model accuracy (^{70,71}). A smaller (\varepsilon) yields stronger privacy (making it harder to infer individual contributions) but may reduce model performance if the noise is too large (^{72}).

• Local Differential Privacy (LDP): LDP differs from standard DP in that noise is applied directly at the client side before sending updates for aggregation. Even if an adversary intercepts a single client’s update, individual data points are protected (^{73}). However, because noise is added locally, accuracy can be reduced more significantly compared to central DP.

Masking-based techniques

Masking techniques anonymize or pseudonymize data before sharing, reducing the risk of reconstruction while preserving utility (^{74,75}).

• Anonymization: This involves removing or modifying personally identifiable information. In FL, anonymization ensures that client identities are not linked to their model updates, preventing targeted attacks (^{57}). While it does not provide formal mathematical privacy guarantees, it can be vulnerable to de‑anonymization if combined with external datasets (^{77-79}).

• Pseudonymization: Replaces personal identifiers with randomized or hashed values so that they cannot be directly linked back to the individual participants (^{80}). Pseudonymization is weaker than encryption or DP in terms of privacy protection but helps mitigate inference attacks (^{81,82}).

Tokenization

Transforms sensitive data elements into non‑sensitive equivalents (tokens) that have no exploitable value outside the training environment. Within FL, tokenization is often performed together with encryption to protect metadata and ensure compliance with privacy regulations such as GDPR and HIPAA (^{83,84}).

Privacy-preserving techniques in FL: trade‑off considerations

Each technique offers a balance among privacy guarantees, computational efficiency, and communication overhead. The choice of approach depends on the requirements of an FL system:

• Strength of security: Encryption methods such as SMPC and HE provide strong privacy guarantees but incur higher computational cost (^{23,85}).
• Scalability: Differential privacy (DP) and local DP improve scalability while adding noise that may affect model accuracy.
• Lightweight: Anonymization techniques are lightweight; they lack cryptographic privacy guarantees but are easy to implement.

Hybrid approaches are common in practice. For example, combining differential privacy with homomorphic encryption yields a balanced solution that preserves privacy while maintaining good model performance during secure aggregation.

With the integration of these privacy‑preserving techniques, federated learning can effectively protect sensitive data while enabling collaborative model training across distributed clients, especially in privacy‑sensitive domains such as healthcare, finance, and personalized AI systems.

Methodology

Dataset and preprocessing

The successful deployment of federated learning in healthcare relies on a well‑structured workflow. Figure 4 visualizes the hierarchical steps involved in training and deploying a machine‑learning model within a federated learning setting. At the base layer, data collection and preprocessing occur: raw medical data are cleaned, normalized, and organized for model training. Moving upward, local model training takes place on each client device, preserving privacy by keeping patient data decentralized. The next phase involves model aggregation and update, where locally trained models are combined to form a globally optimized model, which is then distributed back to clients for further refinement. At the top, the final model is deployed in clinical applications, aiding breast‑cancer diagnosis. This structured progression highlights how FL ensures privacy, maintains performance across distributed datasets, and enables real‑world medical integration.

Dataset

The Breast Cancer Wisconsin Diagnostic dataset, widely used in machine‑learning research, serves as the foundation of our study. The dataset was obtained from the UCI Machine Learning Repository (^{24}). Table 2 and Figure 5 provide an overview of the Breast Cancer Wisconsin (Diagnostic) dataset.

Attribute	Description
Dataset name	Breast Cancer Wisconsin (Diagnostic)
Source	UCI Machine Learning Repository
Number of samples	569
Number of features	30 (e.g., radius, texture, perimeter, area, etc.)
Target value	Diagnosis (Malignant: 1, Benign: 0)

The dataset contains 569 instances of breast‑cancer tumors, each described by 32 features derived from digitized images of fine‑needle aspirates. Features include measurements such as radius, texture, perimeter, area, smoothness, compactness, concavity, symmetry, and fractal dimension of cell nuclei. The diagnosis is labeled with “B” for benign and “M” for malignant; in the analysis we convert these labels to binary values (1 = malignant, 0 = benign). Consequently, the data set consists of 32 columns plus a target column.

The methodology proceeds as follows: first, we train a baseline model on the entire dataset without federated learning; then, we implement federated learning with differential privacy using TensorFlow. This two‑step approach allows us to compare performance and assess the impact of privacy mechanisms.

Ethical considerations are essential for real‑world deployment of FL in clinical settings. Although the Breast Cancer Wisconsin dataset does not contain personally identifiable information, any future deployment must adhere to institutional review board (IRB) approvals and comply with regulatory standards such as HIPAA (Health Insurance Portability and Accountability Act) and GDPR (General Data Protection Regulation). Explicit patient consent and robust data‑governance policies should be in place to ensure ethical AI deployment.

Data preprocessing

Preprocessing is a critical step that prepares the dataset for machine learning, ensuring data integrity, consistency, and proper feature representation. In this study we followed a systematic pipeline that includes handling missing values, feature scaling, label encoding, and train‑test splitting. Each step was designed to optimize the dataset for federated learning while preserving privacy and improving model performance. Table 3 outlines the preprocessing steps:

Step	Description
Data cleaning	Dropped unnecessary columns (e.g., “Unnamed: 32”, “1d”) and handled missing values
Label encoding	Converted the Diagnosis column to binary values (Malignant = 1, Benign = 0)
Normalization	Applied Z‑score normalization to scale features to a standard range
Train‑test split	Split the dataset into 80 % training and 20 % testing subsets

These preprocessing actions ensure that the data are properly formatted, standardized, and ready for model training and evaluation. Figure 6 illustrates key feature distributions and pairplots of the Breast Cancer Wisconsin Diagnostic dataset, differentiated by diagnosis (malignant vs. benign).

Federated learning with differential privacy for breast cancer diagnosis enabling secure data sharing and model integrity (cont.)

データセットを詳細に検査し、欠損値の有無を確認した結果、データセットには欠損エントリが存在しないことが判明しました。ただし、実際の医療データでは患者記録が未完了であったり、手入力ミスや診断結果の欠落などにより、欠損値が多く見られます。これらの欠損値は平均値または最頻値による補完などの手法で検出・処理され、すべての不完全なレコードが除去されます。このステップは非常に重要です。なぜなら、あるクライアントだけのデータに差異があると、グローバルモデルの性能に影響を与える可能性があるからです。クリーンで完全なデータセットを確保することで、モデルの安定性が向上し、学習時のバイアスが抑制されます。医療データでは欠損値は重要な情報が失われたことを意味し、診断に大きく寄与する可能性があります。そこで、データロスが少ない状況では、K近傍法による補完や回帰ベースの補完といった標準的なインピュテーション手法を適用します。

Feature scaling and normalization

数値属性を正規化するには、特徴量スケーリングが不可欠です。これにより、すべての特徴量が学習プロセスに均等に寄与します。モデルの種類に応じて、以下の2つのスケーリング手法を使用しました：

• Z‑Score 正規化（Federated Learning（ニューラルネットワーク）用）

Z‑Score 正規化

特徴分布を平均 0、標準偏差 1 に変換する Z‑Score 正規化は、次の式で計算されます。

[ Z = \frac{X - \mu}{\sigma} ]

• (Z)：標準化された値（Z スコア）で、データ点 (X) が平均 (\mu) から何個の標準偏差離れているかを示します。
• (X)：元のデータ点または観測値です。
• (\mu)：データセット全体の平均（ギリシャ文字 μ）。
• (\sigma)：データセットの標準偏差（ギリシャ文字 σ）。

この変換により、大きな数値が学習を支配しすぎることを防ぎ、すべての特徴量が類似したスケールになるため、モデル収束がバランスよく進みます。特にニューラルネットワーク系のフェデレーテッド学習では、勾配ベースの最適化において均一にスケールされた入力が重み調整を改善し、勾配爆発や消失のリスクを低減します。

Min–Max Scaling for Tree‑Based Models (Random Forest):

この手法は特徴値を固定範囲 ([0,1]) に変換し、木ベースのモデル（ランダムフォレスト）にとって扱いやすい形にします。Min‑Max スケーリングは勾配降下法に依存するわけではありませんが、正規化された特徴範囲により決定境界の形成が向上し、すべての特徴値が同一範囲に収まるため、木ベースモデルが効率的に分割ノードを作成でき、計算オーバーヘッドも最小限に抑えられます。以下の式が Min‑Max スケーリングを示しています。

[ X_{scaled} = \frac{X - X_{\min}}{X_{\max} - X_{\min}} ]

• (X_{scaled})：Min‑Max 正規化後のスケールされた値。
• (X)：元のデータ点または特徴値。
• (X_{\min})：データセット中の最小値（下限）。
• (X_{\max})：データセット中の最大値（上限）。

スケーリング戦略は、モデルがどのようにデータを処理するかに応じて選択され、フェデレーテッド学習でもローカル学習でも最高の性能を引き出すことが期待されます。特に医療分野では、特徴ごとのスケール差が大きくなることがあるため、適切な正規化はモデル学習の偏りを防ぎます。

Encoding the target variable

機械学習モデルは数値入力を必要とするため、カテゴリカルな診断ラベルを二値化して計算しやすくします (^{90})。診断ラベル ‘B’（良性）と ‘M’（悪性）をそれぞれ以下の数値に変換しました：

• 良性 (B) → 0
• 悪性 (M) → 1

このエンコーディングにより、二項分類タスクでモデルがクラス間の重み付けを容易に行えるようになり、ロジスティック回帰やニューラルネットワークなど非線形損失関数を使用する構造でも過学習しにくくなります。フェデレーテッド学習においては、全クライアントで同一のエンコーディングを保持することがデータ不整合を防ぎます。

Feature selection

特徴選択は機械学習において重要な操作の一つで、モデル訓練時に最も関連性が高く不可欠な特徴を特定し、性能向上と計算コスト削減を図ります。今回の研究では、計算効率の改善、過学習の抑制、そしてモデル解釈性の向上を目的として特徴選択を行いました。Recursive Feature Elimination (RFE) を用いて重要度が高い特徴のみを選択しました。RFE はモデルを反復的に訓練しながら、最も重要でない特徴を順次除外していく手法です。表4に示すように、Random Forest Classifier をエスティメータとして使用し、全特徴量から始め、重要度に基づいて不要な特徴を削除し、最終的に上位10個の特徴が選択されました。

Step	Description
Method used	Recursive Feature Elimination (RFE)
Selected features	Top 10 features selected based on importance
Estimator	Random Forest Classifier
Rationale	Reduce dimensionality and improve model performance

表4. 特徴選択

Federated learning dataset distribution

実世界のフェデレーテッド学習環境を模倣するため、データセットは以下の2つの方式でクライアントに配分しました：IID（独立同分布）設定と Non‑IID（非独立同分布）設定。IID 設定ではデータをシャッフルし、各クライアントへ均等に分割しました。各ユーザーは良性と悪性のサンプルが同じ比率で割り当てられました。この理想的な配置は、FL モデルの相対的な性能測定において最も最適なケースとなります (^{41})。Non‑IID 設定では、データを不均等に配分し、実際の病院間で疾患罹患率が異なる状況を再現しました (^{33,94})。あるクライアントは主に良性サンプルが多く、別のクライアントは主に悪性サンプルが多いデータを受け取ります。これにより、中央集約なしでも FL モデルが均一でないクラス分布に対しても堅牢に分類できるかを評価します。図9 は IID と Non‑IID の2つの配分方法におけるクライアント間のデータ分布の違いを示しています。

Random forest model architecture and training without federated learning

ランダムフォレスト分類器は、単一の決定木が過学習しやすいという課題に対処するために、複数の決定木を作成し、それらの予測結果を統合して最終的な分類精度を向上させるアンサンブル学習手法です。医療診断において誤診が重大な影響を与えるため、ランダムフォレストは特に有用です (^{95})。多数の決定木を用いた多数決（または平均）により、最終予測を行う構造を図10 に示します。

Random Forest architecture and functionality

ランダムフォレストアルゴリズムは、ブートストラップサンプリングによってデータセットから抽出した複数のサブセットに対して個別の決定木を訓練し、各木が独立して予測を行います。その中で最も頻繁に選ばれた結果が最終的な分類として採用されます (^{96})。ランダムフォレストの主な利点は以下の通りです：

• Decision Tree Construction：ランダムフォレストは多数の異なるデータサブセットから構築された決定木を組み合わせます。各木はトレーニングデータに対して独立に学習し、予測時に個別に評価されます。
• Feature Subset Selection：各分割ごとに特徴量の一部だけが選択され、最適な分割基準に基づいて決定されます。これにより木同士の相関を低減し、汎化性能が向上します。
• Voting Mechanism：予測時は全木が入力サンプルに対して分類を行い、最も多数の投票を得たクラスが最終的な出力となります。この多数決（または回帰タスクでは平均）により、過学習を抑制し、モデル全体のロバスト性が高まります。
• Handling Class Imbalance：ランダムフォレストはブートストラップサンプル内でクラス分布を自動的に調整するため、少数クラスに対する感度が向上します。これにより、データセット内の不均衡に対しても効果的に対応できます。

さらに、ランダムフォレストは各特徴量の重要度を数値化でき、医療診断においては「どの特徴が診断決定に寄与したか」を可視化できる点が臨床現場で重宝されます。重要な特徴が明示されることで、専門家はモデルの判断根拠を検証しやすくなります。

Advantages of Random Forest for breast cancer classification

ランダムフォレストは乳がん診断において以下の利点があります：

1. 高い分類精度：多数の決定木を組み合わせることで、単一の木よりも安定した予測性能を提供します。
2. ロバスト性：ブートストラップサンプリングと特徴サブセット選択により、ノイズや外れ値に対して頑健です。
3. 解釈可能性：各特徴量の重要度を定量化でき、診断に寄与した主要な指標（例：腫瘍サイズ、細胞形態など）を明示できます。
4. クラス不均衡への対応：多数決投票により、少数クラス（悪性）でも適切に分類しやすくなります。
5. 計算効率：並列化が容易で、フェデレーテッド学習環境でも各クライアントがローカルで木を構築し、グローバルモデルへ集約しやすい特性があります。

これらの特徴により、ランダムフォレストは乳がん診断タスクにおいて信頼性の高いツールとして広く利用されています。

Random Forest training pipeline

ランダムフォレスト分類器を学習させる手順は、以下の主要なプロセスから構成されます。まずデータセットの前処理を行い、特徴選択・正規化・エンコーディングを実施してモデリングに適した形に整えます。次にブートストラップサンプリングによりトレーニング段階で複数のサブセット（データのランダム抽出）を作成し、各サブセットに対して決定木を独立に学習させます。モデルが構築された後は、テスト集合に対して多数決投票（majority voting）を行い、全ツリーからの予測を集約して最終的なクラスラベルを決定します。評価には混同行列、分類レポート、特徴重要度分析を用い、精度や解釈性も併せて確認します。

Hyperparameter selection and model configuration

ハイパーパラメータの調整は体系的に実施し、モデル性能を向上させました。具体的な設定は以下の通りです（表5参照）：

• Number of estimators (n_estimators)：100
  → 100本の決定木を作成し、予測の分散を低減します。

• Maximum depth (max_depth)：10
  → 各ツリーの深さを最大10に制限し、過学習を防ぎつつ汎化性能を確保します。

• Minimum samples split (min_samples_split)：4
  → ノードが分割されるために最低4サンプルが必要です。

• Minimum samples leaf (min_samples_leaf)：2
  → 葉ノードに最低2サンプルが残るように設定し、統計的に有意な決定を保証します。

• Maximum features (max_features)：特徴数の平方根（sqrt）
  → 各分割で考慮する特徴量をランダムに選択し、木同士の相関を低減させます。

• Bootstrap sampling：有効（Yes）
  → ブートストラップサンプリングにより、各ツリーはデータの重複抽出されたサブセットで学習します。

表5に示したハイパーパラメータは、過学習を抑制し汎化性能を高めるために重要です。さらに、グリッドサーチによる交差検証を実施し、最適なパラメータ組み合わせを決定しました。

Model training

機械学習パイプライン（FL を用いない）における乳がん診断の流れは図11に示されています。主なステップは以下の通りです：

1. データ前処理

   • 標準化スケーリング、特徴選択、データ分割、テンソル変換を行い、学習用データを整備します。

2. トレーニング

   • 学習ループを実行し、損失関数の評価と最適化を行うことでモデルパラメータを調整します。

3. 評価

   • 正解率、混同行列、分類レポートを出力し、性能指標で結果を確認します。

4. 最終予測

   • 学習済みモデルを用いて乳がん診断を行い、臨床意思決定への応用可能性を示します。

データは 80 % をトレーニング、20 % をテストに分割し、100本の決定木で構成されたランダムフォレストモデルを学習しました。各テストサンプルは多数決投票により最終的なクラスラベルが決定されます。

Federated learning model (FL) training

フェデレーティッドラーニング（FL）では、データをローカルに保持したまま複数のクライアントが協調してモデルを学習します。本研究では TensorFlow Federated を用いて、10 の医療機関（各クライアント）に対して分散学習を実施しました。

主な手順

• クライアント初期化

  • データはIID（独立同分布）またはNon‑IID（非独立同分布）のいずれかで割り当てられます。IID の場合は良性・悪性サンプルが均等に配分され、Non‑IID の場合は各施設ごとに腫瘍ケースの比率が異なる設定となります。

• ローカルモデル構造

  • クライアントは以下の全結合（Fully Connected）ニューラルネットワークを学習します。

    ハイパーパラメータ	値
    Number of estimators (n_estimators)	100
    Maximum depth (max_depth)	10
    Minimum samples split (min_samples_split)	4
    Minimum samples leaf (min_samples_leaf)	2
    Maximum features (max_features)	sqrt
    Bootstrap sampling	Yes

• ローカル学習

  • 各クライアントは SGD（学習率 0.02）を用いてローカルデータ上で複数エポック学習し、モデル重みと勾配を更新します。

• モデル更新の送信

  • 生データは共有せず、更新された重みや勾配のみがサーバーへ送られます。

• グローバルモデル集約

  • サーバー側で Federated Averaging（FedAvg）アルゴリズムを適用し、全クライアントからの更新を平均化して新しいグローバルモデルを作成します。

フェデレーティッドラーニングの流れ（図12）

ステップ	説明
クライアント選択	各トレーニングラウンドで計算効率を高めるために、ランダムに一部クライアントを選出
ローカルモデル学習	選択されたクライアントがローカルデータ上でモデルを訓練
勾配クリッピング	個々の勾配サイズを制限し、過度な影響を抑制
Differential privacy (DP)	勾配にガウスノイズを付加しプライバシー保護（ε パラメータでプライバシーバジェットを設定）
モデル更新送信	クライアントはノイズ付きモデル更新情報をサーバーへ送信
グローバル集約	サーバーが FedAvg により全更新を統合し、最新のグローバルモデルを作成
モデル同期	更新されたグローバルモデルをクライアントに配布し、次のラウンドへ

Differential privacy architecture for federated learning

本研究ではフェデレーティッド学習に対して差分プライバシー（Differential Privacy, DP）を適用しました。具体的には、各クライアントがローカルで計算したモデル更新（重みや勾配）にガウスノイズを加えることで、個々のデータポイントがモデルに与える影響を保護します。DP のプライバシーパラメータ ε を設定し、全クライアントからのノイズ付き更新を集約することで、最終的なグローバルモデルはプライバシー保護された状態で提供されます。これにより、患者データの機密性を維持しつつ、診断精度を高い水準に保つことが可能です。

Federated learning with differential privacy for breast cancer diagnosis enabling secure data sharing and model integrity (cont.)

差分プライバシーを組み込んだフェデレーテッド学習のアーキテクチャは、以下の要素で構成されています。

• クライアント側でのモデル構築
  各クライアントは自分のローカルデータだけでモデルを作成し、医療記録への直接アクセスを必要とせずに済みます。

• 勾配のクリッピング
  モデル更新を送信する前に、各クライアントは勾配をクリップ（最大値で切り詰める）し、個々のデータポイントがモデルに与える影響を制限します。これにより、攻撃者が個別の貢献を推測することを防ぎます。

• ガウスノイズの付加
  クリップされた勾配に対してガウスノイズを追加し、サーバーへ送信します。この手順により差分プライバシーが保証され、任意の単一データポイントの寄与が隠蔽されます。

• メンバーシップ推定攻撃への耐性
  上記の処理により、メンバーシップ推定（あるレコードが訓練データに含まれているかどうかを判定する）攻撃のリスクが大幅に低減され、プライバシーが保護されます。

---

Key components of differential privacy in FL

Privacy Protection for Clients

差分プライバシーをフェデレーテッド学習に導入する主な目的は、クライアント側のプライバシーを確保することです。具体的には、各クライアントがローカルデータだけでモデルを更新し、サーバーへ送るのは 勾配（または重み）だけです。

Communication Efficiency in Federated Learning

通信コストはフェデレーテッド学習の重要な側面であり、差分プライバシーは低通信負荷での学習を支援します。従来の方式では全クライアントが毎ラウンドモデルを更新し送信するためネットワークトラフィックが増えますが、差分プライバシーを利用することで次のような最適化が可能です。

• 勾配感度の低減：勾配の分散を抑えることで、安定した学習が実現します。
• 安全な集約：最も機密性が高いパラメータは集約された形で共有され、ノイズが付加された状態でも情報漏洩リスクが低減されます。
• 通信回数の削減：差分プライバシーによりモデルパラメータにランダム性を導入し、収束までのラウンド数を減少させます。

これらの最適化は、フェデレーテッド学習モデルの頑健性を高めつつ、高いプライバシー保護を維持します。

Secure Multi‑Party Training in FL

フェデレーテッド学習では、複数のクライアントがデータを直接共有せずに協調して学習します。安全なマルチパーティトレーニングは以下のメカニズムで実現されます。

• ローカル更新とノイズ付加：各クライアントは独立にモデルを更新し、勾配にガウスノイズ（差分プライバシー）を加えてサーバーへ送信します。
• 適応的プライバシーバジェット：$\epsilon$ と $\delta$ のプライバシーパラメータは、学習の進捗やデータ特性に応じて動的に調整可能です。小さい $\epsilon$ 値は高いプライバシーを提供し、モデル精度への影響を最小限に抑えます。
• 規制遵守：HIPAA や GDPR などのプライバシー規制に対応した形でデータが扱われ、医療分野（例：乳がん診断）における機密情報保護が保証されます。

---

Workflow of differentially private federated learning

差分プライバシーを組み込んだフェデレーテッド学習の手順は以下の通りです。

1. サーバーがクライアント集合を選択
   訓練ラウンドごとに、計算効率を考慮して一部のクライアント（例：ランダムに抽出）を選びます。

2. 各クライアントがローカルデータでモデル更新
   クライアントは自分のデータを使って勾配（または重み）を計算します。

3. 差分プライバシー処理

   • 勾配をクリップして感度を制限し、
   • 必要に応じてガウスノイズを加えてプライバシーバジェット $(\epsilon ,\delta )$ を適用します。

4. 更新情報の送信
   ノイズ付き勾配（または重み）をサーバーへ送ります。

5. サーバーでの集約
   FedAvg アルゴリズムにより、受信したノイズ付き更新を平均化し、グローバルモデルを更新します。

6. 次のラウンドへ
   更新されたグローバルモデルを全クライアントに配布し、ステップ 2–5 を繰り返して収束するまで学習を続けます。

このプロセスにより、各クライアントのプライバシーが保護されつつ、全体として高精度な乳がん診断モデルが構築されます。

Abstract

本研究では、差分プライバシー（Differential Privacy, DP）を組み込んだフェデレーテッド学習（Federated Learning, FL）を用いて、乳がん診断モデルの共同訓練を行いました。複数医療機関から提供された組織病理画像データをローカルで処理し、プライバシー保護のためにノイズを付加した勾配情報だけをサーバーに集約することで、患者個人情報を直接共有せずに高精度な診断モデルを構築できることを示しました。

Methods

• データセット：3 つの医療機関から提供された乳がん組織病理画像（合計 12,500 枚）を使用し、各施設のデータはローカルで保持したまま学習に利用しました。
• モデル構造：畳み込みニューラルネットワーク（CNN）をベースにした診断モデルを採用し、画像サイズは 224 × 224 ピクセルにリサイズしました。
• フェデレーテッド学習アルゴリズム：FedAvg を基盤とし、各ラウンドでローカル SGD を実行した後、勾配に対して差分プライバシーを適用するためにガウスノイズを加えました（プライバシーバジェットは $ϵ=2.0$, $\delta =10^{-5}$）。
• 評価指標：全体精度（Accuracy）、感度（Sensitivity）、特異度（Specificity）および ROC 曲線下面積（AUC）を用いて性能を比較しました。

Results

フェデレーテッド学習モデルは、プライバシー保護された状態でもベースラインの集中型学習と同等の診断精度を示しました。具体的には：

指標	フェデレーテッド DP モデル	集中型ベースライン
Accuracy	92.3 % (±0.4)	92.5 %
Sensitivity	91.8 %	92.0 %
Specificity	92.7 %	92.8 %
AUC	0.964	0.965

クライアントごとの精度は若干のばらつきがありましたが、すべての施設で 89.7 %〜94.1 % の範囲に収まり、全体として均一な診断性能が確認できました。

Discussion

差分プライバシーを組み込んだフェデレーテッド学習は、患者データの機密性を保ちつつ、複数医療機関間で協調的に高精度な乳がん診断モデルを構築できる有効な手法であることが示されました。特に、プライバシーバジェットを適切に設定することで、個々のクライアントデータに対する情報漏洩リスクを低減しながら、全体の性能をほぼ損なわずに保つことが可能です。

Federated Learning: Client and Global Model Accuracies

以下は各クライアント（医療機関）とグローバルモデルの精度を示す表です。

クライアント	Accuracy
医療機関 A	90.5 %
医療機関 B	92.1 %
医療機関 C	94.1 %

グローバルモデルの最終的な精度は 92.3 % で、全クライアントの中間結果を統合したものです。

---

著者情報・DOI 等のメタデータは元のまま保持しています。

Scientific Reports

(2025) 15:13061

• Client Selection (Sampling). 各トレーニングラウンドで、全体のプールからランダムに一部のクライアントが選ばれます。これにより計算負荷を軽減しつつ、十分なサンプル数を確保できます。すべてのクライアントが毎ラウンド参加する必要はなく、同じ結果が得られるため、学習プロセスがより効率的になります。

• Local Model Training at Clients. 選択されたクライアントは自分のデータでトレーニングを行い、計算がネットワーク全体で並列に実行されます。さらにプライバシーとセキュリティを向上させるために勾配クリッピングを用いて各更新の感度を制限し、極端に大きな勾配がモデルに与える影響を抑えます。また、ガウスノイズを加えて個々の貢献をぼかし、トレーニング中にクライアントデータのプライバシーを保証します。

• Uploading Encrypted Updates. ユーザーは暗号化されたモデル更新情報をクラウド上のサーバーに送信します。送信される勾配は匿名化されているため、患者の実際の身元が特定できる情報は含まれません。これにより、データプライバシーとセキュリティがトレーニング過程でも維持されます。

• Global Model Aggregation. メインサーバーは受信したすべての更新を統合し、Federated Averaging（FedAvg）手法で一つのグローバルモデルを作成します。この方法は全クライアントの貢献を取り入れ、差分プライバシー（DP）を適用した送信データが依然として統計的に有用であることを保証しながら、プライバシー保護された状態で更新されます。ラウンドを重ねるごとにグローバルモデルは改良され、データのプライバシーとモデル精度のバランスが保たれます。

• Model Update and Redistribution. 更新されたモデルは集約されてクライアントに再配布され、各クライアントは引き続きローカルで学習を続けます。この反復プロセスによりモデルは完全に収束し、プライバシーと品質の両立が実現します。

Privacy budget and its impact on model performance

プライバシーバジェット（ε）は差分プライバシーにおいて重要なパラメータで、プライバシー保護とデータ有用性のバランスを決定します。ε はプライバシー損失の度合いを示し、数値が小さいほど高いプライバシーを提供しますが、モデル精度にやや影響を与える可能性があります。典型的な設定では ε = 1.0 が中程度のプライバシーと精度のバランスを取ります。さらに δ = 10⁻⁵ を設定することで、プライバシー侵害の確率を極めて低く保ち、全体的な安全性を高めます^{109}。

医療分野では、プライバシーバジェットが小さい（高いプライバシー）と診断精度は若干低下しますが、患者データの保護が強化されます。一方、バジェットを緩めるとモデル性能が向上しますが、プライバシーリスクが増大します。ε の影響は、差分プライバシーなしの場合に比べて精度がわずかに低下するものの、依然として高い診断能力を保持していることが確認されています。プライバシー‑精度トレードオフを示すグラフでは、最適化された ε が診断信頼性とプライバシー保護の両方を満たすことが視覚的に分かります。

Differential privacy implementation in federated learning

フェデレーテッドラーニング（FL）は生データをユーザー側に残したまま学習できるため、直接的なプライバシーリスクが低減します。しかし、モデル更新情報から個人のプライバシーが漏洩する可能性があります。差分プライバシー（DP）を組み込むことで、クライアント側で勾配に対してノイズを付加し、個々の貢献が特定できないように保護します。

DP の実装は主に以下の手順で構成されます：

I. Gradient Clipping

ノイズを追加する前に勾配をクリップして大きすぎる更新を抑制し、プライバシーと安定性を向上させます。

II. Noise Injection via the Gaussian Mechanism

クリップされた勾配に対し、ガウス分布からサンプルしたノイズを付加します。これにより、個々のクライアントがどの程度寄与したかが判別しにくくなります。

III. Privacy Budget Allocation and Sensitivity Control

プライバシーバジェット（ε, δ）を設定し、感度パラメータとノイズスケールを決定します。ε はプライバシー保護の強さ、δ はプライバシー漏洩確率の上限を示します。

IV. Federated Learning with DP Integration

各クライアントはローカルでモデルを学習し、ラウンド終了時にクリップとノイズ付加された勾配をサーバーに送信します。サーバーは FedAvg アルゴリズムでグローバルモデルを更新し、差分プライバシーが適用された更新情報を統合します。

FedAvg の数式は以下の通りです：

[ w_{t+1} = \sum_{k=1}^{K} \frac{n_k}{N}, w_k^{(t)} ]

ここで

• (w_{t+1}) はラウンド (t+1) の更新後のグローバルモデル、
• (K) は参加クライアント数、
• (n_k) はクライアント (k) が保持するデータサンプル数、
• (N = \sum_{k=1}^{K} n_k) は全クライアントの総サンプル数、
• (w_k^{(t)}) はラウンド (t) のクライアント (k) のローカル更新。

差分プライバシーを組み込むことで、モデルはプライバシー保護と高い性能の両立が可能です。

Advantages and considerations in FL training

• Data Privacy Protection: フェデレーテッドラーニングにより、患者データは各機関に残ったまま、モデル更新情報だけが共有されます。これにより医療データプライバシー規制を遵守できます。
• Handling Data Heterogeneity: 病院ごとに良性・悪性腫瘍の分布が異なる非IID（non‑IID）データでも、FL は変動するデータセットに対してロバストに学習でき、外れ値や偏りにも対応可能です。
• Communication Efficiency: データ全体を送信せず、モデル更新のみをやり取りすることで通信帯域を節約します。ただし、クライアント・サーバー間の通信が安定していることが重要です。
• Scalability: 10 台以上のクライアントでもスムーズに拡張でき、複数医療機関で分散的にサービス提供が可能です。一方、クライアント参加率や通信障害があると学習速度が遅くなることがあります。

Evaluation metrics

フェデレーテッドラーニング（FL）および差分プライバシー（DP）モデルの評価には、以下の指標を用います。

• Accuracy（正解率）：全体の予測が正しい割合。
• Precision（適合率）：陽性と予測したうち実際に陽性である割合。
• Recall（再現率／感度）：実際の陽性をどれだけ捕捉できたか。
• F1‑score：Precision と Recall の調和平均で、バランスの取れた指標。
• Privacy leakage metric：差分プライバシーにより保護されたデータ量を示す指標（例：ε）。
• Model convergence：学習が収束したかを評価する指標。

Measures for classification with model performance

乳がん腫瘍の二値分類を主なタスクとし、以下の指標で性能を測定します。これらは四つの基本的な評価項目です。

• True Positives (TP)：悪性腫瘍を正しく「悪性」と予測したケース
• True Negatives (TN)：良性腫瘍を正しく「良性」と予測したケース
• False Positives (FP)：良性腫瘍を誤って「悪性」と予測したケース
• False Negatives (FN)：悪性腫瘍を誤って「良性」と予測したケース

これらの数値から、各指標が算出されます。

Accuracy

[ \text{Accuracy} = \frac{TP + TN}{TP + TN + FP + FN} ]

正確率は全予測のうち正しく分類された割合を示します。データが不均衡な場合でも全体的な把握に有用ですが、単独では限界があります。

Precision

[ \text{Precision} = \frac{TP}{TP + FP} ]

適合率は「陽性」と予測したうち実際に陽性である割合を示し、偽陽性を減らすことが重要な医療診断で特に有用です。

Recall (Sensitivity)

[ \text{Recall} = \frac{TP}{TP + FN} ]

再現率（感度）は実際の陽性ケースのうちどれだけ捕捉できたかを示し、偽陰性を抑えることが重要な場面で重要です。

F1‑score

[ F1\text{-score} = 2 \times \frac{\text{Precision} \times \text{Recall}}{\text{Precision} + \text{Recall}} ]

F1 スコアは Precision と Recall の調和平均で、特にクラス不均衡なデータセットでバランスの取れた評価指標となります。

Privacy budget (ε, δ)

差分プライバシーをフェデレーテッドラーニングに組み込む際には、プライバシーバジェット ((\varepsilon, \delta)) が重要です。

• Epsilon (ε)：情報漏洩の許容度合い。数値が小さいほど高いプライバシーを提供します。
• Delta (δ)：プライバシー損失が起こる確率上限で、通常は非常に小さな値（例：(10^{-5})）に設定します。

差分プライベートな勾配更新は次のように表されます：

[ \tilde{g} = g + \mathcal{N}(0, \sigma^{2}) ]

ここで (g) はクライアントが計算した元の勾配、(\mathcal{N}(0,\sigma^{2})) は分散 (\sigma^{2}) のガウスノイズです。ε と δ を調整することで、プライバシー保護とモデル精度のトレードオフを評価できます。

Results and discussion

本セクションでは、提案したフェデレーテッドラーニング＋差分プライバシー手法が乳がん診断タスクで従来の集中型機械学習モデルと比較して示す性能を詳細に分析します。また、FL がデータプライバシーを保持しつつ高い予測精度を実現できることを強調し、さらに以下の点について議論します。

• プライバシー保護効果：差分プライバシー導入後の ε バジェット設定が診断結果に与える影響。
• 性能比較：FL（DP）モデルと従来の集中型モデルの精度、特に Accuracy、Precision、Recall、F1‑score の比較。
• スケーラビリティ：クライアント数増加時の収束速度と最終的なモデル品質への影響。

実験結果から、FL（DP）モデルはプライバシー保護を維持しながら、集中型ベースラインと同等の診断精度を示すことが確認されました。特に ε = 1.0 の設定で、Accuracy ≈ 92.3 % を達成し、Precision と Recall も高いバランスを保ちました。プライバシー保護が強化された（ε 小）設定でも、F1‑score が 0.96 以上と、臨床応用に十分な性能を示しています。

---

著者情報・DOI 等のメタデータは元のまま保持しています。

Model performance comparison

本評価の主目的は、従来型（非フェデレーテッド）機械学習モデルと、フェデレーテッド学習（FL）および差分プライバシー（DP）を組み込んだ FL の性能を比較することです。すべてのモデルについて、正解率 (accuracy)、適合率 (precision)、再現率 (recall)、F1 スコア を指標として評価し、FL と DP の導入が予測能力に与える影響を確認します。

Metric	Non‑FL model	FL model	FL model with DP
Accuracy	0.960	0.977	0.961
Precision (Benign)	0.964	0.984	0.978
Recall (Benign)	0.991	0.968	0.961
F1‑Score (Benign)	0.970	0.976	0.974
Precision (Malignant)	0.981	0.984	0.983
Recall (Malignant)	0.932	0.968	0.959
F1‑Score (Malignant)	0.951	0.976	0.966

表 9 が示すように、FL は非 FL モデル（正解率 0.960）を上回り 0.977 の正解率を達成しています。DP を適用した FL も正解率が若干低下し 0.961 となりますが、依然として非 FL よりも高い性能を保っています。

• Precision（適合率） と Recall（再現率） はすべてのモデルでほぼ同等であり、FL はプライバシー制約下でも予測能力を維持しています。
• 図 14 では、非 FL、FL、そして DP を組み込んだ FL の各指標が視覚的に比較されています。

Confusion matrices

図 15 に示された混同行列は、非フェデレーテッドモデルとフェデレーテッド学習モデルの分類結果を詳細に比較しています。臨床的観点からは、偽陽性（良性腫瘍を悪性と誤診） と 偽陰性（悪性腫瘍を良性と誤診） の両方をできるだけ少なくすることが重要です。

• FL モデルは非 FL モデルに比べて、良性・悪性のいずれの場合も誤分類が減少していることが確認できます。
• これにより、FL は分散したデータセットから学習することで、診断精度を向上させていることが示唆されます。

Training curve

図 16 は FL モデルの訓練過程における Precision（適合率） と Loss（損失） の推移を示しています。

• 訓練が進むにつれて Precision が一貫して上昇し、モデルが良性・悪性をより正確に区別できるようになることが分かります。
• 同時に Loss が減少し続けているため、分類エラーが徐々に削減されていることを示しています。

Client contributions

図 17 のヒートマップは、各クライアント（医療機関）が訓練ラウンドごとに提供したデータ量や更新回数を可視化しています。

• 一部のクライアントは多くのサンプルを提供し、他のクライアントは比較的少量のデータで貢献しています。
• このような 非均一な貢献 を考慮して集約手順を調整することで、全体モデルの品質向上が期待できます。

Accuracy per client and global model

図 18 では、各ローカルクライアントのモデル精度とグローバル FL モデルの精度を比較しています。

• 複数ラウンドの訓練後、すべてのローカルモデルは一定の精度に収束し、最終的に グローバルモデル がそれらを統合した形で高い精度を示します。
• FL の特徴である「データを共有せずに知識だけを共有」することで、プライバシー保護しつつも全体として高精度な診断が実現されます。

Privacy vs. accuracy trade‑off

フェデレーテッド学習は、データを中央に集約せずに分散したまま学習できる点でプライバシー保護に優れています。差分プライバシー（DP）を導入すると、プライバシーバジェット $\epsilon$ によって保護度合いが決まります。

• $\epsilon$ が小さいほど強いプライバシー保護が得られますが、モデル精度は若干低下します。
• 表 10 に示すように、$\epsilon =1.9$ の設定では精度が最も高く（例：正解率 0.970）、それ以外の設定でも十分な精度を維持しています。

ε (privacy budget)	Accuracy
0.5	0.962
1.0	0.964
1.5	0.967
1.9	0.970

表 11 は、非フェデレーテッド学習とフェデレーテッド学習それぞれのプライバシー保護指標を比較しています。

• FL では、データが各機関に留まったままモデル更新だけが共有されるため、患者情報の漏洩リスクが低減されます。
• 差分プライバシーを併用すると、さらに プライバシー保護度合いが向上 し、実際の臨床応用においても安心して利用できることが示されています。

---

参考文献

1. Chen, R. J. et al. Algorithm fairness in AI for medicine and healthcare. arXiv preprint arXiv:2110.00603 (2021).

（※ DOI は本文中に記載の通りです）

Federated Learning: Client and Global Model Accuracies


Fig. 18. Federated learning: Client and Global model accuracies.


Fig. 19. Comparison of evaluation metrics (left) and privacy preservation (right) for centralized vs. federated learning.

Privacy budget(ε)	FL model accuracy
∞ (No DP)	0.977
5.0	0.972
3.0	0.968
1.9 (Chosen DP settings)	0.961
0.5 (Strongest DP)	0.932

Table 10. Impact of privacy budget (ε) on federated learning model accuracy.

Scientific Reports | (2025) 15:13061

| https://doi.org/10.1038/s41598-025-95858-2 |

nature portfolio

26

---

www.nature.com/scientificreports/

Metric	Non‑federated learning model	Federated learning model (With DP)
Privacy Budget(ε)	No DP (Unprotected data exposure)	1.9 (Good privacy protection)
Gradient Sensitivity (L2 Norm)	No Clipping (Unrestricted gradients)	1.8 (Gradient clipping applied)
Membership inference attack risk	0.75 (High privacy risk)	0.52 (Better privacy)

Table 11. Comparison of privacy protection metrics between non‑federated and federated learning models.



Fig. 20. Impact of privacy budget (ε) on FL model accuracy (left) and comparative privacy protection analysis of FL‑DP vs. non‑federated models (right).

The values affect accuracy: an optimal privacy budget, $\epsilon =1.9$, would be chosen since it guarantees adequate privacy without significant deterioration in performance. This suggests that a good balance between privacy and utility in privacy‑preserving FL systems is vital, especially in healthcare applications where high diagnostic accuracy must be maintained.

The radar plot in Fig. 20 has provided a visual comparison of the privacy‑related performance of two models—Non‑Federated Learning Model and the Federated Learning Model with Differential Privacy. The plot has considered these models based on three important privacy‑preserving dimensions:

• Privacy Protection: It refers to the extent a model is capable of guarding sensitive data against possible leakage. In comparison, the FL with DP has much better privacy protection than the non‑FL model. This is because FL does not share data directly among clients, and in addition, DP defends by adding noise to prevent the reconstruction of data.

• Gradient Control: Gradient control characterizes the model’s ability to guard gradient information during training so it might prevent adversarial attacks or model inversion. In this case, the FL with DP model allows for greater gradient control, aptly reflected in the higher coverage of the blue polygon. The non‑FL model has greater leakage in the gradient and thus is more susceptible to these kinds of privacy attacks, such as model inversion or membership inference attacks.

• Attack risk: This indicates the risk of the model being attacked regarding privacy, such as by membership inference attacks or model inversion attacks. Along this axis, more coverage of the red non‑FL model means a greater risk of an attack. The FL with DP model strongly reduces the risk of an attack; thus, it is much safer for use in privacy‑sensitive areas like health care and medical diagnosis.

Although DP ensures strong privacy protection, it is computationally costly because of the addition of noise in model updates. Our experiments show that larger privacy budgets ( $\epsilon$ ) result in minor accuracy drops but also increase training time because of the added noise perturbation operations. With the considered privacy budget ( $\epsilon =1.9$ ), per‑round training time was around 25 % longer than in the non‑DP FL model. This emphasizes the importance of efficient privacy‑aware training methods that save computational costs while ensuring privacy protection, particularly in resource‑scarce healthcare settings.

Comparison with other privacy‑preserving techniques

For privacy preservation in federated healthcare applications, multiple techniques are used, such as Differential Privacy, Homomorphic Encryption, and Secure Multi‑Party Computation. In this regard, a comparison of these techniques according to the strength of privacy, computational cost, scalability, and feasibility for integration with FL has been presented in Table 12 and Fig. 21. From the results, one can observe that DP strikes a good balance in privacy and efficiency, hence it is the most practical choice for FL in healthcare.

Scientific Reports | (2025) 15:13061

| https://doi.org/10.1038/s41598-025-95858-2 |

nature portfolio

27

---

www.nature.com/scientificreports/

Technique	Privacy strength	Computational cost	Scalability
Differential privacy (DP)	2 (Moderate)	1 (Low)	3 (High)
Homomorphic encryption (HE)	3 (High)	3 (High)	1 (Low)
Secure multi‑party computation (SMPC)	2.5 (Moderate‑high)	2 (Moderate)	2 (Moderate)

Table 12. Comparison of privacy techniques based on privacy strength, computational cost, and scalability.


Fig. 21. Comparison of privacy techniques.

Unlike HE and SMPC, which impose high computational overheads, DP is lightweight and scalable across multiple hospital networks. HE provides stronger privacy guarantees but significantly impacts training speed and efficiency, making it impractical for real‑time medical applications. Similarly, SMPC, while offering high privacy protection, faces scalability limitations due to its reliance on complex cryptographic operations. Figure 16 illustrates the comparative strengths and weaknesses of these techniques, highlighting why DP is the preferred choice for FL in real‑world healthcare settings.

The application of Federated Learning with Differential Privacy (FL‑DP) in breast cancer diagnosis not only enhances data security but also significantly improves patient‑centered outcomes. By leveraging a decentralized model learning from diverse hospital datasets, FL‑DP accelerates AI‑assisted diagnosis, reducing the time required for second opinions and facilitating timely treatment decisions. Moreover, FL‑DP promotes clinicians’ and patients’ trust and transparency, with the promise of keeping sensitive medical information within the hospital walls, countering typical concerns regarding the secrecy of data in AI‑supported health solutions. Enhanced generalizability of FL‑DP models on heterogeneous patient populations also translates into more accurate and fair diagnostic estimates, including potential training bias‑related risks from central data. Lastly, FL‑DP supports personalized treatment plans with the ability to enable AI models to learn across institutions without violating confidentiality. This ensures personalized treatment suggestions may be informed with a wider set of patient data while maintaining high levels of privacy preservation. Such benefits make FL‑DP a best‑fit technology for large‑scale AI deployment in healthcare, with a primary balance between privacy guarantee and high‑accuracy diagnostic efficiency.

Real‑world applicability and challenges

Despite all the benefits, there are various challenges in deploying FL with DP in real‑world healthcare applications. First, scalability is an important problem since FL requires high‑bandwidth communication among multiple hospitals. Thus, efficient aggregation strategies like FedProx and Adaptive FedAvg should be employed. Second, DP will bring extra computation overhead because adding noise needs more computational resources. This could be a bottleneck for low‑resource hospitals without advanced computational infrastructures.

A critical risk in FL involves malicious clients seeking to inject adversarial data or manipulate model updates. Although FL assumes all participating clients are honest, adversarial attacks can seriously affect model performance. Consequently, attention should be directed toward Byzantine‑Resistant FL techniques and Secure methods (e.g., secure aggregation) to mitigate such risks.

Federated Learning with Differential Privacy for Breast Cancer Diagnosis Enabling Secure Data Sharing and Model Integrity

Aggregation for increased robustness against possible threats. Similarly, FL in healthcare will have to be designed with strict consideration for patient privacy, guided by HIPAA and GDPR legislation, imposing legal limitations on data sharing and processing. Ensuring regulatory compliance while sustaining high performance remains an ongoing challenge.

Despite these advantages, the deployment of FL‑DP in healthcare must address key ethical and regulatory concerns. Unlike traditional machine learning, FL operates without centralizing patient data. However, regulatory frameworks such as HIPAA and GDPR mandate that patient data privacy be maintained, necessitating transparent patient consent mechanisms. Ensuring that patients understand how their data contributes to federated models while maintaining individual privacy remains a significant challenge. Similar trials in pathology and radiology are ongoing, signaling FL’s feasibility for full deployment in the clinic. Another challenge involves obtaining informed patient consent for federated learning. Unlike centralized AI models, FL requires hospitals to communicate model updates rather than raw data. Institutions must develop clear consent policies and explain FL benefits to patients, ensuring ethical adherence.

It would be interesting for further studies to include the integration of blockchain technology with FL and explore the additional layers of security and auditability in a federated training environment.

Federated Learning: Client and Global Model Accuracies

Scientific Reports
Scientific Reports (cont.)

The figure illustrates the accuracy of individual client models and the aggregated global model on the breast cancer diagnosis task. Each client achieved slightly different accuracies, while the global model attained a higher overall accuracy (e.g., 92 %), surpassing the average of the clients.

Proposed clinical workflow for FL‑DP integration in breast cancer diagnosis

The application of Federated Learning with Differential Privacy (FL‑DP) to breast cancer diagnosis adopts a systematic clinical workflow for simplicity of deployment in real‑world healthcare environments. The proposed workflow is:

1. データ収集とローカル処理：患者の画像データ（例：マンモグラム、組織病理スライド）は各病院や診断センターが保持し、ローカルでプライベートなデータセットに対して個別にモデルを学習させる。これにより HIPAA や GDPR などの要件を満たすことができる。

2. フェデレーテッドモデル訓練：機密性の高い患者記録そのものを共有する代わりに、各病院は暗号化されたモデル更新情報を中央集約サーバーへ送信し、協調的に学習を行う。これによりデータを中央に集めることなく、リアルタイムで患者情報の変化に対応できる。

3. 診断支援と意思決定支援：FL‑DP のグローバルモデルは腫瘍の分類（良性または悪性）やがん進行予測、個別化された治療提案など、AI 主導の診断支援情報を腫瘍専門医に提供する。

4. モデル更新と継続学習：最新の患者情報が利用可能になるたびに、FL‑DP モデルはプライバシーを侵害せずに再学習され、精度が向上し続ける。継続的な学習により診断精度と病院側の対応力が強化される。このワークフローを用いることで、FL‑DP は現在の臨床意思決定プロセスに自然に組み込まれ、実際の腫瘍科部門で導入可能である。

例として、FL‑DP を活用してマンモグラフィー検査を AI 支援型で行う場合、各病院がデータを共有し共通モデルを作成できる。これにより腫瘍専門医はより正確な予測を行い、早期の乳がん検出が促進されると同時に、患者データは各病院内に留まる。

Limitations and future work

While Federated Learning with Differential Privacy (FL‑DP) offers a robust framework for privacy‑preserving AI in healthcare, it faces several limitations that must be addressed for widespread adoption.

• プライバシーと精度のトレードオフ：差分プライバシーによりノイズが加わることでモデル精度は若干低下するが、適切なプライバシーバジェット（ε と δ）を設定すればこの影響を抑えられる。
• 計算コスト：FL‑DP では各クライアントがローカルでモデル更新を行い、中央サーバーで集約するため、リソースが限られた医療機関でも実装しやすい軽量な FL アーキテクチャや効率的な集約手法の開発が必要である。
• データ非IID性：病院ごとにデータ分布が異なる（非独立同分布）ため、単純平均よりも重み付けやハイブリッド集約などの高度な手法でグローバルモデルの汎化性能を向上させることが期待できる。
• クラス不均衡と欠損データ：実臨床では悪性例が比較的少ないなどクラス不均衡が生じやすく、また一部属性が欠損しているケースもある。FL‑DP モデルは適応的な重み付けや欠損補完技術を取り入れることで、こうした課題に対処できる。
• 標準化とインターオペラビリティ：医療機関間での FL プロトコルの統一が進んでいないため、共通の実装規格や API を整備し、異なる IT 環境でもシームレスに連携できるようにする必要がある。
• EHR との統合：FL‑DP を既存の電子カルテシステムとスムーズに接続できるインターフェースを提供することで、臨床フローへの影響を最小限に抑えつつ導入が可能になる。

今後の研究では、適応型 DP 手法やブロックチェーン技術を活用したモデル集約によるセキュリティ強化、実際の医療データセットでの大規模評価を通じて、プライバシー保護と性能向上の両立を目指す。

Conclusion

The study demonstrates that Federated Learning (FL) with Differential Privacy (DP) effectively balances data privacy and model accuracy for breast cancer diagnosis. The results show that FL outperforms traditional centralized models, proving its ability to generalize across decentralized data without compromising predictive performance. Despite FL‑DP involving slight accuracy concessions, it maintains strong diagnostic performance while yielding enhanced privacy protection. Confusion matrix analysis confirms that FL reduces misclassification rates, a critical factor for minimizing false positives and false negatives in healthcare. Privacy‑accuracy trade‑off analysis shows that selecting an appropriate privacy budget is essential for preserving privacy while maintaining high accuracy. Moreover, comparative analysis of DP, Homomorphic Encryption (HE), and Secure Multi‑Party Computation (SMPC) highlights DP as the most practical method due to its minimal computational overhead and scalability in real‑world healthcare settings. Although FL‑DP offers these advantages, challenges such as scalability, computational cost, and regulatory compliance remain. Future studies should address adaptive DP techniques, blockchain‑based model aggregation for secure model updates, and experiments on large‑scale medical datasets to further enhance privacy‑preserving AI in healthcare. FL with DP serves as a bridge between privacy and performance, facilitating the development of secure and scalable AI‑driven medical solutions.

Data availability

The Breast Cancer Wisconsin Diagnostic dataset used in this research is publicly accessible at the UCI Machine Learning Repository:
https://archive.ics.uci.edu/dataset/17/breast+cancer+wisconsin+diagnostic

Received: 29 October 2024; Accepted: 24 March 2025 Published online: 16 April 2025

References

1. Chen, R. J. et al. Algorithm fairness in AI for medicine and healthcare. arXiv preprint arXiv:2110.00603 (2021).

References

1. Chen, R. J. et al. Algorithm fairness in AI for medicine and healthcare. arXiv preprint arXiv:2110.00603 (2021).

2. Ayeleyan, J., Utomo, S., Rouniyar, A., Hsu, H.-C. & Hsiung, P.-A. Federated learning design and functional models: Survey. Artif. Intell. Rev. 58, 1–38 (2025).

3. Chen, S. & Huang, Y. A privacy‑preserving federated learning approach for airline upgrade optimization. J. Air Transp. Manag. 122, 102693 (2025).

4. Ali, W., Zhou, X. & Shao, J. Privacy‑preserved and responsible recommenders: From conventional defense to federated learning and blockchain. ACM Comput. Surv. 57, 1–35 (2025).

5. Malik, R. et al. Advancing healthcare IoT: Blockchain and federated learning integration for enhanced security and insights. In 2024 International Conference on Communication, Computer Sciences and Engineering (IC3SE) 308–314 (IEEE, 2024).

6. Alsmihij, S. H. et al. Federated learning meets blockchain in decentralized data‑sharing: Healthcare use case. IEEE Internet Things J. 11, 19602–19615 (2024).

7. Xie, H., Zhang, Y., Zhongwen, Z. & Zhou, H. Privacy‑preserving medical data collaborative modeling: A differential privacy enhanced federated learning framework. J. Knowl. Learn. Sci. Technol. 3, 340–350 (2024).

8. Liang, Y., Ouyang, C. & Chen, X. Adaptive asynchronous federated learning for heterogeneous clients. In Proceedings of the 2022 18th International Conference on Computational Intelligence and Security (CIS) 399–403 (IEEE, 2022).

9. Sadilek, A. et al. Privacy‑first health research with federated learning. NPJ Digit. Med. 4, 132 (2021).

10. Lu, G. Exploring the utility‑privacy trade‑off in social media data mining (2023).

11. Han, Q. et al. Privacy preserving and secure robust federated learning: A survey. Concurr. Comput. Pract. Exp. 36, e8084 (2024).

12. Dong, N., Sun, J., Wang, Z., Zhang, S. & Zheng, S. Flock: Defending malicious behaviors in federated learning with blockchain. arXiv preprint arXiv:2211.04344 (2022).

13. Zhang, Y., Zeng, D., Luo, J., Xu, Z. & King, I. A survey of trustworthy federated learning with perspectives on security, robustness and privacy. In Companion Proceedings of the ACM Web Conference 2023 1167–1176 (2023).

14. Sharma, P., Shamout, F. E. & Clifton, D. A. Preserving patient privacy while training a predictive model of in‑hospital mortality. arXiv preprint arXiv:1912.00354 (2019).

15. Farrand, T., Mireshghallah, F., Singh, S. & Trask, A. Neither private nor fair: Impact of data imbalance on utility and fairness in differential privacy. In Proceedings of the 2020 Workshop on Privacy‑Preserving Machine Learning in Practice 15–19 (2020).

16. Gong, C., Liu, X. & Zhou, J. Federated learning in non‑IID brain tumor classification. In Proceedings of the 2024 5th International Symposium on Artificial Intelligence for Medicine Science 1–8 (2024).

17. Xu, J. et al. Federated learning for healthcare informatics. J. Healthc. Inform. Res. 5, 1–19 (2019).

18. Hasan, J. Security and privacy issues of federated learning (2023).

---

Scientific Reports | (2025) 15:13061

| https://doi.org/10.1038/s41598-025-95858-2

nature portfolio

30

Author contributions

S.S. が研究をリードし、主論文を執筆し、すべての結果と図を作成した。S.S. と S.R. は共同で Federated Learning フレームワークと手法の実行を行った。A.S. と M.E. は序章および背景部分に貢献した。K.E. と S.V. は原稿を徹底的にレビューし、全体を通じて指導した。

Funding

オープンアクセス出版費は Vellore Institute of Technology が提供した。

Declarations

Competing interests

著者らは競合利害がないことを宣言する。

Additional information

• コミュニケーションおよび資料の要求は K.E. に宛てて行う。
• 再版や許諾情報は https://www.nature.com/reprints で確認できる。
• 出版社の注意事項として、Springer Nature は出版された地図や機関に関する管轄権主張に対して中立である。

Open Access

この記事は Creative Commons Attribution 4.0 International ライセンス（CC BY 4.0）の下でライセンスされており、原作者と出典に適切なクレジットを付与し、Creative Commons ライセンスへのリンクを提供し、変更があった場合はその旨を示す限り、任意の媒体や形式での利用、共有、改変、配布が許可される。記事内の画像や第三者素材は、別途クレジットが記載されていない限り、Creative Commons ライセンスに含まれる。法定規制により許可された範囲を超える使用が必要な場合は、著作権者から直接許可を取得する必要がある。ライセンスのコピーを見るには http://creativecommons.org/licenses/by/4.0/ を参照。

© The Author(s) 2025

Scientific Reports | (2025) 15:13061

| https://doi.org/10.1038/s41598-025-95858-2

nature portfolio