JP2003188872A

JP2003188872A - リストマッチング方法、ネットワークシステム、そのサーバ及び情報端末

Info

Publication number: JP2003188872A
Application number: JP2002191591A
Authority: JP
Inventors: Masayuki Numao; 雅之沼尾; Yuji Watanabe; 裕治渡邊
Original assignee: International Business Machines Corp
Current assignee: International Business Machines Corp
Priority date: 2001-10-03
Filing date: 2002-07-01
Publication date: 2003-07-04
Anticipated expiration: 2022-07-01
Also published as: JP3784055B2

Abstract

(57)【要約】【課題】情報交換における安全性を確保すると共に、
実行効率が良く実用性の高いリストマッチングを実現す
る。【解決手段】リストマッチングの対象であるリスト
を、当該リストの要素項目を根とする多項式で表現す
る。そして、対象リストごとに生成された多項式を分散
秘密計算等の手法で加算する。この加算結果である多項
式の根を要素項目とするリストを復元し、共通項目のリ
ストとして出力する。

Description

【発明の詳細な説明】

【０００１】

【発明の属する技術分野】本発明は、２人以上の参加者
の持つリストの共通部分を抽出するリストマッチングを
ネットワーク上で行う方法に関する。

【０００２】

【従来の技術】ネットワークを介して行われる情報交換
において、２人以上の参加者の持つリストの共通部分だ
けを計算し、抽出するリストマッチングがある。リスト
マッチングの具体的な応用例としては、趣味などのプロ
ファイルを記述したデータベース（リスト）のリストマ
ッチングを行い、共通の趣味を持つ会員同士を紹介する
マッチメーキングサービスがある。また、複数の金融機
関において、特定の利用者のリスト（いわゆるブラック
リストなど）を照会し、当該複数の金融機関で当該リス
トに載っている利用者を見出すといった利用も考えられ
る。

【０００３】インターネットなどのネットワーク環境の
普及に伴い、ネットワーク上でのプライバシーの保護が
重視されてきている今日、リストマッチングにおいて
も、個々の参加者の持つリストの内容を明らかにするこ
となく、共通部分を抽出することが要求されるようにな
っている。

【０００４】従来、ネットワーク上でリストマッチング
を実現する手法としては、ＴＴＰ（Trusted Third Part
y）サーバを設けて、リストマッチングの対象となるリ
ストを管理し、当該ＴＴＰサーバによって共通部分を計
算する方法があった。この場合、リストにおける情報の
秘密保持は、当該ＴＴＰサーバにおけるセキュリティに
依存することとなる。

【０００５】また近年、特定のサーバを必要としないピ
ア・ツー・ピア（Peer to Peer）のサービスの普及によ
り、ＴＴＰサーバを置かずにリストマッチングを行う場
合が生じてきた。このような場合におけるセキュリティ
を図る手法として、次の文献１には、Oblivious Polyno
mial Evaluation（ＯＰＥ）という暗号技術を用いたプ
ロトコルが開示されている。文献１：Naor, M. and Pinkas, B, "Oblivious Transfe
r and Polynomial Evaluation," in proc. of STOC, 19
99.

【０００６】文献１には、次のようなプロトコルが記載
されている。リスト保持者であるＡｌｉｃｅとＢｏｂと
が持っているリストを、それぞれＡＬ＝
｛ａ₁，．．．，ａ_n｝、ＢＬ＝｛ｂ₁，…，ｂ_n｝とす
る。１．ＡｌｉｃｅとＢｏｂは、それぞれｎ次多項式Ｐ
_A(ｘ)、Ｐ_B(ｘ)を秘密に用意する。２．Ａｌｉｃｅは、ＯＰＥを用いて[Ｐ_B(ａ_i)]_i=1 ⁿを計
算し、同様にＢｏｂもＯＰＥを用いて[Ｐ_A(ｂ_i)]_i=1 ⁿを
計算する。３．Ａｌｉｃｅは[Ｐ_A(ａ_i)＋Ｐ_B(ａ_i)]_i=1 ⁿを、Ｂｏｂ
は[Ｐ_A(ｂ_i)＋Ｐ_B(ｂ_i)]_i=1 ⁿを、それぞれ公開する。この方法によれば、第三者がリストにおける既知の項目
について、他のリストにおける共通項目の有無を推測す
るのは不可能である。

【０００７】

【発明が解決しようとする課題】上述したように、リス
トマッチングによる情報交換を行う場合、ＴＴＰサーバ
を設けてリストマッチングの対象であるリストを管理す
るシステムでは、リストにおける情報の秘密保持は、Ｔ
ＴＰサーバにおけるセキュリティに依存する。したがっ
て、当該ＴＴＰサーバのセキュリティが破られれば、当
該リストの秘密情報が漏洩してしまうこととなる。

【０００８】また、ピア・ツー・ピアでリストマッチン
グを行う場合の文献１に開示されたＯＰＥを用いたプロ
トコルでは、第三者がリストにおける既知の項目につい
て、他のリストにおける共通項目の有無を推測すること
は防止できるものの、リスト保持者が、公開値を偽っ
て、相手には不一致と見せかけながら、自分だけ相手と
の共通部分を知ることができてしまう。

【０００９】ところで、複数人で引数を秘密に保ったま
ま計算を行い、当該引数に対する計算結果だけを取り出
す手法として、分散秘密計算（マルチパーティプロトコ
ル：Multiparty Protocol）と呼ばれる手法がある。上
述したＯＰＥを用いたプロトコルも、この分散秘密計算
に含まれる。分散秘密計算については、例えば、次の文
献２に記載されている。文献２：Ben-Or, Goldwasser, and Wigderson, "Comple
teness theorems for non-cryptographic fault-tolera
nt distributed computation," STOC, ACM, 1988.

【００１０】リストマッチングにより複数のリストから
共通部分を抽出する場合、１項目ずつの比較計算が基本
となる。そのため、ｎ個の項目を持つ２つのリストの計
算には、ｎ²回の比較計算が必要である。このような比
較計算は、プログラムでは簡単に構成できる。しかしな
がら、分散秘密計算は、四則演算を基本計算としている
ため、比較計算に必要な分岐命令などを入れることは難
しい。したがって、分散秘密計算を用いて、ピア・ツー
・ピアでリストマッチングを行うことは、処理の実行効
率の面からも困難であった。

【００１１】そこで、本発明は、情報交換における安全
性を確保すると共に、実行効率が良く実用性の高いリス
トマッチングを実現することを目的とする。また、本発
明は、分散秘密計算を用いることにより、ピア・ツー・
ピアでリストマッチングを行う場合においても、安全性
の高い手法を提供することを他の目的とする。

【００１２】

【課題を解決するための手段】上記の目的を達成する本
発明は、コンピュータを用いて複数のリストにおける共
通項目を抽出するリストマッチング方法において、メモ
リから処理対象であるリストを読み出し、読み出された
リストごとに要素項目を根とする多項式を生成し、生成
された多項式を加算し、加算によって得られた多項式の
根を要素項目とするリストを生成して出力することを特
徴とする。より詳細には、リストの要素項目に対応する
値に、所定の１方向ハッシュ関数による演算結果を付加
した値を根とする多項式を生成する。そして、この多項
式の加算によって得られた多項式の根のうち、１方向ハ
ッシュ関数による演算結果が保持されている根におい
て、かかる演算結果を除いた値を要素項目とするリスト
を生成する構成とすることができる。

【００１３】また、本発明は、ネットワークを構成する
複数台の情報端末が保持する複数のリストにおける共通
項目を抽出するリストマッチング方法において次の要件
を満足することを特徴とする。すなわち、リストを保持
する各情報端末が、このリストの要素項目を根とする多
項式を生成する。そして、この各情報端末が、適宜設定
された順番で、先の情報端末から受け取った多項式に対
して生成した多項式を加算し、加算結果の多項式を後の
情報端末に渡す。また、かかる順番の最後の情報端末
が、受信した多項式の根を要素項目とするリストを生成
する。ここで、この最後の情報端末は、生成したリスト
またはリストの項目に関する情報を他の情報端末に通知
することができる。

【００１４】さらに、本発明は、ネットワークを構成す
る複数台の情報端末が保持する複数のリストにおける共
通項目を抽出するリストマッチング方法において次の要
件を満足することを特徴とする。すなわち、リストを保
持する各情報端末が、このリストの要素項目を根とする
多項式を生成する。そして、情報端末間で共通して使用
することを取り決められたネットワーク上の複数のサー
バを用いた分散秘密計算により、各情報端末にて生成さ
れた多項式を加算する。さらに、この情報端末が、サー
バによる加算結果に基づいて各情報端末にて生成された
多項式の加算結果である多項式を復元すると共に、復元
された多項式の根を要素項目とするリストを生成する。

【００１５】さらにまた、本発明は、ネットワークを介
して接続された複数台の情報端末が保持する複数のリス
トにおける共通項目を抽出するリストマッチング方法に
おいて次の要件を満足することを特徴とする。すなわ
ち、リストを保持する各情報端末が、このリストの要素
項目を根とする第１の多項式とネットワーク上の所定の
サーバの数に対応した次数の第２の多項式とに基づいて
２変数多項式を生成し、この２変数多項式を第２の多項
式に基づいて各サーバに分散する。次に、サーバが、各
情報端末から送られた２変数多項式を分散した多項式を
加算し、加算結果を情報端末に返送する。次に、情報端
末が、サーバによる加算結果に基づいて各情報端末に保
持されたリストを表現する多項式の加算結果である多項
式を復元すると共に、復元された多項式の根を要素項目
とするリストを生成する。

【００１６】また、本発明による他のリストマッチング
方法は、所定の情報端末が、他の端末装置が保持するリ
ストの要素項目を根とする多項式に基づいて生成された
公開情報を取得し、この他の情報端末から取得した公開
情報を検証し、かかる検証を通過した他の情報端末の公
開情報と自装置が保持するリストの要素項目を根とする
多項式とに基づいて、この公開情報の生成に用いられた
リストと自装置が保持するリストとの共通項目を求める
ことを特徴とする。ここで、好ましくは、他の情報端末
から取得した公開情報が検証を通過した場合にのみ、自
装置が保持するリストから生成された多項式と公開情報
とに基づいて所定の情報を生成して、この他の情報端末
との間で交換する。そして、交換された情報に基づい
て、公開情報の生成に用いられたリストと自装置が保持
するリストとの共通項目を求める。

【００１７】また、本発明は、次のように構成されたこ
とを特徴とするネットワークシステムとして実現され
る。すなわち、このネットワークシステムは、ネットワ
ークを介して接続された、サーバと、複数台のクライア
ント端末とを備える。そして、このクライアント端末
は、ネットワークを介して他のクライアント端末から受
信した多項式に対し、リストマッチングの対象であるリ
ストを表現する多項式を加算し、加算結果の多項式を他
のクライアント端末またはサーバに送信する。また、こ
のサーバは、複数台のクライアント端末にて生成された
多項式全ての加算結果である多項式を受信し、この多項
式の根を要素項目とするリストを生成する。

【００１８】ここで、上記のネットワークシステムを構
成する所定のクライアント端末は、リストマッチングの
対象であるリストを表現する第１の多項式と、任意の項
目を根とする第２の多項式とを生成し、第２の多項式を
前記サーバに送信すると共に、第１、第２の多項式を加
算して得られる多項式を他のクライアント端末に送信す
る。また、サーバは、複数台の前記クライアント端末に
て生成された多項式全ての加算結果である多項式から前
記第２の多項式を減算し、減算結果である多項式の根を
要素項目とするリストを生成する。

【００１９】さらに、本発明は、次のように構成された
ことを特徴とするネットワークシステムとしても実現さ
れる。すなわち、このネットワークシステムは、ネット
ワークを介して接続された、複数台の情報端末と、複数
台のサーバとを備え、このサーバは、各情報端末から送
信されたデータの分散秘密計算をそれぞれ行い、計算結
果を前記情報端末に返送する。そして、情報端末は、リ
ストマッチングの対象であるリストを表現する多項式を
前記サーバに分散して送信し、このサーバからこの多項
式に対する分散秘密計算の計算結果を受信し、この計算
結果に基づいて各情報端末にて生成された多項式の加算
結果である多項式を復元すると共に、復元された多項式
の根を要素項目とするリストを生成する。

【００２０】さらに詳しくは、この情報端末は、情報端
末の数をｍ、リストの要素項目の数をｎとした場合に、
ｎ＋１次の多項式Ｆ_Yi(ｙ)を、Ｆ_Yi(ｌ_i,h)＝０、ｈ＝
１，．．．，ｎとなるように生成し、定数項が０の任意
のｋ−１次多項式Ｆ_Xi(ｘ)を生成し、２変数多項式Ｑ
_i(ｘ，ｙ)＝Ｆ_Xi(ｘ)＋Ｆ_Yi(ｙ)を生成して、ｋ個のサ
ーバに対してＱ_i(ｊ，ｙ)、ｊ＝１，．．．，ｋを送信
する。そして、サーバは、ｍ個の前記情報端末から受信
した多項式Ｑ_i(ｊ，ｙ)を全て加算し、加算結果を情報
端末に返送する。

【００２１】さらにまた、本発明は、次のように構成さ
れたネットワークシステムとしても実現できる。すなわ
ち、このネットワークシステムは、ネットワークを介し
て情報を交換する複数台の情報端末を備え、自装置が保
持するリストの要素項目を根とする多項式を生成し、こ
の多項式に基づいて第１の情報を生成して公開すると共
に、この多項式に基づいて第２の情報を生成する第１の
情報端末と、この第１の情報端末における第１の情報を
取得して検証すると共に、この検証を通過した場合に第
１の情報端末から第２の情報を取得し、これら第１、第
２の情報と自装置が保持するリストから生成された多項
式とに基づいて、公開情報の生成に用いられたリストと
自装置が保持するリストとの共通項目を求める第２の情
報端末とを備えることを特徴とする。なお、ネットワー
クシステムを構成する複数台の情報端末は、それぞれが
第１または第２の情報端末として動作する。そして、第
１、第２の情報を交換することにより、それぞれの情報
端末において相互にリストマッチングを行うことができ
る。ここで、より好ましくは、第２の情報端末は、自装
置が保持するリストの要素項目を根とする多項式を生成
し、この多項式に基づいて第１の情報を生成して公開す
る。そして、第１の情報端末は、公開されている第２の
情報端末における第１の情報を用いて第２の情報を生成
する。さらに好ましくは、このネットワークシステムに
おいて、第１の情報端末における第１の情報と第２の情
報端末が保持するリストとに基づいて生成された暗号化
データを取得し、第１、第２の情報端末がそれぞれ保持
するリストの内容が秘匿されたままでこのリストの共通
項目を求めるサーバをさらに備える。そして、第２の情
報端末は、第２の情報が取得できない場合または取得し
た第２の情報に基づいてリストの共通項目を求めること
ができない場合に、暗号化データを生成してかかるサー
バに送信し、このサーバからの応答データを復号してリ
ストの共通項目を得る。

【００２２】また、本発明は、ネットワークシステムを
構成する、次のように構成されたことを特徴とするサー
バとして実現することができる。すなわち、ネットワー
クを介して接続された複数台の情報端末が保持する複数
のリストにおける共通項目を抽出するサーバにおいて、
ネットワークを介して、複数台の情報端末に保持されて
いる各リストを表現する複数の多項式の加算結果である
多項式を情報端末から取得する通信手段と、加算結果で
ある多項式の根を要素項目とするリストを生成する処理
手段とを備える。

【００２３】一方、本発明は、同じくネットワークシス
テムを構成する、次のように構成されたことを特徴とす
る情報端末として実現することができる。すなわち、ネ
ットワークを介して接続された情報端末において、ネッ
トワークを介して他の情報端末とデータ交換を行うため
の通信手段と、所定のリストを格納した記憶手段と、こ
の記憶手段に格納されているリストの要素項目を根とす
る多項式を生成すると共に、この多項式に対する処理を
行う処理手段と、この多項式を含む複数の多項式の加算
結果である多項式の根を要素項目とするリストに関する
情報を出力する出力手段とを備える。

【００２４】あるいは、次のように構成されたことを特
徴とする情報端末として実現することもできる。すなわ
ち、ネットワークを介して接続された情報端末におい
て、所定のリストを格納した記憶手段と、この記憶手段
に格納されているリストの要素項目を根とする第１の多
項式とネットワーク上の所定のサーバの数に対応した次
数の第２の多項式とに基づいて２変数多項式を生成する
処理手段と、ネットワーク上の所定のサーバに、この２
変数多項式を第２の多項式に基づいて分散して送信する
と共に、サーバから分散した多項式の加算結果を受信す
る通信手段と、この加算結果から復元される多項式の根
を要素項目とするリストに関する情報を出力する出力手
段とを備える。

【００２５】また、本発明は、次のように構成された情
報端末としても実現される。すなわち、ネットワークに
接続されたこの情報端末は、所定のリストを格納した記
憶部と、このネットワークを介して他の情報端末が保持
するリストに基づく公開情報を取得して検証する検証部
と、この検証部による検証を通過した公開情報と記憶部
に格納されているリストの要素項目を根とする多項式と
に基づいて、公開情報の生成に用いられたリストと記憶
部に格納されているリストとの共通項目を求めるマッチ
ング結果出力部とを備えることを特徴とする。ここで、
より好ましくは、この情報端末は、多項式に基づいて公
開情報を生成する公開情報生成部をさらに備える。この
場合、マッチング結果出力部は、他の情報端末の公開情
報が検証部による検証を通過した場合に、公開情報生成
部にて生成された自装置の公開情報及び他の情報端末が
保持するリストに基づいて生成された所定の情報を他の
情報端末から取得し、所定の情報に基づいてリストの共
通項目を求める。

【００２６】さらにまた、本発明は、コンピュータを制
御して上述したサーバや情報端末の機能を実現するプロ
グラムとしても実現することができる。このプログラム
は、磁気ディスクや光ディスク、半導体メモリ、その他
の記憶媒体に格納して配布したり、ネットワークを介し
て配信したりすることにより提供することができる。

【００２７】

【発明の実施の形態】以下、添付図面に示す実施の形態
に基づいて、この発明を詳細に説明する。本発明は、リ
ストマッチングによる情報交換を行うため、リストマッ
チングの対象であるリストを、多次元関数（以下、特徴
関数と称す）を用いて表現することを提案する。

【００２８】〔特徴関数の導入〕所定の要素項目を並べ
たリストは、当該要素項目を数値に置き換え、この数値
を根とする（以下、リストの要素項目を置き換えた数値
を根とすることを、単に、要素項目を根とすると表現す
る）多項式を生成することにより、特徴関数で表現する
ことができる。したがって、リストのｎ個の項目を表現
するには、ｎ次の多項式を定義することが必要となる。
図１は、特徴関数である、リストの要素項目を根とする
多項式の例を示す図である。図１に示すように、リスト
Ｌ₁、Ｌ₂を表現した多項式をそれぞれＦ_Y1(ｙ)（図中、
実線で記載）、Ｆ_Y2(ｙ)（図中、破線で記載）とする
と、その加算結果である多項式Ｆ_Y(ｙ)＝Ｆ_Y1(ｙ)＋Ｆ
_Y2(ｙ)（図中、実太線で記載）において、座標点Ａに示
すように、両者の共通項目は相変わらず根になってい
る。これは、各リストＬ₁、Ｌ₂を示す多項式の和計算に
よって、共通項目を根とする多項式が得られたことを意
味する。多項式を素数有限体Ｚ／Ｚｐ上で考えると、Ba
rlekampアルゴリズムを用いることによって、１変数多
次元多項式を因数分解し、根を求めることができる。し
たがって、リストから多項式の構成、及び多項式からリ
ストの復号という、１対１の関係付けができる。なお、
Barlekampアルゴリズムについては、例えば、次の文献
３に記載されている。文献３：Donald E. Knuth, Seminumerical Algorithms,
the art of computer programming, Addison-Wesley,
1998.

【００２９】ここで、図１の座標点Ｂに示すように、加
算結果の多項式が共通根以外の点で根を持ち得ることが
問題となる。この根を共通根と区別するために、１方向
ハッシュ関数ＭＤ５を用いる。すなわち、リスト項目ｌ
をそのまま多項式の根にするのではなく、ハッシュ関数
ＭＤ５による演算結果を付加したｌ||ＭＤ５(ｌ)を根に
する（ここで、||は文字列の結合を示す）。このように
すれば、多項式を換算した後、当該加算結果である多項
式の根にもこのハッシュ関数ＭＤ５の演算結果が保持さ
れているため、これを検証することにより、復号時に根
がリストの項目から作られたものか、加算の結果、偶然
にできたものかを区別することが可能となる。

【００３０】図２は、リストから特徴関数の多項式を構
成する手順を説明するフローチャート、図３は、多項式
を復号してリストの共通項目を取得する手順を説明する
フローチャートである。この場合、各処理は例えば一般
的なコンピュータ装置におけるプログラム制御されたＣ
ＰＵにて実行され、処理対象であるリストＬ及び関数Ｆ
(ｘ)は当該ＣＰＵのキャッシュメモリやメインメモリに
格納される。図１８は、この種のコンピュータ装置のハ
ードウェア構成の例を模式的に示した図である。図１８
に示すコンピュータ装置は、演算手段であるＣＰＵ（Ce
ntral Processing Unit：中央処理装置）１０１と、Ｍ
／Ｂ（マザーボード）チップセット１０２及びＣＰＵバ
スを介してＣＰＵ１０１に接続されたメインメモリ１０
３と、同じくＭ／Ｂチップセット１０２及びＡＧＰ（Ac
celerated Graphics Port）を介してＣＰＵ１０１に接
続されたビデオカード１０４と、ＰＣＩ（Peripheral C
omponent Interconnect）バスを介してＭ／Ｂチップセ
ット１０２に接続されたハードディスク１０５、ネット
ワークインターフェイス１０６及びＵＳＢポート１０７
と、さらにこのＰＣＩバスからブリッジ回路１０８及び
ＩＳＡ（Industry Standard Architecture）バスなどの
低速なバスを介してＭ／Ｂチップセット１０２に接続さ
れたフロッピー（登録商標）ディスクドライブ１０９及
びキーボード／マウス１１０とを備える。なお、図１８
は本実施の形態を実現するコンピュータ装置のハードウ
ェア構成を例示するに過ぎず、本実施の形態を適用可能
であれば、他の種々の構成を取ることができる。例え
ば、ビデオカード１０４を設ける代わりに、ビデオメモ
リのみを搭載し、ＣＰＵ１０１にてイメージデータを処
理する構成としても良いし、ＡＴＡ（AT Attachment）
などのインターフェイスを介してＣＤ−ＲＯＭ（Compac
t Disc Read Only Memory）やＤＶＤ−ＲＯＭ（Digital
Versatile Disc ReadOnly Memory）のドライブを設け
ても良い。

【００３１】図２を参照すると、ＣＰＵ１０１は、ま
ず、関数Ｆ(ｘ)＝１、変数ｑ＝１とおき（ステップ２０
１）、メインメモリ１０３から処理対象であるリストＬ
の要素項目ｌ_iを読み込む。ここで、ｌ_i ^'＝ｌ_i||ＭＤ
(ｌ_i)とおく（ステップ２０２）。次に、ＣＰＵ１０１
は、改めてＦ(ｘ)＊(ｘ−ｌ_i ^')（ｍｏｄｐ）をＦ(ｘ)
とおき、変数ｑの値を１増加する（ステップ２０３）。
そして、ステップ２０２、２０３の処理をｑの値がリス
トＬの項目数ｎに達するまで繰り返した後、得られた関
数Ｆ(ｘ)を出力する（ステップ２０４、２０５）。以上
のようにして、リストＬから特徴関数Ｆ(ｘ)が構成され
る。

【００３２】図３を参照すると、ＣＰＵ１０１は、ま
ず、メインメモリ１０３から処理対象であるｎ次元関数
Ｆ(ｘ)を読み込み（ステップ３０１）、Barlekampアル
ゴリズムを用いて当該関数Ｆ(ｘ)を因数分解する（ステ
ップ３０２）。次に、ＣＰＵ１０１は、因数分解の結果
に基づいて、ｇ_i＝（ｘ−ｌ_i ^'）及びｌ_i ^'＝ｌ||ＭＤを
得る（ステップ３０３）。次に、因数分解された全ての
（ｘ−ｌ_i ^'）に関してＭＤ＝ＭＤ５(ｌ_i)であるような
要素項目ｌ_i ^'（すなわち、ｌ_i ^'＝ｌ_i||ＭＤ５(ｌ_i)であ
るようなｌ_i ^'）を抽出する（ステップ３０４、３０
５）。そして、得られた要素項目ｌ_i ^'よりリストＬを作
成し（ステップ３０６）、得られたリストＬを出力する
（ステップ３０７）。以上のようにして、特徴関数Ｆ
(ｘ)からリストＬが復元される。

【００３３】この種のリストマッチングにおけるセキュ
リティに関しては、次の要件を満たすことが要求され
る。（１）全リスト保持者のリストに共通して現れる項目を
共通部分とする。（２）リスト保持者の持つリストの内容は共通部分を除
いて誰も知りえない。このように定義すると、リスト保持者は自分のリストに
含まれる項目の範囲内だけで、それぞれの項目が他の参
加者と共通かどうかだけを知ることができることにな
る。

【００３４】上述したように、リストを当該リストの各
項目を根とする多項式（特徴関数）で表現することによ
り、各多項式を加算することによって各リストの共通項
目を根とする多項式が得られ、この計算結果である多項
式からリストの共通項目を取得することができる。すな
わち、分岐命令などを含む比較計算を必要とせず、加算
のみによって、リストの共通項目を抽出することが可能
となる。このため、後述するように、各参加者が自分の
リストに対応する多項式を順次加算して共通項目を算出
するシステムや、分散秘密計算を用いて共通項目を算出
するシステムを構築することが可能となり、ネットワー
ク上で安全性の高いリストマッチングを実現することが
できる。

【００３５】〔第１の実施の形態〕次に、上述したリス
トを特徴関数で表現し共通項目を計算する手法をプロト
コルに用いて、リストマッチングを行うネットワークシ
ステムの実施の形態について説明する。ここでは、ネッ
トワーク上にＴＴＰサーバを置き、このＴＴＰサーバで
リストマッチングの計算を行うシステムと、ピア・ツー
・ピアでリストマッチングを行うシステムとをそれぞれ
説明する。

【００３６】図４は、ネットワーク上のＴＴＰサーバで
リストマッチングを行うシステムの全体構成を示す図で
ある。図４を参照すると、本実施の形態によるネットワ
ークシステムは、リスト保持者（参加者）のクライアン
ト端末と、リストマッチングの計算を行うマッチメーキ
ングサーバ（ＴＴＰサーバ）とを備える。図４の例で
は、ｍ人の参加者のクライアント端末４１１、４１２〜
４１ｍと１台のマッチメーキングサーバ４００とがネッ
トワークを介して接続されている。

【００３７】本実施の形態のマッチメーキングサーバ４
００は、例えば、ワークステーションやパーソナルコン
ピュータその他のコンピュータ装置にて実現される。ま
た、クライアント端末４１１、４１２〜４１ｍは、例え
ば、パーソナルコンピュータなどのコンピュータ装置、
ＰＤＡ（Personal Digital Assistant）、携帯電話など
の情報通信端末にて実現される。そして、磁気ディスク
や半導体メモリなどの記憶手段にリストマッチングの対
象であるリストを格納している。典型的には、マッチメ
ーキングサーバ４００及びクライアント端末４１１、４
１２〜４１ｍは、図１８に示したコンピュータ装置にて
実現することができる。

【００３８】図５は、図４に示したマッチメーキングサ
ーバ４００及びクライアント端末４１１、４１２〜４１
ｍの好適なシステム構成を示す図である。図５に示すよ
うに、マッチメーキングサーバ４００及びクライアント
端末４１１、４１２〜４１ｍは、それぞれ、アプリケー
ションソフトウェア５０１、５１１と、ネットワークプ
ロトコル５０２、５１２と、ネットワークインターフェ
イス５０３、５１３とを備える。

【００３９】アプリケーションソフトウェア５０１、５
１１にて制御されたＣＰＵ１０１は、処理対象となるリ
ストの生成、当該リストからの特徴関数の多項式の構
成、多項式の加算、多項式からのリストの復号といった
処理を実行する。そして、ネットワークプロトコル５０
２、５１２を介してネットワークインターフェイス５０
３、５１３を制御する。そして、このネットワークイン
ターフェイス５０３、５１３により、ネットワーク回線
５２０を介して、マッチメーキングサーバ４００とクラ
イアント端末４１１、４１２〜４１ｍとの間の通信が行
われる。また、クライアント端末４１１、４１２〜４１
ｍのアプリケーションソフトウェア５１１にて制御され
たＣＰＵ１０１は、後述のプロトコルにしたがってマッ
チメーキングサーバ４００から受け取った共通項目のリ
ストや当該リストに関する情報を、当該クライアント端
末４１１、４１２〜４１ｍに設けられている表示手段
（液晶表示装置など）や音声出力手段にて出力する機能
を実現する。なお、本実施の形態におけるマッチメーキ
ングサーバ４００及びクライアント端末４１１、４１２
〜４１ｍのシステム構成は、必ずしも図５に示した構成
に限るものではない。例えば、アプリケーションソフト
ウェア５０１、５１１とネットワークプロトコル５０
２、５１２との間にネットワークＯＳ（オペレーティン
グシステム）が介在していても良い。

【００４０】以上のように構成されたネットワークシス
テムにおいて、次のようなプロトコルでリストマッチン
グを実行する。１．クライアント端末４１１は、自分のリストＬ₁から
多項式Ｆ₁(ｘ)を構成する。また、ランダムな項目を持
つリストＲ₁を生成し、この多項式をＦ_R1(ｘ)とする。
そして、Ｆ_R1(ｘ)をマッチメーキングサーバ４００に秘
密送信し、Ｆ_1,2(ｘ)＝Ｆ₁(ｘ)＋Ｆ_R1(ｘ)をクライアン
ト端末４１２に秘密送信する。２．クライアント端末４１ｉ（ｉ＝２、・・・、ｍ−
１）は、クライアント端末４１ｉ−１から送信された多
項式Ｆ_i-1,i(ｘ)に自分のリストＬ_iの多項式表現Ｆ
_i(ｘ)を加えたＦ_i,i+1(ｘ)＝Ｆ_i-1,i(ｘ)＋Ｆ_i(ｘ)をク
ライアント端末４１ｉ＋１に秘密送信する。３．クライアント端末４１ｍは、クライアント端末４１
ｍ−１から送信された多項式Ｆ_m-1,m(ｘ)に自分のリス
トＬ_mの多項式表現Ｆ_m(ｘ)を加えたＦ_m,M(ｘ)＝Ｆ_m-1,m
(ｘ)＋Ｆ_m(ｘ)を、マッチメーキングサーバ４００に秘
密送信する。４．マッチメーキングサーバ４００は、クライアント端
末４１ｍから送付された多項式Ｆ_m,M(ｘ)からＦ_R1(ｘ)
を引き算して得られた多項式Ｆ_M(ｘ)＝Ｆ_m,M(ｘ)−Ｆ_R1
(ｘ)から、各クライアントの共通部分に関するリストを
復号し、各クライアント端末４１１、４１２〜４１ｍに
通知する。

【００４１】以上のようにして、各参加者のリストを表
現する多項式が、各クライアント端末４１１、４１２〜
４１ｍを経ながら加算されてゆき、マッチメーキングサ
ーバ４００において共通部分のリストが得られることと
なる。なお、マッチングサーバ４００は、共通部分のリ
ストに対応する多項式Ｆ_M(ｘ)をそのまま各クライアン
ト端末４１１、４１２〜４１ｍへ送信し、各クライアン
ト端末４１１、４１２〜４１ｍにおいて共通部分のリス
トを復号させるようにしても良い。また、リストにおけ
る共通項目の項目数だけを各クライアント端末４１１、
４１２〜４１ｍに通知するようなサービスも可能であ
る。

【００４２】また、各クライアント端末４１１、４１２
〜４１ｍの順番は、任意に設定することができ、リスト
マッチングを行うたびに変更しても良いが、リストマッ
チングの対象であるリストを保持するクライアント端末
４１１、４１２〜４１ｍが全て参加することが必要であ
る。さらに、リストマッチングを行うたびに、対象とな
るリストの数も変化し得る。例えば、４台のクライアン
ト端末４１１、４１２〜４１ｍがマッチメーキングサー
バ４００に接続されている場合に、ある時は４台全ての
クライアント端末４１１、４１２〜４１ｍが参加してリ
ストマッチングを行い、別のある時は任意の２台のクラ
イアント端末４１１、４１２〜４１ｍが参加してリスト
マッチングを行うといった実施を行うことができる。

【００４３】上述したネットワークシステムによれば、
次の２つの安全性が保たれることとなる。第１に、マッ
チメーキングサーバ４００は、加算結果の多項式のみを
知ることができる。第２に、各クライアント端末４１
１、４１２〜４１ｍは、他の参加者の多項式を知ること
はできない。したがって、各参加者は、自分のリストに
含まれる項目の範囲内だけで、それぞれの項目が他の参
加者と共通かどうかだけを知ることができることとな
る。そのため、特定のリスト保持者だけが、自分の項目
は全く明かさずに、他者の共通部分の知識を得るような
操作を防ぐことが可能となる。

【００４４】〔第２の実施の形態〕次に、ＴＴＰサーバ
を用いずに、ピア・ツー・ピアでリストマッチングを行
うシステムについて説明する。図６及び図７は、かかる
システムの全体構成を示す図である。各図には、後述す
るプロトコルにおける動作が記述されている。本実施の
形態によるネットワークシステムでは、秘密分散に協力
する複数のサーバが必要になる。このサーバは、上述し
たマッチメーキングサーバ４００とは異なり、多項式の
計算に協力するのみであって、リストに関しての何の情
報も知り得ない。図６及び図７を参照すると、本実施の
形態によるネットワークシステムは、ｍ人のリスト保持
者（参加者）のネットワーク端末６１１〜６１ｍと、秘
密分散に協力するｋ台のサーバ６２１〜６２ｋとがネッ
トワークを介して接続されている。

【００４５】本実施の形態のネットワーク端末６１１〜
６１ｍは、例えば、パーソナルコンピュータなどのコン
ピュータ装置、ＰＤＡ（Personal Digital Assistan
t）、携帯電話などの情報通信端末にて実現される。そ
して、磁気ディスクや半導体メモリなどの記憶手段にリ
ストマッチングの対象であるリストを格納している。ま
た、サーバ６２１〜６２ｋは、例えば、ワークステーシ
ョンやパーソナルコンピュータその他のコンピュータ装
置にて実現される。典型的には、ネットワーク端末６１
１〜６１ｍ及びサーバ６２１〜６２ｋは、図１８に示し
たコンピュータ装置にて実現することができる。

【００４６】図８は、図６に示したネットワーク端末６
１１〜６１ｍ及びサーバ６２１〜６２ｋの好適なシステ
ム構成を示す図である。図８に示すように、ネットワー
ク端末６１１〜６１ｍ及びサーバ６２１〜６２ｋは、そ
れぞれ、アプリケーションソフトウェア８０１、８１１
と、ネットワークプロトコル８０２、８１２と、ネット
ワークインターフェイス８０３、８１３とを備える。

【００４７】アプリケーションソフトウェア８０１、８
１１にて制御されたＣＰＵ１０１は、処理対象となるリ
ストの生成、当該リストからの特徴関数の多項式の構
成、多項式の加算、多項式からのリストの復号といった
処理を実行する。そして、ネットワークプロトコル８０
２、８１２を介してネットワークインターフェイス８０
３、８１３を制御する。そして、このネットワークイン
ターフェイス８０３、８１３により、ネットワーク回線
８２０を介して、ネットワーク端末６１１〜６１ｍとサ
ーバ６２１〜６２ｋとの間の通信が行われる。また、ネ
ットワーク端末６１１〜６１ｍのアプリケーションソフ
トウェア８０１にて制御されたＣＰＵ１０１は、後述の
プロトコルにしたがって復元した多項式に基づく共通項
目のリストを、当該ネットワーク端末６１１〜６１ｍに
設けられている表示手段（液晶表示装置など）や音声出
力手段にて出力する機能を実現する。なお、本実施の形
態におけるネットワーク端末６１１〜６１ｍ及びサーバ
６２１〜６２ｋのシステム構成は、必ずしも図７に示し
た構成に限るものではない。例えば、アプリケーション
ソフトウェア８０１、８１１とネットワークプロトコル
８０２、８１２との間にネットワークＯＳが介在してい
ても良い。

【００４８】ここで、本実施の形態のシステムにおける
秘密分散によるリストマッチングを実現するための背景
技術について説明する。鍵共有暗号系：鍵共有暗号系は、１つの秘密鍵をいくつ
かのサーバに分割してもたせるものであり、Shamirの
(t,k)閾値暗号系が有名である。これは、１つの秘密情
報をｋ個のサーバに分割して持たせ、そのうちのｔ個が
協力することにより、元の鍵を復元できるものである。
構成法は、まず、ある体Ｆ上の（ｔ−１）次多項式ｆ(ｘ)＝ｆ₀＋ｆ₁＊ｘ＋ｆ₂＊^x2＋…＋ｆ_t-1＊ｘ^t-1 （式１）を定める。秘密情報の所有者は、まず、式１のｆ₀に秘
密情報を代入し、残りのｆ_kはランダムに決める。次
に、各サーバｋに対し、（ｋ，ｆ(ｋ)）を分割情報とし
て送る。ｋ個の分割情報が集まると始めて、この多項式
（式１）の各係数を一意に求めることができ、ｆ₀が求
められる。なお、Shamirの(t,k)閾値暗号系について
は、次の文献４に詳細に記載されている。文献４：Shamir, A., "How to Share a Secret," CACM
22, 1979.

【００４９】Oblivious Transfer：Oblivious Transfer
（以下、ＯＴ）は、情報提供者（Ｓ：Sender）と選択者
（Ｃ：Chooser）の２人の間のプロトコルであり、提供
者が持つ複数個の情報のうち、所定のいくつかの情報を
選択者が選んで得るという手法である。このとき、以下
の２つの条件がみたされなければならない。（１）選択者のプライバシー：提供者は選択者がどれを
選んだかを知ることができない。（２）提供者のプライバシー：選択者は選んだ情報以外
を知ることはできない。

【００５０】基本的なＯＴとして、１−out−of−２−
ＯＴがある。これは、提供者が２つの情報を持ち、選択
者はそのうちの任意の１つを選ぶというものである。こ
れを実現する代表的なプロトコルとして、ＥｌＧａｍａ
ｌ暗号を使った、次に示すプロトコルがある。なお、下
記プロトコルにおいて、提供者の持つ情報をＩ₀、Ｉ₁、
選択者の選択値をｂ∈｛０，１｝、［ｂ］＝ＮＯＴｂ
とする。１．Ｓ→Ｃ：乱数ｒ２．Ｃ→Ｓ：Ｋ_b＝ｇｘ，Ｋ_[b]＝ｒ／Ａｂ３．Ｓ：Check that Ｋ₀＊Ｋ₁＝ｒ４．Ｓ→Ｃ｛ＥＩ１，ＩＥ２｝，where ＥＩ１＝
（ｇ^h，Ｉ₀＊Ｋ₀ ^h），ＥＩ２＝（ｇ^h，Ｉ₁＊Ｋ₁ ^h）５．Ｃ：Decrypt Ｉ_b 以上のプロトコルは、例えば、下記文献５に詳細に記載
されている。文献５：Bellare, M. and Micali, S., "Non-interacti
ve oblivious transferand applications," in proc. C
RYPTO'89, 1990.

【００５１】分散型ＯＴ：上記の基本的なＯＴでは、提
供者と選択者の間で暗号化、復号化の処理が必要にな
る。特に提供者側は、全ての情報を暗号化しなければな
らず、負担が大きい。そこで、提供者と選択者との間に
複数のサーバを置き、サーバ間で情報の秘密分散をさせ
ることによって、提供者の負担を軽減することが考えら
れる。これを実現したＯＴとして、分散型ＯＴがある。
この分散型ＯＴのプロトコルを次に示す。なお、下記プ
ロトコルにおいて、ｋ個のサーバをＰ₁，．．．，Ｐ_kと
する。１．Ｓ：一次式Ｆ_Y(ｙ)＝（Ｉ₁−Ｉ₀）ｙ＋Ｉ₀と、定数
項が０の任意のｋ−１次式Ｆ_X(ｘ)を作り、２変数多項
式Ｑ(ｘ，ｙ)＝Ｆ_X(ｘ)＋Ｆ_Y(ｙ)を定義する。２．Ｓ→Ｐ_i：Ｑ(ｉ，ｙ)を送る（Ｑは１変数多項
式）。３．Ｃ：定数項がｂであるｋ−１次式Ｓ(ｘ)を作る。４．Ｃ→Ｐ_i：座標（ｉ，Ｓ(ｉ)）を送る。５．Ｐ_i→Ｃ：Ｑ(ｉ，Ｓ(ｉ))を返す。６．Ｃ：ｋ個のサーバからＱ(ｉ，Ｓ(ｉ))を得ることに
よって、ｋ−１次式Ｇ(ｘ)＝Ｑ(ｘ，Ｓ(ｘ))を復元する
ことができ、その結果Ｇ(０)＝Ｑ(０，Ｓ(０))＝Ｑ
(０，ｂ)＝Ｆ_Y(ｂ)の値が求まる。上記プロトコルは、例えば、下記文献６に詳細に記載さ
れている。文献６：Naor, M. and Pinkas, B, "Distributed Obliv
ious," in proc. of Asiacrypt, 2000.

【００５２】以上の技術的背景に基づき、図６乃至図８
に示したように構成されたネットワークシステムにおい
て、次のようなプロトコルでリストマッチングを実行す
る。１．特徴関数の構成と２変数関数化：ネットワーク端末
６１ｉ（ｉ＝１，．．．，ｍ）は、ｎ＋１次の多項式Ｆ
_Yi(ｙ)を、Ｆ_Yi(ｌ_i,h)＝０、ｈ＝１，．．．，ｎとな
るように構成する（ｎ＋１次なのでｎ＋１個の根を持つ
ことができるが、最後の１個はＳ_iのＩＤの文字列「ｉ
ｄ_i」を根にする、またネットワーク端末６１ｉのリス
トの項目数がｎに満たない場合も残りの根を全て「ｉｄ
_i」とする）。次に、定数項が０の任意のｋ−１次多項
式Ｆ_Xi(ｘ)を作り、２変数多項式Ｑ_i(ｘ，ｙ)＝Ｆ
_Xi(ｘ)＋Ｆ_Yi(ｙ)を定義する（図６参照）。図９は、多
項式Ｑ_i(ｘ，ｙ)＝Ｆ_Xi(ｘ)＋Ｆ_Yi(ｙ)を示す図であ
る。

【００５３】図１０は、２変数多項式Ｑ_i(ｘ，ｙ)の生
成方法を説明するフローチャートであり、図１１は、ｋ
−１次多項式Ｆ_Xi(ｘ)の生成方法を説明するフローチャ
ートである。図１０を参照すると、予めメインメモリ等
に格納されているｎ＋１次の多項式Ｆ_Y(ｙ)を読み出し
（ステップ１００１）、さらにｋ−１次の多項式Ｆ
_X(ｘ)を読み出す（ステップ１００２）。そして、読み
出した多項式Ｆ_Y(ｙ)及びＦ_X(ｘ)を加算して２変数多項
式Ｑ_i(ｘ，ｙ)を生成する（ステップ１００３）。ま
た、図１１を参照すると、まず、ｋ−１個の乱数を生成
し（ステップ１１０１）、当該乱数を用いてｋ−１次多
項式Ｆ_X(ｘ)＝ｒ₁*ｘ＋ｒ₂*ｘ²＋…＋ｒ_k-1*ｘ^k-1を生
成する（ステップ１１０２）。

【００５４】２．特徴関数のサーバへの分散：ネットワ
ーク端末６１ｉ（ｉ＝１，．．．，ｍ）からサーバ６２
ｊ（ｊ＝１，．．．，ｋ）へ、Ｑ_i(ｊ，ｙ)を送る（Ｑ_i
は１変数多項式）（図６参照）。

【００５５】３．各サーバにおける分散値加算：サーバ
６２ｊ（ｊ＝１，．．．，ｋ）は、各ネットワーク端末
６１ｉ（ｉ＝１，．．．，ｍ）から送られてきた多項式
Ｑ_i(ｊ，ｙ)を全て加算する（図６参照）。すなわち、Ｑ^(j)(ｊ，ｙ)＝Σ_iＱ_i(ｊ，ｙ)

【００５６】４．復元用関数の作成：各ネットワーク端
末６１ｉ（ｉ＝１，．．．，ｍ）は、定数項がｌ_i,tで
あるｋ−ｎ−２次多項式Ｓ_i,t(ｘ)、ｔ＝１，．．．，
ｎをｎ個作る（図７参照）。

【００５７】５．各サーバへの復元用関数上での分散値
問い合わせ：ネットワーク端末６１ｉ（ｉ＝
１，．．．，ｍ）からサーバ６２ｊ（ｊ＝１，．．．，
ｋ）へ、ｎ個の座標（ｊ，Ｓ_i,t(ｊ)），ｔ＝
１，．．．，ｎを送る（図７参照）。

【００５８】６．各サーバからの復元用関数上での分散
値返送：サーバ６２ｊ（ｊ＝１，．．．，ｋ）からネッ
トワーク端末６１ｉ（ｉ＝１，．．．，ｍ）へ、Ｑ
^(j)(ｊ，Ｓ_i,t(ｊ))の値、ｔ＝１，．．．，ｎを返す
（図７参照）。

【００５９】７．項目の一致度判定：ネットワーク端末
６１ｉ（ｉ＝１，．．．，ｍ）は、ｋ個のＱ^(j)(ｊ，Ｓ
_i, _t(ｊ))，（ｊ＝１，．．．，ｋ）から、多項式Ｑ
^(j)(ｘ，Ｓ_i,t(ｘ))を復元する。そして、ｘ＝０を代入
することによって、Ｑ^(j)(０，Ｓ_i,t(０))＝Ｑ^(j)(０，
ｌ_i,t)＝Σ_iＦ_Yi(ｌ_i,t)，ｔ＝１，．．．，ｎを計算す
る（図７参照）。もし、あるｔについてΣ_iＦ_Yi(ｌ_i,t)
が０であれば、全てのリスト保持者がｌ_i,tという項目
を共通に持っていることになる。一方、Σ_iＦ_Yi(ｌ_i,t)
が０でなければ、共通項目ではなかったことがわかる。

【００６０】以上のようにして、各参加者のリストを表
現する多項式が、複数のサーバ６２１〜６２ｋに分散さ
れて加算され、加算結果に基づいて、各参加者のネット
ワーク端末６１１〜６１ｍにおいて、共通部分のリスト
が得られることとなる。なお、上記のプロトコルによっ
て秘密分散を用いたリストマッチングを実行する場合、
初期動作として、リストマッチングの対象となるリスト
を保有するネットワーク端末６１１〜６１ｍ間で通信を
確立し、使用するサーバ６２１〜６２ｋを決める工程が
実行される。上述したネットワークシステムによれば、
次の２つの安全性が保たれることとなる。第１に、秘密
分散用のサーバ６２１〜６２ｋは、ｋ台全てが結託しな
い限り、リスト保持者の多項式および結果多項式につい
ての情報を得ることはできない。第２に、各ネットワー
ク端末６１１〜６１ｍは、他の参加者の多項式を知るこ
とはできない。

【００６１】ここで、ネットワーク端末６１１〜６１ｍ
を用いた不正としては、定数０を自分のリスト表現関数
として登録し、本当のリストは明らかにしないで、他の
参加者の共通部分を知ろうとする方法が考えられる。し
かしながら、ネットワーク端末６１１〜６１ｍが秘密分
散用のサーバ６２１〜６２ｋに対して分散登録する際
に、秘密分散用のサーバ６２１〜６２ｋにおいて分散多
項式の次数を調べることによって、不正を検出すること
ができる。

【００６２】ところで、上記のプロトコルにおいて、各
リスト保持者ｉは、自分の特徴関数Ｆ_Yi(ｙ)を知ってい
るため、和関数Σ_iＦ_Yi(ｙ)について、自分の特徴関数
の根以外の点（つまり、あるリスト項目）ｙ０を検索
し、自分の特徴関数の値を引くことにより、Σ_iＦ_Yi(ｙ
０)−Ｆ_Yi(ｙ０)＝０となった場合、自分以外のリスト
保持者がその項目を共通点として持っていたかどうかを
知ることができてしまう。これを防ぐために、以下のよ
うに、和関数を乱数倍にすることによって、根以外の情
報を無効化することができる。まず、上記プロトコルの
２．において、Ｑ_i(ｊ，ｙ)に加え、乱数Ｒ_i（全てのサ
ーバについて同じ値）を送る。また、３．において、多
項式Ｑ_i(ｊ，ｙ)を加算すると共に、各ネットワーク端
末６１ｉ（ｉ＝１，．．．，ｍ）から送られてきた乱数
Ｒ_iも加算する。すなわち、Ｒ^(j)＝Σ_iＲ_i そして、前者の関数を後者の乱数によって定数倍する。
以上の操作を含むことにより、自関数の根以外の点検索
を無効化することができる。

【００６３】ところで、本実施の形態では、マッチング
の対象であるリストの各要素は、特徴関数の根として表
現されている。そのため、複数の特徴関数を加算した結
果、個々の特徴関数において根でなかったところにも根
が現れ得ることは上述した。また、この場合、１方向ハ
ッシュ関数を用いることによって、復号時に根がリスト
の項目から作られたものか、加算の結果、偶然にできた
ものかを区別することが可能となることについても、先
に述べた。しかし、秘密分散を用いてピア・ツー・ピア
でリストマッチングを行う本実施の形態においては、ハ
ッシュ関数を用いた手法を取るまでもなく、偶然にでき
た根については大きな問題とはならない。なぜなら、各
リスト保持者（参加者）は、自分の特徴関数の根であっ
た部分について、結果の関数においても根であるか否か
を調べるのが原則であるからである。したがって、少な
くとも、参加者が２人の場合には問題は全く起こらな
い。

【００６４】参加者が３人以上の場合、例えば、参加者
Ａが｛Ａ１，Ａ２｝、参加者Ｂが｛Ｂ１，Ｂ２｝、参加
者Ｃが｛Ｃ１，Ｃ２｝というリストをそれぞれ持ってい
たとする。この場合、ＡとＢの特徴関数を加算した結
果、ごく小さな確率で偶然に和関数がＣ１という根を持
つ可能性があり、このとき、Ｃは、ＡもＢも同じ要素Ｃ
１を持っていると誤って判断することになる。このよう
な事態が起きる確率は、以下のように求められる。関数
は、任意の有限体上で定義されるが、簡単のため素数体
Ｚｐとする。ここで、ｐを５１２ｂｉｔ程度の素数にす
ると、６４文字長の文字列が根として表現できることに
なる。ここで、リストの要素数ｎを１５程度にとると、
特徴関数は１６次元となる。特徴関数は、それぞれ対応
するリストの保持者のＩＤを根として持つので、お互い
に重なることはなく、ユニークであると考えられる。し
たがって、ＡとＢの和関数がＡとＢの共通根以外の特定
の値ｙ₀で根を持つ確率は、１６／（２⁵¹²）程度であ
り、ほとんど無視できる大きさだと考えられる。

【００６５】〔第３の実施の形態〕次に、特徴関数を用
いて、通常はピア・ツー・ピアでリストマッチングを行
い、障害が発生した場合に、ＴＴＰサーバの支援により
リストマッチングの処理を補完するシステムについて説
明する。図１２は、かかるシステムの全体構成を示す図
である。図１２を参照すると、本実施の形態によるネッ
トワークシステムでは、システムを構成する個々のピア
であるネットワーク端末１２００の間での情報のやり取
りのみによって、リストマッチングが可能である。さら
に、ネットワーク端末１２００間での情報のやり取りに
障害が発生した場合（必要な情報の交換が行われない場
合や間違った情報が交換された場合）は、ＴＴＰサーバ
１２１０に例外処理を依頼することにより、問題解決を
図ることができる。

【００６６】図１３は、本実施の形態におけるネットワ
ーク端末１２００及びＴＴＰサーバ１２１０の機能構成
を示す図である。ネットワーク端末１２００は、例え
ば、パーソナルコンピュータなどのコンピュータ装置、
ＰＤＡ（Personal Digital Assistant）、携帯電話など
の情報通信端末にて実現される（図１８参照）。そし
て、ハードディスク１０５やメインメモリ１０３などの
記憶手段にリストマッチングの対象であるリストを格納
している。図１３を参照すると、ネットワーク端末１２
００は、公開情報であるコミットメント及びコミットメ
ント開示値を生成するコミットメント生成部１２０１
と、リストマッチングの相手となる他のネットワーク端
末１２００の公開情報を取得し検証を行うコミットメン
ト検証部１２０２と、コミットメント生成部１２０１に
て生成されたコミットメント開示値及びコミットメント
検証部１２０２により検証された他のネットワーク端末
１２００のコミットメントに対するマッチング処理を行
うマッチング部１２０３と、リストマッチングの結果を
出力するマッチング結果出力部１２０４とを備えると共
に、ＴＴＰサーバ１２１０に処理を依頼するための例外
処理要求部１２０５と、ＴＴＰサーバ１２１０から取得
した処理結果を出力する例外処理結果出力部１２０６と
を備える。これらコミットメント生成部１２０１、コミ
ットメント検証部１２０２、マッチング部１２０３、マ
ッチング結果出力部１２０４、例外処理要求部１２０５
及び例外処理結果出力部１２０６は、ネットワーク端末
１２００を構成するコンピュータ装置におけるプログラ
ム制御されたＣＰＵ１０１にて実現される仮想的なソフ
トウェアブロックである。また、特に図示しないが、ネ
ットワーク端末１２００は、プログラム制御されたＣＰ
Ｕ１０１及びネットワークインターフェイス１０６にて
実現される送受信部を備える。

【００６７】また、ＴＴＰサーバ１２１０は、例えば、
ワークステーションやパーソナルコンピュータその他の
コンピュータ装置にて実現され（図１８参照）、ネット
ワーク端末１２００の例外処理要求部１２０５による処
理要求に応じて、リストマッチングを行う例外処理実行
部１２１１を備える。この例外処理実行部１２１１は、
ＴＴＰサーバ１２１０を構成するコンピュータ装置にお
けるプログラム制御されたＣＰＵ１０１にて実現される
仮想的なソフトウェアブロックである。また、特に図示
しないが、ネットワーク端末１２００は、プログラム制
御されたＣＰＵ１０１及びネットワークインターフェイ
ス１０６にて実現される送受信部を備える。

【００６８】以下、図１２に示したネットワークシステ
ムを構成するピアであるネットワーク端末１２００にお
ける所定の２台の間でリストマッチングが行われる場合
を例として、処理及び情報の流れを説明する。なお、以
下の説明において、個々のネットワーク端末１２００を
区別する場合には、添え字ｕ、ｖを付して記述する。各
ネットワーク端末１２００の構成要素についても同様で
ある。例えばネットワーク端末１２００ｖ、コミットメ
ント生成部１２０１ｕというように記す。

【００６９】各ネットワーク端末１２００は、それぞれ
ｎ個のデータをデータベースに保持しているものとす
る。全てのデータには、データごとに一意に区別できる
データ番号が割り振られているものとし、データ番号全
体の集合をＬとする。また、ネットワーク端末１２００
ｕが持つｎ個のデータにおけるデータ番号のリストを、
添え字ｕを付してＬ_u＝｛α_u,1，・・・，α_u,n｝とす
る。各ネットワーク端末１２００ｕは、公開鍵暗号化に
対応する秘密鍵Ｋ_uを持つものとする。また、ＴＴＰサ
ーバ１２１０は、公開鍵暗号化アルゴリズムＥ_T()に対
応する秘密鍵Ｋ_Tを保持する。このＴＴＰサーバ１２１
０は、通常プロセスでは登場せず、上述した障害（例
外）発生時に、正常にプロトコルを終了させるための機
能（例外処理実行部１２１１）を持つ。

【００７０】本実施の形態において、リストマッチング
（２つのリストの共通部分抽出）は、次のように定義さ
れる。すなわち、任意の２組のネットワーク端末１２０
０ｕ、１２００ｖ（ｕ≠ｖ）の間で、それぞれの持つ秘
密のリストＬ_uとＬ_vの共通部分Ｌ_u∩Ｌ_vを互いに共有す
る。この際、（１）共通部分以外に関する情報を相手に
漏らさないこと、（２）一方だけが共通部分を知る不正
を防ぐこと、が要求される。

【００７１】次に、ネットワーク端末１２００及びＴＴ
Ｐサーバ１２１０において実行されるアルゴリズムにつ
いて説明する。図１４は、ネットワーク端末１２００及
びＴＴＰサーバ１２１０で実行されるアルゴリズム及び
情報の流れを示す図である。本実施の形態では、リスト
マッチングを実現するため、ネットワーク端末１２００
において、以下に示す６つのアルゴリズムの記述を用い
る。・Ｃ（Ｌ_u）：コミットメント生成部１２０１ｕに
て実行されるコミットメント生成アルゴリズムであり、
ネットワーク端末１２００ｕの持つリストＬ_uを入力と
して、コミットメントｃｏｍ_u及びコミットメント開示
値ｏｐｅｎ_uを出力する。・Ｖ（ｃｏｍ_v）：コミットメント検証部１２０２ｕに
て実行されるコミットメント検証アルゴリズムであり、
ネットワーク端末１２００ｖによるコミットメントｃｏ
ｍ_vを入力として、検証結果｛０，１｝を出力する（以
後、「１」を出力させる入力を「正当なコミットメン
ト」と呼ぶ）。・Ｍ（ｏｐｅｎ_u，ｃｏｍ_v）：マッチング部１２０３ｕ
にて実行されるマッチングアルゴリズムであり、ネット
ワーク端末１２００ｕのコミットメント開示値ｏｐｅｎ
_u及びネットワーク端末１２００ｖの正当なコミットメ
ントｃｏｍ_vを入力として、応答メッセージａｎｓ_u,vを
出力する。・Ｄ（ａｎｓ_v,u，ｃｏｍ_v，Ｌ_u，Ｋ_u，ｏｐｅｎ_u）：
マッチング結果出力部１２０４ｕにて実行される結果出
力アルゴリズムであり、ネットワーク端末１２００ｖか
らネットワーク端末１２００ｕに対する応答メッセージ
ａｎｓ_v,u、正当なコミットメントｃｏｍ_v、及びネッ
トワーク端末１２００ｕのリストＬ_u、秘密鍵Ｋ_u、コミ
ットメント開示値ｏｐｅｎ_uを入力として、Ｌ_uとＬ_vの
共通部分

【数１】（以下、~Ｌ_u,vとも表記する）もしくはエラーメッセー
ジを出力する（以後、共通部分を出力させる入力ａｎｓ
_v,uを「正当な応答メッセージ」と呼ぶ）。・Ｐ（ｃｏｍ_v，Ｌ_u）：例外処理要求部１２０５ｕにて
実行される例外処理要求生成アルゴリズムであり、ネッ
トワーク端末１２００ｖの正当なコミットメントｃｏｍ
_v、及びネットワーク端末１２００ｕのリストＬ_uを入力
として、例外処理要求メッセージｅｒｅｑ_v,uを出力す
る。・Ｗ（ｅａｎｓ_v,u，Ｋ_u）：例外処理結果出力部１２０
６ｕにて実行される例外処理結果生成アルゴリズムであ
り、例外要求応答メッセージｅａｎｓ_v,uを入力とし
て、Ｌ_uとＬ_vの共通部分~Ｌ_u,v（＝Ｌ_u∩Ｌ_v）を出力す
る。

【００７２】さらに本実施の形態では、ＴＴＰサーバ１
２１０の例外処理実行部１２１１において実行される次
のアルゴリズムの記述を用いる。・Ｔ（ｅｒｅｑ_v,u，Ｋ_T）：例外処理アルゴリズムであ
り、例外処理要求メッセージｅｒｅｑ_v,u及びＴＴＰサ
ーバ１２１０の秘密鍵Ｋ_Tを入力として、例外処理応答
メッセージｅａｎｓ_v,uまたはエラーを出力する（以
後、ｅａｎｓ_v,uを出力させる例外処理要求メッセージ
ｅｒｅｑ_v,uを「正当な例外処理要求メッセージ」と呼
ぶ）。以上のアルゴリズムの具体的な内容については後述す
る。

【００７３】上述したリストマッチング及びアルゴリズ
ムの定義に基づいて、本実施の形態におけるリストマッ
チングは、次のように定式化される。１．各サーバによるコミットメントの公開初期的な処理として、各ネットワーク端末１２００のコ
ミットメント生成部１２０１ｕは、コミットメント生成
アルゴリズムＣを用いて、自装置のリスト（ネットワー
ク端末１２００ｕの場合、Ｌ_u）に関するコミットメン
ト及びコミットメント開示値（同様にネットワーク端末
１２００ｕの場合、｛ｃｏｍ_u，ｏｐｅｎ_u｝＝Ｃ
（Ｌ_u）を生成し、各ネットワーク端末１２００、すな
わちネットワークシステム全体に対して、生成されたコ
ミットメント（ｃｏｍ）をブロードキャストする。コミ
ットメント開示値（ｏｐｅｎ）は秘匿する。なお、コミ
ットメントは、全てのネットワーク端末１２００に対し
て公開される。また、コミットメントのサイズは、シス
テムに参加するネットワーク端末１２００の数には依存
しないので、ネットワーク端末１２００のシステムへの
追加に応じてコミットメントを変更する必要もない。し
たがって、ブロードキャストにより各ネットワーク端末
１２００間で個別に交換する代わりに、ネットワーク上
に解説された公開されたデータベースに登録したり、こ
のデータベースをＣＤ−ＲＯＭ（Compact Disc Read On
ly Memory）やＤＶＤ−ＲＯＭ（Digital Versatile Dis
c Read Only Memory）などの大容量記録媒体に格納して
配布したりするなど、各ネットワーク端末１２００が任
意に取得できる手段であれば、どのような手段を用いて
提供しても良い。

【００７４】２．以下の処理を任意のネットワーク端末
１２００間で行う。簡潔のため、ネットワーク端末１２
００ｕ、１２００ｖ間の処理の流れを示す。ここで、
（ｂ）は例外発生時にのみ必要となる手続きである。な
お、以下に示すように、この処理はネットワーク端末１
２００ｕ、１２００ｖの双方で同様の処理を行うことか
ら、初期的にネットワーク端末１２００ｕ、１２００ｖ
間で連絡を取り合い、リストマッチングを行うことを確
認した後に開始することとなる。（ａ）通常プロセスｉ．コミットメントの検証ネットワーク端末１２００ｕのコミットメント検証部１
２０２ｕは、リストマッチングの相手であるネットワー
ク端末１２００ｖのコミットメントｃｏｍ_vに対し、コ
ミットメント検証アルゴリズムＶを用いて、Ｖ（ｃｏｍ
_v）＝１となるかを検証することで、ｃｏｍ_vが正当なコ
ミットメントであることを確認する。ここで、Ｖ（ｃｏ
ｍ_v）＝０であれば、ネットワーク端末１２００ｖに対
して以後の処理を行わない（したがってリストの交換は
一切発生しない）。一方、ネットワーク端末１２００ｖ
も、ｃｏｍ_uに対して同様の処理を行う。

【００７５】ｉｉ．応答メッセージの生成ネットワーク端末１２００ｕのマッチング部１２０３ｕ
は、ネットワーク端末１２００ｖの正当なコミットメン
トｃｏｍ_vに対し、自身のコミットメント開示値ｏｐｅ
ｎ_u及びマッチングアルゴリズムＭを用いて、応答メッ
セージａｎｓ_u,v＝Ｍ（ｏｐｅｎ_u，ｃｏｍ_v）を計算
し、リストマッチングの相手であるネットワーク端末１
２００ｖに送信する。一方、ネットワーク端末１２００
ｖもｃｏｍ_uに対して同様の処理を行う。

【００７６】ｉｉｉ．結果出力ネットワーク端末１２００ｕのマッチング結果出力部１
２０４ｕは、ネットワーク端末１２００ｖから応答メッ
セージａｎｓ_v,uを受け取る。ａｎｓ_v,uを受信できない
場合には、後述の例外処理プロセスを行う。ネットワー
ク端末１２００ｖから受け取ったａｎｓ_v,uに対し、自
身のリストＬ_u、秘密鍵Ｋ_u、コミットメント開示値ｏｐ
ｅｎ_u、ネットワーク端末１２００ｖの正当なコミット
メントｃｏｍ_v、及び結果出力アルゴリズムＤを用い
て、ｒｅｓ_v,u＝Ｄ（ａｎｓ_v,u，ｃｏｍ_v，Ｌ_u，Ｋ_u，
ｏｐｅｎ_u）を計算する。ａｎｓ_v,uが正当な応答メッセ
ージであれば、ｒｅｓ_v,uは、ネットワーク端末１２０
０ｕのリストＬ_uとネットワーク端末１２００ｖのリス
トＬ_vとの共通部分（Ｌ_u∩Ｌ_v）である。ｒｅｓ_v,uがエ
ラーのときは、例外処理プロセスを行う。一方、ネット
ワーク端末１２００ｖもａｎｓ_u,vに対して同様の処理
を行う。

【００７７】（ｂ）例外処理プロセスｉ．例外処理要求ネットワーク端末１２００ｕにおいてリストの共通部分
を計算できないという例外が発生した場合、すなわち、
ネットワーク端末１２００ｖからａｎｓ_v,uが送信され
なかった場合や間違ったａｎｓ_v,uが送信された場合、
ネットワーク端末１２００ｕの結果出力部１２０５ｕ
は、自身のリストＬ_u、ネットワーク端末１２００ｖの
正当なコミットメントｃｏｍ_v、及び例外処理要求生成
アルゴリズムＰを用いて、例外処理要求メッセージｅｒ
ｅｑ_v,u＝Ｐ（ｃｏｍ_v，Ｌ_u）を計算し、ＴＴＰサーバ
１２１０に送信する。

【００７８】ｉｉ．例外処理ＴＴＰサーバ１２１０は、例外処理要求メッセージｅｒ
ｅｑ_v,uを受け取った後、事前に規定された手段によっ
て例外が生じたことを確認する。例外が確認されなけれ
ばネットワーク端末１２００ｕに対してエラーを返す。
例外が確認された場合、例外処理実行部１２１１が、例
外処理アルゴリズムＴ及び秘密鍵Ｋ_Tを用いて、例外処
理応答メッセージｅａｎｓ_v,u＝Ｔ（ｅｒｅｑ_v,u，
Ｋ_T）を計算する。そして、ＴＴＰサーバ１２１０は、
計算された例外処理応答メッセージｅａｎｓ_v,uをネッ
トワーク端末１２００ｕに対して送信する。

【００７９】ｉｉｉ．例外処理結果出力ネットワーク端末１２００ｕの例外処理結果出力部１２
０６ｕは、ＴＴＰサーバ１２１０から受け取った例外処
理応答メッセージｅａｎｓ_v,uと、ネットワーク端末１
２００ｕの秘密鍵Ｋ_uとを入力として、例外処理結果ｅ
ｒｅｓ_v,u＝Ｗ（ｅａｎｓ_v,u，Ｋ_u）を計算し、出力す
る。この例外処理結果ｅｒｅｓ_v,uは、ネットワーク端
末１２００ｕのリストＬ_uとネットワーク端末１２００
ｖのリストＬ_vとの共通部分（Ｌ_u∩Ｌ_v）である。

【００８０】以上の動作において、各ネットワーク端末
１２００は、自身のリストに対するコミットメントを公
開することにより、リストマッチングにおいてリストを
偽らないことを他のサーバに対して保証することができ
る。また、コミットメントには、例外発生時に一方が不
利を被らないよう、ＴＴＰサーバ１２１０がリストの共
通部分を計算することを可能にするための情報が含まれ
ている。各ネットワーク端末１２００は、コミットメン
ト検証アルゴリズムＶを用いて、「コミットメントが正
確に構成されていおり、万一の場合にはＴＴＰサーバ１
２１０による問題解決が可能であること」を通常プロセ
スの冒頭においてチェックすることができる。さらに、
リストを偽ることが困難なように、応答メッセージは、
公開されたコミットメントを入力として計算される。し
たがって、リストを偽ることにより不正にマッチング相
手のネットワーク端末１２００の持つリストに関する情
報を入手することはできない。また、一方のネットワー
ク端末１２００が応答メッセージを送信せずにプロトコ
ルを勝手に中断したり、不正に計算されたメッセージを
送信したりした場合、ＴＴＰサーバ１２１０が、コミッ
トメント及び例外処理要求メッセージに含まれる情報を
基にリストの共通部分を計算することができる仕組みに
なっている。したがって、不正行為によりリストの共通
部分の情報を、一方のネットワーク端末１２００だけが
入手することはできない。

【００８１】次に、本実施の形態のシステムにおいて、
上記のリストマッチングの動作を実現するためのプロト
コルを説明する。まず、本プロトコルで用いられるパラ
メータについて説明する。Ｇ_qをDecisional Diffice-He
llman（ＤＤＨ）仮定が成立する位数ｑ（ｑは素数）の
群とし、ｇ及びｈをＧ_qのランダムな元とする。ここ
で、ｌｏｇ_g ｈは未知とする。Ｈ(・)を理想的な一方向
性ハッシュ関数、α∈Ｚ_qに対するコミットメントをπ
(α，ｒ)＝ｇ^αｈ^r（ｒ∈_RＺ_q）とする。ここで、ｘ∈_R
Ｇは「Ｇからランダムに取り出した要素をｘとする」を
意味する。また、Ｇ_q上のＥｌＧａｍａｌ暗号Ｅ_y（ｍ，
ｒ）を次のように定義する。Ｅ_y（ｍ，ｒ）＝（ｇ^r，ｍｙ^r）（ｒ∈_RＺ_q）上式で、ｍは平文（メッセージ）、ｙは公開鍵である。
公開鍵ｙに対応する秘密鍵による復号をＤ_yと表す（つ
まり、Ｄ_y（Ｅ_y（ｍ，ｒ））＝ｍ）。ｍがＧ_q上の元に
限定される場合、この暗号化はＤＤＨ仮定の元で強秘匿
であることが知られている。また、ＥｌＧａｍａｌ暗号
には次の性質がある。 (Ｅ_y(ｍ,ｒ))^k＝((ｇ^r)^k,(ｍｙ^r)^k)＝Ｅ_y(ｍ^k,ｋｒ) Ｅ_y(ｍ,ｒ)×Ｅ_y(ｍ',ｒ')＝(ｇ^rｇ^r',ｍｙ^r(ｍ'ｙ^r'))
＝Ｅ_y(ｍｍ',ｒ＋ｒ') 以後、文脈に応じてＥ（ｍ,ｒ）の乱数ｒを省略してＥ
（ｍ）とする記述を適宜用いることにする。

【００８２】本実施の形態で実現されるプロトコルは、
離散対数問題が計算量的に困難となるような任意の群Ｇ
Ｆ(ｑ)上で定義される。ＧＦ(ｑ)の具体的構成例として
は、（１）位数ｐの素体の上での構成法：ｐをｑ|ｐ−
１を満たす大きな素数、ｇを有限体Ｚ_p上の位数ｑの元
として、ｇを生成元として構成される群ＧＦ(ｑ)、
（２）位数ｐの素体の上での乗法演算を、任意の有限体
上の楕円曲線などの曲線上の加法演算に対応させること
により構成される群、（３）素数ｐに代えて素数ｐ'の
べき乗数とし、素数ｐを法とする剰余演算に代えてＧＦ
(ｐ')拡大体上での演算を行なうことにより構成される
群、などがある。

【００８３】次に、本実施の形態で用いられる既存の基
本的なプロトコルを示す。ＥｌＧａｍａｌ暗号を用いたＯＰＥ：Ａ、Ｂの２者間で
情報のやり取りをするものとする。Ａの公開鍵をｙとす
る。Ａは秘密の値α（∈Ｚ_q）を持ち、Ｂは次の数２式
に示す秘密の多項式ｆ_B(ｘ)を持つものとする。

【数２】本プロトコルは、・ＡはＢにαを知られずに、ｇ^fB(α)を得ることができ
る。・Ａはｆ_B(ｘ)に関してｇ^fB(α)以外の情報を知ること
はできない。という性質を持つ。以下にプロトコルの内
容を示す。

【００８４】１．Ａは、ｉ＝１，・・・，ｎについて、

【数３】を、乱数ｒ_i（∈_RＺ_q）を用いて次の数４式のようにＥ
ｌＧａｍａｌ暗号化する。

【数４】Ａは、ｃ₁，・・・，ｃ_nをＢへ送信する。２．Ｂは、乱数ｒ０（∈_RＺ_q）を選び、次の数５式に示
す計算を行う。

【数５】Ｂは

【数６】をＡへ送信する。３．Ａは、^ｃを復号してｇ^fB(α)を得る。

【００８５】証明プロトコル１：ｍ₀、ｍ₁をＧ_qの元、^
ｃ₁＝（ｃ₁，ｃ₂）＝Ｅ_y(ｍ₁，β)＝（ｇ^β，ｍ₁ｙ^β）
を、公開鍵ｙを用いたｍ₁のＥｌＧａｍａｌ暗号文とす
る。このとき、共通入力（ｇ，ｙ，ｍ０，^ｃ）に対
し、暗号文^ｃに対応する平文ｍ₁のｍ₀に対する離散対
数αを知っていることを証明する。すなわち、知識の非
対話証明（ｅ，ｓ，ｔ）＝ＰＫa｛（α，β）：（ｃ₁＝
ｇβ）∧（ｃ₂＝ｍ₁ｙβ）∧（ｍ₁＝ｍ₀α）｝は次のよ
うに構成できる。１．ｒ₁，ｒ₂∈_RＺ_qを選ぶ。２．次の数７式により（ｅ，ｓ，ｔ）を計算する。

【数７】検証者は、次の数８式が成立するときに、証明を受理す
る。

【数８】

【００８６】証明プロトコル２：ｍ₁，ｍ₂，ｍ'₁，ｍ'₂
をＧ_qの元とし、また、 ^ｃ₁＝（ｃ_1,1，ｃ_1,2）＝Ｅ_y(ｍ'₁，β₁)＝（ｇ^β1，
ｍ'₁ｙ^β1） ^ｃ₂＝（ｃ_2,1，ｃ_2,2）＝Ｅ_y(ｍ'₂，β₂)＝（ｇ^β2，
ｍ'₂ｙ^β1）を、公開鍵ｙを用いた、それぞれｍ'₁，ｍ'₂のＥｌＧａ
ｍａｌ暗号文とする。このとき、共通入力（ｇ，ｙ，ｍ
₁，ｍ₂，^ｃ₁，^ｃ₂）に対し、暗号文^ｃ₁，^ｃ₂に対応
する平文ｍ'₁，ｍ'₂の、それぞれｍ₁，ｍ₂に対する離散
対数が等しいことを証明する。すなわち、知識の非対話
証明（ｅ，ｓ，ｔ，ｕ）＝ＰＫ｛（α，β ₁，β₂）：
｛（ｃ_i,1＝ｇ^βi）∧（ｃ_i,2＝ｍ'_iｙ^βi）∧（ｍ'_i＝
ｍ_i ^α）｝_i=1 _,2｝は、次のように構成できる。１．乱数ｒ₁，ｒ₂，ｒ₃∈_RＺ_qを選ぶ。２．次の数９式により、（ｅ，ｓ，ｔ，ｕ）を計算す
る。

【数９】検証者は、次の数１０式が成立するときに、証明を受理
する。

【数１０】この手法を拡張することにより、ＰＫ｛（α，｛β_i｝_i=1 ⁿ）：｛（ｃ_i,1＝ｇβⁱ）∧
（ｃ_i,2＝ｍ'_iｙβⁱ）∧（ｍ'_i＝ｍ_iα）｝_i=1 ⁿ｝を構成することは容易である。

【００８７】証明プロトコル３：ｍ₀をＧ_qの元、また、
ｉ＝１，・・・，ｎのそれぞれ対して^ｃ_i＝（ｃ_i,1，
ｃ_i,2）＝（ｇβⁱ，ｍ_iｙβⁱ）を、公開鍵ｙを用いたｍ
_iのＥｌＧａｍａｌ暗号文とする。このとき、共通入力
（ｇ，ｙ，ｍ₀，^ｃ₁，・・・，^ｃ_n）に対し、次の数
１１式に示す関係を満足するαが存在することを、αを
明かさずに証明する。

【数１１】すなわち、知識の非対話証明

【数１２】は、次のように構成できる。ここで、簡単のため、（ｃ
_0,1，ｃ_0,2）＝Ｅ_y(ｍ₀，０)＝（１，ｍ₀），β₀＝０と
する。１．ｒ₁，ｒ₂∈_RＺ_qを選ぶ。２．次の数１３式により（ｅ，ｓ₁，・・・，ｓ_n，ｔ）
を計算する。

【数１３】検証者は、次の数１４式が成立するときに、証明を受理
する。

【数１４】

【００８８】図１５は、上記の基本的なプロトコルに基
づいて実現される本実施の形態におけるリストマッチン
グのプロトコルを説明する図である。以下、図１５を参
照しながら説明する。なお、図中の括弧付きの数字は、
下記の手順の番号と対応している。〔１〕ネットワーク端末１２００ｕは、リストＬ_u＝
｛α_u,1，．．．，α_u,n｝に対し、特徴関数である

【数１５】を計算する。このとき、

【数１６】は、定数項が１であり、Ｌ_uの全ての要素を根に持って
いる。

【００８９】〔２〕ネットワーク端末１２００ｕは、係
数｛ａ_u,l｝_l=1 ⁿに対するコミットメント｛ｃ_u,l＝ｇ
^au,lｈ^bu,l｝_l=1 ⁿを作成する。ここで、

【数１７】とする。

【００９０】〔３〕ネットワーク端末１２００ｕは、Ｅ
ｌＧａｍａｌ暗号を用いたＯＰＥの手法を応用し、リス
トの要素α_u,i∈Ｌ_uを入力とするＯＰＥにより、α_u,i
がネットワーク端末１２００ｖの多項式ｆ_v(ｘ)の根に
なっているかを検査する。そのため、以下の処理を要素
α_u,i∈Ｌ_uの全て（ｉ＝１，・・・，ｎ）に対して行
う。（ａ）ｇ_u,i，ｈ_u,i∈Ｇ_qを選ぶ。ここでｔ_g ^(u,i)＝
ｌｏｇ_g ｇ_u,iとｔ_h ^(u,i)＝ｌｏｇ_h ｈ_u,iはネットワー
ク端末１２００ｕのみが知るものとする。（ｂ）次の数１８式を計算する（ｙ_TはＴＴＰサーバ
１２１０の公開鍵）。

【数１８】また、この計算が正確に行われていること示す証明ｐｋ
_u,i,1を構成する。さらにψ_t ^(u,・,・)はＴＴＰサーバ１
２１０において復号できることから、「ＴＴＰサーバ１
２１０が問題発生時に問題解決できる」ということを検
証可能にしている。（ｃ） α_u,iがｆ_u(α_u,i)＝０を満たすこと示す証明
ｐｋ_u,i,2を構成する。この証明は、

【数１９】を用いて、次の数２０式におけるｈに対する離散対数の
知識を証明することにより実現している。

【数２０】（ｄ） α_u,iに関する公開情報ｄ_u,iは、次の数２１式
のように構成される。

【数２１】これにより公開されるコミットメントｃｏｍ_uは、次の
数２２式で表されるようになる。

【数２２】

【００９１】〔４〕ネットワーク端末１２００ｕのコミ
ットメントｃｏｍ_uを受け取ったネットワーク端末１２
００ｖは、以下の処理をｉ＝１，．．．，ｎに対して行
う。（ａ）ｄ_u,iに含まれるｐｋ_u,i,1及びｐｋ_u,i,2を検証
する。（ｂ）次の数２３式により、φ_g ^(u,v,i)、φ_h ^(u,v,i)を
計算する。

【数２３】（ｃ）φ_g ^(u,v,i)をξ₁ ^(u,v,i)乗することによりα_u,i
がｆ_v()の根判定以外に関する情報を隠蔽する。すなわ
ち、

【数２４】一方、以上の処理が正確に行われたかを、ネットワーク
端末１２００ｕの側で公開されたコミットメントｃｏｍ
_vのみを用いて検証可能にするための情報を構成する。
まず、φ_h ^(u,v,i)に

【数２５】を掛けることにより、ｗ_v(α_u,i) に関する情報を隠蔽
した上で、これらの処理が正確に行われていることを示
す証明を、次の数２６式のように構成する。

【数２６】これにより応答メッセージは、次の数２７式に示すよう
になる。

【数２７】

【００９２】〔５〕応答メッセージａｎｓ_u,vを受け取
ったネットワーク端末１２００ｕは、ｉ＝１，・・・，
ｎに対して以下の処理を行う。（ａ）証明ρ^(u,v,i)をネットワーク端末１２００ｕの
コミットメントｃｏｍ_vを用いて検証する。具体的に
は、次の数２８式を計算し、数２９式が成立するかを検
証する。

【数２８】

【数２９】（ｂ）上記の検証が通過しない場合は、例外処理を行
う。σ_g ^(u,v,i)＝１ならば、ｆ_v(α_u,i)＝０であること
から、α_u,i∈Ｌ_vがわかる。逆に、σ_g ^(u,v,i)≠１なら
ば、

【数３０】である。

【００９３】〔６〕例外発生時には、ネットワーク端末
１２００ｕはネットワーク端末１２００ｖのコミットメ
ントｃｏｍ_vに含まれる

【数３１】を用いて例外処理を行う。具体的には、次の数３２式を
計算する。

【数３２】そして、

【数３３】をＴＴＰサーバ１２１０へ送る。ＴＴＰサーバ１２１０
は、κ₁を復号することにより、

【数３４】を得る。これは、ネットワーク端末１２００ｕの公開鍵
ｙ_uを用いたＥｌＧａｍａｌ暗号化であり、強秘匿であ
ることからリストＬ_u、Ｌ_vの共通部分であるかどうかの
情報はＴＴＰサーバ１２１０には漏れない。ＴＴＰサー
バ１２１０は、これを~ｚ^(u,v,i,j)乗してランダマイズ
した結果をネットワーク端末１２００ｕへ送る。すなわ
ち、

【数３５】である。ネットワーク端末１２００ｕは、これを復号し
て、結果が１になったものが共通部分であると判定する
ことができる。

【００９４】次に、以上の本実施の形態で使用される各
アルゴリズムの詳細を説明する。以下の説明において、
Ｙ_TはＴＴＰサーバ１２１０の公開鍵とする。・コミットメント生成アルゴリズムＣ入力：ネットワーク端末１２００ｕの持つリストＬ_u。出力：コミットメントｃｏｍ_u、コミットメント開示値
ｏｐｅｎ_u。処理：（１）リストＬ_uに対し、

【数３６】を生成する。各係数を

【数３７】とする。（２）ｌ＝１，・・・，ｎに対してｂ_u,lを選び、

【数３８】を計算する。ここで、

【数３９】とする。（３）次の数４０式を計算する。

【数４０】また、これらの各値は、次の数４１式に示す処理により
計算される。

【数４１】（４）コミットメント開示値ｏｐｅｎ_uを出力する。

【数４２】（５）コミットメントｃｏｍ_uを出力する。

【数４３】

【００９５】・コミットメント検証アルゴリズムＶ入力：ネットワーク端末１２００ｖのコミットメントｃ
ｏｍ_v。出力：検証結果｛０，１｝。処理：

【数４４】に含まれる証明

【数４５】を検証し、コミットメントｃｏｍ_vの全てを受理する場
合に１を出力し、それ以外は０を出力する。

【００９６】・マッチングアルゴリズムＭ入力：ネットワーク端末１２００ｕのコミットメント開
示値ｏｐｅｎ_u、ネットワーク端末１２００ｖの正当な
コミットメントｃｏｍ_v。出力：応答メッセージａｎｓ_u,v。処理：（１）コミットメント開示値ｏｐｅｎ_uに含まれる

【数４６】を用いて、次の数４７式に示す（ａ）〜（ｄ）の処理を
i＝１，・・・，ｎに対して計算する。

【数４７】（２）応答メッセージａｎｓ_u,vを出力する。

【数４８】

【００９７】・結果出力アルゴリズムＤ入力：ネットワーク端末１２００ｖからネットワーク端
末１２００ｕへの応答メッセージａｎｓ_v,u、ネットワ
ーク端末１２００ｖの正当なコミットメントｃｏｍ_v、
ネットワーク端末１２００ｕのリストＬ_u、秘密鍵Ｋ_u、
コミットメント開示値ｏｐｅｎ_u。出力：リストＬ_vとリストＬ_uとの共通部分~Ｌ_v,u（＝
Ｌ_v∩Ｌ_u）もしくはエラーメッセージ。処理：入力として、

【数４９】を用いる。そして、ｉ＝１，・・・，ｎに対して以下の
処理を行う。（１）証明

【数５０】を検証するため、次の数５１式を計算する。

【数５１】（２）次の数５２式が成り立たなければ、エラーメッセ
ージを出力して終了する。

【数５２】（３）σ_g ^(u,v,i)を満たすならば、α_u,iを出力して終
了する。

【００９８】・例外処理要求生成アルゴリズムＰ入力：ネットワーク端末１２００ｖの正当なコミットメ
ントｃｏｍ_v、ネットワーク端末１２００ｕのリスト
Ｌ_u。出力：例外処理要求メッセージｅｒｅｑ_v,u。処理：（１）コミットメントｃｏｍ_vに含まれるψ_t ^(u,i)及び
リストＬ_uを用い、ｉ＝１，・・・，ｎに対して、次の
数５３式を計算する。

【数５３】（２）例外処理要求メッセージｅｒｅｑ_v,uを出力す
る。

【数５４】

【００９９】・例外処理アルゴリズムＴ入力：例外処理要求メッセージｅｒｅｑ_v,u、ＴＴＰサ
ーバ１２１０の秘密鍵Ｋ_T。出力：例外処理応答メッセージｅａｎｓ_v,uまたはエラ
ーメッセージ。処理：後述する所定の手続きに従い、ネットワーク端末
１２１０_u、１２１０_v間での情報交換に障害（例外）が
発生していることを確認する。確認できない場合はエラ
ーメッセージを出力し、ネットワーク端末１２１０_uに
返送して処理を終了する。一方、確認できたならば、秘
密鍵Ｋ_Tを用いた復号関数Ｄy_Tを用い、ｉ,ｊ＝１，・・
・，ｎに対して以下の処理を行う。（１）次の数５５式を計算する

【数５５】（２）例外処理応答メッセージｅａｎｓ_v,uを出力す
る。

【数５６】

【０１００】・例外処理結果生成アルゴリズムＷ入力：例外処理応答メッセージｅａｎｓ_v,u、ネットワ
ーク端末１２００ｕの秘密鍵Ｋ_u。出力：リストＬ_vとリストＬ_uとの共通部分~Ｌ_v,u（＝
Ｌ_v∩Ｌ_u）。処理：ｉ,ｊ＝１，・・・，ｎに対して以下の処理を行
う。（１）次の数５７式により、σ_t ^(u,v,i,j)を計算する。

【数５７】（２）σ_t ^(u,v,i,j)＝１ならば、α_u,iを出力する。

【０１０１】次に、ＴＴＰサーバ１２１０が、確かにネ
ットワーク端末１２１０_u、１２１０_v間での情報交換に
障害（例外）が発生していることを確認するための検証
方法について説明する。ＴＴＰサーバ１２１０は、例外
処理アルゴリズムＴを実行する上で、ネットワーク端末
１２１０_u、１２１０_v間での情報交換に障害（例外）が
発生していることを確認しなければならない。マッチン
グ結果出力部１２０４がエラーメッセージを出力する場
合には、それを示す証明を併せて検証することで、ＴＴ
Ｐサーバ１２１０は例外の発生を確認できる。また、例
えばネットワーク端末１２００ｕとネットワーク端末１
２００ｖとのリストの共通部分の計算において、ネット
ワーク端末１２００ｕがネットワーク端末１２００ｖに
対して応答メッセージを送信したにも関わらず、ネット
ワーク端末１２００ｖがネットワーク端末１２００ｕに
対して応答メッセージを送らないことによる例外発生も
考えられる。この場合には、エラーメッセージの出力が
なくても例外の解決が必要になる。しかしながら、ＴＴ
Ｐサーバ１２１０にとって、次の２つのケースを区別す
ることは非常に困難である。・ネットワーク端末１２００ｖが本当に応答メッセージ
をネットワーク端末１２００ｕに対して送っていない。・ネットワーク端末１２００ｕが、実際はネットワーク
端末１２００ｖとのやり取りを行っていないにもかかわ
らず、例外発生を主張し、不正にネットワーク端末１２
００ｖの持つリストとの共通部分を知ろうとしている。

【０１０２】これらのケースの判定は、一般的には、期
限付き取引証明書を暗号的・非暗号的手段を組み合わせ
て用いることにより実現できる。ここでいう「期限」と
は、（１）「期限」以前ならば、いずれかから取引中止
証明書が提出されている状況下において、ＴＴＰサーバ
１２１０は例外要求を受け付けない、（２）「期限」以
後ならば、いずれかから取引証明書が提出されれば、Ｔ
ＴＰサーバ１２１０は例外要求を受理し問題解決を行
う、というポリシー制約を付することを意味する。図１
６は、この期限付き取引証明書を用いた例外発生の検証
方法を説明する図である。図１６を参照すると、この検
証方法の処理は次の手順で行われる。なお、図中の番号
は、下記の手順の番号に対応している。１．ネットワーク端末１２００ｕが、ネットワーク端末
１２００ｖのコミットメントｃｏｍ_vの正当性を確認す
る。２．ネットワーク端末１２００ｕが、ネットワーク端末
１２００ｖに対して、期限付き取引証明書Ｃｅｒｔ
_u,v(period)を送る。３．ネットワーク端末１２００ｖが、次のいずれかの場
合に、取引中止証明書Ｓｔｏｐ_v,uをＴＴＰサーバ１２
１０へ送付する。・期限付き取引証明書Ｃｅｒｔ_u,v(period)が不正な場
合・期限内に期限付き取引証明書Ｃｅｒｔ_v,u(period)を
送れない場合・ネットワーク端末１２００ｖのコミットメントｃｏｍ
_vの正当性が確認されない場合４．ネットワーク端末１２００ｖが、ネットワーク端末
１２００ｕに対して、期限付き取引証明書Ｃｅｒｔ
_v,u(period)を送る。５．ネットワーク端末１２００ｕが、Ｃｅｒｔ_v,u(peri
od)が不正な場合や、期限内にＣｅｒｔ_v,u(period)を受
け取れない場合には、取引中止証明書取引中止証明書Ｓ
ｔｏｐ_u,vをＴＴＰサーバ１２１０へ送付する。６．ネットワーク端末１２００ｕが、期限後に応答ａｎ
ｓ_u,vをネットワーク端末１２００ｖに送る。７．ネットワーク端末１２００ｖが、期限後に応答ａｎ
ｓ_v,uをネットワーク端末１２００ｕに送る。８．ネットワーク端末１２００ｕがａｎｓ_v,uを受け取
れない場合、ネットワーク端末１２００ｕは、Ｃｅｒｔ
_v,u(period)を送信してＴＴＰサーバ１２１０に例外解
決を依頼する。９．ネットワーク端末１２００ｖがａｎｓ_u,vを受け取
れない場合、ネットワーク端末１２００ｖはＣｅｒｔ
_u,v(period) を送信してＴＴＰサーバ１２１０に例外解
決を依頼する。

【０１０３】以上のようにして、ＴＴＰサーバ１２１０
は、ネットワーク端末１２１０_u、１２１０_vからの例外
処理要求に対し、確かにネットワーク端末１２１０_u、
１２１０_v間での情報交換に障害（例外）が発生してい
ることを確認した上で、例外処理実行部１２１１による
例外処理を実行することができる。

【０１０４】ところで、本実施の形態において、ＴＴＰ
サーバ１２１０に対する信頼の仮定は最低限であり、各
ネットワーク端末１２００のコミットメントにアクセス
を許さなければ、例外処理時を含め、ＴＴＰサーバ１２
１０がリストに関する情報を得ることはできない。だ
が、ＴＴＰサーバ１２１０が単独のネットワーク端末１
２００で運用された場合、前述の例外発生の判定におい
て不正な判定を下したり、コミットメントを不正に入手
したりすることで、各ネットワーク端末１２００の持つ
秘密に不正にアクセスする潜在的危険性は残る。そのよ
うな事態に対処するため、上述した第２の実施の形態に
おける秘密分散のようにＴＴＰサーバ１２１０を複数に
分割し、閾値アクセス構造（閾値以上のＴＴＰサーバ１
２１０が協力することで初めて例外処理を行うことが可
能な構造）をとることで、ＴＴＰサーバ１２１０に対す
る信頼性を飛躍的に向上することができる。本実施の形
態において、ＴＴＰサーバ１２１０の本質的機能は、
（１）例外発生の確認、（２）ＥｌＧａｍａｌ暗号の秘
密鍵の運用、であり、これらの機能は、公知の従来技術
を用いて容易に閾値アクセス構造で分散できることが知
られている。したがって、本実施の形態におけるＴＴＰ
サーバ１２１０の安全な運用が容易に実現可能である。

【０１０５】以上のようにして、本実施の形態によるシ
ステムでは、複数のネットワーク端末１２１０が保持す
るリストの項目のマッチングを行うにあたって、次の要
件を満足する。なお、以下の説明で、Ｃはコミットメン
ト生成アルゴリズム、Ｖはコミットメント検証アルゴリ
ズム、Ｍはマッチングアルゴリズム、Ｄは結果出力アル
ゴリズム、Ｐは例外処理要求生成アルゴリズム、Ｔは例
外処理アルゴリズム、Ｗは例外処理結果生成アルゴリズ
ムである。１．コミットメントの秘匿性公開情報であるコミットメントの値からリストに関する
情報は得られない。すなわち、リストＬ_u、Ｌ_v、コミッ
トメントｃｏｍ_u、ｃｏｍ_vに関して、Ｌ_u≠Ｌ_v、ｃｏｍ
_u←Ｃ（Ｌ_u）、ｃｏｍ_v←Ｃ（Ｌ_v）である場合、ｃｏｍ
_u、ｃｏｍ_vのいずれかを与えられて、Ｌ_uとＬ_vのいずれ
に対応するかを１／２よりもよい確率で判定することは
できない。２．コミットメントの検証可能性コミットメントｃｏｍ_uがコミットメント生成アルゴリ
ズムＣにより生成されていること、及びコミットメント
ｃｏｍ_uを入力として例外処理を行うことで、共通部分
を得ることが可能であることを検証できる。３．応答メッセージの秘匿性ネットワーク端末１２００ｕは、Ｖ（ｃｏｍ_u）＝１、
ｏｐｅｎ_v←Ｃ（Ｌ_v）及びａｎｓ_v,u＝Ｍ（ｏｐｅｎ_v，
ｃｏｍ_u）のとき、リストＬ_vに関して、共通部分が~Ｌ
_v,uであること以外の情報は、応答メッセージａｎｓ_v,u
からは一切得ることができない。４．応答メッセージの検証可能性応答メッセージから得られる共通部分が、相手のコミッ
トメントに対応するリストとの共通部分であることを検
証できる。すなわち、Ｖ（ｃｏｍ_v）＝１、ｏｐｅｎ_u←
Ｃ（Ｌ_u）のとき、応答メッセージａｎｓ_v,uに対して、
ｒｅｓ_u,v＝Ｄ（ａｎｓ_v,u，ｃｏｍ_v，Ｌ_u，Ｋ_u，ｏｐ
ｅｎ_u）は、エラーメッセージでなければ、リストＬ_u、
Ｌ_vの共通部分~Ｌ_v,uである。５．調停機関による例外処理Ｖ（ｃｏｍ_v）＝１を満たすコミットメントｃｏｍ_vに対
し、ｅｒｅｑ_v,u＝Ｐ（ｃｏｍ_v，Ｌ_u）、ｅａｎｓ_v,u＝
Ｔ（ｅｒｅｑ_v,u，Ｋ_T）、ｅｒｅｓ_v,u＝Ｗ（ｅａｎｓ
_v,u，Ｋ_u）とすると、ｅｒｅｓ_v,uは、リストＬ_u、Ｌ_v
の共通部分~Ｌ_v, _uとなる。ＴＴＰサーバ１２１０の秘密
鍵Ｋ_Tを入力とするのは、例外処理アルゴリズムＴのみ
である（すなわち、ＴＴＰサーバ１２１０は例外処理の
み参加し、通常プロセスでは登場しない）。６．効率性ネットワーク端末１２００ｕからネットワーク端末１２
００ｖへの通信回数はコミットメントフェーズで１回、
通常プロセスで１回である。また、ＴＴＰサーバ１２１
０は例外処理プロセスのみ参加し、通常プロセスでは登
場しない。

【０１０６】〔適用例〕次に、上述したネットワークシ
ステムを用いて具体的なサービスを提供する場合の適用
例について説明する。（１）マッチメーキングサービスインターネット上で自分と同じ興味を持つ相手を探そう
とする場合、従来は、ウェブページなどで自分の興味に
ついての情報を公開して不特定人からの返答を待つ方法
や、当該情報を仲介サーバに渡して仲介をしてもらう方
法が一般的であった。しかし、前者の方法では、自分の
プライバシーに関する情報を公開しなければならなかっ
た。また後者の方法では、プライバシーの保護を仲介サ
ーバに任せなければならず、当該仲介サーバのセキュリ
ティが破られた場合、参加者の情報が流出する危険があ
った。

【０１０７】これに対して、上記第１の実施の形態によ
るネットワークシステムをそのまま利用することによっ
て、安全性の高いマッチメーキングサービスを実現する
ことができる。すなわち、図４に示したマッチメーキン
グサーバ４００を上記の仲介サーバとして用いれば、当
該仲介サーバは個々の参加者の情報を知ることなく、各
参加者の情報（リスト）における共通項目だけを計算す
ることができる。また、仲介サーバは、共通項目をリス
トアップするのではなく、共通項目数だけを教えるとい
うようなサービスを行うこともできる。また、第２の実
施の形態によるネットワークシステムをそのまま利用す
ることによって、仲介サーバを設けることなく、参加者
だけが互いのリストの共通項目だけを知ることができる
安全性の高いシステムを実現することができる。さら
に、第３の実施の形態によるネットワークシステムを利
用すれば、通常プロセスでは各参加者の間で情報交換を
行うだけで、当該参加者の情報（リスト）の共通項目だ
けを知ることができ、安全かつ効率的な実用性の高いシ
ステムを実現することができる。

【０１０８】図１７は、このネットワークシステムによ
るマッチメーキングサービスを模式的に示した図であ
る。同図を参照すると、「クラシック音楽」、「ドライ
ブ」、「スキー」、「テニス」を興味の対象としてリス
トアップしている参加者Ａのリストと、「クラシック音
楽」、「ダイビング」、「花」、「お茶」、「テニス」
を興味の対象としてリストアップしている参加者Ｂのリ
ストとがマッチメークされ、「クラシック音楽」と「テ
ニス」とが共通項目として取得されている。したがっ
て、参加者Ａ、Ｂは、この共通項目については互いに興
味を持っていることがわかる。さらに、このようなネッ
トワークシステムをBluetoothなどの無線放送機能を持
つ携帯電話のアプリケーションにて実装すれば、予め自
分の趣味などを携帯電話に登録しておくことによって、
同じような趣味を持つ（同じ項目をリストアップしてい
る）人どうしが一定の距離に近づいたときに、お互いの
持つ携帯電話が交信を開始する、というようなサービス
が可能になる。

【０１０９】さらにまた、上記のマッチメーキングサー
ビスの変形として、探したい相手の情報を指定してリス
トマッチングを行う場合がある。この場合、各参加者
は、自分の情報に関するリスト（以下、自分リスト）
と、探したい相手の情報に関するリスト（以下、相手リ
スト）という２種類のリストを用意して、自分の持つ相
手リストと他者の持つ自分リストとでリストマッチング
を行う。同様に、他者の持つ相手リストと自分の持つ自
分リストとでリストマッチングを行う。この種の仲介サ
ービスを行う場合、例えば、参加者Ａ、Ｂが、自分のプ
ロファイルと、探したい相手のプロファイルの２種類の
リストを用意し、（Ａの自分プロファイル）×（Ｂの相
手プロファイル）と、（Ａの相手プロファイル）×（Ｂ
の自分プロファイル）というように２回のリスト共通部
分計算をすることによって、参加者自身のプロファイル
と各参加者が求める相手のプロファイルとにおける一致
の度合いを計算し、当該参加者Ａ、Ｂの相性に関する情
報として提供するサービスを行うこともできる。あるい
は、参加者Ａは、自分のプロファイル項目はそのまま根
とし、相手のプロファイル項目には−１を掛けた負の根
として１つのリストで表現し、参加者Ｂは、自分のプロ
ファイル項目に−１をかけた負の根とし、相手のプロフ
ァイル項目はそのまま根とする操作を介入することによ
り、自分リストと相手リストとを１つのリストで表現す
ることが可能となる。このリストを用いれば、１回のリ
スト共通部分計算で、上述した参加者Ａ、Ｂの相性に関
する情報を計算できる。

【０１１０】（２）リスト照会銀行やクレジット会社などの金融機関は、顧客に対して
融資を行うことにより利益を得ているため、顧客の信頼
情報は極めて重要な経営情報である。とりわけ、支払延
滞者のリストは、融資のリスクを計る上で重要である。
一方、多くの顧客は複数の金融機関から多重に融資を受
けている。そこで、与信審査等のために複数の金融機関
で支払を滞らせている顧客のリスト（いわゆるブラック
リスト）を比較したい場合がある。つまり、支払延滞の
事実を金融機関同士で共有することで、顧客に対するよ
り正確な与信情報を形成することが可能となる。しか
し、支払延滞者のリストは各金融機関の重要な企業秘密
である。したがって、当該顧客のプライバシー及び当該
金融機関の信用の観点から、延滞者のリスト自体は公開
することなく、複数の金融機関で共通に延滞者として登
録されている借り手のみを調査する必要がある。このよ
うな場合、上記第１、第２、第３の実施の形態によるネ
ットワークシステムを利用してリストの照会を行うこと
により、リストの共通部分（調査対象である複数の金融
機関のリストに共通して挙げられている顧客）の情報だ
けを抽出して、各金融機関の間で公平に交換させること
が可能となる。

【０１１１】（３）人材データバンクのデータ統合人材データバンクは人の技術情報・希望職種などの情報
（リスト）を企業秘密として保持しており、一方、採用
側の企業は欲しい人材の技術情報・希望職種などをリス
トとして保持している。そこで、双方のリストの共通部
分を抽出することにより、効果的な人材の提供、確保が
実現される。しかし、各企業が獲得を希望している人材
の情報は重要な企業戦略に関する情報を含んでいるた
め、各リストに関して共通部分以外の情報が相手方に知
られることは好ましくない。このような場合、上記第
１、第２、第３の実施の形態によるネットワークシステ
ムを利用してリストの照会を行うことにより、人材デー
タ自体は秘匿したままで、需要側・供給側で共有する部
分（情報）を抽出することが可能になる。

【０１１２】（４）電子商取引市場における商品価格の
マッチングデータベース電子商取引市場においては、売り手と買い手との間の需
給均衡をとることによって価格が形成される。この場
合、売り手と買い手の双方が商品番号と希望価格をリス
トとしてもち、共通な部分を抽出することで、当該売り
手と買い手との希望を満足する価格を形成することがで
きる。一方、売り手にとって、商品をいくらで販売（購
入）する意思を持っているかは重要な秘密情報である。
したがって、希望価格のリストにおいて、売り手の希望
価格と買い手の希望価格とが一致する部分の情報のみが
抽出されることが好ましい。このような場合、上記第
１、第２、第３の実施の形態によるネットワークシステ
ムを利用してリストの照会を行うことにより、売り手及
び買い手は共に、自分が希望する商品および価格を秘匿
したまま、どの商品価格が成立するかを調査することが
できる。

【０１１３】

【発明の効果】以上説明したように、本発明によれば、
情報交換における安全性を確保すると共に、実行効率が
良く実用性の高いリストマッチングを実現することがで
きる。また、本発明は、分散秘密計算を併用することに
より、ピア・ツー・ピアでリストマッチングを行う場合
においても、安全性の高い手法を提供することができ
る。

【図面の簡単な説明】

【図１】本実施の形態にて用いられる特徴関数である
リストの要素項目を根とする多項式の例を示す図であ
る。

【図２】リストから特徴関数の多項式を構成する手順
を説明するフローチャートである。

【図３】多項式を復号してリストの共通項目を取得す
る手順を説明するフローチャートである。

【図４】第１の実施の形態におけるネットワーク上の
ＴＴＰサーバでリストマッチングを行うシステムの全体
構成を示す図である。

【図５】図４に示したマッチメーキングサーバ及びク
ライアント端末の好適なシステム構成を示す図である。

【図６】第２の実施の形態におけるピア・ツー・ピア
でリストマッチングを行うシステムの全体構成を示す図
であり、サーバに秘密分散による計算を依頼する様子を
説明する図である。

【図７】第２の実施の形態におけるピア・ツー・ピア
でリストマッチングを行うシステムの全体構成を示す図
であり、サーバによる計算結果に基づいてマッチングを
行う様子を説明する図である。

【図８】図６に示したネットワーク端末及びサーバの
好適なシステム構成を示す図である。

【図９】多項式Ｑ_i(ｘ，ｙ)＝Ｆ_Xi(ｘ)＋Ｆ_Yi(ｙ)を
示す図である。

【図１０】２変数多項式Ｑ_i(ｘ，ｙ)の生成方法を説
明するフローチャートである。

【図１１】ｋ−１次多項式Ｆ_Xi(ｘ)の生成方法を説明
するフローチャートである。

【図１２】第３の実施形態におけるリストマッチング
を行うシステムの全体構成を示す図である。

【図１３】第３の実施の形態におけるネットワーク端
末及びＴＴＰサーバの機能構成を示す図である。

【図１４】ネットワーク端末及びＴＴＰサーバで実行
されるアルゴリズム及び情報の流れを示す図である。

【図１５】本実施の形態におけるリストマッチングの
プロトコルを説明する図である。

【図１６】期限付き取引証明書を用いた例外発生の検
証方法を説明する図である。

【図１７】本発明を用いたマッチメーキングサービス
を模式的に示した図である。

【図１８】本発明のシステムを構成するサーバ及び情
報端末を実現するのに好適なコンピュータのハードウェ
ア構成の例を模式的に示した図である。

【符号の説明】

１０１…ＣＰＵ（Central Processing Unit：中央処理
装置）、１０３…メインメモリ、１０５…ハードディス
ク、１０６…ネットワークインターフェイス、４００…
マッチメーキングサーバ、４１１、４１２〜４１ｍ…ク
ライアント端末、５０１、５１１…アプリケーションソ
フトウェア、５０２、５１２…ネットワークプロトコ
ル、５０３、５１３…ネットワークインターフェイス、
６１１〜６１ｍ…ネットワーク端末、６２１〜６２ｋ…
サーバ、８０１、８１１…アプリケーションソフトウェ
ア、８０２、８１２…ネットワークプロトコル、８０
３、８１３…ネットワークインターフェイス、１２００
…ネットワーク端末、１２０１…コミットメント生成
部、１２０２…コミットメント検証部、１２０３…マッ
チング部、１２０４…マッチング結果出力部、１２０５
…例外処理要求部、１２０６…例外処理結果出力部、１
２１０…ＴＴＰサーバ、１２１１…例外処理実行部

───────────────────────────────────────────────────── フロントページの続き (51)Int.Cl.⁷ 識別記号ＦＩテーマコート゛(参考）Ｇ０６Ｆ 17/60 ３１４Ｇ０６Ｆ 17/60 ４１４４１４４１６４１６４２０４２０Ｈ０４Ｌ 9/00 ６２１Ｚ (72)発明者沼尾雅之神奈川県大和市下鶴間1623番地14 日本アイ・ビー・エム株式会社東京基礎研究所内 (72)発明者渡邊裕治神奈川県大和市下鶴間1623番地14 日本アイ・ビー・エム株式会社東京基礎研究所内Ｆターム(参考） 5B075 KK02 KK07 KK33 KK39 NK02 NR02 NR05 PQ05 QM01 UU06 5J104 AA01 AA02 AA16 EA04 EA13 JA21 KA05 KA07 KA08 LA01 LA03 NA02 NA12 PA07

Claims

【特許請求の範囲】

【請求項１】コンピュータを用いて複数のリストにお
ける共通項目を抽出するリストマッチング方法におい
て、リストを格納したメモリから処理対象であるリストを読
み出し、読み出された前記リストごとに当該リストの要素項目を
根とする多項式を生成し、生成された前記多項式を加算し、前記多項式の加算によって得られた多項式の根を要素項
目とするリストを生成して出力することを特徴とするリ
ストマッチング方法。
【請求項２】前記リストの要素項目に対応する値に、
所定の１方向ハッシュ関数による演算結果を付加した値
を根とする多項式を生成し、前記多項式の加算によって得られた多項式の根のうち、
前記１方向ハッシュ関数による演算結果が保持されてい
る根における当該演算結果を除いた値を要素項目とする
リストを生成することを特徴とする請求項１に記載のリ
ストマッチング方法。
【請求項３】ネットワークを構成する複数台の情報端
末が保持する複数のリストにおける共通項目を抽出する
リストマッチング方法において、リストを保持する各情報端末が、当該リストの要素項目
を根とする多項式を生成し、前記各情報端末が、適宜設定された順番で、先の情報端
末から受け取った多項式に対して生成した多項式を加算
し、加算結果の多項式を後の情報端末に渡し、前記順番の最後の情報端末が、受信した多項式の根を要
素項目とするリストを生成することを特徴とするリスト
マッチング方法。
【請求項４】前記最後の情報端末が、生成したリスト
または当該リストの項目に関する情報を他の情報端末に
通知することを特徴とする請求項３に記載のリストマッ
チング方法。
【請求項５】ネットワークを構成する複数台の情報端
末が保持する複数のリストにおける共通項目を抽出する
リストマッチング方法において、リストを保持する各情報端末が、当該リストの要素項目
を根とする多項式を生成し、前記情報端末間で共通して使用することを取り決められ
た前記ネットワーク上の複数のサーバを用いた分散秘密
計算により、各情報端末にて生成された前記多項式を加
算し、前記情報端末が、前記サーバによる加算結果に基づいて
各情報端末にて生成された多項式の加算結果である多項
式を復元すると共に、復元された当該多項式の根を要素
項目とするリストを生成することを特徴とするリストマ
ッチング方法。
【請求項６】ネットワークを介して接続された複数台
の情報端末が保持する複数のリストにおける共通項目を
抽出するリストマッチング方法において、リストを保持する各情報端末が、当該リストの要素項目
を根とする第１の多項式と前記ネットワーク上の所定の
サーバの数に対応した次数の第２の多項式とに基づいて
２変数多項式を生成し、当該２変数多項式を当該第２の
多項式に基づいて各サーバに分散し、前記サーバが、前記各情報端末から送られた前記２変数
多項式を分散した多項式を加算し、加算結果を前記情報
端末に返送し、前記情報端末が、前記サーバによる加算結果に基づいて
各情報端末に保持されたリストを表現する多項式の加算
結果である多項式を復元すると共に、復元された当該多
項式の根を要素項目とするリストを生成することを特徴
とするリストマッチング方法。
【請求項７】ネットワークを構成する複数台の情報端
末が保持する複数のリストにおける共通項目を抽出する
リストマッチング方法において、所定の情報端末が、他の端末装置が保持するリストの要
素項目を根とする多項式に基づいて生成された公開情報
を取得し、前記他の情報端末から取得した前記公開情報を検証し、前記検証を通過した前記他の情報端末の公開情報と自装
置が保持するリストの要素項目を根とする多項式とに基
づいて、当該公開情報の生成に用いられたリストと自装
置が保持するリストとの共通項目を求めることを特徴と
するリストマッチング方法。
【請求項８】前記他の情報端末から取得した前記公開
情報が前記検証を通過した場合にのみ、自装置が保持す
る前記リストから生成された多項式と当該公開情報とに
基づいて所定の情報を生成して前記他の情報端末との間
で交換し、交換された前記所定の情報に基づいて、前記公開情報の
生成に用いられたリストと自装置が保持するリストとの
共通項目を求めることを特徴とする請求項７に記載のリ
ストマッチング方法。
【請求項９】ネットワークを介して接続された、サー
バと、複数台のクライアント端末とを備え、前記クライアント端末は、前記ネットワークを介して他のクライアント端末から受
信した多項式に対し、リストマッチングの対象であるリ
ストを表現する多項式を加算し、加算結果の多項式を他
のクライアント端末または前記サーバに送信し、前記サーバは、複数台の前記クライアント端末にて生成された多項式全
ての加算結果である多項式を受信し、当該多項式の根を
要素項目とするリストを生成することを特徴とするネッ
トワークシステム。
【請求項１０】所定の前記クライアント端末は、リストマッチングの対象であるリストを表現する第１の
多項式と、任意の項目を根とする第２の多項式とを生成
し、当該第２の多項式を前記サーバに送信すると共に、
第１、第２の多項式を加算して得られる多項式を他のク
ライアント端末に送信し、前記サーバは、複数台の前記クライアント端末にて生成
された多項式全ての加算結果である多項式から前記第２
の多項式を減算し、減算結果である多項式の根を要素項
目とするリストを生成することを特徴とする請求項９に
記載のネットワークシステム。
【請求項１１】ネットワークを介して接続された、複
数台の情報端末と、複数台のサーバとを備え、前記サーバは、各情報端末から送信されたデータの分散秘密計算をそれ
ぞれ行い、計算結果を前記情報端末に返送し、前記情報端末は、リストマッチングの対象であるリストを表現する多項式
を前記サーバに分散して送信し、前記サーバから前記多項式に対する分散秘密計算の計算
結果を受信し、当該計算結果に基づいて各情報端末にて
生成された多項式の加算結果である多項式を復元すると
共に、復元された当該多項式の根を要素項目とするリス
トを生成することを特徴とするネットワークシステム。
【請求項１２】前記情報端末は、前記情報端末の数を
ｍ、前記リストの要素項目の数をｎとした場合に、ｎ＋
１次の多項式ＦYi（ｙ）を、ＦYi（ｌi,h）＝０、ｈ＝
１，．．．，ｎとなるように生成し、定数項が０の任意
のｋ−１次多項式ＦXi（ｘ）を生成し、２変数多項式Ｑ
i（ｘ，ｙ）＝ＦXi（ｘ）＋ＦYi（ｙ）を生成して、ｋ
個の前記サーバに対してＱi（ｊ，ｙ）、ｊ＝
１，．．．，ｋを送信し、前記サーバは、ｍ個の前記情報端末から受信した多項式
Ｑi（ｊ，ｙ）を全て加算し、加算結果を前記情報端末
に返送することを特徴とする請求項１１に記載のネット
ワークシステム。
【請求項１３】ネットワークを介して情報を交換する
複数台の情報端末を備え、自装置が保持するリストの要素項目を根とする多項式を
生成し、当該多項式に基づいて第１の情報を生成して公
開すると共に、当該多項式に基づいて第２の情報を生成
する第１の情報端末と、前記第１の情報端末における前記第１の情報を取得して
検証すると共に、当該検証を通過した場合に当該第１の
情報端末から前記第２の情報を取得し、当該第１、第２
の情報と自装置が保持するリストから生成された前記多
項式とに基づいて、当該公開情報の生成に用いられたリ
ストと自装置が保持するリストとの共通項目を求める第
２の情報端末とを備えることを特徴とするネットワーク
システム。
【請求項１４】前記第２の情報端末は、自装置が保持
するリストの要素項目を根とする多項式を生成し、当該
多項式に基づいて第１の情報を生成して公開し、前記第１の情報端末は、公開されている前記第２の情報
端末における前記第１の情報を用いて前記第２の情報を
生成することを特徴とする請求項１３に記載のネットワ
ークシステム。
【請求項１５】前記第１の情報端末における前記第１
の情報と前記第２の情報端末が保持するリストとに基づ
いて生成された暗号化データを取得し、前記第１、第２
の情報端末がそれぞれ保持するリストの内容が秘匿され
たままで当該リストの共通項目を求めるサーバをさらに
備え、前記第２の情報端末は、前記第２の情報が取得できない
場合または取得した前記第２の情報に基づいて前記リス
トの共通項目を求めることができない場合に、前記暗号
化データを生成して前記サーバに送信し、当該サーバか
らの応答データを復号して前記リストの共通項目を得る
ことを特徴とする請求項１３に記載のネットワークシス
テム。
【請求項１６】ネットワークを介して接続された複数
台の情報端末が保持する複数のリストにおける共通項目
を抽出するサーバにおいて、前記ネットワークを介して、前記複数台の情報端末に保
持されている各リストを表現する複数の多項式の加算結
果である多項式を前記情報端末から取得する通信手段
と、前記加算結果である多項式の根を要素項目とするリスト
を生成する処理手段とを備えることを特徴とするサー
バ。
【請求項１７】ネットワークを介して接続された情報
端末において、前記ネットワークを介して他の情報端末とデータ交換を
行うための通信手段と、所定のリストを格納した記憶手
段と、前記記憶手段に格納されているリストの要素項目を根と
する多項式を生成すると共に、当該多項式に対する処理
を行う処理手段と、前記多項式を含む複数の多項式の加算結果である多項式
の根を要素項目とするリストに関する情報を出力する出
力手段とを備えることを特徴とする情報端末。
【請求項１８】ネットワークを介して接続された情報
端末において、所定のリストを格納した記憶手段と、前記記憶手段に格納されているリストの要素項目を根と
する第１の多項式と前記ネットワーク上の所定のサーバ
の数に対応した次数の第２の多項式とに基づいて２変数
多項式を生成する処理手段と、前記ネットワーク上の所定のサーバに、前記２変数多項
式を当該第２の多項式に基づいて分散して送信すると共
に、当該サーバから分散した多項式の加算結果を受信す
る通信手段と、前記通信手段により受信した前記加算結果から復元され
る多項式の根を要素項目とするリストに関する情報を出
力する出力手段とを備えることを特徴とする情報端末。
【請求項１９】ネットワークに接続された情報端末に
おいて、所定のリストを格納した記憶部と、前記ネットワークを介して他の情報端末が保持するリス
トに基づく公開情報を取得して検証する検証部と、前記検証部による検証を通過した前記公開情報と前記記
憶部に格納されているリストの要素項目を根とする多項
式とに基づいて、当該公開情報の生成に用いられたリス
トと前記記憶部に格納されているリストとの共通項目を
求めるマッチング結果出力部とを備えることを特徴とす
る情報端末。
【請求項２０】前記多項式に基づいて公開情報を生成
する公開情報生成部をさらに備え、前記マッチング結果出力部は、前記他の情報端末の公開
情報が前記検証部による検証を通過した場合に、前記公
開情報生成部にて生成された自装置の公開情報及び当該
他の情報端末が保持するリストに基づいて生成された所
定の情報を当該他の情報端末から取得し、当該所定の情
報に基づいて前記リストの共通項目を求めることを特徴
とする請求項１９に記載の情報端末。
【請求項２１】前記所定の情報が取得できない場合ま
たは取得した前記所定の情報に基づいて前記リストの共
通項目を求めることができない場合に、前記他の情報端
末の公開情報と前記記憶部に格納されているリストとに
基づいて暗号化データを生成し、当該暗号化データに基
づく例外処理要求を所定のサーバに送信する例外処理要
求部と、前記サーバから返送された処理結果を復号して前記リス
トの共通項目を得る例外処理結果出力部とをさらに備え
ることを特徴とする請求項２０に記載の情報端末。
【請求項２２】コンピュータを制御して、データ処理
を行うプログラムであって、メモリから所定のリストを読み出し、当該リストを表現
する第１の多項式と前記ネットワーク上の所定のサーバ
の数に対応した次数の第２の多項式とに基づいて２変数
多項式を生成する処理と、ネットワークインターフェイスを介して、ネットワーク
上の所定のサーバに、前記２変数多項式を当該第２の多
項式に基づいて分散して送信する処理と、前記ネットワークインターフェイスを介して前記サーバ
から受信した分散秘密計算の結果から多項式を復元し、
当該多項式の根を要素項目とするリストを生成する処理
とを前記コンピュータに実行させることを特徴とするプ
ログラム。
【請求項２３】ネットワークに接続されたコンピュー
タを制御して、データ処理を行うプログラムであって、前記ネットワークを介して他の情報端末が保持するリス
トに基づく公開情報を取得する通信手段と、前記通信手段にて取得された前記公開情報を検証する検
証手段と、前記検証部による検証を通過した前記公開情報と所定の
記憶装置に格納されているリストの要素項目を根とする
多項式とに基づいて、当該公開情報の生成に用いられた
リストと前記記憶部に格納されているリストとの共通項
目を求めるマッチング結果出力手段として前記コンピュ
ータを機能させることを特徴とするプログラム。
【請求項２４】コンピュータを制御してデータ処理を
行うプログラムを、当該コンピュータが読み取り可能に
記録した記録媒体であって、前記プログラムは、メモリから所定のリストを読み出し、当該リストを表現
する第１の多項式と前記ネットワーク上の所定のサーバ
の数に対応した次数の第２の多項式とに基づいて２変数
多項式を生成する処理と、ネットワークインターフェイスを介して、ネットワーク
上の所定のサーバに、前記２変数多項式を当該第２の多
項式に基づいて分散して送信する処理と、前記ネットワークインターフェイスを介して前記サーバ
から受信した分散秘密計算の結果から多項式を復元し、
当該多項式の根を要素項目とするリストを生成する処理
とを前記コンピュータに実行させることを特徴とする記
録媒体。
【請求項２５】ネットワークに接続されたコンピュー
タを制御してデータ処理を行うプログラムを、当該コン
ピュータが読み取り可能に記録した記録媒体であって、前記プログラムは、前記ネットワークを介して他の情報端末が保持するリス
トに基づく公開情報を取得する通信手段と、前記通信手段にて取得された前記公開情報を検証する検
証手段と、前記検証部による検証を通過した前記公開情報と所定の
記憶装置に格納されているリストの要素項目を根とする
多項式とに基づいて、当該公開情報の生成に用いられた
リストと前記記憶部に格納されているリストとの共通項
目を求めるマッチング結果出力手段として前記コンピュ
ータを機能させることを特徴とする記録媒体。