WO2012102203A1

WO2012102203A1 - 秘匿積和計算方法、秘匿積和計算システム、計算装置、及びそれらのプログラム

Info

Publication number: WO2012102203A1
Application number: PCT/JP2012/051199
Authority: WO
Inventors: 大五十嵐; 浩気濱田; 千田　浩司
Original assignee: 日本電信電話株式会社
Priority date: 2011-01-24
Filing date: 2012-01-20
Publication date: 2012-08-02
Also published as: JPWO2012102203A1; US20130304780A1; CN103329185B; EP2669878A1; EP2669878B8; JP5450839B2; EP2669878B1; CN103329185A; US9292258B2; EP2669878A4

Abstract

　３つのパーティ（計算装置）の協調計算により秘匿積和計算を行うのに際し、高速に計算することができ、かつ、実装が容易である方法を提供する。パーティＸが、パーティＸ乱数生成ステップとパーティＸ第１計算ステップとパーティＸ第２計算ステップとを実行し、パーティＹが、パーティＹ乱数生成ステップとパーティＹ第１計算ステップとパーティＹ第２計算ステップとを実行し、パーティＺが、パーティＺ乱数生成ステップとパーティＺ第１計算ステップとパーティＺ第２計算ステップとを実行する秘匿計算方法において、各パーティの計算処理を対称に構成する。

Description

秘匿積和計算方法、秘匿積和計算システム、計算装置、及びそれらのプログラム

　本発明は、秘密分散によりデータを秘匿しつつ、データ処理、特に乗算及び積和演算を行う秘匿積和計算方法、秘匿積和計算システム、計算装置、及びそれらのプログラムに関する。

　顧客情報や経営情報等、いわゆるセンシティブ情報の管理・運用においては、管理情報の多様化やクラウドコンピューティング等の情報処理基盤の変化に伴い、セキュリティ対策やプライバシーの配慮が一層重要な課題となっている。その中で、最近では情報を複数個所に分散させて情報漏洩を防ぐ、秘密分散技術の普及が進みつつある。更に、分散された情報を復元することなく指定された計算結果を導く秘匿関数計算（マルチパーティプロトコル）についても実用化を見据えて開発が進められている。秘密分散技術は、情報の保管時のセキュリティ対策としては有効であるが、利用時は一般に復元する必要があるため、漏洩リスクが高まる。秘匿関数計算は、このような漏洩リスクの存在を踏まえ、本来の入力値の代わりに分散された情報を計算の入力とでき、計算過程においても本来の入力値が一切復元されないため、秘密分散技術の機能を情報の利用時にも維持したより高度なセキュリティ技術といえる。

　情報を秘匿しつつ乗算及び積和演算を行う従来技術としては、乗算に関しては非特許文献１の乗算プロトコルが、また、積和演算に関しては乗算プロトコルと加算プロトコルとの複合利用が挙げられる。これらのプロトコルは、分散された入力値を復元することなく、３パーティ（３計算主体）の協調計算によって算術／論理演算の結果を導く３パーティ秘匿関数計算プロトコルである。３パーティ秘匿関数計算プロトコルでは、データをある定められた素数ｐ未満の自然数として扱う。データを秘匿するときには、そのデータをａとすれば、ａを以下の条件を満たすよう３つに分散する。
　ａ＝ａ₀＋ａ₁＋ａ₂ mod p
実際には乱数ａ₀、ａ₁を生成し、ａ₂＝ａ－ａ₀－ａ₁とする。そして３パーティＸ、Ｙ、Ｚに対して、Ｘに（ａ₀、ａ₁）、Ｙに（ａ₁、ａ₂）、Ｚに（ａ₂、ａ₀）を送信する。すると、ａ₁、ａ₂が乱数であったため、Ｘ、Ｙ、Ｚのいずれのパーティもａの情報を持たないが、いずれか２パーティが集まればａを復元することができることとなる。

　秘匿が加法的な分散であるため、可換性から、分散値を加算してから復元しても、復元してから加算しても結果は等しい。すなわち、加算及び定数倍は分散したまま通信なしで行うことが可能である。そして、これに乗算が加われば論理回路を構成でき、いかなる計算を実行することも可能となる。この乗算は通信及び乱数生成が必要なので、３パーティ秘匿関数計算のボトルネックとなる。

千田浩司、濱田浩気、五十嵐大、高橋克己、「軽量検証可能３パーティ秘匿関数計算の再考」、ＣＳＳ２０１０、２０１０年

　３パーティ秘匿関数計算において、乗算、積和計算は通信及び乱数生成が必要なので、計算処理におけるボトルネックとなる。

　具体的には、従来の乗算プロトコルには、通信回数が２ラウンド必要である。また、３パーティそれぞれの計算量・通信量が対称でないため、パーティごとに異なるプログラムを実装する必要がある。したがって、実装コストが高くなる。さらに、計算量・通信量の最も重い部分がボトルネックとなる。また、積和計算は、一般に通信量が大きくなる。

　本発明の目的は、乗算、積和計算を高速に行うことができ、かつ、実装が容易な秘匿積和計算方法、秘匿積和計算システム、計算装置、及びそれらのプログラムを提供することにある。

　本発明の秘匿積和計算方法は、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ₀＝（a0₀，…，a0_na0-1）、Ａ₁＝（a1₀，…，a1_na1-1）、及びＡ₂＝（a2₀，…，a2_na2-1）と、データ列Ｂ₀＝（b0₀，…，b0_nb0-1）、Ｂ₁＝（b1₀，…，b1_nb1-1）、及びＢ₂＝（b2₀，…，b2_nb2-1）との積和計算

（i0＝０，…，na0－１、i1＝０，…，na1－１、i2＝０，…，na2－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１、j2＝０，…，nb2－１、ただし、na0，na1，na2，nb0，nb1，nb2は自然数）を行うために用いる秘匿積和計算方法であって、パーティＸ乱数生成ステップ、パーティＸ第１計算ステップ、パーティＸ第２計算ステップ、パーティＹ乱数生成ステップ、パーティＹ第１計算ステップ、パーティＹ第２計算ステップ、パーティＺ乱数生成ステップ、パーティＺ第１計算ステップ、及びパーティＺ第２計算ステップを実行する。

　処理に際し、パーティＸにはデータ列Ａ₀、Ａ₁、Ｂ₀、Ｂ₁が、パーティＹにはデータ列Ａ₁、Ａ₂、Ｂ₁、Ｂ₂が、パーティＺにはデータ列Ａ₂、Ａ₀、Ｂ₂、Ｂ₀が、それぞれ入力される。

　パーティＸ乱数生成ステップは、パーティＸが、数ｒ_Xを生成し、パーティＹに送信する。

　パーティＸ第１計算ステップは、パーティＸが、ｃ_Xを

（e01_i0,j1とe10_i1,j0は任意の数）により計算し、パーティＺに送信する。

　パーティＸ第２計算ステップは、パーティＸが、パーティＺから数ｒ_zを、パーティＹからｃ_Yを、それぞれ受信し、ｃ₀とｃ₁をそれぞれ、

（e00_i0,j0とe11_i1,j1は任意の数）により計算して出力する。

　パーティＹ乱数生成ステップは、パーティＹが、数ｒ_Yを生成し、パーティＺに送信する。

　パーティＹ第１計算ステップは、パーティＹが、ｃ_Yを

（e12_i1,j2とe21_i2,j1は任意の数）により計算し、パーティＸに送信する。

　パーティＹ第２計算ステップは、パーティＹが、パーティＸから数ｒ_Xを、パーティＺからｃ_Zを、それぞれ受信し、ｃ₁とｃ₂をそれぞれ、

（e22_i2,j2は任意の数）により計算して出力する。

　パーティＺ乱数生成ステップは、パーティＺが、数ｒ_Zを生成し、パーティＸに送信する。

　パーティＺ第１計算ステップは、パーティＺが、ｃ_Zを

（e20_i2,j0とe02_i0,j2は任意の数）により計算し、パーティＹに送信する。

　パーティＺ第２計算ステップは、パーティＺが、パーティＹから数ｒ_Yを、パーティＸからｃ_Xを、それぞれ受信し、ｃ₀とｃ₂をそれぞれ、

により計算して出力する。

　本発明の秘匿積和計算方法、秘匿積和計算システム、計算装置、及びそれらのプログラムによれば、乗算、積和計算を高速に行うことができ、かつ、各パーティの処理が対称であるため容易にプログラムを実装できる。

秘匿積和計算システム１００の構成例を示す図。秘匿積和計算システム１００の処理フロー例を示す図。秘匿積和計算システム１００、２００の各パーティの内部構成例を示す図。秘匿積和計算システム２００の構成例を示す図。秘匿積和計算システム２００の処理フロー例を示す図。秘匿積和計算システム３００の構成例を示す図。秘匿積和計算システム３００の処理フロー例を示す図。秘匿積和計算システム３００、４００、５００の各パーティの内部構成例を示す図。秘匿積和計算システム４００、５００の構成例を示す図。秘匿積和計算システム４００、５００の処理フロー例を示す図。秘匿積和計算システム６００の構成例を示す図。秘匿積和計算システム６００の処理フロー例を示す図。秘匿積和計算システム６００、７００、８００の各パーティの内部構成例を示す図。秘匿積和計算システム７００、８００の構成例を示す図。秘匿積和計算システム７００、８００の処理フロー例を示す図。秘匿積和計算システム９００、９１０、９２０の構成例を示す図。秘匿積和計算システム９００、９１０、９２０の処理フロー例を示す図。

　以下、本発明の実施形態について、詳細に説明する。

　図１に秘匿積和計算システム１００の構成例を、図２にその処理フロー例をそれぞれ示す。秘匿積和計算システム１００は、それぞれ対称な計算処理を行う計算装置であるパーティＸ、パーティＹ、パーティＺを備える。

　本発明の秘匿積和計算は、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ₀＝（a0₀，…，a0_na0-1）、Ａ₁＝（a1₀，…，a1_na1-1）、及びＡ₂＝（a2₀，…，a2_na2-1）と、データ列Ｂ₀＝（b0₀，…，b0_nb0-1）、Ｂ₁＝（b1₀，…，b1_nb1-1）、及びＢ₂＝（b2₀，…，b2_nb2-1）との積和計算を行う。na0、na1、na2、nb0、nb1、nb2はそれぞれ自然数である。

　各パーティは、図３に示すように乱数生成手段１０１と第１計算手段１０２と第２計算手段１０３とを備える。図３においては、自パーティをＰ、他パーティをＰ_－、Ｐ_＋と表示する。具体的には自パーティがＸのとき、Ｐ_－はパーティＺ、Ｐ_＋はパーティＹであり、自パーティがＹのとき、Ｐ_－はパーティＸ、Ｐ_＋はパーティＺであり、自パーティがＺのとき、Ｐ_－はパーティＹ、Ｐ_＋はパーティＸである。なお、本明細書では、このように、どのパーティから見ても、自パーティＰと他パーティＰ_－、Ｐ_＋との関係が同じになることを「対称」と呼ぶ。また、そのときの処理に対して、「対称な処理」または「処理が対称」のように表現する。

　以下、各パーティの協調計算処理の内容について具体的に説明する。まず、パーティＸにデータ列Ａ₀、Ａ₁、Ｂ₀、Ｂ₁が入力され、パーティＹにデータ列Ａ₁、Ａ₂、Ｂ₁、Ｂ₂が入力され、パーティＺにデータ列Ａ₂、Ａ₀、Ｂ₂、Ｂ₀が入力される（Ｓ１）。

　続いて、パーティＸは以下の処理を行う。まず、乱数生成手段１０１が、乱数ｒ_Xを生成し、パーティＹに送信する（Ｓ２－１）。続いて、第１計算手段１０２が、ｃ_Xを

により計算し、パーティＺに送信する（Ｓ２－２）。ここで、i0＝０，…，na0－１、i1＝０，…，na1－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１であり、e01_i0,j1とe10_i1,j0は任意の数である。そして、第２計算手段１０３が、パーティＺから乱数ｒ_zを、パーティＹからｃ_Yを、それぞれ受信し、ｃ₀とｃ₁をそれぞれ、

により計算して出力する（Ｓ３）。ここで、e00_i0,j0とe11_i1,j1は任意の数である。

　また、パーティＹは以下の処理を行う。まず、乱数生成手段１０１が、乱数ｒ_Yを生成し、パーティＺに送信する（Ｓ４－１）。続いて、第１計算手段１０２が、ｃ_Yを

により計算し、パーティＸに送信する（Ｓ４－２）。ここで、i2＝０，…，na2－１、j2＝０，…，nb2－１であり、e12_i1,j2とe21_i2,j1は任意の数である。そして、第２計算手段１０３が、パーティＸから乱数ｒ_Xを、パーティＺからｃ_Zを、それぞれ受信し、ｃ₁とｃ₂をそれぞれ、

により計算して出力する（Ｓ５）。ここで、e22_i2,j2は任意の数である。

　また、パーティＺは以下の処理を行う。まず、乱数生成手段１０１が、乱数ｒ_Zを生成し、パーティＸに送信する（Ｓ６－１）。続いて、第１計算手段１０２が、ｃ_Zを

により計算し、パーティＹに送信する（Ｓ６－２）。ここで、e20_i2,j0とe02_i0,j2は任意の数である。そして、第２計算手段１０３が、パーティＹから乱数ｒ_Yを、パーティＸからｃ_Xを、それぞれ受信し、ｃ₀とｃ₂をそれぞれ、

により計算して出力する（Ｓ７）。なお、Ｓ２－１、２とＳ４－１、２とＳ６－１、２とは並行処理が可能であり、Ｓ３とＳ５とＳ７とについても並行処理が可能である。

　そして、パーティＸ、Ｙ、Ｚから出力されたｃ₀、ｃ₁、ｃ₂の総和をとることで、

というような積和計算結果を得ることができる。なお、以上の処理において、乱数を用いている部分についてはハッシュ値等で代用しても構わない。

　本発明の方法と非特許文献１による方法の効果を比較する。非特許文献１における計算量のほとんどが、乱数生成のための計算量と、物理的セキュアチャネルを用意できない場合の通信の暗号化・復号でのための計算量である。暗号化・復号のための計算量は通信量と一致するため、生成する乱数の数と通信量を観察すれば効率を評価できる。

　非特許文献１の乗算を繰り返してから加算を行う方法の場合、生成する乱数の数、通信量は入力データ列の要素の個数に比例する。一方、本発明の方法の場合、パーティＸ、Ｙ、Ｚとも、生成する乱数が１個、他のパーティへ送信するデータが２個で済む。また、パーティＸ、Ｙ、Ｚの処理が対称なため、すべてのパーティに共通なプログラムを実装できるので実装コストを抑えることができる。

　実施例２は、実施例１の具体例であり、na0＝na1＝na2＝nb0＝nb1＝nb2＝ｎ（ｎは１以上の整数）、e00＝e01＝e10＝e11＝e12＝e21＝e22＝e20＝e02＝１の場合である。図４に本実施例の秘匿積和計算システム２００の構成例を、図５にその処理フロー例をそれぞれ示す。秘匿積和計算システム２００は、パーティＸ、パーティＹ、パーティＺ、データ列分解供給部２１０、及び出力部２２０を備える。各パーティは、実施例１と同様、図３に示すように乱数生成手段１０１、第１計算手段１０２、及び第２計算手段１０３を備える。

　秘匿積和計算システム２００は、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、素数ｐ未満の自然数である要素ａ_i、ｂ_i（ｉ＝０，…，ｎ－１）からなる２つのデータ列Ａ＝（ａ₀，…，ａ_n-1）、Ｂ＝（ｂ₀，…，ｂ_n-1）について、データ列の内容を秘匿したまま、積和計算

を行う（ｎ＝１の場合はａとｂとの乗算）。

　具体的には、まず、データ列分解供給部２１０は、入力されたデータ列Ａ、Ｂの各要素ａ_i、ｂ_iを、ａ_i＝a0_i＋a1_i＋a2_i modｐ、ｂ_i＝b0_i＋b1_i＋b2_i modｐ（a0_i、a1_i、b0_i、b1_iは乱数、ｐは素数）の条件式を満たすように分解し、パーティＸにデータ列Ａ₀＝（a0₀，…，a0_n-1）とデータ列Ａ₁＝（a1₀，…，a1_n-1）とデータ列Ｂ₀＝（b0₀，…，b0_n-1）とデータ列Ｂ₁＝（b1₀，…，b1_n-1）とを与え、パーティＹにデータ列Ａ₁とデータ列Ａ₂＝（a2₀，…，a2_n-1）とデータ列Ｂ₁とデータ列Ｂ₂＝（b2₀，…，b2_n-1）とを与え、パーティＺにデータ列Ａ₂とデータ列Ａ₀とデータ列Ｂ₂とデータ列Ｂ₀とを与える（Ｓ１１）。

　続いて、パーティＸは以下の処理を行う。まず、乱数生成手段１０１が、乱数ｒ_Xを生成し、パーティＹに送信する（Ｓ１２－１）。続いて、第１計算手段１０２が、ｃ_Xを

により計算し、パーティＺに送信する（Ｓ１２－２）。続いて、第２計算手段１０３が、パーティＺから乱数ｒ_zを、パーティＹからｃ_Yを、それぞれ受信し、ｃ₀とｃ₁をそれぞれ、

により計算して出力する（Ｓ１３）。

　また、パーティＹは以下の処理を行う。まず、乱数生成手段１０１が、乱数ｒ_Yを生成し、パーティＺに送信する（Ｓ１４－１）。続いて、第１計算手段１０２が、ｃ_Yを

により計算し、パーティＸに送信する（Ｓ１４－２）。続いて、第２計算手段１０３が、パーティＸから乱数ｒ_Xを、パーティＺからｃ_Zを、それぞれ受信し、ｃ₁とｃ₂をそれぞれ、

により計算して出力する（Ｓ１５）。

　また、パーティＺは以下の処理を行う。まず、乱数生成手段１０１が、乱数ｒ_Zを生成し、パーティＸに送信する（Ｓ１６－１）。続いて、第１計算手段１０２が、ｃ_Zを

により計算し、パーティＹに送信する（Ｓ１６－２）。続いて、第２計算手段１０３が、パーティＹから乱数ｒ_Yを、パーティＸからｃ_Xを、それぞれ受信し、ｃ₀とｃ₂をそれぞれ、

により計算して出力する（Ｓ１７）。なお、Ｓ１２－１、２とＳ１４－１、２とＳ１６－１、２とは並行処理が可能であり、Ｓ１３とＳ１５とＳ１７とについても並行処理が可能である。

　そして、出力部２２０がパーティＸ、Ｙ、Ｚから出力されたｃ₀、ｃ₁、ｃ₂の総和（ｃ₀＋ｃ₁＋ｃ₂）を計算して出力する。

なので、正しく積和計算（ｉ＝１の場合はａとｂとの乗算）ができていることがわかる。

　なお、以上の処理において、乱数を用いている部分についてはハッシュ値等で代用しても構わない。また、データ列分解供給部２１０、出力部２２０については、各パーティとは異なる別の装置が備えることとしても、各パーティに該当する装置のいずれか１以上が備えることとしてもよい。

　本発明と非特許文献１の方法の効果を比較する。乗算については、非特許文献１の方法では、通信回数が２ラウンド（ラウンドとは、パーティＸ、Ｙ、Ｚの並行処理において他のパーティの処理を待つ回数）であり、パーティＸが生成する乱数が１個、送信するデータが４個であり、パーティＹ、Ｚが生成する乱数が０個、送信するデータが１個である。一方、本発明では、通信回数が１ラウンドであり、パーティＸ、Ｙ、Ｚとも生成する乱数が１個、送信するデータが２個である。つまり、ラウンド数は半分となっている。また、生成する乱数と送信するデータの個数は同じであるが、パーティＸ、Ｙ、Ｚの処理が対称になっているため、ボトルネックが小さくなっていると言える。

　積和計算については、非特許文献１の乗算を繰り返してから加算を行う方法の場合、生成する乱数の数、通信量は入力データ列の要素の個数に比例するが、本発明の方法の場合、パーティＸ、Ｙ、Ｚとも、生成する乱数が１個、他のパーティへ送信するデータが２個で済む。そして、いずれの計算の場合においても、パーティＸ、Ｙ、Ｚの処理が対称なため、実装コストを抑えることができる。

　実施例３は、積和計算を行う実施例１、２に不正検知機能を加えた構成である。図６に秘匿積和計算システム３００の構成例を、図７にその処理フロー例をそれぞれ示す。秘匿積和計算システム３００は、それぞれ対称な計算処理を行う計算装置であるパーティＸ、パーティＹ、パーティＺを備える。

　本発明の秘匿積和計算は、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_na0-1}）、Ａ_{q_1}＝（a1_{q_0}，…，a1_{q_na1-1}）、及びＡ_{q_2}＝（a2_{q_0}，…，a2_{q_na2-1}）と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）、Ｂ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）、及びＢ_{q_2}＝（b2_{q_0}，…，b2_{q_nb2-1}）との積和計算を、ｑ＝０，…，ｍ－１の計ｍ組（ｍは１以上の整数）について（ｍが２以上の場合は並列に）行う。na0、na1、na2、nb0、nb1、nb2はそれぞれ自然数である。

　各パーティは、図８に示すように第１乱数生成手段３０１、第１計算手段３０２、第２計算手段３０３、第２乱数生成手段３０４、第３計算手段３０５、第４計算手段３０６、及び不正検知手段３０７を備える。図８においては、いずれかの前記計算装置がパーティＰであるとしたとき、パーティＰがパーティＸである場合には、パーティＰ_－がパーティＺ、パーティＰ_＋がパーティＹ、符号0p、1p、2pがそれぞれ0、1、2に対応し、パーティＰがパーティＹである場合には、パーティＰ_－がパーティＸ、パーティＰ_＋がパーティＺ、符号0p、1p、2pがそれぞれ1、2、0に対応し、パーティＰがパーティＺである場合には、パーティＰ_－がパーティＹ、パーティＰ_＋がパーティＸ、符号0p、1p、2pがそれぞれ2、0、1に対応する。

　以下、各パーティの協調計算処理の内容について具体的に説明する。Ｓ２１～Ｓ２７が実施例１に相当する積和計算処理であり、Ｓ２８～Ｓ３９が不正検知処理である。なお、パーティＸとＹは乱数ｓ_{q_Z}を、パーティＹとＺは乱数ｓ_{q_X}を、パーティＺとＸは乱数ｓ_{q_Y}を、それぞれ予め共有しているものとする。まず、パーティＸにデータ列Ａ_{q_0}、Ａ_{q_1}、Ｂ_{q_0}、Ｂ_{q_1}が入力され、パーティＹにデータ列Ａ_{q_1}、Ａ_{q_2}、Ｂ_{q_1}、Ｂ_{q_2}が入力され、パーティＺにデータ列Ａ_{q_2}、Ａ_{q_0}、Ｂ_{q_2}、Ｂ_{q_0}が入力される（Ｓ２１）。

　続いて、パーティＸは以下の処理を行う。まず、第１乱数生成手段３０１が、乱数ｒ_{q_X}を生成し、パーティＹに送信する（Ｓ２２－１）。続いて、第１計算手段３０２が、ｃ_{q_X}を

により計算し、パーティＺに送信する（Ｓ２２－２）。ここで、i0＝０，…，na0－１、i1＝０，…，na1－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１であり、e01_{q_i0,q_j1}とe10_{q_i1,q_j0}は任意の数である。続いて、第２計算手段３０３が、パーティＺから乱数ｒ_{q_z}を、パーティＹからｃ_{q_Y}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_1}をそれぞれ、

により計算する（Ｓ２３）。ここで、e00_{q_i0,q_j0}、e11_{q_i1, q_j1}は任意の数である。

　また、パーティＹは以下の処理を行う。まず、乱数生成手段３０１が、乱数ｒ_{q_Y}を生成し、パーティＺに送信する（Ｓ２４－１）。続いて、第１計算手段３０２が、ｃ_{q_Y}を

により計算し、パーティＸに送信する（Ｓ２４－２）。ここで、i2＝０，…，na2－１、j2＝０，…，nb2－１であり、e12_{q_i1,q_j2}とe21_{q_i2,q_j1}は任意の数である。続いて、第２計算手段３０３が、パーティＸから乱数ｒ_{q_X}を、パーティＺからｃ_{q_Z}を、それぞれ受信し、ｃ_{q_1}とｃ_{q_2}をそれぞれ、

により計算する（Ｓ２５）。ここで、e22_{q_i2,q_j2}は任意の数である。

　また、パーティＺは以下の処理を行う。まず、乱数生成手段３０１が、乱数ｒ_{q_Z}を生成し、パーティＸに送信する（Ｓ２６－１）。続いて第１計算手段３０２が、ｃ_{q_Z}を

により計算し、パーティＹに送信する（Ｓ２６－２）。ここで、e20_{q_i2,q_j0}とe02_{q_i0,q_j2}は任意の乗数である。続いて、第２計算手段３０３が、パーティＹから乱数ｒ_{q_Y}を、パーティＸからｃ_{q_X}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_2}をそれぞれ、

により計算する（Ｓ２７）。なお、Ｓ２２－１、２とＳ２４－１、２とＳ２６－１、２とは並行処理が可能であり、Ｓ２３とＳ２５とＳ２７とについても並行処理が可能である。

　Ｓ２１～Ｓ２７の処理に続き、各パーティは以下のように不正検知処理を行う。

　パーティＸの処理について説明する。まず、第２乱数生成手段３０４が、乱数列（αY1_{q_0}，…，αY1_{q_na1-1}）及び乱数ρ_xを生成してパーティＹに送信し、乱数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）を生成してパーティＺに送信する（Ｓ２８）。続いて、第３計算手段３０５が、（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）を計算してパーティＹに送信し、パーティＹから乱数列（αX1_{q_0}，…，αX1_{q_na1-1}）を、パーティＺから乱数列（αX0_{q_0}，…，αX0_{q_na0-1}）を、それぞれ受信し、（αY1_{q_0}－ｓ_{q_Y}・a1_{q_0}，…，αY1_{q_na1-1}－ｓ_{q_Y}・a1_{q_na1-1}）及び

を計算してパーティＺに送信する（Ｓ２９）。続いて、第４計算手段３０６が、パーティＹから（αZ2_{q_0}－ｓ_{q_Z}・a2_{q_0}，…，αZ2_{q_na2-1}－ｓ_{q_Z}・a2_{q_na2-1}）を、パーティＺからρ_Zを、それぞれ受信し、

を計算してパーティＹに送信する（Ｓ３０）。そして、不正検知手段３０７が、パーティＹからγ_Yを、パーティＺからγ_Y´と（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0}とｃ_{q_1}を出力する（Ｓ３１）。

　次に、パーティＹの処理について説明する。まず、第２乱数生成手段３０４が、乱数列（αZ2_{q_0}，…，αZ2_{q_na2-1}）及び乱数ρ_Yを生成してパーティＺに送信し、乱数列（αX1_{q_0}，…，αX1_{q_na1-1}）を生成してパーティＸに送信する（Ｓ３２）。続いて、第３計算手段３０５が、（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）を計算してパーティＺに送信し、パーティＸから乱数列（αY1_{q_0}，…，αY1_{q_na1-1}）を、パーティＺから乱数列（αY2_{q_0}，…，αY2_{q_na2-1}）を、それぞれ受信し、（αZ2_{q_0}－ｓ_{q_Z}・a2_{q_0}，…，αZ2_{q_na2-1}－ｓ_{q_Z}・a2_{q_na2-1}）及び

を計算してパーティＸに送信する（Ｓ３３）。続いて、第４計算手段３０６が、パーティＸから乱数ρ_Xを、パーティＺから（αX0_{q_0}－ｓ_{q_X}・a0_{q_0}，…，αX0_{q_na0-1}－ｓ_{q_X}・a0_{q_na0-1}）を、それぞれ受信し、

を計算してパーティＺに送信する（Ｓ３４）。そして、不正検知手段３０７が、パーティＸからγ_Z´と（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）を、パーティＺからγ_Zを、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_1}とｃ_{q_2}を出力する（Ｓ３５）。

　次に、パーティＺの処理について説明する。まず、第２乱数生成手段３０４が、乱数列（αX0_{q_0}，…，αX0_{q_na0-1}）及び乱数ρ_Zを生成してパーティＸに送信し、乱数列（αY2_{q_0}，…，αY2_{q_na2-1}）を生成してパーティＹに送信する（Ｓ３６）。続いて、第３計算手段３０５が、（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）を計算してパーティＸに送信し、パーティＸから乱数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）を、パーティＹから乱数列（αZ2_{q_0}，…，αZ2_{q_na2-1}）を、それぞれ受信し、（αX0_{q_0}－ｓ_{q_X}・a0_{q_0}，…，αX0_{q_na0-1}－ｓ_{q_X}・a0_{q_na0-1}）及び

を計算してパーティＹに送信する（Ｓ３７）。続いて、第４計算手段３０６が、パーティＸから（αY1_{q_0}－ｓ_{q_Y}・a1_{q_0}，…，αY1_{q_na1-1}－ｓ_{q_Y}・a1_{q_na1-1}）を、パーティＹから乱数ρ_Yを、それぞれ受信し、

を計算してパーティＸに送信する（Ｓ３８）。そして、不正検知手段３０７が、パーティＸからγ_Xを、パーティＹからγ_X´と（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_2}とｃ_{q_0}を出力する（Ｓ３９）。

　そして、不正検知が無かった場合には、パーティＸ、Ｙ、Ｚから出力されたｃ_{q_0}、ｃ_{q_1}、ｃ_{q_2}の総和をとることで、

　本発明の不正検知は、１回の乗算、積和演算または並列に実行された乗算、積和演算に対して1回行われる。また、不正検知機能における各Ｐ_＋が送信するγ_P+に含まれるαP₊0_{q_i0}、αP₊1_{q_i1}、αP₊2_{q_i2}（ただし、ｑ＝０，…，ｍ－１）は、各a_{q_i}に異なる乱数を掛けた数の断片である。したがって、ひとつでも不正な値があれば、Ｐ_＋に予知できない乱数となる。よって、法が素数ｐであれば、不正があった場合に積和計算処理での不正と辻褄を合わせられる確率は１／（ｐ－１）しかない。

　実施例４は、実施例３の具体例であり、na0＝na1＝na2＝nb0＝nb1＝nb2＝ｎ（ｎは１以上の整数）、e00＝e01＝e10＝e11＝e12＝e21＝e22＝e20＝e02＝１の場合である。図９に本実施例の秘匿積和計算システム４００の構成例を、図１０にその処理フロー例をそれぞれ示す。秘匿積和計算システム４００は、パーティＸ、パーティＹ、パーティＺ、データ列分解供給部４１０、及び出力部４２０を備える。各パーティは、実施例３と同様、第１乱数生成手段３０１、第１計算手段３０２、第２計算手段３０３、第２乱数生成手段３０４、第３計算手段３０５、第４計算手段３０６、及び不正検知手段３０７を備える。

　秘匿積和計算システム４００は、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、素数ｐ未満の自然数である要素ａ_{q_i}、ｂ_{q_i}（ｉ＝０，…，ｎ－１（ｎは１以上の整数））からなるｍ組のデータ列Ａ_q＝（ａ_{q_0}，…，ａ_{q_n-1}）、Ｂ_q＝（ｂ_{q_0}，…，ｂ_{q_n-1}）（ｍは１以上の整数、ｑ＝０，…，ｍ－１）につき、各組の積和計算

を行う（ｎ＝１の場合はａ_ｑとｂ_ｑとの乗算）。なお、実施例３と同様、パーティＸとＹは乱数ｓ_{q_Z}を、パーティＹとＺは乱数ｓ_{q_X}を、パーティＺとＸは乱数ｓ_{q_Y}を、それぞれ予め共有しているものとする。

　具体的な処理としては、まず、データ列分解供給部４１０が、入力されたｍ組のデータ列Ａ_q、Ｂ_qの各要素ａ_{q_i}、ｂ_{q_i}を、ａ_{q_i}＝a0_{q_i}＋a1_{q_i}＋a2_{q_i} modｐ、ｂ_{q_i}＝b0_{q_i}＋b1_{q_i}＋b2_{q_i} modｐ（a0_{q_i}、a1_{q_i}、b0_{q_i}、b1_{q_i}は乱数、ｐは素数）の条件式を満たすように分解し、パーティＸにデータ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_n-1}）とデータ列Ａ_{q_1}＝（a1_{q_0}，…，a1_{q_n-1}）とデータ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_n-1}）とデータ列Ｂ_{q_1}＝（b1_{q_0}，…，b1_{q_n-1}）とを与え、パーティＹにデータ列Ａ_{q_1}とデータ列Ａ_{q_2}＝（a2_{q_0}，…，a2_{q_n-1}）とデータ列Ｂ_{q_1}とデータ列Ｂ_{q_2}＝（b2_{q_0}，…，b2_{q_n-1}）とを与え、パーティＺにデータ列Ａ_{q_2}とデータ列Ａ_{q_0}とデータ列Ｂ_{q_2}とデータ列Ｂ_{q_0}とを与える（Ｓ４１）。

　続いて、パーティＸは以下の処理を行う。まず、第１乱数生成手段３０１が、乱数ｒ_{q_X}を生成し、パーティＹに送信するＳ４２－１）。続いて、第１計算手段３０２が、ｃ_{q_X}を

により計算し、パーティＺに送信する（Ｓ４２－２）。続いて、第２計算手段３０３が、パーティＺから乱数ｒ_{q_z}を、パーティＹからｃ_{q_Y}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_1}をそれぞれ、

により計算する（Ｓ４３）。

　また、パーティＹは以下の処理を行う。まず、乱数生成手段３０４が、乱数ｒ_{q_Y}を生成し、パーティＺに送信する（４４－１）。続いて、第１計算手段３０５が、ｃ_{q_Y}を

により計算し、パーティＸに送信する（Ｓ４４－２）。続いて、第２計算手段３０６が、パーティＸから乱数ｒ_{q_X}を、パーティＺからｃ_{q_Z}を、それぞれ受信し、ｃ_{q_1}とｃ_{q_2}をそれぞれ、

により計算する（Ｓ４５）。

　また、パーティＺは以下の処理を行う。まず、第１乱数生成手段３０１が、乱数ｒ_{q_Z}を生成し、パーティＸに送信する（Ｓ４６－１）。続いて、第１計算手段３０２が、ｃ_{q_Z}を

により計算し、パーティＹに送信する（Ｓ４６－２）。続いて、第２計算手段３０３が、パーティＹから乱数ｒ_{q_Y}を、パーティＸからｃ_{q_X}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_2}をそれぞれ、

により計算する（Ｓ４７）。なお、Ｓ４２－１、２とＳ４４－１、２とＳ４６－１、２とは並行処理が可能であり、Ｓ４３とＳ４５とＳ４７とについても並行処理が可能である。

　Ｓ４１～Ｓ４７の処理に続き、各パーティは以下のように不正検知処理を行う。パーティＸの処理について説明する。まず、第２乱数生成手段３０４が、乱数列（αY1_{q_0}，…，αY1_{q_n-1}）及び乱数ρ_xを生成してパーティＹに送信し、乱数列（αZ0_{q_0}，…，αZ0_{q_n-1}）を生成してパーティＺに送信する（Ｓ４８）。続いて、第３計算手段３０５が、（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_n-1}－ｓ_{q_Z}・a0_{q_n-1}）を計算してパーティＹに送信し、パーティＹから乱数列（αX1_{q_0}，…，αX1_{q_n-1}）を、パーティＺから乱数列（αX0_{q_0}，…，αX0_{q_n-1}）を、それぞれ受信し、（αY1_{q_0}－ｓ_{q_Y}・a1_{q_0}，…，αY1_{q_n-1}－ｓ_{q_Y}・a1_{q_n-1}）及び

を計算してパーティＺに送信する（Ｓ４９）。続いて、第４計算手段３０６が、パーティＹから（αZ2_{q_0}－ｓ_{q_Z}・a2_{q_0}，…，αZ2_{q_n-1}－ｓ_{q_Z}・a2_{q_n-1}）を、パーティＺからρ_Zを、それぞれ受信し、

を計算してパーティＹに送信する（Ｓ５０）。そして、不正検知手段３０７が、パーティＹからγ_Yを、パーティＺからγ_Y´と（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_n-1}－ｓ_{q_Y}・a2_{q_n-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0}とｃ_{q_1}を出力する（Ｓ５１）。

　次にパーティＹの処理について説明する。

　まず、第２乱数生成手段３０４が、乱数列（αZ2_{q_0}，…，αZ2_{q_n-1}）及び乱数ρ_Yを生成してパーティＺに送信し、乱数列（αX1_{q_0}，…，αX1_{q_n-1}）を生成してパーティＸに送信する（Ｓ５２）。続いて、第３計算手段３０５が、（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_n-1}－ｓ_{q_X}・a1_{q_n-1}）を計算してパーティＺに送信し、パーティＸから乱数列（αY1_{q_0}，…，αY1_{q_n-1}）を、パーティＺから乱数列（αY2_{q_0}，…，αY2_{q_n-1}）を、それぞれ受信し、（αZ2_{q_0}－ｓ_{q_Z}・a2_{q_0}，…，αZ2_{q_n-1}－ｓ_{q_Z}・a2_{q_n-1}）及び

を計算してパーティＸに送信する（Ｓ５３）。続いて、第４計算手段３０６が、パーティＸから乱数ρ_Xを、パーティＺから（αX0_{q_0}－ｓ_{q_X}・a0_{q_0}，…，αX0_{q_n-1}－ｓ_{q_X}・a0_{q_n-1}）を、それぞれ受信し、

を計算してパーティＺに送信する（Ｓ５４）。そして、不正検知手段３０７が、パーティＸからγ_Z´と（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_n-1}－ｓ_{q_Z}・a0_{q_n-1}）を、パーティＺからγ_Zを、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_1}とｃ_{q_2}を出力する（Ｓ５５）。

　次に、パーティＺの処理について説明する。まず、第２乱数生成手段３０４が、乱数列（αX0_{q_0}，…，αX0_{q_n-1}）及び乱数ρ_Zを生成してパーティＸに送信し、乱数列（αY2_{q_0}，…，αY2_{q_n-1}）を生成してパーティＹに送信する（Ｓ５６）。続いて、第３計算手段３０５が、（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_n-1}－ｓ_{q_Y}・a2_{q_n-1}）を計算してパーティＸに送信し、パーティＸから乱数列（αZ0_{q_0}，…，αZ0_{q_n-1}）を、パーティＹから乱数列（αZ2_{q_0}，…，αZ2_{q_n-1}）を、それぞれ受信し、（αX0_{q_0}－ｓ_{q_X}・a0_{q_0}，…，αX0_{q_n-1}－ｓ_{q_X}・a0_{q_n-1}）及び

を計算してパーティＹに送信する（Ｓ５７）。続いて、第４計算手段３０６が、パーティＸから（αY1_{q_0}－ｓ_{q_Y}・a1_{q_0}，…，αY1_{q_n-1}－ｓ_{q_Y}・a1_{q_n-1}）を、パーティＹから乱数ρ_Yを、それぞれ受信し、

を計算してパーティＸに送信する（Ｓ５８）。そして、不正検知手段３０７が、パーティＸからγ_Xを、パーティＹからγ_X´と（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_n-1}－ｓ_{q_X}・a1_{q_n-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_2}とｃ_{q_0}を出力する（Ｓ５９）。

　そして、出力部４２０がパーティＸ、Ｙ、Ｚから出力されたｃ_{q_0}、ｃ_{q_1}、ｃ_{q_2}の総和（ｃ_{q_0}＋ｃ_{q_1}＋ｃ_{q_2}）を計算して出力する（Ｓ６０）。

なので、正しく積和計算（ｉ＝１のみの場合（ｎ＝１の場合）はａ_ｑとｂ_ｑとの乗算）ができていることがわかる。なお、以上の処理において、乱数を用いている部分についてはハッシュ値等で代用しても構わない。

　また、データ列分解供給部４１０、出力部４２０については、各パーティとは異なる別の装置が備えることとしても、各パーティに該当する装置のいずれか１以上が備えることとしてもよい。

　本発明と非特許文献１の方法の効果を比較する。ｍ＝１の場合、本発明ではラウンド数は２、各パーティが送信するデータは１０個、生成する乱数は５個である。しかも、ｓ_Ｐは一度共有すれば何度でも使うことができるため、実際にはラウンド数は２、送信するデータは９個、生成する乱数は４個でよい。これに対して、非特許文献１の方法では、ラウンド数は４、パーティＸが送信するデータは２０個、生成する乱数は１２個、パーティＹ、Ｚが送信するデータは１７個、生成する乱数は９個である。したがって、本発明の方が２倍程度効率的である。

　ｍ≧２の場合は、より効率的である。本発明ではラウンド数は２、各パーティが送信するデータは６ｍ＋３個、生成する乱数は３ｍ＋１個である。これに対して、非特許文献１の方法では、ラウンド数は４、パーティＸが送信するデータは２０ｍ個、生成する乱数は１２ｍ個、パーティＹ、Ｚが送信するデータは１７ｍ個、生成する乱数は９ｍ個である。したがって、本発明の方が３倍程度効率的である。

　実施例４の秘匿積和計算システム４００は、

という積和計算を行う構成であったが、実施例５の秘匿積和計算システム５００は、この乗算の片方の値が共通である場合の構成例である。すなわち、秘匿積和計算システム５００は、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、素数ｐ未満の自然数である要素ａ_{q_i}（ｑ＝０，…，ｍ－１（ｍは１以上の整数）、ｉ＝０，…，ｎ－１（ｎは１以上の整数））からなるデータ列Ａ_q＝（ａ_{q_0}，…，ａ_{q_n-1}）（ｍは１以上の整数、ｑ＝０，…，ｍ－１）と素数ｐ未満の自然数であるｂとの間で、ｍ個の積和計算

を行う。なお、機能構成と処理フローは実施例４と同様であるため、以下、これらを引用して説明する（構成図：図９（及び８）、処理フロー図：図１０）。なお、実施例４と同様、パーティＸとＹは乱数ｓ_{q_Z}を、パーティＹとＺは乱数ｓ_{q_X}を、パーティＺとＸは乱数ｓ_{q_Y}を、それぞれ予め共有しているものとする。

　具体的な処理としては、まず、データ列分解供給部４１０が、入力されたデータ列Ａ_qの各要素ａ_{q_i}を、ａ_{q_i}＝a0_{q_i}＋a1_{q_i}＋a2_{q_i} modｐ、ｂをｂ＝b0＋b1＋b2 modｐ（a0_{q_i}、a1_{q_i}、b0、b1は乱数、ｐは素数）の条件式を満たすように分解し、パーティＸにデータ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_n-1}）、データ列Ａ_{q_1}＝（a1_{q_0}，…，a1_{q_n-1}）、b0、及びb1を与え、パーティＹにデータ列Ａ_{q_1}、データ列Ａ_{q_2}＝（a2_{q_0}，…，a2_{q_n-1}）、b1、及びb2を与え、パーティＺにデータ列Ａ_{q_2}、データ列Ａ_{q_0}、b2、及びb0を与える（Ｓ４１）。

により計算する（Ｓ４３）。

により計算する（Ｓ４５）。

　Ｓ４１～Ｓ４７の処理に続き、各パーティは以下のように不正検知処理を行う。パーティＸの処理について説明する。まず、第２乱数生成手段３０４が、乱数αY1及び乱数ρ_xを生成してパーティＹに送信し、乱数αZ0を生成してパーティＺに送信する（Ｓ４８）。続いて、第３計算手段３０５が、

を計算してパーティＹに送信し、パーティＹから乱数αX1を、パーティＺから乱数αX0を、それぞれ受信し、

及び

を計算してパーティＺに送信する（Ｓ４９）。続いて、第４計算手段３０６が、パーティＹから

を、パーティＺからρ_Zを、それぞれ受信し、

を計算してパーティＹに送信する（Ｓ５０）。そして、不正検知手段３０７が、パーティＹからγ_Yを、パーティＺからγ_Y´と

を、それぞれ受信し、

　次にパーティＹの処理について説明する。まず、第２乱数生成手段３０４が、乱数αZ2及び乱数ρ_Yを生成してパーティＺに送信し、乱数αX1を生成してパーティＸに送信する（Ｓ５２）。続いて、第３計算手段３０５が、

を計算してパーティＺに送信し、パーティＸから乱数αY1を、パーティＺから乱数αY2を、それぞれ受信し、

及び

を計算してパーティＸに送信する（Ｓ５３）。続いて、第４計算手段３０６が、パーティＸから乱数ρ_Xを、パーティＺから

を、それぞれ受信し、

を計算してパーティＺに送信する（Ｓ５４）。そして、不正検知手段３０７が、パーティＸからγ_Z´と

を、パーティＺからγ_Zを、それぞれ受信し、

　次に、パーティＺの処理について説明する。まず、第２乱数生成手段３０４が、乱数αX0及び乱数ρ_Zを生成してパーティＸに送信し、乱数αY2を生成してパーティＹに送信する（Ｓ５６）。続いて、第３計算手段３０５が、

を計算してパーティＸに送信し、パーティＸから乱数αZ0を、パーティＹから乱数αZ2を、それぞれ受信し、

及び

を計算してパーティＹに送信する（Ｓ５７）。続いて、第４計算手段３０６が、パーティＸから

を、パーティＹから乱数ρ_Yを、それぞれ受信し、

を計算してパーティＸに送信する（Ｓ５８）。そして、不正検知手段３０７が、パーティＸからγ_Xを、パーティＹからγ_X´と

を、それぞれ受信し、

なので、正しく積和計算ができていることがわかる。なお、以上の処理において、乱数を用いている部分についてはハッシュ値等で代用しても構わない。また、データ列分解供給部４１０、出力部４２０については、各パーティとは異なる別の装置が備えることとしても、各パーティに該当する装置のいずれか１以上が備えることとしてもよい。

　本発明と非特許文献１の方法の効果を比較する。本発明の場合、ラウンド数は２、各パーティが送信するデータは２ｍ個、生成する乱数は３個である。従って、非特許文献１の方法と比べ、９倍程度効率的である。また、ｍが増加すると生成する乱数の数も増加したのが、ｍに依存しない定数に改善されていることがわかる。

　実施例３で示した不正検知機能付きの秘匿積和計算システム３００では、ａとｂとの乗算プロトコルにおいて、ａ_0p・ｂ_1p＋ａ_1p・ｂ_0pの正当性の確認のために、ｓ_P・ａ_0pの分散値を表すα_P0p、α_PP-を用いて、(α_P0p－α_PP-)・ｂ_1pとｓ_P・ａ_0p・ｂ_1pとを比較するとともに、ｓ_P・ａ_1pの分散値を表すα_P1p、α_PP+を用いて、(α_P1p－α_PP+)・ｂ_0pとｓ_P・ａ_1p・ｂ_0pとを比較する。しかし、秘匿積和計算システム３００の乗算プロトコルは前者の比較に際し、パーティ間で計算値を往復させる手順を含む。具体的には、αZ2_{q_i2}－ｓ_{q_Z}・a2_{q_i2}をパーティＹ→パーティＸ→パーティＹ、αX0_{q_i0}－ｓ_{q_X}・a0_{q_i0}をパーティＺ→パーティＹ→パーティＺ、αY1_{q_i1}－ｓ_{q_Y}・a1_{q_i1}をパーティＸ→パーティＺ→パーティＸというように、それぞれ往復させる必要がある。そのため、このように往復する間に計算値が漏洩し、計算結果を変化させない範囲でサーバが不正（秘匿すべきデータの情報を得る）を行う余地があった。つまり、実施例３はサーバに不正がない場合に限り完全秘匿が可能な構成と言える。

　実施例６は、サーバに不正があっても完全秘匿が可能な構成である。具体的には、不正の原因となっている計算値の往復がプロトコル内に含まれない構成である。図１１に実施例６の秘匿積和計算システム６００の構成例を、図１２にその処理フロー例をそれぞれ示す。秘匿積和計算システム６００は、パーティＸ、パーティＹ、パーティＺを備える。各パーティは図１３に示すように、秘匿積和計算システム３００のものと同じ第１乱数生成手段３０１、第１計算手段３０２、及び第２計算手段３０３のほか、第２乱数生成手段６０４、第３計算手段６０５、第４計算手段６０６、及び不正検知手段６０７を備える。

　以下、具体的に説明するが、第１乱数生成手段３０１、第１計算手段３０２、及び第２計算手段３０３の各機能と、それらの機能として実現される秘匿積和計算処理（Ｓ２１～Ｓ２７）については、秘匿積和計算システム３００と共通であるため説明を省略し、相違点である不正検知処理に絞って説明する。

　Ｓ２１～Ｓ２７の処理に続き、各パーティは以下のように不正検知処理を行う。なお、実施例３と同様、パーティＸとＹは乱数ｓ_{q_Z}を、パーティＹとＺは乱数ｓ_{q_X}を、パーティＺとＸは乱数ｓ_{q_Y}を、それぞれ予め共有していることとする。

　パーティＸの処理について説明する。まず、第２乱数生成手段６０４が、乱数ρ_xを生成してパーティＹに送信し、乱数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）と乱数列（βZ0_{q_0}，…，βZ0_{q_nb0-1}）を生成してパーティＺに送信する（Ｓ６８）。続いて、第３計算手段６０５が、（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）と（βZ0_{q_0}－ｓ_{q_Z}・b0_{q_0}，…，βZ0_{q_nb0-1}－ｓ_{q_Z}・b0_{q_nb0-1}）を計算してパーティＹに送信し、パーティＹから乱数列（αX1_{q_0}，…，αX1_{q_na1-1}）と乱数列（βX1_{q_0}，…，βX1_{q_nb1-1}）を受信し、

を計算してパーティＺに送信する（Ｓ６９）。続いて、第４計算手段６０６がパーティＺからρ_Zを受信し、

を計算してパーティＹに送信する（Ｓ７０）。そして、不正検知手段６０７が、パーティＹからγ_Yを、パーティＺからγ_Y´と（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）と（βY2_{q_0}－ｓ_{q_Y}・b2_{q_0}，…，βY2_{q_nb2-1}－ｓ_{q_Y}・b2_{q_nb2-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0}とｃ_{q_1}を出力する（Ｓ７１）。

　次に、パーティＹの処理について説明する。まず、第２乱数生成手段６０４が、乱数ρ_Yを生成してパーティＺに送信し、乱数列（αX1_{q_0}，…，αX1_{q_na1-1}）と乱数列（βX1_{q_0}，…，βX1_{q_nb1-1}）を生成してパーティＸに送信する（Ｓ７２）。続いて、第３計算手段６０５が、（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）と（βX1_{q_0}－ｓ_{q_X}・b1_{q_0}，…，βX1_{q_nb1-1}－ｓ_{q_X}・b1_{q_nb1-1}）を計算してパーティＺに送信し、パーティＺから乱数列（αY2_{q_0}，…，αY2_{q_na2-1}）と乱数列（βY2_{q_0}，…，βY2_{q_nb2-1}）を受信し、

を計算してパーティＸに送信する（Ｓ７３）。続いて、第４計算手段６０６が、パーティＸから乱数ρ_Xを受信し、

を計算してパーティＺに送信する（Ｓ７４）。そして、不正検知手段６０７が、パーティＸからγ_Z´と（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）と（βZ0_{q_0}－ｓ_{q_Z}・b0_{q_0}，…，βZ0_{q_nb0-1}－ｓ_{q_Z}・b0_{q_nb0-1}）を、パーティＺからγ_Zを、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_1}とｃ_{q_2}を出力する（Ｓ７５）。

　次に、パーティＺの処理について説明する。まず、第２乱数生成手段６０４が、乱数ρ_Zを生成してパーティＸに送信し、乱数列（αY2_{q_0}，…，αY2_{q_na2-1}）と乱数列（βY2_{q_0}，…，βY2_{q_nb2-1}）を生成してパーティＹに送信する（Ｓ７６）。続いて、第３計算手段６０５が、（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）と（βY2_{q_0}－ｓ_{q_Y}・b2_{q_0}，…，βY2_{q_nb2-1}－ｓ_{q_Y}・b2_{q_nb2-1}）を計算してパーティＸに送信し、パーティＸから乱数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）と乱数列（βZ0_{q_0}，…，βZ0_{q_nb0-1}）を受信し、

を計算してパーティＹに送信する（Ｓ７７）。続いて、第４計算手段６０６がパーティＹから乱数ρ_Yを受信し、

を計算してパーティＸに送信する（Ｓ７８）。そして、不正検知手段６０７が、パーティＸからγ_Xを、パーティＹからγ_X´と（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）と（βX1_{q_0}－ｓ_{q_X}・b1_{q_0}，…，βX1_{q_nb1-1}－ｓ_{q_X}・b1_{q_nb1-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_2}とｃ_{q_0}を出力する（Ｓ７９）。なお、以上の処理においても、乱数を用いている部分についてはハッシュ値等で代用しても構わない。

　以上説明した秘匿積和計算システム６００においては、ａとｂとの乗算プロトコルにおいて、ａ_0p・ｂ_1p＋ａ_1p・ｂ_0pの正当性の確認のために、ｓ_P・ｂ_1pの分散値を表すβ_P1p、β_PP+を用いて、(β_P1p＋ａ_0p・β_PP+)とｓ_P・ａ_1p・ｂ_0pとを比較するとともに、ｓ_P・ａ_1pの分散値を表すα_P1p、α_PP+を用いて、(α_P1p－α_PP+)・ｂ_0pとｓ_P・ａ_1p・ｂ_0pとを比較する。このように構成することで、プロトコル上、パーティ間で計算値を往復させる必要がないため、計算値の漏洩を防ぐことができ、そのためサーバは不正を働くことができない。また、処理のステップ数は秘匿積和計算システム３００と同じであるため、同程度の効率を維持することができる。

　実施例７は、実施例６の具体例であり、na0＝na1＝na2＝nb0＝nb1＝nb2＝ｎ、e00＝e01＝e10＝e11＝e12＝e21＝e22＝e20＝e02＝１の場合である。図１４に本実施例の秘匿積和計算システム７００の構成例を、図１５にその処理フロー例をそれぞれ示す。秘匿積和計算システム７００は、パーティＸ、パーティＹ、パーティＺ、データ列分解供給部４１０、及び出力部４２０を備える。データ列分解供給部４１０と出力部４２０は、実施例４の秘匿積和計算システム４００のものと同じである。各パーティは図１３に示すように、秘匿積和計算システム４００のものと同じ第１乱数生成手段３０１、第１計算手段３０２、及び第２計算手段３０３のほか、第２乱数生成手段６０４、第３計算手段６０５、第４計算手段６０６、及び不正検知手段６０７を備える。

　秘匿積和計算システム７００は、実施例４の秘匿積和計算システム４００と同様に、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、素数ｐ未満の自然数である要素ａ_{q_i}、ｂ_{q_i}からなるｍ組のデータ列Ａ_q＝（ａ_{q_0}，…，ａ_{q_n-1}）、Ｂ_q＝（ｂ_{q_0}，…，ｂ_{q_n-1}）につき、各組の積和計算

を行う（ｎ＝１の場合はａ_ｑとｂ_ｑとの乗算）。

　以下、具体的に説明するが、データ列分解供給部４１０、第１乱数生成手段３０１、第１計算手段３０２、第２計算手段３０３、及び出力部４２０の各機能と、それらの機能として実現される秘匿積和計算処理（Ｓ４１～Ｓ４７、Ｓ６０）については、実施例４の秘匿積和計算システム４００と共通であるため説明を省略し、相違点である不正検知処理に絞って説明する。

　Ｓ４１～Ｓ４７の処理に続き、各パーティは以下のように不正検知処理を行う。なお、実施例６と同様、パーティＸとＹは乱数ｓ_{q_Z}を、パーティＹとＺは乱数ｓ_{q_X}を、パーティＺとＸは乱数ｓ_{q_Y}を、それぞれ予め共有していることとする。

　パーティＸの処理について説明する。まず、第２乱数生成手段６０４が、乱数ρ_xを生成してパーティＹに送信し、乱数列（αZ0_{q_0}，…，αZ0_{q_n-1}）と乱数列（βZ0_{q_0}，…，βZ0_{q_n-1}）を生成してパーティＺに送信する（Ｓ８８）。続いて、第３計算手段６０５が、（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_n-1}－ｓ_{q_Z}・a0_{q_n-1}）と（βZ0_{q_0}－ｓ_{q_Z}・b0_{q_0}，…，βZ0_{q_n-1}－ｓ_{q_Z}・b0_{q_n-1}）を計算してパーティＹに送信し、パーティＹから乱数列（αX1_{q_0}，…，αX1_{q_n-1}）と乱数列（βX1_{q_0}，…，βX1_{q_n-1}）を受信し、

を計算してパーティＺに送信する（Ｓ８９）。続いて、第４計算手段６０６が、パーティＺからρ_Zを受信し、

を計算してパーティＹに送信する（Ｓ９０）。そして、不正検知手段６０７が、パーティＹからγ_Yを、パーティＺからγ_Y´と（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_n-1}－ｓ_{q_Y}・a2_{q_n-1}）と（βY2_{q_0}－ｓ_{q_Y}・b2_{q_0}，…，βY2_{q_n-1}－ｓ_{q_Y}・b2_{q_n-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0}とｃ_{q_1}を出力する（Ｓ９１）。

　次にパーティＹの処理について説明する。まず、第２乱数生成手段６０４が、乱数ρ_Yを生成してパーティＺに送信し、乱数列（αX1_{q_0}，…，αX1_{q_n-1}）と乱数列（βX1_{q_0}，…，βX1_{q_n-1}）を生成してパーティＸに送信する（Ｓ９２）。続いて、第３計算手段６０５が、（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_n-1}－ｓ_{q_X}・a1_{q_n-1}）と（βX1_{q_0}－ｓ_{q_X}・b1_{q_0}，…，βX1_{q_n-1}－ｓ_{q_X}・b1_{q_n-1}）を計算してパーティＺに送信し、パーティＺから乱数列（αY2_{q_0}，…，αY2_{q_n-1}）と乱数列（βY2_{q_0}，…，βY2_{q_n-1}）を、それぞれ受信し、

を計算してパーティＸに送信する（Ｓ９３）。続いて、第４計算手段６０６が、パーティＸから乱数ρ_Xを受信し、

を計算してパーティＺに送信する（Ｓ９４）。そして、不正検知手段６０７が、パーティＸからγ_Z´と（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_n-1}－ｓ_{q_Z}・a0_{q_n-1}）と（βZ0_{q_0}－ｓ_{q_Z}・b0_{q_0}，…，βZ0_{q_n-1}－ｓ_{q_Z}・b0_{q_n-1}）を、パーティＺからγ_Zを、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_1}とｃ_{q_2}を出力する（Ｓ９５）。

　次に、パーティＺの処理について説明する。

　まず、第２乱数生成手段６０４が、乱数ρ_Zを生成してパーティＸに送信し、乱数列（αY2_{q_0}，…，αY2_{q_n-1}）と乱数列（βY2_{q_0}，…，βY2_{q_n-1}）を生成してパーティＹに送信する（Ｓ９６）。続いて、第３計算手段６０５が、（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_n-1}－ｓ_{q_Y}・a2_{q_n-1}）と（βY2_{q_0}－ｓ_{q_Y}・b2_{q_0}，…，βY2_{q_n-1}－ｓ_{q_Y}・b2_{q_n-1}）を計算してパーティＸに送信し、パーティＸから乱数列（αZ0_{q_0}，…，αZ0_{q_n-1}）と乱数列（βZ0_{q_0}，…，βZ0_{q_n-1}）を受信し、

を計算してパーティＹに送信する（Ｓ９７）。続いて、第４計算手段６０６がパーティＹから乱数ρ_Yを受信し、

を計算してパーティＸに送信する（Ｓ９８）。そして、不正検知手段６０７が、パーティＸからγ_Xを、パーティＹからγ_X´と（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_n-1}－ｓ_{q_X}・a1_{q_n-1}）と（βX1_{q_0}－ｓ_{q_X}・b1_{q_0}，…，βX1_{q_n-1}－ｓ_{q_X}・b1_{q_n-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_2}とｃ_{q_0}を出力する（Ｓ９９）。なお、以上の処理において、乱数を用いている部分についてはハッシュ値等で代用しても構わない。

　実施例７の秘匿積和計算システム７００は、実施例４と同様に

という積和計算を行い、この積和計算に対する不正検知処理に実施例６の方法を適用する構成であったが、実施例８の秘匿積和計算システム８００は、この積和計算において乗算の片方の値が共通である場合の実施例である。すなわち、秘匿積和計算システム８００は、実施例５の秘匿積和計算システム５００と同様に、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、素数ｐ未満の自然数である要素ａ_{q_i}からなるデータ列Ａ_q＝（ａ_{q_0}，…，ａ_{q_n-1}）と素数ｐ未満の自然数であるｂとの間で、ｍ個の積和計算

を行い、この積和計算に対する不正検知処理に実施例６の不正検知方法を適用する構成である。

　以下、具体的に説明するが、データ列分解供給部４１０、第１乱数生成手段３０１、第１計算手段３０２、第２計算手段３０３、及び出力部４２０の各機能と、それらの機能として実現される秘匿積和計算処理（Ｓ４１～Ｓ４７、Ｓ６０）については、実施例５の秘匿積和計算システム５００と共通であるため説明を省略し、相違点である不正検知処理に絞って説明する。機能構成と処理フローは実施例７と同様であるため、説明はこれらを引用して行う（構成図：図１４（及び１３）、処理フロー図：図１５）。

　Ｓ４１～Ｓ４７の処理に続き、各パーティは以下のように不正検知処理を行う。なお、実施例７と同様、パーティＸとＹは乱数ｓ_{q_Z}を、パーティＹとＺは乱数ｓ_{q_X}を、パーティＺとＸは乱数ｓ_{q_Y}を、それぞれ予め共有しているものとする。

　パーティＸの処理について説明する。まず、第２乱数生成手段６０４が、乱数ρ_xを生成してパーティＹに送信し、乱数αZ0と乱数βZ0_qを生成してパーティＺに送信する（Ｓ８８）。続いて、第３計算手段６０５が、

を計算してパーティＹに送信し、パーティＹから乱数αX1とβX1_qを受信し、

を計算してパーティＹに送信する（Ｓ９０）。そして、不正検知手段６０７が、パーティＹからγ_Yを、パーティＺからγ_Y´と

と

を、それぞれ受信し、

　次にパーティＹの処理について説明する。まず、第２乱数生成手段６０４が、乱数ρ_Yを生成してパーティＺに送信し、乱数αX1と乱数βX1_qを生成してパーティＸに送信する（Ｓ９２）。続いて、第３計算手段６０５が、

を計算してパーティＺに送信し、パーティＺから乱数αY2とβY2_qを受信し、

を計算してパーティＺに送信する（Ｓ９４）。そして、不正検知手段６０７が、パーティＺからγ_Zを、パーティＸからγ_Z´と

と

を、それぞれ受信し、

　次に、パーティＺの処理について説明する。まず、第２乱数生成手段６０４が、乱数ρ_Zを生成してパーティＸに送信し、乱数αY2と乱数βY2_qを生成してパーティＹに送信する（Ｓ９６）。続いて、第３計算手段６０５が、

を計算してパーティＸに送信し、パーティＸから乱数αZ0とβZ0_qを受信し、

を計算してパーティＹに送信する（Ｓ９７）。続いて、第４計算手段６０６が、パーティＹから乱数ρ_Yを受信し、

を計算してパーティＸに送信する（Ｓ９８）。そして、不正検知手段６０７が、パーティＸからγ_Xを、パーティＹからγ_X´と

と

を、それぞれ受信し、

　実施例６、７は、２つのデータ列Ａ＝(a_{q_0}，…，a_{q_n-1})、Ｂ＝(b_{q_0}，…，b_{q_n-1})について、それぞれＡ＝Ａ₀＋Ａ₁＋Ａ₂ mod p、Ｂ＝Ｂ₀＋Ｂ₁＋Ｂ₂ mod pの条件を満たすように３つに分散して、パーティＸにデータ列Ａ₀＝（a0_{q_0}，…，a0_{q_na0-1}）、Ａ₁＝（a1_{q_0}，…，a1_{q_na1-1}）、Ｂ₀＝（b0_{q_0}，…，b0_{q_nb0-1}）、及びＢ₁＝（b1_{q_0}，…，b1_{q_nb1-1}）を、パーティＹにデータ列Ａ₁、Ａ₂＝（a2_{q_0}，…，a2_{q_na2-1}）、Ｂ₁、及びＢ₂＝（b2_{q_0}，…，b2_{q_nb2-1}）を、パーティＺにデータ列Ａ₂、Ａ₀、Ｂ₂、Ｂ₀を、それぞれ秘匿値として与え、これらの秘匿積和である

を、パーティＸでの計算結果であるｃ_{q_0}とｃ_{q_1}、パーティＹでの計算結果であるｃ_{q_1}とｃ_{q_2}、及びパーティＺでの計算結果であるｃ_{q_2}とｃ_{q_0}からｃ_{q_0}＋ｃ_{q_1}＋ｃ_{q_2}を求めることにより、安全に秘匿積和計算することを可能とするものである。この秘匿積和計算において、上式のΣa0_{q_i0}・b1_{q_j1}、Σa1_{q_i1}・b0_{q_j0}、Σa1_{q_i1}・b2_{q_j2}、Σa2_{q_i2}・b1_{q_j1}、Σa2_{q_i2}・b0_{q_j0}、及びΣa0_{q_i0}・b2_{q_j2}の６つの項に着目すると、これらの項を構成する２つの分散値について、ある１パーティは両方を持っており、残りのパーティはそれぞれ異なる一方のみを持っているという関係にある。例えば、Σa0_{q_i0}・b1_{q_j1}のa0_{q_i0}とb1_{q_j1}については、パーティＸはa0_{q_i0}とb1_{q_j1}の両方を持っているが、パーティＹはb1_{q_j1}のみを、パーティＺはa0_{q_i0}のみをそれぞれ持っている。Σa1_{q_i1}・b0_{q_j0}についても同様である。実施例９の秘匿積和計算システム９００は、このように３つのパーティのうちいずれか１つのパーティが両方の分散値を、他の２つのパーティがそれぞれ異なる一方の分散値を持っている場合に、これら２つの分散値の積和を求める方法であり、いわば実施例６、７の秘匿積和計算の基礎となっている積和計算方法である。

　以下、パーティＸが両方の分散値を、パーティＹ、Ｚがそれぞれ異なる一方の分散値を持っている場合を例にとって説明するが、パーティＹが両方の分散値を、パーティＸ、Ｚがそれぞれ異なる一方の分散値を持っている場合、及び、パーティＺが両方の分散値を、パーティＸ、Ｙがそれぞれ異なる一方の分散値を持っている場合についても同様な方法で計算することが可能である。

　図１６に秘匿積和計算システム９００の構成例を、図１７にその処理フロー例をそれぞれ示す。秘匿積和計算システム９００は、計算装置であるパーティＸ、パーティＹ、パーティＺを備える。パーティＸは、パーティＸ乱数生成手段９０１とパーティＸ計算手段９０３とを備え、パーティＹは、パーティＹ乱数生成手段９０２とパーティＹ計算手段９０４とを備え、パーティＺは、不正検知手段９０５を備える。

　秘匿積和計算システム９００は、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_na0-1}）及びＡ_{q_1}＝（a1_{q_0}，…，a1_{q_na1-1}）と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）及びＢ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）との積和計算

（i0＝０，…，na0－１、i1＝０，…，na1－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１、na0とna１とnb0とnb1は自然数、e01_{q_i0,q_j1}とe10_{q_i1,q_j0}は任意の数）を、ｑ＝０，…，ｍ－１の計ｍ組（ｍは１以上の整数）について（ｍが２以上の場合には並列に）行う。

　パーティＸには、データ列Ａ_{q_0}、Ａ_{q_1}、Ｂ_{q_0}、Ｂ_{q_1}が、パーティＹには、データ列Ａ_{q_1}、Ｂ_{q_1}が、パーティＺには、データ列Ａ_{q_0}、Ｂ_{q_0}が、それぞれ入力される（Ｓ１０１）。

　まず、パーティＸのパーティＸ乱数生成手段９０１が、乱数c_{q_１}と乱数γ₁と乱数列（α1_{q_0}，…，α1_{q_nb0-1}）と乱数列（β1_{q_0}，…，β1_{q_na0-1}）を生成してパーティＹに送信する（Ｓ１０２）。また、パーティＹのパーティＹ乱数生成手段９０２が、乱数ｓ_qを生成してパーティＺに送信する（Ｓ１０３）。

　続いて、パーティＸのパーティＸ計算手段９０３が、c_{q_0}とγ₀を、

により計算し、パーティＺに送信する（Ｓ１０４）。

　また、パーティＹのパーティＹ計算手段９０４が、パーティＸから乱数c_{q_１}と乱数γ₁と乱数列（α1_{q_0}，…，α1_{q_nb0-1}）と乱数列（β1_{q_0}，…，β1_{q_na0-1}）を受信し、数列（α0_{q_0}，…，α0_{q_nb0-1}）と数列（β0_{q_0}，…，β0_{q_na0-1}）とγ´をそれぞれ、

により計算し、パーティＺに送信する（Ｓ１０５）。

　続いて、パーティＺの不正検知手段９０５が、パーティＸからc_{q_0}とγ₀を、パーティＹから乱数ｓ_qと数列（α0_{q_0}，…，α0_{q_nb0-1}）と数列（β0_{q_0}，…，β0_{q_na0-1}）とγ´を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了する（Ｓ１０６）。

　そして、不正検知手段９０５での計算結果が０であれば、パーティＸからｃ_{q_0}とｃ_{q_1}を、パーティＹからｃ_{q_1}と０を、パーティＺから０とｃ_{q_0}を、それぞれ出力する（Ｓ１０７）。なお、以上の処理において、乱数を用いている部分についてはハッシュ値等で代用しても構わない。

　実施例１０は、実施例９の具体例であり、na0＝na1＝na2＝nb0＝nb1＝nb2＝ｎ、e00＝e01＝e10＝e11＝e12＝e21＝e22＝e20＝e02＝１の場合である。構成及び処理フローは実施例９と同様である（構成例：図１６、処理フロー例：図１７）。実施例１０の秘匿積和計算システム９１０は、パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_n-1}）及びＡ_{q_1}＝（a1_{q_0}，…，a1_{q_n-1}）と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_n-1}）及びＢ_{q_1}＝（b1_{q_0}，…，b1_{q_n-1}）との積和計算

（ｉ＝０，…，ｎ－１、ｎは自然数）を、ｑ＝０，…，ｍ－１の計ｍ組（ｍは１以上の整数）について（ｍが２以上の場合には並列に）行う。

　まず、パーティＸのパーティＸ乱数生成手段９０１が、乱数c_{q_１}と乱数γ₁と乱数列（α1_{q_0}，…，α1_{q_n-1}）と乱数列（β1_{q_0}，…，β1_{q_n-1}）を生成してパーティＹに送信する（Ｓ１０２）。また、パーティＹのパーティＹ乱数生成手段９０２が、乱数ｓ_qを生成してパーティＺに送信する（Ｓ１０３）。

により計算し、パーティＺに送信する（Ｓ１０４）。

　また、パーティＹのパーティＹ計算手段９０４が、パーティＸから乱数c_{q_１}と乱数γ₁と乱数列（α1_{q_0}，…，α1_{q_n-1}）と乱数列（β1_{q_0}，…，β1_{q_n-1}）を受信し、数列（α0_{q_0}，…，α0_{q_n-1}）と数列（β0_{q_0}，…，β0_{q_n-1}）とγ´をそれぞれ、

により計算し、パーティＺに送信する（Ｓ１０５）。

　続いて、パーティＺの不正検知手段９０５が、パーティＸからc_{q_0}とγ₀を、パーティＹから乱数ｓ_qと数列（α0_{q_0}，…，α0_{q_n-1}）と数列（β0_{q_0}，…，β0_{q_n-1}）とγ´を、それぞれ受信し、

　実施例１１の秘匿積和計算システム９２０は、実施例１０の秘匿積和計算システム９１０における積和計算

について、各項の乗算の一方がｉ、ｑの値によらず共通である場合、すなわち

である場合に、より効率的にかつ安全に積和計算を行うことを可能とするものである。

　秘匿積和計算システム９０２の構成及び処理フローは実施例９、１０と同様である（構成例：図１６、処理フロー例：図１７）。ただし、パーティＸには、データa0及びa1と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_n-1}）及びＢ_{q_1}＝（b1_{q_0}，…，b1_{q_n-1}）とが、パーティＹには、データa1とデータ列Ｂ_{q_1}が、パーティＺには、データa0とデータ列Ｂ_{q_0}が、それぞれ入力される（Ｓ１０１）。

　まず、パーティＸのパーティＸ乱数生成手段９０１が、乱数c_{q_１}と乱数γ₁と乱数列（α1_{q_0}，…，α1_{q_n-1}）と乱数β1を生成してパーティＹに送信する（Ｓ１０２）。

　また、パーティＹのパーティＹ乱数生成手段９０２が、乱数ｓ_qを生成してパーティＺに送信する（Ｓ１０３）。

により計算し、パーティＺに送信する（Ｓ１０４）。

　また、パーティＹのパーティＹ計算手段９０４が、パーティＸから乱数c_{q_１}と乱数γ₁と乱数列（α1_{q_0}，…，α1_{q_n-1}）と乱数β1を受信し、数列（α0_{q_0}，…，α0_{q_n-1}）とβ0とγ´をそれぞれ、

により計算し、パーティＺに送信する（Ｓ１０５）。

　続いて、パーティＺの不正検知手段９０５が、パーティＸからc_{q_0}とγ₀を、パーティＹから乱数ｓ_qと数列（α0_{q_0}，…，α0_{q_n-1}）とβ0とγ´を、それぞれ受信し、

　以上説明した本発明の秘匿積和計算方法、秘匿積和計算システムにおける各処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本発明の秘匿積和計算システムの各構成要素の機能は必要に応じ、併合・分割しても構わない。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。本発明の各実施例の秘匿積和計算システムをコンピュータによって実現する場合、装置及びその各部が有す機能の処理内容はプログラムによって記述される。そのプログラムは、例えば、ハードディスク装置に格納されており、実行時には必要なプログラムやデータがＲＡＭ(Random Access Memory)に読み込まれる。その読み込まれたプログラムがＣＰＵにより実行されることにより、コンピュータ上で各処理内容が実現される。

Claims

　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ₀＝（a0₀，…，a0_na0-1）、Ａ₁＝（a1₀，…，a1_na1-1）、及びＡ₂＝（a2₀，…，a2_na2-1）と、データ列Ｂ₀＝（b0₀，…，b0_nb0-1）、Ｂ₁＝（b1₀，…，b1_nb1-1）、及びＢ₂＝（b2₀，…，b2_nb2-1）との積和計算

を行うために用いる秘匿積和計算方法であって、
　na0，na1，na2，nb0，nb1，nb2を自然数、i0＝０，…，na0－１、i1＝０，…，na1－１、i2＝０，…，na2－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１、j2＝０，…，nb2－１とし、
　e01_i0,j1，e10_i1,j0，e00_i0,j0，e11_i1,j1，e12_i1,j2，e21_i2,j1，e22_i2,j2，e20_i2,j0，e02_i0,j2は任意の数とし、
　パーティＸにデータ列Ａ₀、Ａ₁、Ｂ₀、Ｂ₁が、パーティＹにデータ列Ａ₁、Ａ₂、Ｂ₁、Ｂ₂が、パーティＺにデータ列Ａ₂、Ａ₀、Ｂ₂、Ｂ₀が、それぞれ入力され、
　パーティＸが、数ｒ_Xを生成し、パーティＹに送信するパーティＸ乱数生成ステップと、
　パーティＸが、ｃ_Xを

により計算し、パーティＺに送信するパーティＸ第１計算ステップと、
　パーティＸが、パーティＺから数ｒ_zを、パーティＹからｃ_Yを、それぞれ受信し、ｃ₀とｃ₁をそれぞれ、

により計算して出力するパーティＸ第２計算ステップと、
　パーティＹが、数ｒ_Yを生成し、パーティＺに送信するパーティＹ乱数生成ステップと、
　パーティＹが、ｃ_Yを

により計算し、パーティＸに送信するパーティＹ第１計算ステップと、
　パーティＹが、パーティＸから数ｒ_Xを、パーティＺからｃ_Zを、それぞれ受信し、ｃ₁とｃ₂をそれぞれ、

により計算して出力するパーティＹ第２計算ステップと、
　パーティＺが、数ｒ_Zを生成し、パーティＸに送信するパーティＺ乱数生成ステップと、
　パーティＺが、ｃ_Zを

により計算し、パーティＹに送信するパーティＺ第１計算ステップと、
　パーティＺが、パーティＹから数ｒ_Yを、パーティＸからｃ_Xを、それぞれ受信し、ｃ₀とｃ₂をそれぞれ、

により計算して出力するパーティＺ第２計算ステップと、
を実行する秘匿積和計算方法。
　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_na0-1}）、Ａ_{q_1}＝（a1_{q_0}，…，a1_{q_na1-1}）、及びＡ_{q_2}＝（a2_{q_0}，…，a2_{q_na2-1}）と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）、Ｂ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）、及びＢ_{q_2}＝（b2_{q_0}，…，b2_{q_nb2-1}）との積和計算

を、ｑ＝０，…，ｍ－１の計ｍ組について、並列に行うために用いる秘匿積和計算方法であって、
　ｍを１以上の整数、na0，na1，na2，nb0，nb1，nb2を自然数、i0＝０，…，na0－１、i1＝０，…，na1－１、i2＝０，…，na2－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１、j2＝０，…，nb2－１とし、
　e01_{q_i0,q_j1}，e10_{q_i1,q_j0}，e00_{q_i0,q_j0}，e11_{q_i1,q_j1}，e12_{q_i1,q_j2}，e21_{q_i2,q_j1}，e22_{q_i2,q_j2}，e20_{q_i2,q_j0}，e02_{q_i0,q_j2}は任意の数とし、
　パーティＸとＹは数ｓ_{q_Z}を、パーティＹとＺは数ｓ_{q_X}を、パーティＺとＸは数ｓ_{q_Y}を、それぞれ予め共有し、
　パーティＸにデータ列Ａ_{q_0}、Ａ_{q_1}、Ｂ_{q_0}、Ｂ_{q_1}が、パーティＹにデータ列Ａ_{q_1}、Ａ_{q_2}、Ｂ_{q_1}、Ｂ_{q_2}が、パーティＺにデータ列Ａ_{q_2}、Ａ_{q_0}、Ｂ_{q_2}、Ｂ_{q_0}が、それぞれ入力され、
　パーティＸが、数ｒ_{q_X}を生成し、パーティＹに送信するパーティＸ第１乱数生成ステップと、
　パーティＸが、ｃ_{q_X}を

により計算し、パーティＺに送信するパーティＸ第１計算ステップと、
　パーティＸが、パーティＺから数ｒ_{q_z}を、パーティＹからｃ_{q_Y}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_1}をそれぞれ、

により計算するパーティＸ第２計算ステップと、
　パーティＹが、数ｒ_{q_Y}を生成し、パーティＺに送信するパーティＹ第１乱数生成ステップと、
　パーティＹが、ｃ_{q_Y}を

により計算し、パーティＸに送信するパーティＹ第１計算ステップと、
　パーティＹが、パーティＸから数ｒ_{q_X}を、パーティＺからｃ_{q_Z}を、それぞれ受信し、ｃ_{q_1}とｃ_{q_2}をそれぞれ、

により計算するパーティＹ第２計算ステップと、
　パーティＺが、数ｒ_{q_Z}を生成し、パーティＸに送信するパーティＺ第１乱数生成ステップと、
　パーティＺが、ｃ_{q_Z}を

により計算し、パーティＹに送信するパーティＺ第１計算ステップと、
　パーティＺが、パーティＹから数ｒ_{q_Y}を、パーティＸからｃ_{q_X}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_2}をそれぞれ、

により計算するパーティＺ第２計算ステップと、
　パーティＸが、数列（αY1_{q_0}，…，αY1_{q_na1-1}）及び数ρ_xを生成してパーティＹに送信し、数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）を生成してパーティＺに送信するパーティＸ第２乱数生成ステップと、
　パーティＸが、（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）を計算してパーティＹに送信し、パーティＹから数列（αX1_{q_0}，…，αX1_{q_na1-1}）を、パーティＺから数列（αX0_{q_0}，…，αX0_{q_na0-1}）を、それぞれ受信し、（αY1_{q_0}－ｓ_{q_Y}・a1_{q_0}，…，αY1_{q_na1-1}－ｓ_{q_Y}・a1_{q_na1-1}）及び

を計算してパーティＺに送信するパーティＸ第３計算ステップと、
　パーティＸが、パーティＹから（αZ2_{q_0}－ｓ_{q_Z}・a2_{q_0}，…，αZ2_{q_na2-1}－ｓ_{q_Z}・a2_{q_na2-1}）を、パーティＺからρ_Zを、それぞれ受信し、

を計算してパーティＹに送信するパーティＸ第４計算ステップと、
　パーティＸが、パーティＹからγ_Yを、パーティＺからγ_Y´と（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0}とｃ_{q_1}を出力するパーティＸ不正検知ステップと、
　パーティＹが、数列（αZ2_{q_0}，…，αZ2_{q_na2-1}）及び数ρ_Yを生成してパーティＺに送信し、数列（αX1_{q_0}，…，αX1_{q_na1-1}）を生成してパーティＸに送信するパーティＹ第２乱数生成ステップと、
　パーティＹが、（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）を計算してパーティＺに送信し、パーティＸから数列（αY1_{q_0}，…，αY1_{q_na1-1}）を、パーティＺから数列（αY2_{q_0}，…，αY2_{q_na2-1}）を、それぞれ受信し、（αZ2_{q_0}－ｓ_{q_Z}・a2_{q_0}，…，αZ2_{q_na2-1}－ｓ_{q_Z}・a2_{q_na2-1}）及び

を計算してパーティＸに送信するパーティＹ第３計算ステップと、
　パーティＹが、パーティＸから数ρ_Xを、パーティＺから（αX0_{q_0}－ｓ_{q_X}・a0_{q_0}，…，αX0_{q_na0-1}－ｓ_{q_X}・a0_{q_na0-1}）を、それぞれ受信し、

を計算してパーティＺに送信するパーティＹ第４計算ステップと、
　パーティＹが、パーティＸからγ_Z´と（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）を、パーティＺからγ_Zを、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_1}とｃ_{q_2}を出力するパーティＹ不正検知ステップと、
　パーティＺが、数列（αX0_{q_0}，…，αX0_{q_na0-1}）及び数ρ_Zを生成してパーティＸに送信し、数列（αY2_{q_0}，…，αY2_{q_na2-1}）を生成してパーティＹに送信するパーティＺ第２乱数生成ステップと、
　パーティＺが、（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）を計算してパーティＸに送信し、パーティＸから数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）を、パーティＹから数列（αZ2_{q_0}，…，αZ2_{q_na2-1}）を、それぞれ受信し、（αX0_{q_0}－ｓ_{q_X}・a0_{q_0}，…，αX0_{q_na0-1}－ｓ_{q_X}・a0_{q_na0-1}）及び

を計算してパーティＹに送信するパーティＺ第３計算ステップと、
　パーティＺが、パーティＸから（αY1_{q_0}－ｓ_{q_Y}・a1_{q_0}，…，αY1_{q_na1-1}－ｓ_{q_Y}・a1_{q_na1-1}）を、パーティＹから数ρ_Yを、それぞれ受信し、

を計算してパーティＸに送信するパーティＺ第４計算ステップと、
　パーティＺが、パーティＸからγ_Xを、パーティＹからγ_X´と（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_2}とｃ_{q_0}を出力するパーティＺ不正検知ステップと、
を実行する秘匿積和計算方法。
　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_na0-1}）、Ａ_{q_1}＝（a1_{q_0}，…，a1_{q_na1-1}）、及びＡ_{q_2}＝（a2_{q_0}，…，a2_{q_na2-1}）と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）、Ｂ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）、及びＢ_{q_2}＝（b2_{q_0}，…，b2_{q_nb2-1}）との積和計算

を、ｑ＝０，…，ｍ－１の計ｍ組について、並列に行うために用いる秘匿積和計算方法であって、
　ｍを１以上の整数、na0，na1，na2，nb0，nb1，nb2を自然数、i0＝０，…，na0－１、i1＝０，…，na1－１、i2＝０，…，na2－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１、j2＝０，…，nb2－１とし、
　e01_{q_i0,q_j1}，e10_{q_i1,q_j0}，e00_{q_i0,q_j0}，e11_{q_i1,q_j1}，e12_{q_i1,q_j2}，e21_{q_i2,q_j1}，e22_{q_i2,q_j2}，e20_{q_i2,q_j0}，e02_{q_i0,q_j2}は任意の数とし、
　パーティＸとＹは数ｓ_{q_Z}を、パーティＹとＺは数ｓ_{q_X}を、パーティＺとＸは数ｓ_{q_Y}を、それぞれ予め共有し、
　パーティＸにデータ列Ａ_{q_0}、Ａ_{q_1}、Ｂ_{q_0}、Ｂ_{q_1}が、パーティＹにデータ列Ａ_{q_1}、Ａ_{q_2}、Ｂ_{q_1}、Ｂ_{q_2}が、パーティＺにデータ列Ａ_{q_2}、Ａ_{q_0}、Ｂ_{q_2}、Ｂ_{q_0}が、それぞれ入力され、
　パーティＸが、数ｒ_{q_X}を生成し、パーティＹに送信するパーティＸ第１乱数生成ステップと、
　パーティＸが、ｃ_{q_X}を

により計算し、パーティＺに送信するパーティＸ第１計算ステップと、
　パーティＸが、パーティＺから数ｒ_{q_z}を、パーティＹからｃ_{q_Y}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_1}をそれぞれ、

により計算するパーティＸ第２計算ステップと、
　パーティＹが、数ｒ_{q_Y}を生成し、パーティＺに送信するパーティＹ第１乱数生成ステップと、
　パーティＹが、ｃ_{q_Y}を

により計算し、パーティＸに送信するパーティＹ第１計算ステップと、
　パーティＹが、パーティＸから数ｒ_{q_X}を、パーティＺからｃ_{q_Z}を、それぞれ受信し、ｃ_{q_1}とｃ_{q_2}をそれぞれ、

により計算するパーティＹ第２計算ステップと、
　パーティＺが、数ｒ_{q_Z}を生成し、パーティＸに送信するパーティＺ第１乱数生成ステップと、
　パーティＺが、ｃ_{q_Z}を

により計算し、パーティＹに送信するパーティＺ第１計算ステップと、
　パーティＺが、パーティＹから数ｒ_{q_Y}を、パーティＸからｃ_{q_X}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_2}をそれぞれ、

により計算するパーティＺ第２計算ステップと、
　パーティＸが、数ρ_xを生成してパーティＹに送信し、数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）と数列（βZ0_{q_0}，…，βZ0_{q_nb0-1}）を生成してパーティＺに送信するパーティＸ第２乱数生成ステップと、
　パーティＸが、（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）と（βZ0_{q_0}－ｓ_{q_Z}・b0_{q_0}，…，βZ0_{q_nb0-1}－ｓ_{q_Z}・b0_{q_nb0-1}）を計算してパーティＹに送信し、パーティＹから数列（αX1_{q_0}，…，αX1_{q_na1-1}）と数列（βX1_{q_0}，…，βX1_{q_nb1-1}）を受信し、

を計算してパーティＺに送信するパーティＸ第３計算ステップと、
　パーティＸが、パーティＺからρ_Zを受信し、

を計算してパーティＹに送信するパーティＸ第４計算ステップと、
　パーティＸが、パーティＹからγ_Yを、パーティＺからγ_Y´と（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）と（βY2_{q_0}－ｓ_{q_Y}・b2_{q_0}，…，βY2_{q_nb2-1}－ｓ_{q_Y}・b2_{q_nb2-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0}とｃ_{q_1}を出力するパーティＸ不正検知ステップと、
　パーティＹが、数ρ_Yを生成してパーティＺに送信し、数列（αX1_{q_0}，…，αX1_{q_na1-1}）と数列（βX1_{q_0}，…，βX1_{q_nb1-1}）を生成してパーティＸに送信するパーティＹ第２乱数生成ステップと、
　パーティＹが、（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）と（βX1_{q_0}－ｓ_{q_X}・b1_{q_0}，…，βX1_{q_nb1-1}－ｓ_{q_X}・b1_{q_nb1-1}）を計算してパーティＺに送信し、パーティＺから数列（αY2_{q_0}，…，αY2_{q_na2-1}）と数列（βY2_{q_0}，…，βY2_{q_nb2-1}）を受信し、

を計算してパーティＸに送信するパーティＹ第３計算ステップと、
　パーティＹが、パーティＸから数ρ_Xを受信し、

を計算してパーティＺに送信するパーティＹ第４計算ステップと、
　パーティＹが、パーティＸからγ_Z´と（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）と（βZ0_{q_0}－ｓ_{q_Z}・b0_{q_0}，…，βZ0_{q_nb0-1}－ｓ_{q_Z}・b0_{q_nb0-1}）を、パーティＺからγ_Zを、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_1}とｃ_{q_2}を出力するパーティＹ不正検知ステップと、
　パーティＺが、数ρ_Zを生成してパーティＸに送信し、数列（αY2_{q_0}，…，αY2_{q_na2-1}）と数列（βY2_{q_0}，…，βY2_{q_nb2-1}）を生成してパーティＹに送信するパーティＺ第２乱数生成ステップと、
　パーティＺが、（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）と（βY2_{q_0}－ｓ_{q_Y}・b2_{q_0}，…，βY2_{q_nb2-1}－ｓ_{q_Y}・b2_{q_nb2-1}）を計算してパーティＸに送信し、パーティＸから数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）と数列（βZ0_{q_0}，…，βZ0_{q_nb0-1}）を受信し、

を計算してパーティＹに送信するパーティＺ第３計算ステップと、
　パーティＺが、パーティＹから数ρ_Yを受信し、

を計算してパーティＸに送信するパーティＺ第４計算ステップと、
　パーティＺが、パーティＸからγ_Xを、パーティＹからγ_X´と（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）と（βX1_{q_0}－ｓ_{q_X}・b1_{q_0}，…，βX1_{q_nb1-1}－ｓ_{q_X}・b1_{q_nb1-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_2}とｃ_{q_0}を出力するパーティＺ不正検知ステップと、
を実行する秘匿積和計算方法。
　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_na0-1}）及びＡ_{q_1}＝（a1_{q_0}，…，a1_{q_na1-1}）と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）及びＢ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）との積和計算

を、ｑ＝０，…，ｍ－１の計ｍ組について、並列に行うために用いる秘匿積和計算方法であって、
　ｍを１以上の整数、na0，na1，nb0，nb1を自然数、i0＝０，…，na0－１、i1＝０，…，na1－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１とし、
　e01_{q_i0,q_j1}，e10_{q_i1,q_j0}は任意の数とし、
　パーティＸにデータ列Ａ_{q_0}、Ａ_{q_1}、Ｂ_{q_0}、Ｂ_{q_1}が、パーティＹにデータ列Ａ_{q_1}、Ｂ_{q_1}が、パーティＺにデータ列Ａ_{q_0}、Ｂ_{q_0}が、それぞれ入力され、
　パーティＸが、数c_{q_１}と数γ₁と数列（α1_{q_0}，…，α1_{q_nb0-1}）と数列（β1_{q_0}，…，β1_{q_na0-1}）を生成してパーティＹに送信するパーティＸ乱数生成ステップと、
　パーティＹが、数ｓ_qを生成してパーティＺに送信するパーティＹ乱数生成ステップと、
　パーティＸが、c_{q_0}とγ₀を、

により計算し、パーティＺに送信するパーティＸ計算ステップと、
　パーティＹが、パーティＸから数c_{q_１}と数γ₁と数列（α1_{q_0}，…，α1_{q_nb0-1}）と数列（β1_{q_0}，…，β1_{q_na0-1}）を受信し、数列（α0_{q_0}，…，α0_{q_nb0-1}）と数列（β0_{q_0}，…，β0_{q_na0-1}）とγ´をそれぞれ、

により計算し、パーティＺに送信するパーティＹ計算ステップと、
　パーティＺが、パーティＸからc_{q_0}とγ₀を、パーティＹから数ｓ_qと数列（α0_{q_0}，…，α0_{q_nb0-1}）と数列（β0_{q_0}，…，β0_{q_na0-1}）とγ´を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了する不正検知ステップと、
を実行し、不正検知ステップでの計算結果が０であればパーティＸからｃ_{q_0}とｃ_{q_1}を、パーティＹからｃ_{q_1}と０を、パーティＺから０とｃ_{q_0}を、それぞれ出力する秘匿積和計算方法。
　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データa0及びa1と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）及びＢ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）との積和計算

を、ｑ＝０，…，ｍ－１の計ｍ組について、並列に行うために用いる秘匿積和計算方法であって、
　ｍを１以上の整数、ｎを自然数、ｉ＝０，…，ｎ－１とし、
　パーティＸにデータa0及びa1と、データ列Ｂ_{q_0}及びＢ_{q_1}とが、パーティＹにデータa1とデータ列Ｂ_{q_1}が、パーティＺにデータa0とデータ列Ｂ_{q_0}が、それぞれ入力され、
　パーティＸが、数c_{q_１}と数γ₁と数列（α1_{q_0}，…，α1_{q_n-1}）と数β1を生成してパーティＹに送信するパーティＸ乱数生成ステップと、
　パーティＹが、数ｓ_qを生成してパーティＺに送信するパーティＹ乱数生成ステップと、
　パーティＸが、c_{q_0}とγ₀を、

により計算し、パーティＺに送信するパーティＸ計算ステップと、
　パーティＹが、パーティＸから数c_{q_１}と数γ₁と数列（α1_{q_0}，…，α1_{q_n-1}）と数β1を受信し、数列（α0_{q_0}，…，α0_{q_n-1}）とβ0とγ´をそれぞれ、

により計算し、パーティＺに送信するパーティＹ計算ステップと、
　パーティＺが、パーティＸからc_{q_0}とγ₀を、パーティＹから数ｓ_qと数列（α0_{q_0}，…，α0_{q_n-1}）とβ0とγ´を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了する不正検知ステップと、
を実行し、不正検知ステップでの計算結果が０であればパーティＸからｃ_{q_0}とｃ_{q_1}を、パーティＹからｃ_{q_1}と０を、パーティＺから０とｃ_{q_0}を、それぞれ出力する秘匿積和計算方法。
　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ₀＝（a0₀，…，a0_na0-1）、Ａ₁＝（a1₀，…，a1_na1-1）、及びＡ₂＝（a2₀，…，a2_na2-1）と、データ列Ｂ₀＝（b0₀，…，b0_nb0-1）、Ｂ₁＝（b1₀，…，b1_nb1-1）、及びＢ₂＝（b2₀，…，b2_nb2-1）との積和計算

を行うために用いる秘匿積和計算システムであって、
　na0，na1，na2，nb0，nb1，nb2を自然数、i0＝０，…，na0－１、i1＝０，…，na1－１、i2＝０，…，na2－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１、j2＝０，…，nb2－１とし、
　e01_i0,j1，e10_i1,j0，e00_i0,j0，e11_i1,j1，e12_i1,j2，e21_i2,j1，e22_i2,j2，e20_i2,j0，e02_i0,j2は任意の数とし、
　パーティＸにデータ列Ａ₀、Ａ₁、Ｂ₀、Ｂ₁が、パーティＹにデータ列Ａ₁、Ａ₂、Ｂ₁、Ｂ₂が、パーティＺにデータ列Ａ₂、Ａ₀、Ｂ₂、Ｂ₀が、それぞれ入力され、
　パーティＸは、パーティＸ乱数生成手段とパーティＸ第１計算手段とパーティＸ第２計算手段とを有し、パーティＸ乱数生成手段は、数ｒ_Xを生成してパーティＹに送信し、パーティＸ第１計算手段は、ｃ_Xを

により計算してパーティＺに送信し、パーティＸ第２計算手段は、パーティＺから数ｒ_zを、パーティＹからｃ_Yを、それぞれ受信し、ｃ₀とｃ₁をそれぞれ、

により計算し、
　パーティＹは、パーティＹ乱数生成手段とパーティＹ第１計算手段とパーティＹ第２計算手段とを有し、パーティＹ乱数生成手段は、数ｒ_Yを生成してパーティＺに送信し、パーティＹ第１計算手段は、ｃ_Yを

により計算してパーティＸに送信し、パーティＹ第２計算手段は、パーティＸから数ｒ_Xを、パーティＺからｃ_Zを、それぞれ受信し、ｃ₁とｃ₂をそれぞれ、

により計算し、
　パーティＺは、パーティＺ乱数生成手段とパーティＺ第１計算手段とパーティＺ第２計算手段とを有し、パーティＺ乱数生成手段は、数ｒ_Zを生成してパーティＸに送信し、パーティＺ第１計算手段は、ｃ_Zを

により計算してパーティＹに送信し、パーティＺ第２計算手段は、パーティＹから数ｒ_Yを、パーティＸからｃ_Xを、それぞれ受信し、ｃ₀とｃ₂をそれぞれ、

により計算する
秘匿積和計算システム。
　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_na0-1}）、Ａ_{q_1}＝（a1_{q_0}，…，a1_{q_na1-1}）、及びＡ_{q_2}＝（a2_{q_0}，…，a2_{q_na2-1}）と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）、Ｂ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）、及びＢ_{q_2}＝（b2_{q_0}，…，b2_{q_nb2-1}）との積和計算

を、ｑ＝０，…，ｍ－１の計ｍ組について、並列に行うために用いる秘匿積和計算システムであって、
　ｍを１以上の整数、na0，na1，na2，nb0，nb1，nb2を自然数、i0＝０，…，na0－１、i1＝０，…，na1－１、i2＝０，…，na2－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１、j2＝０，…，nb2－１とし、
　e01_{q_i0,q_j1}，e10_{q_i1,q_j0}，e00_{q_i0,q_j0}，e11_{q_i1,q_j1}，e12_{q_i1,q_j2}，e21_{q_i2,q_j1}，e22_{q_i2,q_j2}，e20_{q_i2,q_j0}，e02_{q_i0,q_j2}は任意の数とし、
　パーティＸとＹは数ｓ_{q_Z}を、パーティＹとＺは数ｓ_{q_X}を、パーティＺとＸは数ｓ_{q_Y}を、それぞれ予め共有し、
　パーティＸにデータ列Ａ_{q_0}、Ａ_{q_1}、Ｂ_{q_0}、Ｂ_{q_1}が、パーティＹにデータ列Ａ_{q_1}、Ａ_{q_2}、Ｂ_{q_1}、Ｂ_{q_2}が、パーティＺにデータ列Ａ_{q_2}、Ａ_{q_0}、Ｂ_{q_2}、Ｂ_{q_0}が、それぞれ入力され、
　パーティＸは、パーティＸ第１乱数生成手段とパーティＸ第１計算手段とパーティＸ第２計算手段とパーティＸ第２乱数生成手段とパーティＸ第３計算手段とパーティＸ第４計算手段とパーティＸ不正検知手段とを有し、パーティＸ第１乱数生成手段は、数ｒ_{q_X}を生成してパーティＹに送信し、パーティＸ第１計算手段は、ｃ_{q_X}を

により計算してパーティＺに送信し、パーティＸ第２計算手段は、パーティＺから数ｒ_{q_z}を、パーティＹからｃ_{q_Y}を、それぞれ受信してｃ_{q_0}とｃ_{q_1}をそれぞれ、

により計算し、パーティＸ第２乱数生成手段は、数列（αY1_{q_0}，…，αY1_{q_na1-1}）及び数ρ_xを生成してパーティＹに送信し、数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）を生成してパーティＺに送信し、パーティＸ第３計算手段は、（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）を計算してパーティＹに送信し、パーティＹから数列（αX1_{q_0}，…，αX1_{q_na1-1}）を、パーティＺから数列（αX0_{q_0}，…，αX0_{q_na0-1}）を、それぞれ受信し、（αY1_{q_0}－ｓ_{q_Y}・a1_{q_0}，…，αY1_{q_na1-1}－ｓ_{q_Y}・a1_{q_na1-1}）及び

を計算してパーティＺに送信し、パーティＸ第４計算手段は、パーティＹから（αZ2_{q_0}－ｓ_{q_Z}・a2_{q_0}，…，αZ2_{q_na2-1}－ｓ_{q_Z}・a2_{q_na2-1}）を、パーティＺからρ_Zを、それぞれ受信し、

を計算してパーティＹに送信し、パーティＸ不正検知手段は、パーティＹからγ_Yを、パーティＺからγ_Y´と（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0}とｃ_{q_1}を出力し、
　パーティＹは、パーティＹ第１乱数生成手段とパーティＹ第１計算手段とパーティＹ第２計算手段とパーティＹ第２乱数生成手段とパーティＹ第３計算手段とパーティＹ第４計算手段とパーティＹ不正検知手段とを有し、パーティＹ第１乱数生成手段は、数ｒ_{q_Y}を生成してパーティＺに送信し、パーティＹ第１計算手段は、ｃ_{q_Y}を

により計算してパーティＸに送信し、パーティＹ第２計算手段は、パーティＸから数ｒ_{q_X}を、パーティＺからｃ_{q_Z}を、それぞれ受信し、ｃ_{q_1}とｃ_{q_2}をそれぞれ、

により計算し、パーティＹ第２乱数生成手段は、数列（αZ2_{q_0}，…，αZ2_{q_na2-1}）及び数ρ_Yを生成してパーティＺに送信し、数列（αX1_{q_0}，…，αX1_{q_na1-1}）を生成してパーティＸに送信し、パーティＹ第３計算手段は、（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）を計算してパーティＺに送信し、パーティＸから数列（αY1_{q_0}，…，αY1_{q_na1-1}）を、パーティＺから数列（αY2_{q_0}，…，αY2_{q_na2-1}）を、それぞれ受信し、（αZ2_{q_0}－ｓ_{q_Z}・a2_{q_0}，…，αZ2_{q_na2-1}－ｓ_{q_Z}・a2_{q_na2-1}）及び

を計算してパーティＸに送信し、パーティＹ第４計算手段は、パーティＸから数ρ_Xを、パーティＺから（αX0_{q_0}－ｓ_{q_X}・a0_{q_0}，…，αX0_{q_na0-1}－ｓ_{q_X}・a0_{q_na0-1}）を、それぞれ受信し、

を計算してパーティＺに送信し、パーティＹ不正検知手段は、パーティＸからγ_Z´と（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）を、パーティＺからγ_Zを、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_1}とｃ_{q_2}を出力し、
　パーティＺは、パーティＺ第１乱数生成手段とパーティＺ第１計算手段とパーティＺ第２計算手段とパーティＺ第２乱数生成手段とパーティＺ第３計算手段とパーティＺ第４計算手段とパーティＺ不正検知手段とを有し、パーティＺ第１乱数生成手段は、数ｒ_{q_Z}を生成してパーティＸに送信し、パーティＺ第１計算手段は、ｃ_{q_Z}を

により計算してパーティＹに送信し、パーティＺ第２計算手段は、パーティＹから数ｒ_{q_Y}を、パーティＸからｃ_{q_X}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_2}をそれぞれ、

により計算し、パーティＺ第２乱数生成手段は、数列（αX0_{q_0}，…，αX0_{q_na0-1}）及び数ρ_Zを生成してパーティＸに送信し、数列（αY2_{q_0}，…，αY2_{q_na2-1}）を生成してパーティＹに送信し、パーティＺ第３計算手段は、（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）を計算してパーティＸに送信し、パーティＸから数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）を、パーティＹから数列（αZ2_{q_0}，…，αZ2_{q_na2-1}）を、それぞれ受信し、（αX0_{q_0}－ｓ_{q_X}・a0_{q_0}，…，αX0_{q_na0-1}－ｓ_{q_X}・a0_{q_na0-1}）及び

を計算してパーティＹに送信し、パーティＺ第４計算手段は、パーティＸから（αY1_{q_0}－ｓ_{q_Y}・a1_{q_0}，…，αY1_{q_na1-1}－ｓ_{q_Y}・a1_{q_na1-1}）を、パーティＹから数ρ_Yを、それぞれ受信し、

を計算してパーティＸに送信し、パーティＺ不正検知手段は、パーティＸからγ_Xを、パーティＹからγ_X´と（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_2}とｃ_{q_0}を出力する
秘匿積和計算システム。
　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_na0-1}）、Ａ_{q_1}＝（a1_{q_0}，…，a1_{q_na1-1}）、及びＡ_{q_2}＝（a2_{q_0}，…，a2_{q_na2-1}）と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）、Ｂ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）、及びＢ_{q_2}＝（b2_{q_0}，…，b2_{q_nb2-1}）との積和計算

を、ｑ＝０，…，ｍ－１の計ｍ組について、並列に行うために用いる秘匿積和計算システムであって、
　ｍを１以上の整数、na0，na1，na2，nb0，nb1，nb2を自然数、i0＝０，…，na0－１、i1＝０，…，na1－１、i2＝０，…，na2－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１、j2＝０，…，nb2－１とし、
　e01_{q_i0,q_j1}，e10_{q_i1,q_j0}，e00_{q_i0,q_j0}，e11_{q_i1,q_j1}，e12_{q_i1,q_j2}，e21_{q_i2,q_j1}，e22_{q_i2,q_j2}，e20_{q_i2,q_j0}，e02_{q_i0,q_j2}は任意の数とし、
　パーティＸとＹは数ｓ_{q_Z}を、パーティＹとＺは数ｓ_{q_X}を、パーティＺとＸは数ｓ_{q_Y}を、それぞれ予め共有し、
　パーティＸにデータ列Ａ_{q_0}、Ａ_{q_1}、Ｂ_{q_0}、Ｂ_{q_1}が、パーティＹにデータ列Ａ_{q_1}、Ａ_{q_2}、Ｂ_{q_1}、Ｂ_{q_2}が、パーティＺにデータ列Ａ_{q_2}、Ａ_{q_0}、Ｂ_{q_2}、Ｂ_{q_0}が、それぞれ入力され、
　パーティＸは、パーティＸ第１乱数生成手段とパーティＸ第１計算手段とパーティＸ第２計算手段とパーティＸ第２乱数生成手段とパーティＸ第３計算手段とパーティＸ第４計算手段とパーティＸ不正検知手段とを有し、パーティＸ第１乱数生成手段は、数ｒ_{q_X}を生成してパーティＹに送信し、パーティＸ第１計算手段は、ｃ_{q_X}を

により計算してパーティＺに送信し、パーティＸ第２計算手段は、パーティＺから数ｒ_{q_z}を、パーティＹからｃ_{q_Y}を、それぞれ受信してｃ_{q_0}とｃ_{q_1}をそれぞれ、

により計算し、パーティＸ第２乱数生成手段は、数ρ_xを生成してパーティＹに送信し、数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）と数列（βZ0_{q_0}，…，βZ0_{q_nb0-1}）を生成してパーティＺに送信し、パーティＸ第３計算手段は、（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）と（βZ0_{q_0}－ｓ_{q_Z}・b0_{q_0}，…，βZ0_{q_nb0-1}－ｓ_{q_Z}・b0_{q_nb0-1}）を計算してパーティＹに送信し、パーティＹから数列（αX1_{q_0}，…，αX1_{q_na1-1}）と数列（βX1_{q_0}，…，βX1_{q_nb1-1}）を受信し、

を計算してパーティＺに送信し、パーティＸ第４計算手段は、パーティＺからρ_Zを受信し、

を計算してパーティＹに送信し、パーティＸ不正検知手段は、パーティＹからγ_Yを、パーティＺからγ_Y´と（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）と（βY2_{q_0}－ｓ_{q_Y}・b2_{q_0}，…，βY2_{q_nb2-1}－ｓ_{q_Y}・b2_{q_nb2-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0}とｃ_{q_1}を出力し、
　パーティＹは、パーティＹ第１乱数生成手段とパーティＹ第１計算手段とパーティＹ第２計算手段とパーティＹ第２乱数生成手段とパーティＹ第３計算手段とパーティＹ第４計算手段とパーティＹ不正検知手段とを有し、パーティＹ第１乱数生成手段は、数ｒ_{q_Y}を生成してパーティＺに送信し、パーティＹ第１計算手段は、ｃ_{q_Y}を

により計算してパーティＸに送信し、パーティＹ第２計算手段は、パーティＸから数ｒ_{q_X}を、パーティＺからｃ_{q_Z}を、それぞれ受信し、ｃ_{q_1}とｃ_{q_2}をそれぞれ、

により計算し、パーティＹ第２乱数生成手段は、数ρ_Yを生成してパーティＺに送信し、数列（αX1_{q_0}，…，αX1_{q_na1-1}）と数列（βX1_{q_0}，…，βX1_{q_nb1-1}）を生成してパーティＸに送信し、パーティＹ第３計算手段は、（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）と（βX1_{q_0}－ｓ_{q_X}・b1_{q_0}，…，βX1_{q_nb1-1}－ｓ_{q_X}・b1_{q_nb1-1}）を計算してパーティＺに送信し、パーティＺから数列（αY2_{q_0}，…，αY2_{q_na2-1}）と数列（βY2_{q_0}，…，βY2_{q_nb2-1}）を受信し、

を計算してパーティＸに送信し、パーティＹ第４計算手段は、パーティＸから数ρ_Xを受信し、

を計算してパーティＺに送信し、パーティＹ不正検知手段は、パーティＸからγ_Z´と（αZ0_{q_0}－ｓ_{q_Z}・a0_{q_0}，…，αZ0_{q_na0-1}－ｓ_{q_Z}・a0_{q_na0-1}）と（βZ0_{q_0}－ｓ_{q_Z}・b0_{q_0}，…，βZ0_{q_nb0-1}－ｓ_{q_Z}・b0_{q_nb0-1}）を、パーティＺからγ_Zを、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_1}とｃ_{q_2}を出力し、
　パーティＺは、パーティＺ第１乱数生成手段とパーティＺ第１計算手段とパーティＺ第２計算手段とパーティＺ第２乱数生成手段とパーティＺ第３計算手段とパーティＺ第４計算手段とパーティＺ不正検知手段とを有し、パーティＺ第１乱数生成手段は、数ｒ_{q_Z}を生成してパーティＸに送信し、パーティＺ第１計算手段は、ｃ_{q_Z}を

により計算してパーティＹに送信し、パーティＺ第２計算手段は、パーティＹから数ｒ_{q_Y}を、パーティＸからｃ_{q_X}を、それぞれ受信し、ｃ_{q_0}とｃ_{q_2}をそれぞれ、

により計算し、パーティＺ第２乱数生成手段は、数ρ_Zを生成してパーティＸに送信し、数列（αY2_{q_0}，…，αY2_{q_na2-1}）と数列（βY2_{q_0}，…，βY2_{q_nb2-1}）を生成してパーティＹに送信し、パーティＺ第３計算手段は、（αY2_{q_0}－ｓ_{q_Y}・a2_{q_0}，…，αY2_{q_na2-1}－ｓ_{q_Y}・a2_{q_na2-1}）と（βY2_{q_0}－ｓ_{q_Y}・b2_{q_0}，…，βY2_{q_nb2-1}－ｓ_{q_Y}・b2_{q_nb2-1}）を計算してパーティＸに送信し、パーティＸから数列（αZ0_{q_0}，…，αZ0_{q_na0-1}）と数列（βZ0_{q_0}，…，βZ0_{q_nb0-1}）を受信し、

を計算してパーティＹに送信し、パーティＺ第４計算手段は、パーティＹから数ρ_Yを受信し、

を計算してパーティＸに送信し、パーティＺ不正検知手段は、パーティＸからγ_Xを、パーティＹからγ_X´と（αX1_{q_0}－ｓ_{q_X}・a1_{q_0}，…，αX1_{q_na1-1}－ｓ_{q_X}・a1_{q_na1-1}）と（βX1_{q_0}－ｓ_{q_X}・b1_{q_0}，…，βX1_{q_nb1-1}－ｓ_{q_X}・b1_{q_nb1-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_2}とｃ_{q_0}を出力する
秘匿積和計算システム。
　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データ列Ａ_{q_0}＝（a0_{q_0}，…，a0_{q_na0-1}）及びＡ_{q_1}＝（a1_{q_0}，…，a1_{q_na1-1}）と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）及びＢ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）との積和計算

を、ｑ＝０，…，ｍ－１の計ｍ組について、並列に行うために用いる秘匿積和計算システムであって、
　ｍを１以上の整数、na0，na1，nb0，nb1を自然数、i0＝０，…，na0－１、i1＝０，…，na1－１、j0＝０，…，nb0－１、j1＝０，…，nb1－１とし、
　e01_{q_i0,q_j1}，e10_{q_i1,q_j0}は任意の数とし、
　パーティＸにデータ列Ａ_{q_0}、Ａ_{q_1}、Ｂ_{q_0}、Ｂ_{q_1}が、パーティＹにデータ列Ａ_{q_1}、Ｂ_{q_1}が、パーティＺにデータ列Ａ_{q_0}、Ｂ_{q_0}が、それぞれ入力され、
　パーティＸは、パーティＸ乱数生成手段とパーティＸ計算手段とを有し、パーティＸ乱数生成手段は、数c_{q_１}と数γ₁と数列（α1_{q_0}，…，α1_{q_nb0-1}）と数列（β1_{q_0}，…，β1_{q_na0-1}）を生成してパーティＹに送信し、パーティＸ計算手段は、c_{q_0}とγ₀を、

により計算してパーティＺに送信し、
　パーティＹは、パーティＹ乱数生成手段とパーティＹ計算手段とを有し、パーティＹ乱数生成手段は、数ｓ_qを生成してパーティＺに送信し、パーティＹ計算手段は、パーティＸから数c_{q_１}と数γ₁と数列（α1_{q_0}，…，α1_{q_nb0-1}）と数列（β1_{q_0}，…，β1_{q_na0-1}）を受信し、数列（α0_{q_0}，…，α0_{q_nb0-1}）と数列（β0_{q_0}，…，β0_{q_na0-1}）とγ´をそれぞれ、

により計算してパーティＺに送信し、
　パーティＺは、不正検知手段を備え、パーティＸからc_{q_0}とγ₀を、パーティＹから数ｓ_qと数列（α0_{q_0}，…，α0_{q_nb0-1}）と数列（β0_{q_0}，…，β0_{q_na0-1}）とγ´を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、
　不正検知手段での計算結果が０であれば、パーティＸからｃ_{q_0}とｃ_{q_1}を、パーティＹからｃ_{q_1}と０を、パーティＺから０とｃ_{q_0}を、それぞれ出力する
秘匿積和計算システム。
　パーティＸ、パーティＹ、パーティＺの３つの計算装置の協調計算により、データa0及びa1と、データ列Ｂ_{q_0}＝（b0_{q_0}，…，b0_{q_nb0-1}）及びＢ_{q_1}＝（b1_{q_0}，…，b1_{q_nb1-1}）との積和計算

を、ｑ＝０，…，ｍ－１の計ｍ組について、並列に行うために用いる秘匿積和計算システムであって、
　ｍを１以上の整数、ｎを自然数、ｉ＝０，…，ｎ－１とし、
　パーティＸにデータa0及びa1と、データ列Ｂ_{q_0}及びＢ_{q_1}とが、パーティＹにデータa1とデータ列Ｂ_{q_1}が、パーティＺにデータa0とデータ列Ｂ_{q_0}が、それぞれ入力され、
　パーティＸは、パーティＸ乱数生成手段とパーティＸ計算手段とを有し、パーティＸ乱数生成手段は、数c_{q_１}と数γ₁と数列（α1_{q_0}，…，α1_{q_n-1}）と数β1を生成してパーティＹに送信し、パーティＸ計算手段は、c_{q_0}とγ₀を、

により計算してパーティＺに送信し、
　パーティＹは、パーティＹ乱数生成手段とパーティＹ計算手段とを有し、パーティＹ乱数生成手段は、数ｓ_qを生成してパーティＺに送信し、パーティＹ計算手段は、パーティＸから数c_{q_１}と数γ₁と数列（α1_{q_0}，…，α1_{q_n-1}）と数β1を受信し、数列（α0_{q_0}，…，α0_{q_n-1}）とβ0とγ´をそれぞれ、

により計算し、パーティＺに送信し、
　パーティＺは、不正検知手段を備え、パーティＸからc_{q_0}とγ₀を、パーティＹから数ｓ_qと数列（α0_{q_0}，…，α0_{q_n-1}）とβ0とγ´を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、
　不正検知手段での計算結果が０であればパーティＸからｃ_{q_0}とｃ_{q_1}を、パーティＹからｃ_{q_1}と０を、パーティＺから０とｃ_{q_0}を、それぞれ出力する
秘匿積和計算システム。
　処理が対称なパーティＸ、パーティＹ、パーティＺの３つの計算装置で協調して積和計算をする際に用いる前記計算装置であって、
　いずれかの前記計算装置がパーティＰであるとしたとき、パーティＰがパーティＸである場合には、パーティＺがパーティＰ_－、パーティＹがパーティＰ_＋、符号0p、1pがそれぞれ０、１であるとし、パーティＰがパーティＹである場合には、パーティＸがパーティＰ_－、パーティＺがパーティＰ_＋、符号0p、1pがそれぞれ１、２であるとし、パーティＰがパーティＺである場合には、パーティＹがパーティＰ_－、パーティＸがパーティＰ_＋、符号0p、1pがそれぞれ２、０であるとし、
　na0p，na1p，nb0p，nb1pを自然数、i0p＝０，…，na0p－１、i1p＝０，…，na1p－１、j0p＝０，…，nb0p－１、j1p＝０，…，nb1p－１とし、
　e0p1p_i0p,j1p，e1p0p_i1p,j0p，e0p0p_i0p,j0p，e1p1p_i1p,j1pは任意の数とし、
　前記パーティＰは、
　数ｒ_Pを生成してパーティＰ_＋に送信する乱数生成手段と、
　データ列Ａ_0p＝（a0p₀，…，a0p_na0p-1）とデータ列Ａ_1p＝（a1p₀，…，a1p_na1p-1）とデータ列Ｂ_0p＝（b0p₀，…，b0p_nb0p-1）とデータ列Ｂ_1p＝（b1p₀，…，b1p_nb1p-1）とが入力され、ｃ_Pを

により計算してパーティＰ_－に送信する第１計算手段と、
　パーティＰ_－から数ｒ_P-を、パーティＰ_＋からｃ_P+を、それぞれ受信し、ｃ_0pとｃ_1pをそれぞれ、

により計算する第２計算手段と、
を備える計算装置。
　処理が対称なパーティＸ、パーティＹ、パーティＺの３つの計算装置で協調して積和計算をする際に用いる前記計算装置であって、
　いずれかの前記計算装置がパーティＰであるとしたとき、パーティＰがパーティＸである場合には、パーティＺがパーティＰ_－、パーティＹがパーティＰ_＋、符号0p、1p、2pがそれぞれ0、1、2であるとし、パーティＰがパーティＹである場合には、パーティＸがパーティＰ_－、パーティＺがパーティＰ_＋、符号0p、1p、2pがそれぞれ1、2、0であるとし、パーティＰがパーティＺである場合には、パーティＹがパーティＰ_－、パーティＸがパーティＰ_＋、符号0p、1p、2pがそれぞれ2、0、1であるとし、
　ｍを１以上の整数、na0p，na1p，na2p，nb0p，nb1pを自然数、ｑ＝０，…，ｍ－１、i0p＝０，…，na0p－１、i1p＝０，…，na1p－１、i2p＝０，…，na2p－１、j0p＝０，…，nb0p－１、j1p＝０，…，nb1p－１とし、
　e0p1p_i0p,j1p，e1p0p_i1p,j0p，e0p0p_i0p,j0p，e1p1p_i1p,j1pは任意の数とし、
　パーティＰ_－とＰは数ｓ_{q_P+}を、パーティＰとＰ_＋は数ｓ_{q_P-}を、パーティＰ_＋とＰ_－は数ｓ_{q_P}を、それぞれ予め共有し、
　パーティＰは、
　数ｒ_{q_P}を生成してパーティＰ_＋に送信する第１乱数生成手段と、
　データ列Ａ_{q_0p}＝（a0p_{q_0}，…，a0p_{q_na0p-1}）とデータ列Ａ_{q_1p}＝（a1p_{q_0}，…，a1p_{q_na1p-1}）とデータ列Ｂ_{q_0p}＝（b0p_{q_0}，…，b0p_{q_nb0p-1}）とデータ列Ｂ_{q_1p}＝（b1p_{q_0}，…，b1p_{q_nb1p-1}）とが入力され、ｃ_{q_P}を

により計算してパーティＰ_－に送信する第１計算手段と、
　パーティＰ_－から数ｒ_{q_P-}を、パーティＰ_＋からｃ_{q_P+}を、それぞれ受信してｃ_{q_0p}とｃ_{q_1p}をそれぞれ、

により計算する第２計算手段と、
　数列（αP₊1p_{q_0}，…，αP₊1p_{q_na1p-1}）及び数ρ_Pを生成してパーティＰ_＋に送信し、数列（αP_-0p_{q_0}，…，αP_-0p_{q_na0p-1}）を生成してパーティＰ_－に送信する第２乱数生成手段と、
　（αP_-0p_{q_0}－ｓ_{q_P-}・a0p_{q_0}，…，αP_-0p_{q_na0p-1}－ｓ_{q_P-}・a0p_{q_na0p-1}）を計算してパーティＰ_＋に送信し、パーティＰ_＋から数列（αP1p_{q_0}，…，αP1p_{q_na1p-1}）を、パーティＰ_－から数列（αP0p_{q_0}，…，αP0p_{q_na0p-1}）を、それぞれ受信し、（αP₊1p_{q_0}－ｓ_{q_P+}・a1p_{q_0}，…，αP₊1p_{q_na1p-1}－ｓ_{q_P+}・a1p_{q_na1p-1}）及び

を計算してパーティＰ_－に送信する第３計算手段と、
　パーティＰ_＋から（αP_-2p_{q_0}－ｓ_{q_P-}・a2p_{q_0}，…，αP_-2p_{q_na2p-1}－ｓ_{q_P-}・a2p_{q_na2p-1}）を、パーティＰ_－からρ_P-を、それぞれ受信し、

を計算してパーティＰ_＋に送信する第４計算手段と、
　パーティＰ_＋からγ_P+を、パーティＰ_-からγ´_P+と（αP₊2p_{q_0}－ｓ_{q_P+}・a2p_{q_0}，…，αP₊2p_{q_na2p-1}－ｓ_{q_P+}・a2p_{q_na2p-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0p}とｃ_{q_1p}を出力する不正検知手段と、
を備える計算装置。
　処理が対称なパーティＸ、パーティＹ、パーティＺの３つの計算装置で協調して積和計算をする際に用いる前記計算装置であって、
　いずれかの前記計算装置がパーティＰであるとしたとき、パーティＰがパーティＸである場合には、パーティＺがパーティＰ_－、パーティＹがパーティＰ_＋、符号0p、1p、2pがそれぞれ0、1、2であるとし、パーティＰがパーティＹである場合には、パーティＸがパーティＰ_－、パーティＺがパーティＰ_＋、符号0p、1p、2pがそれぞれ1、2、0であるとし、パーティＰがパーティＺである場合には、パーティＹがパーティＰ_－、パーティＸがパーティＰ_＋、符号0p、1p、2pがそれぞれ2、0、1であるとし、
　ｍを１以上の整数、na0p，na1p，na2p，nb0p，nb1p，nb2pを自然数、ｑ＝０，…，ｍ－１、i0p＝０，…，na0p－１、i1p＝０，…，na1p－１、i2p＝０，…，na2p－１、j0p＝０，…，nb0p－１、j1p＝０，…，nb1p－１、j2p＝０，…，nb2p－１とし、
　e0p1p_i0p,j1p，e1p0p_i1p,j0p，e0p0p_i0p,j0p，e1p1p_i1p,j1pは任意の数とし、
　パーティＰ_－とＰは数ｓ_{q_P+}を、パーティＰとＰ_＋は数ｓ_{q_P-}を、パーティＰ_＋とＰ_－は数ｓ_{q_P}を、それぞれ予め共有し、
　パーティＰは、
　数ｒ_{q_P}を生成してパーティＰ_＋に送信する第１乱数生成手段と、
　データ列Ａ_{q_0p}＝（a0p_{q_0}，…，a0p_{q_na0p-1}）とデータ列Ａ_{q_1p}＝（a1p_{q_0}，…，a1p_{q_na1p-1}）とデータ列Ｂ_{q_0p}＝（b0p_{q_0}，…，b0p_{q_nb0p-1}）とデータ列Ｂ_{q_1p}＝（b1p_{q_0}，…，b1p_{q_nb1p-1}）とが入力され、ｃ_{q_P}を

により計算してパーティＰ_－に送信する第１計算手段と、
　パーティＰ_－から数ｒ_{q_P-}を、パーティＰ_＋からｃ_{q_P+}を、それぞれ受信してｃ_{q_0p}とｃ_{q_1p}をそれぞれ、

により計算する第２計算手段と、
　数ρ_Pを生成してパーティＰ_＋に送信し、数列（αP_-0p_{q_0}，…，αP_-0p_{q_na0p-1}）と数列（βP_-0p_{q_0}，…，βP_-0p_{q_nb0p-1}）を生成してパーティＰ_－に送信する第２乱数生成手段と、
　（αP_-0p_{q_0}－ｓ_{q_P-}・a0p_{q_0}，…，αP_-0p_{q_na0p-1}－ｓ_{q_P-}・a0p_{q_na0p-1}）と（βP_-0p_{q_0}－ｓ_{q_P-}・b0p_{q_0}，…，βP_-0p_{q_na0p-1}－ｓ_{q_P-}・b0p_{q_na0p-1}）を計算してパーティＰ_＋に送信し、パーティＰ_＋から数列（αP1p_{q_0}，…，αP1p_{q_na1p-1}）と数列（βP1p_{q_0}，…，βP1p_{q_nb1p-1}）を受信し、

を計算してパーティＰ_－に送信する第３計算手段と、
　パーティＰ_－からρ_P-を受信し、

を計算してパーティＰ_＋に送信する第４計算手段と、
　パーティＰ_＋からγ_P+を、パーティＰ_-からγ´_P+と（αP₊2p_{q_0}－ｓ_{q_P+}・a2p_{q_0}，…，αP₊2p_{q_na2p-1}－ｓ_{q_P+}・a2p_{q_na2p-1}）と（βP₊2p_{q_0}－ｓ_{q_P+}・b2p_{q_0}，…，βP₊2p_{q_na2p-1}－ｓ_{q_P+}・b2p_{q_na2p-1}）を、それぞれ受信し、

を計算して、計算結果が０でなければ不正検知を表すデータを出力して処理を終了し、０であればｃ_{q_0p}とｃ_{q_1p}を出力する不正検知手段と、
を備える計算装置。
　請求項６乃至１０のいずれかに記載の秘匿積和計算システム又は請求項１１乃至１３のいずれかに記載の計算装置としてコンピュータを機能させるためのプログラム。