WO2014141802A1

WO2014141802A1 - 情報処理装置、情報処理システム、および情報処理方法、並びにプログラム

Info

Publication number: WO2014141802A1
Application number: PCT/JP2014/053261
Authority: WO
Inventors: 智之浅野; 雅宣堅木; 松田　誠一
Original assignee: ソニー株式会社
Priority date: 2013-03-12
Filing date: 2014-02-13
Publication date: 2014-09-18

Abstract

キーワード検索の適用キーワードの漏えいを防止するとともに、効率的な検索を実現する。サーバは暗号化文書と、検索に適用する木構造型リンク構造のキーワード単位インデックスを格納する。クライアントはキーワード単位インデックスの最上位ノードであるルートノードのアドレスと復号用鍵をサーバに送信する。サーバは、アドレスに従ってキーワード単位インデックスのルートノードのノード情報を取得して復号用鍵で復号して、（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、全て含まないか、混在するか、これらを判別可能としたステート情報等を取得し、ステート情報の設定に基づいて、検索結果を効率的に取得する。

Description

情報処理装置、情報処理システム、および情報処理方法、並びにプログラム

　本開示は、情報処理装置、情報処理システム、および情報処理方法、並びにプログラムに関する。さらに詳細には、データベースを利用したデータ格納や検索処理を行なう情報処理装置、情報処理システム、および情報処理方法、並びにプログラムに関する。

　昨今、大容量のデータを格納可能な大型データベースをネットワーク上に設置し、多くのユーザのＰＣや携帯端末からアクセス可能として、ユーザデータを格納し、逐次、抽出可能としたデータベース提供サービスの利用が盛んになっている。
　ネットワークを介してユーザ端末から利用可能なサーバやデータベースはクラウドサーバ、クラウドデータベース、あるいはクラウドシステム等と呼ばれる。

　このようなクラウドデータベースを利用することで、ユーザは、文書データや画像データを個人のＰＣや携帯端末等の小型の記憶手段に格納することなく、ネットワーク上の大容量のデータベースに格納することが可能となる。
　しかし、このようなクラウド型のデータベースは、第三者の管理下にあり、また様々なユーザによって利用可能な構成となっている。従って、データベース管理者の不正や、他のユーザによる不正アクセスによって、データが漏えいする恐れがある。

　データ漏えいを防止する一つの手段として、データを暗号化してデータベースに格納する方法がある。
　すなわち、図１に示すように、ユーザＡのＰＣ等の情報処理装置１０がネットワーク１５を介して接続されたクラウド型のデータベース２０にデータを暗号化して格納する。

　データベース２０は、第三者によって管理され、様々なユーザによってアクセス可能なクラウドデータベースである。データベース２０は、様々なユーザ用のデータ格納領域が設けられており、各ユーザは自己に割り当てられたデータベース領域（ユーザ領域）のみを利用可能な構成となっている。例えばユーザＡの情報処理装置１０は、データベース２０の一部をユーザＡの情報処理装置１０の専用領域、すなわちユーザＡ専用領域２１として利用することが可能である。その他のユーザ領域２２は、ユーザＡの情報処理装置１０からはアクセスできない設定となっている。

　このようなアクセス制限は、例えばパスワードの利用によって実現される。すなわち、ユーザＡの情報処理装置１０は、データベース２０を利用するに際して、予め設定したパスワードをデータベース側２０に送信する。データベース２０側のデータ処理部は、入力パスワードと予め登録したパスワードとの一致確認を行い、一致した場合にのみ、ユーザＡの情報処理装置１０にユーザＡ専用領域２１に対するデータアクセスを許可する。

　ユーザＡ専用領域２１に暗号化データを格納することで、不正アクセスが発生した場合のデータ漏えいの可能性を低減することができる。
　しかし、ユーザＡが、データベース２０に格納したデータを検索する場合、例えばキーワード検索が実行される。この検索処理に際して、ユーザＡの入力した検索キーワードがユーザＡの情報処理装置１０からデータベース２０に送信される。

　不正なデータベース管理者やネットワーク転送データの盗聴者などは、データ検索に利用したキーワードを解析してユーザＡの格納データを推定し、また検索キーワードに基づいてユーザＡの嗜好や、興味などの解析を行う可能性があり、ユーザＡのプライバシーが侵害される恐れがある。

　図２に、検索キーワードの漏えいを防止するための一構成例を示す。
　ユーザＡ３０は、ユーザＡ専用の情報処理装置３１と、ユーザＡ専用のインデックスデータベース３２を有する。
　インデックスデータベース３２は、キーワード（ＫＷ）とキーワードの含まれるデータファイルの識別データであるファイルＩＤとの対応データを格納したデータベースである。

　ユーザＡは、情報処理装置３１に文書検索用のキーワード（ＫＷ）を入力する。インデックスデータベース３２は、入力キーワードに対応付けられた文書ファイルＩＤ（Ｆｉｌｅ　ＩＤ）を情報処理装置３１に出力する。
　ユーザＡは、取得したファイルＩＤをクラウドデータベース４０に送信する。図に示すファイルＩＤ５１である。

　データベース４０は、受信したファイルＩＤ５１に基づいて、データベース検索を行い、ファイルＩＤ５１の設定されたファイル５２を取得してユーザＡ３０の情報処理装置３１に送信する。
　なお、送信されるファイル５２は暗号化データであり、ユーザＡ３０の情報処理装置３１側で復号して閲覧される。

　この図２に示す構成を用いることで、ユーザの入力したキーワード（ＫＷ）は、ネットワーク上にもデータベース側にも送信されることはない。従って、キーワードの漏えいやキーワードの解析によるユーザＡの格納データの解析やユーザＡの興味嗜好などが不正に解析される可能性は低減される。

　しかし、この図２に示すようなインデックスデータベース３２を保持しないユーザは、図３に示すように、情報処理装置３１からデータベース４０に対して、キーワード（ＫＷ）を含む検索式であるクエリ（Ｑｕｅｒｙ）６１を生成してデータベース４０に送信するしかない。

　データベース４０は、ユーザＡの情報処理装置３１から受信するクエリ６１に含まれるキーワードを含む文書ファイルを取得してユーザ側の情報処理装置３１に送信する。
　このような処理を行なうと、前述したように不正なデータベース管理者等によって、入力キーワードに基づく検索文書の推定や、ユーザの興味嗜好の解析などが行われる可能性が発生する。

　検索キーワードの漏えいを防止して、データベースからキーワードを含むデータを検索または抽出する構成について、いくつか提案されている。
　暗号化データに対するデータ検索システムについて開示した従来技術としては、例えば、特許文献１（特許第４７２２６２０号公報）、特許文献２（特許第４３４７２６４号公報）、特許文献３（特開２０１１－１９８０７９号公報）、特許文献４（特開２０１０－１６４８３５号公報）などがある。

　以下、複数の従来技術の概略について説明する。
　なお、以下において説明する処理は、以下の構成を前提としている。
　（ａ）データベースに格納するデータは暗号化データである。
　（ｂ）データベース格納データの検索には、暗号化前の平文データに含まれるキーワード利用する。
　（ｃ）キーワードをネットワーク上に送信することなく、データベースの暗号化データからキーワードを含むデータを抽出する。

　（１）ブルームフィルタ（Ｂｌｏｏｍ　Ｆｉｌｔｅｒ）を適用した構成
　まず、図４を参照して、ブルームフィルタ（Ｂｌｏｏｍ　Ｆｉｌｔｅｒ）を適用した構成例について説明する。

　ユーザＡ３０は、情報処理装置３１を利用して、クラウド型のデータベース４０に文書Ａ，Ｂ，Ｃ・・・を格納するものとする。
　なお、格納文書Ａ，Ｂ，Ｃは暗号化データである。
　データベース４０に格納される文書Ａ，Ｂ，Ｃ・・・の各々には、各文書に対応するインデックスとして、ブルームフィルタ（Ｂｌｏｏｍ　Ｆｉｌｔｅｒ）が設定される。このブルームフィルタからなるインデックスが各文書に対応付けられてデータベース４０に格納される。

　ユーザＡは、文書Ａ，Ｂ，Ｃ・・・をデータベース４０に格納する際に、これらの格納文書をキーワードに基づいて検索可能とするために、各文書Ａ，Ｂ，Ｃに対応付けられたブルームフィルタを更新する。

　なお、ブルームフィルタは初期値がオール０の設定を持つビット列である。
　図には、アドレス００～０８の合計９ビットのビット列からなるブルームフィルタの例を示している。
　文書Ａに対応するフィルタの更新処理例について説明する。
　文書ＡがキーワードＫＷ１、ＫＷ２を含む文書であるとする。

　図４のユーザＡの（ａ）フィルタ更新（インデックス生成）に示すように、ユーザＡ３０は、情報処理装置３１を利用して、予め準備された複数のアドレス生成関数Ｈ１，Ｈ２・・・を利用し、これらのアドレス生成関数に、文書Ａに含まれるキーワードＫＷ１，ＫＷ２を代入してアドレスを算出する。
　例えば、
　Ｈ１（ＫＷ１）＝０４、
　Ｈ２（ＫＷ１）＝０８、
　Ｈ１（ＫＷ２）＝０３、
　Ｈ２（ＫＷ１）＝０１、
　このようなアドレスを算出する。
　このアドレスは、データベース格納文書に対応するインデックスであるブルームフィルタを構成するビット列の各ビット位置を示すアドレスである。

　文書Ａのブルームフィルタについて、上記の算出アドレス（０１，０３，０４，０８）に対応するビット位置の値を０から１に変更する。
　この更新後の結果が、図４に示すデータベース４０内の文書Ａに対応するブルームフィルタのビット列である。
　文書Ａ対応のブルームフィルタは、
　初期値：０００００００００が、
　更新後：０１０１１０００１
　このようなビット列データに変更される。
　このビット列を持つブルームフィルタを文書Ａの対応インデックスとしてデータベースに格納する。

　他の文書Ｂ，Ｃ・・・についても、同様に、各文書に含まれるキーワードをアドレス生成関数に代入してアドレスを算出して、算出したアドレス位置のブルームフィルタのビットを０から１に変更して、各文書対応のインデックスとして各文書に対応付けてデータベース４０に格納する。

　なお、アドレス生成関数を適用した演算処理に適用するキーワードＫＷ１，ＫＷ２・・・は、暗号化前の文書に含まれるワードを利用可能である。
　また、アドレス生成関数Ｈ１，Ｈ２・・としては、例えば予め設定した鍵Ｋ１，Ｋ２・・・を利用した疑似乱数関数（ＰＲＦ：Ｐｓｅｕｄｏ－ｒａｎｄｏｍ　ｆｕｎｃｔｉｏｎ）等のハッシュ関数を利用する。
　すなわち、アドレス生成関数Ｈｎは、鍵Ｋｎを適用した疑似乱数関数である。

　なお、図に示す例ではアドレス生成関数を、Ｈ１，Ｈ２の２種類としているが、さらに多くの関数を利用してもよい。また、ブルームフィルタのビット数も、図には９ビット構成の例を示しているが、任意のビット数の設定が可能である。

　このように、各文書に対応するインデックスとして、各文書対応のビット列を持つブルームフィルタを生成してデータベース４０に格納する。
　データベース４０に文書を格納した後、ユーザＡはキーワードＫＷ１，ＫＷ２・・・を、ネットワークを介してデータベース４０に出力することなく、キーワードに基づくデータ検索を行うことが可能となる。

　図４のユーザＡ３０の（ｂ）データ検索に示すように、ユーザＡは、情報処理装置３１において、例えば、検索用キーワード（ＫＷ２）をアドレス生成関数Ｈ１，Ｈ２に代入してアドレスを生成する。図に示す例では、
　Ｈ１（ＫＷ２）＝０３、
　Ｈ２（ＫＷ２）＝０１、
　これらのアドレスが生成される。

　情報処理装置３１は、この生成アドレス（０１，０３）をデータベース４０に送信する。データベース４０は、受信アドレス（０１，０３）の指定位置が［１］に設定されたインデックス、すなわちブルームフィルタを検索する。例えば文書Ａのブルームフィルタを抽出する。
　この抽出フィルタに対応付けられた文書を、キーワードＫＷ１，ＫＷ２に基づく検索結果として、ユーザＡの情報処理装置３１に提供する。

　このように、文書対応のインデックスとしてブルームフィルタを適用した構成では、キーワード：ＫＷ１，ＫＷ２・・・がネットワークを介してデータベース４０側に供給されることなく、キーワードに基づくデータ検索が可能となる。

　しかし、図４を参照して説明したブルームフィルタは、異なる文書であってもキーワードが類似すると、類似する文書のブルームフィルタのビット列が類似してしまい、ブルームフィルタの設定から、類似文書が類推できてしまうという問題がある。

　このような問題を解決するために、データベースに格納する各文書に文書識別子である文書番号（ｊ）を設定し、文書番号（ｊ）に応じてアドレス生成関数を変更して、文書番号固有のアドレス生成関数を適用する構成についても提案されている。

　しかし、上記構成としても、異なる文書に対応するブルームフィルタには類似のビット配列となるものが発生し得るという問題は残存する。
　また、文書に対応するキーワード数が増加するにつれて、ブルームフィルタのビット値［１］の数が増加し、ブルームフィルタのビット値［１］の数に基づいて各文書に含まれるキーワード数が予測されてしまうという問題がある。
　なお、ブルームフィルタを用いたデータ検索処理については、例えば特許文献１（特許第４７２２６２０号公報）に記載がある。

　（２）文書名とビット位置に基づいて生成したビットストリングを利用した構成
　次に、データベースに格納する文書に対応付けたインデックスとして、文書名とビット位置に基づいて生成したビットストリングを生成して利用する構成例について、図５を参照して説明する。

　図５に示すユーザＡ３０は、情報処理装置３１を利用して、クラウド型のデータベース４０に文書Ａ，Ｂ，Ｃ・・・を格納するものとする。
　なお、これらの格納文書は暗号化データである。
　データベース４０に格納される文書の各々には、各文書の対応インデックスとして、文書名とビット位置から生成されるビット値によって構成されるビットストリングが初期値として設定される。

　図５に示す例では、文書Ａに対応付けられたビットストリングの初期値は、
　０１０１１０００１、
　上記のビット列から構成される。
　この初期値は、データベースに格納する文書Ａの文書名に基づいて設定され、多くの場合、各文書名に応じて異なるビット列となる。
　さらに、ユーザＡの情報処理装置３１は、文書Ａに含まれるキーワード、例えばキーワード：ＫＷ１を用いたアドレス生成置換ＰＲＰ（Ｐｓｅｕｄｏ－ｒａｎｄｏｍ　ｐｅｒｍｕｔａｔｉｏｎ）を用いて、ビットストリングのビット位置を示すアドレスを算出する。このアドレス生成置換は、たとえばブロック暗号アルゴリズムと鍵を用いて入力を平文として暗号化した暗号文を出力とすることにより構成可能である。

　例えば図５に示す例では、
　ＰＲＰ（ＫＷ１）＝０５
　であり、文書Ａに含まれるキーワードＫＷ１に基づいて、アドレス（０５）が算出されたとする。
　この算出アドレス（０５）に従って、データベースに格納される文書Ａに対応付けられたインデックスであるビットストリングの初期データを更新する。具体的には、算出アドレス（０５）によって指定されるビット位置のビット値を変更する。
　この図に示す例では、
　ビットストリング初期データのアドレス（０５）のビット値＝０を、ビット値＝１に変更する。

　このように、まず、各文書の文書名等に基づいて設定されるビットストリングの初期データを設定し、
　次に、各文書に含まれるキーワードから算出するアドレスの指定する位置のビット値を変更して各文書対応のビットストリングを更新する。
　この更新ビットストリングを各文書に対応するインデックスとして、文書に対応付けてデータベースに格納する。

　ユーザＡ３０によるキーワード（ＫＷ１）に基づくデータ検索処理は、以下の処理を順次、実行する。
　（ステップ１）情報処理装置３１において、ＰＲＰ（ＫＷ１）に従ってアドレスを算出し、算出アドレスをデータベース４０送信する。
　（ステップ２）データベース４０側において、各文書対応のビットストリングの初期データを算出する。この初期データは、各格納文書の文書名とビット位置に基づいて算出する。
　（ステップ３）データベース４０側において、算出した各文書の初期データと、データベースに格納された更新データについて、情報処理装置３１から受信したアドレス位置のビット値を比較する。
　（ステップ４）初期データと更新データの指定アドレス位置のビット値が等しければ、その文書にキーワード（ＫＷ１）は含まれず、ビット値が異なる場合は、その文書にキーワード（ＫＷ１）が含まれると判定する。

　このようなステップでキーワード（ＫＷ１）の含まれる文書が抽出される。
　この処理構成においても、やはり、検索キーワードをネットワークを介してデータベースに送信する必要がないため、検索キーワードの漏えいを防止することができる。

　しかし、図４を参照して説明したブルームフィルタを用いた方式、図５を参照して説明した文書名等に基づくビットストリングを用いた方式、これらいずれの方式においても、キーワードに基づくデータ検索を行う場合、データベース側の処理として、格納文書の各々に対応して設定されたインデックスであるブルームフィルタ、またはビットストリングを、全て調べる必要がある。
　この処理負荷は格納文書数の増加に伴い、比例関係で増加することになり、格納文書数が多い場合、データ検索に要する処理コストが増大してしまうという問題がある。

　　（３）キーワード対応の文書リンク構造を用いた方式
　上述したように、格納文書が、検索キーワードを含むか否かを調べるキーワード検索に際して、データベース格納文書の各々に対応して設定されたインデックスであるブルームフィルタ、またはビットストリングの全てを調べる方式では、格納文書の増大に伴い、検索処理の負荷が比例して増加してしまうという問題が発生する。
　このような処理負荷の増大を低減する検索方式として、キーワード対応の文書リンク構造を利用した方式が提案されている。以下、この方式について、図６以下を参照して説明する。

　図６には、データベースに格納された文書（文書１，２，３，・・・ｎ）と、各文書に含まれるキーワード（ＫＷ１，２，３，・・・ｍ）との対応関係を示すマトリクスデータ（文書－ＫＷマトリクス）を示している。各文書は、マトリクス中のチェックされたＫＷを含む。例えば文書１は、ＫＷ２とＫＷ３を含む文書であり、文書２は、ＫＷ１、ＫＷ４を含む文書である。

　上述したブルームフィルタ、またはビットストリングは、図６に示す１つの文書ごとに、どのキーワードを含むかを示すインデックスに相当する。すなわち、図６に示す文書対応インデックス７１を各文書に設定して検索を実行する方式である。

　すなわち、上述したブルームフィルタ、またはビットストリングを利用した方式は、図６（ａ）に示す文書対応インデックス方式に対応する。この方式では、各文書が特定のＫＷを含むか否かを判定する検索処理に際して、各文書に含まれるキーワード（ＫＷ）を示す文書対応のインデックスを、文書１から文書ｎまで全て確認する処理が必要となる。

　一方、以下に説明する方式は、図６の（ｂ）に示すキーワード対応文書リンク方式であり、特定のキーワードを含む文書を効率的に抽出可能な方式である。
　図６の（ｂ）に示すキーワード対応文書リンク方式は、特定のキーワード（ＫＷ）を含む文書の文書情報を接続したリンク構造を設定し、このリンク構造を順次たどることで、特定のキーワード（ＫＷ）を含む文書を効率的に検出可能としている。

　例えば、図６に示す１つのキーワード（ＫＷ３）に対応する文書リンクは、ＫＷ３を含む文書のリンクとして設定される。図６の文書－ＫＷマトリクスデータに示すように、キーワード（ＫＷ３）を含む文書は、文書１、文書４、文書ｎである。この場合、ＫＷ３対応の文書リンクは、文書１、文書４、文書ｎの各文書の文書情報を接続したリンク構造として設定される。

　図７を参照して、文書リンク構造の具体例について説明する。図７（１）には、キーワード（ＫＷ３）に対応して設定される文書リンク構造例を示している。
　文書－ＫＷマトリクスデータに示すように、キーワード（ＫＷ３）を含む文書は、文書１、文書４、文書ｎである。
　図７（１）に示すように、ＫＷ３対応の文書リンクは、
　先頭ノードをＫＷ３として、以下、文書１、文書４、文書ｎ、ダミー、ダミーの各ノードを接続したリンク構造として設定される。

　なお、各ノードのデータは、図に示すように、
　（１）文書識別子としての文書ＩＤ、
　（２）次ノードの鍵、
　（３）次ノードのアドレス
　これらのデータの暗号化データとして構成される。

　例えば図に示す文書４のノードのデータは、
　（１）文書識別子としての文書ＩＤ＝文書４の文書識別子、
　（２）次ノードの鍵＝次ノードである文書ｎのノードのノードデータの復号に適用する鍵、
　（３）次ノードのアドレス＝次ノードである文書ｎのノードのノード位置（メモリ中の記憶位置）を示すアドレス、
　これらの各データをこのノードに対応する鍵で暗号化した暗号化データにより構成される。

　他のノードも同様のデータ構成を有する。
　なお、先頭ノードであるＫＷ３のノードには、文書ＩＤは含まれず、次ノードの鍵と、次ノードのアドレスが含まれるデータ構成となる。

　データベースには、各キーワード単位でこの文書リンク構造が格納され、キーワード検索を行う場合には、指定キーワードをルートノード（先頭ノード）とする文書リンクを選択して、選択した文書リンクに従って順次、文書ＩＤを抽出する。抽出した文書ＩＤに対応する文書を、指定キーワードを含む文書として抽出することができる。

　この文書リンク構造を用いるデータ検索処理の利点と欠点について、図８を参照して説明する。
　利点としては、特定のキーワードを含む文書を抽出する場合、そのキーワード対応の文書リンクを選択して順次、リンクをたどるのみでキーワードを含む文書を選択できるという点がある。
　先に説明したブルームフィルタやビットストリングのような文書対応インデックスを利用すると、全ての文書に対応するインデックスを全て検証しなければならず、検索時間が長くなるが、この文書リンク構造を利用すれば、特定のキーワードを含む文書リンクが予め設定されているので、キーワードを含まない文書についてのインデックスを確認家する必要がなくなり、検索時間を短縮できる。

　一方、欠点としては、図８に示すように、以下の欠点がある。
　（欠点１）あるキーワード（ＫＷ）がｐ個の文書に含まれるとすると，ある文書がこのＫＷを含むかを調べるのに、最悪、ｐ回の処理（暗号化データの復号処理と解読処理）が必要になる。
　（欠点２）あるキーワード（ＫＷ）を含む文書を全てリストアップするには，必ずｐ回の処理（暗号化データの復号処理と解読処理）が必要になる。

　このように、文書リンク構造を用いたデータ検索処理においても、直線的な一次元リンクを順次、辿り、各ノード対応データの復号処理と解読処理を順次、実行することが必要となる。
　前述のブルームフィルタやビットストリングのような文書対応インデックスを利用した構成に比較すれば、処理負荷は軽減されるが、例えば、１つの特定のキーワードを持つ文書数が増加すれば、文書リンクのノード数も文章数の増加に伴い比例関係で増加することになり、文書数の増大に伴って処理負荷も比例して増大してしまうという問題がある。

特許第４７２２６２０号公報特許第４３４７２６４号公報特開２０１１－１９８０７９号公報特開２０１０－１６４８３５号公報

　本開示は、例えば上述の問題に鑑みてなされたものであり、データ検索処理に際して、キーワード等の検索キーを開示することなく、かつ効率的に検索キーを含むデータを検索可能とする情報処理装置、情報処理システム、および情報処理方法、並びにプログラムを提供することを目的とする。

　本開示の第１の側面は、
　文書検索用のキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを生成するデータ処理部を有し、
　前記データ処理部は、
　最上位ノードであるルートノードから最下位ノードであるリーフノードまで、各ノードに複数の下位ノードを分岐接続した木構造を構成する各ノードにノード情報を対応付けたノード情報のリンク構造を有するキーワード単位インデックスを生成し、
　前記リーフノードにはノード情報として、
　（１ａ）文書個別の文書識別子と、
　（１ｂ）前記文書識別子に対応する文書が特定のキーワードを含むか否かを示すステート情報、
　を格納し、
　リーフノード以外の上位ノードにはノード情報として、
　（２ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（２ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　を格納したキーワード単位インデックスを生成する情報処理装置にある。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、前記ノード情報を、ノード対応のノード鍵で暗号化し、ノード鍵を、木構造において直結する上位ノードのノード情報中に格納する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、前記ノード情報アクセス用のアドレス情報を、木構造において直結する上位ノードのノード情報中に格納する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、前記キーワード単位インデックスのリーフノードのノード情報中に設定された文書識別子に対応する暗号化文書をサーバのデータベースに格納し、該暗号化文書のキーワード検索において、前記サーバに前記キーワード単位インデックスを利用した処理の実行を要求する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、前記キーワード単位インデックスを適用した文書検索処理に際して、前記キーワード単位インデックスのルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記サーバに送信する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、各キーワードに対応するキーワード単位インデックスのルートノードのノード情報のアクセス用アドレスと、復号用鍵を、各キーワードに対応付けたキーワード対応管理データを生成して記憶部に格納する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、前記キーワード単位インデックスのリーフノードのノード情報として記録した文書識別子に対応する文書をデータベースから削除した場合、削除文書対応のリーフノードのノード情報のステート情報を無効値に変更する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、リーフノードとして対応文書の無いダミーノードを設定したキーワード単位インデックスを生成し、ダミーノードを、データベースに対する新規格納文書に対応するノードとして利用可能としたキーワード単位インデックスを生成する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、データベースに対する新規格納文書の増加に応じて、既存のキーワード単位インデックスの木構造の階層を増加させる処理を行なう。

　さらに、本開示の第２の側面は、
　クライアントとのデータ送受信を行う通信部と、
　暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、
　クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記通信部は、
　前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記クライアントから受信し、
　前記データ処理部は、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得して、前記復号用鍵で復号して、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得し、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行する情報処理装置にある。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、クライアントからの検索要求が、特定の指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を求める検索要求である場合において、ノード情報から取得したステート情報が、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定である場合は、その設定に従って指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を生成し、前記ステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定であることが確認された場合は、順次、下位ノードのノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が得られた時点で、該ステート情報に従った判定結果を生成する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、処理対象ノードのノード情報に含まれるステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定である場合、前記処理対象ノードに直結する複数の下位ノードから、前記指定文書（Ｄｏｃｘ）が対応付けられたリーフノードを下位に含む１つの下位ノードを選択して該下位ノードのノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が得られた時点で、該ステート情報に従った判定結果を生成する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、クライアントからの検索要求が、記憶部に格納された文書の各々が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を求める検索要求である場合において、ノード情報から取得したステート情報が、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定である場合は、その設定に従って、記憶部に格納された文書の各々が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を生成し、前記ステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定である場合は、順次、下位ノードのノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が得られた時点で、該ステート情報に従った判定結果を生成する。

　さらに、本開示の情報処理装置の一実施態様において、前記データ処理部は、処理対象ノードのノード情報に含まれるステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定である場合、前記処理対象ノードに直結する複数の下位ノードを順次、選択してノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が設定されたノード情報を有するノード以下の下位ノードのノード情報取得処理を行なうことなく、得られたステート情報に従った判定結果を生成する。

　さらに、本開示の第３の側面は、
　データ検索要求を行うクライアントと、クライアントからの要求に応じてデータ連作を実行するサーバを有する情報処理システムであり、
　前記サーバは、
　暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、
　クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記クライアントは、前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記サーバに送信し、
　前記サーバのデータ処理部は、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得して、前記復号用鍵で復号して、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得し、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行する情報処理システムにある。

　さらに、本開示の情報処理システムの一実施態様において、前記クライアントは、暗号化文書と、前記暗号化文書の検索用インデックスであるキーワード単位インデックスを生成して前記サーバに送信し、前記サーバは、前記クライアントから受信する暗号化文書と、キーワード単位インデックスを記憶部に格納する。

　さらに、本開示の第４の側面は、
　情報処理装置において実行する情報処理方法であり、
　前記情報処理装置は、文書検索用のキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを生成するデータ処理部を有し、
　前記データ処理部が、
　最上位ノードであるルートノードから最下位ノードであるリーフノードまで、各ノードに複数の下位ノードを分岐接続した木構造を構成する各ノードにノード情報を対応付けたノード情報のリンク構造を有するキーワード単位インデックスを生成し、
　前記リーフノードにはノード情報として、
　（１ａ）文書個別の文書識別子と、
　（１ｂ）前記文書識別子に対応する文書が特定のキーワードを含むか否かを示すステート情報、
　を格納し、
　リーフノード以外の上位ノードにはノード情報として、
　（２ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（２ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　を格納したキーワード単位インデックスを生成する情報処理方法にある。

　さらに、本開示の第５の側面は、
　情報処理装置において実行する情報処理方法であり、
　前記情報処理装置は、クライアントとのデータ送受信を行う通信部と、暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記通信部が、
　前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記クライアントから受信し、
　前記データ処理部が、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得して、前記復号用鍵で復号して、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得し、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行する情報処理方法にある。

　さらに、本開示の第６の側面は、
　情報処理装置において情報処理を実行させるプログラムであり、
　前記情報処理装置は、文書検索用のキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを生成するデータ処理部を有し、
　前記プログラムは、前記データ処理部に、
　最上位ノードであるルートノードから最下位ノードであるリーフノードまで、各ノードに複数の下位ノードを分岐接続した木構造を構成する各ノードにノード情報を対応付けたノード情報のリンク構造を有するキーワード単位インデックスを生成する処理を実行させ、
　前記リーフノードにはノード情報として、
　（１ａ）文書個別の文書識別子と、
　（１ｂ）前記文書識別子に対応する文書が特定のキーワードを含むか否かを示すステート情報、
　を格納し、
　リーフノード以外の上位ノードにはノード情報として、
　（２ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（２ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　を格納したキーワード単位インデックスを生成させるプログラムにある。

　さらに、本開示の第７の側面は、
　情報処理装置において情報処理を実行させるプログラムであり、
　前記情報処理装置は、クライアントとのデータ送受信を行う通信部と、暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記通信部が、
　前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記クライアントから受信し、
　前記プログラムは、前記データ処理部に、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得する処理と、前記復号用鍵での復号処理を実行させて、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得させ、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行させるプログラムにある。

　なお、本開示のプログラムは、例えば、様々なプログラム・コードを実行可能な情報処理装置やコンピュータ・システムに対して例えば記憶媒体によって提供されるプログラムである。このようなプログラムを情報処理装置やコンピュータ・システム上のプログラム実行部で実行することでプログラムに応じた処理が実現される。

　本開示のさらに他の目的、特徴や利点は、後述する本発明の実施例や添付する図面に基づくより詳細な説明によって明らかになるであろう。なお、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。

　本開示の一実施例によれば、キーワード検索の適用キーワードの漏えいを防止するとともに、効率的な検索が実現される。
　具体的には、サーバは暗号化文書と、検索に適用する木構造型リンク構造のキーワード単位インデックスを格納する。クライアントはキーワード単位インデックスの最上位ノードであるルートノードのアドレスと復号用鍵をサーバに送信する。サーバは、アドレスに従ってキーワード単位インデックスのルートノードのノード情報を取得して復号用鍵で復号して、（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、全て含まないか、混在するか、これらを判別可能としたステート情報等を取得し、ステート情報の設定に基づいて、検索結果を効率的に取得する。
　上記構成により、キーワード検索の適用キーワードの漏えいを防止するとともに、効率的な検索が実現される。

暗号化データをデータベースに格納して利用するシステム構成の一例について説明する図である。データベース格納文書の検索処理において、検索キーワードの漏えいを防止した検索例について説明する図である。データベース格納文書の検索処理において、検索キーワードの漏えいを防止した検索例について説明する図である。ブルームフィルタを文書対応インデックスとして適用したデータ検索処理例について説明する図である。ビットストリングを文書対応インデックスとして適用したデータ検索処理例について説明する図である。文書対応インデックス、およびキーワード対応文書リンク方式を利用した構成について説明する図である。キーワード対応文書リンク方式を利用した文書検索処理について説明する図である。キーワード対応文書リンク方式を利用した文書検索処理について説明する図である。本開示の処理を行なうシステム構成の一例について説明する図である。本開示のデータ検索に適用するためのキーワード単位インデックスの木構造の一例について説明する図である。本開示のデータ検索に適用するためのキーワード単位インデックスのノード情報の構成例について説明する図である。本開示のデータ検索に適用するためのキーワード単位インデックスのノード情報の構成例について説明する図である。クライアントからサーバのデータベースに対するデータ格納処理の処理シーケンスを説明する図である。本開示のデータ検索に適用するキーワード単位管理データのデータ構成例について説明する図である。クライアントが生成するキーワード単位インデックスの生成処理の詳細シーケンスについて説明するフローチャートを示す図である。サーバのデータベースに格納した文書に対するキーワードを用いたデータ検索処理のシーケンス例について説明する図である。特定文書が特定キーワードを含むか否かを判定する処理を実行する手順について説明するフローチャートを示す図である。特定文書が特定キーワードを含むか否かを判定する処理の具体例について説明する図である。特定文書が特定キーワードを含むか否かを判定する処理の具体例について説明する図である。特定キーワードを含むデータベース格納文書の抽出処理を実行する手順について説明するフローチャートを示す図である。特定キーワードを含むデータベース格納文書の抽出処理を実行するために利用するテーブル構成について説明する図である。特定キーワードを含むデータベース格納文書の抽出処理の具体例について説明する図である。ｋ分木構成を持つキーワード単位インデックスの生成処理シーケンスについて説明するフローチャートを示す図である。格納文書の削除に伴うキーワード単位インデックスの更新処理例について説明する図である。格納文書の増加に備えたダミーノードを持つキーワード単位インデックスの構成例について説明する図である。格納文書の増加に伴うキーワード単位インデックスの更新処理例について説明する図である。クライアントやサーバ等の情報処理装置のハードウェア構成例について説明する図である。

　以下、図面を参照しながら本開示に係る情報処理装置、情報処理システム、および情報処理方法、並びにプログラムの詳細について説明する。説明は、以下の項目に従って行う。
　１．情報処理システムの構成例について
　２．キーワード単位インデックスの具体例について
　３．クライアントのサーバに対するデータ格納処理シーケンスについて
　４．キーワード単位インデックスの生成シーケンスについて
　５．データ検索処理について
　５－１．データ検索処理の基本シーケンス
　５－２．指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かを確認する処理の詳細について
　５－３．特定のキーワード（ＫＷｙ）を含むデータベース格納文書を全て抽出する処理について
　６．３分木以上の多分木構成を持つキーワード単位インデックスについて
　７．データベース格納文書の削除、追加に伴うキーワード単位インデックスの更新処理について
　７－１．データベース格納文書の削除処理に伴うインデックス更新処理について
　７－２．予めダミーノードを設定したキーワード単位インデックスの構成について
　７－３．文書追加に伴うキーワード単位インデックス木構造の階層構成の追加処理について
　８．クライアントおよびサーバを構成する情報処理装置の構成例について
　９．本開示の構成のまとめ

　　［１．情報処理システムの構成例について］
　まず、図９を参照して本開示の情報処理システムの構成例について説明する。図９には、ネットワーク１５０を介して接続されたユーザ端末である情報処理装置（クライアント）１００と、大容量記憶手段としてのデータベースを備えたサーバ２００を示している。
　サーバ２００は、クラウド型のサーバであり、様々なユーザ端末からアクセス可能である。

　各ユーザの情報処理装置は、サーバ２００のデータベースから一部のデータ記憶領域を占有領域として借り受けて様々なデータを格納する。さらに必要に応じてデータ検索を行い、検索結果データ、例えば特定のキーワードを含む文書の抽出結果などを得ることができる。

　なお、図９には、ユーザ端末として１つの情報処理装置（クライアント）１００を示しているが、これはユーザ端末の代表例を示しているものであり、サーバ２００には、図示しないその他の数多くのユーザ端末がアクセス可能である。
　ユーザ端末であるクライアントには、例えばＰＣや携帯端末など、様々な通信端末が含まれる。

　本開示の情報処理システムでは、サーバ２００のデータベースには、情報処理装置（クライアント）１００から送信される多数の暗号化文書（Ｄｏｃ１，Ｄｏｃ２，Ｄｏｃ３・・・）が格納される。さらに、これらの暗号化文書の検索に適用するためのキーワード単位インデックス（ＫＷ１－ｉｎｄｅｘ，ＫＷ２－ｉｎｄｅｘ・・・）が格納される。

　暗号化文書（Ｄｏｃ１，Ｄｏｃ２，Ｄｏｃ３・・・）は、ユーザ側の情報処理装置（クライアント）１００において暗号化され、ネットワーク１５０を介してサーバ２００に送信してデータベースに格納する。
　キーワード単位インデックスも、ユーザの情報処理装置（クライアント）１００側で生成し、ネットワーク１５０を介してサーバ２００に送信してデータベースに格納する。

　サーバ２００のデータベースに格納された文書の検索を実行する場合、ユーザの情報処理装置（クライアント）１００は、検索に適用するキーワードを決定する。次に、決定したキーワードに対応するキーワード単位インデックスを利用したデータ検索を実行するための情報をサーバ２００に送信する。

　サーバ２００は、ユーザの情報処理装置（クライアント）１００から受信した情報であるルートノードアドレスとルートノード鍵を適用してキーワード単位インデックスを適用した処理を実行して、検索結果を生成して情報処理装置（クライアント）１００に提供する。なお、クライアントからサーバに送信されるキーワード単位インデックスを利用したデータ検索を実行するための情報には、例えばルートノードアドレスとルートノード鍵等が含まれる。このキーワード単位インデックスを利用したデータ検索処理の詳細については後述する。

　　［２．キーワード単位インデックスの具体例について］
　次に、データベースに格納した暗号化文書（Ｄｏｃ１，Ｄｏｃ２，Ｄｏｃ３・・・）の検索に適用するインデックス情報であるキーワード単位インデックスの具体的構成例について図１０以下を参照して説明する。

　図１０は、ある１つのキーワード（ＫＷｎ）に対応するキーワード単位インデックス情報の構成例を示す図である。
　キーワード単位インデックスは、図１０に示すような木構造（ツリー構造）、すなわち、複数のノード階層からなり、１つの上位ノードに複数の下位ノードを接続した多分木構成によって示すことができる。
　なお、図１０に示す例は、親ノードの直下に２つの子ノードを設定した２分木構成であるが、２分木に限らず、３以上の多分木構成としてもよい。

　この図１０に示す木構造の最上位ノードを頂点ノード（ルートノード）３０１と呼び、最下位ノードを葉ノード（リーフノード）３０３と呼ぶ。頂点ノード（ルートノード）３０１と葉ノード（リーフノード）３０３の間のノードを中間ノード３０２と呼ぶ。
　これらの各ノードには、各々ノード固有のノード情報が対応付けられる。
　なお、図の各ノード位置に示す（１，１）～（４，８）の各データは、説明のために付記した情報であり、ノード位置を示すノード位置情報（ｘ，ｙ）である。
　ノード位置情報（ｘ，ｙ）中、ｘは木構造中の最上位層からの層レベル位置を示し、ｙは同一層レベル中、左から何番目のノードであるかを示す値である。

　サーバ２００のデータベースに格納される文書の各々は、木構造の末端（最下層）ノードである葉ノード（リーフノード）３０３の各々に対応付けられる。
　頂点ノード３０１～葉ノード３０３の全てのノードには、図に示すように、文書ＩＤと、ステート等の情報を含むノード情報が設定される。

　例えば、葉ノード３０３のノード情報には、その葉ノードが対応する１つの文書を示す文書識別子としての文書ＩＤが格納される。
　図に示す葉ノード３０３中の［１］～［８］の各数値が文書ＩＤを示す。

　頂点ノード３０１と、中間ノード３０２のノード情報には、文書ＩＤとして、各ノードの下位ノードとして設定された葉ノード対応の文書ＩＤの範囲情報が格納される。
　例えば、ノード位置（３，１）の中間ノードの下位には、文書ＩＤ＝１～２の葉ノードが設定されている。従って、この中間ノードのノード情報中の文書ＩＤは、文書ＩＤ＝１～２となる。
　また、ノード位置（２，１）の中間ノードの下位には、文書ＩＤ＝１～４の葉ノードが設定されている。従って、この中間ノードのノード情報中の文書ＩＤは、文書ＩＤ＝１～４となる。
　同様に、ノード位置（１，１）の頂点ノード３０１の下位には、文書ＩＤ＝１～８の全ての葉ノードが設定されている。従って、この頂点ノードのノード情報中の文書ＩＤは、文書ＩＤ＝１～８となる。

　各ノードのノード情報には、文書ＩＤの他、ステート情報が格納される。ステート情報は、以下の３つのいずれかの情報である。
　（１）○：自ノードまたは下位ノードに対応する文書は全てキーワード（ＫＷ）を含む。
　（２）×：自ノードまたは下位ノードに対応する文書は全てキーワード（ＫＷ）を含まない。
　（３）△：自ノードまたは下位ノードに対応する文書にはキーワード（ＫＷ）を含むものと含まないものが存在する。
　ステート情報には、これら○、×、△の３種類のいずれかの情報が設定される。

　なお、これら○、×、△の３種類のステート情報は、具体的には、例えば２ビットデータとして設定可能である。すなわち、
　○＝１１
　×＝００
　△＝０１
　このような２ビットデータからなるビット情報として設定することが可能である。

　各ノードに設定されるノード情報には、上述した文書ＩＤ、ステート情報の他にもいくつかの情報が含まれる。ノード情報の構成例について図１１を参照して説明する。
　各ノードに対応付けた情報であるノード情報は、図１１に示すように、以下の情報を有する。
　（１）文書ＩＤ
　（２）ステート情報
　（３）左の子ノードの鍵
　（４）左の子ノードのアドレス
　（５）右の子ノードの鍵
　（６）右の子ノードのアドレス
　ノード情報は、上記（１）～（６）の各データを含み、これらデータに対して、各ノードに対応絵して設定した鍵（ノード鍵）で暗号化したデータとして設定される。

　（１）文書ＩＤ、（２）ステート情報については、図１０を参照して説明した通りである。
　（３）左の子ノードの鍵とは、自ノードに直結した下位ノード中の左側の子ノードのノード情報の暗号化に適用した鍵（ノード鍵）である。このノード鍵は、左側の子ノードのノード情報の復号に適用される。
　（４）左の子ノードのアドレスとは、自ノードに直結した下位ノード中の左側の子ノードのノード情報のアクセス情報としての格納位置を示すアドレスである。例えば、キーワード単位インデックスデータを記録するデータ領域の先頭からのオフセット情報などによって構成される。このアドレスを参照して自ノードに直結した下位ノード中の左側の子ノードのノード情報を取得することができる。

　（５）右の子ノードの鍵とは、自ノードに直結した下位ノード中の右側の子ノードのノード情報の暗号化に適用した鍵（ノード鍵）である。このノード鍵は、右側の子ノードのノード情報の復号に適用される。
　（６）右の子ノードのアドレスとは、自ノードに直結した下位ノード中の右側の子ノードのノード情報のアクセス情報としての格納位置を示すアドレスである。このアドレスを参照して自ノードに直結した下位ノード中の右側の子ノードのノード情報を取得することができる。

　これら（１）～（６）の各データは、ノード対応のノード鍵で暗号化された暗号化データとして設定される。
　なお、図１０に示す木構造から明らかなように、木構造中の最下位ノードである葉ノード（リーフノード）には、子ノードが設定されない。これらの葉ノードのノード情報中の子ノードの鍵とアドレスデータには、例えばオール０等のダミーデータを格納する。

　このように、キーワード単位インデックスは、木構造の各ノードに対応付けられたノード情報の集合として構成される。
　１つのキーワードに対応するキーワードインデックスの情報の全体構成例を図１２に示す。
　図１２は、図１０に示す８つのリーフノードを有する４階層の木構造、すなわち、ノード（１，１）～（４，８）の各々のノード情報から構成されるキーワード単位インデックスの全体データの例を示す図である。

　例えば頂点ノード（ルートノード）であるノード位置（１，１）のノードは、図１２に示すように、以下のノード情報を有する。
　Ｅｎｃ（Ｋｎ１１，（文書ＩＤ＝１－８）｜｜（左の子ノードの鍵））｜｜（左の子ノードのアドレス）｜｜（右の子ノードの鍵））｜｜（右の子ノードのアドレス））

　なお、上記式において、
　Ｋｎ１１は、ノード位置（１，１）のノードのノード鍵である。
　ａ｜｜ｂは、データａとデータｂの連結データを示す。
　Ｅｎｃ（ａ，ｂ）は、データｂに対する鍵ａによる暗号化データであることを示す。
　すなわち、上記のノード情報を示す式は、（文書ＩＤ）～（右の子ノードのアドレス）から構成される連結データに対して、ノード鍵Ｋｎ１１で暗号化したデータであることを示す。

　その他のノード位置（２，１）～（４，８）のノードも、それぞれ同様の連結データに対して、各ノードのノード鍵（Ｋｎ２１～Ｋｎ４８）を適用して暗号化されたノード情報を有する。
　これら木構造を構成する全てのノードのノード情報の集合を、１つのキーワードに対応するキーワード単位インデックスとして生成する。
　なお、前述したように、このキーワード単位インデックスは、図９に示すユーザ側の情報処理装置（クライアント）１００において生成し、サーバ２００に対して送信され、サーバ２００のデータベースに暗号化文書とともに格納される。

　　［３．クライアントのサーバに対するデータ格納処理シーケンスについて］
　次に、図１３以下を参照して、クライアントからサーバに対するデータ格納処理シーケンスについて説明する。

　図１３は、ユーザの情報処理装置であるクライアント１００から、サーバ２００のデータベースに対して、暗号化文書やキーワード単位インデックスを送信して格納するデータ格納処理シーケンスの一例を示す図である。

　左側にクライアント１００、右側にサーバ２００を示している。以下、図に示すステップ順に各処理の詳細を説明する。

　　（ステップＳ１０１）
　まず、クライアント１００は、ステップＳ１０１において、サーバ２００のデータベースに格納する文書に含まれるワードから検索キーとして設定するキーワードを決定し、キーワード単位のインデックス、すなわち、図１０～図１２を参照して説明したキーワード単位インデックスを生成する。
　キーワード単位インデックスは、例えば図１０に示す木構造の各ノードに対応するノード情報によって構成されるデータであり、具体的には、図１２に示すような複数のノード情報の集合データとして構成される。

　キーワード単位インデックスは、設定したキーワード各々について生成する。例えばキーワードとして、ｎ個のキーワード：ＫＷ１、ＫＷ２、ＫＷ３・・・ＫＷｎを決定した場合、各キーワードに対応するｎ個のキーワード単位インデックスを生成する。

　なお、前述したようにキーワード単位インデックスは、複数のノード情報の暗号化データの集合として構成される。このキーワード単位インデックスに含まれるノード情報を取得する際には、初期情報として、頂点ノード（ルートノード）のノード情報のアドレスと、頂点ノード（ルートノード）のノード情報の暗号鍵が必要となる。
　クライアントは、キーワード単位インデックスの生成に際して、生成したキーワード単位インデックスの処理に必要となる初期情報を予めキーワード対応管理データとして生成し、クライアント内の記憶部に格納する。

　図１４にクライアントの生成するキーワード対応管理データ例を示す。図１４に示すように、キーワード対応管理データには、ユーザの決定したｐ個のキーワード（ＫＷ１，ＫＷ２，ＫＷ３，・・・ＫＷｐ）に対応付けて、各キーワードに対応するキーワード単位インデックスのルートノードのアドレスと、ルートノードのノード情報の暗号化に適用されたルートノード鍵が記録される。

　例えばユーザが決定したキーワード（ＫＷ１）に対応するキーワード単位インデックス、すなわち図１０～図１２を参照して説明した構成を持つキーワード単位インデックスを生成した場合、キーワード（ＫＷ１）に対応する情報として以下のデータが記録される。
　（ａ）図１０に示す木構造の頂点のノード、すなわちルートノードのノード情報の記録位置を示すルートノードアドレス、
　（ｂ）図１０に示す木構造の頂点のノード、すなわちルートノードのノード情報の暗号化に適用したルートノード鍵、
　これらのデータを、キーワード（ＫＷ１）対応の管理データとして記録する。
　その他のキーワード（ＫＷ２～ＫＷｐ）についても同様であり、各キーワードに対応するルートノードアドレスと、ルートノード鍵を記録する。

　この図１４に示すキーワード対応管理データは、ユーザ側の情報処理装置（クライアント）１００内のメモリに格納される。各キーワードを適用したデータ検索を行う場合に、ユーザ側の情報処理装置（クライアント）１００からサーバ２００に送信される。この処理については、後段で詳細に説明する。

　図１３のシーケンス図に戻り、クライアント１００によるサーバ２００のデータベースに対するデータ格納処理のシーケンスについての説明を続ける。

　　（ステップＳ１０２）
　ステップＳ１０１において、図１０～図１２を参照して説明したキーワード単位インデックスの生成と、図１４に示すキーワード対応管理データを生成してクライアント１００のメモリに格納する処理が終了すると、クライアント１００はステップＳ１０２の処理を実行する。

　ステップＳ１０２では、サーバ２００のデータベースに格納する文書を暗号化して暗号化文書（Ｄｏｃ１，Ｄｏｃ２，・・・）を生成する。文書の暗号化に適用する鍵は、クライアント１００の生成する任意の鍵でよい。ただし、暗号鍵は、後日、データ検索によってサーバ２００のデータベースから取得した暗号化文書の復号に適用することになるため、各文書の識別子（文書ＩＤ）と対応付けてクライアント１００のメモリに格納しておくのが好ましい。

　　（ステップＳ１０３）
　ステップＳ１０１におけるキーワード単位インデックスの生成と、ステップＳ１０２における暗号化文書の生成が完了すると、クライアント１００は、ステップ１０３の処理を実行する。

　ステップＳ１０３において、クライアント１００は、ステップＳ１０２で生成した暗号化文書と、ステップＳ１０１で生成したキーワード単位インデックスをサーバ２００に送信する。

　　（ステップＳ１０４）
　ステップＳ１０４において、サーバ２００は、クライアント１００から受信した暗号化文書とキーワード単位インデックスをデータベースに格納する。

　図１３に示すステップＳ１０１～Ｓ１０４の一連の処理により、暗号化文書と、キーワード単位インデックスがサーバ２００のデータベースに格納されることになる。
　なお、ユーザは、逐次、新たな暗号化文書を作成してサーバ２００のデータベースに追加格納することが可能である。また、サーバ２００のデータベースに格納された暗号化文書を任意のタイミングで削除することもできる。
　さらに、キーワード単位インデックスについても文書の追加や削除等の処理に併せて、適宜更新する処理を行なうことが可能である。このキーワード単位インデックスの更新処理の詳細については後述する。

　　［４．キーワード単位インデックスの生成シーケンスについて］
　次に、図１３のステップＳ１０１において、クライアント１００が生成するキーワード単位インデックスの生成処理の詳細シーケンスについて、図１５に示すフローチャートを参照して説明する。

　図１５のフローチャートに示す処理は、ユーザの情報処理装置（クライアント）１００において実行する。情報処理装置１００は、図１５のフローチャートに従った処理ステップを規定したプログラムをメモリに格納している。情報処理装置１００のデータ処理部、すなわちプログラム実行機能を有するＣＰＵ等を備えたデータ処理部において、プログラムを実行して図１５に示すフローチャートに従った処理を実行する。

　なお、図１５に示すフローは、１つのキーワード（ＫＷｘ）に対応する１つのキーワード単位インデックスの生成処理シーケンスを示すフローである。複数のキーワード（ＫＷ１，ＫＷ２・・・）を設定した場合、キーワード（ＫＷ１，ＫＷ２・・・）ごとに、図１５に示すフローに従った処理を実行して、各キーワードに対応するキーワード単位インデックスを生成することになる。
　以下、フローに示す各ステップの処理について、順次、説明する。

　　（ステップＳ２０１）
　まず、ステップＳ２０１において、例えば図１０に示すような木構造の新規子ノードとして、データベースに格納する各文書に対応する葉ノード（リーフノード）を設定し、設定した葉ノード（リーフノード）に対応するノード情報を生成する。
　なお、ノード情報は、先に図１１を参照して説明したデータ構成を有する。

　葉ノード（リーフノード）に対応するノード情報は、例えば以下のように設定する。
　文書ＩＤは、各葉ノード対応の文書の文書識別子を設定する。
　葉ノード（リーフノード）対応文書が、キーワード（ＫＷｘ）を含む場合、ステートを○とする。
　葉ノード（リーフノード）対応文書が、キーワード（ＫＷｘ）を含まない場合、ステートを×とする。
　なお、リーフノードには子ノードは設定されないので、子ノードのアドレスと鍵データ領域には、例えばオール０等のダミーデータを格納する。
　データベース格納文書各々に対応する葉ノードのノード情報を生成したら、ステップＳ２０２に進む。

　（ステップＳ２０２）
　ステップＳ２０２では、以下の処理を実行する。
　ステップＳ２０１でノード情報を生成した子ノードから、各ノード対応の文書ＩＤの順番に２つのノード単位で子ノードの組み（ペア）を選択し、子ノード組み（ペア）単位で親ノードを設定し、設定した親ノードのノード情報中の文書ＩＤとステート情報を設定する。

　親ノードのノード情報中の文書ＩＤとステート情報は、以下のように設定する。
　文書ＩＤは、親ノードの下位の葉ノード（リーフノード）に対応する文書ＩＤを全て含む範囲に設定する。
　ステート情報は以下のように設定する。
　子ノードペアステート＝（○，○）→親ノードステート＝○
　子ノードペアステート＝（○，×）→親ノードステート＝△
　子ノードペアステート＝（×，×）→親ノードステート＝×
　子ノードペアステート＝（○，△）→親ノードステート＝△
　子ノードペアステート＝（×，△）→親ノードステート＝△
　子ノードペアステート＝（△，△）→親ノードステート＝△

　　（ステップＳ２０３）
　次に、ステップＳ２０３において、ステップＳ２０２で生成した親ノードに直結する左右の子ノード各々の暗号鍵を生成する。すなわち、子ノードのノード情報を暗号化する子ノード各々のノード鍵を生成する。この暗号鍵は、クライアントが生成する任意の鍵としてよい。
　さらに、生成したノード鍵で、子ノードのノード情報を暗号化する。
　次に、生成したノード鍵を、子ノードに直結する親ノードのノード情報として格納する。

　　（ステップＳ２０４）
　次に、ステップＳ２０４において、ステップＳ２０２で生成した親ノードに直結する左右の子ノードのノード情報記録位置を示すアドレスを親ノードのノード情報として格納する。
　なお、アドレスは、例えばキーワード単位インデックスを記録するデータ領域のデータ先頭からのオフセット情報などを適用することが可能である。
　また、ステップＳ２０２からＳ２０４は、同一階層の子ノードすべてについて実施する。

　　（ステップＳ２０５）
　次に、キーワード単位インデックス生成処理において、ルートノードに到達したか否かを判定する。これは、具体的には、ステップＳ２０２において生成した親ノードが１つのみとなったか否か、すなわち、ルートノードに相当する唯一の親ノードとなったか否かを判定する処理として実行される。

　ステップＳ２０２で生成した親ノードが唯一の親ノードとなり、ルートノードに到達したと判定した場合は、ステップＳ２０５の判定がＹｅｓとなり、ステップＳ２０７に進む。
　一方、ステップＳ２０２で生成した親ノードが唯一の親ノードではなく、複数の親ノードである場合は、ルートノードに到達していないと判定し、ステップＳ２０５の判定がＮｏとなり、ステップＳ２０６に進む。

　　（ステップＳ２０６）
　ステップＳ２０５における判定がＮｏの場合、すなわち、ステップＳ２０２で生成した親ノードが唯一の親ノードではなく、複数の親ノードである場合は、ルートノードに到達していないと判定し、ステップＳ２０６に進む。
　ステップＳ２０６では、ステップＳ２０２で生成した親ノードを新規子ノードとして、新規子ノードを処理対象としてステップＳ２０２以下の処理を実行する。

　このようにして、例えば図１０に示す木構造が、再下段の葉ノード（リーフノード）から、順次、上層に向かって構築される。最終的に、ステップＳ２０２で生成した親ノードが唯一の親ノードとなる。この結果、ステップＳ２０５の判定処理、すなわち、「ルートノードに到達？」の判定処理がＹｅｓとなり、ステップＳ２０７に進む。

　　（ステップＳ２０７）
　最後に、ステップＳ２０７において、ルートノードのノード情報を暗号化する暗号鍵（ルートノード鍵）を生成し、ルートノードのノード情報を生成したルートノード鍵で暗号化する。

　これらの処理を実行することで、例えば図１０を参照して説明した木構造を持つキーワード単位インデックスが生成される。具体的には、キーワード単位インデックスは、図１２に示すノード対応のノード情報の暗号化データの集合として構成される。

　図１３のシーケンス図のステップＳ１０１では、この図１５に示すフローチャートに従った処理を実行して、キーワード単位インデックスを生成する。
　なお、前述したように、キーワード単位インデックスは、１つのキーワードに対して１つ生成する。従って、クライアント側ユーザが複数のキーワードを設定した場合は、設定したキーワード各々について、図１５に示すフローチャートに従った処理を実行し、キーワード数と等しい数のキーワード単位インデックスを生成する。

　　［５．データ検索処理について］
　次に、図１６以下を参照して、サーバ２００のデータベースに格納したデータをクライアント１００が検索する場合の処理について説明する。

　　［５－１．データ検索処理の基本シーケンス］
　図１６は、データ検索処理を行なう場合のクライアント１００と、サーバ２００との基本的なシーケンスを示す図である。
　各ステップの処理について、順次、説明する。

　　（ステップＳ３０１）
　ステップＳ３０１において、ユーザ側の情報処理装置（クライアント）１００は、文書検索に適用するキーワードを決定する。
　次に、決定したキーワードに対応するキーワード単位インデックスのルートノードアドレスと、ルートノード鍵を取得する。
　これらルートノードアドレスと、ルートノード鍵は、先に図１４を参照して説明したキーワード対応管理データから取得する。

　　（ステップＳ３０２）
　次に、クライアント１００は、ステップＳ３０１において取得した検索に適用するキーワードに対応するルートノードアドレスとルートノード鍵をサーバに送信する。
　なお、このデータ送信に際して、どのような検索を行うかの検索態様情報も併せて送信する。

　検索態様情報とは、たとえば、以下のような検索態様のうちの、どの検索を行うかを示す情報である。
　（検索態様１）データベース格納文書（Ｄｏｃｘ）を指定して、この指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かを確認する処理。
　（検索態様２）特定のキーワード（ＫＷｙ）を含むデータベース格納文書を全て抽出する処理。
　例えば、これらのどちらの検索処理を行なうかの情報をサーバに送信する。なお、上記（検索態様１）の検索を行う場合は、指定文書の文書識別子（文書ＩＤ）もサーバに送信する。

　　（ステップＳ３０３）
　ステップＳ３０３において、サーバ２００は、クライアント１００から受信したルートノードアドレスに従って、キーワード単位インデックスのルートノードのノード情報を取得する。
　取得したルートノードのノード情報は暗号化データであり、この暗号化データを、クライアントから受信したノード鍵で復号して、ルートノードのノード情報を取得する。

　なお、前述したように、ノード情報には、先に図１１を参照して説明した情報が含まれる。すなわち、
　（１）文書ＩＤ
　（２）ステート情報
　（３）左の子ノードの鍵
　（４）左の子ノードのアドレス
　（５）右の子ノードの鍵
　（６）右の子ノードのアドレス
　これらの情報が含まれる。

　　（ステップＳ３０４）
　次に、サーバ２００は、クライアントから受信した検索態様情報に従って、指定された検索態様に応じた検索処理を実行する。検索処理は、キーワード単位インデックスからのノード情報取得処理として実行する。

　なお、この検索処理は、検索態様に応じた異なる処理となる。この検索処理の具体的な処理シーケンスについては、図１７、図１８に示すフローチャートを参照して後段で説明する。

　　（ステップＳ３０５）
　次にサーバ２００は、ステップＳ３０４の検索処理によって得られた検索結果をクライアント１００に送信する。

　クライアント側で設定したキーワードに基づくデータ検索処理の基本シーケンスは、この図１６に示すシーケンスに従って実行される。
　データ検索処理は、クライアントからキーワード自体を送信することなく、キーワード単位インデックスのルートノードアドレスと、ルートノード鍵を送信し、サーバ２００がこれらのデータを適用してキーワード単位インデックスを処理して行われる。

　サーバ２００の実行する処理は、クライアントが指定したデータ検索態様に応じて異なる処理となる。
　以下、フローチャートを参照して、以下の２つのデータ検索処理の具体的手順について説明する。
　（検索処理例１）データベース格納文書（Ｄｏｃｘ）を指定して、この指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かを確認する処理。
　（検索処理例２）特定のキーワード（ＫＷｙ）を含むデータベース格納文書を全て抽出する処理。

　　［５－２．指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かを確認する処理の詳細について］
　まず、図１７に示すフローチャートを参照して、データベース格納文書（Ｄｏｃｘ）を指定して、この指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かを確認する処理の具体的シーケンスについて説明する。

　なお、この図１７に示す処理は、サーバ側で実行する処理である。サーバは、クライアントから以下のデータを受領しているものとする。
　（ａ）キーワード（ＫＷｙ）に対応するキーワード単位インデックスにおけるルートノードのアドレス、
　（ｂ）キーワード（ＫＷｙ）に対応するキーワード単位インデックスにおけるルートノードに対応するノード情報の暗号鍵（ルートノード鍵）、
　（ｃ）指定文書（Ｄｏｃｘ）の文書識別子（文書ＩＤ）

　サーバは、上記（ａ）～（ｃ）の各データを受領して、図１７に示すフローに従った処理を実行する。なお、サーバは、図１７に示すフローに従った処理を実行するためのプログラムをメモリに格納し、このプログラムを、ＣＰＵを有するデータ処理部において実行する。
　以下、図１７に示すフローの各ステップの処理について、順次、説明する。

　　（ステップＳ４０１）
　まず、サーバはステップＳ４０１において、クライアントから受信したキーワード（ＫＷｙ）に対応するキーワード単位インデックスのルートノードアドレスに基づいて、ルートノードの暗号化ノード情報を取得する。
　さらに、取得した暗号化ノード情報に対して、クライアントから受信した鍵（ルートノード鍵）を適用した復号処理を実行し、ノード情報を取得する。

　　（ステップＳ４０２）
　次に、ステップＳ４０２において、ステップＳ４０１で取得したキーワード（ＫＷｙ）に対応するキーワード単位インデックスのルートノードのノード情報に含まれるステート情報を確認する。

　先に説明したように、ステート情報は、以下に示すいすれかの情報を示すデータである。
　（１）○：自ノードまたは下位ノードに対応する文書は全て特定のキーワード（ＫＷｙ）を含む。
　（２）×：自ノードまたは下位ノードに対応する文書は全て特定のキーワード（ＫＷｙ）を含まない。
　（３）△：自ノードまたは下位ノードに対応する文書には特定のキーワード（ＫＷｙ）を含むものと含まないものが存在する。
　ノード情報中のステート情報には、これら○、×、△の３種類のいずれかの情報が設定される。

　　（ステップＳ４０３）
　ステップＳ４０３は、取得したノード情報中のステート情報に従って処理を変更するステップである。
　ステート情報＝△の場合は、ステップＳ４０４に進む。
　ステート情報＝○の場合は、ステップＳ４０５に進む。
　ステート情報＝×の場合は、ステップＳ４０６に進む。

　　（ステップＳ４０４）
　ステップＳ４０４は、ステップＳ４０３において取得したノード情報中のステート情報が△の場合、すなわち、自ノードまたは下位ノードに対応する文書に特定のキーワード（ＫＷｙ）を含むものと含まないものが存在する場合に実行する処理である。
　ステップＳ４０４では、取得したノード情報に対応するノードの直下の子ノードのうち、文書ｘ（Ｄｏｃｘ）を下位の葉ノード（リーフノード）に含む子ノードを選択し、選択した子ノードのノード情報を復号する。

　ステップＳ４０４の処理の実行後は、ステップＳ４０２に戻り、ステップＳ４０４において取得した子ノードのノード情報に対して、ステップＳ４０２の処理、すなわちノード情報中のステート情報を確認する処理を行なう。

　　（ステップＳ４０５）
　ステップＳ４０５は、ステップＳ４０３において取得したノード情報中のステート情報が○の場合、すなわち、自ノードまたは下位ノードに対応する文書は全て特定のキーワード（ＫＷｙ）を含む場合に実行する処理である。
　ステップＳ４０３で、この判定がなされた場合、ステップＳ４０５では、文書ｘ（Ｄｏｃｘ）はキーワード（Ｋｗｙ）を含むと判定し、処理を終了する。

　ステップＳ４０５の処理が実行された場合の処理結果は、
　「文書ｘ（Ｄｏｃｘ）はキーワード（Ｋｗｙ）を含む」
　上記の結果となり、この結果がサーバ２００からクライアント１００に通知される。

　　（ステップＳ４０６）
　ステップＳ４０６は、ステップＳ４０３において取得したノード情報中のステート情報が×の場合、すなわち、自ノードまたは下位ノードに対応する文書は全て特定のキーワード（ＫＷｙ）を含まない場合に実行する処理である。
　ステップＳ４０３で、この判定がなされた場合、ステップＳ４０６では、文書ｘ（Ｄｏｃｘ）はキーワード（Ｋｗｙ）を含まないと判定し、処理を終了する。

　ステップＳ４０６の処理が実行された場合の処理結果は、
　「文書ｘ（Ｄｏｃｘ）はキーワード（Ｋｗｙ）を含まない」
　上記の結果となり、この結果がサーバ２００からクライアント１００に通知される。

　このように、ステップＳ４０５、またはステップＳ４０６の処理が実行されると、処理が終了し、クライアントの指定した文書ｘ（Ｄｏｃｘ）がキーワードｙ（ＫＷｙ）を含むか否かの判定結果が生成されてクライアントに通知される。

　具体的な処理シーケンスについて、図１８に示す木構造を参照して説明する。
　図１８の木構造はキーワードｙ（ＫＷｙ）に対応するキーワード単位インデックスの木構造であるとし、ノード位置（４，４）の文書４が、クライアントが指定した文書であるとする。すなわち、クライアントは、文書４がキーワードｙ（ＫＷｙ）を含むか否かの判定処理結果を求めているとする。
　なお、図１８に示す木構造には、文書４のステート情報として○が設定されており、文書４はキーワードｙ（ＫＷｙ）を含む文書である。
　しかし、この情報は、暗号化データであり、すぐには得られない。

　まず、サーバは、クライアントから受信したルートノードアドレスに従って、図１８に示すルートノード（１，１）の暗号化ノード情報を取得する。
　さらに、クライアントから取得したルートノードの暗号鍵を適用して復号処理を実行してルートノード（１，１）のノード情報を取得する。
　さらに、ルートノード（１，１）のノード情報のステート情報を確認する。
　このステート情報は△であることが確認される。

　この一連の処理は、図１８の（ａ）に示すように、図１７のフローのステップＳ４０１～Ｓ４０３の各処理に対応する。すなわち、図１７のフローのステップＳ４０１，Ｓ４０２の処理，さらに、ステップＳ４０３の判定においてノード情報中のステート情報が△と判定され、ステップＳ４０４に進む処理に相当する。

　ステップＳ４０４では、文書ｘ（Ｄｏｃｘ）を下位ノードに含む子ノードを選択してその子ノードのノード情報を復号する処理を行なう。
　図１８の木構造において、文書ｘ＝文書４は、ノード位置（１，１）のルートノードに直結する２つの子ノード中、ノード位置（２，１）の子ノード側の下位ノードに含まれている。
　従って、ステップＳ４０４では、ノード位置（２，１）の子ノードを選択する。
　この処理が、図１８の（ｂ）に示す処理である。

　さらに、選択されたノード位置（２，１）の子ノードのノード情報を復号して、ノード情報を取得し、さらに、取得したノード情報のステート情報を確認する。
　このステート情報は△であることが確認される。

　この一連の処理は、図１８の（ｃ）に示す処理である。
　すなわち、図１７のフローのステップＳ４０４，Ｓ４０２の処理，さらに、ステップＳ４０３の判定においてノード情報中のステート情報が△と判定され、ステップＳ４０４に進む処理に相当する。

　ステップＳ４０４では、文書ｘ（Ｄｏｃｘ）を下位ノードに含む子ノードを選択してその子ノードのノード情報を復号する処理を行なう。
　図１８の木構造において、文書ｘ＝文書４は、ノード位置（２，１）のノードに直結する２つの子ノード中、ノード位置（３，２）の子ノード側の下位ノードに含まれている。
　従って、ステップＳ４０４では、ノード位置（３，２）の子ノードを選択する。
　この処理が、図１８の（ｄ）に示す処理である。

　さらに、選択されたノード位置（３，２）の子ノードのノード情報を復号して、ノード情報を取得し、さらに、取得したノード情報のステート情報を確認する。
　このステート情報は△であることが確認される。

　この一連の処理は、図１８の（ｅ）に示す処理である。
　すなわち、図１７のフローのステップＳ４０４，Ｓ４０２の処理，さらに、ステップＳ４０３の判定においてノード情報中のステート情報が△と判定され、ステップＳ４０４に進む処理に相当する。

　ステップＳ４０４では、文書ｘ（Ｄｏｃｘ）を下位ノードに含む子ノードを選択してその子ノードのノード情報を復号する処理を行なう。

　図１８の木構造において、文書ｘ＝文書４は、ノード位置（３，２）のノードに直結する２つの子ノード中、ノード位置（４，４）の子ノード側の下位ノードである。
　従って、ステップＳ４０４では、ノード位置（４，４）の子ノードを選択する。
　この処理が、図１８の（ｆ）に示す処理である。

　さらに、選択されたノード位置（４，４）の子ノードのノード情報を復号して、ノード情報を取得し、さらに、取得したノード情報のステート情報を確認する。
　このステート情報は○であることが確認される。

　この一連の処理は、図１８の（ｇ）に示す処理である。
　すなわち、図１７のフローのステップＳ４０４，Ｓ４０２の処理，さらに、ステップＳ４０３の判定においてノード情報中のステート情報が○と判定され、ステップＳ４０５に進む処理に相当する。

　このステップＳ４０５に進むと、文書ｘ（Ｄｏｃｘ）がキーワードｙ（ＫＷｙ）を含む文書であると判定され、処理が終了する。

　この図１８に示す処理では、木構造のルートノード（１，１）のステートが△、第２層の選択ノード（２，１）のステートも△、第３層の選択ノード（３，２）のステートも△である。このようなステート設定の場合は、結果として、指定文書（Ｄｏｃ４）に対応する最下層のリーフノード（４，４）のステート情報の取得が必要となる。

　しかし、例えば、キーワード単位インデックスの木構造のルートノード（１，１）のステートが○であれば、その時点で、そのルートノードの下位に設定された文書対応のリーフノードのステートは全て○であることが確認される。
　従って、このような設定の場合、文書ｘ（Ｄｏｃｘ）がキーワードｙ（ＫＷｙ）を含むか否かの判定は、ルートノードのステート情報を確認し、第２層以下のノードのノード情報の復号、解析を実行することなく処理を終了することができる。

　また、例えばルートノードのステートが△であっても、選択された第２層のノードのステートが○であれば、その時点で、その第２層のノード以下にあるリーフノード対応の文書は全て指定キーワードｙ（ＫＷｙ）を含むことが確認される。従って、このような設定の場合は、第２層のノードのステート情報の確認まで実行すれば、第３層以下のノードのノード情報の復号、解析を実行することなく処理を終了することができる。

　図１９は、キーワードｙ（ＫＷｙ）を含むか否かの検証対象とする文書ｘを文書１とした場合の処理例であり、第３層のノード（３，１）のステートが○の場合の処理シーケンスを説明する図である。

　まず、サーバは、クライアントから受信したルートノードアドレスに従って、図１９に示すルートノード（１，１）の暗号化ノード情報を取得する。
　さらに、クライアントから取得したルートノードの暗号鍵を適用して復号処理を実行してルートノード（１，１）のノード情報を取得する。
　さらに、ルートノード（１，１）のノード情報のステート情報を確認する。
　このステート情報は△であることが確認される。

　この一連の処理は、図１９の（ａ）に示すように、図１７のフローのステップＳ４０１～Ｓ４０３の各処理に対応する。すなわち、図１７のフローのステップＳ４０１，Ｓ４０２の処理，さらに、ステップＳ４０３の判定においてノード情報中のステート情報が△と判定され、ステップＳ４０４に進む処理に相当する。

　ステップＳ４０４では、文書ｘ（Ｄｏｃｘ）を下位ノードに含む子ノードを選択してその子ノードのノード情報を復号する処理を行なう。
　図１９の木構造において、文書ｘ＝文書１は、ノード位置（１，１）のルートノードに直結する２つの子ノード中、ノード位置（２，１）の子ノード側の下位ノードに含まれている。
　従って、ステップＳ４０４では、ノード位置（２，１）の子ノードを選択する。
　この処理が、図１９の（ｂ）に示す処理である。

　この一連の処理は、図１９の（ｃ）に示す処理である。
　すなわち、図１７のフローのステップＳ４０４，Ｓ４０２の処理，さらに、ステップＳ４０３の判定においてノード情報中のステート情報が△と判定され、ステップＳ４０４に進む処理に相当する。

　ステップＳ４０４では、文書ｘ（Ｄｏｃｘ）を下位ノードに含む子ノードを選択してその子ノードのノード情報を復号する処理を行なう。
　図１９の木構造において、文書ｘ＝文書１は、ノード位置（２，１）のノードに直結する２つの子ノード中、ノード位置（３，１）の子ノード側の下位ノードに含まれている。
　従って、ステップＳ４０４では、ノード位置（３，１）の子ノードを選択する。
　この処理が、図１９の（ｄ）に示す処理である。

　さらに、選択されたノード位置（３，１）の子ノードのノード情報を復号して、ノード情報を取得し、さらに、取得したノード情報のステート情報を確認する。
　このステート情報は○であることが確認される。

　この一連の処理は、図１９の（ｅ）に示す処理である。
　すなわち、図１７のフローのステップＳ４０４，Ｓ４０２の処理，さらに、ステップＳ４０３の判定においてノード情報中のステート情報が○と判定され、ステップＳ４０５に進む処理に相当する。
　ステップＳ４０５に進むと、文書ｘ（Ｄｏｃｘ）＝文書１は、キーワードｙ（ＫＷｙ）を含む文書であると判定され、処理が終了する。

　この図１９に示す処理では、木構造のルートノード（１，１）のステートが△、第２層の選択ノード（２，１）のステートも△であるが、第３層の選択ノード（３，１）のステートが○である。このようなステート設定の場合は、指定文書（Ｄｏｃ１）に対応する最下層のリーフノード（４，１）のステート情報の取得を行うことなく、それより上位層のノード情報の取得のみで、処理を完了することができる。

　このように、解析対象とする文書対応のリーフノードからルートノードに至るノードのいずれかのノード情報が○であれば、そのノード以下に設定された文書対応のリーフノードのステートは全て○であり、キーワードを含む文書であると判定することが可能となる。
　同様に、解析対象とする文書対応のリーフノードからルートノードに至るノードのいずれかのノード情報が×であれば、そのノード以下に設定された文書対応のリーフノードのステートは全て×であり、キーワードを含まない文書であると判定することが可能となる。

　このように、木構造を利用した処理では、目的とする文書対応のノード情報の解析以前に、その目的文書が特定キーワードを含むか否かの判定を行なうことが可能であり、効率的な処理が実現される。

　なお、先に図７、図８を参照して説明した一次元の文書リンク構造を用いた場合は、必ず、目的とする文書までのノード情報の解読が必須となり、上述した木構造を用いた処理の方が、効率的な処理が実現される。

　なお、図１０、図１８～図１９を参照して説明した２分木構造を適用した場合、リーフノードとして設定する文書数をＮとすると、キーワードを含むか否かの判定を行なう文書対応のリーフノードより上位のノードのステートが全て△である最悪のケースでも、解析処理が必要となるノード数は、ｌｏｇＮ＋１である。
　また、ルートノードのステートが○、または×である場合の解析処理必用ノード数はルートノードのみの１である。
　従って、木構造を用いた場合の解析処理必用ノード数は、１～（ｌｏｇＮ＋１）の範囲となる。

　　［５－３．特定のキーワード（ＫＷｙ）を含むデータベース格納文書を全て抽出する処理について］
　次に、図２０に示すフローチャートを参照して、特定のキーワード（ＫＷｙ）を含むデータベース格納文書を全て抽出する処理の具体的シーケンスについて説明する。

　なお、この図２０に示す処理は、サーバ側で実行する処理である。サーバは、クライアントから以下のデータを受領しているものとする。
　（ａ）キーワード（ＫＷｙ）に対応するキーワード単位インデックスにおけるルートノードのアドレス、
　（ｂ）キーワード（ＫＷｙ）に対応するキーワード単位インデックスにおけるルートノードに対応するノード情報の暗号鍵（ルートノード鍵）、

　サーバは、上記（ａ）～（ｂ）の各データを受領して、図２０に示すフローに従った処理を実行する。なお、サーバは、図２０に示すフローに従った処理を実行するためのプログラムをメモリに格納し、このプログラムをＣＰＵを有するデータ処理部において実行する。

　なお、この処理、すなわち、特定のキーワード（ＫＷｙ）を含むデータベース格納文書を全て抽出する処理では、データベース格納文書の各々が特定キーワード（ＫＷｙ）を含むか否かの結果を記録するテーブル（リスト）を作成することが好ましい。
　具体的には、例えば図２１（ａ）に示すテーブルである。

　図２１（ａ）に示すテーブルは、
　（１）木構造のノード設定、
　（２）文書ＩＤ、
　（３）キーワードの有無、
　これらの各データを対応付けたテーブルである。

　（１）木構造のノード設定は、最上層のルートノード（１，１）から、最下層のリーフノード（４，１）～（４，８）まで、層構成に併せたデータ構成を持つ。
　（２）文書ＩＤは、リーフノードに対応する文書の文書ＩＤである。
　（３）キーワードの有無は、図２０に示すフローに従った処理に従って得られた結果を記録するフィールドである。
　なお、図２１（ｂ）に示すテーブルは、図２０に示すフローに従った処理に従って得られた結果を「（３）キーワードの有無」の欄に記録して得られる処理完了後のテーブルである。

　以下、図２０に示すフローの各ステップの処理について、順次、説明する。
　　（ステップＳ５０１）
　まず、サーバはステップＳ５０１において、クライアントから受信したキーワード（ＫＷｙ）に対応するキーワード単位インデックスのルートノードアドレスに基づいて、ルートノードの暗号化ノード情報を取得する。
　さらに、取得した暗号化ノード情報に対して、クライアントから受信した鍵を適用した復号処理を実行し、ノード情報を取得する。

　　（ステップＳ５０２）
　次に、ステップＳ５０２において、ステップＳ５０１で取得したキーワード（ＫＷｙ）に対応するキーワード単位インデックスのルートノードのノード情報に含まれるステート情報を確認する。

　　（ステップＳ５０３）
　ステップＳ５０３は、取得したノード情報中のステート情報に従って処理を変更するステップである。
　ステート情報＝△の場合は、ステップＳ５０４に進む。
　ステート情報＝○の場合は、ステップＳ５０５に進む。
　ステート情報＝×の場合は、ステップＳ５０６に進む。

　　（ステップＳ５０４）
　ステップＳ５０４は、ステップＳ５０３において取得したノード情報中のステート情報が△の場合、すなわち、自ノードまたは下位ノードに対応する文書に特定のキーワード（ＫＷｙ）を含むものと含まないものが存在する場合に実行する処理である。
　ステップＳ５０４では、取得したノード情報に対応するノードの直下の子ノードの暗号化ノード情報を順次、復号してノード情報を取得し、取得した子ノードのノード情報について、ステップＳ５０２以下の処理を行なう。すなわちステート情報を確認し確認結果に応じて、ステップＳ５０４～Ｓ５０６の処理を行なう。

　なお、ステップ５０４では、複数の子ノードについて、順次、処理を実行する。すなわち、
　Ｓ５０４→Ｓ５０２→Ｓ５０３
　この一連の処理を、複数の子ノード各々について、順次、実行する。

　　（ステップＳ５０５）
　ステップＳ５０５は、ステップＳ５０３において取得したノード情報中のステート情報が○の場合に実行する処理である。
　ステップＳ５０３で、この判定がなされた場合、ステップＳ５０５では、自ノードのノード情報に記録された文書ＩＤ、すなわち、自ノードまたは下位ノードに対応する文書は全て特定のキーワード（ＫＷｙ）を含むと判定する。

　このステップＳ５０５の処理を実行して、キーワード（ＫＷｙ）を含むと判定された文書について、先に説明した図２１のテーブルの「キーワード（ＫＷ）の有無」の欄にキーワードを含むことを示す識別データ（○）を記録する。

　例えば、図２１に示す木構造において、中間ノード（３，１）のノード情報解析を行った場合、ステートが○であることが確認される。この場合、その中間ノード（３，１）のノード情報の文書ＩＤは、文書ＩＤ＝１～２である。従ってこれらの文書１、文書２は、キーワードｙ（ＫＷｙ）を含むと判定して、文書１，２の「キーワード（ＫＷ）の有無」の欄に○を記録する。

　　（ステップＳ５０６）
　ステップＳ５０６は、ステップＳ５０３において取得したノード情報中のステート情報が×の場合に実行する処理である。
　ステップＳ５０３で、この判定がなされた場合、ステップＳ５０６では、自ノードのノード情報に記録された文書ＩＤ、すなわち、自ノードまたは下位ノードに対応する文書は全て特定のキーワード（ＫＷｙ）を含まないと判定する。

　このステップＳ５０６の処理を実行して、キーワード（ＫＷｙ）を含まないと判定された文書について、先に説明した図２１のテーブルの「キーワード（ＫＷ）の有無」の欄にキーワードを含まないことを示す識別データ（×）を記録する。

　例えば、図２１に示す木構造において、中間ノード（３，３）のノード情報解析を行った場合、ステートが×であることが確認される。この場合、その中間ノード（３，３）のノード情報の文書ＩＤは、文書ＩＤ＝５～６である。従ってこれらの文書５、文書６は、キーワードｙ（ＫＷｙ）を含まないと判定して、文書５，６の「キーワード（ＫＷ）の有無」の欄に×を記録する。

　具体的な処理シーケンスについて、図２２に示す木構造を参照して説明する。
　例えば図２２の木構造はキーワードｙ（ＫＷｙ）に対応するキーワード単位インデックスの木構造であるとする。
　最下層のリーフノード（４，１）～（４，８）のノード対応の８つの文書ががキーワードｙ（ＫＷｙ）を含むか否かの判定処理結果を求めているとする。

　まず、サーバは、クライアントから受信したルートノードアドレスに従って、図２２に示すルートノード（１，１）の暗号化ノード情報を取得する。
　さらに、クライアントから取得したルートノードの暗号鍵を適用して復号処理を実行してルートノード（１，１）のノード情報を取得する。
　さらに、ルートノード（１，１）のノード情報のステート情報を確認する。
　このステート情報は△であることが確認される。

　この一連の処理は、図２２の（ａ）に示すように、図２０のフローのステップＳ５０１～Ｓ５０３の各処理に対応する。すなわち、図２０のフローのステップＳ５０１，Ｓ５０２の処理，さらに、ステップＳ５０３の判定においてノード情報中のステート情報が△と判定され、ステップＳ５０４に進む処理に相当する。

　ステップＳ５０４では、取得したノード情報に対応するノードの直下の子ノードの暗号化ノード情報を順次、復号してノード情報を取得し、取得した子ノードのノード情報について、ステップＳ５０２以下の処理を行なう。
　すなわち、図２２に示すノード（２，１）、ノード（２，２）について、Ｓ５０４→Ｓ５０２→Ｓ５０３、この一連の処理を、各々実行する。

　なお、図２２は、代表的な処理例として、ノード（２，１）の処理についてのみ記載している。
　ステップＳ５０４において、ノード（２，１）の暗号化ノード情報を復号してノード情報を取得し、取得したノード情報について、ステップＳ５０２以下の処理を行なう。
　すなわち、取得したノード情報のステート情報を確認する。
　このステート情報は△であることが確認される。

　この一連の処理は、図２２の（ｂ）に示す処理である。
　すなわち、図２０のフローのステップＳ５０４，Ｓ５０２の処理，さらに、ステップＳ５０３の判定においてノード情報中のステート情報が△と判定され、ステップＳ５０４に進む処理に相当する。

　さらに、ステップＳ５０４の処理として、取得したノード情報に対応するノードの直下の子ノードの暗号化ノード情報を順次、復号してノード情報を取得し、取得した子ノードのノード情報について、ステップＳ５０２以下の処理を行なう。
　すなわち、図２２に示すノード（３，１）、ノード（３，２）について、Ｓ５０４→Ｓ５０２→Ｓ５０３、この一連の処理を、各々実行する。

　なお、図２２には、代表的な処理例として、ノード（３，１）の処理についてのみ記載している。
　ステップＳ５０４において、ノード（３，１）の暗号化ノード情報を復号してノード情報を取得し、取得したノード情報について、ステップＳ５０２以下の処理を行なう。
　すなわち、取得したノード情報のステート情報を確認する。
　このステート情報は○であることが確認される。

　この一連の処理は、図２２の（ｃ）に示す処理である。
　すなわち、図２０のフローのステップＳ５０４，Ｓ５０２の処理，さらに、ステップＳ５０３の判定においてノード情報中のステート情報が○と判定され、ステップＳ５０５に進む処理に相当する。

　ステップＳ５０５では、自ノードのノード情報に記録された文書ＩＤ、すなわち、自ノードまたは下位ノードに対応する文書は全て特定のキーワード（ＫＷｙ）を含むと判定する。
　すなわち、ノード（３，１）のノード情報の文書ＩＤは、文書ＩＤ＝１～２である。従ってこれらの文書１、文書２は、キーワードｙ（ＫＷｙ）を含むと判定して、文書１，２の「キーワード（ＫＷ）の有無」の欄に○を記録する。

　その他のノードについても、同様の処理を実行する。
　この木構造を利用することで、ステート情報が○のノード情報が得られた場合、その下位のリーフノード対応の文書は全てキーワードを含むと判定されるので、そのノードの下位ノードの解析は不要となる。
　同様に、ステート情報が×のノード情報が得られた場合、その下位のリーフノード対応の文書は全てキーワードを含まないと判定されるので、そのノードの下位ノードの解析は不要となる。

　　［６．３分木以上の多分木構成を持つキーワード単位インデックスについて］
　上述したキーワード単位インデックスは、１つの親ノードの直下に２つの子ノードが設定される２分木構成を持つインデックスである。
　しかし、キーワード単位インデックスは、上述した２分木構成のみならず、１つの親ノードの直下に３つの子ノードを設定した３分木構成等、分木数＝２以上の任意数とした多分木構成とすることが可能である。

　分木数＝ｋ、ただしｋ≧２、としたキーワード単位インデックスの生成シーケンスについて、図２３に示すフローチャートを参照して説明する。

　図２３のフローチャートに示す処理は、ユーザの情報処理装置（クライアント）１００において実行される。情報処理装置１００は、図２３のフローチャートに従った処理ステップを規定したプログラムをメモリに格納している。情報処理装置１００のデータ処理部、すなわちプログラム実行機能を有するＣＰＵ等を備えたデータ処理部において、プログラムを実行して、図２３に示すフローチャートに従った処理が実行される。

　なお、図２３に示すフローは、１つのキーワード（ＫＷｘ）に対応する１つのキーワード単位インデックスの生成処理シーケンスを示すフローである。複数のキーワード（ＫＷ１，ＫＷ２・・・）を設定した場合、キーワード（ＫＷ１，ＫＷ２・・・）ごとに、図２３に示すフローに従った処理を実行することになる。
　以下、フローに示す各ステップの処理について、順次、説明する。

　　（ステップＳ７０１）
　まず、ステップＳ７０１において、ｋ分木の木構造の新規子ノードとして、データベースに格納する各文書に対応する葉ノード（リーフノード）を設定し、設定した葉ノード（リーフノード）に対応するノード情報を生成する。
　なお、ノード情報は、先に図１１を参照して説明したデータ構成を有する。

　葉ノード（リーフノード）に対応するノード情報は、例えば以下のように設定する。
　文書ＩＤは、各葉ノード対応の文書の文書識別子を設定する。
　葉ノード（リーフノード）対応文書が、キーワード（ＫＷｘ）を含む場合、ステートを○とする。
　葉ノード（リーフノード）対応文書が、キーワード（ＫＷｘ）を含まない場合、ステートを×とする。
　また、子ノードのアドレスと鍵データとしては、例えばオール０等のダミーデータを設定する。
　データベース格納文書各々に対応する葉ノードのノード情報を生成したら、ステップＳ７０２に進む。

　（ステップＳ７０２）
　ステップＳ７０２では、以下の処理を実行する。
　ステップＳ７０１でノード情報を生成した子ノードから、各ノード対応の文書ＩＤの順番にｋ個のノード単位で子ノードの集合を設定する。なお、ｋ≧２である。
　さらに、設定したｋ個の子ノード集合単位で親ノードを設定する。さらに親ノードのノード情報中の文書ＩＤとステート情報を決定する。

　親ノードのノード情報中の文書ＩＤとステート情報は、以下のように設定する。
　文書ＩＤは、親ノードの下位の葉ノード（リーフノード）に対応する文書ＩＤを全て含む範囲に設定する。
　ステート情報は以下のように設定する。
　子ノードのステート＝全て○→親ノードステート＝○
　子ノードのステート＝全て×→親ノードステート＝×
　子ノードのステート＝上記以外→親ノードステート＝△

　　（ステップＳ７０３）
　次に、ステップＳ７０３において、ステップＳ７０２で生成した親ノードに直結する子ノード各々の暗号鍵を生成する。すなわち、子ノードのノード情報を暗号化する子ノード各々に対応するノード鍵を生成する。この暗号鍵は、クライアントが生成する任意の鍵としてよい。
　さらに、生成したノード鍵で、子ノードのノード情報を暗号化する。
　次に、生成したノード鍵を、子ノードに直結する親ノードのノード情報として格納する。

　　（ステップＳ７０４）
　次に、ステップＳ７０４において、ステップＳ７０２で生成した親ノードに直結する子ノードのノード情報記録位置を示すアドレスを親ノードのノード情報として格納する。
　なお、アドレスは、例えばキーワード単位インデックスを記録するデータ領域のデータ先頭からのオフセット情報などを適用可能である。
　また、ステップＳ７０２からＳ７０４は，同一階層の子ノードすべてについて実施する。

　　（ステップＳ７０５）
　次に、キーワード単位インデックス生成処理において、ルートノードに到達したか否かを判定する。これは、具体的には、ステップＳ７０２において生成した親ノードが１つのみとなったか否か、すなわち、ルートノードに相当する唯一の親ノードとなったか否かを判定する処理として実行される。

　ステップＳ７０２で生成した親ノードが唯一の親ノードとなり、ルートノードに到達したと判定した場合は、ステップＳ７０５の判定がＹｅｓとなり、ステップＳ７０７に進む。
　一方、ステップＳ７０２で生成した親ノードが唯一の親ノードではなく、複数の親ノードである場合は、ルートノードに到達していないと判定し、ステップＳ７０５の判定がＮｏとなり、ステップＳ７０６に進む。

　　（ステップＳ７０６）
　ステップＳ７０５における判定がＮｏの場合、すなわち、ステップＳ７０２で生成した親ノードが唯一の親ノードではなく、複数の親ノードである場合は、ルートノードに到達していないと判定し、ステップＳ７０６に進む。
　ステップＳ７０６では、ステップＳ７０２で生成した親ノードを新規子ノードとして、新規子ノードを処理対象としてステップＳ７０２以下の処理を実行する。

　このようにして、ｋ分木構成を持つ木構造が、再下段の葉ノード（リーフノード）から、順次、上層に向かって構築される。最終的に、ステップＳ７０２で生成した親ノードが唯一の親ノードとなる。この結果、ステップＳ７０５の判定処理、すなわち、「ルートノードに到達？」の判定処理がＹｅｓとなり、ステップＳ７０７に進む。

　　（ステップＳ７０７）
　最後に、ステップＳ７０７において、ルートノードのノード情報を暗号化する暗号鍵を決定し、ルートノードのノード情報を決定した鍵で暗号化する。

　これらの処理を実行することで、ｋ分木構成の木構造を持つキーワード単位インデックスが生成される。

　例えば、図１３のシーケンス図のステップＳ１０１において、この図２３に示すフローチャートに従った処理を実行して、キーワード単位インデックスを生成する。
　なお、前述したように、キーワード単位インデックスは、１つのキーワードに対して１つ生成する。従って、クライアント側ユーザが複数のキーワードを設定した場合は、設定したキーワード各々について、図２３に示すフローチャートに従った処理を実行し、キーワード数と等しい数のキーワード単位インデックスを生成する。

　　［７．データベース格納文書の削除、追加に伴うキーワード単位インデックスの更新処理について］
　次に、データベース格納文書の削除、追加に伴うキーワード単位インデックスの更新処理について説明する。

　先に図１３を参照して説明したように、クライアント１００は、サーバ２００のデータベースに対して暗号化文書（Ｄｏｃ１，Ｄｏｃ２，Ｄｏｃ３・・・）を格納し、またキーワード単位インデックスを格納する。
　クライアントは、サーバ２００のデータベースに新たな文書を追加して格納することも可能であり、また、データベースに格納された文書を削除することも可能である。

　このように、データベース格納文書の追加や削除を行う場合、キーワード単位インデックスも更新する必要がある。
　すなわち、キーワード単位インデックスの最下層のノードである葉ノード（リーフノード）は、データベース格納文書に対応して設定されているものであり、データベース格納文書の追加や削除を行う場合は、キーワード単位インデックスの最下層ノードである葉ノード（リーフノード）の構成を変更するデータ更新が必要となる。以下、このようなキーワード単位インデックスのデータ更新処理について説明する。

　　［７－１．データベース格納文書の削除処理に伴うインデックス更新処理について］
　まず、図２４を参照して、データベース格納文書の削除処理に伴うキーワード単位インデックスの更新処理例について説明する。

　図２４は、文書３、または文書４を削除する場合のキーワード単位インデックスの更新処理例について説明する図である。
　ノード領域３５０中には、最下段のリーフノードとして文書ＩＤ＝３のリーフノードと、文書ＩＤ＝４のリーフノードが設定されており、これらの２つのリーフノードの親ノードとして、文書ＩＤ＝３～４の中間ノードが設定されている。

　ここで、データベースから文書３（Ｄｏｃ３）を削除した場合、インデックス更新処理として、図２４（ａ）に示す処理を行なう。

　すなわち、文書ＩＤ＝３、ステート情報＝×の設定されているノード情報の書き換えを実行する。
　書き換えは、以下のように実行する。
　ステート情報＝なし（無効値を設定）
　このように、ステート情報に無効値を設定する。
　すなわち、ステート情報＝無効値の設定されたノードは文書が対応していないことを示す。

　さらに、親ノードのステートについても更新する。下位ノードのステートが○のみとなったので、親ノードのステート＝○に更新する。

　なお、文書３の削除によって発生した文書非対応ノードは、データベースに追加格納する文書が発生した場合、その追加格納文書に対応するノードとして利用可能である。

　図２４（ｂ）は、データベースから文書４（Ｄｏｃ４）を削除した場合の、インデックス更新処理を示している。
　この場合、文書ＩＤ＝４、ステート情報＝○の設定されているノード情報の書き換えを実行する。
　書き換えは、以下のように実行する。
　ステート情報＝なし（無効値を設定）
　さらに、親ノードのステートについても更新する。下位ノードのステートが×のみとなったので、親ノードのステート＝×に更新する。

　このように、データベース格納文書を削除した場合、削除文書対応のノードのノード情報のステート情報を無効値に設定し、さらに、この変更に伴い、上位ノードのステート情報も必要に応じて更新する。

　　［７－２．予めダミーノードを設定したキーワード単位インデックスの構成について］
　キーワード単位インデックスの最下層の葉ノード（リーフノード）は、各々が１つの文書に対応付けられたノードに設定するのが原則である。
　しかし、必ずしも全てのリーフノードがデータベース格納文書のいずれかに対応付けられていなければならないというものではなく、文書に対応付けられていないノード（ダミーノード）を設定してもよい。

　このようなダミーノードは、新たなデータべース格納文書が発生した場合、その新規文書の対応ノードとして利用可能となる。
　ダミーノードを持つキーワード単位インデックスの木構造の例を図２５に示す。

　図２５に示す木構造において、最下層の文書ＩＤ＝１～３の各ノードは、ステート情報として○、△、×のいずれかの有効値が設定されており、データベース格納文書が対応付けられたノードである。

　しかし、図２５に示す木構造において、最下層の文書ＩＤ＝４～８の各ノードは、ステート情報として無効値［－］が設定されており、データベース格納文書が対応付けられていないダミーノードである。

　これらのダミーノードは、将来、新たなデータベース格納文書が発生した場合、その新規追加文書に対応するノードとして利用することができる。
　なお、図２５に示すように、下位ノードの全てのステートが無効値［－］である上位ノードのステート情報は無効値［－］に設定する。
　このような設定とすることで、ルートから順次、ノード情報の解読を行って、ステート情報＝無効値［－］のノードを検出した場合には、そのノード以下の下位に文書の対応付けられたリーフノードが存在しないことを判別することが可能となり、下位ノードまでのノード情報の解読処理が省略でき、効率的な処理が可能となる。

　　［７－３．文書追加に伴うキーワード単位インデックス木構造の階層構成の追加処理について］
　次に、データベースに格納する文書を追加した場合のキーワード単位インデックス木構造の階層構成の追加処理例について、図２６を参照して説明する。

　キーワード単位インデックスの木構造は、最下層の葉ノード（リーフノード）をデータベース格納文書各々に対応付けて構成される。従って、データベースの格納文書数は、最下層の葉ノード（リーフノード）の数以下である必要がある。

　例えば、データベースに格納する文書が増加し、キーワード単位インデックスの最下層の葉ノード（リーフノード）の数を超える場合も発生する。
　このような場合の対応について、図２６を参照して説明する。

　当初、データベース格納文書が、文書ＩＤ＝１～４の４つの文書であり、点線枠で囲んだ３階層の木構造４００が、キーワード単位インデックスとして設定されてデータベースに格納されていたものとする。

　その後、クライアントは、新規文書（文書ＩＤ＝５）を生成してデータベースに格納する。
　しかし、木構造４００には、リーフノードが４つしかないため、文書５に対応するノードを設定することができない。

　このような場合、キーワード単位インデックスの階層数を増加させて、リーフノードの数を増加させる。
　すなわち、図２６に示す点線部分のノードを追加設定して、８つのリーフノードを持ち、新たなルートノード４０３を有する４階層の木構造を新たなキーワード単位インデックスとする。

　以前の３階層の木構造４００のルートノードを第２階層の中間ノードとして設定することで、３階層の木構造４００内のリーフノードは、そのまま、新たな４階層の木構造におけるリーフノードとすることが可能となる。また、３階層の木構造４００内の各ノードのノード情報は変更することなく利用できる。

　新たな追加文書（文書ＩＤ＝５）のノード４０２を４階層のリーフノードの１つに設定し、文書ＩＤ＝６～８のリーフノードはステート情報を無効値［－］に設定したダミーノードとする。
　ダミーノードは、将来の追加格納文書の対応ノードとして利用することが可能となる。

　このように、既存のキーワード単位インデックスのリーフノード数より多くの文書が格納される場合は、既存の木構造の階層を増加させて、リーフノード数を増加させることで、データベース格納文書の増加に応じたキーワード単位インデックスを生成することが可能となる。

　　［８．クライアントおよびサーバを構成する情報処理装置の構成例について］
　最後に、上述した実施例に従った処理を実行するクライアントやサーバに対応する情報処理装置の装置構成例について説明する。
　例えば上述した実施例において説明した各種のデータ処理は、各データ処理アルゴリズムを規定したソフトウェア（プログラム）を実行するＣＰＵ等から構成されるデータ処理部、さらに、プログラムや、データを格納するメモリを有する例えばＰＣやサーバ等の機器において実行可能である。

　図２７に、上述した実施例に従った処理を実行するクライアントやサーバに対応する情報処理装置のハードウェア構成例を示す。
　ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）５０１は、ＲＯＭ（Ｒｅａｄ　Ｏｎｌｙ　Ｍｅｍｏｒｙ）５０２、または記憶部５０８に記憶されているプログラムに従って各種の処理を実行するデータ処理部として機能する。例えば、上述した各フローチャートに従ったデータ処理を実行する。

　ＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）５０３には、ＣＰＵ５０１が実行するプログラムやデータなどが記憶される。例えば上述した各データ処理シーケンスを規定したプログラムが格納されている。ＲＡＭには、上述した各処理に適用するデータを格納するレジスタも含まれ、ワーク領域として使用されるメモリ領域なども含まれる。
　これらのＣＰＵ５０１、ＲＯＭ５０２、およびＲＡＭ５０３は、バス５０４により相互に接続されている。

　ＣＰＵ５０１はバス５０４を介して入出力インタフェース５０５に接続され、入出力インタフェース５０５には、各種スイッチ、キーボード、マウス、マイクロホンなどよりなる入力部５０６、ディスプレイ、スピーカなどよりなる出力部５０７が接続されている。ＣＰＵ５０１は、入力部５０６から入力される指令に対応して各種の処理を実行し、処理結果を例えば出力部５０７に出力する。

　入出力インタフェース５０５に接続されている記憶部５０８は、例えばハードディスク等からなり、ＣＰＵ５０１が実行するプログラムや各種のデータを記憶する。通信部５０９は、インターネットやローカルエリアネットワークなどのネットワークを介して外部の装置と通信する。

　入出力インタフェース５０５に接続されているドライブ５１０は、磁気ディスク、光ディスク、光磁気ディスク、あるいはメモリカード等の半導体メモリなどのリムーバブルメディア５１１を駆動し、データの記録または読み取りを実行する。

　　［９．本開示の構成のまとめ］
　以上、特定の実施例を参照しながら、本開示の実施例について詳解してきた。しかしながら、本開示の要旨を逸脱しない範囲で当業者が実施例の修正や代用を成し得ることは自明である。すなわち、例示という形態で本発明を開示してきたのであり、限定的に解釈されるべきではない。本開示の要旨を判断するためには、特許請求の範囲の欄を参酌すべきである。

　なお、本明細書において開示した技術は、以下のような構成をとることができる。
　（１）　文書検索用のキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを生成するデータ処理部を有し、
　前記データ処理部は、
　最上位ノードであるルートノードから最下位ノードであるリーフノードまで、各ノードに複数の下位ノードを分岐接続した木構造を構成する各ノードにノード情報を対応付けたノード情報のリンク構造を有するキーワード単位インデックスを生成し、
　前記リーフノードにはノード情報として、
　（１ａ）文書個別の文書識別子と、
　（１ｂ）前記文書識別子に対応する文書が特定のキーワードを含むか否かを示すステート情報、
　を格納し、
　リーフノード以外の上位ノードにはノード情報として、
　（２ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（２ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　を格納したキーワード単位インデックスを生成する情報処理装置。

　（２）前記データ処理部は、前記ノード情報を、ノード対応のノード鍵で暗号化し、ノード鍵を、木構造において直結する上位ノードのノード情報中に格納する前記（１）に記載の情報処理装置。

　（３）前記データ処理部は、前記ノード情報アクセス用のアドレス情報を、木構造において直結する上位ノードのノード情報中に格納する前記（１）または（２）に記載の情報処理装置。

　（４）前記データ処理部は、前記キーワード単位インデックスのリーフノードのノード情報中に設定された文書識別子に対応する暗号化文書をサーバのデータベースに格納し、該暗号化文書のキーワード検索において、前記サーバに前記キーワード単位インデックスを利用した処理の実行を要求する前記（１）～（３）いずれかに記載の情報処理装置。

　（５）前記データ処理部は、前記キーワード単位インデックスを適用した文書検索処理に際して、前記キーワード単位インデックスのルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記サーバに送信する前記（４）に記載の情報処理装置。

　（６）前記データ処理部は、各キーワードに対応するキーワード単位インデックスのルートノードのノード情報のアクセス用アドレスと、復号用鍵を、各キーワードに対応付けたキーワード対応管理データを生成して記憶部に格納する前記（１）～（５）いずれかに記載の情報処理装置。

　（７）前記データ処理部は、前記キーワード単位インデックスのリーフノードのノード情報として記録した文書識別子に対応する文書をデータベースから削除した場合、削除文書対応のリーフノードのノード情報のステート情報を無効値に変更する前記（１）～（６）いずれかに記載の情報処理装置。

　（８）前記データ処理部は、リーフノードとして対応文書の無いダミーノードを設定したキーワード単位インデックスを生成し、ダミーノードを、データベースに対する新規格納文書に対応するノードとして利用可能としたキーワード単位インデックスを生成する前記（１）～（７）いずれかに記載の情報処理装置。

　（９）前記データ処理部は、データベースに対する新規格納文書の増加に応じて、既存のキーワード単位インデックスの木構造の階層を増加させる処理を行なう前記（１）～（８）いずれかに記載の情報処理装置。

　（１０）クライアントとのデータ送受信を行う通信部と、
　暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、
　クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記通信部は、
　前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記クライアントから受信し、
　前記データ処理部は、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得して、前記復号用鍵で復号して、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得し、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行する情報処理装置。

　（１１）前記データ処理部は、クライアントからの検索要求が、特定の指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を求める検索要求である場合において、ノード情報から取得したステート情報が、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定である場合は、その設定に従って指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を生成し、前記ステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定であることが確認された場合は、順次、下位ノードのノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が得られた時点で、該ステート情報に従った判定結果を生成する前記（１０）に記載の情報処理装置。

　（１２）前記データ処理部は、処理対象ノードのノード情報に含まれるステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定である場合、前記処理対象ノードに直結する複数の下位ノードから、前記指定文書（Ｄｏｃｘ）が対応付けられたリーフノードを下位に含む１つの下位ノードを選択して該下位ノードのノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が得られた時点で、該ステート情報に従った判定結果を生成する前記（１１）に記載の情報処理装置。

　（１３）前記データ処理部は、クライアントからの検索要求が、記憶部に格納された文書の各々が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を求める検索要求である場合において、ノード情報から取得したステート情報が、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定である場合は、その設定に従って、記憶部に格納された文書の各々が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を生成し、前記ステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定である場合は、順次、下位ノードのノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が得られた時点で、該ステート情報に従った判定結果を生成する前記（１０）に記載の情報処理装置。

　（１４）前記データ処理部は、処理対象ノードのノード情報に含まれるステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定である場合、前記処理対象ノードに直結する複数の下位ノードを順次、選択してノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が設定されたノード情報を有するノード以下の下位ノードのノード情報取得処理を行なうことなく、得られたステート情報に従った判定結果を生成する前記（１３）に記載の情報処理装置。

　（１５）データ検索要求を行うクライアントと、クライアントからの要求に応じてデータ連作を実行するサーバを有する情報処理システムであり、
　前記サーバは、
　暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、
　クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記クライアントは、前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記サーバに送信し、
　前記サーバのデータ処理部は、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得して、前記復号用鍵で復号して、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得し、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行する情報処理システム。

　（１６）前記クライアントは、暗号化文書と、前記暗号化文書の検索用インデックスであるキーワード単位インデックスを生成して前記サーバに送信し、前記サーバは、前記クライアントから受信する暗号化文書と、キーワード単位インデックスを記憶部に格納する前記（１５）に記載の情報処理システム。

　（１７）情報処理装置において実行する情報処理方法であり、
　前記情報処理装置は、文書検索用のキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを生成するデータ処理部を有し、
　前記データ処理部が、
　最上位ノードであるルートノードから最下位ノードであるリーフノードまで、各ノードに複数の下位ノードを分岐接続した木構造を構成する各ノードにノード情報を対応付けたノード情報のリンク構造を有するキーワード単位インデックスを生成し、
　前記リーフノードにはノード情報として、
　（１ａ）文書個別の文書識別子と、
　（１ｂ）前記文書識別子に対応する文書が特定のキーワードを含むか否かを示すステート情報、
　を格納し、
　リーフノード以外の上位ノードにはノード情報として、
　（２ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（２ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　を格納したキーワード単位インデックスを生成する情報処理方法。

　（１８）情報処理装置において実行する情報処理方法であり、
　前記情報処理装置は、クライアントとのデータ送受信を行う通信部と、暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記通信部が、
　前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記クライアントから受信し、
　前記データ処理部が、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得して、前記復号用鍵で復号して、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得し、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行する情報処理方法。

　（１９）情報処理装置において情報処理を実行させるプログラムであり、
　前記情報処理装置は、文書検索用のキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを生成するデータ処理部を有し、
　前記プログラムは、前記データ処理部に、
　最上位ノードであるルートノードから最下位ノードであるリーフノードまで、各ノードに複数の下位ノードを分岐接続した木構造を構成する各ノードにノード情報を対応付けたノード情報のリンク構造を有するキーワード単位インデックスを生成する処理を実行させ、
　前記リーフノードにはノード情報として、
　（１ａ）文書個別の文書識別子と、
　（１ｂ）前記文書識別子に対応する文書が特定のキーワードを含むか否かを示すステート情報、
　を格納し、
　リーフノード以外の上位ノードにはノード情報として、
　（２ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（２ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　を格納したキーワード単位インデックスを生成させるプログラム。

　（２０）情報処理装置において情報処理を実行させるプログラムであり、
　前記情報処理装置は、クライアントとのデータ送受信を行う通信部と、暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記通信部が、
　前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記クライアントから受信し、
　前記プログラムは、前記データ処理部に、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得する処理と、前記復号用鍵での復号処理を実行させて、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得させ、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行させるプログラム。

　なお、明細書中において説明した一連の処理はハードウェア、またはソフトウェア、あるいは両者の複合構成によって実行することが可能である。ソフトウェアによる処理を実行する場合は、処理シーケンスを記録したプログラムを、専用のハードウェアに組み込まれたコンピュータ内のメモリにインストールして実行させるか、あるいは、各種処理が実行可能な汎用コンピュータにプログラムをインストールして実行させることが可能である。例えば、プログラムは記録媒体に予め記録しておくことができる。記録媒体からコンピュータにインストールする他、ＬＡＮ（ＬｏｃａｌＡｒｅａＮｅｔｗｏｒｋ）、インターネットといったネットワークを介してプログラムを受信し、内蔵するハードディスク等の記録媒体にインストールすることができる。

　なお、明細書に記載された各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。また、本明細書においてシステムとは、複数の装置の論理的集合構成であり、各構成の装置が同一筐体内にあるものには限らない。

　以上、説明したように、本開示の一実施例の構成によれば、キーワード検索の適用キーワードの漏えいを防止するとともに、効率的な検索が実現される。
　具体的には、サーバは暗号化文書と、検索に適用する木構造型リンク構造のキーワード単位インデックスを格納する。クライアントはキーワード単位インデックスの最上位ノードであるルートノードのアドレスと復号用鍵をサーバに送信する。サーバは、アドレスに従ってキーワード単位インデックスのルートノードのノード情報を取得して復号用鍵で復号して、（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、全て含まないか、混在するか、これらを判別可能としたステート情報等を取得し、ステート情報の設定に基づいて、検索結果を効率的に取得する。
　上記構成により、キーワード検索の適用キーワードの漏えいを防止するとともに、効率的な検索が実現される。

　　１０　情報処理装置
　　１５　ネットワーク
　　２０　データベース
　　３１　情報処理装置
　　３２　インデックスデータベース
　１００　情報処理装置（クライアント）
　２００　サーバ
　３０１　頂点ノード（ルートノード）
　３０２　中間ノード
　３０３　葉ノード（リーフノード）
　５０１　ＣＰＵ
　５０２　ＲＯＭ
　５０３　ＲＡＭ
　５０４　バス
　５０５　入出力インタフェース
　５０６　入力部
　５０７　出力部
　５０８　記憶部
　５０９　通信部
　５１０　ドライブ
　５１１　リムーバブルメディア

Claims

　文書検索用のキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを生成するデータ処理部を有し、
　前記データ処理部は、
　最上位ノードであるルートノードから最下位ノードであるリーフノードまで、各ノードに複数の下位ノードを分岐接続した木構造を構成する各ノードにノード情報を対応付けたノード情報のリンク構造を有するキーワード単位インデックスを生成し、
　前記リーフノードにはノード情報として、
　（１ａ）文書個別の文書識別子と、
　（１ｂ）前記文書識別子に対応する文書が特定のキーワードを含むか否かを示すステート情報、
　を格納し、
　リーフノード以外の上位ノードにはノード情報として、
　（２ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（２ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　を格納したキーワード単位インデックスを生成する情報処理装置。
　前記データ処理部は、
　前記ノード情報を、ノード対応のノード鍵で暗号化し、
　ノード鍵を、木構造において直結する上位ノードのノード情報中に格納する請求項１に記載の情報処理装置。
　前記データ処理部は、
　前記ノード情報アクセス用のアドレス情報を、木構造において直結する上位ノードのノード情報中に格納する請求項１に記載の情報処理装置。
　前記データ処理部は、
　前記キーワード単位インデックスのリーフノードのノード情報中に設定された文書識別子に対応する暗号化文書をサーバのデータベースに格納し、該暗号化文書のキーワード検索において、前記サーバに前記キーワード単位インデックスを利用した処理の実行を要求する請求項１に記載の情報処理装置。
　前記データ処理部は、
　前記キーワード単位インデックスを適用した文書検索処理に際して、前記キーワード単位インデックスのルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記サーバに送信する請求項４に記載の情報処理装置。
　前記データ処理部は、
　各キーワードに対応するキーワード単位インデックスのルートノードのノード情報のアクセス用アドレスと、復号用鍵を、各キーワードに対応付けたキーワード対応管理データを生成して記憶部に格納する請求項１に記載の情報処理装置。
　前記データ処理部は、
　前記キーワード単位インデックスのリーフノードのノード情報として記録した文書識別子に対応する文書をデータベースから削除した場合、削除文書対応のリーフノードのノード情報のステート情報を無効値に変更する請求項１に記載の情報処理装置。
　前記データ処理部は、
　リーフノードとして対応文書の無いダミーノードを設定したキーワード単位インデックスを生成し、
　ダミーノードを、データベースに対する新規格納文書に対応するノードとして利用可能としたキーワード単位インデックスを生成する請求項１に記載の情報処理装置。
　前記データ処理部は、
　データベースに対する新規格納文書の増加に応じて、
　既存のキーワード単位インデックスの木構造の階層を増加させる処理を行なう請求項１に記載の情報処理装置。
　クライアントとのデータ送受信を行う通信部と、
　暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、
　クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記通信部は、
　前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記クライアントから受信し、
　前記データ処理部は、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得して、前記復号用鍵で復号して、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得し、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行する情報処理装置。
　前記データ処理部は、
　クライアントからの検索要求が、特定の指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を求める検索要求である場合において、
　ノード情報から取得したステート情報が、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定である場合は、その設定に従って指定文書（Ｄｏｃｘ）が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を生成し、
　前記ステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定であることが確認された場合は、順次、下位ノードのノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が得られた時点で、該ステート情報に従った判定結果を生成する請求項１０に記載の情報処理装置。
　前記データ処理部は、
　処理対象ノードのノード情報に含まれるステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定である場合、
　前記処理対象ノードに直結する複数の下位ノードから、前記指定文書（Ｄｏｃｘ）が対応付けられたリーフノードを下位に含む１つの下位ノードを選択して該下位ノードのノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が得られた時点で、該ステート情報に従った判定結果を生成する請求項１１に記載の情報処理装置。
　前記データ処理部は、
　クライアントからの検索要求が、記憶部に格納された文書の各々が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を求める検索要求である場合において、
　ノード情報から取得したステート情報が、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定である場合は、その設定に従って、記憶部に格納された文書の各々が特定のキーワード（ＫＷｙ）を含むか否かの判定結果を生成し、
　前記ステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定である場合は、順次、下位ノードのノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が得られた時点で、該ステート情報に従った判定結果を生成する請求項１０に記載の情報処理装置。
　前記データ処理部は、
　処理対象ノードのノード情報に含まれるステート情報が、下位ノードに含まれるリーフノードがキーワードを含むものと含まないものが混在することを示す設定である場合、
　前記処理対象ノードに直結する複数の下位ノードを順次、選択してノード情報を解析し、下位ノードに含まれるリーフノードが全てキーワードを含むか、または全て含まないとの設定を持つステート情報が設定されたノード情報を有するノード以下の下位ノードのノード情報取得処理を行なうことなく、得られたステート情報に従った判定結果を生成する請求項１３に記載の情報処理装置。
　データ検索要求を行うクライアントと、クライアントからの要求に応じてデータ連作を実行するサーバを有する情報処理システムであり、
　前記サーバは、
　暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、
　クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記クライアントは、前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記サーバに送信し、
　前記サーバのデータ処理部は、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得して、前記復号用鍵で復号して、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得し、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行する情報処理システム。
　前記クライアントは、
　暗号化文書と、
　前記暗号化文書の検索用インデックスであるキーワード単位インデックスを生成して前記サーバに送信し、
　前記サーバは、前記クライアントから受信する暗号化文書と、キーワード単位インデックスを記憶部に格納する請求項１５に記載の情報処理システム。
　情報処理装置において実行する情報処理方法であり、
　前記情報処理装置は、文書検索用のキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを生成するデータ処理部を有し、
　前記データ処理部が、
　最上位ノードであるルートノードから最下位ノードであるリーフノードまで、各ノードに複数の下位ノードを分岐接続した木構造を構成する各ノードにノード情報を対応付けたノード情報のリンク構造を有するキーワード単位インデックスを生成し、
　前記リーフノードにはノード情報として、
　（１ａ）文書個別の文書識別子と、
　（１ｂ）前記文書識別子に対応する文書が特定のキーワードを含むか否かを示すステート情報、
　を格納し、
　リーフノード以外の上位ノードにはノード情報として、
　（２ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（２ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　を格納したキーワード単位インデックスを生成する情報処理方法。
　情報処理装置において実行する情報処理方法であり、
　前記情報処理装置は、クライアントとのデータ送受信を行う通信部と、暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記通信部が、
　前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記クライアントから受信し、
　前記データ処理部が、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得して、前記復号用鍵で復号して、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得し、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行する情報処理方法。
　情報処理装置において情報処理を実行させるプログラムであり、
　前記情報処理装置は、文書検索用のキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを生成するデータ処理部を有し、
　前記プログラムは、前記データ処理部に、
　最上位ノードであるルートノードから最下位ノードであるリーフノードまで、各ノードに複数の下位ノードを分岐接続した木構造を構成する各ノードにノード情報を対応付けたノード情報のリンク構造を有するキーワード単位インデックスを生成する処理を実行させ、
　前記リーフノードにはノード情報として、
　（１ａ）文書個別の文書識別子と、
　（１ｂ）前記文書識別子に対応する文書が特定のキーワードを含むか否かを示すステート情報、
　を格納し、
　リーフノード以外の上位ノードにはノード情報として、
　（２ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（２ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　を格納したキーワード単位インデックスを生成させるプログラム。
　情報処理装置において情報処理を実行させるプログラムであり、
　前記情報処理装置は、クライアントとのデータ送受信を行う通信部と、暗号化文書と、該暗号化文書の検索に適用するキーワード単位の木構造型リンク構造を有するキーワード単位インデックスを格納した記憶部と、クライアントからのデータ検索要求に応じたデータ検索処理を行なうデータ処理部を有し、
　前記通信部が、
　前記キーワード単位インデックスの最上位ノードであるルートノードのノード情報のアクセス用アドレスと、復号用鍵を、前記クライアントから受信し、
　前記プログラムは、前記データ処理部に、
　前記アクセス用アドレスに従って、特定キーワードのキーワード単位インデックスのルートノードのノード情報を取得する処理と、前記復号用鍵での復号処理を実行させて、
　（ａ）下位ノードに含まれるリーフノード全ての文書識別子と、
　（ｂ）下位ノードに含まれるリーフノードの文書識別子に対応する文書が全てキーワードを含むか、または全て含まないか、または含むものと含まないものとが混在するか、これら３状態を判別可能としたステート情報、
　（ｃ）下位ノードのノード情報のアクセス用アドレスと復号用鍵、
　上記（ａ），（ｂ）、（ｃ）の各情報を取得させ、
　前記クライアントからの検索要求態様、および、前記ステート情報の設定に応じて、下位ノードのノード情報の取得、または、検索結果の生成を実行させるプログラム。