WO2017126434A1 - 秘匿決定木計算システム、装置、方法及びプログラム - Google Patents

Abstract

秘匿決定木計算システムは、nを所定の正の整数として、データDをn個のシェア[D]_j(j=0,…,n-1)に秘密分散し、n個のシェア[D]_j(j=0,…,n-1)をそれぞれ第０サーバ装置から第ｎ－１サーバ装置に送信するユーザ装置と、n個のシェア[D]_j(j=0,…,n-1)を用いて所定の決定木におけるデータDに対応する値outのn個のシェア[out]₀,…,[out]_n-1を秘密協調計算することにより得てユーザ装置に送信する第０サーバ装置から第ｎ－１サーバ装置と、を含み、kをn以下の所定の整数として、ユーザ装置は、受信したn個のシェア[out]₀,…,[out]_n-1の中の少なくともk個を用いて所定の決定木におけるデータDに対応する値outを復元する。

Description

秘匿決定木計算システム、装置、方法及びプログラム

　この発明は、データを秘匿したまま、秘匿されたデータに基づいた計算結果を返答する技術に関する。

　近年、多数の購買履歴から知見を得て、ある個人が商品Aを買ったならば商品Bを推薦するといったデータマイニングや推定が行われている。そのような推定の一手法として、決定木を用いた方法がある。決定木として二分木を例に挙げて説明すると、決定木とは多数のノードと辺で決定される木であり、ノードには、根ノードと呼ばれる階層0のノード、葉ノードと呼ばれる、それよりも下にノードが無いようなノード、およびこれら以外のノードである中間ノードがある。葉ノード以外のノードには次の階層で左右どちらに遷移するかを定める条件式が定められており、葉ノードには推薦値が定められているものとする。

　決定木を用いてあるデータに対する推薦値を得るには、木の根ノードから順に、データが条件式を満足するか確認し、満足すれば右に、さもなければ左に遷移する処理を繰り返す。最終的にたどり着いた葉に対応する推薦値が、そのあるデータに対する推薦値となる。

　企業が何かしらの分析のために決定木を作成した場合、その決定木は企業の知見であるため、一般に公開することは難しい。

　ところで、近年パーソナルデータや医療データ等、個人に関するデータを利活用する動きが広まっている。これらのデータは機微性が高く、データを秘匿したまま処理を行うことが望ましい。

　ユーザ装置Uとサーバ装置Sの2 者がおり、ユーザ装置Uは自身のデータを持っており、サーバ装置Sは今までの自社サービスで得た知見等から生成した決定木を持っているとする。

　このようなとき、ユーザ装置Uのデータを入力として、サーバ装置Sの持つ決定木を用いて、推定結果を得ることを考える。

　これまで、決定木の計算には、決定木とデータの入力の両方が必要なため、ユーザ装置Sが自身のデータをサーバ装置Sに渡すこと又はサーバ装置Sの決定木をユーザ装置Uに渡すことのどちらかが必要であった。

　しかしながら、前者ではユーザ装置Uのデータがサーバ装置Sに知られてしまうし、後者ではサーバ装置Sの持つ決定木がユーザ装置Uに渡りサーバ装置S側の知見が漏えいしてしまう可能性があった。

　この発明の目的は、ユーザ装置のデータ及びサーバ装置の決定木を互いに秘匿したまま計算値をユーザに返答する秘匿決定木計算システム、装置、方法及びプログラムを提供することである。

　この発明の一態様による秘匿決定木計算システムは、nを所定の正の整数として、データDをn個のシェア[D]_j(j=0,…,n-1)に秘密分散し、n個のシェア[D]_j(j=0,…,n-1)をそれぞれ第０サーバ装置から第ｎ－１サーバ装置に送信するユーザ装置と、n個のシェア[D]_j(j=0,…,n-1)を用いて所定の決定木におけるデータDに対応する値outのn個のシェア[out]₀,…,[out]_n-1を秘密協調計算することにより得てユーザ装置に送信する第０サーバ装置から第ｎ－１サーバ装置と、を含み、kをn以下の所定の整数として、ユーザ装置は、受信したn個のシェア[out]₀,…,[out]_n-1の中の少なくともk個を用いて所定の決定木におけるデータDに対応する値outを復元する。

　この発明の一態様による秘匿決定木計算装置は、秘匿決定木計算システムの第０サーバ装置から第ｎ－１サーバ装置である。

　ユーザ装置のデータ及びサーバ装置の決定木を互いに秘匿したまま計算値をユーザ装置に返答することができる。

秘匿決定木計算装置の例を説明するためのブロック図。 秘匿決定木計算方法の例を説明するための流れ図。 基本的な決定木計算プロトコルの例を示す図。

　まず、この発明の基礎となる事柄について説明する。

　［記法］
　x←Bは、Bが集合ならばBから一様ランダムに要素を選びxに代入することを指し、BがアルゴリズムならばBの出力をxに代入することを指し、Bが確率密度関数ならばその確率密度関数に従ったインスタンスxをサンプリングすることを指す。

　述語とは出力が{0,1}であるような関数であり、述語a>_?bとはa>bが成り立つならば1を、そうでなければ0を返すような述語である。

　［決定木］
　決定木を(h,M,m,R,L,{G_i}_i<m-M,{out_i}_m-M≦i<m)の組と定義する。hは（最も深い）高さ、Mは葉ノードの数、mは全ノード数である。各ノードには0からm-1まで番号が割り振られ、葉ノードにはm-Mからm-1までの番号が割り振られているとする。R,L:Z_m→Z_mは入力ノードの右、左ノードを出力する関数である。すなわち、R(i)はノードiの右側の子ノードであり、L(i)はノードiの左側の子ノードである。G_iはノードiに対応する述語である。各ノードの述語は比較と統合判定のみとする。例えばG_iは<_?bのような形式であり、条件式<_?と条件値bを持つ。記法の簡単にするため、Gの条件式が<_?,>_?,≦_?,≧_?のときG∈Comparison、Gの条件式が=_?のときG∈Equalityと書く。out_iは葉ノードiに対応する値（例えば、推薦値）である。

　また、path(i)は葉ノードiを入力とし、根ノード0から葉ノードiに到達するために通る全ノードの集合を出力するアルゴリズムとし、LR(i,j)は葉ノードiと途中のノードj∈path(i)を入力とし、jの1階層下のノードが、jの右／左の時にright／leftを出力するアルゴリズムとする。

　［秘密分散］
　秘密分散とは、ある決められた数(k,n)があるとして、以下の2つのアルゴリズムShare,Recの組である。

　Share:秘密aを入力とし、シェア[a]₀,…,[a]_n-1を出力する。

　Rec:シェア[a]_{i_0},…,[a]_i__K-1を入力とし、秘密sを出力する。ここで、K≧kであり、jを整数として、i_jはi_jを意味するとする。

　また、準同型性としてb(-)[a]_i=[b-a]_iとなる演算(-)、[a]_i(+)[b]_i=[a+b]_iとなる演算(+)、b(×)[a]_i=[ab]_iとなる演算(×)が存在するものとする。これらの演算(-)(+)(×)は既知の手法により実現することができる。

　［乗算プロトコル］
　乗算プロトコルMultとは、各サーバ装置S_iの秘密分散された値[a]_i,[b]_iを入力として、各サーバ装置S_iに乗算結果のシェア[ab]_iを生成するプロトコルである。乗算プロトコルMultとして、例えば参考文献１に記載されたプロトコルを用いることができる。

　〔参考文献１〕Ivan Damgard and Jesper Buus Nielsen, "Scalable and unconditionally secure multiparty computation", In CRYPTO, pp.572-590, 2007.

　［公開値との比較，等号判定プロトコル］
　公開値との比較プロトコルCompPubとは、各サーバ装置S_iの秘密分散された値[a]_iと、述語G∈Comparisonを入力として、各サーバ装置S_iに述語結果のシェア[G(a)]_iを生成するプロトコルである。比較プロトコルCompPubとして、例えば参考文献２に記載されたプロトコルを用いることができる。

　〔参考文献２〕Ivan Damgard, Matthias Fitzi, Eike Kiltz, Jesper Buus Nielsen and Tomas Toft, "Unconditionally secure constant-rounds multi-party computation for equality, comparison, bits and exponentiation", In TCC, pp.285-304, 2006.

　また、乗算プロトコルと準同型性を利用してAND、OR、NOT回路等を構成することにより、比較プロトコルCompPubを実現してもよい。

　公開値との等号判定プロトコルEqPubとは、各サーバ装置S_iの秘密分散された値[a]_iと、述語G∈Equalityを入力として、各サーバ装置S_iに述語結果のシェア[G(a)]_iを生成するプロトコルである。例えば参考文献２に記載されたプロトコルを用いることができる。また、乗算プロトコルと準同型性を利用してAND、OR、NOT回路等を構成することにより、等号判定プロトコルEqPubを実現してもよい。

　［実施形態］
　以下、図面を参照して秘匿決定木計算システム、装置及び方法の一実施形態について説明する。

　秘匿決定木計算システムは、図１に示すように、ユーザ装置Uと秘匿決定木計算装置であるサーバ装置群を例えば備えている。このサーバ装置群は、第０サーバ装置S₀から第ｎ－１サーバ装置S_n-1から例えば構成されている。i=0,…,n-1として、上記説明したこの発明の基礎となる事柄における「サーバ装置S_i」は、「第ｉサーバ装置S_i」に対応している。以下の説明においても、「第ｉサーバ装置S_i」のことを「サーバ装置S_i」と略記することがある。

　この実施形態では、ユーザ装置Uのデータを秘匿したまま決定木が計算され、その計算結果がユーザ装置Uに返答される。

　秘匿決定木計算システムの各装置が、図２の各ステップの処理を行うことにより、秘匿決定木計算方法が実現される。この実施形態における大まかな流れは以下の通りである。

　ステップＳ１： ユーザ装置Uが自身のデータを各サーバ装置S_iに秘密分散する。

　ステップＳ２：各サーバ装置S_iは秘密分散された値と自身の決定木を用いてデータに対応する値（例えば、推薦値）のシェアを秘密協調計算する。

　ステップＳ３：各サーバ装置S_iはユーザ装置Uにデータに対応する値（例えば、推薦値）のシェアを送り、ユーザ装置Uはシェアを復元しデータに対応する値を得る。

　簡単のためユーザ装置UのデータはDのみとしたが、ユーザ装置Uのデータが複数あるも同様に構成可能である。すなわち、複数のデータをそれぞれ秘密分散し、各ノードで適宜適切なデータを参照してもよい。

　以下、各ステップの処理について説明する。また、各ステップの処理を実現するための基本的な決定木計算プロトコルの例を図３に示す。

　＜ステップＳ１＞
　ユーザ装置は、所定のアルゴリズムShareに基づいて、データDをn個のシェア[D]_j(j=0,…,n-1)に秘密分散し、上記n個のシェア[D]_j(j=0,…,n-1)をそれぞれ第０サーバ装置から第ｎ－１サーバ装置に送信する（ステップＳ１）。nは所定の正の整数である。

　ステップＳ１の処理は、図３の基本的な決定木計算プロトコルの「１：」に対応している。

　＜ステップＳ２＞
　第０サーバ装置S₀から第ｎ－１サーバ装置S_n-1は、受信したn個のシェア[D]_j(j=0,…,n-1)を用いて所定の決定木におけるデータDに対応する値outのn個のシェア[out]₀,…,[out]_n-1を秘密協調計算することにより得てユーザ装置Uに送信する（ステップＳ２）。

　ステップＳ２の処理は、図３の基本的な決定木計算プロトコルの「２：」から「１５：」に対応している。

　具体的には、第０サーバ装置S₀から第ｎ－１サーバ装置S_n-1は、所定の決定木の各葉ノードiに対して、データDが所定の決定木の根ノードからその各葉ノードiに至るまでの各ノードの条件を満たす場合には１となり、データDが所定の決定木の根ノードからその各葉ノードiに至るまでの各ノードの少なくとも１個の条件を満たさない場合には０となるその各葉ノードiに対応するflag_iをn個のシェア[D]_j(j=0,…,n-1)を用いて秘密協調計算する。この処理は、図３の基本的な決定木計算プロトコルの「２：」から「１４：」に対応している。

　そして、第０サーバ装置S₀から第ｎ－１サーバ装置S_n-1は、所定の決定木の各葉ノードiに対応する値とflag_iとの積和を秘密協調計算し、その計算結果を上記所定の決定木におけるデータDに対応する値outのn個のシェア[out]₀,…,[out]_n-1とする。この処理は、図３の基本的な決定木計算プロトコルの「１５：」に対応している。

　＜ステップＳ３＞
　ユーザ装置Uは、所定のアルゴリズムRecに基づいて、受信したn個のシェア[out]₀,…,[out]_n-1の中の少なくともk個を用いて所定の決定木におけるデータDに対応する値outを復元する（ステップＳ３）。kは、n以下の所定の整数である。

　ステップＳ３の処理は、図３の基本的な決定木計算プロトコルの「１６：」に対応している。

　上記のステップＳ１からステップＳ３の処理により、例えば、ユーザ装置のデータとサーバ装置の決定木を秘匿しつつリコメンド結果を返すことができ、不必要な個人に関する情報が漏洩するのを防ぐことができる。

　通常の決定木の計算の各ステップを秘密計算に置き換えただけでは、「決定木のどのパスを通ったのか」という情報がサーバにわかり、ひいては個人のデータの部分情報がサーバにわかってしまう可能性がある。

　これに対して、上記の実施形態では、全ての葉ノードに対して、「ユーザ装置のデータがこの葉ノードに到達するならば1、しなければ0」となるflagを計算し、flagと推薦結果との積和を取ることにより，最終的な値のシェアを生成している。この方法は、個人の情報が決定木のどのパスを通ったとしてもサーバ装置側の処理が変化せず、サーバ装置側にユーザ装置のデータの情報が漏れない。

　[プログラム及び記録媒体]
　秘匿決定木計算システム、装置及び方法において説明した処理は、記載の順にしたがって時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　また、秘匿決定木計算装置における各処理をコンピュータによって実現する場合、秘匿決定木計算装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、その各処理がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、各処理手段は、コンピュータ上で所定のプログラムを実行させることにより構成することにしてもよいし、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　［変形例］
　その他、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

Claims (5)

1. 　nを所定の正の整数として、データDをn個のシェア[D]_j(j=0,…,n-1)に秘密分散し、上記n個のシェア[D]_j(j=0,…,n-1)をそれぞれ第０サーバ装置から第ｎ－１サーバ装置に送信するユーザ装置と、
   　上記n個のシェア[D]_j(j=0,…,n-1)を用いて所定の決定木におけるデータDに対応する値outのn個のシェア[out]₀,…,[out]_n-1を秘密協調計算することにより得て上記ユーザ装置に送信する上記第０サーバ装置から第ｎ－１サーバ装置と、を含み、
   　kをn以下の所定の整数として、上記ユーザ装置は、受信したn個のシェア[out]₀,…,[out]_n-1の中の少なくともk個を用いて上記所定の決定木におけるデータDに対応する値outを復元する、
   　秘匿決定木計算システム。
2. 　請求項１の秘匿決定木計算システムにおいて、
   　上記第０サーバ装置から第ｎ－１サーバ装置は、上記所定の決定木の各葉ノードiに対して、上記データDが上記所定の決定木の根ノードからその各葉ノードiに至るまでの各ノードの条件を満たす場合には１となり、上記データDが上記所定の決定木の根ノードからその各葉ノードiに至るまでの各ノードの少なくとも１個の条件を満たさない場合には０となるその各葉ノードiに対応するflag_iを上記n個のシェア[D]_j(j=0,…,n-1)を用いて秘密協調計算し、上記所定の決定木の各葉ノードiに対応する値とflag_iとの積和を秘密協調計算し、その計算結果を上記所定の決定木におけるデータDに対応する値outのn個のシェア[out]₀,…,[out]_n-1とする、
   　秘匿決定木計算システム。
3. 　請求項１の秘匿決定木計算システムの上記第０サーバ装置から第ｎ－１サーバ装置である秘匿決定木計算装置。
4. 　ユーザ装置が、nを所定の正の整数として、データDをn個のシェア[D]_j(j=0,…,n-1)に秘密分散し、上記n個のシェア[D]_j(j=0,…,n-1)をそれぞれ第０サーバ装置から第ｎ－１サーバ装置に送信するステップと、
   　上記第０サーバ装置から第ｎ－１サーバ装置が、上記n個のシェア[D]_j(j=0,…,n-1)を用いて所定の決定木におけるデータDに対応する値outのn個のシェア[out]₀,…,[out]_n-1を秘密協調計算することにより得て上記ユーザ装置に送信するステップと、
   　ユーザ装置が、kをn以下の所定の整数として、受信したn個のシェア[out]₀,…,[out]_n-1の中の少なくともk個を用いて上記所定の決定木におけるデータDに対応する値outを復元するステップと、
   　を含む秘匿決定木計算方法。
5. 　請求項３の秘匿決定木計算装置としてコンピュータを機能させるためのプログラム。

Images