WO2019124134A1

WO2019124134A1 - 検索装置、検索方法、プログラム、および記録媒体

Info

Publication number: WO2019124134A1
Application number: PCT/JP2018/045254
Authority: WO
Inventors: 大五十嵐
Original assignee: 日本電信電話株式会社
Priority date: 2017-12-19
Filing date: 2018-12-10
Publication date: 2019-06-27
Also published as: EP3731215A1; AU2018389418B2; AU2018389418A1; EP3731215A4; JPWO2019124134A1; JP6927332B2; CN111712868A; US20210011953A1; EP3731215B1; US11675847B2; CN111712868B

Abstract

等号判定部は、秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にe_i,j=a₁であり、ｘ_ｉ，ｊがｋ_ｊでない場合にe_i,j=a₀である、e_i=(e_i,1,…,e_i,N)が秘匿された［ｅ_ｉ］を得る。ワイルドカード判定部は、［ｋ］を用いた秘密計算によって、ｋ_ｊがワイルドカード文字の場合にw_j=b₁であり、そうでない場合にw_j=b₀である、w=(w₁,…,w_N)が［ｗ］を得る。論理和演算部は、［ｅ_ｉ］と［ｗ］とを用いた秘密計算によって、e_i,j=a₁およびw_j=b₁の少なくとも一方を満たす場合にy_i,j=d₁であり、そうでない場合にy_i,j=d₀である、y_i=(y_i,1,…,y_i,N)が秘匿された［ｙ_ｉ］を得る。

Description

検索装置、検索方法、プログラム、および記録媒体

　本発明は、秘密計算技術に関し、特にデータを秘匿したまま検索を行う技術に関する。

　検索ワードおよび検索対象ワード群を秘匿したまま一致検索を行う秘密計算技術が知られている（例えば、非特許文献１等参照）。

濱田浩気, 桐淵直人，五十嵐大，"ラウンド効率のよい秘密計算パターンマッチング（A Round-Efficient Pattern Matching Algorithm for Secure Multi-Party Computation）"コンピュータ・セキュリティシンポジウム（CSS）2014.

　従来方式では、ワイルドカード文字を含む検索ワードを用いて秘匿したままの検索を実現しているものの、通信効率が悪く、秘匿化検索対象ワード長と秘匿化検索ワード長を共にＮとすると、Ｏ（Ｎ^２ｌｏｇＮ）もの通信量が必要となってしまう。

　本発明は、ワイルドカード文字を含む検索ワードを秘匿したまま、効率良く秘匿されたデータベースの一致検索を行うことを目的とする。

　記憶部に秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］が格納されている。秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］が含む秘匿化検索対象ワード［ｘ_ｉ］は、ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_ｉ，Ｎ）が秘匿されたものである。入力部は秘匿化検索ワード［ｋ］の入力を受け付ける。秘匿化検索ワード［ｋ］は、ワイルドカード文字を含むｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）が秘匿されたものである。等号判定部は、秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得る。ワイルドカード判定部は、秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊがワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得る。論理和演算部は、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１およびｗ_ｊ＝ｂ_１の少なくとも一方を満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ_ｊ＝ｂ_０の両方を満たす場合にｙ_ｉ，ｊ＝ｄ_０である、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得る。ただし、ｍ，ｎ，ｔ（ｉ），Ｎが正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎである。

　以上により、秘匿されたデータベースの一致検索を従来よりも少ない通信量で行うことができる。

図１は実施形態の検索システムを例示したブロック図である。図２は実施形態の検索装置を例示したブロック図である。図３は第１実施形態の検索方法を説明するためのフロー図である。図４は第１実施形態の検索方法を説明するための概念図である。図５は第１実施形態の検索方法を説明するための概念図である。図６は第１実施形態の検索方法を説明するための概念図である。図７は第１実施形態の検索方法を説明するための概念図である。図８は第１実施形態の検索方法を説明するための概念図である。図９は第１実施形態の検索方法を説明するための概念図である。図１０は第２実施形態の検索方法を説明するためのフロー図である。図１１は第２実施形態の検索方法を説明するための概念図である。図１２は第２実施形態の検索方法を説明するための概念図である。図１３は第２実施形態の検索方法を説明するための概念図である。図１４は第３実施形態の検索方法を説明するためのフロー図である。図１５は第３実施形態の検索方法を説明するための概念図である。図１６は第３実施形態の検索方法を説明するための概念図である。図１７は第４実施形態の検索方法を説明するためのフロー図である。図１８は第４実施形態の検索方法を説明するための概念図である。図１９は第４実施形態の検索方法を説明するための概念図である。図２０は第５実施形態の検索方法を説明するためのフロー図である。図２１は実施形態の検索方法を説明するための概念図である。図２２は第５実施形態の検索方法を説明するための概念図である。図２３は第５実施形態の検索方法を説明するための概念図である。図２４は第５実施形態の検索方法を説明するための概念図である。図２５は第６実施形態の検索方法を説明するためのフロー図である。図２６は第６実施形態の検索方法を説明するための概念図である。図２７は第６実施形態の検索方法を説明するための概念図である。図２８は第６実施形態の検索方法を説明するための概念図である。

　以下、図面を参照して本発明の実施形態を説明する。
　［第１実施形態］
　第１実施形態を説明する。本実施形態では、ワイルドカード文字を含む検索ワードを秘匿したまま、秘匿されたデータベースの完全一致検索を行う。

　＜構成＞
　図１に例示するように、本実施形態の検索システム１は、検索を依頼する依頼装置１１、および検索を行う検索装置１２－ｈを有し、秘密計算による検索処理を行う。ただし、ｈ＝１，…，Ｈであり、Ｈは１以上の整数である。秘密分散方式に基づく秘密計算を行う場合にはＨ≧２であり、準同型性暗号方式に基づく秘密計算を行う場合にはＨ＝１である。

　図２に例示するように、本実施形態の検索装置１２－ｈは、制御部１２０－ｈ、等号判定部１２１－ｈ、ワイルドカード判定部１２２－ｈ、論理和演算部１２３－ｈ、論理積演算部１２７－ｈ、記憶部１２８－ｈ、入力部１２９１－ｈ、および出力部１２９２－ｈを有する。検索装置１２－ｈは、制御部１２０－ｈの制御のもとで各処理を実行する。また、各部で得られたデータは、逐一、記憶部１２８－ｈに格納され、必要に応じて読み出されて他の処理に用いられる。

　＜前処理＞
　記憶部１２８－ｈには、ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_ｉ，Ｎ）（例えば、図４および図６のＤＢ参照）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］が格納されている。ただし、ｍ，ｔ（ｉ），Ｎが正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｔ（ｉ）≦Ｎである。検索対象ワードｘ_ｉに含まれるｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}は検索対象となる通常文字である。一方、検索対象ワードｘ_ｉに含まれる残りのＮ－ｔ（ｉ）個の文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎはヌル値を表す特殊文字（ヌル文字）である。ヌル文字は予め定められており（例えば、“０”）、通常文字として利用されない。ｔ（ｉ）＝Ｎの場合、検索対象ワードｘ_ｉはヌル文字を含まない。各文字は例えば有限体の元で表現される。秘密分散方式に基づく秘密計算が行われる場合、秘匿化検索対象ワード［ｘ_ｉ］は検索対象ワードｘ_ｉの秘密分散値である。準同型性暗号方式に基づく秘密計算が行われる場合、秘匿化検索対象ワード［ｘ_ｉ］は検索対象ワードｘ_ｉの暗号文である。文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_ｉ，Ｎのそれぞれを別々に秘匿化して得られた秘匿値［ｘ_ｉ，１］，…，［ｘ_{ｉ，ｔ（ｉ）}］，…，［ｘ_ｉ，Ｎ］の集合を秘匿化検索対象ワード［ｘ_ｉ］としてもよいし、Ｎ個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_ｉ，Ｎをまとめて秘匿化したものを秘匿化検索対象ワード［ｘ_ｉ］としてもよい。また、各秘匿化検索対象ワード［ｘ_ｉ］には、コンテンツまたはネットワーク上のコンテンツの位置を表すコンテンツ情報の秘匿値が対応付けられていてもよい。

　＜検索処理＞
　図３を用いて本実施形態の検索処理を説明する。
　依頼装置１１は、ｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）（例えば、図４および図６参照）を秘匿化して秘匿化検索ワード［ｋ］を得る。ただし、ｎは正整数であり、ｎ≦Ｎである。文字ｋ_１，…，ｋ_ｎは１個以上のワイルドカード文字を含んでもよい。文字ｋ_１，…，ｋ_ｎのうちワイルドカード以外の文字は通常文字である。ワイルドカード文字は予め定められており（例えば、「*」）、通常文字として利用されない。また、１個のワイルド文字は１個の通常文字または１個のヌル文字に対応する（以下の各実施形態でも同じである）。上述の検索対象ワードｘ_ｉ（ただしｉ＝１，…，ｍ）がヌル文字を含まない場合、文字ｋ_１，…，ｋ_ｎのどの文字がワイルドカード文字であってもよい。一方、検索対象ワードｘ_ｉがヌル文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎを含む場合、本実施形態ではｋ_{ｔ（ｉ）＋１}，…，ｋ_Ｎがワイルドカード文字を含まないことにする。検索ワードｋに含まれるＮ－ｎ個の文字ｋ_ｎ＋１，…，ｋ_Ｎはヌル文字である。ただし、ｎ＝Ｎの場合、検索ワードｋはヌル文字を含まない（例えば、図４参照）。検索ワードｋに含まれたヌル文字は、上述の検索対象ワードｘ_ｉ含まれたヌル文字と同一である。検索装置１２－ｈで秘密分散方式に基づく秘密計算が行われるのであれば、秘匿化検索ワード［ｋ］は検索ワードｋの秘密分散値である。一方、検索装置１２－ｈで準同型性暗号方式に基づく秘密計算が行われるのであれば、秘匿化検索ワード［ｋ］は検索ワードｋの暗号文である。文字ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎのそれぞれを別々に秘匿化して得られた秘匿値［ｋ_１］，…，［ｋ_ｎ］，…，［ｋ_Ｎ］の集合を秘匿化検索ワード［ｋ］としてもよいし、Ｎ個の文字ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎをまとめて秘匿化したものを秘匿化検索ワード［ｋ］としてもよい。

　依頼装置１１は秘匿化検索ワード［ｋ］を出力する。出力された秘匿化検索ワード［ｋ］は、ネットワーク等を経由して検索装置１２－ｈに送られる。秘匿化検索ワード［ｋ］は、検索装置１２－ｈの入力部１２９１－ｈに入力されて記憶部１２８－ｈに格納される（ステップＳ１２９１－ｈ）。その後、各ｉ＝１，…，ｍについて以下の処理が実行される。

　まず、等号判定部１２１－ｈは、記憶部１２８－ｈから読み出した秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得て出力する。ただし、ｘ_ｉ，ｊがｋ_ｊの場合（ｘ_ｉ，ｊ＝ｋ_ｊの場合）にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合（ｘ_ｉ，ｊ≠ｋ_ｊの場合）にｅ_ｉ，ｊ＝ａ_０である。ｅ_ｉ，ｊ∈｛ａ_０，ａ_１｝であり、例えば、ａ_０＝０であり、ａ_１＝１である。ワイルドカード文字は通常文字と相違するため、ｋ_ｊがワイルドカード文字である場合には必ずｅ_ｉ，ｊ＝ａ_０となる。同様に、ヌル文字は通常文字と相違するため、ｋ_ｊがヌル文字でｘ_ｉ，ｊが通常文字である場合、および、ｋ_ｊが通常文字でｘ_ｉ，ｊがヌル文字である場合には、必ずｅ_ｉ，ｊ＝ａ_０となる。また、ｋ_ｊおよびｘ_ｉ，ｊがいずれもヌル文字ならばｅ_ｉ，ｊ＝ａ_１となる。例えば、等号判定部１２１－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｋ_ｊ］と［ｘ_ｉ，ｊ］との等号判定（一致判定）を行い、ｅ_ｉ，ｊを秘匿化した［ｅ_ｉ，ｊ］を得、［ｅ_１，ｊ］，…，［ｅ_１，Ｎ］の集合を秘匿化演算結果［ｅ_ｉ］として得る。あるいは、等号判定部１２１－ｈは、秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｅ_ｉ，１，…，ｅ_ｉ，Ｎがまとめて秘匿された秘匿化演算結果［ｅ_ｉ］を得てもよい。秘匿化演算結果［ｅ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ１２１－ｈ）。

　ワイルドカード判定部１２２－ｈは、記憶部１２８－ｈから読み出した秘匿化検索ワード［ｋ］を用いた秘密計算によって、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得て出力する。ただし、ｋ_ｊがワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊがワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である。ｗ_ｊ∈｛ｂ_０，ｂ_１｝であり、例えば、ｂ_０＝０であり、ｂ_１＝１である。例えば、ワイルドカード判定部１２２－ｈは、秘匿化検索ワード［ｋ］と、ワイルドカード文字を秘匿化して得られた秘匿化ワイルドカード文字とを用い、秘密計算によって秘匿化演算結果［ｗ］を得る。一例を挙げると、ワイルドカード判定部１２２－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｋ_ｊ］と秘匿化ワイルドカード文字との等号判定を行い、ｗ_ｊを秘匿化した［ｗ_ｊ］を得、［ｗ_１］，…，［ｗ_Ｎ］の集合を秘匿化演算結果［ｗ］として得る。あるいは、ワイルドカード判定部１２２－ｈが、秘匿化検索ワード［ｋ］と秘匿化ワイルドカード文字とを用いた秘密計算によって、ｗ_１，…，ｗ_Ｎがまとめて秘匿された秘匿化演算結果［ｗ］を得てもよい。秘匿化演算結果［ｗ］は記憶部１２８－ｈに格納される（ステップＳ１２２－ｈ）。

　論理和演算部１２３－ｈは、記憶部１２８－ｈから読み出した秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。ただし、ｅ_ｉ，ｊ＝ａ_１およびｗ_ｊ＝ｂ_１の少なくとも一方を満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ_ｊ＝ｂ_０の両方を満たす場合にｙ_ｉ，ｊ＝ｄ_０である。ｙ_ｉ，ｊ∈｛ｄ_０，ｄ_１｝であり、例えば、ｄ_０＝０であり、ｄ_１＝１である。例えば、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｄ_０＝０、ｄ_１＝１の場合、ｙ_ｉ，ｊ＝ｅ_ｉ，ｊ∨ｗ_ｊである。ただし、「∨」は論理和（ＯＲ）を表す。例えば、論理和演算部１２３－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｅ_ｉ，ｊ］と［ｗ_ｊ］との論理和を行い、ｙ_ｉ，ｊ＝ｅ_ｉ，ｊ∨ｗ_ｊを秘匿化した［ｙ_ｉ，ｊ］を得、［ｙ_ｉ，１］，…，［ｙ_ｉ，Ｎ］の集合を秘匿化演算結果［ｙ_ｉ］として得る。あるいは、論理和演算部１２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］とを用いた秘密計算によって、ｙ_ｉ，１，…，ｙ_ｉ，Ｎがまとめて秘匿された秘匿化演算結果［ｙ_ｉ］を得てもよい。秘匿化演算結果［ｙ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ１２３－ｈ）。

　論理積演算部１２７－ｈは、記憶部１２８－ｈから読み出した秘匿化演算結果［ｙ_ｉ］を用いた秘密計算によって、一致判定結果ｚ_ｉが秘匿された秘匿化一致判定結果［ｚ_ｉ］を得て出力する。ただし、ｙ_ｉ，１＝…＝ｙ_ｉ，Ｎ＝ｄ_１の場合にｚ_ｉ＝ｇ_１であり、ｙ_ｉ，１＝…＝ｙ_ｉ，Ｎ＝ｄ_１でない場合にｚ_ｉ＝ｇ_０である。ｚ_ｉ∈｛ｇ_０，ｇ_１｝であり、例えば、ｇ_０＝０であり、ｇ_１＝１である。例えば、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１の場合、ｚ_ｉ＝ｙ_ｉ，１∧…∧ｙ_ｉ，Ｎである。ただし、「∧」は論理積（ＡＮＤ）を表す。ｚ_ｉ＝ｇ_１は検索対象ワードｘ_ｉが検索ワードｋに一致することを表し、ｚ_ｉ＝ｇ_０は検索対象ワードｘ_ｉが検索ワードｋに一致しないことを表す。秘匿化一致判定結果［ｚ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ１２７－ｈ）。

　出力部１２９２－ｈは、各ｉ＝１，…，ｍについての秘匿化一致判定結果［ｚ_ｉ］を出力する（ステップＳ１２９２－ｈ）。秘匿化一致判定結果［ｚ_ｉ］は、ネットワーク等を経由して依頼装置１１に送られる。依頼装置１１は各ｉ＝１，…，ｍについて秘匿化一致判定結果［ｚ_ｉ］を復元してｚ_ｉを得る。例えば、秘密分散方式に基づく秘密計算が行われた場合には、依頼装置１１は所定数以上の検索装置１２－ｈから送られた［ｚ_ｉ］からｚ_ｉを復元する。一方、準同型性暗号方式に基づく秘密計算が行われた場合には、送られた［ｚ_ｉ］を復号してｚ_ｉを得る。これにより、各ｉについての検索結果が得られる。その後、これらの検索結果を用いた処理（例えば、一致した秘匿化検索対象ワード［ｘ_ｉ］に対応するコンテンツ情報の秘匿値の要求など）が実行される。

　＜具体例＞
　以下に、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１である場合の具体例を示す。

　図４に例示するように、Ｎ＝ｎ＝ｔ（ｉ）であり、ｋ_ｒがワイルドカード文字「*」であり、１≦ｒ≦ｎであり、ｒ以外のｊ＝１，…，ｎについてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_１＝（１，…，１，０，１，…，１）およびｗ＝（０，…，０，１，０，…，０）となり、ｙ_１＝（１，…，１，１，１，…，１）となる。そのため、ｚ_１＝１となる。

　図５に例示するように、Ｎ＝ｎ＝ｔ（ｉ）であり、１およびｒ以外のｊ＝２，…，ｎについてのみｘ_２，ｊ＝ｋ_ｊを満たす場合、ｅ_２＝（０，１，…，１，０，１，…，１）およびｗ＝（０，０，…，０，１，０，…，０）となり、ｙ_２＝（０，１，…，１，１，１，…，１）となる。そのため、ｚ_２＝０となる。

　図６から図９はｎ＜Ｎおよびｔ（ｉ）＜Ｎの例である。図６に例示するように、ｋ_ｎ＋１，…，ｋ_Ｎおよびｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎがヌル文字である。

　図７に例示するように、ｔ（１）＝ｎであり、ｋ_ｒがワイルドカード文字「*」であり、１≦ｒ≦ｎであり、ｒ以外のｊ＝１，…，ｎについてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_１＝（１，１，…，０，…，１，…，１）およびｗ＝（０，０，…，１，…，０，…，０）となり、ｙ_１＝（１，１，…，１，…，１，…，１）となる。そのため、ｚ_１＝１となる。

　図８に例示するように、ｔ（２）＝ｎ＋１であり、ｋ_ｒがワイルドカード文字「*」であり、１≦ｒ≦ｎであり、ｒ以外のｊ＝１，…，ｎについてｘ_２，ｊ＝ｋ_ｊを満たす場合、ｅ_２＝（１，１，…，０，…，１，０，１，…，１）およびｗ＝（０，０，…，１，…，０，０，０，…，０）となり、ｙ_２＝（１，１，…，１，…，１，０，１，…，１）となる。そのため、ｚ_２＝０となる。

　図９に例示するように、ｔ（３）＝ｎ‐１であり、ｋ_ｒがワイルドカード文字「*」であり、１≦ｒ≦ｎ‐１であり、ｒ以外のｊ＝１，…，ｎ‐１のみについてｘ_３，ｊ＝ｋ_ｊを満たす場合、ｅ_３＝（１，１，…，０，…，０，１，１，…，１）およびｗ＝（０，０，…，１，…，０，０，０，…，０）となり、ｙ_３＝（１，１，…，１，…，０，１，１，…，１）となる。そのため、ｚ_３＝０となる。

　＜本実施形態の特徴＞
　上述のように、本実施形態では、ワイルドカード文字を含む検索ワードを秘匿したまま、秘匿されたデータベースの完全一致検索を行うことができる。また、秘匿されたデータベースの一致検索を従来よりも少ない通信量（例えば、Ｏ（Ｎ）の通信量）で行うことができる。

　［第２実施形態］
　検索対象ワードｘ_ｉの文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎがヌル文字であり、検索ワードｋの文字ｋ_{ｔ（ｉ）＋１}，…，ｋ_Ｎがワイルドカード文字を含み得る場合、第１実施形態の方法では正しく完全一致検索を行うことができないことがある。例えば、図１１の例の場合、検索対象ワードｘ_３の文字ｘ_３，ｎ，…，ｘ_ｉ，Ｎがヌル文字であり、検索ワードｋの文字ｋ_ｎがワイルドカード文字である。ワイルドカード文字はどのような通常文字にも一致すると判定しなければならないが、ワイルドカード文字はヌル文字とは一致しないと判定しなければならない。しかし、ｊ＝１，…，ｎ‐１についてｘ_３，ｊ＝ｋ_ｊを満たす場合、第１実施形態の方法ではｙ_３＝（１，１，…，１，…，１，１，１，…，１）となり、ｚ_３＝１となる。本実施形態では、このような場合にも正しく完全一致検索を行う方式を説明する。なお、以下ではこれまで説明した事項との相違点を中心に説明し、共通する事項については同じ参照番号を引用して説明を簡略化する。

　＜構成＞
　図１に例示するように、本実施形態の検索システム２は、検索を依頼する依頼装置１１、および検索を行う検索装置２２－ｈを有し、秘密計算による検索処理を行う。ただし、ｈ＝１，…，Ｈであり、Ｈは１以上の整数である。

　図２に例示するように、本実施形態の検索装置２２－ｈは、制御部１２０－ｈ、等号判定部１２１－ｈ、ワイルドカード判定部１２２－ｈ、論理和演算部２２３－ｈ、ヌル判定部２２４－ｈ、論理積演算部１２７－ｈ，２２６－ｈ、記憶部１２８－ｈ、入力部１２９１－ｈ、および出力部１２９２－ｈを有する。検索装置２２－ｈは、制御部１２０－ｈの制御のもとで各処理を実行する。また、各部で得られたデータは、逐一、記憶部１２８－ｈに格納され、必要に応じて読み出されて他の処理に用いられる。

　＜前処理＞
　第１実施形態と同じである。

　＜検索処理＞
　図１０を用いて本実施形態の検索処理を説明する。依頼装置１１は、ｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）を秘匿化して秘匿化検索ワード［ｋ］を得る。ただし、ｎは正整数であり、ｎ≦Ｎである。文字ｋ_１，…，ｋ_ｎはワイルドカード文字を含んでもよい。第１実施形態と異なり、検索対象ワードｘ_ｉがヌル文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎを含んでいる場合に、ｋ_{ｔ（ｉ）＋１}，…，ｋ_Ｎがワイルドカード文字を含んでいてもよい。

　依頼装置１１は秘匿化検索ワード［ｋ］を出力する。出力された秘匿化検索ワード［ｋ］は、ネットワーク等を経由して検索装置２２－ｈに送られる。秘匿化検索ワード［ｋ］は、検索装置２２－ｈの入力部１２９１－ｈに入力されて記憶部１２８－ｈに格納される（ステップＳ１２９１－ｈ）。その後、各ｉ＝１，…，ｍについて以下の処理が実行される。

　まず、等号判定部１２１－ｈは、記憶部１２８－ｈから読み出した秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された第１秘匿化演算結果［ｅ_ｉ］を得て出力する。ただし、ｘ_ｉ，ｊがｋ_ｊの場合（ｘ_ｉ，ｊ＝ｋ_ｊの場合）にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合（ｘ_ｉ，ｊ≠ｋ_ｊの場合）にｅ_ｉ，ｊ＝ａ_０である。秘匿化演算結果［ｅ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ１２１－ｈ）。

　ワイルドカード判定部１２２－ｈは、記憶部１２８－ｈから読み出した秘匿化検索ワード［ｋ］を用いた秘密計算によって、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得て出力する。ただし、ｋ_ｊがワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊがワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である。秘匿化演算結果［ｗ］は記憶部１２８－ｈに格納される（ステップＳ１２２－ｈ）。

　ヌル判定部２２４－ｈは、記憶部１２８－ｈから読み出した秘匿化検索対象ワード［ｘ_ｉ］を用いた秘密計算によって、演算結果μ_ｉ＝（μ_ｉ，１，…，μ_ｉ，Ｎ）が秘匿された秘匿化演算結果［μ_ｉ］を得て出力する。ただし、ｘ_ｉ，ｊがヌル文字の場合にμ_ｉ，ｊ＝θ_０であり、ｘ_ｉ，ｊがヌル文字でない場合にμ_ｉ，ｊ＝θ_１である。μ_ｉ，ｊ∈｛θ_０，θ_１｝であり、例えば、θ_０＝０であり、θ_１＝１である。例えば、ヌル判定部２２４－ｈは、秘匿化検索対象ワード［ｘ_ｉ］と、ヌル文字を秘匿化して得られた秘匿化ヌル文字とを用い、秘密計算によって秘匿化演算結果［μ_ｉ］を得る。一例を挙げると、ヌル判定部２２４－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｘ_ｉ，ｊ］と秘匿化ヌル文字との等号判定を行い、μ_ｉ，ｊを秘匿化した［μ_ｉ，ｊ］を得、［μ_ｉ，１］，…，［μ_ｉ，Ｎ］の集合を秘匿化演算結果［μ_ｉ］として得る。あるいは、ヌル判定部２２４－ｈが秘匿化検索対象ワード［ｘ_ｉ］と秘匿化ヌル文字とを用いた秘密計算によって、μ_ｉ，１，…，μ_ｉ，Ｎがまとめて秘匿された秘匿化演算結果［μ_ｉ］を得てもよい。秘匿化演算結果［μ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ２２４－ｈ）。

　論理積演算部２２６－ｈは、記憶部１２８－ｈから読み出した秘匿化演算結果［ｗ］と秘匿化演算結果［μ_ｉ］とを用いた秘密計算によって、演算結果ｖ_ｉ＝（ｖ_ｉ，１，…，ｖ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｖ_ｉ］を得て出力する。ただし、ｗ_ｊ＝ｂ_１およびμ_ｉ，ｊ＝θ_１の両方を満たす場合にｖ_ｉ，ｊ＝ρ_１であり、ｗ_ｊ＝ｂ_０およびμ_ｉ，ｊ＝θ_０の少なくとも一方を満たす場合にｖ_ｉ，ｊ＝ρ_０である。ｖ_ｉ，ｊ∈｛ρ_０，ρ_１｝であり、例えば、ρ_０＝０であり、ρ_１＝１である。例えば、ｂ_０＝０、ｂ_１＝１、ρ_０＝０、ρ_１＝１の場合、ｖ_ｉ，ｊ＝ｗ_ｊ∧μ_ｉ，ｊである。例えば、論理積演算部２２６－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｗ_ｊ］と［μ_ｉ，ｊ］との論理積を行い、ｖ_ｉ，ｊ＝ｗ_ｊ∧μ_ｉ，ｊを秘匿化した［ｖ_ｉ，ｊ］を得、［ｖ_ｉ，１］，…，［ｖ_ｉ，Ｎ］の集合を秘匿化演算結果［ｖ_ｉ］として得る。あるいは、論理積演算部２２６－ｈは、秘匿化演算結果［ｗ］と秘匿化演算結果［μ_ｉ］とを用いた秘密計算によって、ｖ_ｉ，１，…，ｖ_ｉ，Ｎがまとめて秘匿された秘匿化演算結果［ｖ_ｉ］を得てもよい。秘匿化演算結果［ｖ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ２２６－ｈ）。

　論理和演算部２２３－ｈは、記憶部１２８－ｈから読み出した秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｖ_ｉ］とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。ただし、ｅ_ｉ，ｊ＝ａ_１およびｖ_ｉ，ｊ＝ρ_１の少なくとも一方を満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｖ_ｉ，ｊ＝ρ_０の両方を満たす場合にｙ_ｉ，ｊ＝ｄ_０である。ｙ_ｉ，ｊ∈｛ｄ_０，ｄ_１｝であり、例えば、ｄ_０＝０であり、ｄ_１＝１である。例えば、ａ_０＝０、ａ_１＝１、ρ_０＝０、ρ_１＝１、ｄ_０＝０、ｄ_１＝１の場合、ｙ_ｉ，ｊ＝ｅ_ｉ，ｊ∨ｖ_ｉ，ｊである。例えば、論理和演算部２２３－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｅ_ｉ，ｊ］と［ｖ_ｉ，ｊ］との論理和を行い、ｙ_ｉ，ｊ＝ｅ_ｉ，ｊ∨ｗ_ｉ，ｊを秘匿化した［ｙ_ｉ，ｊ］を得、［ｙ_ｉ，１］，…，［ｙ_ｉ，Ｎ］の集合を秘匿化演算結果［ｙ_ｉ］として得る。あるいは、論理和演算部２２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｖ_ｉ］とを用いた秘密計算によって、ｙ_ｉ，１，…，ｙ_ｉ，Ｎがまとめて秘匿された秘匿化演算結果［ｙ_ｉ］を得てもよい。秘匿化演算結果［ｙ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ２２３－ｈ）。

　その後、第１実施形態で説明したステップＳ１２７－ｈ以降の処理が実行される。

　＜具体例＞
　以下にａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ρ_０＝０、ρ_１＝１、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１である場合の具体例を示す。

　図１１から図１３はｎ＜Ｎおよびｔ（ｉ）＜Ｎの例である。図１１に例示するように、ｋ_ｎがワイルドカード文字「*」であり、ｋ_ｎ＋１，…，ｋ_Ｎおよびｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎがヌル文字である。

　図１２に例示するように、ｔ（１）＝ｎであり、ｊ＝１，…，ｎ‐１についてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_１＝（１，１，…，１，０，１，１，…，１）、ｗ＝（０，０，…，０，１，０，０，…，０）、μ_１＝（１，１，…，１，１，０，０，…，０）、ｖ_１＝（０，０，…，０，１，０，０，…，０）となり、ｙ_１＝（１，１，…，１，１，１，１，…，１）となる。そのため、ｚ_１＝１となる。

　図１３に例示するように、ｔ（３）＝ｎ‐１であり、ｊ＝１，…，ｎ‐１についてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_３＝（１，１，…，１，０，１，１，…，１）、ｗ＝（０，０，…，０，１，０，０，…，０）、μ_３＝（１，１，…，１，０，０，０，…，０）、ｖ_３＝（０，０，…，０，０，０，０，…，０）となり、ｙ_３＝（１，１，…，１，０，１，１，…，１）となる。そのため、ｚ_３＝０となる。

　＜本実施形態の特徴＞
　上述のように、本実施形態では、検索対象ワードｘ_ｉの文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎがヌル文字であり、検索ワードｋの文字ｋ_{ｔ（ｉ）＋１}，…，ｋ_Ｎがワイルドカード文字を含み得る場合であっても、ワイルドカード文字を含む検索ワードを秘匿したまま、秘匿されたデータベースの完全一致検索を行うことができる。また、秘匿されたデータベースの一致検索を従来よりも少ない通信量で行うことができる。

　［第３実施形態］
　第３実施形態は第１実施形態の変形例である。本実施形態では、ワイルドカード文字を含む検索ワードを秘匿したまま、秘匿されたデータベースの前方一致検索を行う。

　＜構成＞
　図１に例示するように、本実施形態の検索システム３は、検索を依頼する依頼装置１１、および検索を行う検索装置３２－ｈを有し、秘密計算による検索処理を行う。ただし、ｈ＝１，…，Ｈであり、Ｈは１以上の整数である。秘密分散方式に基づく秘密計算を行う場合にはＨ≧２であり、準同型性暗号方式に基づく秘密計算を行う場合にはＨ＝１である。

　図２に例示するように、本実施形態の検索装置３２－ｈは、制御部１２０－ｈ、等号判定部１２１－ｈ、ワイルドカード判定部１２２－ｈ、論理和演算部３２３－ｈ、ヌル判定部３２５－ｈ、論理積演算部１２７－ｈ、記憶部１２８－ｈ、入力部１２９１－ｈ、および出力部１２９２－ｈを有する。検索装置３２－ｈは、制御部１２０－ｈの制御のもとで各処理を実行する。また、各部で得られたデータは、逐一、記憶部１２８－ｈに格納され、必要に応じて読み出されて他の処理に用いられる。

　＜前処理＞
　第１実施形態と同一である。

　＜検索処理＞
　図１４を用いて本実施形態の検索処理を説明する。依頼装置１１は、ｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）を秘匿化して秘匿化検索ワード［ｋ］を得る。ただし、ｎは正整数であり、ｎ≦Ｎである。文字ｋ_１，…，ｋ_ｎはワイルドカード文字を含んでもよい。検索対象ワードｘ_ｉ（ただしｉ＝１，…，ｍ）がヌル文字を含まない場合、文字ｋ_１，…，ｋ_ｎのどの文字がワイルドカード文字であってもよい。一方、検索対象ワードｘ_ｉがヌル文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎを含む場合、本実施形態ではｋ_{ｔ（ｉ）＋１}，…，ｋ_Ｎがワイルドカード文字を含まないことにする。

　依頼装置１１は秘匿化検索ワード［ｋ］を出力する。出力された秘匿化検索ワード［ｋ］は、ネットワーク等を経由して検索装置３２－ｈに送られる。秘匿化検索ワード［ｋ］は、検索装置３２－ｈの入力部１２９１－ｈに入力されて記憶部１２８－ｈに格納される（ステップＳ１２９１－ｈ）。その後、各ｉ＝１，…，ｍについて以下の処理が実行される。

　まず、等号判定部１２１－ｈは、記憶部１２８－ｈから読み出した秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得て出力する。ただし、ｘ_ｉ，ｊがｋ_ｊの場合（ｘ_ｉ，ｊ＝ｋ_ｊの場合）にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合（ｘ_ｉ，ｊ≠ｋ_ｊの場合）にｅ_ｉ，ｊ＝ａ_０である。秘匿化演算結果［ｅ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ１２１－ｈ）。

　ヌル判定部３２５－ｈは、記憶部１２８－ｈから読み出した秘匿化検索ワード［ｋ］を用いた秘密計算によって、演算結果ｕ＝（ｕ_１，…，ｕ_Ｎ）が秘匿された秘匿化演算結果［ｕ］を得て出力する。ただし、ｋ_ｊがヌル値の場合にｕ_ｊ＝ｃ_１であり、ｋ_ｊがヌル値でない場合にｕ_ｊ＝ｃ_０である。ｕ_ｊ∈｛ｃ_０，ｃ_１｝であり、例えば、ｃ_０＝０であり、ｃ_１＝１である。例えば、ヌル判定部３２５－ｈは、秘匿化検索ワード［ｋ］とヌル文字を秘匿化して得られた秘匿化ヌル文字とを用い、秘密計算によって秘匿化演算結果［ｕ］を得る。一例を挙げると、ヌル判定部３２５－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｋ_ｊ］と秘匿化ヌル文字との等号判定を行い、ｕ_ｊを秘匿化した［ｕ_ｊ］を得、［ｕ_１］，…，［ｕ_Ｎ］の集合を秘匿化演算結果［ｕ］として得る。あるいは、ヌル判定部３２５－ｈが秘匿化検索ワード［ｋ］と秘匿化ヌル文字とを用いた秘密計算によって、ｕ_１，…，ｕ_Ｎがまとめて秘匿された秘匿化演算結果［ｕ］を得てもよい。秘匿化演算結果［ｕ］は記憶部１２８－ｈに格納される（ステップＳ３２５－ｈ）。

　論理和演算部３２３－ｈは、記憶部１２８－ｈから読み出した秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］と秘匿化演算結果［ｕ］とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。ただし、ｅ_ｉ，ｊ＝ａ_１、ｗ_ｊ＝ｂ_１、およびｕ_ｊ＝ｃ_１の少なくとも何れかを満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ_ｊ＝ｂ_０およびｕ_ｊ＝ｃ_０のすべての満たす場合にｙ_ｉ，ｊ＝ｄ_０である。ｙ_ｉ，ｊ∈｛ｄ_０，ｄ_１｝であり、例えば、ｄ_０＝０であり、ｄ_１＝１である。例えば、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｃ_０＝０、ｃ_１＝１、ｄ_０＝０、ｄ_１＝１の場合、ｙ_ｉ，ｊ＝ｅ_ｉ，ｊ∨ｗ_ｊ∨ｕ_ｊである。例えば、論理和演算部３２３－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｅ_ｉ，ｊ］と［ｗ_ｊ］と［ｕ_ｊ］との論理和を行い、ｙ_ｉ，ｊ＝ｅ_ｉ，ｊ∨ｗ_ｊ∨ｕ_ｊを秘匿化した［ｙ_ｉ，ｊ］を得、［ｙ_ｉ，１］，…，［ｙ_ｉ，Ｎ］の集合を秘匿化演算結果［ｙ_ｉ］として得る。あるいは、論理和演算部３２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］と秘匿化演算結果［ｕ］とを用いた秘密計算によって、ｙ_ｉ，１，…，ｙ_ｉ，Ｎがまとめて秘匿された秘匿化演算結果［ｙ_ｉ］を得てもよい。秘匿化演算結果［ｙ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ３２３－ｈ）。

　＜具体例＞
　以下に、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｃ_０＝０、ｃ_１＝１、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１である場合の具体例を示す。

　図１５に例示するように、ｔ（２）＝ｎ＋１であり、ｊ＝１，…，ｎについてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_２＝（１，１，…，０，…，１，０，１，…，１）、ｗ＝（０，０，…，１，…，０，０，０，…，０）、ｕ＝（０，０，…，０，…，０，１，１，…，１）、ｙ_２＝（１，１，…，１，…，１，１，１，…，１）となる。そのため、ｚ_２＝１となる。

　図１６に例示するように、ｔ（３）＝ｎ‐１であり、ｊ＝１，…，ｎ‐１についてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_３＝（１，１，…，０，…，０，１，１，…，１）、ｗ＝（０，０，…，１，…，０，０，０，…，０）、ｕ＝（０，０，…，０，…，０，１，１，…，１）、ｙ_３＝（１，１，…，１，…，０，１，１，…，１）となる。そのため、ｚ_３＝０となる。

　＜本実施形態の特徴＞
　上述のように、本実施形態では、ワイルドカード文字を含む検索ワードを秘匿したまま、秘匿されたデータベースの前方一致検索を行うことができる。また、秘匿されたデータベースの一致検索を従来よりも少ない通信量で行うことができる。

　［第４実施形態］
　第４実施形態は第２，３実施形態の変形例である。本実施形態では、ワイルドカード文字を含む検索ワードを秘匿したまま、秘匿されたデータベースの前方一致検索を行う。完全一致検索の場合と同様、検索対象ワードｘ_ｉの文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎがヌル文字であり、検索ワードｋの文字ｋ_{ｔ（ｉ）＋１}，…，ｋ_Ｎがワイルドカード文字を含み得る場合、第３実施形態の方法では正しく前方一致検索を行うことができないことがある。本実施形態では、このような場合にも正しく前方一致検索を行う方式を説明する。

　＜構成＞
　図１に例示するように、本実施形態の検索システム４は、検索を依頼する依頼装置１１、および検索を行う検索装置４２－ｈを有し、秘密計算による検索処理を行う。ただし、ｈ＝１，…，Ｈであり、Ｈは１以上の整数である。秘密分散方式に基づく秘密計算を行う場合にはＨ≧２であり、準同型性暗号方式に基づく秘密計算を行う場合にはＨ＝１である。

　図２に例示するように、本実施形態の検索装置４２－ｈは、制御部１２０－ｈ、等号判定部１２１－ｈ、ワイルドカード判定部１２２－ｈ、論理和演算部４２３－ｈ、ヌル判定部，２２４－ｈ，３２５－ｈ、論理積演算部１２７－ｈ，２２６－ｈ、記憶部１２８－ｈ、入力部１２９１－ｈ、および出力部１２９２－ｈを有する。検索装置３２－ｈは、制御部１２０－ｈの制御のもとで各処理を実行する。また、各部で得られたデータは、逐一、記憶部１２８－ｈに格納され、必要に応じて読み出されて他の処理に用いられる。

　＜前処理＞
　第１実施形態と同じである。

　＜検索処理＞
　図１７を用いて本実施形態の検索処理を説明する。依頼装置１１は、ｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）を秘匿化して秘匿化検索ワード［ｋ］を得る。ただし、ｎは正整数であり、ｎ≦Ｎである。文字ｋ_１，…，ｋ_ｎはワイルドカード文字を含んでもよい。第３実施形態と異なり、検索対象ワードｘ_ｉがヌル文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎを含んでいる場合に、ｋ_{ｔ（ｉ）＋１}，…，ｋ_Ｎがワイルドカード文字を含んでいてもよい。

　ヌル判定部３２５－ｈは、記憶部１２８－ｈから読み出した秘匿化検索ワード［ｋ］を用いた秘密計算によって、演算結果ｕ＝（ｕ_１，…，ｕ_Ｎ）が秘匿された秘匿化演算結果［ｕ］を得て出力する。ただし、ｋ_ｊがヌル値の場合にｕ_ｊ＝ｃ_１であり、ｋ_ｊがヌル値でない場合にｕ_ｊ＝ｃ_０である。例えば、ヌル判定部３２５－ｈは、秘匿化検索ワード［ｋ］とヌル文字を秘匿化して得られた秘匿化ヌル文字とを用い、秘密計算によって秘匿化演算結果［ｕ］を得る。秘匿化演算結果［ｕ］は記憶部１２８－ｈに格納される（ステップＳ３２５－ｈ）。

　ヌル判定部２２４－ｈは、記憶部１２８－ｈから読み出した秘匿化検索対象ワード［ｘ_ｉ］を用いた秘密計算によって、演算結果μ_ｉ＝（μ_ｉ，１，…，μ_ｉ，Ｎ）が秘匿された秘匿化演算結果［μ_ｉ］を得て出力する。ただし、ｘ_ｉ，ｊがヌル文字の場合にμ_ｉ，ｊ＝θ_０であり、ｘ_ｉ，ｊがヌル文字でない場合にμ_ｉ，ｊ＝θ_１である。秘匿化演算結果［μ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ２２４－ｈ）。

　論理積演算部２２６－ｈは、記憶部１２８－ｈから読み出した秘匿化演算結果［ｗ］と秘匿化演算結果［μ_ｉ］とを用いた秘密計算によって、演算結果ｖ_ｉ＝（ｖ_ｉ，１，…，ｖ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｖ_ｉ］を得て出力する。ただし、ｗ_ｊ＝ｂ_１およびμ_ｉ，ｊ＝θ_１の両方を満たす場合にｖ_ｉ，ｊ＝ρ_１であり、ｗ_ｊ＝ｂ_０およびμ_ｉ，ｊ＝θ_０の少なくとも一方を満たす場合にｖ_ｉ，ｊ＝ρ_０である。秘匿化演算結果［ｖ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ２２６－ｈ）。

　論理和演算部４２３－ｈは、記憶部１２８－ｈから読み出した秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｕ］と秘匿化演算結果［ｖ_ｉ］とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。ただし、ｅ_ｉ，ｊ＝ａ_１、ｖ_ｉ，ｊ＝ρ_１、およびｕ_ｊ＝ｃ_１の少なくとも何れかを満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｖ_ｉ，ｊ＝ρ_０およびｕ_ｊ＝ｃ_０のすべての満たす場合にｙ_ｉ，ｊ＝ｄ_０である。ｙ_ｉ，ｊ∈｛ｄ_０，ｄ_１｝であり、例えば、ｄ_０＝０であり、ｄ_１＝１である。例えば、ａ_０＝０、ａ_１＝１、ρ_０＝０、ρ_１＝１、ｃ_０＝０、ｃ_１＝１、ｄ_０＝０、ｄ_１＝１の場合、ｙ_ｉ，ｊ＝ｅ_ｉ，ｊ∨ｖ_ｉ，ｊ∨ｕ_ｊである。例えば、論理和演算部４２３－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｅ_ｉ，ｊ］と［ｖ_ｉ，ｊ］と［ｕ_ｊ］との論理和を行い、ｙ_ｉ，ｊ＝ｅ_ｉ，ｊ∨ｖ_ｉ，ｊ∨ｕ_ｊを秘匿化した［ｙ_ｉ，ｊ］を得、［ｙ_ｉ，１］，…，［ｙ_ｉ，Ｎ］の集合を秘匿化演算結果［ｙ_ｉ］として得る。あるいは、論理和演算部４２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｖ_ｉ］と秘匿化演算結果［ｕ］とを用いた秘密計算によって、ｙ_ｉ，１，…，ｙ_ｉ，Ｎがまとめて秘匿された秘匿化演算結果［ｙ_ｉ］を得てもよい。秘匿化演算結果［ｙ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ４２３－ｈ）。

　＜具体例＞
　以下に、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｃ_０＝０、ｃ_１＝１、ｄ_０＝０、ｄ_１＝１、ρ_０＝０、ρ_１＝１、ｇ_０＝０、ｇ_１＝１である場合の具体例を示す。図１８および図１９はｎ＜Ｎおよびｔ（ｉ）＜Ｎの例である。ｋ_ｎがワイルドカード文字「*」であり、ｋ_ｎ＋１，…，ｋ_Ｎおよびｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎがヌル文字である。

　図１８に例示するように、ｔ（１）＝ｎであり、ｊ＝１，…，ｎ‐１についてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_１＝（１，１，…，１，０，１，１，…，１）、ｗ＝（０，０，…，０，１，０，０，…，０）、ｕ＝（０，０，…，０，１，１，…，１）、μ_１＝（１，１，…，１，１，０，０，…，０）、ｖ_１＝（０，０，…，０，１，０，０，…，０）となり、ｙ_１＝（１，１，…，１，１，１，１，…，１）となる。そのため、ｚ_１＝１となる。

　図１９に例示するように、ｔ（３）＝ｎ‐１であり、ｊ＝１，…，ｎ‐１についてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_３＝（１，１，…，１，０，１，１，…，１）、ｗ＝（０，０，…，０，１，０，０，…，０）、ｕ＝（０，０，…，０，１，１，…，１）、μ_３＝（１，１，…，１，０，０，０，…，０）、ｖ_３＝（０，０，…，０，０，０，０，…，０）となり、ｙ_３＝（１，１，…，１，０，１，１，…，１）となる。そのため、ｚ_３＝０となる。

　＜本実施形態の特徴＞
　上述のように、本実施形態では、検索対象ワードｘ_ｉの文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎがヌル文字であり、検索ワードｋの文字ｋ_{ｔ（ｉ）＋１}，…，ｋ_Ｎがワイルドカード文字を含み得る場合であっても、ワイルドカード文字を含む検索ワードを秘匿したまま、秘匿されたデータベースの前方一致検索を行うことができる。また、秘匿されたデータベースの一致検索を従来よりも少ない通信量で行うことができる。

　［第５実施形態］
　第５実施形態は第１，２実施形態の変形例である。第１，２実施形態では秘匿化検索対象ワードと秘匿化検索ワードとの長さが互いに同一であることが前提であった。これに対し、本実施形態では、秘匿化検索対象ワードと秘匿化検索ワードとの長さが互いに同一であるか否かにかかわらず、完全一致検索を行うことができる。

　図１に例示するように、本実施形態の検索システム５は、検索を依頼する依頼装置１１、および検索を行う検索装置５２－ｈを有し、秘密計算による検索処理を行う。ただし、ｈ＝１，…，Ｈであり、Ｈは１以上の整数である。秘密分散方式に基づく秘密計算を行う場合にはＨ≧２であり、準同型性暗号方式に基づく秘密計算を行う場合にはＨ＝１である。

　図２に例示するように、本実施形態の検索装置５２－ｈは、制御部１２０－ｈ、等号判定部５２１－ｈ、ワイルドカード判定部５２２－ｈ、論理和演算部５２３－ｈ、ヌル判定部５２４－ｈ，５２５－ｈ、論理積演算部５２７－ｈ、連結部５２８－ｈ、記憶部１２８－ｈ、入力部１２９１－ｈ、および出力部１２９２－ｈを有する。検索装置５２－ｈは、制御部１２０－ｈの制御のもとで各処理を実行する。また、各部で得られたデータは、逐一、記憶部１２８－ｈに格納され、必要に応じて読み出されて他の処理に用いられる。

　＜前処理＞
　記憶部１２８－ｈには、ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_{ｉ，Ｎ（ｉ）}）（例えば、図２１のＤＢ参照）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］が格納されている。ただし、ｍ，ｔ（ｉ），Ｎ（ｉ）が正整数であり、ｉ＝１，…，ｍであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｔ（ｉ）≦Ｎ（ｉ）である。検索対象ワードｘ_ｉに含まれるｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}は検索対象となる通常文字である。一方、検索対象ワードｘ_ｉに含まれる残りのＮ（ｉ）－ｔ（ｉ）個の文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_{ｉ，Ｎ（ｉ）}はヌル文字である。文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_{ｉ，Ｎ（ｉ）}のそれぞれを別々に秘匿化して得られた秘匿値［ｘ_ｉ，１］，…，［ｘ_{ｉ，ｔ（ｉ）}］，…，［ｘ_{ｉ，Ｎ（ｉ）}］の集合を秘匿化検索対象ワード［ｘ_ｉ］としてもよいし、Ｎ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_{ｉ，Ｎ（ｉ）}をまとめて秘匿化したものを秘匿化検索対象ワード［ｘ_ｉ］としてもよい。その他は第１実施形態で述べた通りである。

　＜検索処理＞
　図２０を用いて本実施形態の検索処理を説明する。依頼装置１１は、ｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）を秘匿化して秘匿化検索ワード［ｋ］を得る。ただし、ｊ＝１，…，Ｎであり、ｎは正整数であり、ｎ≦Ｎである。文字ｋ_１，…，ｋ_ｎはワイルドカード文字を含んでもよい。検索対象ワードｘ_ｉがヌル文字ｘ_{ｉ，ｔ（ｉ）＋１}，…，ｘ_ｉ，Ｎを含んでいる場合に、ｋ_{ｔ（ｉ）＋１}，…，ｋ_Ｎがワイルドカード文字を含んでいてもよい。ｎ，Ｎが正整数であり、ｎ≦Ｎである。Ｎ≦Ｎ（ｉ）のときＭ_ｍｉｎ＝Ｎであり、Ｎ＞Ｎ（ｉ）のときＭ_ｍｉｎ＝Ｎ（ｉ）である。このようなＭ_ｍｉｎをＭ_ｍｉｎ＝ｍｉｎ（Ｎ（ｉ），Ｎ）と表記する。また、Ｎ≦Ｎ（ｉ）のときＮ_ｍａｘ＝Ｎ（ｉ）であり、Ｎ＞Ｎ（ｉ）のときＮ_ｍａｘ＝Ｎである。このようなＭ_ｍａｘをＭ_ｍａｘ＝ｍａｘ（Ｎ（ｉ），Ｎ）と表記する。記載表記の制約上、Ｎ_ｍｉｎを「Ｎｍｉｎ」と表記し、Ｎ_ｍａｘを「Ｎｍａｘ」と表記する場合がある。ｊ”＝Ｍ_ｍｉｎ＋１，…，Ｎであり、ｊ”（ｉ）＝Ｍ_ｍｉｎ＋１，…，Ｎ（ｉ）である。ただし、Ｍ_ｍｉｎ＋１≧Ｎのときｊ”は空であり、Ｍ_ｍｉｎ＋１≧Ｎ（ｉ）のときｊ”（ｉ）は空である。前述のように、文字ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎのそれぞれを別々に秘匿化して得られた秘匿値［ｋ_１］，…，［ｋ_ｎ］，…，［ｋ_Ｎ］の集合を秘匿化検索ワード［ｋ］としてもよいし、Ｎ個の文字ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎをまとめて秘匿化したものを秘匿化検索ワード［ｋ］としてもよい。

　依頼装置１１は秘匿化検索ワード［ｋ］を出力する。出力された秘匿化検索ワード［ｋ］は、ネットワーク等を経由して検索装置５２－ｈに送られる。秘匿化検索ワード［ｋ］は、検索装置５２－ｈの入力部１２９１－ｈに入力されて記憶部１２８－ｈに格納される（ステップＳ１２９１－ｈ）。その後、各ｉ＝１，…，ｍについて以下の処理が実行される。

　まず、等号判定部５２１－ｈは、記憶部１２８－ｈから読み出した秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_{ｉ，Ｎｍｉｎ}）が秘匿された秘匿化演算結果［ｅ_ｉ］を得て出力する。ただし、ｊ’＝１，…，Ｎ_ｍｉｎについて、ｘ_ｉ，ｊ’がｋ_ｊ’の場合にｅ_ｉ，ｊ’＝ａ_１であり、ｘ_ｉ，ｊ’がｋ_ｊ’でない場合にｅ_ｉ，ｊ’＝ａ_０である。ｅ_ｉ，ｊ’∈｛ａ_０，ａ_１｝であり、例えば、ａ_０＝０であり、ａ_１＝１である。例えば、等号判定部５２１－ｈは、秘密計算によって、ｊ’＝１，…，Ｎ_ｍｉｎついて［ｋ_ｊ’］と［ｘ_ｉ，ｊ’］との等号判定を行い、ｅ_ｉ，ｊ’を秘匿化した［ｅ_ｉ，ｊ’］を得、［ｅ_１，ｊ’］，…，［ｅ_{１，Ｎｍｉｎ}］の集合を秘匿化演算結果［ｅ_ｉ］として得る。あるいは、等号判定部５２１－ｈは、秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｅ_ｉ，１，…，ｅ_{ｉ，Ｎｍｉｎ}がまとめて秘匿された秘匿化演算結果［ｅ_ｉ］を得てもよい。秘匿化演算結果［ｅ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ５２１－ｈ）。

　ワイルドカード判定部５２２－ｈは、記憶部１２８－ｈから読み出した秘匿化検索ワード［ｋ］を用いた秘密計算によって、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得て出力する。ただし、ｊ’＝１，…，Ｎ_ｍｉｎについて、ｋ_ｊ’がワイルドカード文字の場合にｗ_ｊ’＝ｂ_１であり、ｋ_ｊ’がワイルドカード文字でない場合にｗ_ｊ’＝ｂ_０である。例えば、ワイルドカード判定部５２２－ｈは、秘匿化検索ワード［ｋ］とワイルドカード文字を秘匿化して得られた秘匿化ワイルドカード文字とを用い、秘密計算によって秘匿化演算結果［ｗ］を得る。一例を挙げると、ワイルドカード判定部５２２－ｈは、秘密計算によって、ｊ’＝１，…，Ｎ_ｍｉｎについて［ｋ_ｊ’］と秘匿化ワイルドカード文字との等号判定を行い、ｗ_ｊ’を秘匿化した［ｗ_ｊ’］を得、［ｗ_１］，…，［ｗ_Ｎｍｉｎ］の集合を秘匿化演算結果［ｗ］として得る。あるいは、ワイルドカード判定部１２２－ｈが、秘匿化検索ワード［ｋ］と秘匿化ワイルドカード文字とを用いた秘密計算によって、ｗ_１，…，ｗ_Ｎｍｉｎがまとめて秘匿された秘匿化演算結果［ｗ］を得てもよい。秘匿化演算結果［ｗ］は記憶部１２８－ｈに格納される（ステップＳ５２２－ｈ）。

　ヌル判定部５２５－ｈは、記憶部１２８－ｈから読み出した秘匿化検索ワード［ｋ］の少なくとも一部を用いた秘密計算によって、演算結果ｕ’_{Ｎｍｉｎ＋１}，…，ｕ’_Ｎが秘匿された秘匿化演算結果［ｕ’］を得て出力する。ただし、ｊ”＝Ｍ_ｍｉｎ＋１，…，Ｎについて、ｋ_ｊ”がヌル文字の場合にｕ’_ｊ”＝ｃ_１であり、ｋ_ｊ”がヌル文字でない場合にｕ’_ｊ”＝ｃ_０である。ｕ’_ｊ”∈｛ｃ_０，ｃ_１｝であり、例えば、ｃ_０＝０であり、ｃ_１＝１である。例えば、ヌル判定部５２５－ｈは、秘匿化検索ワード［ｋ］の少なくとも一部とヌル文字を秘匿化して得られた秘匿化ヌル文字とを用い、秘密計算によって秘匿化演算結果［ｕ’］を得る。一例を挙げると、ヌル判定部５２５－ｈは、秘密計算によって、ｊ”＝Ｍ_ｍｉｎ＋１，…，Ｎについて［ｋ_ｊ”］と秘匿化ヌル文字との等号判定を行い、ｕ’_ｊ”を秘匿化した［ｕ’_ｊ”］を得、［ｕ’_{Ｍｍｉｎ＋１}］，…，［ｕ’_Ｎ］の集合を秘匿化演算結果［ｕ’］として得る。あるいは、ヌル判定部５２５－ｈが秘匿化検索ワード［ｋ］と秘匿化ヌル文字とを用いた秘密計算によって、ｕ’_{Ｍｍｉｎ＋１}，…，ｕ’_Ｎがまとめて秘匿された秘匿化演算結果［ｕ’］を得てもよい。秘匿化演算結果［ｕ’］は記憶部１２８－ｈに格納される。（ステップＳ５２５－ｈ）。なお、Ｍ_ｍｉｎ＋１≧ＮのときにはステップＳ５２５－ｈの処理は実行されない。

　論理和演算部５２３－ｈは、記憶部１２８－ｈから読み出した秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］とを用いた秘密計算によって、演算結果ｅ’_ｉ＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎｍｉｎ}）が秘匿された秘匿化演算結果［ｅ’_ｉ］を得て出力する。ただし、ｊ’＝１，…，Ｎ_ｍｉｎについて、ｅ_ｉ，ｊ’＝ａ_１およびｗ_ｊ’＝ｂ_１の少なくとも一方を満たす場合にｅ’_ｉ，ｊ’＝ｄ_１であり、ｅ_ｉ，ｊ’＝ａ_０およびｗ_ｊ’＝ｂ_０の両方を満たす場合にｅ’_ｉ，ｊ’＝ｄ_０である。ｅ’_ｉ，ｊ’∈｛ｄ_０，ｄ_１｝であり、例えば、ｄ_０＝０であり、ｄ_１＝１である。例えば、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｄ_０＝０、ｄ_１＝１の場合、ｅ’_ｉ，ｊ’＝ｅ_ｉ，ｊ’∨ｗ_ｊ’である。例えば、論理和演算部５２３－ｈは、秘密計算によって、ｊ’＝１，…，Ｎ_ｍｉｎについて、［ｅ_ｉ，ｊ’］と［ｗ_ｊ’］との論理和を行い、ｅ’_ｉ，ｊ’＝ｅ_ｉ，ｊ’∨ｗ_ｊ’を秘匿化した［ｅ’_ｉ，ｊ’］を得、［ｅ’_ｉ，１］，…，［ｅ’_{ｉ，Ｎｍｉｎ}］の集合を秘匿化演算結果［ｅ’_ｉ］として得る。あるいは、論理和演算部５２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］とを用いた秘密計算によって、ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎｍｉｎ}がまとめて秘匿された秘匿化演算結果［ｅ’_ｉ］を得てもよい。秘匿化演算結果［ｅ’_ｉ］は記憶部１２８－ｈに格納される（ステップＳ５２３１－ｈ）。

　ヌル判定部５２４－ｈは、記憶部１２８－ｈから読み出した秘匿化検索対象ワード［ｘ_ｉ］の少なくとも一部を用いた秘密計算によって、演算結果μ’_ｉ＝（μ’_{ｉ，Ｎｍｉｎ＋１}，…，μ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［μ’_ｉ］を得て出力する。ただし、ｊ”（ｉ）＝Ｍ_ｍｉｎ＋１，…，Ｎ（ｉ）について、ｘ_{ｉ，ｊ”（ｉ）}がヌル文字の場合にμ’_{ｉ，ｊ”（ｉ）}＝ｄ_１であり、ｘ_{ｉ，ｊ”（ｉ）}がヌル文字でない場合にμ’_{ｉ，ｊ”（ｉ）}＝ｄ_０である。μ’_{ｉ，ｊ”（ｉ）}∈｛ｄ_０，ｄ_１｝であり、例えば、ｄ_０＝０であり、ｄ_１＝１である。ヌル判定部５２４－ｈは、秘匿化検索対象ワード［ｘ_ｉ］の少なくとも一部とヌル文字を秘匿化して得られた秘匿化ヌル文字とを用い、秘密計算によって秘匿化演算結果［μ’_ｉ］を得る。一例を挙げると、ヌル判定部５２４－ｈは、秘密計算によって、ｊ”（ｉ）＝Ｍ_ｍｉｎ＋１，…，Ｎ（ｉ）について［ｘ_{ｉ，ｊ”（ｉ）}］と秘匿化ヌル文字との等号判定を行い、μ’_{ｉ，ｊ”（ｉ）}を秘匿化した［μ’_{ｉ，ｊ”（ｉ）}］を得、［μ’_{ｉ，Ｍｍｉｎ＋１}］，…，［μ’_{ｉ，Ｎ（ｉ）}］の集合を秘匿化演算結果［μ’_ｉ］として得る。あるいは、ヌル判定部５２４－ｈが秘匿化検索対象ワード［ｘ_ｉ］と秘匿化ヌル文字とを用いた秘密計算によって、μ’_{ｉ，Ｎｍｉｎ＋１}，…，μ’_{ｉ，Ｎ（ｉ）}がまとめて秘匿された秘匿化演算結果［μ’_ｉ］を得てもよい。秘匿化演算結果［μ’_ｉ］は記憶部１２８－ｈに格納される（ステップＳ５２４－ｈ）。なお、Ｍ_ｍｉｎ＋１≧Ｎ（ｉ）のときにはステップＳ５２４－ｈの処理は実行されない。

　連結部５２８－ｈは、少なくとも秘匿化演算結果［ｅ’_ｉ］を用いた秘密計算によって、演算結果ｙ_ｉが秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。Ｎ＝Ｎ（ｉ）の場合、連結部５２８－ｈは、秘匿化演算結果［ｅ’_ｉ］を秘匿化演算結果［ｙ_ｉ］として出力する。Ｎ＞Ｎ（ｉ）の場合、連結部５２８－ｈは、秘匿化演算結果［ｕ’］および秘匿化演算結果［ｅ’_ｉ］を用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}，ｕ’_{Ｎ（ｉ）＋１}，…，ｕ’_Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。Ｎ＜Ｎ（ｉ）の場合、連結部５２８－ｈは、秘匿化演算結果［ｅ’_ｉ］と秘匿化演算結果［μ’_ｉ］とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_{ｉ，Ｎ（ｉ）}）＝（ｅ’_ｉ，１，…，ｅ’_ｉ，Ｎ，μ’_{ｉ，Ｎ＋１}，…，μ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。［ｙ_ｉ］はｙ_ｉの要素がそれぞれ秘匿化された秘匿化結果の集合であってもよいし、ｙ_ｉのすべての要素をまとめて秘匿化したものであってもよい。秘匿化演算結果［ｙ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ５２８－ｈ）。

　論理積演算部５２７－ｈは、記憶部１２８－ｈから読み出した秘匿化演算結果［ｙ_ｉ］を用いた秘密計算によって、秘匿化演算結果［ｙ_ｉ］を用いた秘密計算によって、一致判定結果ｚ_ｉが秘匿された秘匿化一致判定結果［ｚ_ｉ］を得て出力する。ただし、ｙ_ｉ，１＝…＝ｙ_{ｉ，Ｎｍａｘ}＝ｄ_１の場合にｚ_ｉ＝ｇ_１であり、ｙ_ｉ，１＝…＝ｙ_{ｉ，Ｎｍａｘ}＝ｄ_１でない場合にｚ_ｉ＝ｇ_０である。ｚ_ｉ∈｛ｇ_０，ｇ_１｝であり、例えば、ｇ_０＝０であり、ｇ_１＝１である。例えば、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１の場合、ｚ_ｉ＝ｙ_ｉ，１∧…∧ｙ_{ｉ，Ｎｍａｘ}である。秘匿化一致判定結果［ｚ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ５２７－ｈ）。

　その後、第１実施形態で説明したステップＳ１２９２－ｈ以降の処理が実行される。

　＜具体例＞
　本実施形態の処理をＮ＝Ｎ（ｉ）の場合、Ｎ＞Ｎ（ｉ）の場合、Ｎ＜Ｎ（ｉ）の場合に区分して記載すると以下のようになる。

　≪Ｎ＝Ｎ（ｉ）の場合≫
　ｍ，ｎ，ｔ（ｉ），Ｎ，Ｎ（ｉ）が正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎ（ｉ）である。等号判定部５２１－ｈは、秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得て出力する。ワイルドカード判定部５２２－ｈは、秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊがワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得て出力する。論理和演算部５２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１およびｗ_ｊ＝ｂ_１の少なくとも一方を満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ_ｊ＝ｂ_０の両方を満たす場合にｙ_ｉ，ｊ＝ｄ_０である、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］＝［ｅ’_ｉ］を得て出力する。例えば、図２３に例示するように、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１であり、ｋ_ｎ－１がワイルドカード文字「*」であり、ｊ＝１，…，ｎ－２，ｎについてｘ_２，ｊ＝ｋ_ｊを満たす場合、ｅ_２＝（１，１，…，１，０，１，０，１，…，１）、ｗ＝（０，０，…，０，１，０，０，０，…，０）、ｙ_２＝ｅ’_２＝（１，１，…，１，１，１，０，１，…，１）となる。そのため、ｚ_２＝０となる。

　≪Ｎ＞Ｎ（ｉ）の場合≫
　ｍ，ｎ，ｔ（ｉ），Ｎ，Ｎ（ｉ）が正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｊ”（ｉ）＝Ｎ（ｉ）＋１，…，Ｎであり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎ（ｉ）である。等号判定部５２１－ｈは、秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_{ｉ，ｊ（ｉ）}がｋ_ｊ（ｉ）の場合にｅ_{ｉ，ｊ（ｉ）}＝ａ_１であり、ｘ_{ｉ，ｊ（ｉ）}がｋ_ｊ（ｉ）でない場合にｅ_{ｉ，ｊ（ｉ）}＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｅ_ｉ］を得て出力する。ワイルドカード判定部５２２－ｈは、秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊ（ｉ）がワイルドカード文字の場合にｗ_ｊ（ｉ）＝ｄ_１であり、ｋ_ｊ（ｉ）がワイルドカード文字でない場合にｗ_ｊ（ｉ）＝ｄ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ（ｉ））が秘匿された秘匿化演算結果［ｗ］を得て出力する。ヌル判定部５２５－ｈ（第１ヌル判定部）は、秘匿化検索ワード［ｋ］の少なくとも一部を用いた秘密計算によって、ｋ_{ｊ”（ｉ）}がヌル文字の場合にｕ’_{ｊ”（ｉ）}＝ｃ_１であり、ｋ_{ｊ”（ｉ）}がヌル文字でない場合にｕ’_{ｊ”（ｉ）}＝ｃ_０である、演算結果ｕ’_{Ｎ（ｉ）＋１}，…，ｕ’_Ｎが秘匿された秘匿化演算結果［ｕ’］を得て出力する。論理和演算部５２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］とを用いた秘密計算によって、ｅ_{ｉ，ｊ（ｉ）}＝ａ_１およびｗ_ｊ（ｉ）＝ｂ_１の少なくとも一方を満たす場合にｅ’_{ｉ，ｊ（ｉ）}＝ｄ_１であり、ｅ_{ｉ，ｊ（ｉ）}＝ａ_０およびｗ_ｊ（ｉ）＝ｂ_０の両方を満たす場合にｅ’_{ｉ，ｊ（ｉ）}＝ｄ_０である、演算結果ｅ’_ｉ＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｅ’_ｉ］を得て出力する。連結部５２８－ｈは、秘匿化演算結果［ｕ’］および秘匿化演算結果［ｅ’_ｉ］を用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}，ｕ’_{Ｎ（ｉ）＋１}，…，ｕ’_Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。例えば、図２２に例示するように、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１であり、ｋ_ｎ－１がワイルドカード文字「*」であり、ｊ＝１，…，ｎ－２，ｎについてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_１＝（１，１，…，１，０，１，１，１，…，１）、ｗ＝（０，０，…，０，１，０，０，０，…，０）、ｅ’_１＝（１，１，…，１，１，１，１，１，…，１）となり、ｙ_１＝（１，１，…，１，１，１，１，１，…，１，１）となる。そのため、ｚ_１＝１となる。

　≪Ｎ＜Ｎ（ｉ）の場合≫
　ｍ，ｎ，ｔ（ｉ），Ｎ，Ｎ（ｉ）が正整数であり、Ｎ＜Ｎ（ｉ）であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎ（ｉ）であり、ｊ”（ｉ）＝Ｎ＋１，…，Ｎ（ｉ）である。等号判定部５２１－ｈは、秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得て出力する。ワイルドカード判定部５２２－ｈは、秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊがワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得て出力する。論理和演算部５２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１およびｗ_ｊ＝ｂ_１の少なくとも一方を満たす場合にｅ’_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ_ｊ＝ｂ_０の両方を満たす場合にｅ’_ｉ，ｊ＝ｄ_０である、演算結果ｅ’_ｉ＝（ｅ’_ｉ，１，…，ｅ’_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ’_ｉ］を得て出力する。ヌル判定部５２４－ｈ（第２ヌル判定部）は、秘匿化検索対象ワード［ｘ_ｉ］の少なくとも一部を用いた秘密計算によって、ｘ_{ｉ，ｊ”（ｉ）}がヌル文字の場合にμ’_{ｉ，ｊ”（ｉ）}＝ｄ_１であり、ｘ_{ｉ，ｊ”（ｉ）}がヌル文字でない場合にμ’_{ｉ，ｊ”（ｉ）}＝ｄ_０である、演算結果μ’_ｉ＝（μ’_{ｉ，Ｎ＋１}，…，μ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［μ’_ｉ］を得て出力する。連結部５２８－ｈは、秘匿化演算結果［ｅ’_ｉ］と秘匿化演算結果［μ’_ｉ］とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_{ｉ，Ｎ（ｉ）}）＝（ｅ’_ｉ，１，…，ｅ’_ｉ，Ｎ，μ’_{ｉ，Ｎ＋１}，…，μ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。例えば、図２４に例示するように、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１であり、ｋ_ｎ－１がワイルドカード文字「*」であり、ｊ＝１，…，ｎ－２，ｎについてｘ_３，ｊ＝ｋ_ｊを満たす場合、ｅ_３＝（１，１，…，１，０，０，１，１，…，１）、ｗ＝（０，０，…，０，１，０，０，０，…，０）、ｅ’_３＝（１，１，…，１，１，０，１，１，…，１）となり、ｙ_３＝（１，１，…，１，１，０，１，１，…，１，１）となる。そのため、ｚ_３＝０となる。

　＜本実施形態の特徴＞
　上述のように、本実施形態では、検索ワードｋがワイルドカード文字を含み得る場合であっても、検索ワードｋおよび検索対象ワードｘ_ｉの少なくとも一方がヌル文字を含み得る場合であっても、ワイルドカード文字を含む検索ワードを秘匿したまま、秘匿されたデータベースの完全一致検索を行うことができる。さらに、本実施形態では、秘匿化検索対象ワードと秘匿化検索ワードとの長さが互いに同一であるか否かにかかわらず完全一致検索を行うことができる。また、秘匿されたデータベースの一致検索を従来よりも少ない通信量で行うことができる。

　［第６実施形態］
　第６実施形態は第３，４実施形態の変形例である。第３，４実施形態では秘匿化検索対象ワードと秘匿化検索ワードとの長さが互いに同一であることが前提であった。これに対し、本実施形態では、秘匿化検索対象ワードと秘匿化検索ワードとの長さが互いに同一であるか否かにかかわらず、前方一致検索を行うことができる。

　図１に例示するように、本実施形態の検索システム６は、検索を依頼する依頼装置１１、および検索を行う検索装置６２－ｈを有し、秘密計算による検索処理を行う。ただし、ｈ＝１，…，Ｈであり、Ｈは１以上の整数である。秘密分散方式に基づく秘密計算を行う場合にはＨ≧２であり、準同型性暗号方式に基づく秘密計算を行う場合にはＨ＝１である。

　図２に例示するように、本実施形態の検索装置６２－ｈは、制御部１２０－ｈ、等号判定部５２１－ｈ、ワイルドカード判定部５２２－ｈ、論理和演算部６２３－ｈ、ヌル判定部６２５－ｈ、論理積演算部５２７－ｈ、連結部６２８－ｈ、記憶部１２８－ｈ、入力部１２９１－ｈ、および出力部１２９２－ｈを有する。検索装置６２－ｈは、制御部１２０－ｈの制御のもとで各処理を実行する。また、各部で得られたデータは、逐一、記憶部１２８－ｈに格納され、必要に応じて読み出されて他の処理に用いられる。

　＜前処理＞
　第５実施形態と同じである。

　図２５を用いて本実施形態の検索処理を説明する。依頼装置１１は、ｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）を秘匿化して秘匿化検索ワード［ｋ］を得る。依頼装置１１は秘匿化検索ワード［ｋ］を出力する。出力された秘匿化検索ワード［ｋ］は、ネットワーク等を経由して検索装置６２－ｈに送られる。秘匿化検索ワード［ｋ］は、検索装置６２－ｈの入力部１２９１－ｈに入力されて記憶部１２８－ｈに格納される（ステップＳ１２９１－ｈ）。その後、各ｉ＝１，…，ｍについて以下の処理が実行される。

　まず、等号判定部５２１－ｈは、記憶部１２８－ｈから読み出した秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_{ｉ，Ｎｍｉｎ}）が秘匿された秘匿化演算結果［ｅ_ｉ］を得て出力する。ただし、ｊ’＝１，…，Ｎ_ｍｉｎについて、ｘ_ｉ，ｊ’がｋ_ｊ’の場合にｅ_ｉ，ｊ’＝ａ_１であり、ｘ_ｉ，ｊ’がｋ_ｊ’でない場合にｅ_ｉ，ｊ’＝ａ_０である。秘匿化演算結果［ｅ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ５２１－ｈ）。

　ワイルドカード判定部５２２－ｈは、記憶部１２８－ｈから読み出した秘匿化検索ワード［ｋ］を用いた秘密計算によって、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得て出力する。ただし、ｊ’＝１，…，Ｎ_ｍｉｎについて、ｋ_ｊ’がワイルドカード文字の場合にｗ_ｊ’＝ｂ_１であり、ｋ_ｊ’がワイルドカード文字でない場合にｗ_ｊ’＝ｂ_０である。秘匿化演算結果［ｗ］は記憶部１２８－ｈに格納される（ステップＳ５２２－ｈ）。

　ヌル判定部６２５－ｈは、記憶部１２８－ｈから読み出した秘匿化検索ワード［ｋ］を用いた秘密計算によって、演算結果ｕ”＝（ｕ”_１，…，ｕ”_Ｎ）が秘匿された秘匿化演算結果［ｕ”］を得て出力する。ただし、ｊ＝１，…，Ｎについて、ｋ_ｊがヌル文字の場合にｕ”_ｊ＝ｃ_１であり、ｋ_ｊがヌル文字でない場合にｕ”_ｊ＝ｃ_０である。ｕ”_ｊ∈｛ｃ_０，ｃ_１｝であり、例えば、ｃ_０＝０であり、ｃ_１＝１である。例えば、ヌル判定部６２５－ｈは、秘匿化検索ワード［ｋ］の少なくとも一部とヌル文字を秘匿化して得られた秘匿化ヌル文字とを用い、秘密計算によって秘匿化演算結果［ｕ”］を得る。一例を挙げると、ヌル判定部６２５－ｈは、秘密計算によって、ｊ＝１，…，Ｎについて［ｋ_ｊ］と秘匿化ヌル文字との等号判定を行い、ｕ”_ｊを秘匿化した［ｕ”_ｊ］を得、［ｕ”_１］，…，［ｕ”_Ｎ］の集合を秘匿化演算結果［ｕ”］として得る。あるいは、ヌル判定部６２５－ｈが秘匿化検索ワード［ｋ］と秘匿化ヌル文字とを用いた秘密計算によって、ｕ”_１，…，ｕ”_Ｎがまとめて秘匿された秘匿化演算結果［ｕ”］を得てもよい。秘匿化演算結果［ｕ”］は記憶部１２８－ｈに格納される（ステップＳ６２５１－ｈ）。

　論理和演算部６２３－ｈ（第１論理和演算部）は、記憶部１２８－ｈから読み出した秘匿化演算結果［ｗ］と秘匿化演算結果［ｕ”］の少なくとも一部を用いた秘密計算によって、演算結果ｗ’＝（ｗ’_１，…，ｗ’_Ｎｍｉｎ）が秘匿された秘匿化演算結果［ｗ’］を得て出力する。ただし、ｊ’＝１，…，Ｎ_ｍｉｎについてｕ”_ｊ’＝ｃ_１およびｗ_ｊ’＝ｂ_１の少なくとも一方を満たす場合にｗ’_ｊ’＝ｂ’_１であり、ｕ”_ｊ’＝ｃ_０およびｗ_ｊ’＝ｂ_０の両方を満たす場合にｗ’_ｊ’＝ｂ’_０である。ｗ’_ｊ∈｛ｂ’_０，ｂ’_１｝であり、例えば、ｂ’_０＝０であり、ｂ’_１＝１である。例えば、ｂ_０＝０、ｂ_１＝１、ｃ_０＝０、ｃ_１＝１、ｂ’_０＝０、ｂ’_１＝１の場合、ｗ’_ｊ’＝ｕ”_ｊ’∨ｗ_ｊ’である。例えば、論理和演算部６２３－ｈは、秘密計算によって、ｊ’＝１，…，Ｎ_ｍｉｎについて、［ｕ”_ｊ’］と［ｗ_ｊ’］との論理和を行い、ｗ’_ｊ’＝ｕ”_ｊ’∨ｗ_ｊ’を秘匿化した［ｗ’_ｊ’］を得、［ｗ’_１］，…，［ｗ’_Ｎｍｉｎ］の集合を秘匿化演算結果［ｗ’］として得る。あるいは、論理和演算部６２３－ｈは、秘匿化演算結果［ｗ］と秘匿化演算結果［ｕ”］とを用いた秘密計算によって、ｗ’_１，…，ｗ’_Ｎｍｉｎがまとめて秘匿された秘匿化演算結果［ｗ’］を得てもよい。秘匿化演算結果［ｗ’］は記憶部１２８－ｈに格納される（ステップＳ６２３１－ｈ）。

　論理和演算部６２３－ｈ（第２論理和演算部）は、記憶部１２８－ｈから読み出した秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ’］とを用いた秘密計算によって、演算結果ｅ’_ｉ＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎｍｉｎ}）が秘匿された秘匿化演算結果［ｅ’_ｉ］を得て出力する。ただし、ｊ’＝１，…，Ｎ_ｍｉｎについて、ｅ’_ｉ，ｊ’＝ａ_１およびｗ’_ｊ’＝ｂ’_１の少なくとも一方を満たす場合にｅ’_ｉ，ｊ’＝ｄ_１であり、ｅ_ｉ，ｊ’＝ａ_０およびｗ’_ｊ’＝ｂ’_０の両方を満たす場合にｅ’_ｉ，ｊ’＝ｄ_０である。ｅ’_ｉ，ｊ’∈｛ｄ_０，ｄ_１｝であり、例えば、ｄ_０＝０であり、ｄ_１＝１である。例えば、ａ_０＝０、ａ_１＝１、ｂ’_０＝０、ｂ’_１＝１、ｄ_０＝０、ｄ_１＝１の場合、ｅ’_ｉ，ｊ’＝ｅ_ｉ，ｊ’∨ｗ’_ｊ’である。例えば、論理和演算部６２３－ｈは、秘密計算によって、ｊ’＝１，…，Ｎ_ｍｉｎについて、［ｅ_ｉ，ｊ’］と［ｗ’_ｊ’］との論理和を行い、ｅ’_ｉ，ｊ’＝ｅ_ｉ，ｊ’∨ｗ’_ｊ’を秘匿化した［ｅ’_ｉ，ｊ’］を得、［ｅ’_ｉ，１］，…，［ｅ’_{ｉ，Ｎｍｉｎ}］の集合を秘匿化演算結果［ｅ’_ｉ］として得る。あるいは、論理和演算部６２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ’］とを用いた秘密計算によって、ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎｍｉｎ}がまとめて秘匿された秘匿化演算結果［ｅ’_ｉ］を得てもよい。秘匿化演算結果［ｅ’_ｉ］は記憶部１２８－ｈに格納される（ステップＳ６２３２－ｈ）。

　連結部６２８－ｈは、少なくとも秘匿化演算結果［ｅ’_ｉ］を用いた秘密計算によって、演算結果ｙ_ｉが秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。Ｎ≦Ｎ（ｉ）の場合、連結部６２８－ｈは、秘匿化演算結果［ｅ’_ｉ］を秘匿化演算結果［ｙ_ｉ］として出力する。Ｎ＞Ｎ（ｉ）の場合、連結部６２８－ｈは、秘匿化演算結果［ｅ’_ｉ］と秘匿化演算結果［ｕ”］の少なくとも一部とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}，ｕ”_{Ｎ（ｉ）＋１}，…，ｕ”_Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。［ｙ_ｉ］はｙ_ｉの要素がそれぞれ秘匿化された秘匿化結果の集合であってもよいし、ｙ_ｉのすべての要素をまとめて秘匿化したものであってもよい。秘匿化演算結果［ｙ_ｉ］は記憶部１２８－ｈに格納される（ステップＳ６２８－ｈ）。

　その後、ステップＳ５２７－ｈおよび第１実施形態で説明したステップＳ１２９２－ｈ以降の処理が実行される。

　＜具体例＞
　本実施形態の処理をＮ＞Ｎ（ｉ）の場合、Ｎ≦Ｎ（ｉ）の場合に区分して記載すると以下のようになる。

　≪Ｎ＞Ｎ（ｉ）の場合≫
　ｍ，ｎ，ｔ（ｉ），Ｎ，Ｎ（ｉ）が正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｊ”（ｉ）＝Ｎ（ｉ）＋１，…，Ｎであり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎ（ｉ）である。等号判定部５２１－ｈは、秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_{ｉ，ｊ（ｉ）}がｋ_ｊ（ｉ）の場合にｅ_{ｉ，ｊ（ｉ）}＝ａ_１であり、ｘ_{ｉ，ｊ（ｉ）}がｋ_ｊ（ｉ）でない場合にｅ_{ｉ，ｊ（ｉ）}＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｅ_ｉ］を得て出力する。ワイルドカード判定部５２２－ｈは、秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊ（ｉ）がワイルドカード文字の場合にｗ_ｊ（ｉ）＝ｂ_１であり、ｋ_ｊ（ｉ）がワイルドカード文字でない場合にｗ_ｊ（ｉ）＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ（ｉ））が秘匿された秘匿化演算結果［ｗ］を得て出力する。ヌル判定部６２５－ｈは、秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがヌル文字の場合にｕ”_ｊ＝ｃ_１であり、ｋ_ｊがヌル文字でない場合にｕ”_ｊ＝ｃ_０である、演算結果ｕ”＝（ｕ”_１，…，ｕ”_Ｎ）が秘匿された秘匿化演算結果［ｕ”］を得て出力する。論理和演算部６２３－ｈは、秘匿化演算結果［ｗ］と秘匿化演算結果［ｕ”］の少なくとも一部を用いた秘密計算によって、ｕ”_ｊ（ｉ）＝ｃ_１およびｗ_ｊ（ｉ）＝ｂ_１の少なくとも一方を満たす場合にｗ’_ｊ（ｉ）＝ｂ’_１であり、ｕ”_ｊ（ｉ）＝ｃ_０およびｗ_ｊ（ｉ）＝ｂ_０の両方を満たす場合にｗ’_ｊ（ｉ）＝ｂ’_０である、演算結果ｗ’＝（ｗ’_１，…，ｗ’_Ｎ（ｉ））が秘匿された秘匿化演算結果［ｗ’］を得て出力する。論理和演算部６２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ’］とを用いた秘密計算によって、ｅ’_{ｉ，ｊ（ｉ）}＝ａ_１およびｗ’_ｊ（ｉ）＝ｂ’_１の少なくとも一方を満たす場合にｅ’_{ｉ，ｊ（ｉ）}＝ｄ_１であり、ｅ_{ｉ，ｊ（ｉ）}＝ａ_０およびｗ’_ｊ（ｉ）＝ｂ’_０の両方を満たす場合にｙ_{ｉ，ｊ（ｉ）}＝ｄ_０である、演算結果ｅ’_ｉ＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｅ’_ｉ］を得て出力する。連結部６２８－ｈは秘匿化演算結果［ｅ’_ｉ］と秘匿化演算結果［ｕ”］の少なくとも一部とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}，ｕ”_{Ｎ（ｉ）＋１}，…，ｕ”_Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。例えば、図２６に例示するように、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｂ’_０＝０、ｂ’_１＝１、ｃ_０＝０、ｃ_１＝１、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１であり、ｋ_ｎ－１がワイルドカード文字「*」であり、ｊ＝１，…，ｎ－２，ｎについてｘ_１，ｊ＝ｋ_ｊを満たす場合、ｅ_１＝（１，１，…，１，０，１，１，１，…，１）、ｗ＝（０，０，…，０，１，０，０，０，…，０）、ｕ”＝（０，０，…，０，０，０，１，１，…，１，１）、ｗ’＝（０，０，…，０，１，０，１，１，…，１）となり、ｅ’_１＝（１，１，…，１，１，１，１，１，…，１）となり、ｙ_１＝（１，１，…，１，１，１，１，１，…，１，１）となる。そのため、ｚ_１＝１となる。

　≪Ｎ≦Ｎ（ｉ）の場合≫
　ｍ，ｎ，ｔ（ｉ），Ｎ，Ｎ（ｉ）が正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎ（ｉ）である。等号判定部５２１－ｈは、秘匿化検索対象ワード［ｘ_ｉ］と秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得て出力する。ワイルドカード判定部５２２－ｈは、秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊがワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得て出力する。ヌル判定部６２５－ｈは、秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがヌル文字の場合にｕ”_ｊ＝ｃ_１であり、ｋ_ｊがヌル文字でない場合にｕ”_ｊ＝ｃ_０である、演算結果ｕ”＝（ｕ”_１，…，ｕ”_Ｎ）が秘匿された秘匿化演算結果［ｕ”］を得て出力する。論理和演算部６２３－ｈは、秘匿化演算結果［ｗ］と秘匿化演算結果［ｕ”］を用いた秘密計算によって、ｕ”_ｊ＝ｃ_１およびｗ_ｊ＝ｂ_１の少なくとも一方を満たす場合にｗ’_ｊ＝ｂ’_１であり、ｕ”_ｊ＝ｃ_０およびｗ_ｊ＝ｂ_０の両方を満たす場合にｗ’_ｊ＝ｂ’_０である、演算結果ｗ’＝（ｗ’_１，…，ｗ’_Ｎ）が秘匿された秘匿化演算結果［ｗ’］を得て出力する。論理和演算部６２３－ｈは、秘匿化演算結果［ｅ_ｉ］と秘匿化演算結果［ｗ’］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１およびｗ’_ｊ＝ｂ’_１の少なくとも一方を満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ’_ｊ＝ｂ’_０の両方を満たす場合にｙ_ｉ，ｊ＝ｄ_０である、演算結果ｅ’_ｉ＝ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得て出力する。例えば、図２７に例示するように、ａ_０＝０、ａ_１＝１、ｂ_０＝０、ｂ_１＝１、ｂ’_０＝０、ｂ’_１＝１、ｃ_０＝０、ｃ_１＝１、ｄ_０＝０、ｄ_１＝１、ｇ_０＝０、ｇ_１＝１であり、ｋ_ｎ－１がワイルドカード文字「*」であり、ｊ＝１，…，ｎ－２，ｎについてｘ_１，ｊ＝ｋ_ｊを満たし、Ｎ＝Ｎ（２）の場合、ｅ_２＝（１，１，…，１，０，１，１，１，…，１）、ｗ＝（０，０，…，０，１，０，０，０，…，０）、ｕ”＝（０，０，…，０，０，０，１，１，…，１，１）、ｗ’＝（０，０，…，０，１，０，１，１，…，１）となり、ｅ’_２＝（１，１，…，１，１，１，１，１，…，１）となり、ｙ_２＝（１，１，…，１，１，１，１，１，…，１，１）となる。そのため、ｚ_１＝１となる。例えば、図２８に例示するように、Ｎ＜Ｎ（３）の場合、ｅ_３＝（１，１，…，１，０，０，１，１，…，１）、ｗ＝（０，０，…，０，１，０，０，０，…，０）、ｕ”＝（０，０，…，０，０，０，１，１，…，１，１）、ｗ’＝（０，０，…，０，１，０，１，１，…，１）となり、ｅ’_３＝（１，１，…，１，１，０，１，１，…，１）となり、ｙ_３＝（１，１，…，１，１，０，１，１，…，１，１）となる。そのため、ｚ_３＝０となる。

　＜本実施形態の特徴＞
　上述のように、本実施形態では、検索ワードｋがワイルドカード文字を含み得る場合であっても、検索ワードｋおよび検索対象ワードｘ_ｉの少なくとも一方がヌル文字を含み得る場合であっても、ワイルドカード文字を含む検索ワードを秘匿したまま、秘匿されたデータベースの前方一致検索を行うことができる。さらに、本実施形態では、秘匿化検索対象ワードと秘匿化検索ワードとの長さが互いに同一であるか否かにかかわらず前方一致検索を行うことができる。また、秘匿されたデータベースの一致検索を従来よりも少ない通信量で行うことができる。

　［変形例等］
　なお、本発明は上述の実施形態に限定されるものではない。例えば、検索装置が秘匿化演算結果［ｙ_ｉ］をそのまま出力してもよいし、秘匿化演算結果［ｙ_ｉ］に対してステップＳ１２７－ｈとは異なる秘密計算を施し、それによって得られた結果を出力してもよい。

　前述したように秘密計算方式に限定はない。秘密計算による等号判定および論理演算（論理和演算、論理積演算）が可能であれば、秘密分散方式に基づく秘密計算が用いられてもよいし、準同型性暗号方式に基づく秘密計算が用いられてもよい。例えば、以下に記載された秘密計算方式を用いればよい。
　参考文献１： Ivan Damgard, Matthias Fitzi, Eike Kiltz, Jesper Buus Nielsen, Tomas Toft, “Unconditionally Secure Constant-Rounds Multi-party Computation for Equality, Comparison, Bits and Exponentiation”, TCC 2006, pp. 285-304.
　参考文献２：千田浩司, 濱田浩気, 五十嵐大, 高橋克巳, “軽量検証可能３パーティ秘匿関数計算の再考（Secure Database Operations Using An Improved 3-party Verifiable Secure Function Evaluation）”, In CSS, 2010.
　参考文献３：Takashi Nishide, Kazuo Ohta, “Multiparty computation for interval, equality, and comparison without bit-decomposition protocol”, PKC, pp. 343-360, 2007.

　上述の各種の処理は、記載に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。その他、本発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

　上記の各装置は、例えば、ＣＰＵ（central processing unit）等のプロセッサ（ハードウェア・プロセッサ）およびＲＡＭ（random-access memory）・ＲＯＭ（read-only memory）等のメモリ等を備える汎用または専用のコンピュータが所定のプログラムを実行することで構成される。このコンピュータは１個のプロセッサやメモリを備えていてもよいし、複数個のプロセッサやメモリを備えていてもよい。このプログラムはコンピュータにインストールされてもよいし、予めＲＯＭ等に記録されていてもよい。また、ＣＰＵのようにプログラムが読み込まれることで機能構成を実現する電子回路（circuitry）ではなく、プログラムを用いることなく処理機能を実現する電子回路を用いて一部またはすべての処理部が構成されてもよい。１個の装置を構成する電子回路が複数のＣＰＵを含んでいてもよい。

　上述の構成をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。このプログラムをコンピュータで実行することにより、上記処理機能がコンピュータ上で実現される。この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体の例は、非一時的な（non-transitory）記録媒体である。このような記録媒体の例は、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等である。

　このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。

　コンピュータ上で所定のプログラムを実行させて本装置の処理機能が実現されるのではなく、これらの処理機能の少なくとも一部がハードウェアで実現されてもよい。

１～４　検索システム
１２－１～Ｈ，２２－１～Ｈ，３２－１～Ｈ，４２－１～Ｈ　検索装置

Claims

　秘密計算によって完全一致検索を行う検索装置であって、
　ｍ，ｎ，ｔ（ｉ），Ｎが正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎであり、
　ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_ｉ，Ｎ）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］を格納する記憶部と、
　ワイルドカード文字を含むｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）が秘匿された秘匿化検索ワード［ｋ］の入力を受け付ける入力部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］と前記秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得る等号判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊが前記ワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊが前記ワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得るワイルドカード判定部と、
　前記秘匿化演算結果［ｅ_ｉ］と前記秘匿化演算結果［ｗ］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１およびｗ_ｊ＝ｂ_１の少なくとも一方を満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ_ｊ＝ｂ_０の両方を満たす場合にｙ_ｉ，ｊ＝ｄ_０である、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得る論理和演算部と、
を有する検索装置。
　秘密計算によって完全一致検索を行う検索装置であって、
　ｍ，ｎ，ｔ（ｉ），Ｎが正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎであり、
　ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_ｉ，Ｎ）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］を格納する記憶部と、
　ワイルドカード文字を含むｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）が秘匿された秘匿化検索ワード［ｋ］の入力を受け付ける入力部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］と前記秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得る等号判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊが前記ワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊが前記ワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得るワイルドカード判定部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］を用いた秘密計算によって、ｘ_ｉ，ｊがヌル文字の場合にμ_ｉ，ｊ＝θ_０であり、ｘ_ｉ，ｊがヌル文字でない場合にμ_ｉ，ｊ＝θ_１である、演算結果μ_ｉ＝（μ_ｉ，１，…，μ_ｉ，Ｎ）が秘匿された秘匿化演算結果［μ_ｉ］を得るヌル判定部と、
　前記秘匿化演算結果［ｗ］と前記秘匿化演算結果［μ_ｉ］とを用いた秘密計算によって、ｗ_ｊ＝ｂ_１およびμ_ｉ，ｊ＝θ_１の両方を満たす場合にｖ_ｉ，ｊ＝ρ_１であり、ｗ_ｊ＝ｂ_０およびμ_ｉ，ｊ＝θ_０の少なくとも一方を満たす場合にｖ_ｉ，ｊ＝ρ_０である、演算結果ｖ_ｉ＝（ｖ_ｉ，１，…，ｖ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｖ_ｉ］を得る論理積演算部と、
　前記秘匿化演算結果［ｅ_ｉ］と前記秘匿化演算結果［ｖ_ｉ］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１およびｖ_ｉ，ｊ＝ρ_１の少なくとも一方を満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｖ_ｉ，ｊ＝ρ_０の両方を満たす場合にｙ_ｉ，ｊ＝ｄ_０である、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得る論理和演算部と、
を有する検索装置。
　秘密計算によって前方一致検索を行う検索装置であって、
　ｍ，ｎ，ｔ（ｉ），Ｎが正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎであり、
　ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_ｉ，Ｎ）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］を格納する記憶部と、
　ワイルドカード文字を含むｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）が秘匿された秘匿化検索ワード［ｋ］の入力を受け付ける入力部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］と前記秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得る等号判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊが前記ワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊが前記ワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得るワイルドカード判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがヌル文字の場合にｕ_ｊ＝ｃ_１であり、ｋ_ｊがヌル文字でない場合にｕ_ｊ＝ｃ_０である、演算結果ｕ＝（ｕ_１，…，ｕ_Ｎ）が秘匿された秘匿化演算結果［ｕ］を得る第１ヌル判定部と、
　前記秘匿化演算結果［ｅ_ｉ］と前記秘匿化演算結果［ｗ］と前記秘匿化演算結果［ｕ］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１、ｗ_ｊ＝ｂ_１、およびｕ_ｊ＝ｃ_１の少なくとも何れかを満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ_ｊ＝ｂ_０およびｕ_ｊ＝ｃ_０のすべての満たす場合にｙ_ｉ，ｊ＝ｄ_０である、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得る論理和演算部と、
を有する検索装置。
　秘密計算によって前方一致検索を行う検索装置であって、
　ｍ，ｎ，ｔ（ｉ），Ｎが正整数であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎであり、
　ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_ｉ，Ｎ）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］を格納する記憶部と、
　ワイルドカード文字を含むｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）が秘匿された秘匿化検索ワード［ｋ］の入力を受け付ける入力部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］と前記秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得る等号判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊが前記ワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊが前記ワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得るワイルドカード判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがヌル文字の場合にｕ_ｊ＝ｃ_１であり、ｋ_ｊがヌル文字でない場合にｕ_ｊ＝ｃ_０である、演算結果ｕ＝（ｕ_１，…，ｕ_Ｎ）が秘匿された秘匿化演算結果［ｕ］を得る第１ヌル判定部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］を用いた秘密計算によって、ｘ_ｉ，ｊがヌル文字の場合にμ_ｉ，ｊ＝θ_０であり、ｘ_ｉ，ｊがヌル文字でない場合にμ_ｉ，ｊ＝θ_１である、演算結果μ_ｉ＝（μ_ｉ，１，…，μ_ｉ，Ｎ）が秘匿された秘匿化演算結果［μ_ｉ］を得る第２ヌル判定部と、
　前記秘匿化演算結果［ｗ］と前記秘匿化演算結果［μ_ｉ］とを用いた秘密計算によって、ｗ_ｊ＝ｂ_１およびμ_ｉ，ｊ＝θ_１の両方を満たす場合にｖ_ｉ，ｊ＝ρ_１であり、ｗ_ｊ＝ｂ_０およびμ_ｉ，ｊ＝θ_０の少なくとも一方を満たす場合にｖ_ｉ，ｊ＝ρ_０である、演算結果ｖ_ｉ＝（ｖ_ｉ，１，…，ｖ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｖ_ｉ］を得る論理積演算部と、
　前記秘匿化演算結果［ｅ_ｉ］と前記秘匿化演算結果［ｕ］と前記秘匿化演算結果［ｖ_ｉ］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１、ｖ_ｉ，ｊ＝ρ_１、およびｕ_ｊ＝ｃ_１の少なくとも何れかを満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｖ_ｉ，ｊ＝ρ_０およびｕ_ｊ＝ｃ_０のすべての満たす場合にｙ_ｉ，ｊ＝ｄ_０である、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得る論理和演算部と、
を有する検索装置。
　請求項１から４の何れかの検索装置であって、
　前記秘匿化演算結果［ｙ_ｉ］を用いた秘密計算によって、ｙ_ｉ，１＝…＝ｙ_ｉ，Ｎ＝ｄ_１の場合にｚ_ｉ＝ｇ_１であり、ｙ_ｉ，１＝…＝ｙ_ｉ，Ｎ＝ｄ_１でない場合にｚ_ｉ＝ｇ_０である一致判定結果ｚ_ｉが秘匿された秘匿化一致判定結果［ｚ_ｉ］を得る論理積演算部を有する、検索装置。
　秘密計算によって完全一致検索を行う検索装置であって、
　ｍ，ｎ，ｔ（ｉ），Ｎ，Ｎ（ｉ）が正整数であり、Ｎ＞Ｎ（ｉ）であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｊ”（ｉ）＝Ｎ（ｉ）＋１，…，Ｎであり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎ（ｉ）であり、
　ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］を格納する記憶部と、
　ワイルドカード文字を含むｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）が秘匿された秘匿化検索ワード［ｋ］の入力を受け付ける入力部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］と前記秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_{ｉ，ｊ（ｉ）}がｋ_ｊ（ｉ）の場合にｅ_{ｉ，ｊ（ｉ）}＝ａ_１であり、ｘ_{ｉ，ｊ（ｉ）}がｋ_ｊ（ｉ）でない場合にｅ_{ｉ，ｊ（ｉ）}＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｅ_ｉ］を得る等号判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊ（ｉ）が前記ワイルドカード文字の場合にｗ_ｊ（ｉ）＝ｄ_１であり、ｋ_ｊ（ｉ）が前記ワイルドカード文字でない場合にｗ_ｊ（ｉ）＝ｄ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ（ｉ））が秘匿された秘匿化演算結果［ｗ］を得るワイルドカード判定部と、
　前記秘匿化検索ワード［ｋ］の少なくとも一部を用いた秘密計算によって、ｋ_{ｊ”（ｉ）}がヌル文字の場合にｕ’_{ｊ”（ｉ）}＝ｃ_１であり、ｋ_{ｊ”（ｉ）}がヌル文字でない場合にｕ’_{ｊ”（ｉ）}＝ｃ_０である、演算結果ｕ’_{Ｎ（ｉ）＋１}，…，ｕ’_Ｎが秘匿された秘匿化演算結果［ｕ’］を得る第１ヌル判定部と、
　前記秘匿化演算結果［ｅ_ｉ］と前記秘匿化演算結果［ｗ］とを用いた秘密計算によって、ｅ_{ｉ，ｊ（ｉ）}＝ａ_１およびｗ_ｊ（ｉ）＝ｂ_１の少なくとも一方を満たす場合にｅ’_{ｉ，ｊ（ｉ）}＝ｄ_１であり、ｅ_{ｉ，ｊ（ｉ）}＝ａ_０およびｗ_ｊ（ｉ）＝ｂ_０の両方を満たす場合にｅ’_{ｉ，ｊ（ｉ）}＝ｄ_０である、演算結果ｅ’_ｉ＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｅ’_ｉ］を得る論理和演算部と、
　前記秘匿化演算結果［ｕ’］および秘匿化演算結果［ｅ’_ｉ］を用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}，ｕ’_{Ｎ（ｉ）＋１}，…，ｕ’_Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得る連結部と、
を有する検索装置。
　秘密計算によって完全一致検索を行う検索装置であって、
　ｍ，ｎ，ｔ（ｉ），Ｎ，Ｎ（ｉ）が正整数であり、Ｎ＜Ｎ（ｉ）であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎ（ｉ）であり、ｊ”（ｉ）＝Ｎ＋１，…，Ｎ（ｉ）であり、
　ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］を格納する記憶部と、
　ワイルドカード文字を含むｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）が秘匿された秘匿化検索ワード［ｋ］の入力を受け付ける入力部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］と前記秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得る等号判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊが前記ワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊが前記ワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得るワイルドカード判定部と、
　前記秘匿化演算結果［ｅ_ｉ］と前記秘匿化演算結果［ｗ］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１およびｗ_ｊ＝ｂ_１の少なくとも一方を満たす場合にｅ’_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ_ｊ＝ｂ_０の両方を満たす場合にｅ’_ｉ，ｊ＝ｄ_０である、演算結果ｅ’_ｉ＝（ｅ’_ｉ，１，…，ｅ’_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ’_ｉ］を得る論理和演算部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］の少なくとも一部を用いた秘密計算によって、ｘ_{ｉ，ｊ”（ｉ）}がヌル文字の場合にμ’_{ｉ，ｊ”（ｉ）}＝ｄ_１であり、ｘ_{ｉ，ｊ”（ｉ）}がヌル文字でない場合にμ’_{ｉ，ｊ”（ｉ）}＝ｄ_０である、演算結果μ’_ｉ＝（μ’_{ｉ，Ｎ＋１}，…，μ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［μ’_ｉ］を得る第２ヌル判定部と、
　前記秘匿化演算結果［ｅ’_ｉ］と前記秘匿化演算結果［μ’_ｉ］とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_{ｉ，Ｎ（ｉ）}）＝（ｅ’_ｉ，１，…，ｅ’_ｉ，Ｎ，μ’_{ｉ，Ｎ＋１}，…，μ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｙ_ｉ］を得る連結部と、
を有する検索装置。
　秘密計算によって前方一致検索を行う検索装置であって、
　ｍ，ｎ，ｔ（ｉ），Ｎ，Ｎ（ｉ）が正整数であり、Ｎ≦Ｎ（ｉ）であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎ（ｉ）であり、
　ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］を格納する記憶部と、
　ワイルドカード文字を含むｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）が秘匿された秘匿化検索ワード［ｋ］の入力を受け付ける入力部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］と前記秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_ｉ，ｊがｋ_ｊの場合にｅ_ｉ，ｊ＝ａ_１であり、ｘ_ｉ，ｊがｋ_ｊでない場合にｅ_ｉ，ｊ＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｅ_ｉ］を得る等号判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊが前記ワイルドカード文字の場合にｗ_ｊ＝ｂ_１であり、ｋ_ｊが前記ワイルドカード文字でない場合にｗ_ｊ＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ）が秘匿された秘匿化演算結果［ｗ］を得るワイルドカード判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがヌル文字の場合にｕ”_ｊ＝ｃ_１であり、ｋ_ｊがヌル文字でない場合にｕ”_ｊ＝ｃ_０である、演算結果ｕ”＝（ｕ”_１，…，ｕ”_Ｎ）が秘匿された秘匿化演算結果［ｕ”］を得るヌル判定部と、
　前記秘匿化演算結果［ｗ］と前記秘匿化演算結果［ｕ”］とを用いた秘密計算によって、ｕ”_ｊ＝ｃ_１およびｗ_ｊ＝ｂ_１の少なくとも一方を満たす場合にｗ’_ｊ＝ｂ’_１であり、ｕ”_ｊ＝ｃ_０およびｗ_ｊ＝ｂ_０の両方を満たす場合にｗ’_ｊ＝ｂ’_０である、演算結果ｗ’＝（ｗ’_１，…，ｗ’_Ｎ）が秘匿された秘匿化演算結果［ｗ’］を得る第１論理和演算部と、
　前記秘匿化演算結果［ｅ_ｉ］と前記秘匿化演算結果［ｗ’］とを用いた秘密計算によって、ｅ_ｉ，ｊ＝ａ_１およびｗ’_ｊ＝ｂ’_１の少なくとも一方を満たす場合にｙ_ｉ，ｊ＝ｄ_１であり、ｅ_ｉ，ｊ＝ａ_０およびｗ’_ｊ＝ｂ’_０の両方を満たす場合にｙ_ｉ，ｊ＝ｄ_０である、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得る第２論理和演算部と、
を有する検索装置。
　秘密計算によって前方一致検索を行う検索装置であって、
　ｍ，ｎ，ｔ（ｉ），Ｎ，Ｎ（ｉ）が正整数であり、Ｎ＞Ｎ（ｉ）であり、ｉ＝１，…，ｍであり、ｊ＝１，…，Ｎであり、ｊ（ｉ）＝１，…，Ｎ（ｉ）であり、ｊ”（ｉ）＝Ｎ（ｉ）＋１，…，Ｎであり、ｎ≦Ｎであり、ｔ（ｉ）≦Ｎ（ｉ）であり、
　ｔ（ｉ）個の文字ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}を含む検索対象ワードｘ_ｉ＝（ｘ_ｉ，１，…，ｘ_{ｉ，ｔ（ｉ）}，…，ｘ_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化検索対象ワード［ｘ_ｉ］を含む秘匿化データベース［ｘ_１］，…，［ｘ_ｍ］を格納する記憶部と、
　ワイルドカード文字を含むｎ個の文字ｋ_１，…，ｋ_ｎを含む検索ワードｋ＝（ｋ_１，…，ｋ_ｎ，…，ｋ_Ｎ）が秘匿された秘匿化検索ワード［ｋ］の入力を受け付ける入力部と、
　前記秘匿化検索対象ワード［ｘ_ｉ］と前記秘匿化検索ワード［ｋ］とを用いた秘密計算によって、ｘ_{ｉ，ｊ（ｉ）}がｋ_ｊ（ｉ）の場合にｅ_{ｉ，ｊ（ｉ）}＝ａ_１であり、ｘ_{ｉ，ｊ（ｉ）}がｋ_ｊ（ｉ）でない場合にｅ_{ｉ，ｊ（ｉ）}＝ａ_０である、演算結果ｅ_ｉ＝（ｅ_ｉ，１，…，ｅ_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｅ_ｉ］を得る等号判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊ（ｉ）が前記ワイルドカード文字の場合にｗ_ｊ（ｉ）＝ｂ_１であり、ｋ_ｊ（ｉ）が前記ワイルドカード文字でない場合にｗ_ｊ（ｉ）＝ｂ_０である、演算結果ｗ＝（ｗ_１，…，ｗ_Ｎ（ｉ））が秘匿された秘匿化演算結果［ｗ］を得るワイルドカード判定部と、
　前記秘匿化検索ワード［ｋ］を用いた秘密計算によって、ｋ_ｊがヌル文字の場合にｕ”_ｊ＝ｃ_１であり、ｋ_ｊがヌル文字でない場合にｕ”_ｊ＝ｃ_０である、演算結果ｕ”＝（ｕ”_１，…，ｕ”_Ｎ）が秘匿された秘匿化演算結果［ｕ”］を得るヌル判定部と、
　前記秘匿化演算結果［ｗ］と前記秘匿化演算結果［ｕ”］の少なくとも一部を用いた秘密計算によって、ｕ”_ｊ（ｉ）＝ｃ_１およびｗ_ｊ（ｉ）＝ｂ_１の少なくとも一方を満たす場合にｗ’_ｊ（ｉ）＝ｂ’_１であり、ｕ”_ｊ（ｉ）＝ｃ_０およびｗ_ｊ（ｉ）＝ｂ_０の両方を満たす場合にｗ’_ｊ（ｉ）＝ｂ’_０である、演算結果ｗ’＝（ｗ’_１，…，ｗ’_Ｎ（ｉ））が秘匿された秘匿化演算結果［ｗ’］を得る第１論理和演算部と、
　前記秘匿化演算結果［ｅ_ｉ］と前記秘匿化演算結果［ｗ’］とを用いた秘密計算によって、ｅ’_{ｉ，ｊ（ｉ）}＝ａ_１およびｗ’_ｊ（ｉ）＝ｂ’_１の少なくとも一方を満たす場合にｅ’_{ｉ，ｊ（ｉ）}＝ｄ_１であり、ｅ_{ｉ，ｊ（ｉ）}＝ａ_０およびｗ’_ｊ（ｉ）＝ｂ’_０の両方を満たす場合にｅ’_{ｉ，ｊ（ｉ）}＝ｄ_０である、演算結果ｅ’_ｉ＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}）が秘匿された秘匿化演算結果［ｅ’_ｉ］を得る第２論理和演算部と、
　前記秘匿化演算結果［ｅ’_ｉ］と前記秘匿化演算結果［ｕ”］の少なくとも一部とを用いた秘密計算によって、演算結果ｙ_ｉ＝（ｙ_ｉ，１，…，ｙ_ｉ，Ｎ）＝（ｅ’_ｉ，１，…，ｅ’_{ｉ，Ｎ（ｉ）}，ｕ”_{Ｎ（ｉ）＋１}，…，ｕ”_Ｎ）が秘匿された秘匿化演算結果［ｙ_ｉ］を得る連結部と、
を有する検索装置。
　請求項６から９の何れかの検索装置であって、
　Ｎ≦Ｎ（ｉ）のときＮ_ｍａｘ＝Ｎ（ｉ）であり、Ｎ＞Ｎ（ｉ）のときＮ_ｍａｘ＝Ｎであり、
　前記秘匿化演算結果［ｙ_ｉ］を用いた秘密計算によって、ｙ_ｉ，１＝…＝ｙ_{ｉ，Ｎｍａｘ}＝ｄ_１の場合にｚ_ｉ＝ｇ_１であり、ｙ_ｉ，１＝…＝ｙ_{ｉ，Ｎｍａｘ}＝ｄ_１でない場合にｚ_ｉ＝ｇ_０である一致判定結果ｚ_ｉが秘匿された秘匿化一致判定結果［ｚ_ｉ］を得る論理積演算部を有する、検索装置。
　請求項１から１０の何れかの検索装置の検索方法。
　請求項１から１０の何れかの検索装置としてコンピュータを機能させるためのプログラム。
　請求項１から１０の何れかの検索装置としてコンピュータを機能させるためのプログラムを格納したコンピュータ読み取り可能な記録媒体。