WO2020036127A1

WO2020036127A1 - 秘密結合情報生成システム、秘密結合システム、これらの方法、秘密計算装置及びプログラム

Info

Publication number: WO2020036127A1
Application number: PCT/JP2019/031477
Authority: WO
Inventors: 大五十嵐; 浩気濱田
Original assignee: 日本電信電話株式会社; 大五十嵐; 浩気濱田
Priority date: 2018-08-13
Filing date: 2019-08-08
Publication date: 2020-02-20
Also published as: JP7067626B2; EP3839925A1; AU2019322591B2; AU2019322591A1; US12079363B2; JPWO2020036127A1; CN112567443B; EP3839925B1; EP3839925A4; CN112567443A; US20210182419A1

Abstract

秘密結合システムは、複数の秘密計算装置を含む秘密結合システムであって、複数の秘密計算装置は、ベクトル結合部１１_n、第一ベクトル生成部１２_n、第一置換計算部１３_n、第一置換適用部１４_n、第二ベクトル生成部１５_n、第三ベクトル生成部１６_n、第二置換計算部１７_n、第二置換適用部１８_n、第四ベクトル生成部１９_n、第五ベクトル生成部１１０_n、第一逆置換適用部１１１_n、第一ベクトル分離部１１２_n、第二逆置換適用部１１３_n及び第二ベクトル分離部１１４_n、第三置換適用部１１５_n、第四置換適用部１１６_n及び第一結合テーブル生成部１１７_nを備えている。

Description

秘密結合情報生成システム、秘密結合システム、これらの方法、秘密計算装置及びプログラム

　この発明は、秘密計算技術に関する。この発明は、特に、秘匿性を保ったまま２つのテーブルを結合するための技術に関する。

　秘密計算技術の分野において、秘匿性を保ったまま２つのテーブルを結合する技術が求められている。

　秘匿性を保ったまま２つのテーブルを結合する技術として、例えば非特許文献１に記載された技術が知られている。非特許文献１では、キー重複ありの場合の等結合が実現されている。

桐淵直人、五十嵐大、諸橋玄武、濱田浩気、「属性情報と履歴情報の秘匿統合分析に向けた秘密計算による高速な等結合アルゴリズムとその実装」、CSS2016、2016

　この発明は、キー重複がない場合に非特許文献１の技術よりも高速に秘匿性を保ったまま２つのテーブルを結合するために必要な情報を生成する秘密結合情報生成システム、秘密結合システム、これらの方法、秘密計算装置及びプログラムを提供することである。

　この発明の一態様による秘密結合情報生成システムによれば、複数の秘密計算装置を含む秘密結合情報生成システムであって、F_k,F_vは任意の環であり、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであり、m₀,m₁は１以上の整数であり、k₀∈F_k ^m0は第一テーブルのキーのベクトルであり、v₀∈F_v ^m0は第一テーブルの属性値のベクトルであり、k₁∈F_k ^m1は第二テーブルのキーのベクトルであり、v₁∈F_v ^m1は第二テーブルの属性値のベクトルであり、π₀,π₁はそれぞれ長さm₀,m₁の所定の置換であり、複数の秘密計算装置は、ベクトルk₀のシェア[k₀]及びベクトルk₁のシェア[k₁]を用いて、ベクトルk₀及びベクトルk₁を結合したベクトルk∈[F_k]^m0+m1のシェア[k]を生成する複数のベクトル結合部と、m₀個の０と、m₁個の１とを結合したベクトルfのシェア[f]を生成する複数の第一ベクトル生成部と、シェア[k]を用いて、ベクトルkを安定ソートする置換σのシェア[σ]を生成する複数の第一置換計算部と、シェア[k]、シェア[σ]及びシェア[f]を用いて、ベクトルkに置換σを適用したベクトルσ(k)のシェア[σ(k)]と、ベクトルfに置換σを適用したベクトルσ(f)のシェア[σ(f)]とを生成する複数の第一置換適用部と、シェア[σ(k)]を用いて、ベクトルσ(k)のある要素とそのある要素の次の要素とが、同じ場合には１を、違う場合には０をそのある要素に対応する要素として持つベクトルeのシェア[e]を生成する複数の第二ベクトル生成部と、シェア[e]を用いて、ベクトルeのある要素とそのある要素の前の要素の一方が１の場合には１を、そうでない場合には０をそのある要素に対応する要素として持つベクトルの各要素をビット反転させたベクトルe'のシェア[e']を生成する複数の第三ベクトル生成部と、シェア[e']を用いて、ベクトルe'を安定ソートする置換σ'のシェア[σ']を生成する複数の第二置換計算部と、シェア[σ(f)]及びシェア[σ']を用いて、ベクトルσ(f)に置換σ'を適用したベクトルf'=σ'(σ(f))のシェア[f']を生成する複数の第二置換適用部と、シェア[f']を用いて、各要素が、ベクトルf'のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルsのシェア[s]と、ベクトルf'の各要素をビット反転させたベクトルをビット反転ベクトルとして、各要素が、ビット反転ベクトルのその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルs'のシェア[s']とを生成する複数の第四ベクトル生成部と、シェア[f']、シェア[s]及びシェア[s']を用いて、ベクトルσ''=f's+(1-f')s'-1のシェア[σ'']を計算する複数の第五ベクトル生成部と、シェア[e']及びシェア[σ]を用いて、ベクトルe'に置換σの逆置換σ^-1を適用したベクトルe''=σ^-1(e')のシェア[e'']を生成する複数の第一逆置換適用部と、シェア[e'']を用いて、ベクトルe''の先頭からm₀個の要素からなるベクトルg₀のシェア[g₀]と、ベクトルe''の残りのm₁個の要素からなるベクトルg₁のシェア[g₁]とを生成する複数の第一ベクトル分離部と、シェア[σ'']、シェア[σ]及びシェア[σ']を用いて、ベクトルxに置換σ'の逆置換σ'^-1及び置換σの逆置換σ^-1を適用したベクトルσ'''^-1=σ^-1(σ'^-1(σ''))のシェア[σ'''^-1]を生成する複数の第二逆置換適用部と、シェア[σ'''^-1]を用いて、ベクトルσ'''^-1の先頭からm₀個の要素からなるベクトルσ₀ ^-1のシェア[σ₀ ^-1]と、ベクトルσ'''^-1の残りのm₁個の要素からなるベクトルσ₁ ^-1のシェア[σ₁ ^-1]とを生成する複数の第二ベクトル分離部と、シェア[σ₀ ^-1]、シェア[σ_１ ^-1]及び置換π₀のシェア[π₀]及び置換π₁のシェア[π₁]を用いて、ベクトルσ₀ ^-1に置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、ベクトルσ_１ ^-1に置換π₁を適用したベクトルπ₁(σ_１ ^-1)のシェア[π₁(σ_１ ^-1)]とを生成して、π₀(σ_０ ^-1)及びπ₁(σ_１ ^-1)を公開する複数の第三置換適用部と、を備えている。

　この発明の一態様による秘密結合システムは、上記の秘密結合情報生成システムの複数の秘密計算装置を含み、こららの複数の秘密計算装置は、ベクトルk₀のシェア[k₀]、ベクトルv₀のシェア[v₀]、ベクトルk₁のシェア[k₁]及びベクトルv₁のシェア[v₁]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁'=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁']と、ベクトルv₁'=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁']とを計算する複数の第四置換適用部と、シェア[k₀']、シェア[v₀']、シェア[k₁']及びシェア[v₁']を用いて、ベクトルg₀又はベクトルg₁の０の要素の数をcとして、ベクトルk₀'の先頭からc個の要素を抜き出したベクトルと、ベクトルv₀'の先頭からc個の要素を抜き出したベクトルと、ベクトルk₁'の先頭からc個の要素を抜き出したベクトルと、ベクトルv₁'の先頭からc個の要素を抜き出したベクトルとを結合した結合テーブルを生成する複数の第一結合テーブル生成部と、を更に含む。

　この発明の一態様による秘密結合システムによれば、複数の秘密計算装置を含む秘密結合システムであって、F_k,F_vは任意の環であり、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであり、m₀,m₁は１以上の整数であり、k₀∈F_k ^m0は第一テーブルのキーのベクトルであり、v₀∈F_v ^m0は第一テーブルの属性値のベクトルであり、k₁∈F_k ^m1は第二テーブルのキーのベクトルであり、v₁∈F_v ^m1は第二テーブルの属性値のベクトルであり、π₀,π₁はそれぞれ長さm₀,m₁の所定の置換であり、複数の秘密計算装置は、ベクトルk₀のシェア[k₀]、ベクトルk₁のシェア[k₁]、置換π₀のシェア[π₀]及び置換π₁のシェア[π₁]を用いて、第一テーブルの各ベクトルを置換σ₀で置換すると第一テーブルと第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₀の逆置換σ₀ ^-1に置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、第二テーブルの各ベクトルを置換σ₁で置換すると第一テーブルと第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₁の逆置換σ₁ ^-1に置換π₁を適用したベクトルπ₁(σ₁ ^-1)のシェア[π₁(σ₁ ^-1)]と、第一テーブルのi番目のレコードが、第一テーブルと第二テーブルに共通するキーのレコードかどうかを表す値g_0,iから構成されるベクトルg₀のシェア[g₀]と、第二テーブルのi番目のレコードが、第一テーブルと第二テーブルに共通するキーのレコードかどうかを表す値g_1,iから構成されるベクトルg₁のシェア[g₁]と、を生成する複数の秘密結合情報生成部と、シェア[g₁]、ベクトルk₁のシェア[k₁]及びベクトルv₁のシェア[v₁]を用いて、ベクトルg₁のi番目の要素をg_1,iとして、g_1,i=1である場合には、第二テーブルのキーのi番目の要素を予め定めた空を示す値u_1,kとし、第二テーブルの属性のi番目の要素を予め定めた空を示す値u_1,vとした変形第二テーブルを生成する複数のフィルタリング部と、ベクトルk₀のシェア[k₀]、ベクトルv₀のシェア[v₀]、変形第二テーブルのキーのベクトルであるk₁'のシェア[k₁']、変形第二テーブルの属性値のベクトルであるv₁'のシェア[v₁']、置換π₀のシェア[π₀]、置換π₁のシェア[π₁]、シェア[π₀(σ₀ ^-1)]及びシェア[π₁(σ₁ ^-1)]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁''=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁'']と、ベクトルv₁''=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁'']とを計算する複数の第五置換適用部と、シェア[k₀']、シェア[v₀']、シェア[k₁'']及びシェア[v₁'']を用いて、m₀<m₁である場合には、ベクトルk₀'と、ベクトルv₀'と、ベクトルk₁''の先頭からm₀個の要素を抜き出したベクトルと、ベクトルv₁''の先頭からm₀個の要素を抜き出したベクトルとを結合した結合テーブルを、m₀>m₁である場合には、ベクトルk₀'と、ベクトルv₀'と、ベクトルk₁''にm₀-m₁個の予め定めた空を示す値u_kの要素を追加したベクトルと、ベクトルv₁''にm₀-m₁個の予め定めた空を示す値u_vの要素を追加したベクトルとを結合した結合テーブルを生成する複数の第二結合テーブル生成部と、を備えている。

　この発明の一態様による秘密結合システムによれば、複数の秘密計算装置を含む秘密結合システムであって、F_k,F_vは任意の環であり、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであり、m₀,m₁は１以上の整数であり、k₀∈F_k ^m0は第一テーブルのキーのベクトルであり、v₀∈F_v ^m0は第一テーブルの属性値のベクトルであり、k₁∈F_k ^m1は第二テーブルのキーのベクトルであり、v₁∈F_v ^m1は第二テーブルの属性値のベクトルであり、π₀,π₁はそれぞれ長さm₀,m₁の所定の置換であり、複数の秘密計算装置は、ベクトルk₀のシェア[k₀]、ベクトルk₁のシェア[k₁]、置換π₀のシェア[π₀]及び置換π₁のシェア[π₁]を用いて、第一テーブルの各ベクトルを置換σ₀で置換すると第一テーブルと第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₀の逆置換σ₀ ^-1に置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、第二テーブルの各ベクトルを置換σ₁で置換すると第一テーブルと第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₁の逆置換σ₁ ^-1に置換π₁を適用したベクトルπ₁(σ₁ ^-1)のシェア[π₁(σ₁ ^-1)]と、第一テーブルのi番目のレコードが、第一テーブルと第二テーブルに共通するキーのレコードかどうかを表す値g_0,iから構成されるベクトルg₀のシェア[g₀]と、第二テーブルのi番目のレコードが、第一テーブルと第二テーブルに共通するキーのレコードかどうかを表す値g_1,iから構成されるベクトルg₁のシェア[g₁]と、を生成する複数の秘密結合情報生成部と、ベクトルk₀のシェア[k₀]、ベクトルv₀のシェア[v₀]、ベクトルk₁のシェア[k₁]及びベクトルv₁のシェア[v₁]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁'=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁']と、ベクトルv₁'=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁']とを計算する複数の第四置換適用部と、シェア[k₀']、シェア[v₀']、シェア[k₁']及びシェア[v₁']を用いて、ベクトルg₀又はベクトルg₁の０の要素の数をcとして、ベクトルk₀'の先頭からc個の要素を抜き出したベクトルと、ベクトルv₀'の先頭からc個の要素を抜き出したベクトルと、ベクトルk₁'の先頭からc個の要素を抜き出したベクトルと、ベクトルv₁'の先頭からc個の要素を抜き出したベクトルとを結合したテーブル(1)と、ベクトルk₀'の残りm₀-c個の要素を抜き出したベクトルとベクトルv₀'の残りm₀-c個の要素を抜き出したベクトルと第二テーブルの属性値に対応する値を予め定めた空を示す値u'_1,vとしたベクトルとを結合したテーブル(2)と、ベクトルv₀'の残りm₀-c個の要素を抜き出したベクトルとベクトルv₁'の残りm₁-c個の要素を抜き出したベクトルと第一テーブルの属性値に対応する値を予め定めた空を示す値u'_0,vとしたベクトルとを結合したテーブル(3)とを結合した結合テーブルを生成する複数の第三結合テーブル生成部と、を備えている。

　逆置換を用いることで、キー重複がない場合に非特許文献１の技術よりも高速に秘匿性を保ったまま２つのテーブルを結合するために必要な情報を生成することができる。また、これらの情報を用いて、キー重複がない場合に非特許文献１の技術よりも高速に秘匿性を保ったまま２つのテーブルを結合することができる。

図１は、秘密結合システムの機能構成を例示する図である。図２は、内部結合を行う秘密結合システムの秘密計算装置の機能構成を例示する図である。図３は、内部結合を行う秘密結合方法、左外部結合を行う秘密結合方法、完全外部結合を行う秘密結合方法の処理手続きを例示する図である。図４は、内部結合を行う秘密結合方法、完全外部結合を行う秘密結合方法の処理手続きを例示する図である。図５は、左外部結合を行う秘密結合方法の処理手続きを例示する図である。図６は、左外部結合を行う秘密結合システムの秘密計算装置の機能構成を例示する図である。図７は、完全部結合を行う秘密結合システムの秘密計算装置の機能構成を例示する図である。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　[内部結合を行う秘密結合システム]
　図１を参照して、実施形態の秘密結合システムの構成例を説明する。この秘密結合システム及び方法は、いわゆる内部結合を行うものである。すなわち、この秘密結合システムは、秘匿性を保ちつつ、第一テーブル及び第二テーブルに共通するレコードを結合する。

　秘密結合システムは、N（≧2）台の秘密計算装置１₁,…,１_Nを含む。本形態では、秘密計算装置１₁, …, １_Nはそれぞれ通信網２へ接続されている。通信網２は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などである。なお、各装置は必ずしも通信網２を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１₁, …, １_Nへ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置１₁, …,１_Nへオフラインで入力するように構成してもよい。

　図２を参照して、秘密結合システムに含まれる秘密計算装置１_n（n=1, …, N）の構成例を説明する。秘密結合システムの秘密計算装置１_nは、例えば、図２に示すように、ベクトル結合部１１_n、第一ベクトル生成部１２_n、第一置換計算部１３_n、第一置換適用部１４_n、第二ベクトル生成部１５_n、第三ベクトル生成部１６_n、第二置換計算部１７_n、第二置換適用部１８_n、第四ベクトル生成部１９_n、第五ベクトル生成部１１０_n、第一逆置換適用部１１１_n、第一ベクトル分離部１１２_n、第二逆置換適用部１１３_n及び第二ベクトル分離部１１４_n、第三置換適用部１１５_n、第四置換適用部１１６_n及び第一結合テーブル生成部１１７_nを備えている。

　秘密計算装置１_n（1≦n≦N）の各構成部が他の秘密計算装置１_n'（n'=1, …, N、ただしn≠n'）の各構成部と協調しながら後述する各ステップの処理を行うことにより実施形態の秘密結合方法が実現される。

　なお、各ステップの処理は、秘密計算により行われる。すなわち、秘密計算装置１_nは、シェアを復元することなく、言い換えればシェアの中身を知ることなく、各ステップの処理を行う。

　秘密計算装置１_nは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１_nは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１_nに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１_nの各構成部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　以下の説明において、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであるとする。

　図３及び図４を参照して、実施形態の秘密結合システムが実行する秘密結合方法の処理手続きを説明する。

　以下の説明において、m₀,m₁,L₀,L₁は、１以上の整数であるとする。m₀,m₁,L₀,L₁は、同じ値であってもよいし、異なる値であってもよい。

　第一テーブルは、m₀個のレコードを有している。m₀個のレコードのそれぞれは、１個のキーと、L₀個の属性の属性値とを有している。k₀∈F_k ^m0は第一テーブルのキーのベクトルであるとする。v₀∈F_v ^m0は第一テーブルの各属性の属性値のベクトルであるとする。第一テーブルの中は、重複するキーはないとする。第一テーブルに複数の属性の属性値が含まれている場合には、v₀は複数の属性の属性値を連結したベクトルであってもよい。例えば、第一テーブルは、レコード数が２であり、２個の属性の属性値を含んでおり、１個目の属性の属性値のベクトルはv_0,1=(29,169)であり、２個目の属性の属性値のベクトルはv_0,1=(35,175)であるとする。この場合、v₀は、これらの２個の属性の属性値を連結したベクトルv₀=((29,35),(169,175))であってもよい。

　[F_k,F_v]^m0の上付き文字の中のm0は、「m₀」を意味する。このように、上付き文字の中では、更なる上付き文字及び下付き文字の表現を省略することがある。同様に、下付き文字の中では、更なる上付き文字及び下付き文字の表現を省略することがある。

　第二テーブルは、m₁個のレコードを有している。m₁個のレコードのそれぞれは、１個のキーと、L₁個の属性の属性値とを有している。k₁∈F_k ^m1は第二テーブルのキーのベクトルであるとする。v₁∈F_v ^m1は上記第二テーブルの各属性の属性値のベクトルであるとする。第二テーブルの中では、重複するキーはないとする。第二テーブルに複数の属性の属性値が含まれている場合には、v₀と同様にして、v₁は、複数の属性の属性値を連結したベクトルであってもよい。

　一般に環を要素とするベクトルはやはり環であるため、あるレコードに含まれる各属性の値を並べたデータは、ベクトル、つまり環とみなすことができる。

　例えば、第一テーブルは、レコード数が３であり、キーのベクトルk₀=(1,2,3)と、１個の属性の属性値のベクトルv₀=(5,10,1)とから構成されているとする。

　また、第二テーブルは、レコード数が４であり、キーのベクトルk₁=(1,3,4,5)と、１個の属性の属性値のベクトルv₁=(2,4,9,8)とから構成されているとする。

　＜ステップＳ１＞
　ベクトル結合部１１₁,…,１１_Nに、ベクトルk₀のシェア[k₀]及びベクトルk₁のシェア[k₁]が入力される。

　ベクトル結合部１１₁,…,１１_Nは、[k₀]と[k₁]を結合して[k]∈[F_k]^m0+m1を得る。

　より詳細には、ベクトル結合部１１₁,…,１１_Nは、ベクトルk₀のシェア[k₀]及びベクトルk₁のシェア[k₁]を用いて、ベクトルk₀及びベクトルk₁を結合したベクトルk∈[F_k]^m0+m1のシェア[k]を生成する（ステップＳ１）。

　生成されたシェア[k]は、第一置換計算部１３₁,…,１３_N及び第一置換適用部１４₁,…,１４_Nに出力される。

　例えば、ベクトルk₀=(1,2,3)であり、ベクトルk₁=(1,3,4,5)であるとする。この場合、ベクトルk=(1,2,3,1,3,4,5)となる。

　＜ステップＳ２＞
　第一ベクトル生成部１２₁,…,１２_Nは、m₀個の０と、m₁個の１とを結合したベクトルfのシェア[f]を生成する（ステップＳ２）。

　シェア[f]は、第一置換適用部１４₁,…,１４_Nに出力される。

　例えば、m₀=3,m₁=4である場合には、ベクトルf=(0,0,0,1,1,1,1)となる。

　＜ステップＳ３＞
　第一置換計算部１３₁,…,１３_Nに、シェア[k]が入力される。

　第一置換計算部１３₁,…,１３_Nは、シェア[k]を用いて、ベクトルkを安定ソートする置換σのシェア[σ]を生成する（ステップＳ３）。

　シェア[σ]は、第一置換適用部１４₁,…,１４_N及び第二逆置換適用部１１３₁,…,１１３_Nに出力される。

　例えば、k=(1,2,3,1,3,4,5)である場合には、置換σは以下の式（１）のようになる。例えば、番号が１スタートで表記されるとして、置換σの各列(i,j)^Tは、置換が適用されるベクトルのi番目の要素をj番目に移動することを意味する。

　安定ソートとは、同等なデータのソート前の順序が、ソート後も保存されるものをいう。安定ソートを行う置換σのシェア[σ]の生成は、例えば参考文献１の手法により実現することができる。
　〔参考文献１〕五十嵐大、濱田浩気、菊池亮、千田浩司、「超高速秘密計算ソートの設計と実装：秘密計算がスクリプト言語に並ぶ日」、CSS2017、2017

　＜ステップＳ４＞
　第一置換適用部１４₁,…,１４_Nに、シェア[k]、シェア[σ]及びシェア[f]が入力される。

　第一置換適用部１４₁,…,１４_Nは、シェア[k]、シェア[σ]及びシェア[f]を用いて、ベクトルkに置換σを適用したベクトルσ(k)のシェア[σ(k)]と、ベクトルfに置換σを適用したベクトルσ(f)のシェア[σ(f)]とを生成する（ステップＳ４）。

　シェア[σ(k)]は、第二ベクトル生成部１５₁,…,１５_Nに出力される。

　シェア[σ(f)]は、第二置換適用部１８₁,…,１８_Nに出力される。

　例えば、ベクトルk=(1,2,3,1,3,4,5)であり、ベクトルf=(0,0,0,1,1,1,1)であり、置換σが上記式（１）により定義される置換である場合には、ベクトルσ(k)=(1,1,2,3,3,4,5)となり、ベクトルσ(f)=(0,1,0,0,1,1,1)となる。

　＜ステップＳ５＞
　第二ベクトル生成部１５₁,…,１５_Nに、シェア[σ(k)]が入力される。

　第二ベクトル生成部１５₁,…,１５_Nは、シェア[σ(k)]を用いて、ベクトルσ(k)のある要素とそのある要素の次の要素とが、同じ場合には１を、違う場合には０をそのある要素に対応する要素として持つベクトルeのシェア[e]を生成する（ステップＳ５）。ここで、e_n-1=0とする。

　シェア[e]は、第三ベクトル生成部１６₁,…,１６_Nに出力される。

　例えば、ベクトルσ(k)=(1,1,2,3,3,4,5)である場合には、ベクトルe=(1,0,0,1,0,0,0)となる。

　＜ステップＳ６＞
　第三ベクトル生成部１６₁,…,１６_Nに、シェア[e]が入力される。

　第三ベクトル生成部１６₁,…,１６_Nは、シェア[e]を用いて、ベクトルeのある要素とそのある要素の前の要素の一方が１の場合には１を、そうでない場合には０をそのある要素に対応する要素として持つベクトルの各要素をビット反転させたベクトルe'のシェア[e']を生成する（ステップＳ６）。

　シェア[e']は、第二置換計算部１７₁,…,１７_Nに出力される。

　例えば、ベクトルe=(1,0,0,1,0,0,0)である場合には、ベクトルe'=(0,0,1,0,0,1,1)となる。

　＜ステップＳ７＞
　第二置換計算部１７₁,…,１７_Nに、シェア[e']が入力される。

　第二置換計算部１７₁,…,１７_Nは、シェア[e']を用いて、ベクトルe'を安定ソートする置換σ'のシェア[σ']を生成する（ステップＳ７）。

　シェア[σ']は、第二置換適用部１８₁,…,１８_N及び第二逆置換適用部１１３₁,…,１１３_Nに出力される。

　例えば、ベクトルe'=(0,0,1,0,0,1,1)である場合には、置換σ'は以下の式（２）のようになる。

　＜ステップＳ８＞
　第二置換適用部１８₁,…,１８_Nに、シェア[σ(f)]及びシェア[σ']が入力される。

　第二置換適用部１８₁,…,１８_Nは、シェア[σ(f)]及びシェア[σ']を用いて、ベクトルσ(f)に置換σ'を適用したベクトルf'=σ'(σ(f))のシェア[f']を生成する（ステップＳ８）。

　シェア[f']は、第四ベクトル生成部１９₁,…,１９_Nに出力される。

　例えば、ベクトルσ(f)=(0,1,0,0,1,1,1)であり、置換σ'が上記式（２）により定義される置換である場合には、ベクトルf'=(0,1,0,1,0,1,1)となる。

　＜ステップＳ９＞
　第四ベクトル生成部１９₁,…,１９_Nに、シェア[f']が入力される。

　第四ベクトル生成部１９₁,…,１９_Nは、シェア[f']を用いて、各要素が、ベクトルf'のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルsのシェア[s]と、ベクトルf'の各要素をビット反転させたベクトルをビット反転ベクトルとして、各要素が、ビット反転ベクトルのその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルs'のシェア[s']とを生成する（ステップＳ９）。

　シェア[s]及びシェア[s']は、第五ベクトル生成部１１０₁,…,１１０_Nに出力される。

　例えば、ベクトルf'=(0,1,0,1,0,1,1)である場合には、ベクトルs=(0,1,1,2,2,3,4)となり、ベクトルs'=(1,1,2,2,3,3,3)となる。

　＜ステップＳ１０＞
　第五ベクトル生成部１１０₁,…,１１０_Nに、シェア[s]及びシェア[s']が入力される。

　第五ベクトル生成部１１０₁,…,１１０_Nは、シェア[f']、シェア[s]及びシェア[s']を用いて、ベクトルσ''=f's+(1-f')s'-1のシェア[σ'']を計算する（ステップＳ１０）。

　シェア[σ'']は、第一逆置換適用部１１１₁,…,１１１_Nに出力される。

　例えば、ベクトルs=(0,1,1,2,2,3,4)であり、ベクトルs'=(1,1,2,2,3,3,3)である場合には、σ''=(0,0,1,1,2,2,3)となる。

　＜ステップＳ１１＞
　第一逆置換適用部１１１₁,…,１１１_Nに、シェア[e']及びシェア[σ]が入力される。

　第一逆置換適用部１１１₁,…,１１１_Nは、シェア[e']及びシェア[σ]を用いて、ベクトルe'に置換σの逆置換σ^-1を適用したベクトルe''=σ^-1(e')のシェア[e'']を生成する（ステップＳ１１）。

　シェア[e'']は、第一ベクトル分離部１１２₁,…,１１２_Nに出力される。

　例えば、ベクトルe'=(0,0,1,0,0,1,1)であり、置換σが上記式（１）の置換である場合には、ベクトルe''=(0,1,0,0,0,1,1)となる。

　＜ステップＳ１２＞
　第一ベクトル分離部１１２₁,…,１１２_Nに、シェア[e'']が入力される。

　第一ベクトル分離部１１２₁,…,１１２_Nは、シェア[e'']を用いて、ベクトルe''の先頭からm₀個の要素からなるベクトルg₀のシェア[g₀]と、ベクトルe''の残りのm₁個の要素からなるベクトルg₁のシェア[g₁]とを生成する（ステップＳ１２）。

　シェア[g₁]は、に出力される。

　例えば、ベクトルe''=(0,1,0,0,0,1,1)である場合には、ベクトルg₀=(0,1,0)となり、ベクトルg₀=(0,0,1,1)となる。

　＜ステップＳ１３＞
　第二逆置換適用部１１３₁,…,１１３_Nに、シェア[σ]及びシェア[σ']が入力される。

　第二逆置換適用部１１３₁,…,１１３_Nは、シェア[σ'']、シェア[σ]及びシェア[σ']を用いて、ベクトルxに置換σ'の逆置換σ'^-1及び置換σの逆置換σ^-1を適用したベクトルσ'''^-1=σ^-1(σ'^-1(σ''))のシェア[σ'''^-1]を生成する（ステップＳ１３）。

　シェア[σ'''^-1]は、第二ベクトル分離部１１４₁,…,１１４_Nに出力される。

　例えば、置換σが上記式（１）の置換であり、置換σ'が上記式（２）の置換である場合には、σ'''^-1=(0,2,1,0,1,2,3)となる。

　＜ステップＳ１４＞
　第二ベクトル分離部１１４₁,…,１１４_Nに、シェア[σ'''^-1]が入力される。

　第二ベクトル分離部１１４₁,…,１１４_Nは、シェア[σ'''^-1]を用いて、ベクトルσ'''^-1の先頭からm₀個の要素からなるベクトルσ₀ ^-1のシェア[σ₀ ^-1]と、ベクトルσ'''^-1の残りのm₁個の要素からなるベクトルσ₁ ^-1のシェア[σ₁ ^-1]とを生成する（ステップＳ１４）。

　シェア[σ₁ ^-1]とは、に出力される。

　例えば、σ'''^-1=(0,2,1,0,1,2,3)である場合には、ベクトルσ₀ ^-1=(0,2,1)となり、ベクトルσ₁ ^-1=(0,1,2,3)となる。

　＜ステップＳ１５＞
　第三置換適用部１１５₁,…,１１５_Nに、シェア[σ_１ ^-1]及び置換π₀のシェア[π₀]及び置換π₁のシェア[π₁]が入力される。

　第三置換適用部１１５₁,…,１１５_Nは、シェア[σ₀ ^-1]、シェア[σ_１ ^-1]及び置換π₀のシェア[π₀]及び置換π₁のシェア[π₁]を用いて、ベクトルσ₀ ^-1に置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、ベクトルσ_１ ^-1に置換π₁を適用したベクトルπ₁(σ_１ ^-1)のシェア[π₁(σ_１ ^-1)]とを生成して、π₀(σ₀ ^-1)及びπ₁(σ_１ ^-1)を公開する（ステップＳ１５）。

　置換π₀,π₁は、所定の置換であり、例えばランダム置換である。置換π₀,π₁は、予め定められた置換であってもよいし、ステップＳ１５の処理をする際に生成されてもよい。置換π₀,π₁及びこれらのシェア[π₀],[π₁]は、例えば参考文献１の4.1節に記載された手法により生成することができる。秘密計算装置１_n（1≦n≦N）は、置換π₀,π₁及びこれらのシェア[π₀],[π₁]についての情報を有しており、置換π₀,π₁及びこれらのシェア[π₀],[π₁]を用いて計算が可能であるとする。

　例えば、ベクトルσ₀ ^-1=(0,2,1)であり、ベクトルσ₁ ^-1=(0,1,2,3)であり、π₀が以下の式（３）により表される置換であり、π₁が以下の式（４）により表される置換であるとする。

　この場合、ベクトルπ₀(σ₀ ^-1)=(2,1,0)、ベクトルπ₁(σ₁ ^-1)=(2,0,3,1)となる。

　＜ステップＳ１６＞
　第四置換適用部１１６₁,…,１１６_Nに、ベクトルk₀のシェア[k₀]、ベクトルv₀のシェア[v₀]、ベクトルk₁のシェア[k₁]及びベクトルv₁のシェア[v₁]が入力される。

　第四置換適用部１１６₁,…,１１６_Nは、ベクトルk₀のシェア[k₀]、ベクトルv₀のシェア[v₀]、ベクトルk₁のシェア[k₁]及びベクトルv₁のシェア[v₁]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁'=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁']と、ベクトルv₁'=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁']とを計算する（ステップＳ１６）。

　シェア[k₀']、シェア[v₀']、シェア[k₁']及びシェア[v₁']は、第一結合テーブル生成部１１７₁,…,１１７_Nに出力される。

　例えば、ベクトルk₀=(1,2,3)であり、ベクトルv₀=(5,10,1)であり、ベクトルk₁=(1,3,4,5)であり、ベクトルv₁'=(2,4,9,8)であり、置換π₀が上記式（３）により表される置換であり、置換π₁が上記式（４）により表される置換である場合には、ベクトルk₀'=(1,3,2)となり、ベクトルv₀'=(5,1,10)となり、ベクトルk₁''=(1,3,4,5)となり、ベクトルv₁''=(2,4,9,8)となる。

　＜ステップＳ１７＞
　第一結合テーブル生成部１１７₁,…,１１７_Nに、シェア[k₀']、シェア[v₀']、シェア[k₁']及びシェア[v₁']が入力される。

　第一結合テーブル生成部１１７₁,…,１１７_Nは、シェア[k₀']、シェア[v₀']、シェア[k₁']及びシェア[v₁']を用いて、ベクトルg₀又はベクトルg₁の０の要素の数をcとして、ベクトルk₀'の先頭からc個の要素を抜き出したベクトルと、ベクトルv₀'の先頭からc個の要素を抜き出したベクトルと、ベクトルk₁'の先頭からc個の要素を抜き出したベクトルと、ベクトルv₁'の先頭からc個の要素を抜き出したベクトルとを結合した結合テーブルを生成する（ステップＳ１７）。

　例えば、ベクトルg₀=(0,1,0)であり、ベクトルk₀'=(1,3,2)であり、ベクトルv₀'=(5,1,10)であり、ベクトルk₁''=(1,3,4,5)であり、ベクトルv₁''=(2,4,9,8)である場合には、結合テーブルは以下のテーブルとなる。

　上記（Ａ）の結合テーブルは、レコード数が３であり、キーのベクトルk₀=(1,2,3)と、１個の属性の属性値のベクトルv₀=(5,10,1)とから構成されている第一テーブルと、キーのベクトルk₁=(1,3,4,5)と、１個の属性の属性値のベクトルv₁=(2,4,9,8)とから構成されている第二テーブルとを左外部結合したテーブルとなっている。

　このように、逆置換を用いることで、キー重複がない場合に非特許文献１の技術よりも高速に秘匿性を保ったまま２つのテーブルを結合することができる。

　[左外部結合を行う秘密結合システム]
　図６を参照して、実施形態の秘密結合システムの構成例を説明する。この秘密結合システム及び方法は、いわゆる左外部結合を行うものである。すなわち、この秘密結合システムは、秘匿性を保ちつつ、第一テーブル及び第二テーブルに共通するレコードと、第一テーブルのみに存在するレコードとを結合する。

　左外部結合を行う秘密結合システムは、第四置換適用部１１６_n、第一結合テーブル生成部１１７_nを備えていない代わりに、フィルタリング部１１８_n、第五置換適用部１１９_n、第二結合テーブル生成部１２０_nを備えている点を除けば、内部結合を行う秘密結合システムと同様である。

　左外部結合を行う秘密結合方法は、ステップＳ１６からステップＳ１７の処理を行わない代わりに、ステップＳ１８及びステップＳ２０の処理を行う点を除けば、内部結合を行う秘密結合方法と同様である。

　以下では、内部結合を行う秘密結合システム及び方法と異なる部分について説明する。内部結合を行う秘密結合システム及び方法と同じ部分については重複説明を省略する。

　秘密結合システムの秘密計算装置１_nは、例えば、図６に示すように、ベクトル結合部１１_n、第一ベクトル生成部１２_n、第一置換計算部１３_n、第一置換適用部１４_n、第二ベクトル生成部１５_n、第三ベクトル生成部１６_n、第二置換計算部１７_n、第二置換適用部１８_n、第四ベクトル生成部１９_n、第五ベクトル生成部１１０_n、第一逆置換適用部１１１_n、第一ベクトル分離部１１２_n、第二逆置換適用部１１３_n及び第二ベクトル分離部１１４_n、第三置換適用部１１５_n、第四置換適用部１１６_n、第一結合テーブル生成部１１７_n、フィルタリング部１１８_n、第五置換適用部１１９_n及び第二結合テーブル生成部１２０_nを備えている。

　まず、＜ステップＳ１＞から＜ステップＳ１５＞の処理が行われる。＜ステップＳ１＞から＜ステップＳ１５＞の処理は、[内部結合を行う秘密結合システム及び方法]の欄で説明した＜ステップＳ１＞から＜ステップＳ１５＞の処理と同様であるため、ここでは重複説明を省略する。

　その後、以下に説明するステップＳ１８からステップＳ２０の処理が行われる。

　＜ステップＳ１８＞
　フィルタリング部１１８₁,…,１１８_Nに、シェア[g₁]、ベクトルk₁のシェア[k₁]及びベクトルv₁のシェア[v₁]が入力される。

　フィルタリング部１１８₁,…,１１８_Nは、シェア[g₁]、ベクトルk₁のシェア[k₁]及びベクトルv₁のシェア[v₁]を用いて、ベクトルg₁のi番目の要素をg_1,iとして、g_1,i=1である場合には、第二テーブルのキーのi番目の要素を予め定めた空を示す値u_1,kとし、第二テーブルの属性のi番目の要素を予め定めた空を示す値u_1,vとした変形第二テーブルを生成する（ステップＳ１８）。変形第二テーブルのキーのベクトルをk₁'とし、変形第二テーブルの属性値のベクトルをv₁'とする。

　変形第二テーブルは、第五置換適用部１１９₁,…,１１９_Nに出力される。

　例えば、第二テーブルが、キーのベクトルk₁=(1,3,4,5)と、１個の属性の属性値のベクトルv₁=(2,4,9,8)とから構成されており、ベクトルg₁=(0,0,1,1)である場合には、変形第二テーブルは、以下のテーブルとなる。

　＜ステップＳ１９＞
　第五置換適用部１１９₁,…,１１９_Nに、ベクトルk₀のシェア[k₀]、ベクトルv₀のシェア[v₀]、変形第二テーブルのキーのベクトルであるk₁'のシェア[k₁']、変形第二テーブルの属性値のベクトルであるv₁'のシェア[v₁']、置換π₀のシェア[π₀]、置換π₁のシェア[π₁]、シェア[π₀(σ₀ ^-1)]及びシェア[π₁(σ₁ ^-1)]が入力される。

　第五置換適用部１１９₁,…,１１９_Nは、ベクトルk₀のシェア[k₀]、ベクトルv₀のシェア[v₀]、変形第二テーブルのキーのベクトルであるk₁'のシェア[k₁']、変形第二テーブルの属性値のベクトルであるv₁'のシェア[v₁']、置換π₀のシェア[π₀]、置換π₁のシェア[π₁]、シェア[π₀(σ₀ ^-1)]及びシェア[π₁(σ₁ ^-1)]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁''=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁'']と、ベクトルv₁''=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁'']とを計算する（ステップＳ１８）。

　シェア[k₀']、シェア[v₀']、シェア[k₁'']及びシェア[v₁'']は、第二結合テーブル生成部１２０₁,…,１２０_Nに出力される。

　例えば、ベクトルk₀=(1,2,3)であり、ベクトルv₀=(5,10,1)であり、ベクトルk₁'=(1,3,u_1,k,u_1,k)であり、ベクトルv₁'=(2,4,u_1,v,u_1,v)であり、置換π₀が上記式（３）により表される置換であり、置換π₁が上記式（４）により表される置換である場合には、ベクトルk₀'=(1,3,2)となり、ベクトルv₀'=(5,1,10)となり、ベクトルk₁''=(1,3,u_1,k,u_1,k)となり、ベクトルv₁''=(2,4,u_1,v,u_1,v)となる。

　＜ステップＳ２０＞
　第二結合テーブル生成部１２０₁,…,１２０_Nに、シェア[k₀']、シェア[v₀']、シェア[k₁']及びシェア[v₁'']が入力される。

　第二結合テーブル生成部１２０₁,…,１２０_Nは、シェア[k₀']、シェア[v₀']、シェア[k₁']及びシェア[v₁'']を用いて、m₀<m₁である場合には、ベクトルk₀'と、ベクトルv₀'と、ベクトルk₁''の先頭からm₀個の要素を抜き出したベクトルと、ベクトルv₁''の先頭からm₀個の要素を抜き出したベクトルとを結合した結合テーブルを、m₀>m₁である場合には、ベクトルk₁''にm₀-m₁個の予め定めた空を示す値u_kの要素を追加したベクトルと、ベクトルv₁''にm₀-m₁個の予め定めた空を示す値u_vの要素を追加したベクトルと、ベクトルk₀'と、ベクトルv₀'とを結合した結合テーブルを生成する（ステップＳ２０）。

　例えば、ベクトルk₀'=(1,3,2)であり、ベクトルv₀'=(5,1,10)であり、ベクトルk₁''=(1,3,u_1,k,u_1,k)であり、ベクトルv₁''=(2,4,u_1,v,u_1,v)である場合には、結合テーブルは以下のテーブルとなる。

　上記（Ｃ）の結合テーブルは、レコード数が３であり、キーのベクトルk₀=(1,2,3)と、１個の属性の属性値のベクトルv₀=(5,10,1)とから構成されている第一テーブルと、キーのベクトルk₁=(1,3,4,5)と、１個の属性の属性値のベクトルv₁=(2,4,9,8)とから構成されている第二テーブルとを左外部結合したテーブルとなっている。

　また、例えば、ベクトルk₀'=(1,3,4,5)であり、ベクトルv₀'=(2,4,9,8)であり、ベクトルk₁''=(1,3)であり、ベクトルv₁''=(5,1)である場合には、結合テーブルは以下のテーブルとなる。

　この実施形態によれば、秘匿性を保ったまま、第一テーブル及び第二テーブルを左外部結合することができる。

　[完全外部結合を行う秘密結合システム及び方法]
　図７を参照して、実施形態の秘密結合システムの構成例を説明する。この秘密結合システム及び方法は、いわゆる完全外部結合を行うものである。言い換えれば、この秘密結合システムは、秘匿性を保ちつつ、第一テーブル及び第二テーブルに共通するレコードと、第一テーブルのみに存在するレコードと、第二テーブルのみに存在するレコードとを結合する。

　完全外部結合を行う秘密結合システムは、第一結合テーブル生成部１１７_nを備えていない代わりに、第三結合テーブル生成部１２１_nを備えている点を除けば、内部結合を行う秘密結合システムと同様である。

　完全外部結合を行う秘密結合方法は、ステップＳ１７の処理を行わない代わりに、ステップＳ２１の処理を行う点を除けば、内部結合を行う秘密結合方法と同様である。

　秘密結合システムの秘密計算装置１_nは、例えば、図７に示すように、ベクトル結合部１１_n、第一ベクトル生成部１２_n、第一置換計算部１３_n、第一置換適用部１４_n、第二ベクトル生成部１５_n、第三ベクトル生成部１６_n、第二置換計算部１７_n、第二置換適用部１８_n、第四ベクトル生成部１９_n、第五ベクトル生成部１１０_n、第一逆置換適用部１１１_n、第一ベクトル分離部１１２_n、第二逆置換適用部１１３_n及び第二ベクトル分離部１１４_n、第三置換適用部１１５_n、第四置換適用部１１６_n及び第三結合テーブル生成部１２１_nを備えている。

　まず、＜ステップＳ１＞から＜ステップＳ１６＞の処理が行われる。＜ステップＳ１＞から＜ステップＳ１６＞の処理は、[内部結合を行う秘密結合システム及び方法]の欄で説明した＜ステップＳ１＞から＜ステップＳ１６＞の処理と同様であるため、ここでは重複説明を省略する。

　その後、以下に説明するステップＳ２１の処理が行われる。

　＜ステップＳ２１＞
　第三結合テーブル生成部１２１₁,…,１２１_Nに、シェア[k₀']、シェア[v₀']、シェア[k₁']及びシェア[v₁']が入力される。

　第三結合テーブル生成部１２１₁,…,１２１_Nは、シェア[k₀']、シェア[v₀']、シェア[k₁']及びシェア[v₁']を用いて、ベクトルg₀又はベクトルg₁の０の要素の数をcとして、ベクトルk₀'の先頭からc個の要素を抜き出したベクトルと、ベクトルv₀'の先頭からc個の要素を抜き出したベクトルと、ベクトルk₁'の先頭からc個の要素を抜き出したベクトルと、ベクトルv₁'の先頭からc個の要素を抜き出したベクトルとを結合したテーブル(1)と、ベクトルk₀'の残りm₀-c個の要素を抜き出したベクトルとベクトルv₀'の残りm₀-c個の要素を抜き出したベクトルと第二テーブルの属性値に対応する値を予め定めた空を示す値u'_1,vとしたベクトルとを結合したテーブル(2)と、ベクトルv₀'の残りm₀-c個の要素を抜き出したベクトルとベクトルv₁'の残りm₁-c個の要素を抜き出したベクトルと第一テーブルの属性値に対応する値を予め定めた空を示す値u'_0,vとしたベクトルとを結合したテーブル(3)とを結合した結合テーブルを生成する（ステップＳ２１）。

　以下のテーブルの、１行目から２行目のテーブルがテーブル(1)に相当し、３行目のテーブルがテーブル(2)に相当し、４行目から５行目のテーブルがテーブル(3)に相当する。

　上記（Ｅ）の結合テーブルは、レコード数が３であり、キーのベクトルk₀=(1,2,3)と、１個の属性の属性値のベクトルv₀=(5,10,1)とから構成されている第一テーブルと、キーのベクトルk₁=(1,3,4,5)と、１個の属性の属性値のベクトルv₁=(2,4,9,8)とから構成されている第二テーブルとを完全外部結合したテーブルとなっている。

　[秘密結合情報生成システム]
　なお、上記説明した秘密結合システムの秘密計算装置１_nの中のベクトル結合部１１_n、第一ベクトル生成部１２_n、第一置換計算部１３_n、第一置換適用部１４_n、第二ベクトル生成部１５_n、第三ベクトル生成部１６_n、第二置換計算部１７_n、第二置換適用部１８_n、第四ベクトル生成部１９_n、第五ベクトル生成部１１０_n、第一逆置換適用部１１１_n、第一ベクトル分離部１１２_n、第二逆置換適用部１１３_n及び第二ベクトル分離部１１４_n、第三置換適用部１１５_nの部分が、秘密結合情報生成システムである。

　言い換えれば、秘密結合情報生成システムの秘密計算装置１_nは、図２、図６及び図７において破線で示すように、ベクトル結合部１１_n、第一ベクトル生成部１２_n、第一置換計算部１３_n、第一置換適用部１４_n、第二ベクトル生成部１５_n、第三ベクトル生成部１６_n、第二置換計算部１７_n、第二置換適用部１８_n、第四ベクトル生成部１９_n、第五ベクトル生成部１１０_n、第一逆置換適用部１１１_n、第一ベクトル分離部１１２_n、第二逆置換適用部１１３_n及び第二ベクトル分離部１１４_n、第三置換適用部１１５を備えている。

　秘密結合情報生成方法は、秘密結合情報生成システムの秘密計算装置１_nの各部が、ステップＳ１からステップＳ１５の各ステップを行うことにより実現される。ステップＳ１からステップＳ１５の処理は、上記に説明したものと同様であるため重複説明を省略する。

　秘密結合情報生成システムの複数の秘密結合情報生成部１₁, …, １_Nは、ベクトルk₀のシェア[k₀]、ベクトルk₁のシェア[k₁]、置換π₀のシェア[π₀]及び置換π₁のシェア[π₁]を用いて、第一テーブルの各ベクトルを置換σ₀で置換すると第一テーブルと第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₀の逆置換σ₀ ^-1に置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、第二テーブルの各ベクトルを置換σ₁で置換すると第一テーブルと第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₁の逆置換σ₁ ^-1に置換π₁を適用したベクトルπ₁(σ₁ ^-1)のシェア[π₁(σ₁ ^-1)]と、第一テーブルのi番目のレコードが、第一テーブルと第二テーブルに共通するキーのレコードかどうかを表す値g_0,iから構成されるベクトルg₀のシェア[g₀]と、第二テーブルのi番目のレコードが、第一テーブルと第二テーブルに共通するキーのレコードかどうかを表す値g_1,iから構成されるベクトルg₁のシェア[g₁]と、を生成する言える。

　［変形例］
　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。

　例えば、xを2以上の正の整数として、キーの属性が、x個の属性の複合キーであってもよい。この場合には、例えば以下のようにしてステップＳ１の処理を行ってもよい。

　第一テーブルのキーは、k_0,0,…,k_0,x-1であるとする。第二テーブルのキーは、k_1,0,…,k_1,x-1であるとする。

　この場合、ステップＳ１の処理で、各i(ただしi=0,…,x-1)でk_0,iとk_1,iを結合してk'_iを得る。そして、各k'_iをビット分解してビット表現にし、横に結合する。例えばk'₀=(1,2,3,1,3,0,1)^T,k'₁=(0,0,0,0,0,1,1)^Tのとき、k'₀をビット分解すると、(k'₀)₀=(1,0,1,1,1,0,1)^T,(k'₀)₁=(0,1,1,0,1,0,0)^Tとなる。

　ここで、k'₀は1から3の値を取るため、k'₀の各要素は2ビットで表現することができる。(k'₀)₀はk'₀をビット分解したときの下位ビットであり、(k'₀)₁はk'₀をビット分解したときの上位ビットである。k'₁はこの例ではもともと1ビット数であるので分解する必要はなく、k'₁=(k'₁)₀とする。(k'₀)₀,(k'₀)₁,(k'₁)₀を横に結合すると、

となる。このようにして並べたものを行列とみなし、この行列の各行を1レコードのキーのビット表現とみなすと、(1,2,3,1,3,4,5)というキーのビット表現のベクトルが得られる。このベクトルをステップＳ２以降で使うk'として用いてもよい。このようにして、複合キーの場合も処理できる。

　複合キーでは、キーの重複とは、全てのキー属性の値の組み合わせの観点で重複するかどうかであり、個々の属性の値が重複しただけでは重複とはみなさないとする。例えば、組み合わせ(1,0)と(1,1)は重複ではない。

　実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　複数の秘密計算装置を含む秘密結合情報生成システムであって、
　F_k,F_vは任意の環であり、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであり、m₀,m₁は１以上の整数であり、k₀∈F_k ^m0は第一テーブルのキーのベクトルであり、v₀∈F_v ^m0は上記第一テーブルの属性値のベクトルであり、k₁∈F_k ^m1は第二テーブルのキーのベクトルであり、v₁∈F_v ^m1は上記第二テーブルの属性値のベクトルであり、π₀,π₁はそれぞれ長さm₀,m₁の所定の置換であり、
　上記複数の秘密計算装置は、
　上記ベクトルk₀のシェア[k₀]及び上記ベクトルk₁のシェア[k₁]を用いて、上記ベクトルk₀及び上記ベクトルk₁を結合したベクトルk∈[F_k]^m0+m1のシェア[k]を生成する複数のベクトル結合部と、
　m₀個の０と、m₁個の１とを結合したベクトルfのシェア[f]を生成する複数の第一ベクトル生成部と、
　上記シェア[k]を用いて、上記ベクトルkを安定ソートする置換σのシェア[σ]を生成する複数の第一置換計算部と、
　上記シェア[k]、上記シェア[σ]及び上記シェア[f]を用いて、上記ベクトルkに上記置換σを適用したベクトルσ(k)のシェア[σ(k)]と、上記ベクトルfに上記置換σを適用したベクトルσ(f)のシェア[σ(f)]とを生成する複数の第一置換適用部と、
　上記シェア[σ(k)]を用いて、上記ベクトルσ(k)のある要素とそのある要素の次の要素とが、同じ場合には１を、違う場合には０をそのある要素に対応する要素として持つベクトルeのシェア[e]を生成する複数の第二ベクトル生成部と、
　上記シェア[e]を用いて、上記ベクトルeのある要素とそのある要素の前の要素の一方が１の場合には１を、そうでない場合には０をそのある要素に対応する要素として持つベクトルの各要素をビット反転させたベクトルe'のシェア[e']を生成する複数の第三ベクトル生成部と、
　上記シェア[e']を用いて、上記ベクトルe'を安定ソートする置換σ'のシェア[σ']を生成する複数の第二置換計算部と、
　上記シェア[σ(f)]及び上記シェア[σ']を用いて、上記ベクトルσ(f)に上記置換σ'を適用したベクトルf'=σ'(σ(f))のシェア[f']を生成する複数の第二置換適用部と、
　上記シェア[f']を用いて、各要素が、上記ベクトルf'のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルsのシェア[s]と、上記ベクトルf'の各要素をビット反転させたベクトルをビット反転ベクトルとして、各要素が、上記ビット反転ベクトルのその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルs'のシェア[s']とを生成する複数の第四ベクトル生成部と、
　上記シェア[f']、上記シェア[s]及び上記シェア[s']を用いて、ベクトルσ''=f's+(1-f')s'-1のシェア[σ'']を計算する複数の第五ベクトル生成部と、
　上記シェア[e']及び上記シェア[σ]を用いて、上記ベクトルe'に上記置換σの逆置換σ^-1を適用したベクトルe''=σ^-1(e')のシェア[e'']を生成する複数の第一逆置換適用部と、
　上記シェア[e'']を用いて、上記ベクトルe''の先頭からm₀個の要素からなるベクトルg₀のシェア[g₀]と、上記ベクトルe''の残りのm₁個の要素からなるベクトルg₁のシェア[g₁]とを生成する複数の第一ベクトル分離部と、
　上記シェア[σ'']、上記シェア[σ]及び上記シェア[σ']を用いて、上記ベクトルxに上記置換σ'の逆置換σ'^-1及び上記置換σの逆置換σ^-1を適用したベクトルσ'''^-1=σ^-1(σ'^-1(σ''))のシェア[σ'''^-1]を生成する複数の第二逆置換適用部と、
　上記シェア[σ'''^-1]を用いて、上記ベクトルσ'''^-1の先頭からm₀個の要素からなるベクトルσ₀ ^-1のシェア[σ₀ ^-1]と、上記ベクトルσ'''^-1の残りのm₁個の要素からなるベクトルσ₁ ^-1のシェア[σ₁ ^-1]とを生成する複数の第二ベクトル分離部と、
　上記シェア[σ₀ ^-1]、上記シェア[σ_１ ^-1]及び上記置換π₀のシェア[π₀]及び上記置換π₁のシェア[π₁]を用いて、上記ベクトルσ₀ ^-1に上記置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、上記ベクトルσ_１ ^-1に上記置換π₁を適用したベクトルπ₁(σ_１ ^-1)のシェア[π₁(σ_１ ^-1)]とを生成して、π₀(σ_０ ^-1)及びπ₁(σ_１ ^-1)を公開する複数の第三置換適用部と、
　を含む秘密結合情報生成システム。
　請求項１の秘密結合情報生成システムの複数の秘密計算装置を含み、
　上記複数の秘密計算装置は、
　上記ベクトルk₀のシェア[k₀]、上記ベクトルv₀のシェア[v₀]、上記ベクトルk₁のシェア[k₁]及び上記ベクトルv₁のシェア[v₁]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁'=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁']と、ベクトルv₁'=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁']とを計算する複数の第四置換適用部と、
　上記シェア[k₀']、上記シェア[v₀']、上記シェア[k₁']及び上記シェア[v₁']を用いて、上記ベクトルg₀又は上記ベクトルg₁の０の要素の数をcとして、上記ベクトルk₀'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルv₀'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルk₁'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルv₁'の先頭からc個の要素を抜き出したベクトルとを結合した結合テーブルを生成する複数の第一結合テーブル生成部と、
　を更に含む秘密結合システム。
　複数の秘密計算装置を含む秘密結合システムであって、
　F_k,F_vは任意の環であり、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであり、m₀,m₁は１以上の整数であり、k₀∈F_k ^m0は第一テーブルのキーのベクトルであり、v₀∈F_v ^m0は上記第一テーブルの属性値のベクトルであり、k₁∈F_k ^m1は第二テーブルのキーのベクトルであり、v₁∈F_v ^m1は上記第二テーブルの属性値のベクトルであり、π₀,π₁はそれぞれ長さm₀,m₁の所定の置換であり、
　上記複数の秘密計算装置は、
　上記ベクトルk₀のシェア[k₀]、上記ベクトルk₁のシェア[k₁]、上記置換π₀のシェア[π₀]及び上記置換π₁のシェア[π₁]を用いて、上記第一テーブルの各ベクトルを置換σ₀で置換すると上記第一テーブルと上記第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₀の逆置換σ₀ ^-1に上記置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、上記第二テーブルの各ベクトルを置換σ₁で置換すると上記第一テーブルと上記第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₁の逆置換σ₁ ^-1に上記置換π₁を適用したベクトルπ₁(σ₁ ^-1)のシェア[π₁(σ₁ ^-1)]と、上記第一テーブルのi番目のレコードが、上記第一テーブルと上記第二テーブルに共通するキーのレコードかどうかを表す値g_0,iから構成されるベクトルg₀のシェア[g₀]と、上記第二テーブルのi番目のレコードが、上記第一テーブルと上記第二テーブルに共通するキーのレコードかどうかを表す値g_1,iから構成されるベクトルg₁のシェア[g₁]と、を生成する複数の秘密結合情報生成部と、
　上記シェア[g₁]、上記ベクトルk₁のシェア[k₁]及び上記ベクトルv₁のシェア[v₁]を用いて、上記ベクトルg₁のi番目の要素をg_1,iとして、g_1,i=1である場合には、上記第二テーブルのキーのi番目の要素を予め定めた空を示す値u_1,kとし、上記第二テーブルの属性のi番目の要素を予め定めた空を示す値u_1,vとした変形第二テーブルを生成する複数のフィルタリング部と、
　上記ベクトルk₀のシェア[k₀]、上記ベクトルv₀のシェア[v₀]、上記変形第二テーブルのキーのベクトルであるk₁'のシェア[k₁']、上記変形第二テーブルの属性値のベクトルであるv₁'のシェア[v₁']、上記置換π₀のシェア[π₀]、上記置換π₁のシェア[π₁]、上記シェア[π₀(σ₀ ^-1)]及び上記シェア[π₁(σ₁ ^-1)]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁''=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁'']と、ベクトルv₁''=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁'']とを計算する複数の第五置換適用部と、
　上記シェア[k₀']、上記シェア[v₀']、上記シェア[k₁'']及び上記シェア[v₁'']を用いて、m₀<m₁である場合には、上記ベクトルk₀'と、上記ベクトルv₀'と、上記ベクトルk₁''の先頭からm₀個の要素を抜き出したベクトルと、上記ベクトルv₁''の先頭からm₀個の要素を抜き出したベクトルとを結合した結合テーブルを、m₀>m₁である場合には、上記ベクトルk₀'と、上記ベクトルv₀'と、上記ベクトルk₁''にm₀-m₁個の予め定めた空を示す値u_kの要素を追加したベクトルと、上記ベクトルv₁''にm₀-m₁個の予め定めた空を示す値u_vの要素を追加したベクトルとを結合した結合テーブルを生成する複数の第二結合テーブル生成部と、
　を含む秘密結合システム。
　複数の秘密計算装置を含む秘密結合システムであって、
　F_k,F_vは任意の環であり、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであり、m₀,m₁は１以上の整数であり、k₀∈F_k ^m0は第一テーブルのキーのベクトルであり、v₀∈F_v ^m0は上記第一テーブルの属性値のベクトルであり、k₁∈F_k ^m1は第二テーブルのキーのベクトルであり、v₁∈F_v ^m1は上記第二テーブルの属性値のベクトルであり、π₀,π₁はそれぞれ長さm₀,m₁の所定の置換であり、
　上記複数の秘密計算装置は、
　上記ベクトルk₀のシェア[k₀]、上記ベクトルk₁のシェア[k₁]、上記置換π₀のシェア[π₀]及び上記置換π₁のシェア[π₁]を用いて、上記第一テーブルの各ベクトルを置換σ₀で置換すると上記第一テーブルと上記第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₀の逆置換σ₀ ^-1に上記置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、上記第二テーブルの各ベクトルを置換σ₁で置換すると上記第一テーブルと上記第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₁の逆置換σ₁ ^-1に上記置換π₁を適用したベクトルπ₁(σ₁ ^-1)のシェア[π₁(σ₁ ^-1)]と、上記第一テーブルのi番目のレコードが、上記第一テーブルと上記第二テーブルに共通するキーのレコードかどうかを表す値g_0,iから構成されるベクトルg₀のシェア[g₀]と、上記第二テーブルのi番目のレコードが、上記第一テーブルと上記第二テーブルに共通するキーのレコードかどうかを表す値g_1,iから構成されるベクトルg₁のシェア[g₁]と、を生成する複数の秘密結合情報生成部と、
　上記ベクトルk₀のシェア[k₀]、上記ベクトルv₀のシェア[v₀]、上記ベクトルk₁のシェア[k₁]及び上記ベクトルv₁のシェア[v₁]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁'=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁']と、ベクトルv₁'=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁']とを計算する複数の第四置換適用部と、
　上記シェア[k₀']、上記シェア[v₀']、上記シェア[k₁']及び上記シェア[v₁']を用いて、上記ベクトルg₀又は上記ベクトルg₁の０の要素の数をcとして、上記ベクトルk₀'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルv₀'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルk₁'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルv₁'の先頭からc個の要素を抜き出したベクトルとを結合したテーブル(1)と、上記ベクトルk₀'の残りm₀-c個の要素を抜き出したベクトルと上記ベクトルv₀'の残りm₀-c個の要素を抜き出したベクトルと上記第二テーブルの属性値に対応する値を予め定めた空を示す値u'_1,vとしたベクトルとを結合したテーブル(2)と、上記ベクトルv₀'の残りm₀-c個の要素を抜き出したベクトルと上記ベクトルv₁'の残りm₁-c個の要素を抜き出したベクトルと上記第一テーブルの属性値に対応する値を予め定めた空を示す値u'_0,vとしたベクトルとを結合したテーブル(3)とを結合した結合テーブルを生成する複数の第三結合テーブル生成部と、
　を含む秘密結合システム。
　請求項３又は４の秘密結合システムであって、
　上記複数の秘密計算装置は、
　上記ベクトルk₀のシェア[k₀]及び上記ベクトルk₁のシェア[k₁]を用いて、上記ベクトルk₀及び上記ベクトルk₁を結合したベクトルk∈[F_k]^m0+m1のシェア[k]を生成する複数のベクトル結合部と、
　m₀個の０と、m₁個の１とを結合したベクトルfのシェア[f]を生成する複数の第一ベクトル生成部と、
　上記シェア[k]を用いて、上記ベクトルkを安定ソートする置換σのシェア[σ]を生成する複数の第一置換計算部と、
　上記シェア[k]、上記シェア[σ]及び上記シェア[f]を用いて、上記ベクトルkに上記置換σを適用したベクトルσ(k)のシェア[σ(k)]と、上記ベクトルfに上記置換σを適用したベクトルσ(f)のシェア[σ(f)]とを生成する複数の第一置換適用部と、
　上記シェア[σ(k)]を用いて、上記ベクトルσ(k)のある要素とそのある要素の次の要素とが、同じ場合には１を、違う場合には０をそのある要素に対応する要素として持つベクトルeのシェア[e]を生成する複数の第二ベクトル生成部と、
　上記シェア[e]を用いて、上記ベクトルeのある要素とそのある要素の前の要素の一方が１の場合には１を、そうでない場合には０をそのある要素に対応する要素として持つベクトルの各要素をビット反転させたベクトルe'のシェア[e']を生成する複数の第三ベクトル生成部と、
　上記シェア[e']を用いて、上記ベクトルe'を安定ソートする置換σ'のシェア[σ']を生成する複数の第二置換計算部と、
　上記シェア[σ(f)]及び上記シェア[σ']を用いて、上記ベクトルσ(f)に上記置換σ'を適用したベクトルf'=σ'(σ(f))のシェア[f']を生成する複数の第二置換適用部と、
　上記シェア[f']を用いて、各要素が、上記ベクトルf'のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルsのシェア[s]と、上記ベクトルf'の各要素をビット反転させたベクトルをビット反転ベクトルとして、各要素が、上記ビット反転ベクトルのその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルs'のシェア[s']とを生成する複数の第四ベクトル生成部と、
　上記シェア[f']、上記シェア[s]及び上記シェア[s']を用いて、ベクトルσ''=f's+(1-f')s'-1のシェア[σ'']を計算する複数の第五ベクトル生成部と、
　上記シェア[e']及び上記シェア[σ]を用いて、上記ベクトルe'に上記置換σの逆置換σ^-1を適用したベクトルe''=σ^-1(e')のシェア[e'']を生成する複数の第一逆置換適用部と、
　上記シェア[e'']を用いて、上記ベクトルe''の先頭からm₀個の要素からなるベクトルg₀のシェア[g₀]と、上記ベクトルe''の残りのm₁個の要素からなるベクトルg₁のシェア[g₁]とを生成する複数の第一ベクトル分離部と、
　上記シェア[σ'']、上記シェア[σ]及び上記シェア[σ']を用いて、上記ベクトルxに上記置換σ'の逆置換σ'^-1及び上記置換σの逆置換σ^-1を適用したベクトルσ'''^-1=σ^-1(σ'^-1(σ''))のシェア[σ'''^-1]を生成する複数の第二逆置換適用部と、
　上記シェア[σ'''^-1]を用いて、上記ベクトルσ'''^-1の先頭からm₀個の要素からなるベクトルσ₀ ^-1のシェア[σ₀ ^-1]と、上記ベクトルσ'''^-1の残りのm₁個の要素からなるベクトルσ₁ ^-1のシェア[σ₁ ^-1]とを生成する複数の第二ベクトル分離部と、
　上記シェア[σ₀ ^-1]、上記シェア[σ_１ ^-1]及び上記置換π₀のシェア[π₀]及び上記置換π₁のシェア[π₁]を用いて、上記ベクトルσ₀ ^-1に上記置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、上記ベクトルσ_１ ^-1に上記置換π₁を適用したベクトルπ₁(σ_１ ^-1)のシェア[π₁(σ_１ ^-1)]とを生成して、π₀(σ_０ ^-1)及びπ₁(σ_１ ^-1)を公開する複数の第三置換適用部と、
　を更に含む秘密結合システム。
　請求項１の秘密結合情報生成システム又は請求項２から５の何れかの秘密結合システムの秘密計算装置。
　F_k,F_vは任意の環であり、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであり、m₀,m₁は１以上の整数であり、k₀∈F_k ^m0は第一テーブルのキーのベクトルであり、v₀∈F_v ^m0は上記第一テーブルの属性値のベクトルであり、k₁∈F_k ^m1は第二テーブルのキーのベクトルであり、v₁∈F_v ^m1は上記第二テーブルの属性値のベクトルであり、π₀,π₁はそれぞれ長さm₀,m₁の所定の置換であり、
　複数のベクトル結合部が、上記ベクトルk₀のシェア[k₀]及び上記ベクトルk₁のシェア[k₁]を用いて、上記ベクトルk₀及び上記ベクトルk₁を結合したベクトルk∈[F_k]^m0+m1のシェア[k]を生成するベクトル結合ステップと、
　複数の第一ベクトル生成部が、m₀個の０と、m₁個の１とを結合したベクトルfのシェア[f]を生成する第一ベクトル生成ステップと、
　複数の第一置換計算部が、上記シェア[k]を用いて、上記ベクトルkを安定ソートする置換σのシェア[σ]を生成する第一置換計算ステップと、
　複数の第一置換適用部が、上記シェア[k]、上記シェア[σ]及び上記シェア[f]を用いて、上記ベクトルkに上記置換σを適用したベクトルσ(k)のシェア[σ(k)]と、上記ベクトルfに上記置換σを適用したベクトルσ(f)のシェア[σ(f)]とを生成する第一置換適用ステップと、
　複数の第二ベクトル生成部が、上記シェア[σ(k)]を用いて、上記ベクトルσ(k)のある要素とそのある要素の次の要素とが、同じ場合には１を、違う場合には０をそのある要素に対応する要素として持つベクトルeのシェア[e]を生成する第二ベクトル生成ステップと、
　複数の第三ベクトル生成部が、上記シェア[e]を用いて、上記ベクトルeのある要素とそのある要素の前の要素の一方が１の場合には１を、そうでない場合には０をそのある要素に対応する要素として持つベクトルの各要素をビット反転させたベクトルe'のシェア[e']を生成する第三ベクトル生成ステップと、
　複数の第二置換計算部が、上記シェア[e']を用いて、上記ベクトルe'を安定ソートする置換σ'のシェア[σ']を生成する第二置換計算ステップと、
　複数の第二置換適用部が、上記シェア[σ(f)]及び上記シェア[σ']を用いて、上記ベクトルσ(f)に上記置換σ'を適用したベクトルf'=σ'(σ(f))のシェア[f']を生成する第二置換適用ステップと、
　複数の第四ベクトル生成部が、上記シェア[f']を用いて、各要素が、上記ベクトルf'のその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルsのシェア[s]と、上記ベクトルf'の各要素をビット反転させたベクトルをビット反転ベクトルとして、各要素が、上記ビット反転ベクトルのその各要素に対応する要素を含むその各要素に対応する要素までの要素の和であるベクトルs'のシェア[s']とを生成する第四ベクトル生成ステップと、
　複数の第五ベクトル生成部が、上記シェア[f']、上記シェア[s]及び上記シェア[s']を用いて、ベクトルσ''=f's+(1-f')s'-1のシェア[σ'']を計算する第五ベクトル生成ステップと、
　複数の第一逆置換適用部が、上記シェア[e']及び上記シェア[σ]を用いて、上記ベクトルe'に上記置換σの逆置換σ^-1を適用したベクトルe''=σ^-1(e')のシェア[e'']を生成する第一逆置換適用ステップと、
　複数の第一ベクトル分離部が、上記シェア[e'']を用いて、上記ベクトルe''の先頭からm₀個の要素からなるベクトルg₀のシェア[g₀]と、上記ベクトルe''の残りのm₁個の要素からなるベクトルg₁のシェア[g₁]とを生成する第一ベクトル分離ステップと、
　複数の第二逆置換適用部が、上記シェア[σ'']、上記シェア[σ]及び上記シェア[σ']を用いて、上記ベクトルxに上記置換σ'の逆置換σ'^-1及び上記置換σの逆置換σ^-1を適用したベクトルσ'''^-1=σ^-1(σ'^-1(σ''))のシェア[σ'''^-1]を生成する第二逆置換適用ステップと、
　複数の第二ベクトル分離部が、上記シェア[σ'''^-1]を用いて、上記ベクトルσ'''^-1の先頭からm₀個の要素からなるベクトルσ₀ ^-1のシェア[σ₀ ^-1]と、上記ベクトルσ'''^-1の残りのm₁個の要素からなるベクトルσ₁ ^-1のシェア[σ₁ ^-1]とを生成する第二ベクトル分離ステップと、
　複数の第三置換適用部が、上記シェア[σ₀ ^-1]、上記シェア[σ_１ ^-1]及び上記置換π₀のシェア[π₀]及び上記置換π₁のシェア[π₁]を用いて、上記ベクトルσ₀ ^-1に上記置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、上記ベクトルσ_１ ^-1に上記置換π₁を適用したベクトルπ₁(σ_１ ^-1)のシェア[π₁(σ_１ ^-1)]とを生成して、π₀(σ_０ ^-1)及びπ₁(σ_１ ^-1)を公開する第三置換適用ステップと、
　を含む秘密結合情報生成方法。
　請求項７の秘密結合情報生成システムの各ステップと、
　複数の第四置換適用部が、上記ベクトルk₀のシェア[k₀]、上記ベクトルv₀のシェア[v₀]、上記ベクトルk₁のシェア[k₁]及び上記ベクトルv₁のシェア[v₁]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁'=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁']と、ベクトルv₁'=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁']とを計算する第四置換適用ステップと、
　複数の第一結合テーブル生成部が、上記シェア[k₀']、上記シェア[v₀']、上記シェア[k₁']及び上記シェア[v₁']を用いて、上記ベクトルg₀又は上記ベクトルg₁の０の要素の数をcとして、上記ベクトルk₀'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルv₀'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルk₁'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルv₁'の先頭からc個の要素を抜き出したベクトルとを結合した結合テーブルを生成する第一結合テーブル生成ステップと、
　を含む秘密結合方法。
　F_k,F_vは任意の環であり、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであり、m₀,m₁は１以上の整数であり、k₀∈F_k ^m0は第一テーブルのキーのベクトルであり、v₀∈F_v ^m0は上記第一テーブルの属性値のベクトルであり、k₁∈F_k ^m1は第二テーブルのキーのベクトルであり、v₁∈F_v ^m1は上記第二テーブルの属性値のベクトルであり、π₀,π₁はそれぞれ長さm₀,m₁の所定の置換であり、
　複数の秘密結合情報生成部が、上記ベクトルk₀のシェア[k₀]、上記ベクトルk₁のシェア[k₁]、上記置換π₀のシェア[π₀]及び上記置換π₁のシェア[π₁]を用いて、上記第一テーブルの各ベクトルを置換σ₀で置換すると上記第一テーブルと上記第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₀の逆置換σ₀ ^-1に上記置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、上記第二テーブルの各ベクトルを置換σ₁で置換すると上記第一テーブルと上記第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₁の逆置換σ₁ ^-1に上記置換π₁を適用したベクトルπ₁(σ₁ ^-1)のシェア[π₁(σ₁ ^-1)]と、上記第一テーブルのi番目のレコードが、上記第一テーブルと上記第二テーブルに共通するキーのレコードかどうかを表す値g_0,iから構成されるベクトルg₀のシェア[g₀]と、上記第二テーブルのi番目のレコードが、上記第一テーブルと上記第二テーブルに共通するキーのレコードかどうかを表す値g_1,iから構成されるベクトルg₁のシェア[g₁]と、を生成する秘密結合情報生成ステップと、
　複数のフィルタリング部が、上記シェア[g₁]、上記ベクトルk₁のシェア[k₁]及び上記ベクトルv₁のシェア[v₁]を用いて、上記ベクトルg₁のi番目の要素をg_1,iとして、g_1,i=1である場合には、上記第二テーブルのキーのi番目の要素を予め定めた空を示す値u_1,kとし、上記第二テーブルの属性のi番目の要素を予め定めた空を示す値u_1,vとした変形第二テーブルを生成するフィルタリングステップと、
　複数の第五置換適用部が、上記ベクトルk₀のシェア[k₀]、上記ベクトルv₀のシェア[v₀]、上記変形第二テーブルのキーのベクトルであるk₁'のシェア[k₁']、上記変形第二テーブルの属性値のベクトルであるv₁'のシェア[v₁']、上記置換π₀のシェア[π₀]、上記置換π₁のシェア[π₁]、上記シェア[π₀(σ₀ ^-1)]及び上記シェア[π₁(σ₁ ^-1)]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁''=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁'']と、ベクトルv₁''=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁'']とを計算する第五置換適用ステップと、
　複数の第二結合テーブル生成部が、上記シェア[k₀']、上記シェア[v₀']、上記シェア[k₁'']及び上記シェア[v₁'']を用いて、m₀<m₁である場合には、上記ベクトルk₀'と、上記ベクトルv₀'と、上記ベクトルk₁''の先頭からm₀個の要素を抜き出したベクトルと、上記ベクトルv₁''の先頭からm₀個の要素を抜き出したベクトルとを結合した結合テーブルを、m₀>m₁である場合には、上記ベクトルk₀'と、上記ベクトルv₀'と、上記ベクトルk₁''にm₀-m₁個の予め定めた空を示す値u_kの要素を追加したベクトルと、上記ベクトルv₁''にm₀-m₁個の予め定めた空を示す値u_vの要素を追加したベクトルとを結合した結合テーブルを生成する第二結合テーブル生成ステップと、
　を含む秘密結合方法。
　F_k,F_vは任意の環であり、αを任意のベクトル又は任意の置換として[α]はαが秘密分散されたシェアであり、m₀,m₁は１以上の整数であり、k₀∈F_k ^m0は第一テーブルのキーのベクトルであり、v₀∈F_v ^m0は上記第一テーブルの属性値のベクトルであり、k₁∈F_k ^m1は第二テーブルのキーのベクトルであり、v₁∈F_v ^m1は上記第二テーブルの属性値のベクトルであり、π₀,π₁はそれぞれ長さm₀,m₁の所定の置換であり、
　複数の秘密結合情報生成部が、上記ベクトルk₀のシェア[k₀]、上記ベクトルk₁のシェア[k₁]、上記置換π₀のシェア[π₀]及び上記置換π₁のシェア[π₁]を用いて、上記第一テーブルの各ベクトルを置換σ₀で置換すると上記第一テーブルと上記第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₀の逆置換σ₀ ^-1に上記置換π₀を適用したベクトルπ₀(σ₀ ^-1)のシェア[π₀(σ₀ ^-1)]と、上記第二テーブルの各ベクトルを置換σ₁で置換すると上記第一テーブルと上記第二テーブルに共通するキーのレコードが先頭側に移動する置換σ₁の逆置換σ₁ ^-1に上記置換π₁を適用したベクトルπ₁(σ₁ ^-1)のシェア[π₁(σ₁ ^-1)]と、上記第一テーブルのi番目のレコードが、上記第一テーブルと上記第二テーブルに共通するキーのレコードかどうかを表す値g_0,iから構成されるベクトルg₀のシェア[g₀]と、上記第二テーブルのi番目のレコードが、上記第一テーブルと上記第二テーブルに共通するキーのレコードかどうかを表す値g_1,iから構成されるベクトルg₁のシェア[g₁]と、を生成する秘密結合情報生成ステップと、
　複数の第四置換適用部が、上記ベクトルk₀のシェア[k₀]、上記ベクトルv₀のシェア[v₀]、上記ベクトルk₁のシェア[k₁]及び上記ベクトルv₁のシェア[v₁]を用いて、ベクトルk₀'=(π₀(σ₀ ^-1))^-1(π₀(k₀))のシェア[k₀']と、ベクトルv₀'=(π₀(σ₀ ^-1))^-1(π₀(v₀))のシェア[v₀']と、ベクトルk₁'=(π₁(σ₁ ^-1))^-1(π₁(k₁'))のシェア[k₁']と、ベクトルv₁'=(π₁(σ₁ ^-1))^-1(π₁(v₁'))のシェア[v₁']とを計算する第四置換適用ステップと、
　複数の第三結合テーブル生成部が、上記シェア[k₀']、上記シェア[v₀']、上記シェア[k₁']及び上記シェア[v₁']を用いて、上記ベクトルg₀又は上記ベクトルg₁の０の要素の数をcとして、上記ベクトルk₀'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルv₀'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルk₁'の先頭からc個の要素を抜き出したベクトルと、上記ベクトルv₁'の先頭からc個の要素を抜き出したベクトルとを結合したテーブル(1)と、上記ベクトルk₀'の残りm₀-c個の要素を抜き出したベクトルと上記ベクトルv₀'の残りm₀-c個の要素を抜き出したベクトルと上記第二テーブルの属性値に対応する値を予め定めた空を示す値u'_1,vとしたベクトルとを結合したテーブル(2)と、上記ベクトルv₀'の残りm₀-c個の要素を抜き出したベクトルと上記ベクトルv₁'の残りm₁-c個の要素を抜き出したベクトルと上記第一テーブルの属性値に対応する値を予め定めた空を示す値u'_0,vとしたベクトルとを結合したテーブル(3)とを結合した結合テーブルを生成する第三結合テーブル生成ステップと、
　を含む秘密結合方法。
　請求項６の秘密計算装置の各部としてコンピュータを機能させるためのプログラム。