WO2021014611A1

WO2021014611A1 - 秘密計算サーバ、証跡管理方法及びプログラム

Info

Publication number: WO2021014611A1
Application number: PCT/JP2019/029029
Authority: WO
Inventors: 光土田; 一真大原; 俊則荒木; 拓磨天田
Original assignee: 日本電気株式会社
Priority date: 2019-07-24
Filing date: 2019-07-24
Publication date: 2021-01-28
Also published as: JP7409380B2; JPWO2021014611A1; US20220261507A1

Abstract

秘密計算の対象となるデータの正当性（ｃｏｒｒｅｃｔｎｅｓｓ）の検証の容易化。秘密計算サーバは、クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部と、所定の証跡保存システムに、前記データｘから計算した前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を保持させる証跡登録部と、を備える。前記所定の証跡保存システムは、第１、第２の証跡データをそれぞれ書き換え不可能に管理し、所定の監査ノードに提供する。

Description

秘密計算サーバ、証跡管理方法及びプログラム

　本発明は、秘密計算サーバ、証跡管理方法及びプログラムに関する。

　情報銀行やデータ取引市場などデータ活用ビジネスが活発になっている。この種のデータ活用ビジネスにおいて、データの提供先企業のデータ利用に対するコントロールする仕組みとして、ブロックチェーン（以下、「ＢＣ」とも記す。）技術が挙げられる。

　また、データそのものに個人情報が含まれることから、プライバシーの保護も要請される。こうしたデータそのものを秘匿しつつ処理を行って出力を得る技術として、マルチパーティ計算（以下、「ＭＰＣ」とも記す。）技術が知られている。特許文献１に、個人情報を秘匿したままデータ処理を行うことができるという秘密計算システムが開示されている。

　特許文献２に、ブロックチェーンに登録された証跡を以て、サーバなどの第１の端末装置からクライアントなどの第２の端末装置に対して提供されるデータの信頼性を担保することができるという電子証明システムが開示されている。具体的には、特許文献１の第１の端末装置は、第１の端末装置に関する情報とデータとを証跡としてブロックチェーンに登録する証跡登録手段を備える。また、この第１の端末装置は、第２の端末装置に対して証跡を送信する証跡提供手段と、を備える。そして、第２の端末装置は、証跡提供手段から提供された証跡がブロックチェーンに登録されている場合に、データが信頼できるものであるという判定を行う。

　非特許文献１には、上記ＭＰＣとＢＣとを組み合わせることで、データを非公開に保ちながら、さまざまな関係者が共同でデータの計算等をなしうるようにした分散型計算プラットフォームが開示されている。

　非特許文献２には、上記ＭＰＣとＢＣとを組み合わせることで、ＭＰＣにおいてパーティ間の公平性（Ｆａｉｒｎｅｓｓ）を確保するための構成が開示されている。

国際公開第２０１５／１１４９４７号特開２０１８－１８２４８７号公報

Guy Zyskindら、"Enigma: Decentralized Computation Platform with Guaranteed Privacy"、［online］、［令和1年6月4日検索］、インターネット〈URL：https://arxiv.org/pdf/1506.03471.pdf〉 Arka Rai Choudhuriら、"Fairness in an Unfair World: Fair Multiparty Computation from public Bulletin Boards"、［online］、［令和1年6月4日検索］、インターネット〈URL：https://eprint.iacr.org/2017/1091.pdf〉

　以下の分析は、本発明によって与えられたものである。特許文献１のような構成を用いることで、データを秘匿しつつ、秘密計算システムにて計算し、データ利用側である利用者端末に計算結果だけを渡すことができる。しかしながら、特許文献１のようなデータに含まれる個人情報を秘匿したまま復元することなく様々なデータ処理を行う構成では、データ提供側である登録者端末において、何らかの意図をもって、不適切なデータが登録される可能性がある。例えば、秘密計算にて計算される統計結果が自身に有利な内容となるように、データの修正が行われた場合、秘密計算の性質上、これをリアルタイムに検出することは困難であり、事後的に正当性（ｃｏｒｒｅｃｔｎｅｓｓ）を検証する仕組みが必要となる。

　特許文献２の方法では、第１の端末装置に関する情報とデータの組である証跡データをブロックチェーンに登録する方法を用いている。しかしながら、秘密計算システムが取り扱う情報は、秘匿の対象となるべきものであり、特許文献２の方法を採ることはできない。

　本発明は、秘密計算の対象となるデータの正当性（ｃｏｒｒｅｃｔｎｅｓｓ）の検証の容易化に貢献できる秘密計算サーバ、証跡管理方法及びプログラムを提供することを目的とする。

　第１の視点によれば、クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部と、所定の証跡保存システムに、前記データｘから計算した前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を保持させる証跡登録部と、を備える秘密計算サーバが提供される。

　第２の視点によれば、クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部と、所定の証跡保存システムに、前記データｘから計算した前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を保持させる証跡登録部と、を備える秘密計算サーバから受信したデータに基づいて、前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、をそれぞれ作成する証跡データ作成部と、前記第１、第２の証跡データをそれぞれ書き換え不可能に管理し、所定の監査ノードに提供する証跡データ管理部と、を備えた証跡保存システムが提供される。

　第３の視点によれば、クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部を備えた秘密計算サーバが、前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を計算するためのデータを、所定の証跡保存システムに送信し、前記所定の証跡保存システムに、前記第１の証跡データと、前記第２の証跡データと、を保持させる秘密計算の証跡管理方法が提供される。本方法は、前記所定の証跡保存システムに、前記第１、第２の証跡データを保持させる秘密計算サーバという、特定の機械に結びつけられている。

　第４の視点によれば、クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部を備える秘密計算サーバから、前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を計算するためのデータを受信し、前記受信したデータに基づいて、前記第１の証跡データと、前記第２の証跡データと、をそれぞれ作成し、前記第１、第２の証跡データをそれぞれ書き換え不可能に管理し、所定の監査ノードに提供する秘密計算の証跡管理方法が提供される。本方法は、前記第１、第２の証跡データをそれぞれ作成し、所定の監査ノードに提供する証跡保存システムという、特定の機械に結びつけられている。

　第５の視点によれば、上記した秘密計算サーバ又は証跡保存システムの機能を実現するためのプログラムが提供される。プログラムは、コンピュータ装置に入力装置又は外部から通信インターフェースを介して入力され、記憶装置に記憶されて、プロセッサを所定のステップないし処理に従って駆動させる。また、このプログラムは、必要に応じ中間状態を含めその処理結果を段階毎に表示装置を介して表示することができ、あるいは通信インターフェースを介して、外部と交信することができる。そのためのコンピュータ装置は、一例として、典型的には互いにバスによって接続可能なプロセッサ、記憶装置、入力装置、通信インターフェース、及び必要に応じ表示装置を備える。

　本発明によれば、秘密計算の対象となるデータの正当性（ｃｏｒｒｅｃｔｎｅｓｓ）の検証の容易化に貢献できる。

本発明の一実施形態の構成を示す図である。本発明の一実施形態の動作（シェア配布）を説明するための図である。本発明の一実施形態の動作（計算結果の送信）を説明するための図である。本発明の一実施形態の動作（シェアの送信）を説明するための図である。本発明の一実施形態の動作（監査）を説明するための図である。本発明の第１の実施形態の構成を示す図である。本発明の第１の実施形態の詳細構成を表した機能ブロック図である。本発明の第１の実施形態の動作を表したシーケンス図である。本発明の第１の実施形態の動作を表したシーケンス図である。本発明の第２の実施形態の構成を示す図である。本発明の第２の実施形態の動作を表したシーケンス図である。本発明の第２の実施形態の動作を表したシーケンス図である。本発明の秘密計算サーバ又は証跡保存システムを構成するコンピュータの構成を示す図である。

　はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号（データ）の流れを模式的に示すものであり、双方向性を排除するものではない。プログラムはコンピュータ装置を介して実行され、コンピュータ装置は、例えば、プロセッサ、記憶装置、入力装置、通信インターフェース、及び必要に応じ表示装置を備える。また、このコンピュータ装置は、通信インターフェースを介して装置内又は外部の機器（コンピュータを含む）と、有線、無線を問わず、通信可能に構成される。また、図中の各ブロックの入出力の接続点には、ポート乃至インターフェースがあるが図示省略する。また、以下の説明において、「Ａ及び／又はＢ」は、Ａ及びＢの少なくともいずれかという意味で用いる。

　本発明は、その一実施形態において、図１に示すように、複数台の秘密計算サーバ１０と、証跡保存システム２０と、含む構成にて実現することができる。より具体的には、秘密計算サーバ１０は、計算処理部１１と、証跡登録部１２と、を備える。計算処理部１１は、クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する。例えば、秘密計算方式として、秘密分散法を用いる場合、秘密計算サーバ１０は、クライアント３０から受け取ったデータｘのシェアに基づいて、他の秘密計算サーバ１０と共同して、秘密計算を行い、計算結果Ｒのシェアを計算する。そして、証跡登録部１２は、所定の証跡保存システム２０に、前記データｘから計算した前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を保持させる。例えば、秘密計算方式として、秘密分散法を用いる場合、証跡登録部１２は、前記データｘのハッシュ値のシェアと、前記データｘと計算結果Ｒとを連結した値のシェアと、をそれぞれ証跡保存システム２０に送信する。これにより、秘密計算サーバ１０は、前記所定の証跡保存システムに、前記データｘから計算した前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を保持させる。

　一方、証跡保存システム２０は、証跡データ作成部２１と、証跡データ管理部２２と、を備える。証跡データ作成部２１は、前記した秘密計算サーバ１０から受信したデータに基づいて、前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、をそれぞれ作成する。例えば、秘密計算サーバ１０が、前記データｘのハッシュ値のシェアの組と、前記データｘと計算結果Ｒと連結した値のハッシュ値のシェアの組と、を送信する。この場合、証跡データ作成部２１は、これらの受信データに基づいて、前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、をそれぞれ作成する。そして、証跡データ管理部２２は、前記第１、第２の証跡データをそれぞれ書き換え不可能に管理し、所定の監査ノードに提供する。

　例えば、秘密計算ベースの三者秘密計算の場合、上記第１、第２の証跡データの作成は以下の通りとなる。図２に示すように、クライアント３０が、データｘのシェアｘ_１、ｘ_２、ｘ_３を作成し、秘密計算サーバ１０に計算を依頼する。前記依頼を受けた秘密計算サーバ１０は、図３に示すように、クライアント３０に計算結果Ｒ_１、Ｒ_２、Ｒ_３を送信する。クライアント３０は、計算結果Ｒ_１、Ｒ_２、Ｒ_３から計算結果Ｒを復元する。このようにして、クライアント３０はデータｘを秘匿したまま計算結果Ｒを得ることができる。

　本実施形態の秘密計算サーバ１０は、上記動作に加えて、上記データｘのハッシュ値を計算する。さらに、秘密計算サーバ１０は、図４に示すように、前記データｘのハッシュ値のシェア（例えば、ａ_１、ａ_２、ａ_３とする）と、データｘと計算結果Ｒを連結した値のハッシュ値ｈ（ｘ｜｜Ｒ）のシェアｂ_１、ｂ_２、ｂ_３を計算し、証跡保存システム２０に送信する。証跡保存システム２０は、上記データｘのハッシュ値ｈ（ｘ）のシェアａ_１、ａ_２、ａ_３からデータｘのハッシュ値ｈ（ｘ）を復元する。証跡保存システム２０は、さらに、ハッシュ値ｈ（ｘ｜｜Ｒ）のシェアｂ_１、ｂ_２、ｂ_３からデータｘのハッシュ値ｈ（ｘ｜｜Ｒ）を復元する。なお、ｈ（ｘ）は、ｘを所定のハッシュ関数に入力して得られた値を表し、｜｜は、データの連結を表すものとする。

　その後、所定の監査ノードよりデータｘとＲに関し、監査要求を受けた場合、証跡保存システム２０は、図５に示すように、監査ノードに、ハッシュ値ｈ（ｘ）と、ハッシュ値ｈ（ｘ｜｜Ｒ）とを送信する。監査ノードは、クライアント３０に対して、ハッシュ値ｈ（ｘ）と、ハッシュ値ｈ（ｘ｜｜Ｒ）との送信を要求し、両者が一致するか否かによりクライアント３０によるデータ差し替えの有無を判断することができる。例えば、ハッシュ値ｈ（ｘ）が一致しない場合、クライアント３０によるハッシュ値ｈ（ｘ）の差し替えを検出できる。同様に、ハッシュ値ｈ（ｘ｜｜Ｒ）が一致しない場合、クライアント３０による計算結果Ｒの差し替えを検出できる。

　以上のように、本実施形態によれば、秘密計算の対象となるデータの正当性（ｃｏｒｒｅｃｔｎｅｓｓ）を検出する仕組みが構築され、プライバシーを保護しつつ所望の計算結果を得る秘密計算システムの信頼性を向上させることが可能となる。なお、上記した例では、秘密計算ベースの三者秘密計算に本発明を適用したが、第１、第２の証跡データの作成の方法は採用する秘密計算方式に応じて変更することができる。例えば、ｎ者秘密計算の場合、ｎ台の秘密計算サーバは、ａ_１，．．．，ａ_ｎのｎ個のシェアを送信し、証跡保存システムが、これらのシェアから第１、第２の証跡データを作成することになる。同様に、秘密計算方式として準同型暗号を用いる場合、データｘとその計算結果Ｒに対し、Ｅｎｃ（ｈ（ｘ））、Ｅｎｃ（ｈ（ｘ｜｜Ｒ））を、第１、第２の証跡データとすることができる。なお、Ｅｎｃ（ｘ）は準同型暗号方式による暗号文を示す。

［第１の実施形態］
　続いて、複数のクライアントからデータを受け取って秘密計算を行う形態に本発明を適用した第１の実施形態について図面を参照して詳細に説明する。図６は、本発明の第１の実施形態の構成を示す図である。図６を参照すると、３台のＭＰＣサーバ１００によって構成されたＭＰＣサーバ群と、証跡保存システム２００と、クライアント３００ａ、クライアント３００ｂとが接続された構成が示されている。

　以下の説明では、クライアント３００ａは、秘密対象のデータｘを管理する情報銀行Ａ（クライアントＡ）の機器であるものとする。また、クライアント３００ｂは、秘密対象のデータｙを管理する情報銀行Ｂ（クライアントＢ）の機器であるものとする。３台のＭＰＣサーバ１００は、クライアント３００ａ、３００ｂからそれぞれデータｘのシェアと、データｙのシェアを受け取り、協働して計算結果Ｒを計算する。３台のＭＰＣサーバ１００は、計算結果Ｒのシェアをクライアント３００ａ又はクライアント３００ｂに返す動作を行う。このとき、クライアント３００ａ又はクライアント３００ｂは、計算結果Ｒのシェアから計算結果Ｒを復元し、利用することができる。以下の実施形態では、証跡保存システム２００を利用して、クライアント３００ａ又はクライアント３００ｂによるデータの差し替え等の検出を行う。

　図７は、本発明の第１の実施形態の詳細構成を表した機能ブロック図である。図７を参照すると、クライアント３００ａ、３００ｂは、それぞれシェア生成部３０１と、復元部３０２と、通信インターフェース（通信ＩＦ）３０３とを備えている。

　シェア生成部３０１は、データ保有者から預かったデータ（データｘ又はデータｙ）から、秘密分散したシェア（機密データ）を生成し、通信ＩＦ３０３を介してＭＰＣサーバ１００に送信する。この秘密分散の方法としては、入力された平文をｎ個に分割した分散値をｎ個の計算主体（ＭＰＣサーバ１００）に分散しておき、任意のｋ個の分散値が揃えば平文を復元できる（ｋ，ｎ）しきい値法を用いることができる。もちろん、上記した特許文献及び非特許文献記載の各種の方法を用いることもできる。

　復元部３０２は、通信ＩＦ３０３を介して、ＭＰＣサーバ１００から受け取った計算結果Ｒのシェアから計算結果Ｒを復元する。

　ＭＰＣサーバ１００は、それぞれ証跡登録部１０１と、計算処理部１０２と、通信ＩＦ１０３とを備えている。計算処理部１０２は、通信ＩＦ１０３を介して、クライアント３００ａ、３００ｂから受け取ったシェア（機密データ）を用いて、計算結果Ｒのシェアを求め、クライアント３００ａ又はクライアント３００ｂに返す。

　証跡登録部１０１は、証跡保存システム２００に対し、上記データｘのハッシュ値のシェア（ｈａ_１、ｈａ_２、ｈａ_３）と、上記データｙのハッシュ値のシェア（ｈｂ_１、ｈｂ_２、ｈｂ_３）と、ハッシュ値ｈ（ｘ｜｜Ｒ）、ｈ（ｙ｜｜Ｒ）のシェアを送信する。ここで、ハッシュ値ｈ（ｘ｜｜Ｒ）、ｈ（ｙ｜｜Ｒ）のシェアをそれぞれ（ｈｃ_１、ｈｃ_２、ｈｃ_３）、（ｈｄ_１、ｈｄ_２、ｈｄ_３）とする。

　証跡保存システム２００は、証跡データ管理部２０１と、証跡データ作成部２０２と、通信ＩＦ２０３とを備え、ブロックチェーン２０４にデータを記録可能となっている。

　証跡データ作成部２０２は、通信ＩＦ２０３を介して、ＭＰＣサーバ１００から受け取ったシェアから証跡データを作成する。具体的には、証跡データ作成部２０２は、データｘのハッシュ値のシェアから、データｘのハッシュ値ｈ（ｘ）を計算し、データｘの証跡データとする。ここで、ｈ（ｘ）は、ハッシュ関数にデータｘを入力して得られた値であり、ｈ（ｘ）からｘを演算することは困難であるという性質を満たしているものとする。ｈ（ｘ）は、そのシェアｈａ_１、ｈａ_２、ｈａ_３の演算、例えば、ｈａ_１＋ｈａ_２＋ｈａ_３から計算できるものとする。

　同様に、証跡データ作成部２０２は、データｙのハッシュ値のシェアｈｂ_１、ｈｂ_２、ｈｂ_３から、データｙのハッシュ値ｈ（ｙ）を計算し、データｙの証跡データとする。さらに、証跡データ作成部２０２は、ハッシュ値ｈ（ｘ｜｜Ｒ）のシェア（ｈｃ_１、ｈｃ_２、ｈｃ_３）からハッシュ値ｈ（ｘ｜｜Ｒ）を計算する。同様に、証跡データ作成部２０２は、ハッシュ値ｈ（ｙ｜｜Ｒ）のシェア（ｈｄ_１、ｈｄ_２、ｈｄ_３）からハッシュ値ｈ（ｙ｜｜Ｒ）を計算する。なお、以下の説明においても、記号ａ｜｜ｂは、データａとデータｂの連結を示す。

　証跡データ管理部２０１は、ブロックチェーン２０４に、前記ハッシュ値ｈ（ｘ）、ｈ（ｙ）、ｈ（ｘ｜｜Ｒ）、ｈ（ｙ｜｜Ｒ）を記録する。

　ブロックチェーン２０４は、データを格納したブロックを、鎖（チェーン）のように連結していくことによりデータを保管する分散型台帳である。本実施形態では、このブロックに、上述のｈ（ｘ）、ｈ（ｙ）、ｈ（ｘ｜｜Ｒ）、ｈ（ｙ｜｜Ｒ）を記録し、任意のｈ（ｘ）、ｈ（ｙ）、ｈ（ｘ｜｜Ｒ）、ｈ（ｙ｜｜Ｒ）のセットを取り出し可能になっているものとする。

　続いて、本実施形態の動作について図面を参照して詳細に説明する。図８は、本発明の第１の実施形態の動作を表したシーケンス図である。以下の説明では、事前にデータ保持者Ａがクライアント３００ａに対してデータｘとともに、署名ｓｉｇ（ｘ）を送信し、データ保持者Ａとクライアント３００ａ間において改ざん等が行われていないことの確認がなされているものとする。同様に、データｙについても、データ保持者Ｂがクライアント３００ｂに対してデータｙとともに、署名ｓｉｇ（ｙ）を送信し、データ保持者Ｂとクライアント３００ｂ間において改ざん等が行われていないことの確認がなされているものとする。

　図８を参照すると、クライアント３００ａは、データｘからシェアｘ_１、ｘ_２、ｘ_３を生成し、ＭＰＣサーバ１００に送信し、データｙと組み合わせた秘密計算を依頼する（ステップＳ００１）。このデータｘとデータｙとを用いた秘密計算の例としては、異なる店舗を訪れた同一の人物の購買データを突合して、何らかの統計情報を計算する例などが挙げられる。

　クライアント３００ｂは、データｙからシェアｙ_１、ｙ_２、ｙ_３を生成し、ＭＰＣサーバ１００に送信する（ステップＳ００２）。

　ＭＰＣサーバ１００のうちの１台は、シェアｘ_１、シェアｙ_１より計算結果Ｒ_１を計算する。ほかの２台も同様に、シェアｘ_２、シェアｙ_２、シェアｘ_３、シェアｙ_３より計算結果Ｒ_２、Ｒ_３を計算する（ステップＳ００３）。さらに、３台のＭＰＣサーバ１００は、計算結果Ｒ_１、Ｒ_２、Ｒ_３をクライアントＡに送信する（ステップＳ００４）。

　クライアントＡは、計算結果Ｒ_１、Ｒ_２、Ｒ_３から計算結果Ｒを復元し、データ保持者５００ａに提供する（ステップＳ００５）。ここまでの処理は、ＭＰＣサーバを用いた秘密計算と同様である。

　次に、ＭＰＣサーバ１００は、データｘのハッシュ値ｈ（ｘ）のシェア（ｈａ_１、ｈａ_２、ｈａ_３とする）と、データｙのハッシュ値ｈ（ｙ）のシェア（ｈｂ_１、ｈｂ_２、ｈｂ_３とする）とを計算する。さらに、ＭＰＣサーバ１００は、ハッシュ値ｈ（ｘ｜｜Ｒ）、ｈ（ｙ｜｜Ｒ）のシェア（ｈｃ_１、ｈｃ_２、ｈｃ_３）、（ｈｄ_１、ｈｄ_２、ｈｄ_３）を計算し、証跡保存システム２００に送信する（ステップＳ００６）。

　証跡保存システム２００は、シェアｈａ_１、ｈａ_２、ｈａ_３及びシェアｈｂ_１、ｈｂ_２、ｈｂ_３からハッシュ値ｈ（ｘ）、ｈ（ｙ）を計算する。さらに、証跡保存システム２００は、ハッシュ値ｈ（ｘ｜｜Ｒ）のシェア（ｈｃ_１、ｈｃ_２、ｈｃ_３）からハッシュ値ｈ（ｘ｜｜Ｒ）を計算する。さらに、証跡保存システム２００は、ハッシュ値ｈ（ｙ｜｜Ｒ）のシェア（ｈｄ_１、ｈｄ_２、ｈｄ_３）からハッシュ値ｈ（ｙ｜｜Ｒ）を計算する（ステップＳ００７）。最後に、証跡保存システム２００は、ブロックチェーン２０４にハッシュ値ｈ（ｘ）、ｈ（ｙ）、ｈ（ｘ｜｜Ｒ）、ｈ（ｙ｜｜Ｒ）を記録する（ステップＳ００８）。

　続いて、上記証跡保存システム２００に登録したデータを用いた監査プロセスについて説明する。以下の説明では、データ保持者５００ａ、５００ｂ又は第三者が監査人（監査ノード）に対し、計算結果Ｒの正当性（ｃｏｒｒｅｃｔｎｅｓｓ）についての監査要求を行ったものとして説明する。図９は、本発明の第１の実施形態の動作（監査プロセス）を表したシーケンス図である。

　図９を参照すると、まず、監査ノードは、証跡保存システム２００に対して証跡データの送信を要求する（ステップＳ１０１）。ここで、要求する証跡データを特定する方法としては、計算結果Ｒを示して証跡データを特定する方法が考えられる。

　前記証跡データの送信要求を受けた証跡保存システム２００は、ブロックチェーン２０４からハッシュ値ｈ（ｘ）、ｈ（ｙ）、ｈ（ｘ｜｜Ｒ）、ｈ（ｙ｜｜Ｒ）を取り出して、監査ノードに送信する（ステップＳ１０２）。

　次に、監査ノードは、データ保持者５００ａに対し、データｘのハッシュ値ｈ（ｘ）及びデータｘに計算結果Ｒを連結した値ｘ｜｜Ｒのハッシュ値ｈ（ｘ｜｜Ｒ）の送信を要求する（ステップＳ１０３）。

　前記要求を受けたデータ保持者５００ａは、データｘのハッシュ値ｈ（ｘ）及びハッシュ値ｈ（ｘ｜｜Ｒ）を計算し、監査ノードに送信する（ステップＳ１０４）。ここで、データ保持者５００ａが作成したｈ（ｘ）、ｈ（ｘ｜｜Ｒ）を、それぞれｈ_０（ｘ）、ｈ_０（ｘ｜｜Ｒ）と記す。また、ｈ（ｘ）は、前述のとおり、ｈ（ｘ）からｘを演算することは困難であるという性質を満たしているので、監査ノードにｘが洩れることはない。

　次に、監査ノードは、データ保持者５００ｂに対し、データｙのハッシュ値ｈ（ｙ）及びデータｙに計算結果Ｒを連結した値ｙ｜｜Ｒのハッシュ値ｈ（ｙ｜｜Ｒ）の送信を要求する（ステップＳ１０５）。

　前記要求を受けたデータ保持者５００ｂは、データｙのハッシュ値ｈ（ｙ）及びハッシュ値ｈ（ｙ｜｜Ｒ）を計算し、監査ノードに送信する（ステップＳ１０６）。ここで、データ保持者５００ｂが作成したｈ（ｙ）、ｈ（ｙ｜｜Ｒ）を、それぞれｈ_０（ｙ）、ｈ_０（ｙ｜｜Ｒ）と記す。また、ｈ（ｙ）は、前述のとおり、ｈ（ｙ）からｙを演算することは困難であるという性質を満たしているので、監査ノードにｙが洩れることはない。

　最後に、監査ノードは、以下の値（１）～（４）が一致するか否かにより、計算結果Ｒの正当性（ｃｏｒｒｅｃｔｎｅｓｓ）を確認する（ステップＳ１０７）。

（１）ｈ（ｘ）＝ｈ_０（ｘ）
（２）ｈ（ｙ）＝ｈ_０（ｙ）
（３）ｈ（ｘ｜｜Ｒ）＝ｈ_０（ｘ｜｜Ｒ）
（４）ｈ（ｙ｜｜Ｒ）＝ｈ_０（ｙ｜｜Ｒ）

　上記（１）ｈ（ｘ）＝ｈ_０（ｘ）が成立しない場合、データｘがクライアント３００ａにおいて差し替えられたことになる。その理由は、ｈ（ｘ）は、証跡保存システム２００が、ＭＰＣサーバ１００から受け取ったシェア（例えば、ｈａ_１、ｈａ_２、ｈａ_３）から計算され、ブロックチェーン２０４に記録されており、同一性が保証されているからである。また、このとき、（３）ｈ（ｘ｜｜Ｒ）＝ｈ_０（ｘ｜｜Ｒ）も成立しないことになる。

　上記（２）ｈ（ｙ）＝ｈ_０（ｙ）が成立しない場合、データｙがクライアント３００ｂにおいて差し替えられたことになる。その理由は、ｈ（ｙ）は、証跡保存システム２００が、ＭＰＣサーバ１００から受け取ったシェア（例えば、ｈｂ_１、ｈｂ_２、ｈｂ_３）から計算され、ブロックチェーン２０４に記録されており、同一性が保証されているからである。また、このとき、（４）ｈ（ｙ｜｜Ｒ）＝ｈ_０（ｙ｜｜Ｒ）も成立しないことになる。

　さらに、（１）ｈ（ｘ）＝ｈ_０（ｘ）が成立するが、（３）ｈ（ｘ｜｜Ｒ）＝ｈ_０（ｘ｜｜Ｒ）が成立しない場合、クライアント３００ａが計算結果Ｒを差し替えたことを検出できる。

　同様に、（２）ｈ（ｙ）＝ｈ_０（ｙ）が成立するが、（４）ｈ（ｙ｜｜Ｒ）＝ｈ_０（ｙ｜｜Ｒ）が成立しない場合、クライアント３００ｂが計算結果Ｒを差し替えたことを検出できる。

　以上のとおり、本実施形態によれば、秘密計算の対象となるデータが複数の保持者から提供されている場合においても、その正当性（ｃｏｒｒｅｃｔｎｅｓｓ）をそれぞれ確認することが可能となる。なお、図９のステップＳ１０１～Ｓ１０２、ステップＳ１０３～Ｓ１０４、ステップＳ１０５～Ｓ１０６の順序は、必ずしも図９のとおりでなくてもよく、適宜入れ替えることができる。

［第２の実施形態］
　続いて、第１の実施形態との比較において、証跡データの存在と改ざんがなされていないことを証明できるようにした第２の実施形態について図面を参照して詳細に説明する。図１０は、本発明の第２の実施形態の構成を示す図である。図６、図７に示した第１の実施形態との差異は、タイムスタンプサーバ（ＴＳサーバ）４００が追加され、証跡データの作成に、タイムスタンプを用いるようにした点である。その他の構成は第１の実施形態と同様であるので、以下、その相違点を中心に説明する。

　タイムスタンプサーバ（ＴＳサーバ）４００は、ＲＦＣ　３１６１に代表される方式で、クライアントからの要求に応じてハッシュ値にタイムスタンプを付与するサーバである。

　第２の実施形態の証跡保存システム２００ａの証跡データ作成部２０２ａは、通信ＩＦ２０３を介して、ＭＰＣサーバ１００から受け取ったシェアから証跡データを作成する際に、ＴＳサーバ４００から受け取ったタイムスタンプＴを用いて証跡データを作成する。具体的には、証跡データ作成部２０２ａは、ＴＳサーバ４００からハッシュ値ｈ（ｘ）に対するタイムスタンプＴを入手し、さらに、第２のハッシュ関数ｈ’（ｘ）を用いて、ハッシュ値ｈ’（ｈ（ｘ）｜｜Ｔ）を計算し、データｘの証跡データとする。

　同様に、証跡データ作成部２０２ａは、ハッシュ値ｈ（ｙ）に対するタイムスタンプＴを入手し、さらに、第２のハッシュ関数ｈ’（ｙ）を用いて、ハッシュ値ｈ’（ｈ（ｙ）｜｜Ｔ）を計算し、データｙの証跡データとする。

　さらに、証跡データ作成部２０２ａは、データｘと計算結果Ｒの対応関係を示す証跡データとして、上記ハッシュ値ｈ’（ｈ（ｘ）｜｜Ｔ）に計算結果Ｒを連結した値を、第３のハッシュ関数ｈ’’（ｘ）に入力して、ハッシュ値ｈ’’（ｈ’（ｈ（ｘ）｜｜Ｔ）｜｜Ｒ）を計算する。同様に、証跡データ作成部２０２ａは、データｙと計算結果Ｒの対応関係を示す証跡データとして、上記ハッシュ値ｈ’（ｈ（ｙ）｜｜Ｔ）に計算結果Ｒを連結した値を、第３のハッシュ関数ｈ’’（ｘ）に入力して、ハッシュ値ｈ’’（ｈ’（ｈ（ｙ）｜｜Ｔ）｜｜Ｒ）を計算する。

　証跡データ管理部２０１ａは、ハッシュ値ｈ’（ｈ（ｘ）｜｜Ｔ）、ｈ’（ｈ（ｙ）｜｜Ｔ）、ｈ’’（ｈ’（ｈ（ｘ）｜｜Ｔ）｜｜Ｒ）、ｈ’’（ｈ’（ｈ（ｙ）｜｜Ｔ）｜｜Ｒ）をブロックチェーン２０４に記録する。

　続いて、本実施形態の動作について図面を参照して詳細に説明する。図１１は、本発明の第２の実施形態の動作を表したシーケンス図である。ステップＳ２０１～Ｓ２０６までの動作は第１の実施形態で説明した図８のステップＳ００１～Ｓ００６と同様であるので、説明を省略する。

　証跡保存システム２００ａは、シェアｈａ_１、ｈａ_２、ｈａ_３、シェアｈｂ_１、ｈｂ_２、ｈｂ_３及びシェアＲ_１、Ｒ_２、Ｒ_３からハッシュ値ｈ（ｘ）、ハッシュ値ｈ（ｙ）、計算結果Ｒを復元した後、ＴＳサーバ４００からタイムスタンプＴを取得する（ステップＳ２０７）。

　次に、証跡保存システム２００ａは、ハッシュ値ｈ’（ｈ（ｘ）｜｜Ｔ）、ｈ’（ｈ（ｙ）｜｜Ｔ）、ｈ’’（ｈ’（ｈ（ｘ）｜｜Ｔ）｜｜Ｒ）、ｈ’’（ｈ’（ｈ（ｙ）｜｜Ｔ）｜｜Ｒ）を計算する（ステップＳ２０８）。

　最後に、証跡保存システム２００ａは、ブロックチェーン２０４に、ハッシュ値ｈ’（ｈ（ｘ）｜｜Ｔ）、ｈ’（ｈ（ｙ）｜｜Ｔ）、ｈ’’（ｈ’（ｈ（ｘ）｜｜Ｔ）｜｜Ｒ）、ｈ’’（ｈ’（ｈ（ｙ）｜｜Ｔ）｜｜Ｒ）を記録する（ステップＳ２０９）。

　続いて、上記証跡保存システム２００ａに登録したデータを用いた監査プロセスについて説明する。以下の説明では、データ保持者５００ａ、５００ｂ又は第三者が監査人（監査ノード）に対し、計算結果Ｒの正当性（ｃｏｒｒｅｃｔｎｅｓｓ）についての監査要求を行ったものとして説明する。図１２は、本発明の第２の実施形態の動作（監査プロセス）を表したシーケンス図である。

　図１２を参照すると、まず、監査ノードは、証跡保存システム２００ａに対して証跡データの送信を要求する（ステップＳ３０１）。ここで、要求する証跡データを特定する方法としては、計算結果Ｒを示して証跡データを特定する方法が考えられる。

　前記証跡データの送信要求を受けた証跡保存システム２００ａは、ブロックチェーン２０４からタイムスタンプＴと、ハッシュ値ｈ’（ｈ（ｘ）｜｜Ｔ）、ｈ’（ｈ（ｙ）｜｜Ｔ）、ｈ’’（ｈ’（ｈ（ｘ）｜｜Ｔ）｜｜Ｒ）、ｈ’’（ｈ’（ｈ（ｙ）｜｜Ｔ）｜｜Ｒ）を取り出して、監査ノードに送信する（ステップＳ３０２）。

　次に、監査ノードは、データ保持者５００ａに対し、タイムスタンプＴを送り、ハッシュ値ｈ’（ｈ（ｘ）｜｜Ｔ）と、ｈ’’（ｈ’（ｈ（ｘ）｜｜Ｔ）｜｜Ｒ）の送信を要求する（ステップＳ３０３）。

　前記要求を受けたデータ保持者５００ａは、タイムスタンプＴとハッシュ関数ｈ（ｘ）、ｈ’（ｘ）、ｈ’’（ｘ）を用いて、ハッシュ値ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）と、ｈ_０’’（ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）｜｜Ｒ）を計算し、監査ノードに送信する（ステップＳ３０４）。以下、データ保持者５００ａ及びデータ保持者５００ｂが計算するハッシュ値ｈ（ｘ）に添え字０を付し、ｈ_０（ｘ）と記す。また、ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）は、データｘのハッシュ値ｈ_０（ｘ）にＴを連結した値のｈ_０’（ｘ）によるハッシュ値である。また、ｈ_０’’（ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）｜｜Ｒ）は、前記ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）に計算結果Ｒを連結した値のｈ_０’’（ｘ）によるハッシュ値である。

　次に、監査ノードは、データ保持者５００ｂに対し、タイムスタンプＴを送り、ハッシュ値ｈ’（ｈ（ｙ）｜｜Ｔ）と、ｈ’’（ｈ’（ｈ（ｙ）｜｜Ｔ）｜｜Ｒ）の送信を要求する（ステップＳ３０５）。

　前記要求を受けたデータ保持者５００ｂは、タイムスタンプＴとハッシュ関数ｈ（ｘ）、ｈ’（ｘ）、ｈ’’（ｘ）を用いて、ハッシュ値ｈ_０’（ｈ_０（ｙ）｜｜Ｔ）と、ｈ_０’’（ｈ_０’（ｈ_０（ｙ）｜｜Ｔ）｜｜Ｒ）を計算し、監査ノードに送信する（ステップＳ３０６）。

　最後に、監査ノードは、以下の値（１）～（４）が一致するか否かにより、計算結果Ｒの正当性（ｃｏｒｒｅｃｔｎｅｓｓ）を確認する（ステップＳ３０７）。

（１）ｈ’（ｈ（ｘ）｜｜Ｔ）＝ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）
（２）ｈ’（ｈ（ｙ）｜｜Ｔ）＝ｈ_０’（ｈ_０（ｙ）｜｜Ｔ）
（３）ｈ’’（ｈ’（ｈ（ｘ）｜｜Ｔ）｜｜Ｒ）＝ｈ_０’’（ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）｜｜Ｒ）
（４）ｈ’’（ｈ’（ｈ（ｙ）｜｜Ｔ）｜｜Ｒ）＝ｈ_０’’（ｈ_０’（ｈ_０（ｙ）｜｜Ｔ）｜｜Ｒ）

　上記（１）ｈ’（ｈ（ｘ）｜｜Ｔ）＝ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）が成立しない場合、データｘがクライアント３００ａにおいて差し替えられたことになる。その理由は、各ハッシュ値は、証跡保存システム２００ａがＭＰＣサーバ１００から受け取ったシェア（例えば、ａ_１、ａ_２、ａ_３）から計算され、ブロックチェーン２０４に記録されており、同一性が保証されているからである。また、このとき、（３）ｈ’’（ｈ’（ｈ（ｘ）｜｜Ｔ）｜｜Ｒ）＝ｈ_０’’（ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）｜｜Ｒ）も成立しないことになる。

　上記（２）ｈ’（ｈ（ｙ）｜｜Ｔ）＝ｈ_０’（ｈ_０（ｙ）｜｜Ｔ）が成立しない場合、データｙがクライアント３００ｂにおいて差し替えられたことになる。その理由は、各ハッシュ値は、証跡保存システム２００ａがＭＰＣサーバ１００から受け取ったシェア（例えば、ｂ_１、ｂ_２、ｂ_３）から計算され、ブロックチェーン２０４に記録されており、同一性が保証されているからである。また、このとき、（４）ｈ’’（ｈ’（ｈ（ｙ）｜｜Ｔ）｜｜Ｒ）＝ｈ_０’’（ｈ_０’（ｈ_０（ｙ）｜｜Ｔ）｜｜Ｒ）も成立しないことになる。

　さらに、（１）ｈ’（ｈ（ｘ）｜｜Ｔ）＝ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）が成立するが、（３）ｈ’’（ｈ’（ｈ（ｘ）｜｜Ｔ）｜｜Ｒ）＝ｈ_０’’（ｈ_０’（ｈ_０（ｘ）｜｜Ｔ）｜｜Ｒ）が成立しない場合、クライアント３００ａが計算結果Ｒを差し替えたことを検出できる。

　同様に、（２）ｈ’（ｈ（ｙ）｜｜Ｔ）＝ｈ_０’（ｈ_０（ｙ）｜｜Ｔ）が成立するが、（４）ｈ’’（ｈ’（ｈ（ｙ）｜｜Ｔ）｜｜Ｒ）＝ｈ_０’’（ｈ_０’（ｈ_０（ｙ）｜｜Ｔ）｜｜Ｒ）が成立しない場合、クライアント３００ｂが計算結果Ｒを差し替えたことを検出できる。

　以上のとおり、本実施形態によれば、第１の実施形態と同様の効果に加えて、ある時刻Ｔでの計算と異なる時刻Ｔ’での計算とで、同一のデータが使用されているか否かを秘匿することが可能となる。その理由は、時刻Ｔをハッシュ値に含めることで、異なる時刻で同一のデータを用いたとしても異なるハッシュ値が生成される構成を採用したことにある。

　以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示したネットワーク構成、各要素の構成、メッセージの表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。

　例えば、上記した実施形態では、ハッシュ関数を用いて証跡データを作成するものとして説明したが、ｘから計算でき、かつ、その証跡データからｘを演算することが難しいというその他の一方向性関数を用いることも可能である。また、ハッシュ関数ｈ（ｘ）、ｈ’（ｘ）、ｈ’’（ｘ）は同一のハッシュ関数であってもよいし、異なるハッシュ関数であってもよい。

　例えば、上記した実施形態では、データ保持者５００ａがデータｘを提供し、データ保持者５００ｂがデータｙを提供する例を挙げて説明したが、本発明の適用分野はこれに限られない。例えば、第三のデータ保持者が情報銀行に学習モデルＭ等を登録し、ＭＰＣサーバ１００に学習モデルＭを用いてデータの秘密計算を依頼するケースにおいても問題なく適用できる。この場合においても、データ保持者のすべてが正しいデータを提供したかどうかと学習モデルＭが提供されているか否かを検証することが可能となる。

　また、上記した実施形態では、証跡保存システム２００、２００ａにて、データｘ、データｙのハッシュ値及び計算結果Ｒを復元し、証跡データを生成するものとして説明したが、データｘ、データｙのハッシュ値及び計算結果Ｒを復元し、証跡データを作成する中間ノードを設ける構成も採用可能である。

　また、上記した実施形態では、証跡データの記録先としてブロックチェーン２０４を用いるものとして説明したが、データを書き換え不可能に記録できるその他の記録装置を用いることもできる。

　また、上記した実施形態では、３台のＭＰＣサーバでマルチパーティ計算を行う構成に本発明を適用した例を用いたが、本発明を適用可能な秘密計算方式は、これに限られない。例えば、本発明は、ｎ台のＭＰＣサーバでマルチパーティ計算を行う構成にも適用できる。この場合、ｎ台の秘密計算サーバは、ａ_１，．．．，ａ_ｎのｎ個のシェアを送信し、証跡保存システムが、これらのシェアから第１、第２の証跡データを作成することになる。同様に、秘密計算方式として準同型暗号を用いる場合、データｘ、ｙとその計算結果Ｒに対し、暗号文Ｅｎｃ（ｈ（ｘ））、Ｅｎｃ（ｈ（ｙ））、Ｅｎｃ（ｈ（ｘ｜｜Ｒ））、Ｅｎｃ（ｈ（ｙ｜｜Ｒ））を、第１、第２の証跡データとすることができる。

　また、上記した実施形態で示した第１、第２の証跡データの計算方法は、あくまでその一例を示したものであり、その作成方法としては種々の方法を採ることができる。例えば、ｈ（ｘ）、ｈ（ｘ｜｜Ｒ）の代わりに、任意のストリングＳを連結したｈ（ｘ｜｜Ｓ）、ｈ（ｘ｜｜Ｒ｜｜Ｓ）を用いることも可能である。同様に、ｈ（ｘ）、ｈ（ｘ｜｜Ｒ）の代わりに、任意の置換関数ｐ（ｘ）を用いてｈ（ｐ（ｘ））、ｈ（ｐ（ｘ｜｜Ｒ））を用いることも可能である。同様に、暗号文Ｅｎｃ（ｈ（ｘ））、Ｅｎｃ（ｈ（ｙ））、Ｅｎｃ（ｈ（ｘ｜｜Ｒ））、Ｅｎｃ（ｈ（ｙ｜｜Ｒ））について、これらの置換データを、第１、第２の証跡データとすることができる。

　また、上記した第１、第２の実施形態に示した手順は、ＭＰＣサーバ１００又は証跡保存システム２００、２００ａとして機能するコンピュータ（図１３の９０００）に、これらの装置としての機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図１３のＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）９０１０、通信インターフェース９０２０、メモリ９０３０、補助記憶装置９０４０を備える構成に例示される。すなわち、図１３のＣＰＵ９０１０にて、シェア送信プログラムや証跡データ作成プログラムを実行し、その補助記憶装置９０４０等に保持された各計算パラメーターの更新処理を実施させればよい。

　即ち、上記した第１、第２の実施形態に示したＭＰＣサーバ１００又は証跡保存システム２００、２００ａの各部（処理手段、機能）は、これらの装置に搭載されたプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。

　最後に、本発明の好ましい形態を要約する。
［第１の形態］
　（上記第１の視点による秘密計算サーバ参照）
［第２の形態］
　上記した証跡保存システムは、ブロックチェーンを用いて、前記第１、第２の証跡データを記録する構成を採ることができる。
［第３の形態］
　上記した証跡保存システムは、前記第１の証跡データとして、前記データｘのハッシュ値を保持し、
　前記第２の証跡データとして、前記データｘと前記計算結果Ｒとを連結した値のハッシュ値を保持する構成を採ることができる。
［第４の形態］
　上記した証跡保存システムは、前記第１の証跡データとして、前記データｘとタイムスタンプ値とを用いて作成した値のハッシュ値を保持し、
　前記第２の証跡データとして、前記データｘと前記計算結果Ｒとタイムスタンプ値とを用いて作成した値のハッシュ値を保持する構成を採ることができる。
［第５の形態］
　上記した秘密計算サーバの計算処理部は、他の秘密計算サーバと共同して、秘密計算を行うマルチパーティ計算を実行可能であり、
　上記した秘密計算サーバの証跡登録部は、前記証跡保存システムに対し、前記計算処理部にて計算されたシェアの形態で、前記第１の証跡データと、前記第２の証跡データとを復元するためのデータを送信する形態を採ることができる。
［第６の形態］
　（上記第２の視点による証跡保存システム参照）
［第７の形態］
　上記した証跡保存システムの証跡データ管理部は、ブロックチェーンにて構成されていることが好ましい。
［第８の形態］
　上記した証跡保存システムの証跡データ作成部は、
　前記第１の証跡データとして、前記データｘのハッシュ値を計算し、
　前記第２の証跡データとして、前記データｘと前記計算結果Ｒとを連結した値のハッシュ値を計算する構成を採ることができる。
［第９の形態］
　上記した証跡保存システムの前記証跡データ作成部は、
　前記第１の証跡データとして、前記データｘとタイムスタンプ値とを用いて作成した値のハッシュ値を計算し、
　前記第２の証跡データとして、前記データｘと前記計算結果Ｒとタイムスタンプ値とを用いて作成した値のハッシュ値を計算する構成を採ることができる。
［第１０の形態］
　上記した秘密計算サーバは、他の秘密計算サーバと共同して、秘密計算を行うマルチパーティ計算を実行可能であり、
　上記した証跡保存システムの証跡データ作成部は、前記秘密計算サーバからそれぞれ、前記マルチパーティ計算で計算されたシェアの形態で、前記第１の証跡データと、前記第２の証跡データとを復元するためのデータを受信し、前記第１の証跡データと、前記第２の証跡データとを復元する構成を採ることができる。
［第１１の形態］
　（上記第３、４の視点による秘密計算の証跡管理方法参照）
［第１２の形態］
　（上記第５の視点によるプログラム参照）
　なお、上記第１１～第１２の形態は、第１、第６の形態と同様に、第２～第５、第７～第１０の形態に展開することが可能である。

　なお、上記の特許文献および非特許文献の各開示は、本書に引用をもって繰り込み記載されているものとし、必要に応じて本発明の基礎ないし一部として用いることが出来るものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

　１０　秘密計算サーバ
　１１、１０２　計算処理部
　１２、１０１　証跡登録部
　２０、２００、２００ａ　証跡保存システム
　２１、２０２、２０２ａ　証跡データ作成部
　２２、２０１、２０１ａ　証跡データ管理部
　３０、３００ａ、３００ｂ　クライアント
　１００　ＭＰＣサーバ
　４００　ＴＳサーバ
　５００ａ、５００ｂ　データ保持者
　３０１　シェア生成部
　３０２　復元部
　１０３、２０３、３０３　通信インターフェース（通信ＩＦ）
　２０４　ブロックチェーン
　９０００　コンピュータ
　９０１０　ＣＰＵ
　９０２０　通信インターフェース
　９０３０　メモリ
　９０４０　補助記憶装置

Claims

　クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部と、
　所定の証跡保存システムに、前記データｘから計算した前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を保持させる証跡登録部と、を備える
　秘密計算サーバ。
　前記所定の証跡保存システムは、ブロックチェーンを用いて、前記第１、第２の証跡データを記録する請求項１の秘密計算サーバ。
　前記所定の証跡保存システムは、前記第１の証跡データとして、前記データｘのハッシュ値を保持し、
　前記第２の証跡データとして、前記データｘと前記計算結果Ｒとを連結した値のハッシュ値を保持する請求項１又は２の秘密計算サーバ。
　前記所定の証跡保存システムは、前記第１の証跡データとして、前記データｘとタイムスタンプ値とを用いて作成した値のハッシュ値を保持し、
　前記第２の証跡データとして、前記データｘと前記計算結果Ｒとタイムスタンプ値とを用いて作成した値のハッシュ値を保持する
　請求項１又は２の秘密計算サーバ。
　前記計算処理部は、他の秘密計算サーバと共同して、秘密計算を行うマルチパーティ計算を実行可能であり、
　前記証跡登録部は、前記証跡保存システムに対し、前記計算処理部にて計算されたシェアの形態で、前記第１の証跡データと、前記第２の証跡データとを復元するためのデータを送信する
　請求項１から４いずれか一の秘密計算サーバ。
　クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部と、
　所定の証跡保存システムに、前記データｘから計算した前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を保持させる証跡登録部と、を備える秘密計算サーバから受信したデータに基づいて、前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、をそれぞれ作成する証跡データ作成部と、
　前記第１、第２の証跡データをそれぞれ書き換え不可能に管理し、所定の監査ノードに提供する証跡データ管理部と、
　を備えた証跡保存システム。
　前記証跡データ管理部が、ブロックチェーンにて構成されている請求項６の証跡保存システム。
　前記証跡データ作成部は、
　前記第１の証跡データとして、前記データｘのハッシュ値を計算し、
　前記第２の証跡データとして、前記データｘと前記計算結果Ｒとを連結した値のハッシュ値を計算する請求項６又は７の証跡保存システム。
　前記証跡データ作成部は、
　前記第１の証跡データとして、前記データｘとタイムスタンプ値とを用いて作成した値のハッシュ値を計算し、
　前記第２の証跡データとして、前記データｘと前記計算結果Ｒとタイムスタンプ値とを用いて作成した値のハッシュ値を計算する、
　請求項６又は７の証跡保存システム。
　前記秘密計算サーバは、他の秘密計算サーバと共同して、秘密計算を行うマルチパーティ計算を実行可能であり、
　前記証跡データ作成部は、前記秘密計算サーバからそれぞれ、前記マルチパーティ計算で計算されたシェアの形態で、前記第１の証跡データと、前記第２の証跡データとを復元するためのデータを受信し、前記第１の証跡データと、前記第２の証跡データとを復元する
　請求項６から９いずれか一の証跡保存システム。
　クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部を備えた秘密計算サーバが、
　前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を計算するためのデータを、所定の証跡保存システムに送信し、
　前記所定の証跡保存システムに、前記第１の証跡データと、前記第２の証跡データと、を保持させる
　秘密計算の証跡管理方法。
　クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部を備える秘密計算サーバから
　前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を計算するためのデータを受信し、
　前記受信したデータに基づいて、前記第１の証跡データと、前記第２の証跡データと、をそれぞれ作成し、
　前記第１、第２の証跡データをそれぞれ書き換え不可能に管理し、所定の監査ノードに提供する、
　秘密計算の証跡管理方法。
　クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部を備えた秘密計算サーバに、
　前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を計算するためのデータを、所定の証跡保存システムに送信する処理を実行させ、
　前記所定の証跡保存システムに、前記第１の証跡データと、前記第２の証跡データと、を保持させるプログラム。
　証跡保存システムの制御部として機能するコンピュータに、
　クライアントから受け取ったデータｘを用いて秘密計算を行い、計算結果Ｒを計算する計算処理部を備える秘密計算サーバから、前記データｘの同一性を証明するための第１の証跡データと、前記データｘと計算結果Ｒの関係性を証明する第２の証跡データと、を計算するためのデータを受信する処理と、
　前記受信したデータに基づいて、前記第１の証跡データと、前記第２の証跡データと、をそれぞれ作成する処理と、
　前記第１、第２の証跡データをそれぞれ書き換え不可能に管理し、所定の監査ノードに提供する処理と、
　を実行させるプログラム。