WO2021024398A1 - 秘密計算システム、秘密計算方法、および秘密計算プログラム - Google Patents

Abstract

秘密計算システムは、秘匿処理されたデータを用いて計算処理を行った結果を前記秘匿処理したまま保持する秘匿キャッシュ部と、前記秘匿処理されたデータを用いて計算処理を行った結果を前記秘匿処理せず保持する通常キャッシュ部と、前記計算処理の結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第１秘匿性判断部とを備える。

Description

秘密計算システム、秘密計算方法、および秘密計算プログラム

　本発明は、秘密計算システム、秘密計算方法、および秘密計算プログラムに関するものである。

　秘密計算方法は、関与する第３者に対して計算過程等を秘匿しながら計算結果を提供することができる技術である。秘密計算方法では、データをクラウドのような第３者が管理するサーバに保持した状態のデータに対して演算を実行する。なお、秘密計算方法は、任意の計算を実行するための基本処理の方法が知られている。第３者は、計算の基礎となるデータや計算過程等を知ることがないので、個人情報のような機微な情報に対する分析処理をアウトソースするために用いることができる。

　代表的な秘密計算方法として、秘密分散を利用した方式と準同型暗号を利用した方式が知られている。秘密分散方式では、秘匿すべき情報をシェアと呼ばれるデータに分割して複雑のサーバに格納する。そして、秘密分散方式では、分割されたままのデータ、すなわち、秘匿処理されたままのデータを用いて任意の計算を実行することができる。非特許文献１には、秘密分散方式の計算方法の代表例が記載されている。また、準同型暗号方式も、秘匿処理されたままのデータを用いて計算を実行することができる。非特許文献２には、準同型暗号方式の計算方法の代表例が記載されている。

M. Ben Or, S. Goldwasser, and A. Wigderson. "Completeness theorems for non-cryptographic fault tolerant distributed computation (extended abstract)." T. E. Gamal. "A public key cryptosystem and a signature scheme based on discrete logarithms", IEEE Transactions on Information Theory, 31(4) 469-472, 1985.

　なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。

　ところで、秘密計算方法では多くの通信を行うため、通常の計算方法よりも数１０～数１００倍程度遅くなってしまう。特に、秘密分散を利用した秘密計算では、秘匿すべき情報をシェアと呼ばれるデータに分割して複数のサーバに格納するので、複数のサーバ間の通信量の増大する程度が大きい。

　サーバ間の通信量を削減したり、途中の計算結果を有効活用したりする一般的技術としてキャッシュが知られている。しかしながら、一般に秘密計算では、秘匿処理された状態のデータは秘匿処理されていない状態のデータよりもデータ容量が大きく、キャッシュに用いる容量も多く必要とする。また、秘密分散を利用した秘密計算では、各サーバにキャッシュを備える必要があるので、単純に考えても秘匿すべき情報を分割するシェアの数の分だけ、キャッシュに用いる容量も多く必要となる。

　本発明の目的は、上述した課題を鑑み、必要となるキャッシュの容量を低減することに寄与する秘密計算システム、秘密計算方法、および秘密計算プログラムを提供することである。

　本発明の第１の視点では、秘匿処理されたデータを用いて計算処理を行った結果を前記秘匿処理したまま保持する秘匿キャッシュ部と、前記秘匿処理されたデータを用いて計算処理を行った結果を前記秘匿処理せず保持する通常キャッシュ部と、前記計算処理の結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第１秘匿性判断部と、を備えることを特徴とする秘密計算システムが提供される。

　本発明の第２の視点では、秘匿処理されたデータを用いて計算処理を行った結果を、前記秘匿処理したまま保持する秘匿キャッシュ部と前記秘匿処理せず保持する通常キャッシュ部とを備える秘密計算システムを用いて行う秘密計算方法であって、前記秘匿処理されたデータを用いて計算処理を行う秘密計算ステップと、前記秘密計算ステップの結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する秘匿性判断ステップと、を有する秘密計算方法が提供される。

　本発明の第３の視点では、秘匿処理されたデータを用いて計算処理を行った結果を、前記秘匿処理したまま保持する秘匿キャッシュ部と前記秘匿処理せず保持する通常キャッシュ部とを備える秘密計算システムが実行する秘密計算プログラムであって、前記秘匿処理されたデータを用いて計算処理を行う秘密計算ステップと、前記秘密計算ステップの結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する秘匿性判断ステップと、を有する秘密計算プログラムが提供される。

　なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（non-transient）なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。

　本発明の各視点によれば、必要となるキャッシュの容量を低減することに寄与する秘密計算システム、秘密計算方法、および秘密計算プログラムを提供することができる。

図１は、第１実施形態に係る秘密計算システムの概略構成を示す図である。 図２は、秘密計算方法の手順の例を示す図である。 図３は、秘密計算方法の手順の例を示す図である。 図４は、秘密計算方法の全体の手順の例を示す図である。 図５は、具体例の説明に用いる秘匿データを示す図である。 図６は、秘匿キャッシュに保持すべきデータを示す図である。 図７は、第２実施形態に係る秘密計算システムの概略構成を示す図である。 図８は、各サーバのハードウェア構成例を示す図である。

　以下、図面を参照しながら、本発明の実施形態について説明する。ただし、以下に説明する実施形態により本発明が限定されるものではない。また、各図面において、同一または対応する要素には適宜同一の符号を付している。さらに、図面は模式的なものであり、各要素の寸法の関係、各要素の比率などは、現実のものとは異なる場合があることに留意する必要がある。図面の相互間においても、互いの寸法の関係や比率が異なる部分が含まれている場合がある。

［第１実施形態］
　図１は、第１実施形態に係る秘密計算システムの概略構成を示す図である。図１に示すように、秘密計算システム１０は、秘匿データ保持部１１と、秘匿キャッシュ部１２と、通常キャッシュ部１３と、演算装置１４とを備えている。秘密計算システム１０は、データ提供者から提供を受けた秘匿データを秘匿したまま計算し、秘匿データの内容および計算過程を秘匿したまま計算結果のみをデータ分析者へ提供することが可能なシステムである。

　なお、データ分析者は、データ提供者の構成員となる場合もある。すなわち、データ提供者がＡ氏、Ｂ氏、Ｃ氏である場合、Ａ氏がデータ分析者となることがある。この場合、Ａ氏は、Ｂ氏およびＣ氏から提供されたデータの内容を知ることなくＢ氏およびＣ氏から提供されたデータを含めた分析をすることができる。

　秘匿データ保持部１１は、データ提供者から提供された秘匿データを秘匿処理された状態で保持する記憶装置である。例えば、データ提供者から提供された秘匿データとは、個人情報が該当する。ただし、秘匿データの内容は、必ずしも個人情報に限定されず、秘匿することを希望するデータを秘匿データとして扱うことができる。

　秘匿データ保持部１１は、例えば秘密分散方式を用いる場合、データ提供者から提供された秘匿データをシェアと呼ばれるデータに分割して複数のサーバに格納する。したがって、図１では秘匿データ保持部１１が単一の装置ないし機器であるように示されているが、同図は機能ブロックとして記載しており、物理的実体を示すものではない。一方、秘匿データ保持部１１は、例えば準同型暗号方式を用いる場合、一つのサーバ内に設けられた記憶装置として構成することが可能である。

　秘匿キャッシュ部１２は、秘匿データ保持部１１に保持されている秘匿データを用いて計算処理を行った結果を秘匿処理したまま保持するように構成した記憶装置である。なお、秘匿キャッシュ部１２は、秘匿データ保持部１１の記憶領域のうち一部を用いる構成とすることが可能であるが、秘匿データ保持部１１とは物理的に別個の記憶装置として構成することも可能である。秘匿キャッシュ部１２を秘匿データ保持部１１とは物理的に別個の記憶装置として構成する場合、秘匿キャッシュ部１２をより読み書きの処理速度が高いなどキャッシュの機能を実現するために好適な構成を採用することができる。

　また、秘匿キャッシュ部１２は、秘匿データ保持部１１に保持されている秘匿データを用いて計算処理を行った結果を秘匿処理したまま保持するだけでなく、計算処理を行った結果と計算処理とを関連付けて保持する。そして、計算処理を検索キーとして、計算処理を行った結果を読み出すことができるようにデータを保持する。

　通常キャッシュ部１３は、秘匿データ保持部１１に保持されている秘匿データを用いて計算処理を行った結果を秘匿処理せず保持する通常の記憶装置である。ここで、秘匿処理せず保持するとは、秘匿データ保持部１１に保持されている秘匿データに処理されている秘匿処理を行わないという意味である。すなわち、秘匿データに処理されている秘匿処理とは異なる秘匿処理を施すことを含み得る。逆に言えば、通常キャッシュ部１３に保持されるデータは、いわゆる平文に限定されない。例えば、秘匿キャッシュ部１２と通常キャッシュ部１３との間で、秘匿処理の種類を変えたり、暗号強度の高低に差を付けたりする運用も可能である。

　また、通常キャッシュ部１３は、秘匿データ保持部１１の記憶領域のうち一部を用いる構成とすることが可能であるが、秘匿データ保持部１１とは物理的に別個の記憶装置として構成することも可能である。例えば、準同型暗号方式を用いる場合、準同型暗号で暗号化しなければよいので、秘匿データ保持部１１の記憶領域のうち一部に準同型暗号で暗号化しないデータをキャッシュすることが可能である。一方、秘密分散方式の場合、秘匿データ保持部１１および秘匿キャッシュ部１２は複数のサーバに分散して設けられる。したがって、通常キャッシュ部１３は、どれか一つの秘匿キャッシュ部１２のサーバに設ける可能性を排除するものではないが、秘匿キャッシュ部１２を備えるサーバとは異なる計算装置に設けることが好ましい。

　通常キャッシュ部１３は、秘匿データ保持部１１に保持されている秘匿データを用いて計算処理を行った結果を秘匿処理したまま保持するだけでなく、計算処理を行った結果と計算処理とを関連付けて保持する。そして、計算処理を検索キーとして、計算処理を行った結果を読み出すことができるようにデータを保持する。

　演算装置１４は、秘匿処理されたデータを用いて計算処理（いわゆる秘密計算）を行うように構成した演算装置である。さらに、演算装置１４は、この計算処理の結果を秘匿キャッシュ部１２に保持するか、通常キャッシュ部１３に保持するかを判断する。

　演算装置１４は、汎用マイクロプロセッサを用いて構成することも可能であるが、秘密計算を好適に処理することが可能なように特別に構成したマイクロプロセッサを用いてもよい。また、演算装置１４は、汎用マイクロプロセッサと秘密計算用のマイクロプロセッサとを組み合わせて構成することも可能である。また、秘密計算システム１０を同一のサーバ内に構成した場合は、演算装置１４を一つとすることも可能であるが、秘密分散方式を用いて複数のサーバの各々に秘匿データ保持部１１および秘匿キャッシュ部１２を設ける構成とした場合、各サーバに演算装置１４を設けることになる。さらに、秘匿キャッシュ部１２を備えるサーバとは異なる計算装置に通常キャッシュ部１３を設ける場合、通常キャッシュ部１３を設ける計算装置にも演算装置１４を備える。秘匿キャッシュ部１２を備えるサーバとは異なる計算装置に設けられた演算装置１４は、秘匿処理されたデータを用いて計算処理（いわゆる秘密計算）を行う必要はないが、計算処理の結果を秘匿キャッシュ部１２に保持するか、通常キャッシュ部１３に保持するかを判断することがある。

（秘密計算方法）
　ここで、秘匿処理されたデータを用いて計算処理を行った結果を、秘匿処理したまま保持する秘匿キャッシュ部と秘匿処理せず保持する通常キャッシュ部とを備える秘密計算システムを用いて行う秘密計算方法について説明する。なお、以下で説明する秘密計算方法自体は、秘匿処理したまま保持する秘匿キャッシュ部と秘匿処理せず保持する通常キャッシュ部とを備える秘密計算システムであれば実施可能であるが、説明を容易とするために図１に示した秘密計算システム１０の構成を参照しながら説明するものとする。

　図２および図３は、秘密計算方法の手順の例を示す図である。秘密計算方法は、秘匿されたデータを用いて計算処理を行う秘密計算ステップ（ステップA）と、秘密計算ステップの結果を秘匿キャッシュ部１２に保持するか、通常キャッシュ部１３に保持するかを判断する秘匿性判断ステップ（ステップB）とを有すればよいが、秘密計算ステップ（ステップA）と秘匿性判断ステップ（ステップB）との順序には２通りある。

　図２に示すように、秘匿性判断ステップ（ステップB）が秘密計算ステップ（ステップA）の後に行われることもあれば、図３に示すように、秘匿性判断ステップ（ステップB）が秘密計算ステップ（ステップA）の前に行われることもあり得る。

　例えば、個人情報を秘匿して秘密計算をする場合、計算結果がｋ匿名性を充足しているか否かは、計算結果を用いて判断をする必要があるので、図２に示すように、秘匿性判断ステップ（ステップB）が秘密計算ステップ（ステップA）の後に行われる。一方、平均値や合計値などを計算する場合、計算結果を用いて判断をする必要がないので、図３に示すように、秘匿性判断ステップ（ステップB）が秘密計算ステップ（ステップA）の前に行われる。その他、計算結果を用いて判断をする必要がある例として、ｋ匿名性の他に、ｌ多様性などがある。一方、計算結果を用いて判断をする必要がない例として、差分プライバシーを満たす程度のノイズを付加する方法が考えられる。

　ｋ匿名性とは、準識別子(同一属性)のデータがｋ件以上になることをいう。母集団にも依存するが、例えば、１１０歳の人というデータは、一般にｋ＝１となってしまう個人情報である。一方、８０歳の人というデータは、一般にｋが十分に大きい。したがって、年齢が８５歳以上というデータは個人情報に該当すると判断し、年齢が８５歳より若いというデータは個人情報に該当しないと判断するのが一つの判断基準例となる。一般に最大値や最小値は、ｋ＝１となってしまうが、予め属性ごとに指定された値以上または以下でなければ、個人情報に該当しないと判断してもよい場合がある。

　また、一般に複数の人の平均値や合計値などは、個人を識別することができないデータであるので、個人情報に該当しないと判断することができる。しかしながら、１名の平均値や合計値などは個人情報となるのはもちろんのこと、２名の平均値や合計値なども個人の識別につながる可能性が高い。ｋ匿名性におけるｋが十分に大きい（例えば１０以上の）データの平均値や合計値でなければ、たとえ平均値や合計値などの値であっても個人情報であると判断することもできる。

　なお、ｌ多様性は、同じ準識別子を持つデータ群が少なくともｌ個の異なる情報を持つことを要求する。ｌ多様性は、同時にｌ匿名性も満たすので、ｋ匿名性よりも強力な判断基準である。

　上記のように個人情報に該当するか否か、すなわち秘匿性の判断は、母集団の大きさや取り扱うデータの属性に依存する問題であるので、秘密計算システム１０の管理者ないし設計者が適宜設定する。

　また、秘匿キャッシュ部１２または通常キャッシュ部１３のどちらに保持するかの判断として、個人情報などの秘匿データの性質だけではなく、技術的観点からの判断を加味することも可能である。例えば、秘匿キャッシュ部１２の容量に応じたしきい値を用いて、秘匿キャッシュ部１２に保持するか、通常キャッシュ部１３に保持するかを判断するとしてもよい。また、計算処理の処理時間が大きいものを優先的に、秘匿キャッシュ部１２に保持するように判断するとしてもよい。

　図４は、秘密計算方法の全体の手順の例を示す図である。図４に示される秘密計算方法の全体の手順は、図２および図３に示された秘密計算方法を一部に含むものであるが、図２および図３のいずれであってもよい。

　図４に示すように、秘密計算方法の全体の手順では、最初に計算処理の分割が行われる（ステップＳ１）。通常の計算処理は、複数の計算処理の積み重ねとなっており、ここではデータ分析者から要求された計算処理を分割する。例えば、ある条件を満たす人数を計算するには、ある条件を満たす人を抽出する処理と、当該抽出した人の数を合算する処理とに分割することができる。

　そして、上記のように分割された各計算処理の結果がキャッシュに保持されているかをチェックする（ステップＳ２）。ここで、キャッシュに保持されているかのチェックは、秘匿キャッシュ部１２および通常キャッシュ部１３の両方を含む。また、秘匿キャッシュ部１２および通常キャッシュ部１３は、計算処理を行った結果と計算処理とを関連付けて保持しているので、キャッシュに保持されているかをチェックする方法は、分割された各計算処理を検索キーとしてチェックする。

　計算処理の結果がキャッシュに保持されている場合（ステップＳ２；Ｙ）、キャッシュに保持されている計算処理の結果を利用する（ステップＳ３）。一方、計算処理の結果がキャッシュに保持されていない場合（ステップＳ２；Ｎ）、秘密計算を実行することになる。

　ステップＳ４における秘密計算および秘匿性判断の実行については、上記説明したように、図２に示すように、秘匿性判断ステップ（ステップB）が秘密計算ステップ（ステップA）の後に行われることもあれば、図３に示すように、秘匿性判断ステップ（ステップB）が秘密計算ステップ（ステップA）の前に行われることもあり得る。すなわち、ステップＳ４における秘密計算および秘匿性判断の実行については、図２に示した秘密計算方法または図３に示した秘密計算方法のいずれかを適宜実行する。なお、データ分析者から要求された計算処理はステップＳ１にて分割されているが、ステップＳ４における秘密計算および秘匿性判断の実行は、分割された計算処理ごとに図２に示した秘密計算方法または図３に示した秘密計算方法のいずれかを選択することが可能である。

　そして、ステップＳ４における結果を秘匿性判断ステップ（ステップB）にしたがって、秘匿キャッシュ部１２または通常キャッシュ部１３に保持する（ステップＳ５）。なお、最終的な計算処理の結果は、秘匿キャッシュ部１２または通常キャッシュ部１３に保持するだけではなく、データ分析者に対しても提供する。

（具体例）
　ここで、上記秘密計算方法の具体例について説明する。ここで説明する具体例は、３つの計算処理が順次要求された場合の計算処理とキャッシュとの関係を示している。なお、以下の説明では、説明の容易性のため、図４に示したステップを参照する。

　要求される３つの計算処理は、以下の通りであり、これら要求処理を図５に示される秘匿データに関して行う。
要求処理Ａ：年収が１００以上の男性の平均体重を計算する。
要求処理Ｂ：年収が１００以上の男性の平均年収を計算する。
要求処理Ｃ：年収が１００以上の男性の人数を計算する。

　まず、要求処理Ａを各計算処理に分割する（ステップＳ１）。ここでは、例えば、以下のように分割する。
計算処理Ａ１：年収が１００以上の男性を抽出する。
計算処理Ａ２：年収が１００以上の男性の体重を合算する。
計算処理Ａ３：年収が１００以上の男性の人数を合算する。
計算処理Ａ４：年収が１００以上の男性の体重の合計を年収が１００以上の男性の人数で割る。

　次に、各計算処理の結果がキャッシュに保持されているかをチェックする（ステップＳ２）。しかしながら、ここでは要求処理Ａが最初の処理であるとし、全ての計算処理の結果がキャッシュに保持されていないものと考える。

　そこで、各計算処理について秘密計算および秘匿性判断を実行する（ステップＳ４）。
計算処理Ａ１の結果は、図６に示されるようなリストであり、これは個人情報に該当するので秘匿すべきものと判断する。
計算処理Ａ２の結果は、「１５０」であり、これは個人情報に該当しないので、秘匿する必要がないと判断する。
計算処理Ａ３の結果は、「２」であり、これは個人情報に該当しないので、秘匿する必要がないと判断する。
計算処理Ａ４の結果は、「７５」であり、これは個人情報に該当しないので、秘匿する必要がないと判断する。
上述したように一つの判断基準例としては、例えば合計平均といった複数の人のデータの集計は非個人情報となり、秘匿性なしとされる。

　そして、上記計算処理の結果を、秘匿キャッシュ部１２または通常キャッシュ部１３に保持する（ステップＳ５）。具体的には、計算処理Ａ１の結果は、個人情報なので秘匿キャッシュ部１２に保持し、計算処理Ａ２―４の結果は、個人情報ではないので、通常キャッシュ部１３に保持する。なお、要求処理Ａの結果は、計算処理Ａ４の結果「７５」であるので、これをデータ分析者に提供する。

　次に、要求処理Ｂが要求されるとする。そこで、要求処理Ｂを各計算処理に分割する（ステップＳ１）。ここでは、例えば、以下のように分割する。
計算処理Ｂ１：年収が１００以上の男性を抽出する。
計算処理Ｂ２：年収が１００以上の男性の年収を合算する。
計算処理Ｂ３：年収が１００以上の男性の人数を合算する。
計算処理Ｂ４：年収が１００以上の男性の年収の合計を年収が１００以上の男性の人数で割る。

　次に、各計算処理の結果がキャッシュに保持されているかをチェックする（ステップＳ２）。すると、計算処理Ｂ１と計算処理Ｂ３は、計算処理Ａ１と計算処理Ａ３と同じ処理であるので、結果がキャッシュされている。そこで、計算処理Ｂ２と計算処理Ｂ４は、計算処理を実行せずキャッシュを利用する（ステップＳ３）。

　一方、計算処理Ｂ２と計算処理Ｂ４は、キャッシュされていないので、秘密計算および秘匿性判断を実行する（ステップＳ４）。
計算処理Ｂ２の結果は、「２２０」であり、これは個人情報に該当しないので、秘匿する必要がないと判断する。
計算処理Ｂ４の結果は、「１１０」であり、これは個人情報に該当しないので、秘匿する必要がないと判断する。

　そして、上記計算処理の結果を、秘匿キャッシュ部１２または通常キャッシュ部１３に保持する（ステップＳ５）。具体的には、計算処理Ｂ２およびＢ４の結果は、個人情報ではないので、通常キャッシュ部１３に保持する。なお、要求処理Ｂの結果は、計算処理Ｂ４の結果「１１０」であるので、これをデータ分析者に提供する。

　次に、要求処理Ｃが要求されるとする。そこで、要求処理Ｃを各計算処理に分割する（ステップＳ１）。ここでは、例えば、以下のように分割する。
計算処理Ｃ１：年収が１００以上の男性を抽出する。
計算処理Ｃ２：年収が１００以上の男性の人数を合算する。

　次に、各計算処理の結果がキャッシュに保持されているかをチェックする（ステップＳ２）。すると、計算処理Ｃ１と計算処理Ｃ２は、計算処理Ａ１と計算処理Ａ３と同じ処理であるので、結果がキャッシュされている。そこで、計算処理Ｃ１と計算処理Ｃ２は、計算処理を実行せずキャッシュを利用する（ステップＳ３）。

　さらに、要求処理Ｃでは、分割した全ての計算処理がキャッシュされていたので、秘密計算および秘匿性判断を実行する必要もない。そこで、要求処理Ｃの結果は、計算処理Ｃ２の結果「２」であるので、これをデータ分析者に提供する。

　このように、秘匿キャッシュ部１２と通常キャッシュ部１３とを備える秘密計算システム１０を用いて行う秘密計算方法では、計算処理の結果を秘匿キャッシュ部１２に保持するか、通常キャッシュ部１３に保持するかを判断することで、必要となるキャッシュの容量を低減することに寄与することが可能である。一般に秘密計算では、秘匿処理された状態のデータは秘匿処理されていない状態のデータよりもデータ容量が大きく、キャッシュに用いる容量も多く必要とする。そこで、秘匿キャッシュ部１２を用いる必要がない計算処理の結果を通常キャッシュ部１３にキャッシュすることで、秘匿キャッシュ部１２および通常キャッシュ部１３の全体のキャッシュを少なくすることが可能である。

［第２実施形態］
　図７は、第２実施形態に係る秘密計算システムの概略構成を示す図である。図７に示すように、秘密計算システム１００は、３つの秘密計算サーバ１１０，１２０，１３０と、フロントエンドサーバ１４０とを備えている。秘密計算システム１００は、データ提供者から提供を受けた秘匿データを３つの秘密計算サーバ１１０，１２０，１３０に秘密分散し、秘匿データの内容および計算過程を秘匿したまま計算結果のみをデータ分析者へ提供することが可能なシステムである。つまり、秘密計算システム１００は、第１実施形態の技術思想を秘密分散方式に適用した構成である。ただし、ここでは秘密計算サーバの個数を３つとしているが、紙面の都合上３つとしているものであり、３つよりも多くの秘密計算サーバを備える構成としても良い。

　図７に示すように、秘密計算サーバ１１０は、秘匿データ保持部１１１と、秘匿キャッシュ部１１２と、演算装置１１４とを備えている。また、秘密計算サーバ１２０は、秘匿データ保持部１２１と、秘匿キャッシュ部１２２と、演算装置１２４とを備えている。また、秘密計算サーバ１３０は、秘匿データ保持部１３１と、秘匿キャッシュ部１３２と、演算装置１３４とを備えている。

　秘匿データ保持部１１１，１２１，１３１は、データ提供者から提供された秘匿データを秘匿処理された状態で保持する記憶装置である。例えば、データ提供者から提供された秘匿データとは、個人情報が該当する。ただし、秘匿データの内容は、必ずしも個人情報に限定されず、秘匿することを希望するデータを秘匿データとして扱うことができる。秘密計算システム１００は、データ提供者から提供された秘匿データをシェアと呼ばれるデータに分割して各秘匿データ保持部１１１，１２１，１３１に格納する。

　秘匿キャッシュ部１１２，１２２，１３２は、秘匿データ保持部１１１，１２１，１３１に保持されている秘匿データを用いて計算処理を行った結果を秘密分散したまま保持するように構成した記憶装置である。なお、秘匿キャッシュ部１１２，１２２，１３２は、秘匿データ保持部１１１，１２１，１３１の記憶領域のうち一部を用いる構成とすることが可能であるが、秘匿データ保持部１１１，１２１，１３１とは物理的に別個の記憶装置として構成することも可能である。秘匿キャッシュ部１１２，１２２，１３２を秘匿データ保持部１１１，１２１，１３１とは物理的に別個の記憶装置として構成する場合、秘匿キャッシュ部１１２，１２２，１３２をより読み書きの処理速度が高いなどキャッシュの機能を実現するために好適な構成を採用することができる。

　また、秘匿キャッシュ部１１２，１２２，１３２は、秘匿データ保持部１１１，１２１，１３１に保持されている秘匿データを用いて計算処理を行った結果を秘密分散したまま保持するだけでなく、計算処理を行った結果と計算処理とを関連付けて保持する。そして、計算処理を検索キーとして、計算処理を行った結果を読み出すことができるようにデータを保持する。

　演算装置１１４，１２４，１３４は、秘密分散されたデータを用いて計算処理（いわゆる秘密計算）を行うように構成した演算装置である。さらに、演算装置１１４，１２４，１３４は、この計算処理の結果を秘匿キャッシュ部１１２，１２２，１３２に保持するか、通常キャッシュ部１４３に保持するかを判断する。例えば、個人情報を秘匿して秘密計算をする場合、計算結果がｋ匿名性を充足しているか否かは、計算結果を用いて判断をする必要があるので、演算装置１１４，１２４，１３４は、秘密計算サーバ１１０，１２０，１３０内で秘匿性判断を行う。

　一方、フロントエンドサーバ１４０は、通常キャッシュ部１４３と、演算装置１４４とを備える計算装置である。

　通常キャッシュ部１４３は、秘匿データ保持部１１１，１２１，１３１に保持されている秘匿データを用いて計算処理を行った結果を秘密分散せず保持する通常の記憶装置である。ここで、通常キャッシュ部１４３に保持されるデータは、いわゆる平文に限定されない。例えば、秘密分散方式とは異なる暗号を施す運用も可能である。また、通常キャッシュ部１４３は、フロントエンドサーバ１４０の記憶領域のうち一部を用いる構成とすることが可能である。

　通常キャッシュ部１４３は、秘匿データ保持部１１１，１２１，１３１に保持されている秘匿データを用いて計算処理を行った結果を秘密分散したまま保持するだけでなく、計算処理を行った結果と計算処理とを関連付けて保持する。そして、計算処理を検索キーとして、計算処理を行った結果を読み出すことができるようにデータを保持する。

　演算装置１４４は、データ分析者から要求された計算処理を分割することや、分割された各計算処理の結果がキャッシュに保持されているかをチェックすることなど、計算装置としての一般的な処理を行う。さらに、演算装置１４４は、この計算処理の結果を秘匿キャッシュ部１１２，１２２，１３２に保持するか、通常キャッシュ部１４３に保持するかを判断する。例えば、平均値や合計値などを計算する場合、計算結果を用いて秘匿性判断をする必要がないので、演算装置１４４は、フロントエンドサーバ１４０内で秘匿性判断を行う。

　ここで、秘密計算システム１００の構成に適用可能な秘密分散方式の秘密計算の例を説明する。ただし、秘密計算システム１００の構成に適用可能な秘密分散方式の秘密計算の例は以下に限定されるものではなく、一般的な秘密分散方式の秘密計算を利用の目的に合わせて選択および改良して用いることが可能である。

　ここでは、ある体上の値である秘密Ｓを、この体上の多項式ＦでＦ（０）＝Ｓとなるものを使って複数の秘密計算サーバに分散する。その際、秘密計算サーバの数をＮ、秘密の個数がＫ未満であれば、関数の入力や出力に関する情報を得ることができないものとなっている。秘密計算サーバごとに異なるこの体上の値が割り当てられているとし、ｉ番目の装置に割り当てられている体の値をＸ［ｉ］とする（なお、１≦ｉ≦Ｎとする）。

　秘密Ａをこれら複数の秘密計算サーバに分散する際、各ｉ番目の装置にはＦ（０）＝Ａとなるランダムに選ばれた（Ｋ－１）次多項式Ｆに関する、Ｆ［ｉ］：＝Ｆ（Ｘ［ｉ］）を配布する。秘密Ｂに関しても同様に、Ｇ（０）＝Ｂなる（Ｋ－１）次多項式Ｇに関する、Ｇ［ｉ］：＝Ｇ（Ｘ［ｉ］）を各ｉ番目の秘密計算サーバに配布する。ここで、秘密は、Ｋ個以上の装置が集まれば（Ｋ－１）次多項式を解くことが可能となり、ＦやＧの係数を求めることができ、Ｆ（０）やＧ（０）が計算可能となる。

　秘密ＡとＢの加算Ａ＋Ｂを各秘密計算サーバに分散した値により計算するには、各ｉ番目の装置はＨ［ｉ］＝Ｆ［ｉ］＋Ｇ［ｉ］を計算する。この値は、多項式ＦとＧのそれぞれに対応する係数を足したものを係数とする多項式Ｈに、Ｘ［ｉ］を代入して得られた値Ｈ（Ｘ［ｉ］）と等しいので、秘密Ａや秘密Ｂと同様にＡ＋Ｂを複数の秘密計算サーバに分散したものとなる。秘密Ａや秘密Ｂの場合と同様に、Ｋ個以上の秘密計算サーバが集まれば（Ｋ－１）次多項式を解くことが可能で、Ｈの係数を求めることができ、Ｈ（０）を計算することが可能になる。

　さらに、Ｋ＊２≦Ｎ＋１という条件の下で、秘密ＡとＢの乗算Ａ＊Ｂを分散した値により計算するには、各ｉ番目の秘密計算サーバがＨ［ｉ］＝Ｆ［ｉ］＊Ｇ［ｉ］を計算する。この値は、２Ｋ次多項式Ｈ（Ｘ）＝Ｆ（Ｘ）＊Ｇ（Ｘ）にＸ［ｉ］を代入して得られた値Ｈ（Ｘ［ｉ］）と等しいので、秘密Ａや秘密Ｂと同様にＡ＊Ｂを複数の秘密計算サーバに分散したものとなる。ただし、秘密Ａや秘密Ｂの場合とは異なりＨの次数は２Ｋとなるので、２Ｋ個以上の秘密計算サーバが集まれば２Ｋ次多項式を解くことが可能で、Ｈの係数を求めることができ、Ｈ（０）が計算可能となる。このように、Ａ＊Ｂの分散方法は、秘密Ａや秘密Ｂとは分散のされ方が異なる。

　Ａ＊Ｂを秘密Ａや秘密Ｂと同様に、（Ｋ－１）次多項式を用いた形で分散するには、それぞれｉ番目の装置がＨ［ｉ］から（Ｋ－１）次多項式Ｇを生成し、他のそれぞれｊ番目の装置にＧ［Ｘ（ｊ）］を配布することで実現できる。このようにして、秘密分散方式の秘密計算では、加算と乗算からなる全ての関数が計算可能となる。

　秘密分散方式の秘密計算では、元データに対する計算の結果を、分割されたデータに対して計算することによって行うことを可能としている。つまり、各秘密計算サーバにおいて計算された内容を合わせると、元データに対する計算結果が得られる。なお、原則として、分割された個々のデータからは元データを復元不可能なため、特定の秘密計算サーバの管理者が信頼できない場合にも堅牢であり、また計算過程でデータを復元する必要が無いため計算途中の漏洩にも堅牢である。

　図８は、各サーバのハードウェア構成例を示す図である。すなわち、図８に示すハードウェア構成例は、秘密計算システム１００が備える秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０のハードウェア構成例である。図８に示すハードウェア構成を採用した情報処理装置は、図４に示す秘密計算方法をプログラムとして実行することで、秘密計算システム１００が備える秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０の機能を実現することを可能にする。

　ただし、図８に示すハードウェア構成例は、秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０の機能を実現するハードウェア構成の一例であり、秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０のハードウェア構成を限定する趣旨ではない。秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０は、図８に示さないハードウェアを含むことができる。

　図８に示すように、秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０が採用し得るハードウェア構成１０１は、例えば内部バスにより相互に接続される、ＣＰＵ（Ｃｅｎｔｒａｌ　Ｐｒｏｃｅｓｓｉｎｇ　Ｕｎｉｔ）１０２、主記憶装置１０３、補助記憶装置１０４、およびＩＦ（Ｉｎｔｅｒｆａｃｅ）部１０５を備える。

　ＣＰＵ１０２は、秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０が実行する秘密計算プログラムなどの各種プログラムを実行する。主記憶装置１０３は、例えばＲＡＭ（Ｒａｎｄｏｍ　Ａｃｃｅｓｓ　Ｍｅｍｏｒｙ）であり、秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０が実行する秘密計算プログラムなどの各種プログラムなどをＣＰＵ１０２が処理するために一時記憶する。

　補助記憶装置１０４は、例えば、ＨＤＤ（Ｈａｒｄ　Ｄｉｓｋ　Ｄｒｉｖｅ）であり、秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０が実行する秘密計算プログラムなどの各種プログラムなどを中長期的に記憶しておくことが可能である。秘密計算プログラムなどの各種プログラムは、非一時的なコンピュータ可読記録媒体（ｎｏｎ－ｔｒａｎｓｉｔｏｒｙ　ｃｏｍｐｕｔｅｒ－ｒｅａｄａｂｌｅ　ｓｔｏｒａｇｅ　ｍｅｄｉｕｍ）に記録されたプログラム製品として提供することができる。補助記憶装置１０４は、非一時的なコンピュータ可読記録媒体に記録された秘密計算プログラムなどの各種プログラムを中長期的に記憶することに利用することが可能である。

　ＩＦ部１０５は、各サーバ間の入出力に関するインターフェイスを提供する。

　上記のようなハードウェア構成１０１を採用した情報処理装置は、図４に示す秘密計算方法をプログラムとして実行することで、秘密計算システム１００が備える秘密計算サーバ１１０，１２０，１３０およびフロントエンドサーバ１４０の機能を実現する。

　上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
　秘匿処理されたデータを用いて計算処理を行った結果を前記秘匿処理したまま保持する秘匿キャッシュ部と、
　前記秘匿処理されたデータを用いて計算処理を行った結果を前記秘匿処理せず保持する通常キャッシュ部と、
　前記計算処理の結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第１秘匿性判断部と、
　を備えることを特徴とする秘密計算システム。
［付記２］
　前記秘匿処理されたデータは、複数のサーバに秘密分散されたものであり、
　前記秘匿キャッシュ部は、前記複数のサーバの各々に設けられている、
　ことを特徴とする付記１に記載の秘密計算システム。
［付記３］
　前記第１秘匿性判断部は、前記複数のサーバの各々に設けられている、ことを特徴とする付記２に記載の秘密計算システム。
［付記４］
　前記通常キャッシュ部は、前記秘匿キャッシュ部を備えるサーバとは異なる計算装置に設けられている、ことを特徴とする付記１から付記３のいずれか１に記載の秘密計算システム。
［付記５］
　前記計算処理の結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第２秘匿性判断部を前記通常キャッシュ部と同一のサーバに備えていることを特徴とする付記４に記載の秘密計算システム。
［付記６］
　前記秘匿キャッシュ部および前記通常キャッシュ部は、前記計算処理を行った結果と前記計算処理とを関連付けて保持することを特徴とする付記１から付記５のいずれか１に記載の秘密計算システム。
［付記７］
　前記第１秘匿性判断部は、前記計算処理の結果が個人情報であるか否かで、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする付記１から付記６のいずれか１に記載の秘密計算システム。
［付記８］
　前記第１秘匿性判断部は、前記計算処理の結果がｋ匿名性を満たすか否かに基づいて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする付記１から付記６のいずれか１に記載の秘密計算システム。
［付記９］
　前記第１秘匿性判断部は、前記計算処理の結果がｌ多様性を満たすか否かに基づいて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする付記１から付記６のいずれか１に記載の秘密計算システム。
［付記１０］
　前記第１秘匿性判断部は、前記秘匿キャッシュ部の容量に応じたしきい値を用いて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする付記１から付記６のいずれか１に記載の秘密計算システム。
［付記１１］
　前記第１秘匿性判断部は、前記計算処理の処理時間が大きいものを優先的に、前記秘匿キャッシュ部に保持するように判断することを特徴とする付記１から付記６のいずれか１に記載の秘密計算システム。
［付記１２］
　秘匿処理されたデータを用いて計算処理を行った結果を、前記秘匿処理したまま保持する秘匿キャッシュ部と前記秘匿処理せず保持する通常キャッシュ部とを備える秘密計算システムを用いて行う秘密計算方法であって、
　前記秘匿処理されたデータを用いて計算処理を行う秘密計算ステップと、
　前記秘密計算ステップの結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する秘匿性判断ステップと、
　を有する秘密計算方法。
［付記１３］
　前記秘匿性判断ステップは、前記秘密計算ステップの後に行われることを特徴とする付記１２に記載の秘密計算方法。
［付記１４］
　前記秘匿性判断ステップは、前記秘密計算ステップの前に行われることを特徴とする付記１２に記載の秘密計算方法。
［付記１５］
　秘匿処理されたデータを用いて計算処理を行った結果を、前記秘匿処理したまま保持する秘匿キャッシュ部と前記秘匿処理せず保持する通常キャッシュ部とを備える秘密計算システムが実行する秘密計算プログラムであって、
　前記秘匿処理されたデータを用いて計算処理を行う秘密計算ステップと、
　前記秘密計算ステップの結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第１秘匿性判断ステップと、
　を有する秘密計算プログラム。
［付記１６］
　前記秘匿処理されたデータは、複数のサーバに秘密分散されたものであり、
　前記秘匿キャッシュ部は、前記複数のサーバの各々に設けられている、
　ことを特徴とする付記１５に記載の秘密計算プログラム。
［付記１７］
　前記第１秘匿性判断ステップは、前記複数のサーバの各々が実行することを特徴とする付記１６に記載の秘密計算プログラム。
［付記１８］
　前記通常キャッシュ部は、前記秘匿キャッシュ部を備えるサーバとは異なる計算装置に設けられている、ことを特徴とする付記１５から付記１７のいずれか１に記載の秘密計算プログラム。
［付記１９］
　前記計算装置が、前記秘密計算ステップの結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第２秘匿性判断ステップを有することを特徴とする付記１８に記載の秘密計算プログラム。
［付記２０］
　前記計算処理を行った結果と前記秘密計算ステップとを関連付けて前記秘匿キャッシュ部または前記通常キャッシュ部に保持するキャッシュステップを有することを特徴とする付記１５から付記１９のいずれか１に記載の秘密計算プログラム。
［付記２１］
　前記第１秘匿性判断ステップは、前記秘密計算ステップの結果が個人情報であるか否かで、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする付記１５から付記２０のいずれか１に記載の秘密計算プログラム。
［付記２２］
　前記第１秘匿性判断ステップは、前記秘密計算ステップの結果がｋ匿名性を満たすか否かに基づいて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする付記１５から付記２０のいずれか１に記載の秘密計算プログラム。
［付記２３］
　前記第１秘匿性判断ステップは、前記秘密計算ステップの結果がｌ多様性を満たすか否かに基づいて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする付記１５から付記２０のいずれか１に記載の秘密計算プログラム。
［付記２４］
　前記第１秘匿性判断ステップは、前記秘匿キャッシュ部の容量に応じたしきい値を用いて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする付記１５から付記２０のいずれか１に記載の秘密計算プログラム。
［付記２５］
　前記第１秘匿性判断ステップは、前記計算処理の処理時間が大きいものを優先的に、前記秘匿キャッシュ部に保持するように判断することを特徴とする付記１５から付記２０のいずれか１に記載の秘密計算プログラム。

　なお、上記の非特許文献の各開示は、本書に引用をもって繰り込み記載されているものとし、必要に応じて本発明の基礎ないし一部として用いることが出来るものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るだろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。

　１０，１００　秘密計算システム
　１０１　ハードウェア構成
　１０２　ＣＰＵ
　１０３　主記憶装置
　１０４　補助記憶装置
　１０５　ＩＦ部
　１１，１１１，１２１，１３１　秘匿データ保持部
　１２，１１２，１２２，１３２　秘匿キャッシュ部
　１３，１４３　通常キャッシュ部
　１４，１１４，１２４，１３４，１４４　演算装置
　１１０，１２０，１３０　秘密計算サーバ
　１４０　フロントエンドサーバ

Claims (25)

1. 　秘匿処理されたデータを用いて計算処理を行った結果を前記秘匿処理したまま保持する秘匿キャッシュ部と、
   　前記秘匿処理されたデータを用いて計算処理を行った結果を前記秘匿処理せず保持する通常キャッシュ部と、
   　前記計算処理の結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第１秘匿性判断部と、
   　を備えることを特徴とする秘密計算システム。
2. 　前記秘匿処理されたデータは、複数のサーバに秘密分散されたものであり、
   　前記秘匿キャッシュ部は、前記複数のサーバの各々に設けられている、
   　ことを特徴とする請求項１に記載の秘密計算システム。
3. 　前記第１秘匿性判断部は、前記複数のサーバの各々に設けられている、ことを特徴とする請求項２に記載の秘密計算システム。
4. 　前記通常キャッシュ部は、前記秘匿キャッシュ部を備えるサーバとは異なる計算装置に設けられている、ことを特徴とする請求項１から請求項３のいずれか１項に記載の秘密計算システム。
5. 　前記計算処理の結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第２秘匿性判断部を前記通常キャッシュ部と同一のサーバに備えていることを特徴とする請求項４に記載の秘密計算システム。
6. 　前記秘匿キャッシュ部および前記通常キャッシュ部は、前記計算処理を行った結果と前記計算処理とを関連付けて保持することを特徴とする請求項１から請求項５のいずれか１項に記載の秘密計算システム。
7. 　前記第１秘匿性判断部は、前記計算処理の結果が個人情報であるか否かで、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする請求項１から請求項６のいずれか１項に記載の秘密計算システム。
8. 　前記第１秘匿性判断部は、前記計算処理の結果がｋ匿名性を満たすか否かに基づいて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする請求項１から請求項６のいずれか１項に記載の秘密計算システム。
9. 　前記第１秘匿性判断部は、前記計算処理の結果がｌ多様性を満たすか否かに基づいて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする請求項１から請求項６のいずれか１項に記載の秘密計算システム。
10. 　前記第１秘匿性判断部は、前記秘匿キャッシュ部の容量に応じたしきい値を用いて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする請求項１から請求項６のいずれか１項に記載の秘密計算システム。
11. 　前記第１秘匿性判断部は、前記計算処理の処理時間が大きいものを優先的に、前記秘匿キャッシュ部に保持するように判断することを特徴とする請求項１から請求項６のいずれか１項に記載の秘密計算システム。
12. 　秘匿処理されたデータを用いて計算処理を行った結果を、前記秘匿処理したまま保持する秘匿キャッシュ部と前記秘匿処理せず保持する通常キャッシュ部とを備える秘密計算システムを用いて行う秘密計算方法であって、
    　前記秘匿処理されたデータを用いて計算処理を行う秘密計算ステップと、
    　前記秘密計算ステップの結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する秘匿性判断ステップと、
    　を有する秘密計算方法。
13. 　前記秘匿性判断ステップは、前記秘密計算ステップの後に行われることを特徴とする請求項１２に記載の秘密計算方法。
14. 　前記秘匿性判断ステップは、前記秘密計算ステップの前に行われることを特徴とする請求項１２に記載の秘密計算方法。
15. 　秘匿処理されたデータを用いて計算処理を行った結果を、前記秘匿処理したまま保持する秘匿キャッシュ部と前記秘匿処理せず保持する通常キャッシュ部とを備える秘密計算システムが実行する秘密計算プログラムであって、
    　前記秘匿処理されたデータを用いて計算処理を行う秘密計算ステップと、
    　前記秘密計算ステップの結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第１秘匿性判断ステップと、
    　を有する秘密計算プログラム。
16. 　前記秘匿処理されたデータは、複数のサーバに秘密分散されたものであり、
    　前記秘匿キャッシュ部は、前記複数のサーバの各々に設けられている、
    　ことを特徴とする請求項１５に記載の秘密計算プログラム。
17. 　前記第１秘匿性判断ステップは、前記複数のサーバの各々が実行することを特徴とする請求項１６に記載の秘密計算プログラム。
18. 　前記通常キャッシュ部は、前記秘匿キャッシュ部を備えるサーバとは異なる計算装置に設けられている、ことを特徴とする請求項１５から請求項１７のいずれか１項に記載の秘密計算プログラム。
19. 　前記計算装置が、前記秘密計算ステップの結果を前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断する第２秘匿性判断ステップを有することを特徴とする請求項１８に記載の秘密計算プログラム。
20. 　前記計算処理を行った結果と前記秘密計算ステップとを関連付けて前記秘匿キャッシュ部または前記通常キャッシュ部に保持するキャッシュステップを有することを特徴とする請求項１５から請求項１９のいずれか１項に記載の秘密計算プログラム。
21. 　前記第１秘匿性判断ステップは、前記秘密計算ステップの結果が個人情報であるか否かで、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする請求項１５から請求項２０のいずれか１項に記載の秘密計算プログラム。
22. 　前記第１秘匿性判断ステップは、前記秘密計算ステップの結果がｋ匿名性を満たすか否かに基づいて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする請求項１５から請求項２０のいずれか１項に記載の秘密計算プログラム。
23. 　前記第１秘匿性判断ステップは、前記秘密計算ステップの結果がｌ多様性を満たすか否かに基づいて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする請求項１５から請求項２０のいずれか１項に記載の秘密計算プログラム。
24. 　前記第１秘匿性判断ステップは、前記秘匿キャッシュ部の容量に応じたしきい値を用いて、前記秘匿キャッシュ部に保持するか、前記通常キャッシュ部に保持するかを判断することを特徴とする請求項１５から請求項２０のいずれか１項に記載の秘密計算プログラム。
25. 　前記第１秘匿性判断ステップは、前記計算処理の処理時間が大きいものを優先的に、前記秘匿キャッシュ部に保持するように判断することを特徴とする請求項１５から請求項２０のいずれか１項に記載の秘密計算プログラム。

Images