WO2023157117A1

WO2023157117A1 - 秘密計算装置、秘密計算方法、プログラム

Info

Publication number: WO2023157117A1
Application number: PCT/JP2022/006127
Authority: WO
Inventors: 弘貴須藤
Original assignee: 日本電信電話株式会社
Priority date: 2022-02-16
Filing date: 2022-02-16
Publication date: 2023-08-24
Also published as: JPWO2023157117A1

Abstract

秘密計算装置は、{g^→}のs+1番目の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成する前半ウィンドウフレームフラグ列生成部と、{g^→}のi+1番目からt番目までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成する後半ウィンドウフレームフラグ列生成部と、前半ウィンドウフレームフラグ列{w^f→}を前方から、後半ウィンドウフレームフラグ列{w^l→}を後方から、{0}を挟み込んで結合することによりウィンドウフレームフラグ列{w^→}を生成するウィンドウフレームフラグ列生成部を含む。

Description

秘密計算装置、秘密計算方法、プログラム

　本発明は、データベースを秘密計算する秘密計算装置、秘密計算方法、プログラムに関する。

　Window関数はキー属性でレコードをグループ分けしたうえで、各行を基準として、指定する幅の「窓」内で集計等を行う関数である。例えば前後１列を集計対象とした合計の場合、表１に示す入出力となる。このとき、別グループの値は合計されていないことに注意する。

　
　Window関数に類似する機能としてGroup by機能があるが、Group by機能はグループごとに一つの値に集約するのに対し、Window関数は各行に対して窓枠内での集計が行われ結果が出力される点で異なる。Group Byに関する従来技術として、特許文献１、非特許文献１がある。

特許第６９８９００６号公報

菊池亮、濱田浩気、五十嵐大、高橋元、「横断的動線分析を秘密計算でやってみよう」、In SCIS2020（2020年暗号と情報セキュリティシンポジウム）、pp. 1-8, 2020.

　Window関数を秘密計算上で実現する手法については何れの文献にも報告されていない。SQL機能のうちWindow関数はキー属性でグループ分けしたうえで、さらに窓枠内で集計する必要がある。しかし、秘密計算で実現する場合、グループ分け及び窓枠の境界を暗号化したまま中身を見ずに計算する点が課題となる。

　そこで本発明では、低コストの演算でWindow関数を秘密計算上で実行するためのウィンドウフレームフラグ列を生成することができる秘密計算装置を提供することを目的とする。

　本発明の秘密計算装置は、属性の列であるキー列k^→と、値の列であるデータ列v^→を含むデータベースを秘匿したまま演算する秘密計算装置である。

　グループフラグ列g^→はキー列の値が変わる位置において値が１となり、それ以外の位置については値が０となるベクトルを表すものとし、値xの複製秘密分散によるシェアを{x}と表すものとし、現在の行番号をi、窓枠開始位置をs、窓枠終了位置をtと表すものとし、キー列およびデータ列の行数をlとし、現在の行番号iは0以上l未満の範囲において全てのフラグ列生成処理が１回終了するごとに1ずつインクリメントされるものとする。

　本発明の秘密計算装置は、前半ウィンドウフレームフラグ列生成部と、後半ウィンドウフレームフラグ列生成部と、ウィンドウフレームフラグ列生成部を含む。

　前半ウィンドウフレームフラグ列生成部は、{g^→}のs+1番目の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成する。

　後半ウィンドウフレームフラグ列生成部は、{g^→}のi+1番目からt番目までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成する。

　ウィンドウフレームフラグ列生成部は、前半ウィンドウフレームフラグ列{w^f→}を前方から、後半ウィンドウフレームフラグ列{w^l→}を後方から、{0}を挟み込んで結合することによりウィンドウフレームフラグ列{w^→}を生成する。

　本発明の秘密計算装置によれば、低コストの演算でWindow関数を秘密計算上で実行するためのウィンドウフレームフラグ列を生成することができる。

実施例１の秘密計算装置の機能構成を示すブロック図。実施例１の秘密計算装置のWindow関数のMax演算動作を示すフローチャート。実施例１の秘密計算装置のWindow関数のMin演算動作を示すフローチャート。変形例４の秘密計算装置の機能構成を示すブロック図。変形例４の秘密計算装置の動作を示すフローチャート。コンピュータの機能構成例を示す図。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

＜記法＞
　ベクトルをv^→と記述する。ベクトルのi番目の要素はv_i ^→で表す。v^→|u^→はベクトルv^→の末尾へのu^→の結合を表す。σ(v^→)はv^→ベクトルをσにより置換したベクトルを表す。

　また、ベクトルv^→のiからj番目までの要素のベクトルv'^→を抜き出す操作をv'^→←subVector(v^→,i,j)と表す。

　c←max(a,b)は平文での計算で平文a,bのうち値が大きい方を出力する。c←min(a,b)は平文での計算で平文a,bのうち値が小さい方を出力する。

＜秘密分散＞
　秘密分散とはデータを複数の値に分けて複数パーティに分散する暗号化手法である。以下の実施例の秘密計算装置は(k,n)閾値秘密分散によりデータを暗号化する。(k,n)閾値秘密分散とは、データをn個のランダムな値(シェアと呼ばれる)に分割して、k個以上のシェアを集めると元のデータを復元でき、k個未満のシェアからは元データの情報を得られないような性質を持つ秘密分散法である。具体的には、以下の実施例の秘密計算装置はShamir秘密分散（参考非特許文献１）や複製秘密分散（参考非特許文献２、３）を用いる。

（参考非特許文献１：Adi Shamir. How to share a secret. Communications of the ACM, Vol. 22, No. 11, pp. 612-613, 1979.）
（参考非特許文献２：Mitsuru Ito, Akira Saito, and Takao Nishizeki. Secret sharing scheme realizing general access structure. Electronics and Communications in Japan (Part III: Fundamental Electronic Science), Vol. 72, No. 9, pp. 56-64, 1989.）
（参考非特許文献３：Ronald Cramer, Ivan Damgard, and Yuval Ishai. Share conversion, pseudorandom secret-sharing and applications to secure computation. In Theory of Cryptography Conference, pp. 342-362. Springer,2005.）
　本明細書では値xのShamir秘密分散によるシェアを[[x]]のように表す。値xの複製秘密分散によるシェアを{x}のように表す。複製秘密分散は特に1bitデータの処理に対し効率が良いため、以下の実施例において使い分ける。また、置換σをシェアした値は<σ>と表す。

＜構成要素＞
≪加減算、定数倍≫
　シェア同士の加減算及び定数倍は通信を要さず計算できる。加減算及び定数倍は次のように記述する。

[[x]]+[[y]]、c[[x]]
≪積和演算≫
　a^→とb^→の積和演算を以下のように書く。

[[c]]←PSum([[a^→]],[[b^→]])
≪論理演算≫
　OR演算は、1bitの値a,bの暗号文{a},{b}を入力とし、aORbの計算結果cの暗号文を出力する演算とし、以下のように記述する。

{c}←Or({a},{b})
　AND演算、XOR演算など他の論理演算についても同様に記述する。

≪Prefix/Suffix OR≫
　PrefixORはbit列b^→に対し、先頭から各位置までの全てのORを取ったbit列を返す演算とする。つまり出力をc^→とすると、c_i ^→←c_i-1 ^→ORb_i ^→、ただし、c₀ ^→←b₀ ^→である。これを、{c^→}←PrefixOr({b^→})と書く。SuffixORは逆にc^→の末尾から各位置までの全ビットのORを取ったbit列を返す演算とする。

≪等号判定≫
　等号判定の演算は、a、bの分散値[[a]],[[b]]を入力とし、a==bの真偽値cの分散値を出力する演算とし、以下のように記述する。

{c}←Eq([[a]],[[b]])
≪秘匿安定ソート≫
　秘匿安定ソートは、ベクトルを安定ソートするプロトコルである。秘匿安定ソートは下記のアルゴリズムからなる。＜π＞←GenPerm([[k^→]]):キー列k^→を昇順に安定ソートする置換πを出力する。[[v'^→]]←Sort(＜π＞，[[v^→]]):πをv^→に適用して並び替えた[[v'^→]]を出力する。これを実現する高速な実装方法として参考非特許文献４などが知られている。

（参考非特許文献４：五十嵐大、濱田浩気、菊池亮、千田浩司、「超高速秘密計算ソートの設計と実装：秘密計算がスクリプト言語に並ぶ日」、コンピュータセキュリティシンポジウム2017論文集 2017(2), pp. 1-8, 2017-10-16）
　キー列として複数列の組を用いる場合は、以下のように書くこととする。ただし、先に指定したキーから優先してソートすることとする。

＜π＞←GenPerm([[k₁ ^→]],[[k₂ ^→]])
≪モジュラス変換≫
　1bitの{a}から[[a]]へ変換する処理を下記のように記述する。

[[a]]←ModConv({a})
　具体的には参考非特許文献５の菊池らの手法が知られている。

（参考非特許文献５： Ryo Kikuchi, Dai Ikarashi, Takahiro Matsuda, Koki Hamada, and Koji Chida. Efficient bitdecomposition and modulus-conversion protocols with an honest majority. In Willy Susilo and Guomin Yang, editors, Information Security and Privacy, pp. 64-82, Cham, 2018. Springer International Publishing.）
≪共通処理≫
　共通処理は、キー列とデータ列を与え、出力としてキー列の同じ値でグループ化したときの、グループ先頭要素が１となるフラグ列、グループごとに並び替えられたデータ列、キー列を返す処理である。具体的には菊池らの手法（非特許文献１）により実現できる。以下の実施例で開示する方法と関連が深いため菊池らの手法（非特許文献１）の詳細をAlgorithm 1に示す。

［Algorithm 1：GroupByCommon］
Input：キー列[[k^→]]、データ列[[v^→]]、(ただし、[[k^→]]は行数l、[[v^→]]は行数lとする)
Output：グループ化されたキー列[[k'^→]]、グループ化されたデータ列[[v'^→]]、グループフラグ列{g^→}(ただし、[[k'^→]]は行数l,[[v'^→]]は行数l、{g^→}はグループの先頭位置のときのみ１それ以外０となる長さlのベクトルとする)
1：＜σ＞←GenPerm([[k^→]],[[v^→]])
2：[[k'^→]]←Sort([[k^→]],＜σ＞)
3：[[v'^→]]←Sort([[v^→]],＜σ＞)
4：{eq^→}₀←{0};{g^→}₀←{1}
5：for 1≦i<l do in parallel
6：{eq^→}_i←Eq([[k^→]]_i-1,[[k^→]]_i)
7：{g^→}_i←Not({eq^→}_i)
8：end for
9：return [[k'^→]],[[v'^→]],{g^→}
［Algorithm 1終わり］
　Algorithm 1の１行目は、GenPermによる、キー列k^→、データ列v^→を昇順に秘匿安定ソートする置換σを出力する処理を示している。

　２行目は、σによりキー列[[k^→]]を秘匿安定ソートして、ソート結果[[k'^→]]を出力する処理を示している。

　３行目は、σによりデータ列[[v^→]]を秘匿安定ソートして、ソート結果[[v'^→]]を出力する処理を示している。

　４行目は、ベクトル{eq^→}の先頭の値{eq^→}₀を{0}に設定し、グループフラグ列{g^→}の先頭の値{g^→}₀を{1}に設定する処理を示している。

　５行目は、６～７行目の処理を繰り返し実行することを示している。

　６行目はベクトル{eq^→}のi番目の値{eq^→}_iをEq([[k^→]]_i-1,[[k^→]]_i)、すなわちキー列のi-1番目の値[[k^→]]_i-1とi番目の値[[k^→]]_iが等しければ１、異なれば０とすることを示している。従ってベクトルeq^→はキー列の値の変わり目に差し掛かるまで１が連続し、キー列の値が変わる位置において０となり、次のキー列の値の変わり目まで１が連続することを特徴とするベクトルである。

　７行目はグループフラグ列{g^→}のi番目の値{g^→}_iをNot({eq^→}_i)とする、すなわち、グループフラグ列g^→はキー列の値が変わる位置において値が１となり、それ以外の位置については値が０となるベクトルを表す。

　８行目は繰り返し処理の終了を示しており、９行目はAlgorithm 1の出力であるグループ化されたキー列[[k'^→]]、グループ化されたデータ列[[v'^→]]、グループフラグ列{g^→}を表す。

　以下、本発明独自の手法であり、Window関数を秘密計算上で実行するためのウィンドウフレームフラグ列を生成する手法の詳細をAlgorithm 2に示す。

［Algorithm 2：GenWindowFrame］
Input：グループフラグ列{g^→}、現在行番号i、窓枠開始位置s、窓枠終了位置t(ただし、s≦i≦tとする)
Output：ウィンドウフレームフラグ列{w^→}
1：{w^f→}←SuffixOr(subVector({g^→},s+1,i))
2：{w^l→}←PrefixOr(subVector({g^→},i+1,t))
3：{w^→}←{w^f→}|{0}|{w^l→}
4：return {w^→}
［Algorithm 2終わり］
　Algorithm 2の１行目は、{g^→}の窓枠開始位置の１つ先（s+1番目）の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、SuffixOr、すなわち末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成することを示している。従って、末尾から先頭に向かう途中でキー列の値が変わる位置が出現した場合には、この位置よりも先頭に位置する要素は全て１となるため、1,…,1,0,…,0といった結果になる。

　２行目は、{g^→}のi+1番目から窓枠終了位置（t番目）までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、PrefixOr、すなわち先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成することを示している。従って、先頭から末尾に向かう途中でキー列の値が変わる位置が出現した場合には、この位置よりも末尾に位置する要素は全て１となるため、0,…,0,1,…,1といった結果になる。

　３、４行目は、{w^f→}を前方から、{w^l→}を後方から、{0}を挟み込んで結合することにより{w^→}を生成して出力することを示している。すなわち、{0}は現在の行番号に該当する位置にあたる。ベクトルw^→は、現在の行番号を含むグループに属する要素について値０を示し、現在の行番号を含むグループと異なるグループに属する要素については値１を示すという特徴がある。例えば、現在の行番号にあたる要素を><で挟んで表すものとすると、ベクトルw^→として、1,…,1,0,…,>0<,…,0,1,…,1のような出力例がありうる。

　Window関数のMax演算を計算する手法の詳細を以下のAlgorithm 3に示す。

［Algorithm 3：WindowMax］
Input：キー列[[k^→]]、データ列[[v^→]]、窓枠開始位置オフセットpoffset、窓枠終了位置オフセットfoffset（ただし、[[k^→]]は行数l、[[v^→]]は行数lとする）
Output：グループ化されたキー列[[k'^→]]、集計結果列[[u^→]]（ただし、[[k'^→]]は行数l、[[u^→]]は行数lとする)
1：[[k'^→]]、[[v'^→]]、{g^→}←GroupByCommon([[k^→]],[[v^→]])
2：for 0≦i<l do in parallel
3：s←max(i-poffset,0)
4：t←min(i+foffset,l-1)
5:{w^→}←GenWindowFrame({g^→},i,s,t)
6：{w^max'^→}←{w^→}|{1}
7：{a^max→}₀←{1}
8：for 1≦j<t-s+1 do in parallel
9：{a^max→}_j←{w^max'^→}_j-1
10：{b^max→}_j←Xor({a^max→}_j,{w^max'^→}_j)
11：{m^max'^→}_j←And({b^max→}_j,{w^max'^→}_j)
12：end for
13：{m^max→}←subVector({m^max'^→},1,t-s)
14：[[m^max→]]←ModConv({m^max→})
15：[[u^→]]_i←PSum([[m^max→]],subVector([[v'^→]],s,t))
16：end for
17：return [[k'^→]],[[u^→]]
［Algorithm 3終わり］
　Algorithm 3の１行目は、Algorithm 1により、グループ化されたキー列[[k'^→]]、グループ化されたデータ列[[v'^→]]、グループフラグ列{g^→}を生成する処理を示している。

　２行目は、１６行目までの処理を繰り返し実行することを示している。

　３行目は、i-poffset、すなわち現在行番号iから窓枠開始位置オフセットpoffset分だけオフセットした位置を窓枠開始位置sとし、i-poffsetが0以下になる例外については、全て0として処理するためにs←max(i-poffset,0)として窓枠開始位置sを計算する処理を示している。

　４行目は、i+foffset、すなわち現在行番号iから窓枠終了位置オフセットfoffset分だけオフセットした位置を窓枠終了位置tとし、i+foffsetがl-1以上になる例外については、全てl-1として処理するためにt←min(i+foffset,l-1)として窓枠終了位置tを計算する処理を示している。

　５行目は、Algorithm 2によりウィンドウフレームフラグ列{w^→}を計算する処理を示している。

　６行目は、ウィンドウフレームフラグ列{w^→}の末尾に{1}を結合して末尾補正ウィンドウフレームフラグ列{w^max'^→}を生成する処理を示している。６行目で末尾に付加される１は番兵のような役割を果たし、元のbit列の最後に１がない場合の例外処理に対応している。

　７行目は、後のXor演算に用いるための右ローテートフラグ列{a^max→}の０行目に{1}を設定する処理を示している。

　８行目は、９～１２行目までの処理を繰り返し実行することを示している。

　９行目は、右ローテートフラグ列{a^max→}の１行目からt-s行目までの要素を{w^max'^→}の０行目からt-s-1行目までの要素として右ローテートフラグ列{a^max→}を生成する処理を示している。従って、{a^max→}はおおむね{w^max'^→}の各要素を右方向に１列ずらしたフラグ列となっており、例えばw^max'^→=(1,1,1,0,0,0,1,1,1,1)である場合には、a^max→=(1,1,1,1,0,0,0,1,1,1)となり、各要素の値が全て右方向に１列ずれた結果となる。ただしこの場合のa^max→の０行目はAlgorithm 3の７行目の処理により１とされており、w^max'^→の末尾の要素はa^max→には残らない。

　１０行目は、右ローテートフラグ列{a^max→}と末尾補正ウィンドウフレームフラグ列{w^max'^→}のXOR演算を行って、右ローテート境界フラグ列{b^max→}を生成する処理を示している。例えば、上述のw^max'^→=(1,1,1,0,0,0,1,1,1,1)、a^max→=(1,1,1,1,0,0,0,1,1,1)の場合、b^max→=(0,0,0,1,0,0,1,0,0,0)となるため、グループ境界を抽出できていることがわかる。

　１１行目は、右ローテート境界フラグ列{b^max→}と末尾補正ウィンドウフレームフラグ列{w^max'^→}のAND演算を行って、末尾フラグ列{m^max'^→}を生成する処理を示している。例えば、上述のw^max'^→=(1,1,1,0,0,0,1,1,1,1)、b^max→=(0,0,0,1,0,0,1,0,0,0)の例の場合、AND演算により、m^max'^→=(0,0,0,0,0,0,1,0,0,0)となり、グループの末尾の位置のみを特定できていることがわかる。

　１２行目は繰り返し処理の終了を示しており、１３行目は、{m^max'^→}の１行目の要素から、t-s行までの要素を抜き出してなるsubVector({m^max'^→},1,t-s)を最大値抽出フラグ列{m^max→}として生成することを示している。

　１４行目は、複製秘密分散のシェアであった{m^max→}をShamir秘密分散のシェア[[m^max→]]に変換する処理を示している。１４行目は、続く１５行目におけるPSum処理を実行するために行われる。

　１５行目は、昇順にソートされたデータ列[[v'^→]]の窓枠開始位置sから窓枠終了位置tまでの要素を抜き出したsubVector([[v'^→]],s,t)と[[m^max→]]のPSumを実行することを示している。これにより、グループの末尾の位置のみ積として値が残り、その他の積は全て０となるので、集計結果列[[u^→]]はグループ末尾に現れるMAX値を示すものである。

　１６行目は繰り返し処理の終了を示しており、１７行目は、グループ化されたキー列[[k'^→]]、集計結果列[[u^→]]を出力する処理を示している。

　１行目でGroupByCommonを実行することにより、データ列はグループ内で昇順にソートされている。そのため、窓枠内のMaxを計算するためにはグループ内かつ窓枠内の末尾の要素を取得できれば良い。

　まず、５行目において集計対象となる位置が０、そうでない位置が１となるようなフラグ列である{w^→}を生成する。{g^→}は非特許文献１ではグループ末尾の要素が１で示されるフラグ列となっているが、グループの境界に紐づくフラグと捉えると、グループ境界が１で示されるようなビット列ととらえ直すことができる。すると、Algorithm 2に示した通り、上下方向にSuffix/Prefix ORを取ることでグループ境界を越えた要素が１となるようなフラグ列を生成することができる。ただし、現在行については常に集計対象とするため初期値０とする。

　このフラグ列を利用し、６～１２行目ではそのような要素に対応する位置が１となるフラグ列を計算している。生成方法からw^→は０個以上の１の後に１個以上の０が並び、そのあとに０個以上の１が並ぶ。窓枠の端は１と０の切り替わる箇所であるため、元のビット列と１つローテートしたビット列とでXOR,ANDを計算することにより必要なフラグ列{m^max'^→}を計算することができる。

　回転の方向により先頭または末尾いずれかを取得することができ、昇順にソートされている場合Max値に対応するのは末尾であるため、右にローテートする。１５行目ではMaxの位置が１となっているフラグ列を用いてMaxの値を取得している。愚直な方法では、ベクトル[[v'^→]]に対して順にIfThen(乗算を要する)を適用するが、PSumを用いることにより計算コストのみならず、通信量も削減できる。

次に、Window関数のMin演算を計算する手法の詳細を以下のAlgorithm 4に示す。

［Algorithm 4：WindowMin］
Input：キー列[[k^→]]、データ列[[v^→]]、窓枠開始位置オフセットpoffset、窓枠終了位置オフセットfoffset(ただし、[[k^→]]は行数l,[[v^→]]は行数lとする)
Output：グループ化されたキー列[[k'^→]]、集計結果列[[u^→]](ただし、[[k'^→]]は行数l,[[u^→]]は行数lとする)
1：[[k'^→]]、[[v'^→]]、{g^→}←GroupByCommon([[k^→]],[[v^→]])
2：for 0≦i<l do in parallel
3：s←max(i-poffset,0)
4：t←min(i+foffset,l-1)
5：{w^→}←GenWindowFrame({g^→},i,s,t)
6：{w^min'^→}←{1}|{w^→}
7：{a^min→}_t-s-1←{1}
8：for 0≦j<t-s do in parallel
9：{a^min→}_j←{w^min'^→}_j+1
10：{b^min→}_j←Xor({a^min→}_j,{w^min'^→}_j)
11：{m^min'^→}_j←And({b^min→}_j,{w^min'^→}_j)
12：end for
13：{m^min→}←subVector({m^min'^→},0,t-s-1)
14：[[m^min→]]←ModConv({m^min→})
15：[[u^→]]_i←PSum([[m^min→]],subVector([[v'^→]],s,t))
16：end for
17：return [[k'^→]],[[u^→]]
［Algorithm 4終わり］
　Algorithm 4はAlgorithm 3と共通する処理が多いため、Algorithm 3と異なる処理のみ説明する。Minの場合、グループ内かつ窓枠内の先頭要素を取得するため、ウィンドウフレームフラグ列{w^→}の先頭に{1}（番兵）を結合して（６行目）先頭補正ウィンドウフレームフラグ列{w^min'^→}を生成する。また、左ローテートフラグ列{a^min→}の０行目からt-s-1行目までの要素を{w^min'^→}の１行目からt-s行目までの要素として左ローテートフラグ列{a^min→}を生成することにより、左にローテートする（９行目）。

　SQLにおいては窓枠開始位置の指定オプションとして、グループ内の最初から始まることを表す”UNBOUNDED PRECEDINGS”、および、窓枠終了位置の指定オプションとして、グループ内の最後までであることを表す”UNBOUNDED PRECEDINGS”がある。グループフラグが公開値でないため、poffset、foffsetをグループ内の最初/最後に指定することはできないが、”UNBOUNDED PRECEDINGS”の場合、窓枠開始位置オフセットをpoffset=-n、”UNBOUNDED FOLLOWING”の場合、窓枠終了位置オフセットfoffset=nとすることで同じ結果を得ることができる。開始/終了位置の指定オプションとして現在行を表す”CURRENT ROW”を指定する場合は窓枠開始位置/終了位置オフセットを０とする。

　以下、図１を参照してAlgorithm 3,4を実行することにより、Window関数のMax/Min演算を実行する実施例１の秘密計算装置の構成を説明する。同図に示すように本実施例の秘密計算装置１は、入力データ記憶部１０Ａと、前半ウィンドウフレームフラグ列生成部１０と、後半ウィンドウフレームフラグ列生成部１１と、ウィンドウフレームフラグ列生成部１２と、末尾補正ウィンドウフレームフラグ列生成部１３１と、右ローテートフラグ列生成部１４１と、右ローテート境界フラグ列生成部１５１と、末尾フラグ列生成部１６１と、最大値抽出フラグ列生成部１７１と、第１シェア変換部１８１と、第１積和演算部１９１と、先頭補正ウィンドウフレームフラグ列生成部１３２と、左ローテートフラグ列生成部１４２と、左ローテート境界フラグ列生成部１５２と、先頭フラグ列生成部１６２と、最小値抽出フラグ列生成部１７２と、第２シェア変換部１８２と、第２積和演算部１９２と、出力データ記憶部１０Ｂを含む構成である。

＜入力データ記憶部１０Ａ＞
　入力データ記憶部１０Ａは、本秘密計算装置に入力されるデータを予め記憶している。本実施例ではAlgorithm 1は既に実行済みであるものとし、入力データ記憶部１０Ａは、グループ化されたキー列[[k'^→]]、グループ化されたデータ列[[v'^→]]、グループフラグ列{g^→}を記憶している。また入力データ記憶部１０Ａは、ユーザが任意に設定するパラメータである窓枠開始位置オフセットpoffset、窓枠終了位置オフセットfoffsetを予め記憶している。

　なお、本秘密計算装置でAlgorithm 1も実行する場合には、入力データ記憶部１０Ａは、キー列[[k^→]]、データ列[[v^→]]、窓枠開始位置オフセットpoffset、窓枠終了位置オフセットfoffsetを予め記憶していればよい。

　以下、図２、図３を参照して、各構成要件の詳細な動作を説明する。

＜前半ウィンドウフレームフラグ列生成部１０＞
　前半ウィンドウフレームフラグ列生成部１０は、Algorithm 3（または4）の３行目から５行目（５行目の参照先のAlgorithm 2の１行目）を、Algorithm 3（または4）の２行目の繰り返し条件に従って実行する。

　具体的には、前半ウィンドウフレームフラグ列生成部１０は、窓枠開始位置s、窓枠終了位置tを取得して、{g^→}のs+1番目の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成する（Ｓ１０）。

＜後半ウィンドウフレームフラグ列生成部１１＞
　後半ウィンドウフレームフラグ列生成部１１は、Algorithm 3（または4）の３行目から５行目（５行目の参照先のAlgorithm 2の２行目）を、Algorithm 3（または4）の２行目の繰り返し条件に従って実行する。

　具体的には、後半ウィンドウフレームフラグ列生成部１１は、窓枠開始位置s、窓枠終了位置tを取得して、{g^→}のi+1番目からt番目までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成する（Ｓ１１）。

＜ウィンドウフレームフラグ列生成部１２＞
　ウィンドウフレームフラグ列生成部１２は、Algorithm 3（または4）の５行目（５行目の参照先のAlgorithm 2の３行目）を、Algorithm 3（または4）の２行目の繰り返し条件に従って実行する。

　具体的には、ウィンドウフレームフラグ列生成部１２は、前半ウィンドウフレームフラグ列{w^f→}を前方から、後半ウィンドウフレームフラグ列{w^l→}を後方から、{0}を挟み込んで結合することによりウィンドウフレームフラグ列{w^→}を生成する（Ｓ１２）。

　以下、本実施例の秘密計算装置１のWindow関数のMax演算動作を説明する（図２参照）。

＜末尾補正ウィンドウフレームフラグ列生成部１３１＞
　末尾補正ウィンドウフレームフラグ列生成部１３１は、Algorithm 3の６行目を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、末尾補正ウィンドウフレームフラグ列生成部１３１は、ウィンドウフレームフラグ列{w^→}の末尾に{1}を結合して末尾補正ウィンドウフレームフラグ列{w^max'^→}を生成する（Ｓ１３１）。

＜右ローテートフラグ列生成部１４１＞
　右ローテートフラグ列生成部１４１は、Algorithm 3の７、９行目を、Algorithm 3の２行目、８行目の繰り返し条件に従って実行する。

　具体的には、右ローテートフラグ列生成部１４１は、右ローテートフラグ列{a^max→}の０行目を{1}とし、右ローテートフラグ列{a^max→}の１行目からt-s行目までの要素を末尾補正ウィンドウフレームフラグ列{w^max'^→}の０行目からt-s-1行目までの要素として右ローテートフラグ列{a^max→}を生成する（Ｓ１４１）。

＜右ローテート境界フラグ列生成部１５１＞
　右ローテート境界フラグ列生成部１５１は、Algorithm 3の１０行目を、Algorithm 3の２行目、８行目の繰り返し条件に従って実行する。

　具体的には、右ローテートフラグ列{a^max→}と末尾補正ウィンドウフレームフラグ列{w^max'^→}のXOR演算を行って、右ローテート境界フラグ列{b^max→}を生成する（Ｓ１５１）。

＜末尾フラグ列生成部１６１＞
　末尾フラグ列生成部１６１は、Algorithm 3の１１行目を、Algorithm 3の２行目、８行目の繰り返し条件に従って実行する。

　具体的には、末尾フラグ列生成部１５１は、右ローテート境界フラグ列{b^max→}と末尾補正ウィンドウフレームフラグ列{w^max'^→}のAND演算を行って、末尾フラグ列{m^max'^→}を生成する（Ｓ１６１）。

＜最大値抽出フラグ列生成部１７１＞
　最大値抽出フラグ列生成部１７１は、Algorithm 3の１３行目を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、最大値抽出フラグ列生成部１７１は、末尾フラグ列{m^max'^→}の１行目の要素からt-s行までの要素を抜き出してなるsubVector({m^max'^→},1,t-s)を最大値抽出フラグ列{m^max→}として生成する（Ｓ１７１）。

＜第１シェア変換部１８１＞
　第１シェア変換部１８１は、Algorithm 3の１４行目を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、第１シェア変換部１８１は、最大値抽出フラグ列{m^max→}を最大値抽出フラグ列[[m^max→]]に変換する（Ｓ１８１）。

＜第１積和演算部１９１＞
　第１積和演算部１９１は、Algorithm 3の１５行目を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、第１積和演算部１９１は、データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と最大値抽出フラグ列[[m^max→]]の積和演算を実行する（Ｓ１９１）。

　以下、本実施例の秘密計算装置１のWindow関数のMin演算動作を説明する（図３参照）。

＜先頭補正ウィンドウフレームフラグ列生成部１３２＞
　先頭補正ウィンドウフレームフラグ列生成部１３２は、Algorithm 4の６行目を、Algorithm 4の２行目の繰り返し条件に従って実行する。

　具体的には、先頭補正ウィンドウフレームフラグ列生成部１３２は、ウィンドウフレームフラグ列{w^→}の先頭に{1}を結合して先頭補正ウィンドウフレームフラグ列{w^min'^→}を生成する（Ｓ１３２）。

＜左ローテートフラグ列生成部１４２＞
　左ローテートフラグ列生成部１４２は、Algorithm 4の７、９行目を、Algorithm 4の２行目、８行目の繰り返し条件に従って実行する。

　具体的には、左ローテートフラグ列生成部１４２は、左ローテートフラグ列{a^min→}のt-s-1行目を{1}とし、左ローテートフラグ列{a^min→}の０行目からt-s-1行目までの要素を先頭補正ウィンドウフレームフラグ列{w^min'^→}の１行目からt-s行目までの要素として左ローテートフラグ列{a^min→}を生成する（Ｓ１４２）。

＜左ローテート境界フラグ列生成部１５２＞
　左ローテート境界フラグ列生成部１５２は、Algorithm 4の１０行目を、Algorithm 4の２行目、８行目の繰り返し条件に従って実行する。

　具体的には、左ローテート境界フラグ列生成部１５２は、左ローテートフラグ列{a^min→}と先頭補正ウィンドウフレームフラグ列{w^min'^→}のXOR演算を行って、左ローテート境界フラグ列{b^min→}を生成する（Ｓ１５２）。

＜先頭フラグ列生成部１６２＞
　先頭フラグ列生成部１６２は、Algorithm 4の１１行目を、Algorithm 4の２行目、８行目の繰り返し条件に従って実行する。

　具体的には、先頭フラグ列生成部１６２は、左ローテート境界フラグ列{b^min→}と先頭補正ウィンドウフレームフラグ列{w^min'^→}のAND演算を行って、先頭フラグ列{m^min'^→}を生成する（Ｓ１６２）。

＜最小値抽出フラグ列生成部１７２＞
　最小値抽出フラグ列生成部１７２は、Algorithm 4の１３行目を、Algorithm 4の２行目の繰り返し条件に従って実行する。

　具体的には、最小値抽出フラグ列生成部１７２は、先頭フラグ列{m^min'^→}の0行目の要素からt-s-1行までの要素を抜き出してなるsubVector({m^min'^→},0,t-s-1)を最小値抽出フラグ列{m^min→}として生成する（Ｓ１７２）。

＜第２シェア変換部１８２＞
　第２シェア変換部１８２は、Algorithm 4の１４行目を、Algorithm 4の２行目の繰り返し条件に従って実行する。

　具体的には、第２シェア変換部１８２は、最小値抽出フラグ列{m^min→}を最小値抽出フラグ列[[m^min→]]に変換する（Ｓ１８２）。

＜第２積和演算部１９２＞
　第２積和演算部１９２は、Algorithm 4の１５行目を、Algorithm 4の２行目の繰り返し条件に従って実行する（Ｓ１９２）。

　具体的には、第２積和演算部１９２は、データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と最小値抽出フラグ列[[m^min→]]の積和演算を実行する（Ｓ１９２）。

＜出力データ記憶部１０Ｂ＞
　出力データ記憶部１０Ｂは、Algorithm 3または4の出力である[[k'^→]]および[[u^→]]を記憶する。

＜変形例＞
　実施例１の秘密計算装置１は、Window関数のMax演算機能、Min演算機能の双方を備えるものとしたが、秘密計算装置としては他の構成も取りうる。

　例えば変形例１の秘密計算装置は、ウィンドウフレームフラグ列の生成機能のみを備える。変形例１の秘密計算装置は、１３１、１４１、１５１、１６１、１７１、１８１、１９１、１３２、１４２、１５２、１６２、１７２、１８２、１９２を含まなくてよい。出力データ記憶部１０Ｂには、Algorithm 2の出力である[w^→]が記憶される。

　変形例１の秘密計算装置によれば、窓枠を表現するフラグを後続の集計処理に利用可能に生成することができる。これを利用すれば、効率的なビット操作やコストの軽い積和演算等により、グループ分けや窓枠情報を暗号化したまま、従来実現されていなかったSQL Window関数の演算を実現することができる。従って変形例１の秘密計算装置は、コンピュータの機能の向上に資する。

　また、例えば変形例２の秘密計算装置は、Window関数のMax演算機能のみを備える。変形例２の秘密計算装置は、１３２、１４２、１５２、１６２、１７２、１８２、１９２を含まなくてよい。

　変形例２の秘密計算装置によれば、効率的なビット操作やコストの軽い積和演算等により、グループ分けや窓枠情報を暗号化したまま、従来実現されていなかったSQL Window関数のMax演算を実現することができる。従って変形例２の秘密計算装置は、コンピュータの機能の向上に資する。

　また、例えば変形例３の秘密計算装置は、Window関数のMin演算機能のみを備える。変形例３の秘密計算装置は、１３１、１４１、１５１、１６１、１７１、１８１、１９１を含まなくてよい。

　変形例３の秘密計算装置によれば、効率的なビット操作やコストの軽い積和演算等により、グループ分けや窓枠情報を暗号化したまま、従来実現されていなかったSQL Window関数のMin演算を実現することができる。従って変形例３の秘密計算装置は、コンピュータの機能の向上に資する。

　また、図４、図５に示すように、秘密計算装置は、秘匿化前のデータにより構成されるデータベース２と、データベース２のデータを秘匿化するデータ秘匿化部３と、秘密計算装置１と同じ処理を実行する秘密計算部１により構成されてもよい（変形例４の秘密計算装置１００、ステップＳ３、Ｓ１）。

＜補記＞
　本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、ＣＰＵ（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるＲＡＭやＲＯＭ、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、ＣＰＵ、ＲＡＭ、ＲＯＭ、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、ＣＤ－ＲＯＭなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

　ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるＲＯＭに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、ＲＡＭや外部記憶装置などに適宜に記憶される。

　ハードウェアエンティティでは、外部記憶装置（あるいはＲＯＭなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にＣＰＵで解釈実行・処理される。その結果、ＣＰＵが所定の機能（上記、…部、…手段などと表した各構成要件）を実現する。

　本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

　既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

　上述の各種の処理は、図６に示すコンピュータ１００００の記録部１００２０に、上記方法の各ステップを実行させるプログラムを読み込ませ、制御部１００１０、入力部１００３０、出力部１００４０などに動作させることで実施できる。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ－ＲＡＭ（Random Access Memory）、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ－Ｒ（Recordable）／ＲＷ（ReWritable）等を、光磁気記録媒体として、ＭＯ（Magneto-Optical disc）等を、半導体メモリとしてＥＥＰ－ＲＯＭ（Electrically Erasable and Programmable－Read Only Memory）等を用いることができる。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　属性の列であるキー列k^→と、値の列であるデータ列v^→を含むデータベースを秘匿したまま演算する秘密計算装置であって、
　グループフラグ列g^→は前記キー列の値が変わる位置において値が１となり、それ以外の位置については値が０となるベクトルを表すものとし、
　値xの複製秘密分散によるシェアを{x}と表すものとし、
　現在の行番号をi、窓枠開始位置をs、窓枠終了位置をtと表すものとし、
　前記キー列および前記データ列の行数をlとし、現在の行番号iは0以上l未満の範囲において全てのフラグ列生成処理が１回終了するごとに1ずつインクリメントされるものとし、
　{g^→}のs+1番目の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成する前半ウィンドウフレームフラグ列生成部と、
　{g^→}のi+1番目からt番目までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成する後半ウィンドウフレームフラグ列生成部と、
　前記前半ウィンドウフレームフラグ列{w^f→}を前方から、前記後半ウィンドウフレームフラグ列{w^l→}を後方から、{0}を挟み込んで結合することによりウィンドウフレームフラグ列{w^→}を生成するウィンドウフレームフラグ列生成部を含む
　秘密計算装置。
　請求項１に記載の秘密計算装置であって、
　値xのShamir秘密分散によるシェアを[[x]]と表すものとし、
　前記ウィンドウフレームフラグ列{w^→}の末尾に{1}を結合して末尾補正ウィンドウフレームフラグ列{w^max'^→}を生成する末尾補正ウィンドウフレームフラグ列生成部と、
　右ローテートフラグ列{a^max→}の１行目からt-s行目までの要素を前記末尾補正ウィンドウフレームフラグ列{w^max'^→}の０行目からt-s-1行目までの要素として前記右ローテートフラグ列{a^max→}を生成する右ローテートフラグ列生成部と、
　前記右ローテートフラグ列{a^max→}と前記末尾補正ウィンドウフレームフラグ列{w^max'^→}のXOR演算を行って、右ローテート境界フラグ列{b^max→}を生成する右ローテート境界フラグ列生成部と、
　前記右ローテート境界フラグ列{b^max→}と前記末尾補正ウィンドウフレームフラグ列{w^max'^→}のAND演算を行って、末尾フラグ列{m^max'^→}を生成する末尾フラグ列生成部と、
　前記末尾フラグ列{m^max'^→}の１行目の要素からt-s行までの要素を抜き出してなるsubVector({m^max'^→},1,t-s)を最大値抽出フラグ列{m^max→}として生成する最大値抽出フラグ列生成部と、
　前記最大値抽出フラグ列{m^max→}を最大値抽出フラグ列[[m^max→]]に変換するシェア変換部と、
　データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と最大値抽出フラグ列[[m^max→]]の積和演算を実行する積和演算部を含む
　秘密計算装置。
　請求項１に記載の秘密計算装置であって、
　値xのShamir秘密分散によるシェアを[[x]]と表すものとし、
　前記ウィンドウフレームフラグ列{w^→}の先頭に{1}を結合して先頭補正ウィンドウフレームフラグ列{w^min'^→}を生成する先頭補正ウィンドウフレームフラグ列生成部と、
　左ローテートフラグ列{a^min→}の０行目からt-s-1行目までの要素を前記先頭補正ウィンドウフレームフラグ列{w^min'^→}の１行目からt-s行目までの要素として前記左ローテートフラグ列{a^min→}を生成する左ローテートフラグ列生成部と、
　前記左ローテートフラグ列{a^min→}と前記先頭補正ウィンドウフレームフラグ列{w^min'^→}のXOR演算を行って、左ローテート境界フラグ列{b^min→}を生成する左ローテート境界フラグ列生成部と、
　前記左ローテート境界フラグ列{b^min→}と前記先頭補正ウィンドウフレームフラグ列{w^min'^→}のAND演算を行って、先頭フラグ列{m^min'^→}を生成する先頭フラグ列生成部と、
　前記先頭フラグ列{m^min'^→}の0行目の要素からt-s-1行までの要素を抜き出してなるsubVector({m^min'^→},0,t-s-1)を最小値抽出フラグ列{m^min→}として生成する最小値抽出フラグ列生成部と、
　前記最小値抽出フラグ列{m^min→}を最小値抽出フラグ列[[m^min→]]に変換するシェア変換部と、
　データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と最小値抽出フラグ列[[m^min→]]の積和演算を実行する積和演算部を含む
　秘密計算装置。
　属性の列であるキー列k^→と、値の列であるデータ列v^→を含むデータベースを秘匿したまま演算する秘密計算方法であって、
　グループフラグ列g^→は前記キー列の値が変わる位置において値が１となり、それ以外の位置については値が０となるベクトルを表すものとし、
　値xの複製秘密分散によるシェアを{x}と表すものとし、
　現在の行番号をi、窓枠開始位置をs、窓枠終了位置をtと表すものとし、
　前記キー列および前記データ列の行数をlとし、現在の行番号iは0以上l未満の範囲において全てのフラグ列生成処理が１回終了するごとに1ずつインクリメントされるものとし、
　{g^→}のs+1番目の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成するステップと、
　{g^→}のi+1番目からt番目までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成するステップと、
　前記前半ウィンドウフレームフラグ列{w^f→}を前方から、前記後半ウィンドウフレームフラグ列{w^l→}を後方から、{0}を挟み込んで結合することによりウィンドウフレームフラグ列{w^→}を生成するステップを含む
　秘密計算方法。
　請求項４に記載の秘密計算方法であって、
　値xのShamir秘密分散によるシェアを[[x]]と表すものとし、
　前記ウィンドウフレームフラグ列{w^→}の末尾に{1}を結合して末尾補正ウィンドウフレームフラグ列{w^max'^→}を生成するステップと、
　右ローテートフラグ列{a^max→}の１行目からt-s行目までの要素を前記末尾補正ウィンドウフレームフラグ列{w^max'^→}の０行目からt-s-1行目までの要素として前記右ローテートフラグ列{a^max→}を生成するステップと、
　前記右ローテートフラグ列{a^max→}と前記末尾補正ウィンドウフレームフラグ列{w^max'^→}のXOR演算を行って、右ローテート境界フラグ列{b^max→}を生成するステップと、
　前記右ローテート境界フラグ列{b^max→}と前記末尾補正ウィンドウフレームフラグ列{w^max'^→}のAND演算を行って、末尾フラグ列{m^max'^→}を生成するステップと、
　前記末尾フラグ列{m^max'^→}の１行目の要素からt-s行までの要素を抜き出してなるsubVector({m^max'^→},1,t-s)を最大値抽出フラグ列{m^max→}として生成するステップと、
　前記最大値抽出フラグ列{m^max→}を最大値抽出フラグ列[[m^max→]]に変換するステップと、
　データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と最大値抽出フラグ列[[m^max→]]の積和演算を実行するステップを含む
　秘密計算方法。
　請求項４に記載の秘密計算方法であって、
　値xのShamir秘密分散によるシェアを[[x]]と表すものとし、
　前記ウィンドウフレームフラグ列{w^→}の先頭に{1}を結合して先頭補正ウィンドウフレームフラグ列{w^min'^→}を生成するステップと、
　左ローテートフラグ列{a^min→}の０行目からt-s-1行目までの要素を前記先頭補正ウィンドウフレームフラグ列{w^min'^→}の１行目からt-s行目までの要素として前記左ローテートフラグ列{a^min→}を生成するステップと、
　前記左ローテートフラグ列{a^min→}と前記先頭補正ウィンドウフレームフラグ列{w^min'^→}のXOR演算を行って、左ローテート境界フラグ列{b^min→}を生成するステップと、
　前記左ローテート境界フラグ列{b^min→}と前記先頭補正ウィンドウフレームフラグ列{w^min'^→}のAND演算を行って、先頭フラグ列{m^min'^→}を生成するステップと、
　前記先頭フラグ列{m^min'^→}の0行目の要素からt-s-1行までの要素を抜き出してなるsubVector({m^min'^→},0,t-s-1)を最小値抽出フラグ列{m^min→}として生成するステップと、
　前記最小値抽出フラグ列{m^min→}を最小値抽出フラグ列[[m^min→]]に変換するステップと、
　データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と最小値抽出フラグ列[[m^min→]]の積和演算を実行するステップを含む
　秘密計算方法。
　コンピュータを請求項１から３の何れかに記載の秘密計算装置として機能させるプログラム。