WO2023157118A1

WO2023157118A1 - 秘密計算装置、秘密計算方法、プログラム

Info

Publication number: WO2023157118A1
Application number: PCT/JP2022/006128
Authority: WO
Inventors: 弘貴須藤
Original assignee: 日本電信電話株式会社
Priority date: 2022-02-16
Filing date: 2022-02-16
Publication date: 2023-08-24

Abstract

秘密計算装置は、subVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を{w^f→}として生成する前半ウィンドウフレームフラグ列生成部と、subVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を{w^l→}として生成する後半ウィンドウフレームフラグ列生成部と、{w^f→}と{w^l→}を結合することにより{w^→}を生成するウィンドウフレームフラグ列生成部と、{w^→}にNOT演算を行うことにより、{w'^→}を生成する反転ウィンドウフレームフラグ列生成部と、{w'^→}を[[w'^→]]に変換するシェア変換部と、subVector([[v'^→]],s,t)と[[w'^→]]の積和演算を実行する積和演算部を含む。

Description

秘密計算装置、秘密計算方法、プログラム

　本発明は、データベースを秘密計算する秘密計算装置、秘密計算方法、プログラムに関する。

　Window関数はキー属性でレコードをグループ分けしたうえで、各行を基準として、指定する幅の「窓」内で集計等を行う関数である。例えば前後１列を集計対象とした合計の場合、表１に示す入出力となる。このとき、別グループの値は合計されていないことに注意する。

　Window関数に類似する機能としてGroup by機能があるが、Group by機能はグループごとに一つの値に集約するのに対し、Window関数は各行に対して窓枠内での集計が行われ結果が出力される点で異なる。Group Byに関する従来技術として、特許文献１、非特許文献１がある。

特許第６９８９００６号公報

菊池亮、濱田浩気、五十嵐大、高橋元、「横断的動線分析を秘密計算でやってみよう」、In SCIS2020（2020年暗号と情報セキュリティシンポジウム）、pp. 1-8, 2020.

　Window関数を秘密計算上で実現する手法については何れの文献にも報告されていない。SQL機能のうちWindow関数はキー属性でグループ分けしたうえで、さらに窓枠内で集計する必要がある。しかし、秘密計算で実現する場合、グループ分け及び窓枠の境界を暗号化したまま中身を見ずに計算する点が課題となる。

　そこで本発明では、低コストの演算でWindow関数のSum演算を計算することができる秘密計算装置を提供することを目的とする。

　本発明の秘密計算装置は、属性の列であるキー列k^→と、値の列であるデータ列v^→を含むデータベースを秘匿したまま演算する秘密計算装置である。

　グループフラグ列g^→はキー列の値が変わる位置において値が１となり、それ以外の位置については値が０となるベクトルを表すものとし、値xの複製秘密分散によるシェアを{x}と表すものとし、値xのShamir秘密分散によるシェアを[[x]]と表すものとし、現在の行番号をi、窓枠開始位置をs、窓枠終了位置をtと表すものとし、キー列およびデータ列の行数をlとし、現在の行番号iは0以上l未満の範囲において全てのフラグ列生成処理が１回終了するごとに1ずつインクリメントされるものとする。

　本発明の秘密計算装置は、前半ウィンドウフレームフラグ列生成部と、後半ウィンドウフレームフラグ列生成部と、ウィンドウフレームフラグ列生成部と、反転ウィンドウフレームフラグ列生成部と、シェア変換部と、積和演算部を含む。　前半ウィンドウフレームフラグ列生成部は、{g^→}のs+1番目の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成する。

　後半ウィンドウフレームフラグ列生成部は、{g^→}のi+1番目からt番目までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成する。

　ウィンドウフレームフラグ列生成部は、前半ウィンドウフレームフラグ列{w^f→}を前方から、後半ウィンドウフレームフラグ列{w^l→}を後方から、{0}を挟み込んで結合することによりウィンドウフレームフラグ列{w^→}を生成する。

　反転ウィンドウフレームフラグ列生成部は、ウィンドウフレームフラグ列{w^→}にNOT演算を行うことにより、反転ウィンドウフレームフラグ列{w'^→}を生成する。

　シェア変換部は、反転ウィンドウフレームフラグ列{w'^→}を反転ウィンドウフレームフラグ列[[w'^→]]に変換する。

　積和演算部は、データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と反転ウィンドウフレームフラグ列[[w'^→]]の積和演算を実行する。

　本発明の秘密計算装置によれば、低コストの演算でWindow関数のSum演算を計算することができる。

実施例１の秘密計算装置の機能構成を示すブロック図。実施例１の秘密計算装置の動作を示すフローチャート。変形例１の秘密計算装置の機能構成を示すブロック図。変形例１の秘密計算装置の動作を示すフローチャート。コンピュータの機能構成例を示す図。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

＜記法＞
　ベクトルをv^→と記述する。ベクトルのi番目の要素はv_i ^→で表す。v^→|u^→はベクトルv^→の末尾へのu^→の結合を表す。σ(v^→)はv^→ベクトルをσにより置換したベクトルを表す。

　また、ベクトルv^→のiからj番目までの要素のベクトルv'^→を抜き出す操作をv'^→←subVector(v^→,i,j)と表す。

　c←max(a,b)は平文での計算で平文a,bのうち値が大きい方を出力する。c←min(a,b)は平文での計算で平文a,bのうち値が小さい方を出力する。

＜秘密分散＞
　秘密分散とはデータを複数の値に分けて複数パーティに分散する暗号化手法である。以下の実施例の秘密計算装置は(k,n)閾値秘密分散によりデータを暗号化する。(k,n)閾値秘密分散とは、データをn個のランダムな値(シェアと呼ばれる)に分割して、k個以上のシェアを集めると元のデータを復元でき、k個未満のシェアからは元データの情報を得られないような性質を持つ秘密分散法である。具体的には、以下の実施例の秘密計算装置はShamir秘密分散（参考非特許文献１）や複製秘密分散（参考非特許文献２、３）を用いる。

（参考非特許文献１：Adi Shamir. How to share a secret. Communications of the ACM, Vol. 22, No. 11, pp. 612-613, 1979.）
（参考非特許文献２：Mitsuru Ito, Akira Saito, and Takao Nishizeki. Secret sharing scheme realizing general access structure. Electronics and Communications in Japan (Part III: Fundamental Electronic Science), Vol. 72, No. 9, pp. 56-64, 1989.）
（参考非特許文献３：Ronald Cramer, Ivan Damgard, and Yuval Ishai. Share conversion, pseudorandom secret-sharing and applications to secure computation. In Theory of Cryptography Conference, pp. 342-362. Springer,2005.）
　本明細書では値xのShamir秘密分散によるシェアを[[x]]のように表す。値xの複製秘密分散によるシェアを{x}のように表す。複製秘密分散は特に1bitデータの処理に対し効率が良いため、以下の実施例において使い分ける。また、置換σをシェアした値は<σ>と表す。

＜構成要素＞
≪加減算、定数倍≫
　シェア同士の加減算及び定数倍は通信を要さず計算できる。加減算及び定数倍は次のように記述する。

[[x]]+[[y]]、c[[x]]
≪積和演算≫
　a^→とb^→の積和演算を以下のように書く。

[[c]]←PSum([[a^→]],[[b^→]])
≪論理演算≫
　OR演算は、1bitの値a,bの暗号文{a},{b}を入力とし、aORbの計算結果cの暗号文を出力する演算とし、以下のように記述する。

{c}←Or({a},{b})
　AND演算、XOR演算など他の論理演算についても同様に記述する。

≪Prefix/Suffix OR≫
　PrefixORはbit列b^→に対し、先頭から各位置までの全てのORを取ったbit列を返す演算とする。つまり出力をc^→とすると、c_i ^→←c_i-1 ^→ORb_i ^→、ただし、c₀ ^→←b₀ ^→である。これを、{c^→}←PrefixOr({b^→})と書く。SuffixORは逆にc^→の末尾から各位置までの全ビットのORを取ったbit列を返す演算とする。

≪等号判定≫
　等号判定の演算は、a、bの分散値[[a]],[[b]]を入力とし、a==bの真偽値cの分散値を出力する演算とし、以下のように記述する。

{c}←Eq([[a]],[[b]])
≪秘匿安定ソート≫
　秘匿安定ソートは、ベクトルを安定ソートするプロトコルである。秘匿安定ソートは下記のアルゴリズムからなる。＜π＞←GenPerm([[k^→]]):キー列k^→を昇順に安定ソートする置換πを出力する。[[v'^→]]←Sort(＜π＞，[[v^→]]):πをv^→に適用して並び替えた[[v'^→]]を出力する。これを実現する高速な実装方法として参考非特許文献４などが知られている。

（参考非特許文献４：五十嵐大、濱田浩気、菊池亮、千田浩司、「超高速秘密計算ソートの設計と実装：秘密計算がスクリプト言語に並ぶ日」、コンピュータセキュリティシンポジウム2017論文集 2017(2), pp. 1-8, 2017-10-16）
　キー列として複数列の組を用いる場合は、以下のように書くこととする。ただし、先に指定したキーから優先してソートすることとする。

＜π＞←GenPerm([[k₁ ^→]],[[k₂ ^→]])
≪モジュラス変換≫
　1bitの{a}から[[a]]へ変換する処理を下記のように記述する。

[[a]]←ModConv({a})
　具体的には参考非特許文献５の菊池らの手法が知られている。

（参考非特許文献５： Ryo Kikuchi, Dai Ikarashi, Takahiro Matsuda, Koki Hamada, and Koji Chida. Efficient bitdecomposition and modulus-conversion protocols with an honest majority. In Willy Susilo and Guomin Yang, editors, Information Security and Privacy, pp. 64-82, Cham, 2018. Springer International Publishing.）
≪共通処理≫
　共通処理は、キー列とデータ列を与え、出力としてキー列の同じ値でグループ化したときの、グループ先頭要素が１となるフラグ列、グループごとに並び替えられたデータ列、キー列を返す処理である。具体的には菊池らの手法（非特許文献１）により実現できる。以下の実施例で開示する方法と関連が深いため菊池らの手法（非特許文献１）の詳細をAlgorithm 1に示す。

［Algorithm 1：GroupByCommon］
Input：キー列[[k^→]]、データ列[[v^→]]、(ただし、[[k^→]]は行数l、[[v^→]]は行数lとする)
Output：グループ化されたキー列[[k'^→]]、グループ化されたデータ列[[v'^→]]、グループフラグ列{g^→}(ただし、[[k'^→]]は行数l,[[v'^→]]は行数l、{g^→}はグループの先頭位置のときのみ１それ以外０となる長さlのベクトルとする)
1：＜σ＞←GenPerm([[k^→]],[[v^→]])
2：[[k'^→]]←Sort([[k^→]],＜σ＞)
3：[[v'^→]]←Sort([[v^→]],＜σ＞)
4：{eq^→}₀←{0};{g^→}₀←{1}
5：for 1≦i<l do in parallel
6：{eq^→}_i←Eq([[k^→]]_i-1,[[k^→]]_i)
7：{g^→}_i←Not({eq^→}_i)
8：end for
9：return [[k'^→]],[[v'^→]],{g^→}
［Algorithm 1終わり］
　Algorithm 1の１行目は、GenPermによる、キー列k^→、データ列v^→を昇順に秘匿安定ソートする置換σを出力する処理を示している。

　２行目は、σによりキー列[[k^→]]を秘匿安定ソートして、ソート結果[[k'^→]]を出力する処理を示している。

　３行目は、σによりデータ列[[v^→]]を秘匿安定ソートして、ソート結果[[v'^→]]を出力する処理を示している。

　４行目は、ベクトル{eq^→}の先頭の値{eq^→}₀を{0}に設定し、グループフラグ列{g^→}の先頭の値{g^→}₀を{1}に設定する処理を示している。

　５行目は、６～７行目の処理を繰り返し実行することを示している。

　６行目はベクトル{eq^→}のi番目の値{eq^→}_iをEq([[k^→]]_i-1,[[k^→]]_i)、すなわちキー列のi-1番目の値[[k^→]]_i-1とi番目の値[[k^→]]_iが等しければ１、異なれば０とすることを示している。従ってベクトルeq^→はキー列の値の変わり目に差し掛かるまで１が連続し、キー列の値が変わる位置において０となり、次のキー列の値の変わり目まで１が連続することを特徴とするベクトルである。

　７行目はグループフラグ列{g^→}のi番目の値{g^→}_iをNot({eq^→}_i)とする、すなわち、グループフラグ列g^→はキー列の値が変わる位置において値が１となり、それ以外の位置については値が０となるベクトルを表す。

　８行目は繰り返し処理の終了を示しており、９行目はAlgorithm 1の出力であるグループ化されたキー列[[k'^→]]、グループ化されたデータ列[[v'^→]]、グループフラグ列{g^→}を表す。

　以下、本発明独自の手法であり、Window関数を秘密計算上で実行するためのウィンドウフレームフラグ列を生成する手法の詳細をAlgorithm 2に示す。

［Algorithm 2：GenWindowFrame］
Input：グループフラグ列{g^→}、現在行番号i、窓枠開始位置s、窓枠終了位置t(ただし、s≦i≦tとする)
Output：ウィンドウフレームフラグ列{w^→}
1：{w^f→}←SuffixOr(subVector({g^→},s+1,i))
2：{w^l→}←PrefixOr(subVector({g^→},i+1,t))
3：{w^→}←{w^f→}|{0}|{w^l→}
4：return {w^→}
［Algorithm 2終わり］
　Algorithm 2の１行目は、{g^→}の窓枠開始位置の１つ先（s+1番目）の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、SuffixOr、すなわち末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成することを示している。従って、末尾から先頭に向かう途中でキー列の値が変わる位置が出現した場合には、この位置よりも先頭に位置する要素は全て１となるため、1,…,1,0,…,0といった結果になる。

　２行目は、{g^→}のi+1番目から窓枠終了位置（t番目）までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、PrefixOr、すなわち先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成することを示している。従って、先頭から末尾に向かう途中でキー列の値が変わる位置が出現した場合には、この位置よりも末尾に位置する要素は全て１となるため、0,…,0,1,…,1といった結果になる。

　３、４行目は、{w^f→}を前方から、{w^l→}を後方から、{0}を挟み込んで結合することにより{w^→}を生成して出力することを示している。すなわち、{0}は現在の行番号に該当する位置にあたる。ベクトルw^→は、現在の行番号を含むグループに属する要素について値０を示し、現在の行番号を含むグループと異なるグループに属する要素については値１を示すという特徴がある。例えば、現在の行番号にあたる要素を><で挟んで表すものとすると、ベクトルw^→として、1,…,1,0,…,>0<,…,0,1,…,1のような出力例がありうる。

　Window関数のSum演算を計算する手法の詳細を以下のAlgorithm 3に示す。

［Algorithm 3：WindowSum］
Input：キー列[[k^→]]、データ列[[v^→]]、窓枠開始位置オフセットpoffset、窓枠終了位置オフセットfoffset（ただし、[[k^→]]は行数l、[[v^→]]は行数lとする）
Output：グループ化されたキー列[[k'^→]]、集計結果列[[u^→]]（ただし、[[k'^→]]は行数l、[[u^→]]は行数lとする)
1：[[k'^→]]、[[v'^→]]、{g^→}←GroupByCommon([[k^→]],[[v^→]])
2：for 0≦i<l do in parallel
3：s←max(i-poffset,0)
4：t←min(i+foffset,l-1)
5:{w^→}←GenWindowFrame({g^→},i,s,t)
6:{w'^→}←Not({w}^→)
7：[[w'^→]]←ModConv({w'^→})
8：[[u^→]]_i←PSum([[w'^→]],subVector([[v'^→]],s,t))
9：end for
10：return [[k'^→]],[[u^→]]
［Algorithm 3終わり］
　Algorithm 3の１行目は、Algorithm 1により、グループ化されたキー列[[k'^→]]、グループ化されたデータ列[[v'^→]]、グループフラグ列{g^→}を生成する処理を示している。

　２行目は、９行目までの処理を繰り返し実行することを示している。

　３行目は、i-poffset、すなわち現在行番号iから窓枠開始位置オフセットpoffset分だけオフセットした位置を窓枠開始位置sとし、i-poffsetが0以下になる例外については、全て0として処理するためにs←max(i-poffset,0)として窓枠開始位置sを計算する処理を示している。

　４行目は、i+foffset、すなわち現在行番号iから窓枠終了位置オフセットfoffset分だけオフセットした位置を窓枠終了位置tとし、i+foffsetがl-1以上になる例外については、全てl-1として処理するためにt←min(i+foffset,l-1)として窓枠終了位置tを計算する処理を示している。

　５行目は、Algorithm 2によりウィンドウフレームフラグ列{w^→}を計算する処理を示している。

　６行目は、ウィンドウフレームフラグ列{w^→}にNOT演算を行うことにより、反転ウィンドウフレームフラグ列{w'^→}を生成する処理を示している。　７行目は、複製秘密分散のシェアであった{w'^→}をShamir秘密分散のシェア[[w'^→]]に変換する処理を示している。７行目は、続く８行目におけるPSum処理を実行するために行われる。

　８行目は、昇順にソートされたデータ列[[v'^→]]の窓枠開始位置sから窓枠終了位置tまでの要素を抜き出したsubVector([[v'^→]],s,t)と[[w'^→]]のPSumを実行することを示している。これにより、集計対象の位置のみ積として値が残り、その他の積は全て０となるので、集計結果列[[u^→]]は集計対象に対するSum演算の結果を示すものである。　９行目は繰り返し処理の終了を示しており、１０行目は、グループ化されたキー列[[k'^→]]、集計結果列[[u^→]]を出力する処理を示している。

　１行目でGroupByCommonを実行することにより、データ列はグループ内で昇順にソートされている。

　まず、５行目において集計対象となる位置が０、そうでない位置が１となるようなフラグ列である{w^→}を生成する。{g^→}は非特許文献１ではグループ末尾の要素が１で示されるフラグ列となっているが、グループの境界に紐づくフラグと捉えると、グループ境界が１で示されるようなビット列ととらえ直すことができる。すると、Algorithm 2に示した通り、上下方向にSuffix/Prefix ORを取ることでグループ境界を越えた要素が１となるようなフラグ列を生成することができる。ただし、現在行については常に集計対象とするため初期値０とする。

　上述したように{w^→}は集計対象となる位置が０、そうでない位置が１となるフラグ列である。窓枠内のSumを計算するためにはw^→が０である位置に対応するv'^→の要素を合計すればよい。

　そこで６行目においてフラグ列{w^→}にNot演算を実行し、集計対象となる位置が１となり、それ以外の位置が全て０となるフラグ列{w'^→}を計算している。

ベクトル[[v'^→]]に対して順にIfThen(乗算を要する)を適用し、全ての要素を加算する方法でも計算できるが、代わりにPSumを用いることにより計算コストのみならず、通信量も削減できる。

　SQLにおいては窓枠開始位置の指定オプションとして、グループ内の最初から始まることを表す”UNBOUNDED PRECEDINGS”、および、窓枠終了位置の指定オプションとして、グループ内の最後までであることを表す”UNBOUNDED PRECEDINGS”がある。グループフラグが公開値でないため、poffset、foffsetをグループ内の最初/最後に指定することはできないが、”UNBOUNDED PRECEDINGS”の場合、窓枠開始位置オフセットをpoffset=-n、”UNBOUNDED FOLLOWING”の場合、窓枠終了位置オフセットfoffset=nとすることで同じ結果を得ることができる。開始/終了位置の指定オプションとして現在行を表す”CURRENT ROW”を指定する場合は窓枠開始位置/終了位置オフセットを０とする。

　以下、図１を参照してAlgorithm 3を実行することにより、Window関数のSum演算を実行する実施例１の秘密計算装置の構成を説明する。同図に示すように本実施例の秘密計算装置１は、入力データ記憶部１０Ａと、前半ウィンドウフレームフラグ列生成部１０と、後半ウィンドウフレームフラグ列生成部１１と、ウィンドウフレームフラグ列生成部１２と、反転ウィンドウフレームフラグ列生成部１３と、シェア変換部１４と、積和演算部１５と、出力データ記憶部１０Ｂを含む構成である。

＜入力データ記憶部１０Ａ＞
　入力データ記憶部１０Ａは、本秘密計算装置に入力されるデータを予め記憶している。本実施例ではAlgorithm 1は既に実行済みであるものとし、入力データ記憶部１０Ａは、グループ化されたキー列[[k'^→]]、グループ化されたデータ列[[v'^→]]、グループフラグ列{g^→}を記憶している。また入力データ記憶部１０Ａは、ユーザが任意に設定するパラメータである窓枠開始位置オフセットpoffset、窓枠終了位置オフセットfoffsetを予め記憶している。

　なお、本秘密計算装置でAlgorithm 1も実行する場合には、入力データ記憶部１０Ａは、キー列[[k^→]]、データ列[[v^→]]、窓枠開始位置オフセットpoffset、窓枠終了位置オフセットfoffsetを予め記憶していればよい。

　以下、図２を参照して、各構成要件の詳細な動作を説明する。

＜前半ウィンドウフレームフラグ列生成部１０＞
　前半ウィンドウフレームフラグ列生成部１０は、Algorithm 3の３行目から５行目（５行目の参照先のAlgorithm 2の１行目）を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、前半ウィンドウフレームフラグ列生成部１０は、窓枠開始位置s、窓枠終了位置tを取得して、{g^→}のs+1番目の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成する（Ｓ１０）。

＜後半ウィンドウフレームフラグ列生成部１１＞
　後半ウィンドウフレームフラグ列生成部１１は、Algorithm 3の３行目から５行目（５行目の参照先のAlgorithm 2の２行目）を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、後半ウィンドウフレームフラグ列生成部１１は、窓枠開始位置s、窓枠終了位置tを取得して、{g^→}のi+1番目からt番目までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成する（Ｓ１１）。

＜ウィンドウフレームフラグ列生成部１２＞
　ウィンドウフレームフラグ列生成部１２は、Algorithm 3の５行目（５行目の参照先のAlgorithm 2の３行目）を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、ウィンドウフレームフラグ列生成部１２は、前半ウィンドウフレームフラグ列{w^f→}を前方から、後半ウィンドウフレームフラグ列{w^l→}を後方から、{0}を挟み込んで結合することによりウィンドウフレームフラグ列{w^→}を生成する（Ｓ１２）。

＜反転ウィンドウフレームフラグ列生成部１３＞
　反転ウィンドウフレームフラグ列生成部１３は、Algorithm 3の６行目を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、反転ウィンドウフレームフラグ列生成部１３は、ウィンドウフレームフラグ列{w^→}にNOT演算を行うことにより、反転ウィンドウフレームフラグ列{w'^→}を生成する（Ｓ１３）。＜シェア変換部１４＞
　シェア変換部１４は、Algorithm 3の７行目を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、シェア変換部１４は、反転ウィンドウフレームフラグ列{w'^→}を反転ウィンドウフレームフラグ列[[w'^→]]に変換する（Ｓ１４）。

＜積和演算部１５＞
　積和演算部１５は、Algorithm 3の８行目を、Algorithm 3の２行目の繰り返し条件に従って実行する。

　具体的には、積和演算部１５は、データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と反転ウィンドウフレームフラグ列[[w'^→]]の積和演算を実行する（Ｓ１５）。

＜出力データ記憶部１０Ｂ＞
　出力データ記憶部１０Ｂは、Algorithm 3の出力である[[k'^→]]および[[u^→]]を記憶する。

＜変形例＞
　図３、図４に示すように、秘密計算装置は、秘匿化前のデータにより構成されるデータベース２と、データベース２のデータを秘匿化するデータ秘匿化部３と、秘密計算装置１と同じ処理を実行する秘密計算部１により構成されてもよい（変形例１の秘密計算装置１００、ステップＳ３、Ｓ１）。

＜補記＞
　本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、ＣＰＵ（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるＲＡＭやＲＯＭ、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、ＣＰＵ、ＲＡＭ、ＲＯＭ、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、ＣＤ－ＲＯＭなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

　ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるＲＯＭに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、ＲＡＭや外部記憶装置などに適宜に記憶される。

　ハードウェアエンティティでは、外部記憶装置（あるいはＲＯＭなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にＣＰＵで解釈実行・処理される。その結果、ＣＰＵが所定の機能（上記、…部、…手段などと表した各構成要件）を実現する。

　本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

　既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

　上述の各種の処理は、図５に示すコンピュータ１００００の記録部１００２０に、上記方法の各ステップを実行させるプログラムを読み込ませ、制御部１００１０、入力部１００３０、出力部１００４０などに動作させることで実施できる。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ－ＲＡＭ（Random Access Memory）、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ－Ｒ（Recordable）／ＲＷ（ReWritable）等を、光磁気記録媒体として、ＭＯ（Magneto-Optical disc）等を、半導体メモリとしてＥＥＰ－ＲＯＭ（Electrically Erasable and Programmable－Read Only Memory）等を用いることができる。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　属性の列であるキー列k^→と、値の列であるデータ列v^→を含むデータベースを秘匿したまま演算する秘密計算装置であって、
　グループフラグ列g^→は前記キー列の値が変わる位置において値が１となり、それ以外の位置については値が０となるベクトルを表すものとし、
　値xの複製秘密分散によるシェアを{x}と表すものとし、
　値xのShamir秘密分散によるシェアを[[x]]と表すものとし、
　現在の行番号をi、窓枠開始位置をs、窓枠終了位置をtと表すものとし、
　前記キー列および前記データ列の行数をlとし、現在の行番号iは0以上l未満の範囲において全てのフラグ列生成処理が１回終了するごとに1ずつインクリメントされるものとし、
　{g^→}のs+1番目の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成する前半ウィンドウフレームフラグ列生成部と、
　{g^→}のi+1番目からt番目までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成する後半ウィンドウフレームフラグ列生成部と、
　前記前半ウィンドウフレームフラグ列{w^f→}を前方から、前記後半ウィンドウフレームフラグ列{w^l→}を後方から、{0}を挟み込んで結合することによりウィンドウフレームフラグ列{w^→}を生成するウィンドウフレームフラグ列生成部と、
　前記ウィンドウフレームフラグ列{w^→}にNOT演算を行うことにより、反転ウィンドウフレームフラグ列{w'^→}を生成する反転ウィンドウフレームフラグ列生成部と、
　前記反転ウィンドウフレームフラグ列{w'^→}を反転ウィンドウフレームフラグ列[[w'^→]]に変換するシェア変換部と、
　データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と反転ウィンドウフレームフラグ列[[w'^→]]の積和演算を実行する積和演算部を含む
　秘密計算装置。
　属性の列であるキー列k^→と、値の列であるデータ列v^→を含むデータベースを秘匿したまま演算する秘密計算方法であって、
　グループフラグ列g^→は前記キー列の値が変わる位置において値が１となり、それ以外の位置については値が０となるベクトルを表すものとし、
　値xの複製秘密分散によるシェアを{x}と表すものとし、
　値xのShamir秘密分散によるシェアを[[x]]と表すものとし、
　現在の行番号をi、窓枠開始位置をs、窓枠終了位置をtと表すものとし、
　前記キー列および前記データ列の行数をlとし、現在の行番号iは0以上l未満の範囲において全てのフラグ列生成処理が１回終了するごとに1ずつインクリメントされるものとし、
　{g^→}のs+1番目の要素からi番目までの要素を抜き出してなるベクトルsubVector({g^→},s+1,i)について、末尾から各位置までの全ビットのORを演算したbit列を、前半ウィンドウフレームフラグ列{w^f→}として生成するステップと、
　{g^→}のi+1番目からt番目までの要素を抜き出してなるベクトルsubVector({g^→},i+1,t)について、先頭から各位置までの全ビットのORを演算したbit列を、後半ウィンドウフレームフラグ列{w^l→}として生成するステップと、
　前記前半ウィンドウフレームフラグ列{w^f→}を前方から、前記後半ウィンドウフレームフラグ列{w^l→}を後方から、{0}を挟み込んで結合することによりウィンドウフレームフラグ列{w^→}を生成するステップと、
　前記ウィンドウフレームフラグ列{w^→}にNOT演算を行うことにより、反転ウィンドウフレームフラグ列{w'^→}を生成するステップと、
　前記反転ウィンドウフレームフラグ列{w'^→}を反転ウィンドウフレームフラグ列[[w'^→]]に変換するステップと、
　データ列[[v^→]]を昇順にソートしたデータ列[[v'^→]]のsからtまでの要素を抜き出したsubVector([[v'^→]],s,t)と反転ウィンドウフレームフラグ列[[w'^→]]の積和演算を実行するステップを含む
　秘密計算方法。
　コンピュータを請求項１に記載の秘密計算装置として機能させるプログラム。