WO2023228273A1

WO2023228273A1 - 秘密属性選択システム、秘密属性選択装置、秘密属性選択方法、プログラム

Info

Publication number: WO2023228273A1
Application number: PCT/JP2022/021238
Authority: WO
Inventors: 浩気濱田
Original assignee: 日本電信電話株式会社
Priority date: 2022-05-24
Filing date: 2022-05-24
Publication date: 2023-11-30

Abstract

所定の数のグループにグループ分けされた、M個の属性で構成されるN個のデータに対して、グループごとにランダムに選択されたK個の属性の中から評価値が最良となる属性の選択を効率的に秘密計算する技術を提供する。N個のデータを表す行列Xのシェア[[X]]とN個のデータをグループ分けしたグループを表す列ベクトル^→gのシェア[[^→g]]を用いて、各行が所定の条件を満たす行列Eのシェア[[E]]を計算する第１行列計算手段と、各行が所定の条件を満たす行列Yのシェア[[Y]]、行列Uのシェア[[U]]を計算する第２行列計算手段と、各行が所定の条件を満たす行列Sのシェア[[S]]を計算する第３行列計算手段と、i番目のデータが属するグループにおいてランダムに選択されたK個の属性のうち評価値が最良となる属性の番号をi番目の要素とする列ベクトル^→zのシェア[[^→z]]を計算する第１ベクトル計算手段とを含む。

Description

秘密属性選択システム、秘密属性選択装置、秘密属性選択方法、プログラム

　本発明は、秘密計算技術に関し、特に評価値に基づく属性の選択を秘密計算する技術に関する。

　秘密計算とは、暗号化された数値を復元することなく指定された演算の演算結果を得る方法のことである（例えば非特許文献１参照）。非特許文献１の方法では、数値を復元することのできる複数の情報を3つの秘密計算装置に分散するという暗号化を行い、数値を復元することなく、加減算、定数和、乗算、定数倍、論理演算（否定、論理積、論理和、排他的論理和）、データ形式変換（整数、二進数）の結果を3つの秘密計算装置に分散された状態、すなわち暗号化されたまま保持させることができる。一般に、分散数は3に限らずW（Wは3以上の所定の定数）とすることができ、W個の秘密計算装置による協調計算によって秘密計算を実現するプロトコルはマルチパーティプロトコルと呼ばれる。

　所定の数のグループにグループ分けされた、M個の属性で構成されるN個のデータに対して、グループごとにランダムに選択されたK個の属性の中から評価値が最良となる属性を選択する秘密計算を考える。この場合、グループごとにM個の属性すべてについて評価値を計算すれば、グループごとにランダムに選択されたK個の属性の中から評価値が最良となる属性を選択することができる。

千田浩司, 濱田浩気, 五十嵐大, 高橋克巳, "軽量検証可能３パーティ秘匿関数計算の再考," In CSS, 2010.

　しかし、上記説明した方法は、グループごとにM個の属性すべてについて評価値を計算するため計算量は大きなものとなり、効率的ではない。

　そこで本発明は、所定の数のグループにグループ分けされた、M個の属性で構成されるN個のデータに対して、グループごとにランダムに選択されたK個の属性の中から評価値が最良となる属性の選択を効率的に秘密計算する技術を提供することを目的とする。

　本発明の一態様は、N（Nは1以上の整数）をデータの数、M（Mは1以上の整数）をデータを構成する属性の数、X=(^→x₁, …, ^→x_N)^t（ただし、^→x_i(i=1, …, N)はi番目のデータを表す長さMの行ベクトルであり、N個のデータ^→x₁, …, ^→x_Nは所定の数のグループにグループ分けされ、同じグループに属するデータが隣接するように並んでいる）をN個のデータ^→x₁, …, ^→x_Nを表すN行M列の行列、^→g=(g₁, …, g_N)^t（ただし、g_i(i=1, …, N)はi番目のデータ^→x_iがあるグループの先頭のデータである場合には1、それ以外の場合には0である）をN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す長さNの列ベクトルとし、3個以上の秘密属性選択装置で構成され、N個のデータ^→x₁, …, ^→x_Nを表す行列Xのシェア[[X]]とN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す列ベクトル^→gのシェア[[^→g]]から、i番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性（Kは1以上M以下の整数）のうち評価値が最良となる属性の番号をi番目の要素z_iとする長さNの列ベクトル^→z=(z₁, …, z_N)^tのシェア[[^→z]]を計算する秘密属性選択システムであって、シェア[[^→g]]を用いて、N行M列の行列E=(^→e₁, …, ^→e_N)^t（ただし、^→e_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性を表す長さMの行ベクトルであり、行ベクトル^→e_iのj番目の要素e_i,jはj番目の属性が選択された属性である場合には1、それ以外の場合には0である）のシェア[[E]]を計算する第１行列計算手段と、V=(^→v₁, …, ^→v_N)^t（ただし、^→v_i(i=1, …, N)はi番目のデータ^→x_iの属性の番号を属性の番号順に並べた長さMの行ベクトル(1, 2, …, M)である）をN行M列の行列とし、シェア[[E]]を用いて、シェア[[X]]からN行K列の行列Y=(^→y₁, …, ^→y_N)^t（ただし、^→y_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対するi番目のデータ^→x_iの値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[Y]]を、シェア[[V]]からN行K列の行列U=(^→u₁, …, ^→u_N)^t（ただし、^→u_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性の番号を属性の番号順に並べた長さKの行ベクトルである）のシェア[[U]]をそれぞれ計算する第２行列計算手段と、シェア[[Y]]からN行K列の行列S=(^→s₁, …, ^→s_N)^t（ただし、^→s_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対する当該グループの評価値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[S]]を計算する第３行列計算手段と、シェア[[Y]]とシェア[[U]]を用いて、シェア[[S]]からシェア[[^→z]]を計算する第１ベクトル計算手段と、を含む。

　本発明によれば、所定の数のグループにグループ分けされた、M個の属性で構成されるN個のデータに対して、グループごとにランダムに選択されたK個の属性の中から評価値が最良となる属性の選択を効率的に秘密計算することが可能となる。

秘密属性選択システム１０の構成を示すブロック図である。秘密属性選択装置１００_iの構成を示すブロック図である。秘密属性選択システム１０の動作を示すフローチャートである。本発明の実施形態における各装置を実現するコンピュータの機能構成の一例を示す図である。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　各実施形態の説明に先立って、この明細書における表記方法について説明する。

　^（キャレット）は上付き添字を表す。例えば、x^{y^z}はy^zがxに対する上付き添字であり、x_y^zはy^zがxに対する下付き添字であることを表す。また、_（アンダースコア）は下付き添字を表す。例えば、x^y_zはy_zがxに対する上付き添字であり、x_{y_z}はy_zがxに対する下付き添字であることを表す。

　ある文字xに対する^xや~xのような上付き添え字の”^”や”~”は、本来”x”の真上に記載されるべきであるが、明細書の記載表記の制約上、^xや~xと記載しているものである。
＜技術的背景＞
<<秘密計算>>
　本願の発明における秘密計算は、既存の秘密計算上の演算の組み合わせで構築される。この秘密計算に必要な演算は、秘匿化、加算、減算、乗算、除算、論理演算（否定、論理積、論理和、排他的論理和）、比較演算（=, <, >, ≦, ≧）、秘密安定ソート、Group-wise sum演算である。以下、記法も含めいくつかの演算について説明していく。
［秘匿化］
　[[x]]をxを秘密分散で秘匿した値（以下、xのシェアという）とする。秘密分散方法には、任意の方法を用いることができる。例えば、GF(2⁶¹-1)上のShamir秘密分散、Z₂上の複製秘密分散を用いることができる。

　ある１つのアルゴリズムの中で複数の秘密分散方法を組み合わせて用いてもよい。この場合、適宜相互に変換するものとする。

　また、N次元ベクトル^→x=(x₁, …, x_N)に対して、[[^→x]]=([[x₁]], …, [[x_N]])とする。つまり、[[^→x]]は、^→xの第n要素x_nのシェア[[x_n]]を第n要素とするベクトルである。同様に、M×N行列A=(a_m,n)(1≦m≦M, 1≦n≦N)に対しても、[[A]]をAの第(m, n)要素a_m,nのシェア[[a_m,n]]を第(m, n)要素とする行列とする。

　なお、xを[[x]]の平文という。

　xから[[x]]を求める方法（秘匿化）、[[x]]からxを求める方法（復元）として、具体的には、非特許文献１、参考非特許文献１に記載の方法がある。
（参考非特許文献１：Shamir, A., “How to share a secret”, Communications of the ACM, Vol.22, No.11, pp.612-613, 1979.）
［加算、減算、乗算、除算］
　秘密計算による加算[[x]]+[[y]]は、[[x]], [[y]]を入力とし、[[x+y]]を出力する。秘密計算による減算[[x]]-[[y]]は、[[x]], [[y]]を入力とし、[[x-y]]を出力する。秘密計算による乗算[[x]]×[[y]]（mul([[x]], [[y]])と表すこともある）は、[[x]], [[y]]を入力とし、[[x×y]]を出力する。秘密計算による除算[[x]]/[[y]]（div([[x]], [[y]])と表すこともある）は、[[x]], [[y]]を入力とし、[[x/y]]を出力する。

　加算、減算、乗算、除算の具体的方法として、参考非特許文献２、参考非特許文献３に記載の方法がある。
（参考非特許文献２：Ben-Or, M., Goldwasser, S. and Wigderson, A., “Completeness theorems for non-cryptographic fault-tolerant distributed computation”, Proceedings of the twentieth annual ACM symposium on Theory of computing, ACM, pp. 1-10, 1988.）
（参考非特許文献３：Gennaro, R., Rabin, M. O. and Rabin, T., “Simplied VSS and fast-track multiparty computations with applications to threshold cryptography”, Proceedings of the seventeenth annual ACM symposium on Principles of distributed computing, ACM, pp.101-111, 1998.）
［論理演算］
　秘密計算による否定not[[x]]は、[[x]]を入力とし、[[not(x)]]を出力する。秘密計算による論理積and([[x]], [[y]])は、[[x]], [[y]]を入力とし、[[and(x, y)]]を出力する。秘密計算による論理和or([[x]], [[y]])は、[[x]], [[y]]を入力とし、[[or(x, y)]]を出力する。秘密計算による排他的論理和xor([[x]], [[y]])は、[[x]], [[y]]を入力とし、[[xor(x, y)]]を出力する。

　なお、論理演算は加算、減算、乗算、除算を組み合わせることで容易に構成することができる。
［比較演算］
　秘密計算による等号判定=([[x]], [[y]]) （equal([[x]], [[y]])と表すこともある）は、[[x]], [[y]]を入力とし、x=yである場合は[[1]]を、それ以外の場合は[[0]]を出力する。秘密計算による比較<([[x]], [[y]])は、[[x]], [[y]]を入力とし、x<yである場合は[[1]]を、それ以外の場合は[[0]]を出力する。秘密計算による比較>([[x]], [[y]])は、[[x]], [[y]]を入力とし、x>yである場合は[[1]]を、それ以外の場合は[[0]]を出力する。秘密計算による比較≦([[x]], [[y]])は、[[x]], [[y]]を入力とし、x≦yである場合は[[1]]を、それ以外の場合は[[0]]を出力する。秘密計算による比較≧([[x]], [[y]])は、[[x]], [[y]]を入力とし、x≧yである場合は[[1]]を、それ以外の場合は[[0]]を出力する。

　なお、比較演算は論理演算を組み合わせることで容易に構成することができる。
［秘密安定ソート］
　秘密安定ソートとは、秘密計算上の安定ソートのことであり、N次元ベクトル^→y=(y₁, …, y_N)のシェア[[^→y]]がN次元ベクトル^→k=(k₁, …, k_N)のシェア[[^→k]]に関してN次元ベクトル^→x=(x₁, …, x_N)のシェア[[^→x]]を秘密安定ソートしたベクトルであるとは、シェア[[^→y]]がシェア[[^→k]]を安定ソートする{1, …, N}の置換σを用いてシェア[[^→x]]を安定ソートしたベクトルとなることをいう。

　秘密安定ソートの具体的方法として、参考非特許文献４に記載の方法がある。
（参考非特許文献４：Koji Chida, Koki Hamada, Dai Ikarashi, Ryo Kikuchi, Naoto Kiribuchi, and Benny Pinkas, “An Efficient Secure Three-Party Sorting Protocol with an Honest Majority,” IACR Cryptol. ePrint Arch., 2019.）
［Group-wise sum演算］
　Group-wise sum演算とは、N次元ベクトル^→x=(x₁, …, x_N)（ただし、N個の要素x₁, …, x_Nは所定の数のグループにグループ分けされ、同じグループに属する要素が隣接するように並んでいる）、N次元ベクトル^→g=(g₁, …, g_N)（ただし、g_n(n=1, …, N)はn番目の要素x_nがあるグループの先頭のデータである場合には1、それ以外の場合には0である）に対して、[[^→x]], [[^→g]]を入力とし、N次元ベクトル^→y=(y₁, …, y_N)（ただし、y_n(n=1, …, N)はn番目の要素x_nが属するグループの要素の和である）のシェア[[^→y]]を出力する。

　Group-wise sum演算の具体的方法として、参考非特許文献５に記載の方法がある。
（参考非特許文献５：Koki Hamada, Dai Ikarashi, Ryo Kikuchi, and Koji Chida, “Efficient decision tree training with new data structure for secure multi-party computation,” arXiv:2112.12906 [cs.CR], 2021.）
　なお、行ごとまたは列ごとにGroup-wise sum演算を適用することで、行列に対してもGroup-wise sum演算を定義することができる。
＜第１実施形態＞
　以下、図１～図３を参照して秘密属性選択システム１０について説明する。図１は、秘密属性選択システム１０の構成を示すブロック図である。秘密属性選択システム１０は、W個（Wは3以上の所定の整数）の秘密属性選択装置１００₁、…、１００_Wを含む。秘密属性選択装置１００₁、…、１００_Wは、ネットワーク８００に接続しており、相互に通信可能である。ネットワーク８００は、例えば、インターネットなどの通信網あるいは同報通信路などでよい。図２は、秘密属性選択装置１００_i(1≦i≦W)の構成を示すブロック図である。図３は、秘密属性選択システム１０の動作を示すフローチャートである。

　図２に示すように秘密属性選択装置１００_iは、第１行列計算部１１０_iと、第２行列計算部１２０_iと、第３行列計算部１３０_iと、第１ベクトル計算部１４０_iと、記録部１９０_iを含む。記録部１９０_iを除く秘密属性選択装置１００_iの各構成部は、秘密計算で必要とされる演算、つまり、少なくとも秘匿化、加算、減算、乗算、除算、論理演算、比較演算秘密安定ソート、Group-wise sum演算のうち、各構成部の機能を実現するうえで必要になる演算を実行できるように構成されている。本発明において個々の演算を実現するための具体的な機能構成は、例えば、非特許文献１、参考非特許文献１～５のそれぞれで開示されるアルゴリズムを含む既存のアルゴリズムを実行できるような構成で十分であり、これらは従来的構成であるから詳細な説明については省略する。また、記録部１９０_iは、秘密属性選択装置１００_iの処理に必要な情報を記録する構成部である。

　W個の秘密属性選択装置１００_iによる協調計算によって、秘密属性選択システム１０はマルチパーティプロトコルである属性選択の秘密計算を実現する。よって、秘密属性選択システム１０の第１行列計算手段１１０（図示していない）は第１行列計算部１１０₁、…、１１０_Wで構成され、第２行列計算手段１２０（図示していない）は第２行列計算部１２０₁、…、１２０_Wで構成され、第３行列計算手段１３０（図示していない）は第３行列計算部１３０₁、…、１３０_Wで構成され、第１ベクトル計算手段１４０（図示していない）は第１ベクトル計算部１４０₁、…、１４０_Wで構成される。

　秘密属性選択システム１０は、N（Nは1以上の整数）をデータの数、M（Mは1以上の整数）をデータを構成する属性の数、X=(^→x₁, …, ^→x_N)^t（ただし、^→x_i(i=1, …, N)はi番目のデータを表す長さMの行ベクトルであり、N個のデータ^→x₁, …, ^→x_Nは所定の数のグループにグループ分けされ、同じグループに属するデータが隣接するように並んでいる）をN個のデータ^→x₁, …, ^→x_Nを表すN行M列の行列、^→g=(g₁, …, g_N)^t（ただし、g_i(i=1, …, N)はi番目のデータ^→x_iがあるグループの先頭のデータである場合には1、それ以外の場合には0である）をN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す長さNの列ベクトルとし、N個のデータ^→x₁, …, ^→x_Nを表す行列Xのシェア[[X]]とN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す列ベクトル^→gのシェア[[^→g]]から、i番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性（Kは1以上M以下の整数）のうち評価値が最良となる属性の番号をi番目の要素z_iとする長さNの列ベクトル^→z=(z₁, …, z_N)^tのシェア[[^→z]]を計算する。なお、シェア[[X]]やシェア[[^→g]]は予め記録部１９０_iに記録しておいてもよい。また、例えば(^→x₁, …, ^→x_N)^tのtのように、ベクトルや行列の右肩についたtは転置を表す。

　以下、図３に従い秘密属性選択システム１０の動作について説明する。

　Ｓ１１０において、第１行列計算手段１１０は、シェア[[^→g]]を用いて、N行M列の行列E=(^→e₁, …, ^→e_N)^t（ただし、^→e_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性を表す長さMの行ベクトルであり、行ベクトル^→e_iのj番目の要素e_i,jはj番目の属性が選択された属性である場合には1、それ以外の場合には0である）のシェア[[E]]を計算する。第１行列計算手段１１０は、例えば、N行M列の行列D=(^→d₁, …, ^→d_N)^t（ただし、^→d_i(i=1, …, N)はM個の要素のうちランダムに選択されたK個の要素が1、それ以外のM-K個の要素が0である長さMの行ベクトルである）のシェア[[D]]を生成し、シェア[[^→g]]を用いて、シェア[[D]]からN行M列の行列D’=(^→d’₁, …, ^→d’_N)^t（ただし、^→d’_i(i=1, …, N)はg_i=1である場合には^→d_i、g_i=0である場合には^→0（ただし、^→0はすべての要素が0である長さMの行ベクトル）である）のシェア[[D’]]を計算し、シェア[[^→g]]を用いて、シェア[[D’]]からシェア[[E]]を計算する。シェア[[D’]]からシェア[[E]]を計算する際、例えば、Group-wise sum演算を用いることができる。

　なお、^→e_i(i=1, …, N)は、M個の要素のうちK個の要素が1、それ以外のM-K個の要素が0である行ベクトルとなる。また、i番目のデータ^→x_iとj番目のデータ^→x_jが同じグループに属する場合は、^→e_i=^→e_jとなる。

　Ｓ１２０において、第２行列計算手段１２０は、V=(^→v₁, …, ^→v_N)^t（ただし、^→v_i(i=1, …, N)はi番目のデータ^→x_iの属性の番号を属性の番号順に並べた長さMの行ベクトル(1, 2, …, M)である）をN行M列の行列とし、Ｓ１１０で計算したシェア[[E]]を用いて、シェア[[X]]からN行K列の行列Y=(^→y₁, …, ^→y_N)^t（ただし、^→y_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対するi番目のデータ^→x_iの値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[Y]]を、シェア[[V]]からN行K列の行列U=(^→u₁, …, ^→u_N)^t（ただし、^→u_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性の番号を属性の番号順に並べた長さKの行ベクトルである）のシェア[[U]]をそれぞれ計算する。第２行列計算手段１２０は、例えば、シェア[[^→e_i]]に関してシェア[[^→x_i]]を秘密安定ソートすることにより得られるベクトルのM-K+1番目からM番目までの要素を順に並べた長さKの行ベクトルをシェア[[^→y_i]] (i=1, …, N)とすることにより、シェア[[Y]]を計算し、シェア[[^→e_i]]に関してシェア[[^→v_i]]を秘密安定ソートすることにより得られるベクトルのM-K+1番目からM番目までの要素を順に並べた長さKの行ベクトルをシェア[[^→u_i]](i=1, …, N)とすることにより、シェア[[U]]を計算する。秘密安定ソートには、例えば、参考非特許文献４に記載の方法を用いることができる。なお、シェア[[^→e_i]] (i=1, …, N)を秘密安定ソートすることにより得られるベクトルは、1番目からM-K番目までの要素が[[0]]、M-K+1番目からM番目までの要素が[[1]]となるベクトルである。

　Ｓ１３０において、第３行列計算手段１３０は、Ｓ１２０で計算したシェア[[Y]]からN行K列の行列S=(^→s₁, …, ^→s_N)^t（ただし、^→s_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対する当該グループの評価値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[S]]を計算する。シェア[[S]]の計算には、例えば、参考非特許文献５に記載のAttribute-wise test selectionアルゴリズムを用いることができる。

　Ｓ１４０において、第１ベクトル計算手段１４０は、Ｓ１２０で計算したシェア[[Y]]とシェア[[U]]を用いて、Ｓ１３０で計算したシェア[[S]]からシェア[[^→z]]を計算する。第１ベクトル計算手段１４０は、例えば、シェア[[^→s_i]]から長さKの行ベクトル^→h_i（ただし、^→h_iは^→s_iの要素の中で評価値が最良となる要素は1、それ以外の要素は0である行ベクトルである）のシェア[[^→h_i]]を計算し、シェア[[^→u_i]]とシェア[[^→h_i]]から^→u_iと^→h_iの内積^→u_i*^→h_iのシェア[[^→u_i*^→h_i]]を計算し、[[z_i]]=[[^→u_i*^→h_i]] (i=1, …, N)とすることにより、シェア[[^→z]]を計算する。

　秘密属性選択システム１０は、例えば、ランダムフォレストに基づく機械学習に用いることができる。

　本発明の実施形態によれば、所定の数のグループにグループ分けされた、M個の属性で構成されるN個のデータに対して、グループごとにランダムに選択されたK個の属性の中から評価値が最良となる属性の選択を効率的に秘密計算することが可能となる。具体的には、［背景技術］で説明した方法ではM個の属性すべてについて評価値を計算する必要があったのに対し、本発明の実施形態によれば、K個の属性について評価値を計算するだけで十分になるため、評価値の計算回数を減らすことが可能となる。
＜補記＞
　上述した各装置の各部の処理をコンピュータにより実現してもよく、この場合は各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムを図４に示すコンピュータ２０００の記録部２０２０に読み込ませ、演算処理部２０１０、入力部２０３０、出力部２０４０、補助記録部２０２５などを動作させることにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　本発明の装置は、例えば単一のハードウェアエンティティとして、ハードウェアエンティティの外部から信号を入力可能な入力部、ハードウェアエンティティの外部に信号を出力可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、演算処理部であるCPU（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるRAMやROM、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、CPU、RAM、ROM、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、CD-ROMなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

　ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるROMに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、RAMや外部記憶装置などに適宜に記憶される。

　ハードウェアエンティティでは、外部記憶装置（あるいはROMなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にCPUで解釈実行、処理される。その結果、CPUが所定の機能（上記、…部、…手段などと表した各構成部）を実現する。つまり、本発明の実施形態の各構成部は、処理回路(Processing Circuitry)により構成されてもよい。

　既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体は、例えば、非一時的な記録媒体であり、具体的には、磁気記録装置、光ディスク等である。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の非一時的な記憶装置である補助記録部２０２５に格納する。そして、処理の実行時、このコンピュータは、自己の非一時的な記憶装置である補助記録部２０２５に格納されたプログラムを記録部２０２０に読み込み、読み込んだプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを記録部２０２０に読み込み、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。

Claims

　N（Nは1以上の整数）をデータの数、M（Mは1以上の整数）をデータを構成する属性の数、X=(^→x₁, …, ^→x_N)^t（ただし、^→x_i(i=1, …, N)はi番目のデータを表す長さMの行ベクトルであり、N個のデータ^→x₁, …, ^→x_Nは所定の数のグループにグループ分けされ、同じグループに属するデータが隣接するように並んでいる）をN個のデータ^→x₁, …, ^→x_Nを表すN行M列の行列、^→g=(g₁, …, g_N)^t（ただし、g_i(i=1, …, N)はi番目のデータ^→x_iがあるグループの先頭のデータである場合には1、それ以外の場合には0である）をN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す長さNの列ベクトルとし、
　3個以上の秘密属性選択装置で構成され、N個のデータ^→x₁, …, ^→x_Nを表す行列Xのシェア[[X]]とN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す列ベクトル^→gのシェア[[^→g]]から、i番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性（Kは1以上M以下の整数）のうち評価値が最良となる属性の番号をi番目の要素z_iとする長さNの列ベクトル^→z=(z₁, …, z_N)^tのシェア[[^→z]]を計算する秘密属性選択システムであって、
　シェア[[^→g]]を用いて、N行M列の行列E=(^→e₁, …, ^→e_N)^t（ただし、^→e_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性を表す長さMの行ベクトルであり、行ベクトル^→e_iのj番目の要素e_i,jはj番目の属性が選択された属性である場合には1、それ以外の場合には0である）のシェア[[E]]を計算する第１行列計算手段と、
　V=(^→v₁, …, ^→v_N)^t（ただし、^→v_i(i=1, …, N)はi番目のデータ^→x_iの属性の番号を属性の番号順に並べた長さMの行ベクトル(1, 2, …, M)である）をN行M列の行列とし、
　シェア[[E]]を用いて、シェア[[X]]からN行K列の行列Y=(^→y₁, …, ^→y_N)^t（ただし、^→y_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対するi番目のデータ^→x_iの値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[Y]]を、シェア[[V]]からN行K列の行列U=(^→u₁, …, ^→u_N)^t（ただし、^→u_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性の番号を属性の番号順に並べた長さKの行ベクトルである）のシェア[[U]]をそれぞれ計算する第２行列計算手段と、
　シェア[[Y]]からN行K列の行列S=(^→s₁, …, ^→s_N)^t（ただし、^→s_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対する当該グループの評価値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[S]]を計算する第３行列計算手段と、
　シェア[[Y]]とシェア[[U]]を用いて、シェア[[S]]からシェア[[^→z]]を計算する第１ベクトル計算手段と、
　を含む秘密属性選択システム。
　請求項１に記載の秘密属性選択システムであって、
　前記第１行列計算手段は、
　N行M列の行列D=(^→d₁, …, ^→d_N)^t（ただし、^→d_i(i=1, …, N)はM個の要素のうちランダムに選択されたK個の要素が1、それ以外のM-K個の要素が0である長さMの行ベクトルである）のシェア[[D]]を生成し、
　シェア[[^→g]]を用いて、シェア[[D]]からN行M列の行列D’=(^→d’₁, …, ^→d’_N)^t（ただし、^→d’_i(i=1, …, N)はg_i=1である場合には^→d_i、g_i=0である場合には^→0（ただし、^→0はすべての要素が0である長さMの行ベクトル）である）のシェア[[D’]]を計算し、
　シェア[[^→g]]を用いて、シェア[[D’]]からシェア[[E]]を計算する
　ことを特徴とする秘密属性選択システム。
　請求項１に記載の秘密属性選択システムであって、
　前記第２行列計算手段は、
　シェア[[^→e_i]]に関してシェア[[^→x_i]]を秘密安定ソートすることにより得られるベクトルのM-K+1番目からM番目までの要素を順に並べた長さKの行ベクトルをシェア[[^→y_i]] (i=1, …, N)とすることにより、シェア[[Y]]を計算し、
　シェア[[^→e_i]]に関してシェア[[^→v_i]]を秘密安定ソートすることにより得られるベクトルのM-K+1番目からM番目までの要素を順に並べた長さKの行ベクトルをシェア[[^→u_i]](i=1, …, N)とすることにより、シェア[[U]]を計算する
　ことを特徴とする秘密属性選択システム。
　請求項１に記載の秘密属性選択システムであって、
　前記第１ベクトル計算手段は、
　シェア[[^→s_i]]から長さKの行ベクトル^→h_i（ただし、^→h_iは^→s_iの要素の中で評価値が最良となる要素は1、それ以外の要素は0である行ベクトルである）のシェア[[^→h_i]]を計算し、シェア[[^→u_i]]とシェア[[^→h_i]]から^→u_iと^→h_iの内積^→u_i*^→h_iのシェア[[^→u_i*^→h_i]]を計算し、[[z_i]]=[[^→u_i*^→h_i]] (i=1, …, N)とすることにより、シェア[[^→z]]を計算する
　ことを特徴とする秘密属性選択システム。
　N（Nは1以上の整数）をデータの数、M（Mは1以上の整数）をデータを構成する属性の数、X=(^→x₁, …, ^→x_N)^t（ただし、^→x_i(i=1, …, N)はi番目のデータを表す長さMの行ベクトルであり、N個のデータ^→x₁, …, ^→x_Nは所定の数のグループにグループ分けされ、同じグループに属するデータが隣接するように並んでいる）をN個のデータ^→x₁, …, ^→x_Nを表すN行M列の行列、^→g=(g₁, …, g_N)^t（ただし、g_i(i=1, …, N)はi番目のデータ^→x_iがあるグループの先頭のデータである場合には1、それ以外の場合には0である）をN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す長さNの列ベクトルとし、
　N個のデータ^→x₁, …, ^→x_Nを表す行列Xのシェア[[X]]とN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す列ベクトル^→gのシェア[[^→g]]から、i番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性（Kは1以上M以下の整数）のうち評価値が最良となる属性の番号をi番目の要素z_iとする長さNの列ベクトル^→z=(z₁, …, z_N)^tのシェア[[^→z]]を計算する、3個以上の秘密属性選択装置で構成される秘密属性選択システムの中の秘密属性選択装置であって、
　シェア[[^→g]]を用いて、N行M列の行列E=(^→e₁, …, ^→e_N)^t（ただし、^→e_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性を表す長さMの行ベクトルであり、行ベクトル^→e_iのj番目の要素e_i,jはj番目の属性が選択された属性である場合には1、それ以外の場合には0である）のシェア[[E]]を計算する第１行列計算部と、
　V=(^→v₁, …, ^→v_N)^t（ただし、^→v_i(i=1, …, N)はi番目のデータ^→x_iの属性の番号を属性の番号順に並べた長さMの行ベクトル(1, 2, …, M)である）をN行M列の行列とし、
　シェア[[E]]を用いて、シェア[[X]]からN行K列の行列Y=(^→y₁, …, ^→y_N)^t（ただし、^→y_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対するi番目のデータ^→x_iの値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[Y]]を、シェア[[V]]からN行K列の行列U=(^→u₁, …, ^→u_N)^t（ただし、^→u_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性の番号を属性の番号順に並べた長さKの行ベクトルである）のシェア[[U]]をそれぞれ計算する第２行列計算部と、
　シェア[[Y]]からN行K列の行列S=(^→s₁, …, ^→s_N)^t（ただし、^→s_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対する当該グループの評価値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[S]]を計算する第３行列計算部と、
　シェア[[Y]]とシェア[[U]]を用いて、シェア[[S]]からシェア[[^→z]]を計算する第１ベクトル計算部と、
　を含む秘密属性選択装置。
　N（Nは1以上の整数）をデータの数、M（Mは1以上の整数）をデータを構成する属性の数、X=(^→x₁, …, ^→x_N)^t（ただし、^→x_i(i=1, …, N)はi番目のデータを表す長さMの行ベクトルであり、N個のデータ^→x₁, …, ^→x_Nは所定の数のグループにグループ分けされ、同じグループに属するデータが隣接するように並んでいる）をN個のデータ^→x₁, …, ^→x_Nを表すN行M列の行列、^→g=(g₁, …, g_N)^t（ただし、g_i(i=1, …, N)はi番目のデータ^→x_iがあるグループの先頭のデータである場合には1、それ以外の場合には0である）をN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す長さNの列ベクトルとし、
　3個以上の秘密属性選択装置で構成される秘密属性選択システムが、N個のデータ^→x₁, …, ^→x_Nを表す行列Xのシェア[[X]]とN個のデータ^→x₁, …, ^→x_Nをグループ分けしたグループを表す列ベクトル^→gのシェア[[^→g]]から、i番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性（Kは1以上M以下の整数）のうち評価値が最良となる属性の番号をi番目の要素z_iとする長さNの列ベクトル^→z=(z₁, …, z_N)^tのシェア[[^→z]]を計算する秘密属性選択方法であって、
　前記秘密属性選択システムが、シェア[[^→g]]を用いて、N行M列の行列E=(^→e₁, …, ^→e_N)^t（ただし、^→e_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性を表す長さMの行ベクトルであり、行ベクトル^→e_iのj番目の要素e_i,jはj番目の属性が選択された属性である場合には1、それ以外の場合には0である）のシェア[[E]]を計算する第１行列計算ステップと、
　V=(^→v₁, …, ^→v_N)^t（ただし、^→v_i(i=1, …, N)はi番目のデータ^→x_iの属性の番号を属性の番号順に並べた長さMの行ベクトル(1, 2, …, M)である）をN行M列の行列とし、
　前記秘密属性選択システムが、シェア[[E]]を用いて、シェア[[X]]からN行K列の行列Y=(^→y₁, …, ^→y_N)^t（ただし、^→y_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対するi番目のデータ^→x_iの値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[Y]]を、シェア[[V]]からN行K列の行列U=(^→u₁, …, ^→u_N)^t（ただし、^→u_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性の番号を属性の番号順に並べた長さKの行ベクトルである）のシェア[[U]]をそれぞれ計算する第２行列計算ステップと、
　前記秘密属性選択システムが、シェア[[Y]]からN行K列の行列S=(^→s₁, …, ^→s_N)^t（ただし、^→s_i(i=1, …, N)はi番目のデータ^→x_iが属するグループにおいてランダムに選択されたK個の属性に対する当該グループの評価値を属性の番号順に並べた長さKの行ベクトルである）のシェア[[S]]を計算する第３行列計算ステップと、
　前記秘密属性選択システムが、シェア[[Y]]とシェア[[U]]を用いて、シェア[[S]]からシェア[[^→z]]を計算する第１ベクトル計算ステップと、
　を含む秘密属性選択方法。
　請求項５に記載の秘密属性選択装置としてコンピュータを機能させるためのプログラム。