WO2023233516A1

WO2023233516A1 - 秘密計算装置、秘密計算方法、プログラム

Info

Publication number: WO2023233516A1
Application number: PCT/JP2022/022111
Authority: WO
Inventors: 亮菊池; 大五十嵐; 気吹三品; 弘貴須藤
Original assignee: 日本電信電話株式会社
Priority date: 2022-05-31
Filing date: 2022-05-31
Publication date: 2023-12-07

Abstract

秘密計算装置は、対応するレコードがダミーレコードでない場合に上位となることを第１優先とし、キー列を第２優先としてテーブルをソートするダミーレコード分離ソート部と、そのレコードが境界であるか否かを示す境界フラグを生成する境界フラグ生成部と、あるレコードのバリューよりも上位に位置するバリューを全て該当バリューに加算して加算バリューを生成する加算バリュー生成部と、テーブルを境界であるレコードが上位となることを優先して安定ソートする境界ソート部と、テーブルの最上位のレコードの加算バリューをそのまま差分バリューとし、テーブルの２番目以降のレコードの加算バリューについては、その１つ上のレコードの加算バリューとの差分を差分バリューとして差分バリューを生成する差分バリュー生成部と、キー列と差分バリュー列と境界フラグ列を含むテーブルを出力する演算結果出力部を含む。

Description

秘密計算装置、秘密計算方法、プログラム

　本発明は、暗号化されたダミーフラグ列を有するデータを暗号化したまま集合演算する秘密計算装置、秘密計算方法、プログラムに関する。

　データを安全に扱うために、暗号化したまま分析する秘密計算という技術が研究されている。その中でも、暗号化したまま条件に合うデータの取り出しや集計値などを効率的に算出するために、暗号化データベース処理が考えられている。

　DB処理の一種であるGroup-by演算とはグループ化処理であり、テーブルを入力とし、指定したカラムの値ごとにグループ化し、場合によってそのグループごとの統計値を計算してテーブル形式で出力するものである。これを暗号化したまま行う方法は非特許文献１にて提案されている。ここで考えられている入出力は、通常のテーブルを、各要素ごとに暗号化したテーブルであった。

菊池亮、濱田浩気、五十嵐大、高橋元、高橋克巳、"横断的動線分析を秘密計算でやってみよう", In SCIS, 2020.

　一方、暗号化したままデータベース処理を行う場合、その入出力は通常のテーブルとは異なり、ダミーレコードが挿入されており、ダミーフラグ列（対応するレコードがダミーレコードであるか否かを示すダミーフラグの列）が付与されていることがある。

　このような入力の場合、非特許文献１で提案されたアルゴリズムは機能しない。なぜなら、入力の形式が異なることに加えて、いままでは全てのレコードが意味のある値であることを想定していたため、ダミーレコードをスキップして処理を行うことができておらず、無視すべきvの値が最終結果に影響してしまい、本来の結果を得ることができない。

　そこで本発明では、暗号化されたダミーフラグ列を有するデータを暗号化したまま集合演算することができる秘密計算装置を提供することを目的とする。

　本発明の秘密計算装置は、キー列と、バリュー列と、対応するレコードがダミーレコードであるか否かを示すダミーフラグ列を含む暗号化された第１のテーブルを、キー列に基づいて秘匿したままGroupby-sum演算する秘密計算装置であって、ダミーレコード分離ソート部と、境界フラグ生成部と、加算バリュー生成部と、境界ソート部と、差分バリュー生成部と、演算結果出力部を含む。

　ダミーレコード分離ソート部は、対応するレコードがダミーレコードでない場合に上位となることを第１優先とし、キー列を第２優先として第１のテーブルをソートする。境界フラグ生成部は、あるレコードがダミーレコードでなく、かつ、そのレコードのキーと一つ下にあるレコードのキーとが異なる場合を第１の場合とし、あるレコードがダミーレコードでなく、一つ下にあるレコードがダミーレコードである場合を第２の場合とし、あるレコードがダミーレコードでなく、かつ、最も下に位置するレコードである場合を第３の場合とし、第１～第３の場合の何れかに該当する場合にそのレコードが境界であることを示すフラグ値を持ち、第１～第３の場合の何れにも該当しない場合にそのレコードが境界でないことを示すフラグ値を持つ境界フラグを生成する。加算バリュー生成部は、あるレコードのバリューに対し、そのレコードよりも上位に位置するバリューを全て加算し、該当レコードの加算バリューとして生成する。境界ソート部は、キー列と加算バリュー列と境界フラグ列を含む第２のテーブルを、境界であるレコードが上位となることを優先して安定ソートする。差分バリュー生成部は、第２のテーブルの最上位のレコードの加算バリューをそのまま差分バリューとし、第２のテーブルの２番目以降のレコードの加算バリューについては、その１つ上のレコードの加算バリューとの差分を差分バリューとして差分バリューを生成する。演算結果出力部は、キー列と差分バリュー列と境界フラグ列を含む第３のテーブルを出力する。

　本発明の秘密計算装置によれば、暗号化されたダミーフラグ列を有するデータを暗号化したまま集合演算することができる。

秘密計算装置に入力される暗号化データ（第１のテーブル）の概要を説明する図。実施例１の秘密計算装置の機能構成を示すブロック図。実施例１の秘密計算装置の動作を示すフローチャート。秘密計算装置に入力される第１のテーブルの例を示す図。ダミーレコード分離ソート部による処理後の第１のテーブルの例を示す図。境界フラグ生成部による処理後の第１のテーブルの例を示す図。加算バリュー生成部による処理後の第１のテーブルの例を示す図。境界ソート部による処理後の第２のテーブルの例を示す図。差分バリュー生成部による処理後の第２のテーブルの例を示す図。演算結果出力部により出力される第３のテーブルの例を示す図。第２演算結果出力部により出力される第３のテーブルの例を示す図。秘密計算装置の処理（ステップＳ１１～Ｓ１６）までのアルゴリズムを示す図。秘密計算装置の処理（ステップＳ１１～Ｓ１７）までのアルゴリズムを示す図。コンピュータの機能構成例を示す図。

＜構成要素＞
　暗号化されたデータを[x]と書き、ベクトルをx^→ = (x₁, … , x_n)と書き、[x^→] = ([x₁], … , [x_n])とする。

　暗号化は秘密分散（例えば参考非特許文献１）や準同型暗号（例えば参考非特許文献２）など、暗号化したまま下記の演算が可能なものとする。

（参考非特許文献１：Dai Ikarashi, Ryo Kikuchi, Koki Hamada, and Koji Chida. Actively private and correct MPC scheme in t < n/2 from passively secure schemes with small overhead. IACR Cryptology ePrint Archive, Vol. 2014, p. 304, 2014.）
（参考非特許文献２：Zvika Brakerski, Craig Gentry, and Vinod Vaikuntanathan. Fully homomorphic encryption without bootstrapping. Electronic Colloquium on Computational Complexity (ECCC), Vol. 18, p. 111, 2011.）
　格納する値に対して異なる暗号化を用いても良いため、通常の秘密の暗号化は[・]、ビット値は[[・]]、置換は<π>と記述する。

≪加減算、定数倍≫
　秘密分散と準同型暗号は自然にサポートしている。c[a] ± [b] = [ca ± b]などとかく。

≪乗算≫
　秘密分散であれば参考非特許文献１にある方法で、準同型暗号であれば準同型演算で計算可能である。これを[c] ← Mult([a], [b])（ただしc = ab）とかく。

≪安定ソート≫
　入力[x^→] = ([x₁], … , [x_n])を、i ∈ {1, … , n - 1}についてx'_i≦x'_i+1であるような[x'^→] = ([x'₁] , … , [x'_n])に並び替える動作。ただしx'_i = x'_i+1であるとき元々のx^→の並び順が優先されるものとする。より具体的には2つのアルゴリズム(GenPerm, Sort)からなる。

・<π> ← GenPerm([x^→]): x^→を並び替える置換πを暗号化した<π>を出力する。

・[x'^→] ←Sort(<π>, [x^→]): πをx^→に適用し並び替えたx'^→を暗号化したまま計算する。

　簡単のため、複数のベクトルを同じ置換でソートする際には([x'^→], [y'^→]) ← Sort(<π>, ([x^→], [y^→]))などと書く。自明な構成方法はソーティングネットワークである。また秘密分散であれば参考非特許文献３など効率化されたものがある。

（参考非特許文献３：Koji Chida, Koki Hamada, Dai Ikarashi, Ryo Kikuchi, Naoto Kiribuchi, and Benny Pinkas. An efficient secure three-party sorting protocol with an honest majority. IACR Cryptology ePrint Archive, Vol. 2019, p. 695, 2019.）
≪Modulus conversion≫
　ビット値の暗号化[[a]]を入力として、同じ値の暗号化ではあるが暗号文の形が違う[a]を生成する方法。[a] ←ModConv([[a]])と書く。具体例は例えば参考非特許文献４にある。

（参考非特許文献４： Ryo Kikuchi, Dai Ikarashi, Takahiro Matsuda, Koki Hamada, and Koji Chida. Efficient bitdecomposition and modulus-conversion protocols with an honest majority. In ACISP 2018, pp.64-82, 2018.）
≪Bit decomposition≫
　整数値の暗号化[k]を入力として、kをビット表現した同じ値の暗号化ではあるが暗号文の形が違う[[k]]を生成する方法。[[k^→]] ← BitDecomp([k^→])と書く。ただし、k^→ = (k₁, k₂, … , k_l) としたとき、k =Σ^l _i=1 2^i-1k_iである。具体例は例えば参考非特許文献４にある。

≪等号判定≫
　[x], [y]を入力として、x = yならば1, x ≠ y ならば0となるような[e]を出力するもの。[e] ← Eq([x], [y]), where e ={1 if x = y |0 otherwise}と書く。また、複数の要素の等号判定を行う場合、[e] ← Eq(([a], [b]), ([c], [d])) where e ={1 if a = c and b = d |0 otherwise}とも書く。

　一般にビット表現でデータが暗号化されているならば、[x - y]の各ビットが0かどうかを回路計算すればよく、回路計算は加減算と乗算で計算可能である。整数表現で暗号化されている場合であれば、ビット分解（参考非特許文献４）を用いてビット表現に変更して同様に回路を計算すればよい。他にもmod p上で暗号化されているのであれば、[(x - y)^p-1]を乗算を使って計算しても良い。

≪If-then≫
　フラグ[f], ただしf ∈ {0, 1}、と[x], [y]を入力として、f = 1ならば[x]をf = 0ならば[y] を出力する方法。[e] ←Ifthen([f] : [x], [y]), where e ={x if f = 1 |y otherwise}と書く。Mult([f], [x]) + Mult([1 - f], [y]) などで実現できる。

≪入力の定義≫
　レコード数m、キーk^→、バリューv^→、フラグf^→からなる。フラグはビットのシェアとする。もしビットでなかった場合はビット分解プロトコルでビットに変換する。図１に秘密計算装置に入力される暗号化データ（第１のテーブル）の概要を示す。

　以下、本発明の実施の形態について、詳細に説明する。なお、同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。なお、以下の実施例の説明、および図面において、ビット値の暗号化データを示す記号[[ ]]は場合により[ ]と簡略化して表記される場合がある。

　以下、図２を参照して実施例１の秘密計算装置の機能構成を説明する。本実施例の秘密計算装置１は、キー列と、バリュー列と、対応するレコードがダミーレコードであるか否かを示すダミーフラグ列を含む暗号化された第１のテーブルを、キー列に基づいて秘匿したままGroupby-sum演算する秘密計算装置１であって、同図に示すように、ダミーレコード分離ソート部１１と、境界フラグ生成部１２と、加算バリュー生成部１３と、境界ソート部１４と、差分バリュー生成部１５と、演算結果出力部１６と、第２演算結果出力部１７を含む。

　以下、図３を参照して、各構成要件の動作を説明する。

＜ダミーレコード分離ソート部１１＞
　ダミーレコード分離ソート部１１は、対応するレコードがダミーレコードでない場合に上位となることを第１優先とし、キー列を第２優先として第１のテーブルをソートする（Ｓ１１）。ダミーレコード分離ソート部１１の処理は、図１２に例示するアルゴリズムの１～４行目の処理に相当する。

　以下、図４に示す第１のテーブルが秘密計算装置１に入力され、ダミーレコード分離ソート部１１で処理される場合についてアルゴリズムの１～４行目を参照しながら説明する。図１２の例におけるアルゴリズムでは、対応するレコードがダミーレコードでない場合を[f^→]=[1]と表現する。すなわち、対応するレコードがダミーレコードである場合を[f^→]=[0]と表現する。

　従って、ダミーレコード分離ソート部１１は、[f^→]の否定（アルゴリズムの２行目）を第１優先のキーとして、レコードを昇順にソートする（アルゴリズムの３、４行目）。あるいは、ダミーレコード分離ソート部１１は、[f^→]を第１優先のキーとして、レコードを降順にソートしても同じことである。さらにダミーレコード分離ソート部１１は、キー列、すなわち[k^→]を第２優先のキーとして、レコードをソートする（アルゴリズムの３、４行目）。

　図４に示す第１のテーブルをダミーレコード分離ソート部１１により処理した後の第１のテーブルを図５に示す。ソート結果のレコードは、[k'^→]、[v'^→]、[f'^→]と、「’」を付与して表現される。

　図５に示すように、ダミーレコードでないレコード（[f^→] = [1]）が上位に集められ、さらに[k^→]に基づいて昇順にソートされていることが分かる。

＜境界フラグ生成部１２＞
　境界フラグ生成部１２は、あるレコードがダミーレコードでなく、かつ、そのレコードのキーと一つ下にあるレコードのキーとが異なる場合を第１の場合とし、あるレコードがダミーレコードでなく、一つ下にあるレコードがダミーレコードである場合を第２の場合とし、あるレコードがダミーレコードでなく、かつ、最も下に位置するレコードである場合を第３の場合とし、第１～第３の場合の何れかに該当する場合にそのレコードが境界であることを示すフラグ値を持ち、第１～第３の場合の何れにも該当しない場合にそのレコードが境界でないことを示すフラグ値を持つ境界フラグを生成する（Ｓ１２）。境界フラグ生成部１２の処理は、図１２に例示するアルゴリズムの５～１０行目の処理に相当する。

　以下、図５に示す第１のテーブルが、境界フラグ生成部１２で処理される場合についてアルゴリズムの５～１０行目を参照しながら説明する。

　図５の例において、i番目のレコードがダミーレコードでなく（mをテーブルに含まれるレコード数とし、i = 1, ... , m - 1とし、f'_i = 1）、かつ、i + 1番目のレコードのキーとが異なる（k'_i≠k'_i+1）場合（第１の場合）に該当するのは、２、３行目のレコードであり、２、３行目のレコードには、境界であることを示す[e'^→] = [0]が付与される（アルゴリズムの６行目）。

　また、i番目のレコードがダミーレコードでなく（f'_i = 1）、i + 1番目のレコードがダミーレコードである（f'_i+1 = 0）場合（第２の場合）に該当するのは、５行目のレコードであり、５行目のレコードには、境界であることを示す[e'^→] = [0]が付与される（アルゴリズムの７行目）。

　また、あるレコードがダミーレコードでなく、かつ、最も下に位置するレコードである（f'_m= 1）場合（第３の場合）、は、ダミーレコードが一つも存在しない場合に相当するため、図５の例においては該当するレコードは存在しないが、もしこのようなレコードが存在する場合には、境界であることを示す[e'^→] = [0]が付与される（アルゴリズムの８行目）。

　また、図５の例において第１～第３の場合の何れにも該当しないレコードは、１、４、７、８行目であり、境界でないことを示す[e'^→] = [1]が付与される。

　図５に示す第１のテーブルを境界フラグ生成部１２により処理した後の第１のテーブルを図６に示す。

＜加算バリュー生成部１３＞
　加算バリュー生成部１３は、あるレコードのバリューに対し、そのレコードよりも上位に位置するバリューを全て加算し、該当レコードの加算バリューとして生成する（Ｓ１３）。加算バリュー生成部１３の処理は、図１２に例示するアルゴリズムの１１～１２行目の処理に相当する。

　以下、図６に示す第１のテーブルが、加算バリュー生成部１３で処理される場合についてアルゴリズムの１１～１２行目を参照しながら説明する。

　図６の例において、i番目のレコードのバリュー[v'_i]に対し、そのレコードよりも上位に位置するバリュー（[v'₁] + … + [v'_i-1]）を全て加算（[x_i] = [v'₁] + … + [v'_i]）し、i番目のレコードの加算バリュー[x_i]として生成する。なお、最も上位のバリュー[v'₁]については、そのレコードよりも上位に位置するバリューが存在しないため、[x₁] = [v'₁]となる。

　図６に示す第１のテーブルを加算バリュー生成部１３により処理した後の第１のテーブルを図７に示す。図７に示すように、[x₁] = [v'₁] = [2]，[x₂] = [v'₁] + [v'₂] = [2] + [3] = [5]，[x₃] = [v'₁] + [v'₂] + [v'₃] = [2] + [3] + [1] = [6]，…となる。

＜境界ソート部１４＞
　境界ソート部１４は、キー列と加算バリュー列と境界フラグ列を含む第２のテーブルを、境界であるレコードが上位となることを優先して安定ソートする（Ｓ１４）。境界ソート部１４の処理は、図１２に例示するアルゴリズムの１３～１４行目の処理に相当する。

　以下、図７に示す第１のテーブルが、境界ソート部１４で処理される場合についてアルゴリズムの１３～１４行目を参照しながら説明する。

　図７の例において、キー列[k'^→]と加算バリュー列[x^→]と境界フラグ列[e’^→]を含む第２のテーブルを抽出し、第２のテーブルは、境界フラグ列[e’^→]をキーとし、境界であるレコード（[e'^→] = [0]）が上位となることを優先して安定ソートされる。

　図７に示す第１のテーブルを境界ソート部１４により処理した後の第２のテーブルを図８に示す。ソート結果のレコードは、[k''^→]、[x'^→]、[e''^→]と、「’」を付与して表現される。図８に示すように、[e'^→] = [0]のレコードが上位に移動されていることが分かる。また、安定ソートにより１－２行目のレコードの順序、６－７行目のレコードの順序は維持されていることが分かる。なお、不要なカラムを割愛して説明を簡略化するためにステップＳ１４の処理において第１のテーブルから第２のテーブルを抽出することとしたが、この抽出処理は必須ではなく、図７に示す第１のテーブルを単にソートするだけでも足りる。

＜差分バリュー生成部１５＞
　差分バリュー生成部１５は、第２のテーブルの最上位のレコードの加算バリューをそのまま差分バリューとし、第２のテーブルの２番目以降のレコードの加算バリューについては、その１つ上のレコードの加算バリューとの差分を差分バリューとして差分バリューを生成する。差分バリュー生成部１５の処理は、図１２に例示するアルゴリズムの１５～１６行目の処理に相当する。

　以下、図８に示す第２のテーブルが、差分バリュー生成部１５で処理される場合についてアルゴリズムの１５～１６行目を参照しながら説明する。

　図８の例において、差分バリュー生成部１５は、第２のテーブルの最上位のレコードの加算バリューをそのまま差分バリューとし（[x₁'] = [x₁'']）、第２のテーブルの２番目以降のレコードの加算バリュー（[x'_i], i = 2, ... ,m）については、その１つ上のレコードの加算バリュー（[x'_i-1]）との差分を差分バリュー（[x''_i] = [x'_i] - [x'_i-1]）として差分バリューを生成する。

　図８に示す第２のテーブルを差分バリュー生成部１５により処理した後の第２のテーブルを図９に示す。図９に示すように、[x''₁] = [x'₁] = [5]，[x''₂] = [x'₂] - [x'₁] = [6] - [5] = [1]，[x''₃] = [x'₃] - [x'₂] = [15] - [6] = [9]，…となる。前述した境界ソート処理（Ｓ１４）により、各キー列による各グループのバリューの合計値をさらに加算したものが加算バリューとして上位（図９の例では１～３行目）に表示される。この加算バリューに対して上述の差分バリューを生成することにより、キー列による各グループのバリューの合計値のみを抽出することができるため、これがすなわち求めたいgroupby-sumの結果と一致する（図９の１～３行目のX''^→）。さらに、境界ソート処理（Ｓ１４）により、ダミーレコードを含むレコードや、境界に該当しないレコードについては下位（図９の例では４～７行目）に表示され、groupby-sumの結果として扱われない。

＜演算結果出力部１６＞
　演算結果出力部１６は、キー列と差分バリュー列と境界フラグ列を含む第３のテーブルを出力する（Ｓ１６）。なお、演算結果出力部１６は、キー列と差分バリュー列と境界フラグ列の否定を含む第３のテーブルを出力してもよく、図１２のアルゴリズム例では、境界フラグ列の否定を含むテーブルを出力する構成となっている。演算結果出力部１６の処理は、図１２に例示するアルゴリズムの１７～１８行目の処理に相当する。

　以下、図９に示す第２のテーブルが、演算結果出力部１６で処理される場合についてアルゴリズムの１７～１８行目を参照しながら説明する。

　図９の例において、演算結果出力部１６は、[e'^→]の各要素の否定を取ったもの（1-[e'^→]）を[e'''^→]とし（アルゴリズムの１７行目）、([k''^→], [x'^→], [e'''^→])を第３のテーブルとして出力する（アルゴリズムの１８行目）。図９に示す第２のテーブルを演算結果出力部１６により処理した後の第３のテーブルを図１０に示す。なお、不要なカラムを割愛して説明を簡略化するためにステップＳ１６の処理において第２のテーブルから第３のテーブルに変換して出力することとしたが、この処理は必須ではなく、例えば秘密計算装置１は、第１のテーブルに上記ステップＳ１１～Ｓ１６を実行して第１のテーブルのまま、出力してもよい。

＜第２演算結果出力部１７＞
　第２演算結果出力部１７は、ステップＳ１５で処理した第２のテーブル（図９に例示）のあるレコードの境界フラグが境界でないことを示す場合に、該当するレコードのキーを所定の文字列を秘匿したものに置き換え、該当するレコードの差分バリューを０を秘匿したものに置き換えて、キー列と差分バリュー列と境界フラグ列を含む第４のテーブルとして出力する（Ｓ１７）。第２演算結果出力部１７の処理は、図１３に例示するアルゴリズム（null処理あり、図１２のアルゴリズムの別バージョンに該当）の１７～１８行目の処理に相当する。

　以下、図９に示す第２のテーブルが、第２演算結果出力部１７で処理される場合について図１３のアルゴリズムの１７～１８行目を参照しながら説明する。

　図９の例において、第２のテーブルのi番目のレコードの境界フラグが境界でないことを示す場合に、該当するレコードのキーを所定の文字列（null）を秘匿したもの（[null]）に置き換え、該当するレコードの差分バリューを０を秘匿したもの（[0]）に置き換え、キー列と差分バリュー列と境界フラグ列を含む第４のテーブル,すなわち([k'''^→], [x''''^→], [e'''^→])を第４のテーブルとして出力する（Ｓ１７）。図９に示す第２のテーブルを第２演算結果出力部１７により処理した後の第４のテーブルを図１１に示す。

　なお、不要なカラムを割愛して説明を簡略化するためにステップＳ１７の処理において第２のテーブルから第４のテーブルに変換して出力することとしたが、この処理は必須ではない。例えば秘密計算装置１は、第１のテーブルに上記ステップＳ１１～Ｓ１５、Ｓ１７を実行して第１のテーブルのまま、出力してもよい。

＜実施例１の秘密計算装置１による効果＞
　実施例１の秘密計算装置１によれば、ダミーフラグを用いてソートすることでダミーレコードを最下位レコードとし、またグループの境界判定ビットについて、ダミーフラグが該当のレコードがダミーレコードであることを示す場合に境界にならないようなif文処理を加え、sumの処理ではまず上からの総和を計算した後、出力になる値のみソートで上位に抽出し、ひとつ前との差分を計算することで、通信を伴わない加減算処理の組み合わせで、復号することなくgroupby-sumを達成した。

＜補記＞
　本発明の装置は、例えば単一のハードウェアエンティティとして、キーボードなどが接続可能な入力部、液晶ディスプレイなどが接続可能な出力部、ハードウェアエンティティの外部に通信可能な通信装置（例えば通信ケーブル）が接続可能な通信部、ＣＰＵ（Central Processing Unit、キャッシュメモリやレジスタなどを備えていてもよい）、メモリであるＲＡＭやＲＯＭ、ハードディスクである外部記憶装置並びにこれらの入力部、出力部、通信部、ＣＰＵ、ＲＡＭ、ＲＯＭ、外部記憶装置の間のデータのやり取りが可能なように接続するバスを有している。また必要に応じて、ハードウェアエンティティに、ＣＤ－ＲＯＭなどの記録媒体を読み書きできる装置（ドライブ）などを設けることとしてもよい。このようなハードウェア資源を備えた物理的実体としては、汎用コンピュータなどがある。

　ハードウェアエンティティの外部記憶装置には、上述の機能を実現するために必要となるプログラムおよびこのプログラムの処理において必要となるデータなどが記憶されている（外部記憶装置に限らず、例えばプログラムを読み出し専用記憶装置であるＲＯＭに記憶させておくこととしてもよい）。また、これらのプログラムの処理によって得られるデータなどは、ＲＡＭや外部記憶装置などに適宜に記憶される。

　ハードウェアエンティティでは、外部記憶装置（あるいはＲＯＭなど）に記憶された各プログラムとこの各プログラムの処理に必要なデータが必要に応じてメモリに読み込まれて、適宜にＣＰＵで解釈実行・処理される。その結果、ＣＰＵが所定の機能（上記、…部、…手段などと表した各構成要件）を実現する。

　本発明は上述の実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更が可能である。また、上記実施形態において説明した処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されるとしてもよい。

　既述のように、上記実施形態において説明したハードウェアエンティティ（本発明の装置）における処理機能をコンピュータによって実現する場合、ハードウェアエンティティが有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムをコンピュータで実行することにより、上記ハードウェアエンティティにおける処理機能がコンピュータ上で実現される。

　上述の各種の処理は、図１４に示すコンピュータ１００００の記録部１００２０に、上記方法の各ステップを実行させるプログラムを読み込ませ、制御部１００１０、入力部１００３０、出力部１００４０などに動作させることで実施できる。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。具体的には、例えば、磁気記録装置として、ハードディスク装置、フレキシブルディスク、磁気テープ等を、光ディスクとして、ＤＶＤ（Digital Versatile Disc）、ＤＶＤ－ＲＡＭ（Random Access Memory）、ＣＤ－ＲＯＭ（Compact Disc Read Only Memory）、ＣＤ－Ｒ（Recordable）／ＲＷ（ReWritable）等を、光磁気記録媒体として、ＭＯ（Magneto-Optical disc）等を、半導体メモリとしてＥＥＰ－ＲＯＭ（Electrically Erasable and Programmable-Read Only Memory）等を用いることができる。

　また、このプログラムの流通は、例えば、そのプログラムを記録したＤＶＤ、ＣＤ－ＲＯＭ等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記録媒体に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるＡＳＰ（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、ハードウェアエンティティを構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　キー列と、バリュー列と、対応するレコードがダミーレコードであるか否かを示すダミーフラグ列を含む暗号化された第１のテーブルを、前記キー列に基づいて秘匿したままGroupby-sum演算する秘密計算装置であって、
　対応するレコードがダミーレコードでない場合に上位となることを第１優先とし、キー列を第２優先として前記第１のテーブルをソートするダミーレコード分離ソート部と、
　あるレコードがダミーレコードでなく、かつ、そのレコードのキーと一つ下にあるレコードのキーとが異なる場合を第１の場合とし、あるレコードがダミーレコードでなく、一つ下にあるレコードがダミーレコードである場合を第２の場合とし、あるレコードがダミーレコードでなく、かつ、最も下に位置するレコードである場合を第３の場合とし、第１～第３の場合の何れかに該当する場合にそのレコードが境界であることを示すフラグ値を持ち、第１～第３の場合の何れにも該当しない場合にそのレコードが境界でないことを示すフラグ値を持つ境界フラグを生成する境界フラグ生成部と、
　あるレコードのバリューに対し、そのレコードよりも上位に位置するバリューを全て加算し、該当レコードの加算バリューとして生成する加算バリュー生成部と、
　キー列と加算バリュー列と境界フラグ列を含む第２のテーブルを、境界であるレコードが上位となることを優先して安定ソートする境界ソート部と、
　前記第２のテーブルの最上位のレコードの加算バリューをそのまま差分バリューとし、前記第２のテーブルの２番目以降のレコードの加算バリューについては、その１つ上のレコードの加算バリューとの差分を差分バリューとして差分バリューを生成する差分バリュー生成部と、
　キー列と差分バリュー列と境界フラグ列を含む第３のテーブルを出力する演算結果出力部を含む
　秘密計算装置。
　請求項１に記載の秘密計算装置であって、
　前記第２のテーブルのあるレコードの境界フラグが境界でないことを示す場合に、該当するレコードのキーを所定の文字列を秘匿したものに置き換え、該当するレコードの差分バリューを０を秘匿したものに置き換えて、キー列と差分バリュー列と境界フラグ列を含む第４のテーブルとして出力する第２演算結果出力部を含む
　秘密計算装置。
　キー列と、バリュー列と、対応するレコードがダミーレコードであるか否かを示すダミーフラグ列を含む暗号化された第１のテーブルを、前記キー列に基づいて秘匿したままGroupby-sum演算する秘密計算装置が実行する秘密計算方法であって、
　対応するレコードがダミーレコードでない場合に上位となることを第１優先とし、キー列を第２優先として前記第１のテーブルをソートするダミーレコード分離ソート部と、
　あるレコードがダミーレコードでなく、かつ、そのレコードのキーと一つ下にあるレコードのキーとが異なる場合を第１の場合とし、あるレコードがダミーレコードでなく、一つ下にあるレコードがダミーレコードである場合を第２の場合とし、あるレコードがダミーレコードでなく、かつ、最も下に位置するレコードである場合を第３の場合とし、第１～第３の場合の何れかに該当する場合にそのレコードが境界であることを示すフラグ値を持ち、第１～第３の場合の何れにも該当しない場合にそのレコードが境界でないことを示すフラグ値を持つ境界フラグを生成するステップと、
　あるレコードのバリューに対し、そのレコードよりも上位に位置するバリューを全て加算し、該当レコードの加算バリューとして生成するステップと、
　キー列と加算バリュー列と境界フラグ列を含む第２のテーブルを、境界であるレコードが上位となることを優先して安定ソートするステップと、
　前記第２のテーブルの最上位のレコードの加算バリューをそのまま差分バリューとし、前記第２のテーブルの２番目以降のレコードの加算バリューについては、その１つ上のレコードの加算バリューとの差分を差分バリューとして差分バリューを生成するステップと、
　キー列と差分バリュー列と境界フラグ列を含む第３のテーブルを出力するステップを含む
　秘密計算方法。
　請求項３に記載の秘密計算装置であって、
　前記第２のテーブルのあるレコードの境界フラグが境界でないことを示す場合に、該当するレコードのキーを所定の文字列を秘匿したものに置き換え、該当するレコードの差分バリューを０を秘匿したものに置き換えて、キー列と差分バリュー列と境界フラグ列を含む第４のテーブルとして出力する第２演算結果出力部を含む
　秘密計算方法。
　コンピュータを請求項１または２に記載の秘密計算装置として機能させるプログラム。