WO2023281694A1

WO2023281694A1 - 秘密計算システム、装置、方法及びプログラム

Info

Publication number: WO2023281694A1
Application number: PCT/JP2021/025770
Authority: WO
Inventors: 亮菊池; 大五十嵐; 弘貴須藤
Original assignee: 日本電信電話株式会社
Priority date: 2021-07-08
Filing date: 2021-07-08
Publication date: 2023-01-12
Also published as: JPWO2023281694A1; EP4350562A1; CN117693750A

Abstract

秘密計算システムの秘密計算装置１nは、第一計算部１１n、第二計算部１２n、第三計算部１３n、第四計算部１４n、出力部１５nを備えている。これらが協調して計算を行うことで、フラグが追加されているテーブルに対してgroup by max演算又はgroup by min演算を行うことができる。

Description

秘密計算システム、装置、方法及びプログラム

　本発明は、データを秘匿したままデータベース演算を行う技術に関する。

　データを安全に扱うために、暗号化したまま分析する秘密計算という技術が研究されている。その中でも、暗号化したまま条件に合うデータの取り出しや集計値などを効率的に算出するために、暗号化データベース処理が考えられている。

　DB処理の一種であるgroup by演算とはグループ化処理であり、テーブルを入力とし、指定したカラムの値ごとにグループ化し、場合によってそのグループごとの統計値を計算してテーブル形式で出力するものである。

　group by演算を暗号化したまま行う方法は非特許文献１にて提案されている。ここで考えられている入出力は、通常のテーブルを、各要素ごとに暗号化したテーブルであった。

　一方、暗号化したままデータベース処理を行う場合、その入出力は、通常のテーブルとは異なり、あるレコードが本来の出力か否かを示すフラグが付与されていることが考えられる。

　k^→をキーのベクトルとし、v^→をバリューのベクトルとし、f^→をフラグのベクトルとし、[・]を暗号化したデータとして、図１５(a)に通常の暗号化されていないテーブルの例を、図１５(b)に非特許文献１における暗号化されたテーブルの例を、図１５(c)にフラグが追加されているテーブルの例を示す。

　図１５において、“？”は何かしらの値が入っていることを示す。フラグが０の場合、そのレコードのバリューは無視されるため、この“？”のバリューの値は任意である。

菊池亮, 濱田浩気, 五十嵐大, 高橋元, 高橋克巳, 「横断的動線分析を秘密計算でやってみよう」, In SCIS,2020.

　図７(c)に例示するフラグが追加されているテーブルが入力される場合、非特許文献１で提案されたアルゴリズムは機能しない。なぜなら、入力の形式が異なることに加えて、今までは全てのレコードが意味のある値であることを想定していたため、例えば、使わないレコードをスキップして処理を行うことができておらず、無視すべき“？”の値が最終結果に影響してしまい、本来の結果を得ることができないためである。

　本発明は、フラグが追加されているテーブルに対してgroup by max演算、又は、group by min演算を行う秘密計算システム、装置、方法及びプログラムを提供することを目的とする。

　この発明の一態様による秘密計算システムは、複数の秘密計算装置を含む秘密計算システムであって、mはレコード数であり１以上の整数であり、k^→はキーのベクトルk^→=(k₁,…,k_m)であり、v^→はバリューのベクトルv^→=(v₁,…,v_m)であり、f^→はフラグのベクトルf^→=(f₁,…,f_m)であり、αを任意の値又は任意ベクトルとして[α]はαの暗号文であり、暗号文のままαを用いた所定の演算が可能であり、複数の秘密計算装置は、ベクトルf^→の暗号文[f^→]、ベクトルk^→の暗号文[k^→]及びベクトルv^→の暗号文[v^→]を用いて、ベクトルf^→の否定、ベクトルk^→及びベクトルv^→を結合したベクトルをキーとして、ベクトルf^→、ベクトルk^→及びベクトルv^→をそれぞれソートしたベクトルf’^→、ベクトルk’^→及びベクトルv’^→の暗号文[f’^→]、暗号文[k’^→]及び暗号文[v’^→]を生成する複数の第一計算部と、暗号文[f’^→]及び暗号文[k’^→]を用いて、i=1,…,m-1として、f’_i=1かつk’_i≠k’_i+1又はf’_i=1かつf’_i+1=0のときe’_i=0、それ以外のときe’_i=1となり、f’_m=1のときe’_m=0であり、それ以外のときe’_m=1であるようなe’_mの暗号文[e’_m]を生成することで、e_i(i=1,…,m)を要素とするベクトルe’^→の暗号文[e’^→]を生成する複数の第二計算部と、暗号文[e’^→]及び暗号文[v’^→]を用いて、i=1,…,mとして、ベクトルe’^→の要素e’_i=0である場合には値がv’_iであり、ベクトルe’^→の要素e’_i=1である場合には値が0であるx_iの暗号文[x_i]を生成することで、x_i(i=1,…,m)を要素とするベクトルx^→の暗号文[x^→]を生成する複数の第三計算部と、暗号文[e’^→]を用いて、ベクトルe’^→の各要素を1から減算した値により構成されるベクトルe’’’^→の暗号文[e’’’^→]を計算する複数の第四計算部と、を備えている。

　この発明の一態様による秘密計算システムは、複数の秘密計算装置を含む秘密計算システムであって、mはレコード数であり１以上の整数であり、k^→はキーのベクトルk^→=(k₁,…,k_m)であり、v^→はバリューのベクトルv^→=(v₁,…,v_m)であり、f^→はフラグのベクトルf^→=(f₁,…,f_m)であり、αを任意の値又は任意ベクトルとして[α]はαの暗号文であり、暗号文のままαを用いた所定の演算が可能であり、複数の秘密計算装置は、ベクトルf^→の暗号文[f^→]、ベクトルk^→の暗号文[k^→]及びベクトルv^→の暗号文[v^→]を用いて、ベクトルf^→の否定、ベクトルk^→及びベクトルv^→を結合したベクトルをキーとして、ベクトルf^→、ベクトルk^→及びベクトルv^→をそれぞれソートしたベクトルf’^→、ベクトルk’^→及びベクトルv’^→の暗号文[f’^→]、暗号文[k’^→]及び暗号文[v’^→]を生成する複数の第一計算部と、暗号文[f’^→]及び暗号文[k’^→]を用いて、i=1,…,m-1として、f’_i=1かつk’_i≠k’_i+1又はf’_i=1かつf’_i+1=0のときg_i=0、それ以外のときg_i=1となり、f’₁=0のときg₁=1であり、それ以外のときg₁=0であるようなg₁の暗号文[g₁]を生成することで、g_i(i=1,…,m)を要素とするベクトルg^→の暗号文[g^→]を生成する複数の第二計算部と、暗号文[g^→]及び暗号文[v’^→]を用いて、i=1,…,mとして、ベクトルg^→の要素g_i=0である場合には値がv’_iであり、ベクトルg^→の要素g_i=1である場合には値が0であるx_iの暗号文[x_i]を生成することで、x_i(i=1,…,m)を要素とするベクトルx^→の暗号文[x^→]を生成する複数の第三計算部と、暗号文[g^→]を用いて、ベクトルg^→の各要素を1から減算した値により構成されるベクトルg’^→の暗号文[g’^→]を計算する複数の第四計算部と、を備えている。

　フラグが追加されているテーブルに対してgroup by max演算、又は、group by min演算を行うことができる。

図１は、秘密計算システムの機能構成の例を示す図である。図２は、group by max演算を行う秘密計算装置の機能構成の例を示す図である。図３は、アルゴリズムの例を示す図である。図４は、アルゴリズムの例を示す図である。図５は、アルゴリズムの例を示す図である。図６は、アルゴリズムの例を示す図である。図４は、入力の例と出力の例を説明するための図である。図８は、秘密計算方法の処理手続きの例を示す図である。図９は、group by min演算を行う秘密計算装置の機能構成の例を示す図である。図１０は、アルゴリズムの例を示す図である。図１１は、アルゴリズムの例を示す図である。図１２は、アルゴリズムの例を示す図である。図１３は、アルゴリズムの例を示す図である。図１４は、秘密計算方法の処理手続きの例を示す図である。図１５は、背景技術を説明するための図である。図１６は、コンピュータの機能構成例を示す図である。

　以下、本発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　なお、文中で使用する記号「^→」は、本来直後の文字の真上に記載されるべきものであるが、テキスト記法の制限により、当該文字の直後に記載する。

　暗号化されたデータを[x]と書き、ベクトルをx^→=(x₁,…,x_n)と書き、[x^→]=([x₁],…,[x_n])とする。[x]のことをxの暗号文と呼ぶ。

　暗号化は、秘密分散（例えば参考文献１）や準同型暗号（例えば参考文献２）など、暗号化したまま下記の演算が可能な方法で行われるとする。格納する値に対して異なる暗号化を用いてもよいため、暗号文[・]の・がビット値である場合には、暗号文[・]を[[・]]と記述することがある。また、置換には<π>という記述を用いることがある。・は、任意の値、ベクトルである。格納する値に対して異なる暗号化を用いてもよい。すなわち、これらの暗号化は全て同じものであっても、そうでなくてもよい。

　すなわち、αを任意の値又は任意ベクトルとして[α]はαの暗号文であり、βを任意の置換として<β>はβの暗号文である。

　<参考文献１>Dai Ikarashi, Ryo Kikuchi, Koki Hamada, and Koji Chida. Actively private and correct MPC scheme in t < n/2 from passively secure schemes with small overhead. IACR Cryptology ePrint Archive, Vol. 2014, p. 304, 2014.
　<参考文献２>Zvika Brakerski, Craig Gentry, and Vinod Vaikuntanathan. Fully homomorphic encryption without bootstrapping. Electronic Colloquium on Computational Complexity (ECCC), Vol. 18, p. 111, 2011.
　加減算、定数倍に関して、秘密分散と準同型暗号はサポートされているとする。すなわち、c[a]±[b]±d=[ca±b±d]の関係が成立しているとする。

　乗算は、秘密分散であれば参考文献１に記載された方法で、準同型暗号であれば準同型演算で計算可能である。乗算を、[c]←Mult([a],[b])と記述する。ここで、c=abである。

　安定ソートは、入力[x^→]=([x₁],…,[x_n])を、i∈{1,…,n-1}について、x_i’≦x_i+1’であるような[x’^→]=([x₁’],…,[x_n’])に並び替える処理である。ただし、x_i’=x_i+1’であるとき元々のx^→の並び順が優先されるものとする。

　安定ソートは、より具体的には２個のアルゴリズム(GENPERM,SORT)からなる。

　GENPERMは、x^→を並び替える置換πを暗号化したものを出力する関数である。GENPERMは、<π>←GENPERM([x^→])と記述される。

　SORTは、πをx^→に適用し並び替えたものx’^→を暗号化したまま計算する関数である。SORTは、例えば[x^→’]←SORT(<π>,[x^→])と記述される。

　記載の簡略化のため、複数のベクトルのそれぞれを同じ置換でソートする際には、SORTは、例えば([x’^→],[y’^→])←SORT(<π>,([x^→],[y^→]))と記述される。

　SORTの自明な構成方法は、ソーティングネットワークを用いる方法である。また、秘密分散であれば、参考文献３に記載された方法により効率よくSORTを行うことができる。

　<参考文献３>Koji Chida, Koki Hamada, Dai Ikarashi, Ryo Kikuchi, Naoto Kiribuchi, and Benny Pinkas. An efficient secure three-party sorting protocol with an honest majority. IACR Cryptology ePrint Archive, Vol. 2019, p. 695, 2019.
　等号判定EQは、[x],[y]を入力として、x=yならば1、x≠yならば0となるようなeの暗号文[e]を出力する関数である。EQは、例えば[e]←EQ([x],[y])と記述される。ここで、eはx=yならば1、x≠yならば0である。

　複数の要素の等号判定を行う場合、EQは、例えば[e]←EQ(([a],[b]),([c],[d]))と記述される。ここで、eは、a=cかつb=dならば1、そうでないならば0である。

　一般にビット表現でデータが暗号化されているならば、[x-y]の各ビットが0かどうかを回路計算することにより、等号判定を行うことができる。回路計算は、加減算と乗算で計算可能である。

　整数表現で暗号化されている場合であれば、ビット分解（例えば、参考文献４参照。）を用いてビット表現に変更して同様に回路計算することにより、等号判定を行うことができる。

　<参考文献４>Ryo Kikuchi, Dai Ikarashi, Takahiro Matsuda, Koki Hamada, and Koji Chida. Efficient bitdecomposition and modulus-conversion protocols with an honest majority. In ACISP 2018, pp.64-82, 2018.
　他にもmod p上で暗号化されているのであれば、[(x-y)^p-1]を乗算を使って計算しても、等号判定を行うことができる。

　IFTHENは、フラグ[f]（ただしf∈{0,1}）と[x],[y]を入力として、f=1ならば[x]を、f=0ならば[y]を出力する関数である。IFTHENは、例えば[e]←IFTHEN([f]:[x],[y])と記述される。ここで、eは、f=1ならばxであり、f=0ならばyである。

　IFTHENは、Mult([f],[x])+Mult([1-f],[y])などで例えば実現することができる。

　MODCONVは、ビット値の暗号化[[a]]を入力として、同じ値の暗号化ではあるが暗号文の形が違う[a]を生成する関数である。言い換えれば、MODCONVは、ビット値の暗号文[[a]]を入力として、aを整数表現した値の暗号文[a]を生成する関数である。MODCONVは、例えば[a]←MODCONV([[a]])と記述される。

　BITDECOMPは、整数値の暗号化[a]を入力として、aをビット表現した同じ値の暗号化ではあるが、暗号文の形が違う[[a]]を生成する関数である。言い換えれば、BITDECOMPは、整数値の暗号文[a]を入力として、aをビット表現した値の暗号文[[a]]を生成する関数である。BITDECOMPは、例えば[[k^→]]←BITDECOMP([k^→])と記述される。ただし、k^→=(k₁,k₂,…,k_L)としたとき，k=Σ_i=1 ^L2^i-1k_iである。

　秘密計算システム、装置、方法及びプログラムの処理の対象となるテーブルのレコード数はmである。このテーブルは、キーのベクトルk^→の暗号文[k^→]、バリューのベクトルv^→の暗号文[v^→]、フラグのベクトルf^→の暗号文[f^→]から少なくとも構成されているとする。暗号文[f^→]の要素はビットの暗号文であるとする。もし、ビット出なかった場合はビット分解プロトコルでビットに変換する。

　秘密計算システム、装置、方法及びプログラムの処理の対象となるテーブルを、図７(a)に例示する。

　秘密計算システム、装置、方法及びプログラムによるgroup by max演算により、図７(a)に示すテーブルから、例えば図７(b)に示すテーブルが得られる。[k’’’^→]はキーのベクトルk^→の要素を並び替えたベクトルk’’’^→の暗号文である。[x’^→]はバリューの最大値から構成されるベクトルx’^→の暗号文である。[e’’’^→]はベクトルk’’’^→に対応するフラグのベクトルe’’’^→の暗号文である。

　図７(a)では、暗号文[k^→]の[1]のキーに対応する暗号文[v^→]の要素の最大値は[3]であり、暗号文[k^→]の[2]のキーに対応する暗号文[v^→]の要素の最大値は[1]であり、暗号文[k^→]の[4]のキーに対応する暗号文[v^→]の要素の最大値は[5]である。

　このため、図７(b)では、暗号文[k’’’^→]の[1]に対応する暗号文[x^→]の要素が[3]となっており、暗号文[k’’’^→]の[2]に対応する暗号文[x’^→]の要素が[1]となっており、暗号文[k’’’^→]の[4]に対応する暗号文[x’^→]の要素が[5]となっている。

　また、秘密計算システム、装置、方法及びプログラムによるgroup by min演算により、図７(a)に示すテーブルから、例えば図７(c)に示すテーブルが得られる。[k’’’^→]はキーのベクトルk^→の要素を並び替えたベクトルk’’^→の暗号文である。[x’’^→]はバリューの最小値から構成されるベクトルx’’^→の暗号文である。[g’’^→]はベクトルk’’^→に対応するフラグのベクトルg’’^→の暗号文である。

　図７(a)では、暗号文[k^→]の[1]のキーに対応する暗号文[v^→]の要素の最小値は[3]であり、暗号文[k^→]の[2]のキーに対応する暗号文[v^→]の要素の最小値は[1]であり、暗号文[k^→]の[4]のキーに対応する暗号文[v^→]の要素の最小値は[4]である。

　このため、図７(c)では、暗号文[k’’’^→]の[1]に対応する暗号文[x’^→]の要素が[1]となっており、暗号文[k’’’^→]の[2]に対応する暗号文[x’^→]の要素が[1]となっており、暗号文[k’’’^→]の[4]に対応する暗号文[x’^→]の要素が[4]となっている。

　図１を参照して、秘密計算システム及び方法の構成例を説明する。この秘密計算システム及び方法は、いわゆるgroup by演算（group by max演算、又は、group by min演算、）を秘密計算で行うものである。

　秘密計算システムは、N（≧2）台の秘密計算装置１₁,…,１_Nを含む。本形態では、秘密計算装置１₁, …, １_Nのそれぞれは通信網２に接続されている。通信網２は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などである。なお、各装置は必ずしも通信網２を介してオンラインで通信可能である必要はない。例えば、秘密計算装置１₁, …, １_Nへ入力する情報を磁気テープやUSBメモリなどの可搬型記録媒体に記憶し、その可搬型記録媒体から秘密計算装置１₁, …,１_Nへオフラインで入力するように構成してもよい。

　秘密計算装置１_n（1≦n≦N）の各構成部が他の秘密計算装置１_n'（n'=1, …, N、ただしn≠n'）の各構成部と協調しながら後述する及び図８又は図１４に例示する各ステップの処理を行うことにより実施形態の秘密結合方法が実現される。

　なお、各ステップの処理は、秘密計算により行われる。すなわち、秘密計算装置１_nは、暗号文を復元することなく、言い換えれば暗号文の中身を知ることなく、各ステップの処理を行う。

　秘密計算装置１_nは、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。秘密計算装置１_nは、例えば、中央演算処理装置の制御のもとで各処理を実行する。秘密計算装置１_nに入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。秘密計算装置１_nの各構成部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。

　[group by max]
　まず、group by max演算を行う秘密計算装置１_nの各構成部の処理について説明する。

　group by max演算を行う秘密計算システムの秘密計算装置１_nは、例えば、図２に示すように、第一計算部１１_n、第二計算部１２_n、第三計算部１３_n、第四計算部１４_n、出力部１５_nを備えている。

　<第一計算部１１₁,…,１１_N>
　複数の第一計算部２には、ベクトルf^→の暗号文[f^→]、ベクトルk^→の暗号文[k^→]及びベクトルv^→の暗号文[v^→]が入力される。

　複数の第一計算部２は、ベクトルf^→の暗号文[f^→]、ベクトルk^→の暗号文[k^→]及びベクトルv^→の暗号文[v^→]を用いて、ベクトルf^→の否定、ベクトルk^→及びベクトルv^→を結合したベクトルをキーとして、ベクトルf^→、ベクトルk^→及びベクトルv^→をそれぞれソートしたベクトルf’^→、ベクトルk’^→及びベクトルv’^→の暗号文[f’^→]、暗号文[k’^→] 及び暗号文[v’^→]を生成する（ステップＳ１）。

　この複数の第一計算部１１₁,…,１１_Nによる処理は、図３の「１：」から「４：」の処理により例えば実現される。

　すなわち、複数の第一計算部１１₁,…,１１_Nは、
1:([[k^†→]],[[v^†→]])←BITDECOMP([k^→],[v^→])
2:[[f^*→]]←1-[[f^→]]
3:<π>←GENPERM([[f^*→]],[[k^†→]],[[v^†→]])
4:([[k’^→]],[k’^→],[v’^→],[[f’^→]])←SORT(<π>,([[k^†→]],[k^→],[v^→],[[f^→]]))
という処理を例えば行う。

　図３の例では、暗号文[f’^→]として暗号文[[f’^→]]が生成されている。また、図３の例では、暗号文[k’^→]として暗号文[[k’^→]]及び暗号文[k’^→]が生成されている。

　なお、GENPERM([[f^*→]],[[k^†→]],[[v^†→]])は、暗号文[[f^*→]]、暗号文[[k^†→]]及び暗号文[[v^†→]]を用いて、ベクトルf^*→、ベクトルk^†→及びベクトルv^†→を要素ごとに結合したベクトルを安定ソートする置換πの暗号文<π>を生成する処理を意味する。

　<第二計算部１２₁,…,１２_N>
　複数の第二計算部１２₁,…,１２_Nには、が入力される。

　複数の第二計算部１２₁,…,１２_Nは、暗号文[f’^→]及び暗号文[k’^→]を用いて、i=1,…,m-1として、f’_i=1かつk’_i≠k’_i+1又はf’_i=1かつf’_i+1=0のときe’_i=0、それ以外のときe’_i=1となり、f’_m=1のときe’_m=0であり、それ以外のときe’_m=1であるようなe’_mの暗号文[e’_m]を生成することで、e_i(i=1,…,m)を要素とするベクトルe’^→の暗号文[e’^→]を生成する（ステップＳ２）。

　この複数の第二計算部１２₁,…,１２_Nによる処理は、図３の「５：」から「１０：」の処理により例えば実現される。

　すなわち、複数の第二計算部１２₁,…,１２_Nは、
5:each 1≦i≦m-1 do
6:　[[e_i]]←IFTHEN([[f’_i]]:EQ([[k’_i]],[[k’_i+1 ]]),[[1]])
7:　[[e’_i]]←IFTHEN([[f’_i]]XOR[[f’_i+1]]:[[0]],[[e_i]])
8:　[e’_i]←MODCONV([[e’_i]])
9:[[e’_m]]=1-[[f’_m]]
10:[e’_m]←MODCONV([[e’_m]])
という処理を例えば行う。

　<第三計算部１３₁,…,１３_N>
　複数の第三計算部１３₁,…,１３_Nには、が入力される。

　複数の第三計算部１３₁,…,１３_Nは、暗号文[e’^→]及び暗号文[v’^→]を用いて、i=1,…,mとして、ベクトルe’^→の要素e’_i=0である場合には値がv’_iであり、ベクトルe’^→の要素e’_i=1である場合には値が0であるx_iの暗号文[x_i]を生成することで、x_i(i=1,…,m)を要素とするベクトルx^→の暗号文[x^→]を生成する（ステップＳ３）。

　この複数の第三計算部１３₁,…,１３_Nによる処理は、図３の「１１：」から「１２：」の処理により例えば実現される。

　すなわち、複数の第三計算部１３₁,…,１３_Nは、
11:each 1≦i≦m do
12:　[x_i]←IFTHEN([e’_i]:[0],[v’_i])
という処理を例えば行う。

　<第四計算部１４₁,…,１４_N>
　複数の第四計算部１４₁,…,１４_Nには、が入力される。

　複数の第四計算部１４₁,…,１４_Nは、暗号文[e’^→]を用いて、ベクトルe’^→の各要素を1から減算した値により構成されるベクトルe’’’^→の暗号文[e’’’^→]を計算する（ステップＳ４）。

　この複数の第四計算部１４₁,…,１４_Nによる処理は、図３の「１３：」の処理により例えば実現される。

　すなわち、複数の第四計算部１４₁,…,１４_Nは、
13:[[e’’’^→]] =1-[[e’^→]]
という処理を例えば行う。

　<出力部１５₁,…,１５_N>
　複数の出力部１５₁,…,１５_Nには、暗号文[k’^→]、暗号文[x^→]及び暗号文[e’’’^→]が入力される。

　複数の出力部１５₁,…,１５_Nは、暗号文[k’^→]、暗号文[x^→]及び暗号文[e’’’^→]を出力する出力を行う（ステップＳ５）。

　なお、秘密計算装置１₁, …, １_Nは、いわゆる出力ソート処理を行ってもよい。この出力ソート処理は、例えば、複数の第四計算部１４₁,…,１４_Nにより行われる、図４の「１３：」から「１４：」の処理により例えば実現される。

　すなわち、複数の第四計算部１４₁,…,１４_Nは、
13:<π’>←GENPERM([[e’^→]])
14:([x’^→],[[e’’^→]],[k’’])←SORT(<π’>,([x^→],[[e’^→]],[k’^→]))
15:[[e’’’^→]] =1-[[e’’^→]]
という処理を例えば行ってもよい。

　この場合、複数の出力部１５₁,…,１５_Nは、暗号文[k’^→]に代えて暗号文[k’’^→]を出力し、暗号文[x^→]に代えて暗号文[x’^→]を出力する。

　また、秘密計算装置１₁, …, １_Nは、いわゆるnull処理を行ってもよい。このnull処理は、例えば、複数の第三計算部１３₁,…,１３_Nにより行われる、図５の「１３：」の処理により例えば実現される。

　すなわち、複数の第三計算部１３₁,…,１３_Nは、
11:each 1≦i≦m do
12:　[x_i]←IFTHEN([e’_i]:[0],[v’_i])
13: [k’’_i]←IFTHEN([e’_i]:[null],[k’_i])
という処理を例えば行ってもよい。図５の「１１：」及び「１２：」の処理は、図３の「１１：」及び「１２：」の処理と同じである。

　この場合、複数の出力部１５₁,…,１５_Nは、暗号文[k’^→]に代えて暗号文[k’’^→]を出力する。

　また、秘密計算装置１₁, …, １_Nは、いわゆる出力ソート処理及びいわゆるnull処理を行ってもよい。

　このnull処理は、例えば、複数の第三計算部１３₁,…,１３_Nにより行われる、図６の「１３：」の処理により例えば実現される。

　すなわち、複数の第三計算部１３₁,…,１３_Nは、
13: [k’’_i]←IFTHEN([e’_i]:[null],[k’_i])
という処理を行ってもよい。

　この出力ソート処理は、複数の第四計算部１４₁,…,１４_Nにより行われる、図６の「１４：」から「１５：」の処理により例えば実現される。

　すなわち、複数の第四計算部１４₁,…,１４_Nは、
14:<π’>←GENPERM([[e’^→]])
15:([x’^→],[[e’’^→]],[k’’’])←SORT(<π’>,([x^→],[[e’^→]],[k’’^→]))
16:[[e’’’^→]] =1-[[e’’^→]]
という処理を行ってもよい。

　これらの出力ソート処理及びnull処理により、例えば図７（ｂ）に示す暗号文[k’’^→]、暗号文[x’^→]及び暗号文[[e’’’^→]]が得られる。

　なお、複数の出力部１５₁,…,１５_Nは、ダミーレコードに対応する暗号文については出力しなくてもよい。

　すなわち、複数の出力部１５₁,…,１５_Nは、暗号文[k’^→]又は暗号文[k’’^→]又は暗号文[k’’’^→]、暗号文[x^→]又は暗号文[x’^→]、及び、暗号文[[e’’’^→]]を用いて、暗号文[k’^→]又は暗号文[k’’^→]又は暗号文[k’’’^→]、及び、暗号文[x^→]又は暗号文[x’^→]から、ベクトルe’’’^→の要素e_i’’’のうちダミーレコードを示す要素に対応する要素を削除したものを出力してもよい。

　暗号文[k’’’^→]、暗号文[x’^→]及び暗号文[[e’’’^→]]が例えば図７（b）に示されるものである場合には、複数の出力部１５₁,…,１５_Nは、暗号文[[e’’’^→]]の要素[1]に対応する、暗号文[k’’’^→]及び暗号文[x’^→]の要素のみを出力してもよい。すなわち、この場合、複数の出力部１５₁,…,１５_Nは、暗号文[k’’’^→]及び暗号文[x’^→]の３番目までの要素を出力してもよい。

　なお、図７(b)において暗号文[[e’’’^→]]が[[0]]となっているレコード、言い換えれば暗号文[k’’’^→]が[null]となっているレコードがダミーレコードである。

　[group by min]
　つぎに、group by min演算を行う秘密計算装置１_nの各構成部の処理について説明する。

　group by max演算を行う秘密計算システムの秘密計算装置１_nは、例えば、図９に示すように、第一計算部１１_n、第二計算部１２_n、第三計算部１３_n、第四計算部１４_n、出力部１５_nを備えている。

　<第一計算部１１₁,…,１１_N>
　複数の第一計算部１１₁,…,１１_Nには、ベクトルf^→の暗号文[f^→]、ベクトルk^→の暗号文[k^→]及びベクトルv^→の暗号文[v^→]が入力される。

　複数の第一計算部１１₁,…,１１_Nは、ベクトルf^→の暗号文[f^→]、ベクトルk^→の暗号文[k^→]及びベクトルv^→の暗号文[v^→]を用いて、ベクトルf^→の否定、ベクトルk^→及びベクトルv^→を結合したベクトルをキーとして、ベクトルf^→、ベクトルk^→及びベクトルv^→をそれぞれソートしたベクトルf’^→、ベクトルk’^→及びベクトルv’^→の暗号文[f’^→]、暗号文[k’^→]及び暗号文[v’^→]を生成する（ステップＳ１）。

　この複数の第一計算部１１₁,…,１１_Nによる処理は、図１０の「１：」から「４：」の処理により例えば実現される。

　図１０の例では、暗号文[f’^→]として暗号文[[f’^→]]が生成されている。また、図３の例では、暗号文[k’^→]として暗号文[[k’^→]]及び暗号文[k’^→]が生成されている。

　複数の第二計算部１２₁,…,１２_Nは、暗号文[f’^→]及び暗号文[k’^→]を用いて、i=1,…,m-1として、f’_i=1かつk’_i≠k’_i+1又はf’_i=1かつf’_i+1=0のときg_i=0、それ以外のときg_i=1となり、f’₁=0のときg₁=1であり、それ以外のときg₁=0であるようなg₁の暗号文[g₁]を生成することで、g_i(i=1,…,m)を要素とするベクトルg^→の暗号文[g^→]を生成する（ステップＳ２）。

　この複数の第二計算部１２₁,…,１２_Nによる処理は、図１０の「５：」から「１１：」の処理により例えば実現される。

　すなわち、複数の第二計算部１２₁,…,１２_Nは、
5:each 1≦i≦m-1 do
6:　[[e_i]]←IFTHEN([[f’_i]]:EQ([[k’_i]],[[k’_i+1]]),[[1]])
7:　[[e’_i]]←IFTHEN([[f’_i]]XOR[[f’_i+1]]:[[0]],[[e_i]])
8:[[e’₀]]=1-[[f’₁]]
9:each 1≦i≦m do
10:　[[g_i]]←IFTHEN([[f’_i]]:[[e’_i-1]],[[1]])
11: [g_i]←MODCONV([[g_i]])
という処理を例えば行う。

　<複数の第三計算部１３₁,…,１３_N>
　複数の第三計算部１３₁,…,１３_Nには、が入力される。

　複数の第三計算部１３₁,…,１３_Nは、暗号文[g^→]及び暗号文[v’^→]を用いて、i=1,…,mとして、ベクトルg^→の要素g_i=0である場合には値がv’_iであり、ベクトルg^→の要素g_i=1である場合には値が0であるx_iの暗号文[x_i]を生成することで、x_i(i=1,…,m)を要素とするベクトルx^→の暗号文[x^→]を生成する（ステップＳ３）。

　この複数の第三計算部１３₁,…,１３_Nによる処理は、図１０の「１２：」の処理により例えば実現される。

　すなわち、複数の第三計算部１３₁,…,１３_Nは、
（9:each 1≦i≦m do）
12: [x_i]←IFTHEN([g_i]:[0],[v’_i])
という処理を例えば行う。

　図１０の「１２：」の処理は、図１０の「９：」から始まる繰り返し処理に含まれるので、上記では、図１０の「９：」の処理（かっこ書き）も示している。

　<複数の第四計算部１４₁,…,１４_N>
　複数の第四計算部１４₁,…,１４_Nには、が入力される。

　複数の第四計算部１４₁,…,１４_Nは、暗号文[g^→]を用いて、ベクトルg^→の各要素を1から減算した値により構成されるベクトルg’^→の暗号文[g’^→]を計算する（ステップＳ４）。

　この複数の第四計算部１４₁,…,１４_Nによる処理は、図１０の「１３：」の処理により例えば実現される。

　すなわち、複数の第四計算部１４₁,…,１４_Nは、
13:[[g’^→]]←1-[[g^→]]
という処理を例えば行う。

　図１０の例では、暗号文[g’^→]として暗号文[[g’^→]]が生成されている。

　<出力部１５₁,…,１５_N>
　複数の出力部１５₁,…,１５_Nには、暗号文[k’^→]、暗号文[x^→]及び暗号文[g’^→]が入力される。

　複数の出力部１５₁,…,１５_Nは、暗号文[k’^→]、暗号文[x^→]及び暗号文[g’^→]を出力する出力を行う（ステップＳ５）。

　なお、秘密計算装置１₁, …, １_Nは、いわゆる出力ソート処理を行ってもよい。この出力ソート処理は、例えば、複数の第四計算部１４₁,…,１４_Nにより行われる、図１１の「１３：」から「１５：」の処理により例えば実現される。

　すなわち、複数の第四計算部１４₁,…,１４_Nは、
13:<π’>←GENPERM([[g^→]])
14:([x’^→],[[g’^→]],[k’’^→])←SORT(<π’>,([x^→],[[g^→]],[k’^→]))
15:[[g’’^→]]←1-[[g’^→]]
という処理を例えば行ってもよい。

　この場合、複数の出力部１５₁,…,１５_Nは、暗号文[k’^→]に代えて暗号文[k’’^→]を出力し、暗号文[x^→]に代えて暗号文[x’^→]を出力し、暗号文[g’^→]に代えて暗号文[g’’^→]を出力する。

　また、秘密計算装置１₁, …, １_Nは、いわゆるnull処理を行ってもよい。このnull処理は、例えば、複数の第三計算部１３₁,…,１３_Nにより行われる、図１２の「１３：」の処理により例えば実現される。

　すなわち、複数の第三計算部１３₁,…,１３_Nは、
（ 9:each 1≦i≦m do）
13:　[k’’_i]←IFTHEN([g’_i]:[null],[k’_i])
という処理を例えば行ってもよい。

　図１２の「１３：」の処理は、図１０の「９：」から始まる繰り返し処理に含まれるので、上記では、図１２の「９：」の処理（かっこ書き）も示している。

　このnull処理は、例えば、複数の第三計算部１３₁,…,１３_Nにより行われる、図１３の「１３：」の処理により例えば実現される。

　すなわち、複数の第三計算部１３₁,…,１３_Nは、
（ 9:each 1≦i≦m do）
13: [k’’_i]←IFTHEN([g’_i]:[null],[k’_i])
という処理を行ってもよい。

　図１３の「１３：」の処理は、図１３の「９：」から始まる繰り返し処理に含まれるので、上記では、図１３の「９：」の処理（かっこ書き）も示している。

　この出力ソート処理は、複数の第四計算部１４₁,…,１４_Nにより行われる、図１３の「１４：」から「１５：」の処理により例えば実現される。

　すなわち、複数の第四計算部１４₁,…,１４_Nは、
14:<π’>←GENPERM([[g^→]])
15:([x’^→],[[g’^→]],[k’’’^→])←SORT(<π’>,([x^→],[[g^→]],[k’’^→]))
16:[[g’’^→]]←1-[[g’^→]]
という処理を行ってもよい。

　この場合、複数の出力部１５₁,…,１５_Nは、暗号文[k’^→]に代えて暗号文[k’’’^→]を出力し、暗号文[x^→]に代えて暗号文[x’^→]を出力し、暗号文[g’^→]に代えて暗号文[g’’^→]を出力する。

　これらの出力ソート処理及びnull処理により、例えば図７（ｃ）に示す暗号文[k’’’^→]、暗号文[x’^→]及び暗号文[[g’’^→]]が得られる。

　暗号文[k’’’^→]、暗号文[x’^→]及び暗号文[[g’’^→]]が例えば図７（c）に示されるものである場合には、複数の出力部１５₁,…,１５_Nは、暗号文[[g’’^→]]の要素[1]に対応する、暗号文[k’’’^→]及び暗号文[x’^→]の要素のみを出力してもよい。すなわち、この場合、複数の出力部１５₁,…,１５_Nは、暗号文[k’’’^→]及び暗号文[x’^→]の３番目までの要素を出力してもよい。

　このように、ダミーフラグの否定を最上位ビットに配置してソートすることでダミーレコードを最下位レコードとし、また、グループの境界判定ビットについて、フラグが0 ならば境界にならないようなif 文処理を加え、minの処理では1レコード前のフラグを利用するときも同様にif 文処理を加えることで、復号することなく、group by max/minを達成することができる。

　[変形例]
　以上、本発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、本発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、本発明に含まれることはいうまでもない。

　実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　例えば、秘密計算装置の構成部間のデータのやり取りは直接行われてもよいし、図示していない記憶部を介して行われてもよい。

　[プログラム、記録媒体]
　上述した各装置の各部の処理をコンピュータにより実現してもよく、この場合は各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムを図１６に示すコンピュータ１０００の記憶部１０２０に読み込ませ、演算処理部１０１０、入力部１０３０、出力部１０４０などに動作させることにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体は、例えば、非一時的な記録媒体であり、具体的には、磁気記録装置、光ディスク、等である。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の非一時的な記憶装置である補助記録部１０５０に格納する。そして、処理の実行時、このコンピュータは、自己の非一時的な記憶装置である補助記録部１０５０に格納されたプログラムを記憶部１０２０に読み込み、読み込んだプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを記憶部１０２０に読み込み、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

　その他、この発明の趣旨を逸脱しない範囲で適宜変更が可能であることはいうまでもない。

Claims

　複数の秘密計算装置を含む秘密計算システムであって、
　mはレコード数であり１以上の整数であり、k^→はキーのベクトルk^→=(k₁,…,k_m)であり、v^→はバリューのベクトルv^→=(v₁,…,v_m)であり、f^→はフラグのベクトルf^→=(f₁,…,f_m)であり、αを任意の値又は任意ベクトルとして[α]はαの暗号文であり、暗号文のままαを用いた所定の演算が可能であり、
　前記複数の秘密計算装置は、
　前記ベクトルf^→の暗号文[f^→]、前記ベクトルk^→の暗号文[k^→]及び前記ベクトルv^→の暗号文[v^→]を用いて、前記ベクトルf^→の否定、前記ベクトルk^→及び前記ベクトルv^→を結合したベクトルをキーとして、前記ベクトルf^→、前記ベクトルk^→及び前記ベクトルv^→をそれぞれソートしたベクトルf’^→、ベクトルk’^→及びベクトルv’^→の暗号文[f’^→]、暗号文[k’^→] 及び暗号文[v’^→]を生成する複数の第一計算部と、
　前記暗号文[f’^→]及び前記暗号文[k’^→]を用いて、i=1,…,m-1として、f’_i=1かつk’_i≠k’_i+1又はf’_i=1かつf’_i+1=0のときe’_i=0、それ以外のときe’_i=1となり、f’_m=1のときe’_m=0であり、それ以外のときe’_m=1であるようなe’_mの暗号文[e’_m]を生成することで、e_i(i=1,…,m)を要素とするベクトルe’^→の暗号文[e’^→]を生成する複数の第二計算部と、
　前記暗号文[e’^→]及び前記暗号文[v’^→]を用いて、i=1,…,mとして、前記ベクトルe’^→の要素e’_i=0である場合には値がv’_iであり、前記ベクトルe’^→の要素e’_i=1である場合には値が0であるx_iの暗号文[x_i]を生成することで、x_i(i=1,…,m)を要素とするベクトルx^→の暗号文[x^→]を生成する複数の第三計算部と、
　前記暗号文[e’^→]を用いて、前記ベクトルe’^→の各要素を1から減算した値により構成されるベクトルe’’’^→の暗号文[e’’’^→]を計算する複数の第四計算部と、
　を含む秘密計算システム。
　請求項１の秘密計算システムであって、
　前記複数の第四計算部は、前記暗号文[e’^→]、前記暗号文[x^→]及び前記暗号文[k’^→]を用いて、前記ベクトルe’^→をキーとして、前記ベクトルx^→、前記ベクトルk’^→及び前記ベクトルe’^→をそれぞれソートしたベクトルx’^→、前記ベクトルk’’^→及び前記ベクトルe’’^→の暗号文[x’^→],暗号文[k’’^→]及び暗号文[e’’^→]を生成し、前記暗号文[e’’^→]を用いて、前記ベクトルe’’^→の各要素を1から減算した値により構成されるベクトルe’’’^→の暗号文[e’’’^→]を計算する、
　秘密計算システム。
　請求項１又は２の秘密計算システムであって、
　前記複数の秘密計算装置は、前記暗号文[k’^→]又は前記暗号文[k’’^→]、前記暗号文[x^→]及び前記暗号文[e’’’^→]を出力する複数の出力部を更に含む、
　秘密計算システム。
　請求項３の秘密計算システムであって、
　複数の出力部は、ダミーレコードに対応する暗号文については出力しない、
　秘密計算システム。
　複数の秘密計算装置を含む秘密計算システムであって、
　mはレコード数であり１以上の整数であり、k^→はキーのベクトルk^→=(k₁,…,k_m)であり、v^→はバリューのベクトルv^→=(v₁,…,v_m)であり、f^→はフラグのベクトルf^→=(f₁,…,f_m)であり、αを任意の値又は任意ベクトルとして[α]はαの暗号文であり、暗号文のままαを用いた所定の演算が可能であり、
　前記複数の秘密計算装置は、
　前記ベクトルf^→の暗号文[f^→]、前記ベクトルk^→の暗号文[k^→]及び前記ベクトルv^→の暗号文[v^→]を用いて、前記ベクトルf^→の否定、前記ベクトルk^→及び前記ベクトルv^→を結合したベクトルをキーとして、前記ベクトルf^→、前記ベクトルk^→及び前記ベクトルv^→をそれぞれソートしたベクトルf’^→、ベクトルk’^→及びベクトルv’^→の暗号文[f’^→]、暗号文[k’^→]及び暗号文[v’^→]を生成する複数の第一計算部と、
　前記暗号文[f’^→]及び前記暗号文[k’^→]を用いて、i=1,…,m-1として、f’_i=1かつk’_i≠k’_i+1又はf’_i=1かつf’_i+1=0のときg_i=0、それ以外のときg_i=1となり、f’₁=0のときg₁=1であり、それ以外のときg₁=0であるようなg₁の暗号文[g₁]を生成することで、g_i(i=1,…,m)を要素とするベクトルg^→の暗号文[g^→]を生成する複数の第二計算部と、
　前記暗号文[g^→]及び前記暗号文[v’^→]を用いて、i=1,…,mとして、前記ベクトルg^→の要素g_i=0である場合には値がv’_iであり、前記ベクトルg^→の要素g_i=1である場合には値が0であるx_iの暗号文[x_i]を生成することで、x_i(i=1,…,m)を要素とするベクトルx^→の暗号文[x^→]を生成する複数の第三計算部と、
　前記暗号文[g^→]を用いて、前記ベクトルg^→の各要素を1から減算した値により構成されるベクトルg’^→の暗号文[g’^→]を計算する複数の第四計算部と、　を含む秘密計算システム。
　請求項５の秘密計算システムであって、
　前記複数の第四計算部は、前記暗号文[g^→]、前記暗号文[x^→]及び前記暗号文[k’^→]を用いて、前記ベクトルg^→をキーとして、前記ベクトルx^→、前記ベクトルk’^→及び前記ベクトルg^→をそれぞれソートしたベクトルx’^→、前記ベクトルk’’^→及び前記ベクトルg’^→の暗号文[x’^→],暗号文[k’’^→]及び暗号文[g’^→]を生成し、前記暗号文[g’^→]を用いて、前記ベクトルg’^→の各要素を1から減算した値により構成されるベクトルg’’^→の暗号文[g’’^→]を計算する、
　秘密計算システム。
　請求項５又は６の秘密計算システムであって、
　前記複数の秘密計算装置は、前記暗号文[k’^→]又は前記暗号文[k’’^→]、前記暗号文[x^→]、及び、前記暗号文[g’^→]又は前記暗号文[g’’^→]を出力する複数の出力部を更に含む、
　秘密計算システム。
　請求項７の秘密計算システムであって、
　複数の出力部は、ダミーレコードに対応する暗号文については出力しない、
　秘密計算システム。
　請求項１から８の何れかの秘密計算システムの秘密計算装置。
　mはレコード数であり１以上の整数であり、k^→はキーのベクトルk^→=(k₁,…,k_m)であり、v^→はバリューのベクトルv^→=(v₁,…,v_m)であり、f^→はフラグのベクトルf^→=(f₁,…,f_m)であり、αを任意の値又は任意ベクトルとして[α]はαの暗号文であり、暗号文のままαを用いた所定の演算が可能であり、
　複数の第一計算部が、前記ベクトルf^→の暗号文[f^→]、前記ベクトルk^→の暗号文[k^→]及び前記ベクトルv^→の暗号文[v^→]を用いて、前記ベクトルf^→の否定、前記ベクトルk^→及び前記ベクトルv^→を結合したベクトルをキーとして、前記ベクトルf^→、前記ベクトルk^→及び前記ベクトルv^→をそれぞれソートしたベクトルf’^→、ベクトルk’^→及びベクトルv’^→の暗号文[f’^→]、暗号文[k’^→] 及び暗号文[v’^→]を生成する第一計算ステップと、
　複数の第二計算部が、前記暗号文[f’^→]及び前記暗号文[k’^→]を用いて、i=1,…,m-1として、f’_i=1かつk’_i≠k’_i+1又はf’_i=1かつf’_i+1=0のときe’_i=0、それ以外のときe’_i=1となり、f’_m=1のときe’_m=0であり、それ以外のときe’_m=1であるようなe’_mの暗号文[e’_m]を生成することで、e_i(i=1,…,m)を要素とするベクトルe’^→の暗号文[e’^→]を生成する第二計算ステップと、
　複数の第三計算部が、前記暗号文[e’^→]及び前記暗号文[v’^→]を用いて、i=1,…,mとして、前記ベクトルe’^→の要素e’_i=0である場合には値がv’_iであり、前記ベクトルe’^→の要素e’_i=1である場合には値が0であるx_iの暗号文[x_i]を生成することで、x_i(i=1,…,m)を要素とするベクトルx^→の暗号文[x^→]を生成する第三計算ステップと、
　複数の第四計算部が、前記暗号文[e’^→]を用いて、前記ベクトルe’^→の各要素を1から減算した値により構成されるベクトルe’’’^→の暗号文[e’’’^→]を計算する第四計算ステップと、
　を含む秘密計算方法。
　mはレコード数であり１以上の整数であり、k^→はキーのベクトルk^→=(k₁,…,k_m)であり、v^→はバリューのベクトルv^→=(v₁,…,v_m)であり、f^→はフラグのベクトルf^→=(f₁,…,f_m)であり、αを任意の値又は任意ベクトルとして[α]はαの暗号文であり、暗号文のままαを用いた所定の演算が可能であり、
　複数の第一計算部が、前記ベクトルf^→の暗号文[f^→]、前記ベクトルk^→の暗号文[k^→]及び前記ベクトルv^→の暗号文[v^→]を用いて、前記ベクトルf^→の否定、前記ベクトルk^→及び前記ベクトルv^→を結合したベクトルをキーとして、前記ベクトルf^→、前記ベクトルk^→及び前記ベクトルv^→をそれぞれソートしたベクトルf’^→、ベクトルk’^→及びベクトルv’^→の暗号文[f’^→]、暗号文[k’^→]及び暗号文[v’^→]を生成する第一計算ステップと、
　複数の第二計算部が、前記暗号文[f’^→]及び前記暗号文[k’^→]を用いて、i=1,…,m-1として、f’_i=1かつk’_i≠k’_i+1又はf’_i=1かつf’_i+1=0のときg_i=0、それ以外のときg_i=1となり、f’₁=0のときg₁=1であり、それ以外のときg₁=0であるようなg₁の暗号文[g₁]を生成することで、g_i(i=1,…,m)を要素とするベクトルg^→の暗号文[g^→]を生成する第二計算ステップと、
　複数の第三計算部が、前記暗号文[g^→]及び前記暗号文[v’^→]を用いて、i=1,…,mとして、前記ベクトルg^→の要素g_i=0である場合には値がv’_iであり、前記ベクトルg^→の要素g_i=1である場合には値が0であるx_iの暗号文[x_i]を生成することで、x_i(i=1,…,m)を要素とするベクトルx^→の暗号文[x^→]を生成する第三計算ステップと、
　複数の第四計算部が、前記暗号文[g^→]を用いて、前記ベクトルg^→の各要素を1から減算した値により構成されるベクトルg’^→の暗号文[g’^→]を計算する第四計算ステップと、
　を含む秘密計算方法。
　請求項１０又は１１の秘密計算方法の各ステップとしてコンピュータを機能させるためのプログラム。