特許 7521622 秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】

(24)【登録日】2024-07-16

(45)【発行日】2024-07-24

(54)【発明の名称】秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラム

(51)【国際特許分類】

   G09C 1/00 20060101AFI20240717BHJP

【ＦＩ】

G09C1/00 650Z

【請求項の数】 10

(21)【出願番号】P 2022581064

(86)(22)【出願日】2021-02-10

(86)【国際出願番号】 JP2021004893

(87)【国際公開番号】W WO2022172345

(87)【国際公開日】2022-08-18

【審査請求日】2023-08-09

(73)【特許権者】

【識別番号】000004237

【氏名又は名称】日本電気株式会社

(74)【代理人】

【識別番号】100080816

【弁理士】

【氏名又は名称】加藤 朝道

(74)【代理人】

【識別番号】100098648

【弁理士】

【氏名又は名称】内田 潔人

(72)【発明者】

【氏名】土田 光

【審査官】行田 悦資

(56)【参考文献】

【文献】特開２０１２－０２７５８７（ＪＰ，Ａ）

【文献】濱田 浩気 ほか，秘匿計算上の一括写像アルゴリズム，電子情報通信学会論文誌A，日本，一般社団法人電子情報通信学会 THE INSTITUTE OF ELE，2013年04月01日，Vol.J96-A, No.4，pp.157-165

【文献】辻下 健太郎，パスワード付秘密分散法の秘匿検索への応用，研究報告インターネットと運用技術（ＩＯＴ），日本，情報処理学会，2017年05月18日，Vol.2017-IOT-37, No.15，pp.1-8

(58)【調査した分野】(Int.Cl.，ＤＢ名)

Ｇ０９Ｃ １／００

(57)【特許請求の範囲】

【請求項1】

相互にネットワークで接続した複数の秘密計算サーバ装置を備え、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をする秘密計算システムであって、
前記秘密計算サーバ装置のそれぞれが、
前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶するテーブル記憶部と、
前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルするテーブルシャッフル部と、
前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択する積算部と、
他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する比較検証部と、
を有する秘密計算システム。

【請求項2】

前記秘密分散は、(N-3t)-out-of-N複製型秘密分散であり、
前記シャッフルは、前記秘密計算サーバ装置のうちｔ台におけるシェアの置換を、前記秘密計算サーバ装置のうち他の秘密計算サーバ装置がローカルに計算するミニシャッフルを合成したものである、請求項１に記載の秘密計算システム。

【請求項3】

前記比較検証部は、前記他の秘密計算サーバ装置から受信したシェアの置換のうち少なくともｔ＋１個が一致するものを正しい値として採用する、請求項２に記載の秘密計算システム。

【請求項4】

前記他の秘密計算サーバ装置がローカルに計算するミニシャッフルは、前記ｔ台の秘密計算サーバ装置が保持せず、前記他の秘密計算サーバ装置が共有しているシードから生成する疑似乱数を用いて構成される、請求項２または請求項３に記載の秘密計算システム。

【請求項5】

前記シャッフルは、Ｎ台の秘密計算サーバ装置のうち前記ｔ台の秘密計算サーバ装置を選択する組み合わせの数_ＮＣ_ｔの前記ミニシャッフルを合成したものである、請求項２から請求項４のいずれか１項に記載の秘密計算システム。

【請求項6】

前記比較検証部は、前記受信した複数のデータのハッシュ値が同一であることを判断して、前記受信した値が正しい値であることを判断する、請求項１から請求項４のいずれか１項に記載の秘密計算システム。

【請求項7】

秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をするために、相互にネットワークで接続した複数の秘密計算サーバ装置の一つであって、
前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶するテーブル記憶部と、
前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルするテーブルシャッフル部と、
前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択する積算部と、
他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する比較検証部と、
を有する秘密計算サーバ装置。

【請求項8】

相互にネットワークで接続した複数の秘密計算サーバ装置を備え、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をする秘密計算方法であって、
前記秘密計算サーバ装置のそれぞれが、
前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶し、
前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルし、
前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択し、
他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する、秘密計算方法。

【請求項9】

前記秘密分散は、(N-3t)-out-of-N複製型秘密分散であり、
前記シャッフルは、前記秘密計算サーバ装置のうちｔ台におけるシェアの置換を、前記秘密計算サーバ装置のうち他の秘密計算サーバ装置がローカルに計算するミニシャッフルを合成したものである、請求項８に記載の秘密計算方法。

【請求項10】

秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をするために、相互にネットワークで接続した複数の秘密計算サーバ装置に処理をさせる秘密計算プログラムであって、
前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶し、
前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルし、
前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択し、
他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する、秘密計算プログラム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラムに関するものである。

【背景技術】

【0002】

近年、秘密計算と呼ばれる技術の研究開発が盛んに行われている。秘密計算は、第三者に対して計算過程とその結果を秘密にしつつ所定の処理を実行する技術の一つである。秘密計算における代表的な技術の一つとして、マルチパーティ計算技術が挙げられる。マルチパーティ計算技術では、秘密にするデータを複数のサーバ（秘密計算サーバ装置）に分散配置し、秘密にした状態を維持しながら当該データの任意の演算を実行する。なお、各秘密計算サーバ装置に分散配置したデータをシェアと呼ぶ。以降、特に断りがない限り、本書で「秘密計算」という語を用いた場合は、マルチパーティ計算技術を意味するものとする。

【0003】

一般に秘密計算と呼ばれる技術の中にも、達成されている安全性の程度には高低がある。例えば、秘密計算を行うマルチパーティの参加者の中に不正者が紛れたとする。その場合に、不正者の存在を検知し処理を中断することができる秘密計算の技術と、たとえ不正者が存在しても処理を中断することなく正しい計算結果を得ることができる秘密計算の技術とでは、後者の方が前者よりも安全性が高い。そして、後者の安全性を満たす秘密計算はGuaranteed Output Delivery (GOD)と呼ばれ、これを実現する秘密計算の例も知られている（例えば、非特許文献１参照）。

【先行技術文献】

【非特許文献】

【0004】

【文献】Byali, M., Chaudhari, H., Patra, A., & Suresh, A., FLASH: fast and robust framework for privacy-preserving machine learning. Proceedings on Privacy Enhancing Technologies, 2020(2), 459-480.

【発明の概要】

【発明が解決しようとする課題】

【0005】

なお、上記先行技術文献の各開示を、本書に引用をもって繰り込むものとする。以下の分析は、本発明者らによってなされたものである。

【0006】

ところで、秘密計算における安全性の評価には、達成できる安全性の効果だけではなく、前提条件も重要な意味を持つ。代表的な前提条件としてハッシュ関数のランダムオラクルモデルないしランダムオラクル仮定がある。

【0007】

ハッシュ関数は、入力に対し一意の出力を返す関数であるが、出力から入力を推定することが困難であるように構成されている。ここで、出力から入力を推定することが困難であるとはいうものの、絶対に不可能であるかというとその保証はできない。そこで、安全性の評価に際し、用いられているハッシュ関数が脆弱性を持たないという前提で安全性が評価される。この前提の安全性を「ランダムオラクルモデルにおいて安全」あるいは「ランダムオラクル仮定のもとで安全」という。そして、非特許文献１における秘密計算の安全性は「ランダムオラクルモデルにおいて安全」である。

【0008】

一方、「ランダムオラクルモデルにおいて安全」の対義語は、「標準モデルにおいて安全」である。すなわち、ハッシュ関数の出力から入力を推定することができたとしても、そのこと自体が秘密計算の脆弱性とはならないことをいう。当然のことながら、達成できる安全性が同じであれば、ランダムオラクルモデルにおける安全性よりも、標準モデルにおける安全性の方が高度な安全性が達成できることになる。

【0009】

また、非特許文献１における秘密計算は、参加者の数が４人に限定されており、適用場面も限定されてしまう。したがって、参加者の数に対しても柔軟性が求められている。

【0010】

本発明の目的は、上述した課題を鑑み、安全性と柔軟性を高めることに寄与する秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラムを提供することにある。

【課題を解決するための手段】

【0011】

本発明の第１の視点では、相互にネットワークで接続した複数の秘密計算サーバ装置を備え、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をする秘密計算システムであって、前記秘密計算サーバ装置のそれぞれが、前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶するテーブル記憶部と、前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルするテーブルシャッフル部と、前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択する積算部と、他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する比較検証部と、を有する秘密計算システムが提供される。

【0012】

本発明の第２の視点では、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をするために、相互にネットワークで接続した複数の秘密計算サーバ装置の一つであって、前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶するテーブル記憶部と、前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルするテーブルシャッフル部と、前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択する積算部と、他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する比較検証部と、を有する秘密計算サーバ装置が提供される。

【0013】

本発明の第３の視点では、相互にネットワークで接続した複数の秘密計算サーバ装置を備え、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をする秘密計算方法であって、前記秘密計算サーバ装置のそれぞれが、前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶し、前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルし、前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択し、他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する、秘密計算方法が提供される。

【0014】

本発明の第４の視点では、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をするために、相互にネットワークで接続した複数の秘密計算サーバ装置に処理をさせる秘密計算プログラムであって、前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶し、前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルし、前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択し、他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する、秘密計算プログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な記憶媒体に記録することができる。記憶媒体は、半導体メモリ、ハードディスク、磁気記録媒体、光記録媒体等の非トランジェント（non-transient）なものとすることができる。本発明は、コンピュータプログラム製品として具現することも可能である。

【発明の効果】

【0015】

本発明の各視点によれば、安全性と柔軟性を高めることに寄与する秘密計算システム、秘密計算サーバ装置、秘密計算方法および秘密計算プログラムを提供することができる。

【図面の簡単な説明】

【0016】

【図1】図１は、第１の実施形態に係る秘密計算システムの機能構成例を示すブロック図である。

【図2】図２は、第１の実施形態における秘密計算サーバ装置の機能構成例を示すブロック図である。

【図3】図３は、第１の実施形態にかかる秘密計算方法の手順の概略を示すフローチャートである。

【図4】図４は、第２の実施形態に係る秘密計算システムの機能構成例を示すブロック図である。

【図5】図５は、第２の実施形態に係る秘密計算方法の手順の概略を示すフローチャートである。

【図6】図６は、秘密計算サーバ装置のハードウェア構成例を示す図である。

【発明を実施するための形態】

【0017】

以下、図面を参照しながら、本発明の実施形態について説明する。ただし、以下に説明する実施形態により本発明が限定されるものではない。また、各図面において、同一または対応する要素には適宜同一の符号を付している。さらに、図面は模式的なものであり、各要素の寸法の関係、各要素の比率などは、現実のものとは異なる場合があることに留意する必要がある。図面の相互間においても、互いの寸法の関係や比率が異なる部分が含まれている場合がある。

【0018】

［第１の実施形態］
以下、図１、図２を参照して、第１の実施形態に係る秘密計算システムおよび秘密計算サーバ装置について説明する。第１の実施形態は、本発明の基本的なコンセプトのみを説明する実施形態である。

【0019】

図１は、第１の実施形態に係る秘密計算システムの機能構成例を示すブロック図である。図１に示すように、第１の実施形態に係る秘密計算システム１００は、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）を備えている（Ｎは自然数）。第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）は、それぞれが互いにネットワーク経由で通信可能に接続されている。図１中央の丸印は、ネットワークを示す。

【0020】

第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）を備える秘密計算システム１００においては、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）の内のいずれかの秘密計算サーバ装置１１０_ｉが入力した値に対し、その入力や計算過程の値を知られることなく目的のシェアを計算し、その計算結果を第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）に分散して記憶することができる。

【0021】

また、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）を備える秘密計算システム１００においては、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）に分散して記憶されているシェアに対し、その計算過程の値を知られることなく目的のシェアを計算し、その計算結果を第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）に分散して記憶することができる。

【0022】

なお、上記計算結果のシェアは、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）にシェアを送受信することで、復元してもよい。あるいは、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）ではない外部にシェアを送信することで、復元してもよい。

【0023】

第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）のそれぞれは、独立した各参加者Ｐ_ｉ（ｉ＝０，１，…，Ｎ－１）によって運営されている。さらに、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）を備える秘密計算システム１００においては、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）のうち一部が不正者によって運営されている場合であっても、処理を停止することなく、正しい秘密計算を継続することができる。

【0024】

第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）のそれぞれは、例えば以下の構成を採用することができる。

【0025】

各参加者Ｐ_ｉ（ｉ＝０，１，…，Ｎ－１）に対する、位数Ｌの剰余類環Ｚ_Ｌのシェアを以下のように定める。

【0026】

位数Ｌの剰余類環Ｚ_Ｌの元ｘ∈Ｚ_Ｌの剰余類環Ｚ_Ｌ上のシェアを以下のように表す。
［ｘ］_Ｌ＝（［ｘ］_Ｌ，０，［ｘ］_Ｌ，１，…，［ｘ］_{Ｌ，Ｎ－１}）
そして、位数Ｌの剰余類環Ｚ_Ｌの元ｘ∈Ｚ_Ｌを
ｘ＝ｘ_０＋ｘ_１＋…＋ｘ_Ｎ－１ ｍｏｄ Ｌ
との関係を満たすように分解し、各参加者Ｐ_ｉ（ｉ＝０，１，…，Ｎ－１）が分散保持する［ｘ］_Ｌ，ｉは、以下のようにする。すなわち、複製度は３ｔ＋１である。ただし、ｔは許容し得る不正者の数であり、ｔ（３ｔ＋１）＜Ｎを満たす自然数とする。
［ｘ］_Ｌ，ｉ＝（ｘ_ｉ，ｘ_ｉ＋１，…，ｘ_ｉ＋３ｔ），ただし、ｘ_{（Ｎ－１）＋１}＝ｘ_０

【0027】

このように各参加者Ｐ_ｉ（ｉ＝０，１，…，Ｎ－１）が保持するシェア［ｘ］_Ｌ，０，［ｘ］_Ｌ，１，…，［ｘ］_{Ｌ，Ｎ－１}を定めると、各参加者Ｐ_ｉ（ｉ＝０，１，…，Ｎ－１）は、自己が保持するシェア［ｘ］_Ｌ，０，［ｘ］_Ｌ，１，…，［ｘ］_{Ｌ，Ｎ－１}からはｘを復元することはできない。一方、参加者Ｐ_ｉ（ｉ＝０，１，…，Ｎ－１）のうち、少なくともｔ＋１名が保持しているシェアを合わせるとｘを復元することができるという秘密分散が実現する。なお、この秘密分散方式は、(N-3t)-out-of-N複製型秘密分散（Replicated Secret Sharing Scheme）と呼ばれている。

【0028】

ところで、この秘密分散方式では、ｘを復元する場合に限らず、例えば積算などの秘密計算を実行する際に、参加者Ｐ_ｉが、自己が保持していないシェアの値を他の参加者Ｐ_ｊから受信する状況が発生する。このとき、参加者Ｐ_ｉが保持していないシェアの値は、他の参加者Ｐ_ｊが保持しているはずなので、本来的には、他の参加者Ｐ_ｊの誰かから参加者Ｐ_ｉが保持していないシェアの値を受信して計算に用いることが予定されている。しかしながら、他の参加者Ｐ_ｊの中に不正者が紛れたとすると、本来は受信したい値の代わりに別の値が送信されてくることが起こり得る。すると、誤った値に基づいて秘密計算を実行することになり、誤った計算を得ることになったり、そもそも計算自体を正常に実行することができなくなったりする。

【0029】

そこで、本実施形態では、図２に示すように、秘密計算サーバ装置１１０_ｉがテーブル記憶部１１１とテーブルシャッフル部１１２と積算部１１３と比較検証部１１４を備えることで、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、第１の値と第２の値との積を秘密分散したシェアの秘密計算をする。図２は、第１の実施形態における秘密計算サーバ装置の機能構成例を示すブロック図である。

【0030】

具体的には、次のような処理の例が考えられる。

【0031】

テーブル記憶部１１１は、第１の値が取り得る値のシェアと第２の値が取り得る値のシェアとの組み合わせに対する第１の値と第２の値との積を秘密分散したシェアのテーブルを記憶する。ここで、テーブルとは、いわゆる掛け算表を秘密分散したものである。例えば第１の値のシェアを［ｉ_ｘ］_Ｌ（ｉ_ｘ∈Ｚ_Ｌ）とし、第２の値のシェアを［ｊ_ｙ］_Ｌ（ｊ_ｙ∈Ｚ_Ｌ）とすると以下のようなテーブルになる。なお、テーブル記憶部１１１は、以下のようなテーブルを事前に記憶しておいてもよいが、このテーブル自体は通常の掛け算から容易に構成することができるので、実装上は必要なときに変数に［Ｚ_ｉ，ｊ］＝［ｉ_ｘｊ_ｙ］を格納すればよい。

【0032】

【表1】

【0033】

上記のようなテーブルがあれば、第１の値のシェア［ｉ_ｘ］と第２の値のシェア［ｊ_ｙ］から、第１の値ｉ_ｘと第２の値ｊ_ｙとの積を秘密分散したシェア［ｉ_ｘｊ_ｙ］を得ることができる。しかしながら、直接的にテーブルを参照した場合、秘密計算としては問題がある。テーブルを参照した個所からシェア［ｉ_ｘｊ_ｙ］の値が漏洩してしまうからである。

【0034】

そこで、テーブルシャッフル部１１２は、テーブルにおける第１の値ｉ_ｘが取り得る値のインデックスｉおよび第２の値ｊ_ｙが取り得る値のインデックスｊをシャッフルする。ここでは当該シャッフルをすることによって、インデックスｉはインデックスｐへ置換し、インデックスｊはインデックスｑへ置換するものとする。すると、シャッフル後のテーブルは例えば以下のように行と列の情報が失われる。

【0035】

【表2】

【0036】

すると、今度は各参加者が、インデックスｉがどのインデックスｐへ置換したのか、インデックスｊがどのインデックスｑへ置換したのかを知らないので、第１の値ｉ_ｘと第２の値ｊ_ｙとの積を秘密分散したシェア［ｉ_ｘｊ_ｙ］を得るために、どの行ｊ_ｙと列ｉ_ｘを参照すればよいのかが自明ではなくなる。

【0037】

そこで、積算部１１３は、シャッフル後のテーブルのインデックスと第１の値および第２の値とが一致したテーブルの要素を選択することで、第１の値ｉ_ｘと第２の値ｊ_ｙとの積を秘密分散したシェア［ｉ_ｘｊ_ｙ］を得る。すなわち、シャッフル後のテーブルのインデックス（ｐ，ｑ）のうちどれかと第１の値および第２の値（ｉ_ｘ，ｊ_ｙ）が一致するので、その一致したインデックス（ｐ，ｑ）の[Ｚ_ｐ，ｑ]が、第１の値ｉ_ｘと第２の値ｊ_ｙとの積を秘密分散したシェア［ｉ_ｘｊ_ｙ］である。

【0038】

なお、シャッフル後のテーブルのインデックス（ｐ，ｑ）と第１の値および第２の値（ｉ_ｘ，ｊ_ｙ）との一致判定は、第１の値のシェア［ｉ_ｘ］および第２の値のシェア［ｊ_ｙ］の入力と、シャッフル後のテーブルのインデックスのシェア（［ｐ］，［ｑ］）を用いて秘密計算することができる。（［ｉ_ｘ－ｐ］，［ｊ_ｙ－ｑ］）が（［０］，［０］）であるか否かを計算すればよい。

【0039】

ところで、先述したように、上記計算でも、自己が保持していないシェアの値を他の参加者から受信する状況が発生する。そして、自己が保持していないシェアの値を他の参加者から受信する状況では、他の参加者に不正者が紛れ込み、本来は受信したい値の代わりに別の値が送信されてくることが起こり得る。

【0040】

そこで、比較検証部１１４は、他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する。上述したように、本構成例では、複製度が３ｔ＋１の秘密分散方式を採用している。したがって、各シェアの同一の要素を３ｔ＋１人の参加者が保持していることになる。つまり、自己が保持していないシェアの値を他の参加者から受信する場合、３ｔ＋１人の参加者から同一の要素を受信することが可能であり、これら複数のうち多数派が一致するデータを正しい値として採用する。このように、第１の実施形態の構成では、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）のうち一部が不正者によって運営されている場合であっても、処理を停止することなく、正しい秘密計算を継続することができる。

【0041】

以上のように、第１の実施形態に係る秘密計算システム１００では、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）のそれぞれが、テーブル記憶部１１１とテーブルシャッフル部１１２と積算部１１３と比較検証部１１４を備えることで、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、第１の値と第２の値との積を秘密分散したシェアの秘密計算をする。そして、第１の実施形態に係る秘密計算システム１００では、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）のそれぞれが、上記構成を有することにより、第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）のうち一部が不正者によって運営されている場合であっても、処理を停止することなく、正しい秘密計算を継続することができる。また、ｔ（３ｔ＋１）＜Ｎを満たす秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）の台数の構成を採用することができる。つまり、第１の実施形態に係る秘密計算システム１００および第０～第Ｎ－１の秘密計算サーバ装置１１０_ｉ（ｉ＝０，１，…，Ｎ－１）のそれぞれは、秘密計算技術の安全性と柔軟性を高めることに寄与することが可能である。

【0042】

（秘密計算方法）
図３は、第１の実施形態にかかる秘密計算方法の手順の概略を示すフローチャートである。図３に示される秘密計算方法の手順は、説明を容易にするための秘密計算の手順の典型例に過ぎず、実際の秘密計算方法では、一部のステップのみの実施であったり、順序を変えて実施したり、一部のステップを繰り返すなどの変更がなされることが通常である。

【0043】

図３に示されるように、第１の実施形態にかかる秘密計算方法は、テーブル記憶ステップ（ステップＳ１）と、テーブルシャッフルステップ（ステップＳ２）と、積算ステップ（ステップＳ３）と、比較検証ステップ（ステップＳ４）とを有している。

【0044】

テーブル記憶ステップ（ステップＳ１）では、秘密計算サーバ装置１１０_ｉが第１の値が取り得る値のシェアと第２の値が取り得る値のシェアとの組み合わせに対する第１の値と第２の値との積を秘密分散したシェアのテーブルを記憶する。ここで、テーブルとは、先述した掛け算表を秘密分散したものである。なお、このテーブル自体は通常の掛け算から容易に構成することができるので、実装上は必要なときに変数に格納すればよい。また、テーブルを構成する処理は入力を待たずに行う、いわゆるオフライン処理を行うことができる。

【0045】

テーブルシャッフルステップ（ステップＳ２）では、秘密計算サーバ装置１１０_ｉがテーブルにおける第１の値が取り得る値のインデックスおよび第２の値が取り得る値のインデックスをシャッフルする。すると、シャッフル後のテーブルは行と列の情報が失われる。

【0046】

積算ステップ（ステップＳ３）では、秘密計算サーバ装置１１０_ｉがシャッフル後のテーブルのインデックスと第１の値および第２の値とが一致したテーブルの要素を選択することで、第１の値ｉ_ｘと第２の値ｊ_ｙとの積を秘密分散したシェア［ｉ_ｘｊ_ｙ］を得る。

【0047】

一方、比較検証ステップ（ステップＳ４）では、秘密計算サーバ装置１１０_ｉが他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する。ただし、比較検証ステップ（ステップＳ４）は、自己が保持していないシェアの値を他の参加者から受信する処理に付随して実行される。すなわち、テーブルシャッフルステップ（ステップＳ２）および積算ステップ（ステップＳ３）の一部として自己が保持していないシェアの値を他の参加者から受信する度に実行される。

【0048】

以上のように、第１の実施形態にかかる秘密計算方法は、テーブル記憶ステップ（ステップＳ１）と、テーブルシャッフルステップ（ステップＳ２）と、積算ステップ（ステップＳ３）と、比較検証ステップ（ステップＳ４）とを有することで、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、第１の値と第２の値との積を秘密分散したシェアの秘密計算をする。そして、第１の実施形態にかかる秘密計算方法は、上記処理を実行することで、秘密計算サーバ装置１１０_ｉのうち一部が不正者によって運営されている場合であっても、処理を停止することなく、正しい秘密計算を継続することができる。また、ｔ（３ｔ＋１）＜Ｎを満たす秘密計算サーバ装置１１０_ｉの台数の構成を採用することができる。つまり、第１の実施形態にかかる秘密計算方法は、秘密計算技術の安全性と柔軟性を高めることに寄与することが可能である。

【0049】

以上説明した第１の実施形態は、本発明の基本的なコンセプトのみを説明する実施形態である。したがって、本発明を実用的な実施形態に適用するためには、加算や乗算などを含む一連の処理において、上記説明したコンセプトを適用する必要がある。以下で説明する第２の実施形態は、上記説明したコンセプトを実用的な実施形態に適用したものである。

【0050】

［第２の実施形態］
以下、図４を参照して、第２の実施形態に係る秘密計算システムについて説明する。

【0051】

図４は、第２の実施形態に係る秘密計算システムの機能構成例を示すブロック図である。図４に示すように、第２の実施形態に係る秘密計算システム２００は、第０～第Ｎ－１の秘密計算サーバ装置２１０_ｉ（ｉ＝０，１，…，Ｎ－１）を備えている。第０～第Ｎ－１の秘密計算サーバ装置２１０_ｉ（ｉ＝０，１，…，Ｎ－１）は、それぞれが互いにネットワーク経由で通信可能に接続されている。

【0052】

第０～第Ｎ－１の秘密計算サーバ装置２１０_ｉ（ｉ＝０，１，…，Ｎ－１）のそれぞれは、独立した各参加者Ｐ_ｉ（ｉ＝０，１，…，Ｎ－１）によって運営されている。さらに、第０～第Ｎ－１の秘密計算サーバ装置２１０_ｉ（ｉ＝０，１，…，Ｎ－１）を備える秘密計算システム２００においては、第０～第Ｎ－１の秘密計算サーバ装置２１０_ｉ（ｉ＝０，１，…，Ｎ－１）のうち一部が不正者によって運営されている場合であっても、処理を停止することなく、正しい秘密計算を継続することができる。

【0053】

〔準備〕
第２の実施形態に係る秘密計算システム２００は、例えば以下の構成を採用することができる。

【0054】

第２の実施形態に係る秘密計算システム２００は、第１の実施形態と同様に、(N-3t)-out-of-N複製型秘密分散の秘密分散方式を採用することができる。すなわち、位数Ｌの剰余類環Ｚ_Ｌの元ｘ∈Ｚ_Ｌの剰余類環Ｚ_Ｌ上のシェアを以下のように構成する。
［ｘ］_Ｌ＝（［ｘ］_Ｌ，０，［ｘ］_Ｌ，１，…，［ｘ］_{Ｌ，Ｎ－１}）
ｘ＝ｘ_０＋ｘ_１＋…＋ｘ_Ｎ－１ ｍｏｄ Ｌ
［ｘ］_Ｌ，ｉ＝（ｘ_ｉ，ｘ_ｉ＋１，…，ｘ_ｉ＋３ｔ），ただし、ｘ_{（Ｎ－１）＋１}＝ｘ_０

【0055】

ここで、記号の定義として、上記のように秘密分散されてシェアの要素ｘ_ｉを保持する参加者の集合をＰ（ｘ_ｉ）と定める。定義から解るように、集合の元の個数｜Ｐ（ｘ_ｉ）｜＝３ｔ＋１である。

【0056】

また、各参加者Ｐ_ｉは、（ｋ_ｉ，…，ｋ_ｉ＋３ｔ）をシードとして持つ。なお、ｋ_ｉ∈｛０，１｝^κである。

【0057】

さらに、後で説明するシャッフルのために、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する参加者は、追加のシードｋ_ｘ，ｊを持つ。ただし、Ｎ_ｊは任意のｔ人の参加者の集合である（ｊ＝０，１，…，_ＮＣ_ｔ－１）。

【0058】

疑似ランダム関数Ｆ_Ｌは、下記のように、シードを入力としてＺ_Ｌを出力する。
Ｆ_Ｌ：{0,1}^κ×{0,1}^κ→Ｚ_Ｌ

【0059】

また、配列長Ｍの配列ｘ＝（ｘ_０，…，ｘ_ｊ，…，ｘ_Ｍ―１）としたときに、ｘ_ｊに対して、ｘ_ｊ＝ｘ_ｊ，０＋ｘ_ｊ，１＋…＋ｘ_{ｊ，Ｎ－１} ｍｏｄ Ｌと分解し、ｘ_ｉ＝（ｘ_０，ｉ，…，ｘ_{Ｍ―１，ｉ}）とする。

【0060】

〔ビルディングブロック〕
ここで、第２の実施形態に係る秘密計算システム２００において、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、第１の値と第２の値との積を秘密分散したシェアの秘密計算をするために要素として用いるビルディングブロックの説明をする。

【0061】

〔復元〕
ここでは、ある参加者Ｐ_ｉが［ｘ］_Ｌからｘ∈Ｚ_Ｌを復元することを考える。

【0062】

参加者Ｐ_ｉがｘ∈Ｚ_Ｌを復元するには、ｘ_１，…，ｘ_ｉ－１，ｘ_{ｉ＋（３ｔ＋１）}，…，ｘ_Ｎ－１が必要である。つまり、参加者Ｐ_ｉは、［ｘ］_Ｌ，ｉ＝（ｘ_ｉ，ｘ_ｉ＋１，…，ｘ_ｉ＋３ｔ）を保持しているので、残りのｘ_１，…，ｘ_ｉ－１，ｘ_{ｉ＋（３ｔ＋１）}，…，ｘ_Ｎ－１を必要とする。

【0063】

ここで、シェアの要素ｘ_ｊ（ｊ＝１，…，ｉ－１，ｉ＋（３ｔ＋１），…，Ｎ－１）を保持する参加者の集合Ｐ（ｘ_ｊ）を考える。そして、参加者Ｐ_ｚ∈Ｐ（ｘ_ｊ）は、ｘ_ｊを参加者Ｐ_ｉに送信する。なお、この送信処理は、シェアの各要素ｘ_ｊ（ｊ＝１，…，ｉ－１，ｉ＋（３ｔ＋１），…，Ｎ－１）について実行する。

【0064】

一方、参加者Ｐ_ｉは、集合Ｐ（ｘ_ｊ）に属する参加者から送信された値に対して、値同士の比較検証を行い、多数決における多数派のｘ_ｊを正しい値として選択する。｜Ｐ（ｘ_ｉ）｜＝３ｔ＋１であることから、不正者がｔ人以下である限り、多数決によって多数派のｘ_ｊを正しい値として必ず選択することができる。なお、集合Ｐ（ｘ_ｊ）に属する参加者の一部が送信する値をハッシュ値とすることで、通信コストを低減することが可能である。

【0065】

最終的に、参加者Ｐ_ｉは、［ｘ］_Ｌ，ｉ＝（ｘ_ｉ，ｘ_ｉ＋１，…，ｘ_ｉ＋３ｔ）と比較検証を行い正しい値であることが確認されたｘ_１，…，ｘ_ｉ－１，ｘ_{ｉ＋（３ｔ＋１）}，…，ｘ_Ｎ－１を用いて、ｘ＝Σ_ｉ＝０ ^Ｎ－１ｘ_ｉ ｍｏｄ Ｌを計算する。このｘが目的の値である。

【0066】

〔入力〕
ここでは、参加者Ｐ_ｉがｘ∈Ｚ_Ｌを入力することを考える。なお、この場合の出力は［ｘ］_Ｌである。

【0067】

まず、参加者Ｐ_ｉは、乱数ｘ_１，…，ｘ_Ｎ－１∈Ｚ_Ｌを生成する。そして、ｘ_０＝ｘ－Σ_ｉ＝１ ^Ｎ－１ｘ_ｉ ｍｏｄ Ｌとする。

【0068】

次に、参加者Ｐ_ｉは、他の参加者Ｐ_ｉ（ｊ≠ｉ）に対して［ｘ］_Ｌ，ｉを送信する。

【0069】

全参加者Ｐ_ｉは、シードと疑似ランダム関数から［ｒ］_Ｌを生成する。具体的には、ｒ_ｉ＝Ｆ_Ｌ（ｕｉｄ，ｋ_ｉ）として、ｒ＝Σ_ｉ＝１ ^Ｎ－１ｒ_ｉ ｍｏｄ Ｌとすると、通信なしで乱数ｒのシェアを作ることができる。なお、このとき誰もｒの値を知らないことに注意する。

【0070】

そして、全参加者Ｐ_ｉは［ｘ＋ｒ］_Ｌ＝［ｘ］_Ｌ＋［ｒ］_Ｌを計算する。なお、シェア同士の加算［ｘ］_Ｌ＋［ｙ］_Ｌ＝［ｚ］_Ｌは、ｚ_ｉ＝ｘ_ｉ＋ｙ_ｉ ｍｏｄ Ｌとなるように、［ｚ］_Ｌ＝（［ｚ］_Ｌ，０，［ｚ］_Ｌ，１，…，［ｚ］_{Ｌ，Ｎ－１}）を計算すればよい。

【0071】

その後、全参加者Ｐ_ｉは［ｘ＋ｒ］_Ｌを復元してｘ＋ｒを得る。ここでの復元には先述のビルディングブロック〔復元〕を用いることができる。

【0072】

ここで、全参加者Ｐ_ｉが復元して得られたｘ＋ｒを交換し、受信したｘ＋ｒの値の比較検証を行う。受信したｘ＋ｒの値のうち、多数派を正しい値として選択する。なお、多数決が成立しない場合は、インプットディーラーである参加者Ｐ_ｉが不正者であるので、参加者Ｐ_ｉと参加者Ｐ_ｉが入力したｘ∈Ｚ_Ｌを排除する。なお、ｘ＋ｒを交換する際の通信の一部をハッシュ値とすることで、通信コストを低減することが可能である。

【0073】

最終的に、［ｘ］_Ｌ＝ｘ＋ｒ－［ｒ］_Ｌが出力として得られる。

【0074】

〔シャッフル〕
ここでのシャッフルは、参加者のうちｔ人における置換を、他の参加者がローカルに計算するミニシャッフルを合成したものである。したがって、このミニシャッフルの構成方法から説明する。

【0075】

まず、参加者のうちｔ人が知らず、他の参加者が知っている置換を構成する。先述したように、Ｎ_ｊ（ｊ＝０，１，…，_ＮＣ_ｔ－１）を任意のｔ人の参加者の集合としたときに、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する参加者は、シードｋ_ｘ，ｊを共有している。したがって、このシードｋ_ｘ，ｊから生成される疑似乱数を用いた置換は、Ｎ_ｊに属する参加者（ｔ人）が知らず、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する他の参加者が知っている置換となる。

【0076】

そして、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する参加者は、自己が構成した置換であるので、この置換πをシェアの要素ｘ_ｉに適用し、ローカルに（通信を伴うことなく）π（ｘ_ｉ）を計算することができる。

【0077】

一方、Ｎ_ｊに属する参加者（ｔ人）は、π（ｘ_ｉ）を計算することができないので、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する参加者が計算したπ（ｘ_ｉ）を送信してもらう。このとき、｜Ｐ（ｘ_ｉ）｜＝３ｔ＋１であり、｜Ｎ_ｊ｜＝ｔであることに着目すれば、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する参加者は、２ｔ＋１人であることが解る。そして、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する参加者の中にｔ人の不正者が紛れ込んだとしても、２ｔ＋１人のなかでは少数派になる。

【0078】

したがって、Ｎ_ｊに属する参加者（ｔ人）は、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する参加者から受信したπ（ｘ_ｉ）を比較検証し、少なくともｔ＋１個が一致するものを正しい値として採用する。なお、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する参加者がＮ_ｊに属する参加者に送信するシェアの置換をハッシュ値として送信することで通信コストを低減することができる。

【0079】

このような置換をすべてのｘ_ｉに対して行うことで、参加者のうちｔ人における置換を、他の参加者がローカルに計算するミニシャッフルを構成することができる。

【0080】

ここで、上記のように構成したミニシャッフルは、Ｎ_ｊに属する参加者にとっては置換の行き先を追跡することができないのでシャッフルとして機能する。一方、Ｐ（ｘ_ｉ）＼Ｎ_ｊに属する参加者にとっては置換の行き先を追跡することができてしまうのでシャッフルとして機能しない。

【0081】

そこでシャッフルを、ｔ人の参加者を選択する組み合わせの数_ＮＣ_ｔのミニシャッフルを合成したものとして構成する。すると、すべての参加者にとって、合成されたミニシャッフルのいずれかが置換の行き先を追跡することができないものとなっており、シャッフルとして機能する。

【0082】

〔積算〕
図５は、第２の実施形態に係る秘密計算方法の手順の概略を示すフローチャートである。すなわち、図５に示されるフローチャートは、上記ビルディングブロックを用いて、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、第１の値と第２の値との積を秘密分散したシェアの秘密計算をする方法を示している。

【0083】

図５に示されるように、第２の実施形態にかかる秘密計算方法は、テーブル記憶ステップ（ステップＳ１１）と、テーブルシャッフルステップ（ステップＳ１２）と、積算ステップ（ステップＳ１３）と、比較検証ステップ（ステップＳ１４）とを有している。

【0084】

テーブル記憶ステップ（ステップＳ１１）では、秘密計算サーバ装置２１０_ｉが第１の値が取り得る値のシェアと第２の値が取り得る値のシェアとの組み合わせに対する第１の値と第２の値との積を秘密分散したシェアのテーブルを記憶する。ここで、テーブルとは、第１の実施形態で説明したテーブルと同じものを用いることができる。

【0085】

テーブルシャッフルステップ（ステップＳ１２）では、秘密計算サーバ装置２１０_ｉがテーブルにおける第１の値が取り得る値のインデックスおよび第２の値が取り得る値のインデックスをシャッフルする。ここでのシャッフルには、上記説明したビルディングブロックの〔シャッフル〕を用いることができる。

【0086】

そして、積算ステップ（ステップＳ１３）では、秘密計算サーバ装置２１０_ｉがシャッフル後のテーブルのインデックスと第１の値および第２の値とが一致したテーブルの要素を選択することで、第１の値と第２の値との積を秘密分散したシェアを得る。この処理についても第１の実施形態で説明した処理と同様にすることができる。

【0087】

また、比較検証ステップ（ステップＳ１４）では、秘密計算サーバ装置２１０_ｉが他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する。上記ビルディングブロックの説明でも解るように、比較検証ステップは、シャッフルの内部処理や復元の内部処理としても組み込まれている。

【0088】

以上のように、第２の実施形態にかかる秘密計算方法は、テーブル記憶ステップ（ステップＳ１１）と、テーブルシャッフルステップ（ステップＳ１２）と、積算ステップ（ステップＳ１３）と、比較検証ステップ（ステップＳ１４）とを有することで、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、第１の値と第２の値との積を秘密分散したシェアの秘密計算をする。そして、第２の実施形態にかかる秘密計算方法は、上記処理を実行することで、秘密計算サーバ装置２１０_ｉのうち一部が不正者によって運営されている場合であっても、処理を停止することなく、正しい秘密計算を継続することができる。また、ｔ（３ｔ＋１）＜Ｎを満たす秘密計算サーバ装置２１０_ｉの台数の構成を採用することができる。つまり、第２の実施形態にかかる秘密計算方法は、秘密計算技術の安全性と柔軟性を高めることに寄与することが可能である。

【0089】

［ハードウェア構成例］
図６は、秘密計算サーバ装置のハードウェア構成例を示す図である。すなわち、図６に示すハードウェア構成例は、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）のハードウェア構成例である。図６に示すハードウェア構成を採用した情報処理装置（コンピュータ）は、上記説明した秘密計算方法をプログラムとして実行することで、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）の各機能を実現することを可能にする。

【0090】

ただし、図６に示すハードウェア構成例は、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）の各機能を実現するハードウェア構成の一例であり、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）のハードウェア構成を限定する趣旨ではない。秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）は、図６に示さないハードウェアを含むことができる。

【0091】

図６に示すように、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）が採用し得るハードウェア構成１０は、例えば内部バスにより相互に接続される、ＣＰＵ（Central Processing Unit）１１、主記憶装置１２、補助記憶装置１３、およびＩＦ（Interface）部１４を備える。

【0092】

ＣＰＵ１１は、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）が実行する秘密計算プログラムに含まれる各指令を実行する。主記憶装置１２は、例えばＲＡＭ（Random Access Memory）であり、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）が実行する秘密計算プログラムなどの各種プログラムなどをＣＰＵ１１が処理するために一時記憶する。

【0093】

補助記憶装置１３は、例えば、ＨＤＤ（Hard Disk Drive）であり、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）が実行する秘密計算プログラムなどの各種プログラムなどを中長期的に記憶しておくことが可能である。秘密計算プログラムなどの各種プログラムは、非一時的なコンピュータ可読記録媒体（non-transitory computer-readable storage medium）に記録されたプログラム製品として提供することができる。補助記憶装置１３は、非一時的なコンピュータ可読記録媒体に記録された秘密計算プログラムなどの各種プログラムを中長期的に記憶することに利用することが可能である。ＩＦ部１４は、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）間の入出力に関するインターフェイスを提供する。

【0094】

上記のようなハードウェア構成１０を採用した情報処理装置は、先述した秘密計算方法をプログラムとして実行することで、秘密計算サーバ装置１１０_ｉ，２１０_ｉ（ｉ＝０，１，…，Ｎ－１）の各機能を実現する。

【0095】

上記の実施形態の一部又は全部は、以下の付記のようにも記載され得るが、以下には限られない。
［付記１］
相互にネットワークで接続した複数の秘密計算サーバ装置を備え、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をする秘密計算システムであって、
前記秘密計算サーバ装置のそれぞれが、
前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶するテーブル記憶部と、
前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルするテーブルシャッフル部と、
前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択する積算部と、
他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する比較検証部と、
を有する秘密計算システム。
［付記２］
前記秘密分散は、(N-3t)-out-of-N複製型秘密分散であり、
前記シャッフルは、前記秘密計算サーバ装置のうちｔ台におけるシェアの置換を、前記秘密計算サーバ装置のうち他の秘密計算サーバ装置がローカルに計算するミニシャッフルを合成したものである、付記１に記載の秘密計算システム。
［付記３］
前記比較検証部は、前記他の秘密計算サーバ装置から受信したシェアの置換のうち少なくともｔ＋１個が一致するものを正しい値として採用する、付記２に記載の秘密計算システム。
［付記４］
前記他の秘密計算サーバ装置がローカルに計算するミニシャッフルは、前記ｔ台の秘密計算サーバ装置が保持せず、前記他の秘密計算サーバ装置が共有しているシードから生成する疑似乱数を用いて構成される、付記２または付記３に記載の秘密計算システム。
［付記５］
前記シャッフルは、Ｎ台の秘密計算サーバ装置のうち前記ｔ台の秘密計算サーバ装置を選択する組み合わせの数_ＮＣ_ｔの前記ミニシャッフルを合成したものである、付記２から付記４のいずれか１つに記載の秘密計算システム。
［付記６］
前記比較検証部は、前記受信した複数のデータのハッシュ値が同一であることを判断して、前記受信した値が正しい値であることを判断する、付記１から付記４のいずれか１つに記載の秘密計算システム。
［付記７］
秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をするために、相互にネットワークで接続した複数の秘密計算サーバ装置の一つであって、
前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶するテーブル記憶部と、
前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルするテーブルシャッフル部と、
前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択する積算部と、
他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する比較検証部と、
を有する秘密計算サーバ装置。
［付記８］
相互にネットワークで接続した複数の秘密計算サーバ装置を備え、秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をする秘密計算方法であって、
前記秘密計算サーバ装置のそれぞれが、
前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶し、
前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルし、
前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択し、
他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する、秘密計算方法。
［付記９］
前記秘密分散は、(N-3t)-out-of-N複製型秘密分散であり、
前記シャッフルは、前記秘密計算サーバ装置のうちｔ台におけるシェアの置換を、前記秘密計算サーバ装置のうち他の秘密計算サーバ装置がローカルに計算するミニシャッフルを合成したものである、付記８に記載の秘密計算方法。
［付記１０］
秘密分散された第１の値のシェアと秘密分散された第２の値のシェアから、前記第１の値と前記第２の値との積を秘密分散したシェアの秘密計算をするために、相互にネットワークで接続した複数の秘密計算サーバ装置に処理をさせる秘密計算プログラムであって、
前記第１の値が取り得る値のシェアと前記第２の値が取り得る値のシェアとの組み合わせに対する前記第１の値と前記第２の値との積を秘密分散したシェアのテーブルを記憶し、
前記テーブルにおける前記第１の値が取り得る値のインデックスおよび前記第２の値が取り得る値のインデックスをシャッフルし、
前記シャッフル後の前記テーブルのインデックスと前記第１の値および前記第２の値とが一致した前記テーブルの要素を選択し、
他の秘密計算サーバ装置から受信した複数のデータのうち、多数派が一致するデータを正しい値として採用する、秘密計算プログラム。

【0096】

なお、引用した上記の特許文献等の各開示は、本書に引用をもって繰り込むものとする。本発明の全開示（請求の範囲を含む）の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の全開示の枠内において種々の開示要素（各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む）の多様な組み合わせ、ないし、選択（部分的削除を含む）が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。さらに、上記引用した文献の各開示事項は、必要に応じ、本発明の趣旨に則り、本発明の開示の一部として、その一部又は全部を、本書の記載事項と組み合わせて用いることも、本願の開示事項に含まれるものと、みなされる。

【符号の説明】

【0097】

１００，２００ 秘密計算システム
１１０_ｉ，２１０_ｉ 秘密計算サーバ装置
１１１ テーブル記憶部
１１２ テーブルシャッフル部
１１３ 積算部
１１４ 比較検証部
１０ ハードウェア構成
１１ ＣＰＵ（Central Processing Unit）
１２ 主記憶装置
１３ 補助記憶装置
１４ ＩＦ（Interface）部

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】