WO2024228294A1

WO2024228294A1 - 分析装置、分析方法及び分析プログラム

Info

Publication number: WO2024228294A1
Application number: PCT/JP2024/007990
Authority: WO
Inventors: 哲士田中; 陽一櫻井; 匡史澤田; 龍太山際
Original assignee: NTT Communications Corp
Current assignee: NTT Docomo Business Inc
Priority date: 2023-05-01
Filing date: 2024-03-04
Publication date: 2024-11-07
Anticipated expiration: 2025-11-01
Also published as: JP2024160620A; US20260056925A1; EP4708260A4; EP4708260A1; AU2024266332A1

Abstract

実施形態の分析装置は、ソート部及び削除部を有する。ソート部は、第１のキー（重複削除キー）の値が重複するレコードを含むテーブルのレコードを、第１のキーと異なる第２のキー（ソートキー）で秘密計算によりソートする。削除部は、ソート部によるソートが行われたテーブルに含まれる、第１のキーが重複するレコードの集合のそれぞれについて、集合の中であらかじめ定められた位置にある１つのレコード以外のレコードを秘密計算により削除する。

Description

分析装置、分析方法及び分析プログラム

　本発明は、分析装置、分析方法及び分析プログラムに関する。

　従来、データを秘匿したまま統計的な演算を行い、演算の結果得られた統計量をユーザに提供する秘密計算システムが知られている。例えば、秘密計算システムは、重要な個人情報を取り扱う医療分野等におけるデータの分析に利用される場合がある。

　また、秘密計算を用いてテーブル（表）の操作を行う方法が知られている（例えば、特許文献３を参照）。

国際公開第２０１９／１２４２６０号特開２０２０－０４２１２８号公報特開２０１４－１３９６４０号公報

日本電信電話株式会社、秘密計算のシステムとその原理、［online］、［令和４年１１月２４日検索］、インターネット＜ＵＲＬ：https://www.rd.ntt/sil/project/sc/secure_computation.html＞

　しかしながら、従来の技術では、秘密計算によるテーブルの重複削除の際に、残すレコードを指定できない場合がある。

　図６は、従来の重複削除の手順を説明する図である。ここでは、「社員ＩＤ」列及び「所属部コード」列（以下、重複削除キー）が重複しているレコードが、１つを残して削除される。このため、図６のテーブル５１ａのレコード群６１ａ及びレコード群６２ａが、重複削除の対象である。

　重複削除の対象のレコード群に含まれるレコードは、重複削除キーは共通しているのに対し、例えば「入館日」列の値は互いに異なる。このため、重複削除の際に、例えば「入館日」が最も新しいレコードを残したい、といった要望があることが考えられる。

　一方で、従来の重複削除では、重複削除の対象のレコード群に含まれるレコードのうち、どのレコードが削除されるかがランダムに決定される場合がある。このため、重複削除の後に、要望通りのレコードが残らない場合がある。

　上述した課題を解決し、目的を達成するために、本発明の分析装置は、第１のキーの値が重複するレコードを含むテーブルのレコードを、前記第１のキーと異なる第２のキーで秘密計算によりソートするソート部と、前記ソート部によるソートが行われた前記テーブルに含まれる、前記第１のキーが重複するレコードの集合のそれぞれについて、前記集合の中であらかじめ定められた位置にある１つのレコード以外のレコードを、秘密計算により削除する削除部と、を有することを特徴とする。

　本発明によれば、秘密計算によるテーブルの重複削除の際に、残すレコードを指定できる。

図１は、実施形態に係る分析システムの構成例を示す図である。図２は、実施形態に係る分析装置の構成例を示す図である。図３は、実施形態に係る重複削除の手順を説明する図である。図４は、実施形態に係る分析装置の処理の流れを示すフローチャートである。図５は、分析プログラムを実行するコンピュータの一例を示す図である。図６は、従来の重複削除の手順を説明する図である。

　以下に、本願に係る分析装置、分析方法及び分析プログラムの実施形態を図面に基づいて詳細に説明する。なお、本発明は、以下に説明する実施形態により限定されるものではない。

　まず、図１を用いて、分析システムの構成を説明する。分析システムは、秘密計算を利用してデータの分析を行うためのシステムである。

　図１に示すように、分析システム１は、秘密計算システム１０を含む。また、秘密計算システム１０は、ネットワークＮを介して提供装置２０及び提供装置３０と接続される。例えば、ネットワークＮはインターネットである。また、秘密計算システム１０は、端末装置４０と接続される。

　提供装置２０及び提供装置３０は、データ提供者側の装置である。提供装置２０及び提供装置３０は、秘密計算システム１０にデータを提供（登録）する。

　提供装置２０及び提供装置３０によって提供されるデータは、秘匿化されることが望ましい情報（例えば、個人の氏名、住所等の個人情報）を含む。例えば、提供装置２０及び提供装置３０は、医療機関で利用されるレセプト及びＤＰＣ（Diagnosis　Procedure　Combination）に関するデータを提供する。

　秘密計算システム１０は、データ蓄積部１１及びデータ処理部１２を有する。データ蓄積部１１は、秘密分散によりデータを蓄積する複数の蓄積装置（蓄積装置１１１、蓄積装置１１２、蓄積装置１１３）を含む。また、データ処理部１２は、秘密計算によりデータを処理する複数の計算装置（計算装置１２１、計算装置１２２、計算装置１２３）を含む。なお、蓄積装置の数及び計算装置の数は、図１に示す例に限られない。

　秘密計算システム１０は、非特許文献１（掲載ＵＲＬ：https://www.rd.ntt/sil/project/sc/secure_computation.html）に記載された方法に従って、秘密分散及び秘密計算を実行することができる。

　まず、秘密計算システム１０に提供されたデータは、複数のシェアに分割される（断片化）。そして、複数のシェアのそれぞれは、データ蓄積部１１に含まれる複数の蓄積装置に分散して蓄積される。図１の例では、提供されたデータが３つのシェアに分割される。そして、蓄積装置１１１、蓄積装置１１２、蓄積装置１１３が、それぞれ１つずつシェアを蓄積する。

　データ処理部１２は、データ蓄積部１１に蓄積されたシェアに対し、秘密計算を実行する。データ処理部１２は、複数の計算装置を使ったマルチパーティ計算により秘密計算を実行する。図１の例では、データ処理部１２は、計算装置１２１、計算装置１２２、計算装置１２３により秘密計算を実行する。

　データ処理部１２は、シェアを復元することなく各種の統計演算を行うことができる。例えば、データ処理部１２は、ソート、結合等のテーブルの操作、レコード数の集計、総和、平均、最大値、最小値、標本分散等の統計量の計算、ｔ検定等の統計的検定を行うことができる。さらに、データ処理部１２は、回帰分析及び主成分分析といった統計的分析を行うことができる。

　分析装置１３は、データ処理部１２を利用してデータの分析を行う。分析装置１３は、データ処理部１２によって実行された秘密計算の結果に基づき、分析結果をデータ利用者側の端末装置４０に提供する。利用者は、端末装置４０を介してデータの分析結果を得ることができる。

　例えば、秘密計算システム１０には、個人ごとの属性及び身体に関するデータが提供される場合がある。属性及び身体に関するデータは秘匿化されることが望ましい個人情報である。属性及び身体に関するデータには、例えば年齢、性別、身長、体重等が含まれる。データ蓄積部１１は、提供されたデータを断片化したシェアを各蓄積装置に格納する。

　なお、分割された個々のシェアは、単独では意味のないデータである。そのため、１つのシェアから元のデータを復元することはできない。一方、複数のシェアを揃えることで元のデータを復元することが可能になる。

　データの利用者は、登録されたデータそのものを閲覧することはできないが、分析装置１３及び端末装置４０を介して、データの分析結果を閲覧することができる。例えば、データに個人の性別及び体重が含まれている場合、利用者は、各個人の性別及び体重を閲覧することはできないが、データの分析結果である「男性の平均体重」を閲覧することができる。

　一例として、データ蓄積部１１は、Shamirの閾値秘密分散法という手法を使って秘密分散を行うことができる。このとき、データ蓄積部１１は、元のデータを切片とする多項式を通る３つの座標をシェアとして各サーバに保管する。また、多項式の傾きはランダムに決定されるため、元のデータが同じであってもシェアが毎回同じであるとは限らない。なお、元のデータは、数値であってもよいし、数値に変換済みのデータであってもよい。

　秘密計算システム１０は、複数のシェアから元のデータを復元することができる。多項式が１次式であれば、秘密計算システム１０は、２つの座標（シェアに相当）を結ぶ直線と軸との交点から切片（元のデータに相当）を求めることができる。一方で、１つの座標からは直線が定まらないため、元のデータを復元することはできない。

　また、前述の通り、データ処理部１２は、シェアを復元することなく元のデータに対し秘密計算を実行することができる。例えば、座標で表されたシェア同士を加算した結果は、各シェアの元のデータ同士を加算した結果のシェアに相当する。

　分析装置１３は、端末装置４０からの要求に応じて、データ処理部１２に秘密計算による処理を実行させる。なお、データ処理部１２又は端末装置４０が、分析装置１３と同等の機能を実現してもよい。例えば、分析システム１は、分析装置１３を有さない構成であってもよい。その場合、端末装置４０がデータ処理部１２と接続され、分析装置１３と同等の処理を実行する。さらに、シェアに基づく統計演算は、データ処理部１２ではなく端末装置４０によって実行されてもよい。

　第１の実施形態では、分析装置１３が秘密計算によりテーブルの重複削除を行う場合の例を説明する。なお、分析装置１３が重複削除の対象とするテーブルは、例えば複数のテーブルが関連付けられたリレーショナルデータベース（ＲＤＢ:Relational　Database）に含まれるテーブルである。

　既に図６を用いて説明した通り、従来の技術には、重複削除の際に、残すレコードを指定できない場合があるという問題がある。これに対して、第１の実施形態の分析装置１３は、指定されたレコードを残して秘密計算によるテーブルの重複削除を行うことができる。

　図２を用いて、分析装置１３の構成を説明する。図２は、実施形態に係る分析装置の構成例を示す図である。

　分析装置１３の各部について説明する。図２に示すように、分析装置１３は、通信部１３１、入力部１３２、出力部１３３、記憶部１３４及び制御部１３５を有する。

　通信部１３１は、他の装置の間でデータの通信を行う。例えば、通信部１３１はＮＩＣ（Network　Interface　Card）である。通信部１３１は他の装置との間でデータの送受信を行うことができる。

　入力部１３２は、データの入力を受け付けるためのインタフェースである。入力部１３２は、例えばマウス及びキーボード等の入力装置と接続される。

　出力部１３３は、データを出力するためのインタフェースである。出力部１３３は、例えばディスプレイ及びスピーカ等の入力装置と接続される。

　記憶部１３４は、ＨＤＤ（Hard　Disk　Drive）、ＳＳＤ（Solid　State　Drive）、光ディスク等の記憶装置である。なお、記憶部１３４は、ＲＡＭ（Random　Access　Memory）、フラッシュメモリ、ＮＶＳＲＡＭ（Non　Volatile　Static　Random　Access　Memory）等のデータを書き換え可能な半導体メモリであってもよい。記憶部１３４は、分析装置１３で実行されるＯＳ（Operating　System）及び各種プログラムを記憶する。

　制御部１３５は、分析装置１３全体を制御する。制御部１３５は、例えば、ＣＰＵ（Central　Processing　Unit）、ＭＰＵ（Micro　Processing　Unit）、ＧＰＵ（Graphics　Processing　Unit）等の電子回路や、ＡＳＩＣ（Application　Specific　Integrated　Circuit）、ＦＰＧＡ（Field　Programmable　Gate　Array）等の集積回路である。また、制御部１３５は、各種の処理手順を規定したプログラムや制御データを格納するための内部メモリを有し、内部メモリを用いて各処理を実行する。

　制御部１３５は、各種のプログラムが動作することにより各種の処理部として機能する。例えば、制御部１３５は、決定部１３５１、ソート部１３５２及び削除部１３５３を有する。

　図３を用いて、制御部１３５の各処理部の機能とともに、重複削除の手順を説明する。図３は、実施形態に係る重複削除の手順を説明する図である。なお、説明のため、図３には各テーブルの内容を自然言語として判読できる状態で示しているが、実際には、図３に示す処理は、判読不可能なシェアの状態（例えば、無意味に見える数値の羅列）で蓄積されたテーブルを対象として、秘密計算により行われる。

　図３のテーブル５１は、重複削除の対象のテーブルである。ここでは、「社員ＩＤ」列及び「所属部コード」列（以下、重複削除キー）が重複しているレコードが、１つを残して削除される。このため、図３のテーブル５１のレコード群６１及びレコード群６２は、重複削除の対象である。

　決定部１３５１は、重複削除キー、ソートキー及びソートの順序を決定する。重複削除キー及びソートキーは、１つ以上の列の集合である。ソートキーは後述するソート処理で用いられる。

　決定部１３５１は、端末装置４０を介して受け取った利用者からの要求に応じて重複削除キー及びソートキーを決定することができる。ただし、重複削除キーとソートキーは異なるものとする。

　例えば、決定部１３５１は、「「社員ＩＤ」と「所属部コード」が重複するレコードを、「入館日」が最も古いレコードを残して削除する。」という要求があった場合を考える。この場合、決定部１３５１は、「社員ＩＤ」列と「所属部コード」列を重複削除キーに決定する。また、決定部１３５１は、「入館日」列をソートキーに決定する。また、決定部１３５１は、ソートの順序を昇順に決定する。

　なお、決定部１３５１は、残すことが要求されたレコードが、値が最も小さい（日時の場合は最も古いことと同意）レコードである場合、ソートの順序を昇順に決定する。逆に、決定部１３５１は、残すことが要求されたレコードが、値が最も大きい（日時の場合は最も新しいことと同意）レコードである場合、ソートの順序を降順に決定する。

　ソート部１３５２は、重複削除キーの値が重複するレコードを含むテーブル５１のレコードを、ソートキーで秘密計算によりソートする。また、ソート部１３５２は、昇順及び降順のうち、指定された順序でテーブルのレコードをソートする。テーブル５２は、ソート部１３５２がテーブル５１をソートした後のテーブルである。

　決定部１３５１によって、「入館日」列がソートキーに決定され、ソートの順序が昇順に決定されている。このため、ソート部１３５２は、テーブル５１のレコードを「入館日」列の昇順でソートする。この場合、テーブル５２に示すように、「入館日」列の値が小さい（日時が古い）レコードほど、上位に配置される。

　削除部１３５３は、ソート部１３５２によるソートが行われたテーブル５２に含まれる、重複削除キーが重複するレコードの集合のそれぞれについて、集合の中であらかじめ定められた位置にある１つのレコード以外のレコードを秘密計算により削除する。例えば、図３の例では、削除部１３５３は、集合の中で最上位にある１つのレコード以外のレコードを削除する。

　テーブル５２のレコード群６１及びレコード群６２は、いずれも重複削除キーが重複するレコードの集合である。削除部１３５３は、レコード群６１に含まれるレコードのうち、最下位に位置するレコード（「入館日」列の値が「2022/9/3」であるレコード）を削除し、それ以外のレコード（「入館日」列の値が「2022/9/2」であるレコード）を残す。

　なお、図３の例では、ソート後のテーブル５２における各レコード群に含まれるレコードは互いに隣接しているが、各レコード群に含まれるレコードは互いに隣接していなくてもよい。

　また、削除部１３５３は、分析装置１３は、最上位のレコードではなく、最下位のレコードを残すように削除を行ってもよい。その場合、決定部１３５１は、上記の説明と逆の順序を決定する。すなわち、決定部１３５１は、残すことが要求されたレコードが、値が最も小さい（日時の場合は最も古いことと同意）レコードである場合、ソートの順序を降順に決定する。逆に、決定部１３５１は、残すことが要求されたレコードが、値が最も大きい（日時の場合は最も新しいことと同意）レコードである場合、ソートの順序を昇順に決定する。

　出力制御部１３５４は、レコードを削除した上でテーブル５２を出力する。また、出力制御部１３５４は、レコードを削除したテーブル５２を用いてさらに統計的な分析を行った結果を出力してもよい。

　図４は、実施形態に係る分析装置の処理の流れを示すフローチャートである。図４に示すように、まず、分析装置１３は、利用者からの要求を基に、重複削除キー、ソートキー及びソートの順序を決定する（ステップＳ１０１）。分析装置１３は、決定した重複削除キーと順序を基にテーブルのレコードを秘密計算によりソートする（ステップＳ１０２）。

　次に、分析装置１３は、重複削除キーが重複するレコード群を、ソート済みのテーブルから取得する（ステップＳ１０３）。ここで、分析装置１３は、未処理のレコード群のうち１つを選択する（ステップＳ１０４）。

　分析装置１３は、選択したレコード群のレコードのうち、最上位のレコード以外を秘密計算により削除する（ステップＳ１０５）。

　分析装置１３は、未選択のレコード群がある場合（ステップＳ１０６、Ｙｅｓ）、ステップＳ１０４に戻り処理を繰り返す。分析装置１３は、未選択のレコード群がない場合（ステップＳ１０６、Ｎｏ）、最終的に得られたテーブルを出力する（ステップＳ１０７）。

［実施形態の効果］
　これまで説明してきたように、分析装置１３は、ソート部１３５２及び削除部１３５３を有する。ソート部１３５２は、第１のキー（重複削除キー）の値が重複するレコードを含むテーブルのレコードを、第１のキーと異なる第２のキー（ソートキー）で秘密計算によりソートする。削除部１３５３は、ソート部１３５２によるソートが行われたテーブルに含まれる、第１のキーが重複するレコードの集合のそれぞれについて、集合の中であらかじめ定められた位置にある１つのレコード以外のレコードを秘密計算により削除する。これにより、分析装置１３は、重複削除の際に残すレコードがあらかじめ定められた位置に配置されるようにソートを行うことで、残すレコードを指定できる。

　ソート部１３５２は、昇順及び降順のうち、指定された順序でテーブルのレコードをソートする。また、削除部１３５３は、集合の中で最上位又は最下位にある１つのレコード以外のレコードを削除する。これにより、分析装置１３は、利用者の要求に応じて削除されないレコードを最上位又は最下位に配置し、その他のレコードを削除することができる。

［システム構成等］
　また、図示した各装置の各構成要素は機能概念的なものであり、必ずしも物理的に図示のように構成されていることを要しない。すなわち、各装置の分散及び統合の具体的形態は図示のものに限られず、その全部又は一部を、各種の負荷や使用状況等に応じて、任意の単位で機能的又は物理的に分散又は統合して構成することができる。さらに、各装置にて行われる各処理機能は、その全部又は任意の一部が、ＣＰＵ（Central　Processing　Unit）及び当該ＣＰＵにて解析実行されるプログラムにて実現され、あるいは、ワイヤードロジックによるハードウェアとして実現され得る。なお、プログラムは、ＣＰＵだけでなく、ＧＰＵ等の他のプロセッサによって実行されてもよい。

　また、本実施形態において説明した各処理のうち、自動的に行われるものとして説明した処理の全部又は一部を手動的に行うこともでき、あるいは、手動的に行われるものとして説明した処理の全部又は一部を公知の方法で自動的に行うこともできる。この他、上記文書中や図面中で示した処理手順、制御手順、具体的名称、各種のデータやパラメータを含む情報については、特記する場合を除いて任意に変更することができる。

［プログラム］
　一実施形態として、分析装置１３は、パッケージソフトウェアやオンラインソフトウェアとして上記の分析処理を実行する分析プログラムを所望のコンピュータにインストールさせることによって実装できる。例えば、上記の分析プログラムを情報処理装置に実行させることにより、情報処理装置を分析装置１３として機能させることができる。ここで言う情報処理装置には、デスクトップ型又はノート型のパーソナルコンピュータが含まれる。また、その他にも、情報処理装置にはスマートフォン、携帯電話機やＰＨＳ（Personal　Handyphone　System）等の移動体通信端末、さらには、ＰＤＡ（Personal　Digital　Assistant）等のスレート端末等がその範疇に含まれる。

　また、分析装置１３は、ユーザが使用する端末装置をクライアントとし、当該クライアントに上記の分析処理に関するサービスを提供する分析サーバ装置として実装することもできる。例えば、分析サーバ装置は、重複削除対象のテーブルを入力とし、重複削除済みのテーブルを出力とする分析サービスを提供するサーバ装置として実装される。

　図５は、分析プログラムを実行するコンピュータの一例を示す図である。コンピュータ１０００は、例えば、メモリ１０１０、ＣＰＵ１０２０を有する。また、コンピュータ１０００は、ハードディスクドライブインタフェース１０３０、ディスクドライブインタフェース１０４０、シリアルポートインタフェース１０５０、ビデオアダプタ１０６０、ネットワークインタフェース１０７０を有する。これらの各部は、バス１０８０によって接続される。

　メモリ１０１０は、ＲＯＭ（Read　Only　Memory）１０１１及びＲＡＭ（Random　Access　Memory）１０１２を含む。ＲＯＭ１０１１は、例えば、ＢＩＯＳ（Basic　Input　Output　System）等のブートプログラムを記憶する。ハードディスクドライブインタフェース１０３０は、ハードディスクドライブ１０９０に接続される。ディスクドライブインタフェース１０４０は、ディスクドライブ１１００に接続される。例えば磁気ディスクや光ディスク等の着脱可能な記憶媒体が、ディスクドライブ１１００に挿入される。シリアルポートインタフェース１０５０は、例えばマウス１１１０、キーボード１１２０に接続される。ビデオアダプタ１０６０は、例えばディスプレイ１１３０に接続される。

　ハードディスクドライブ１０９０は、例えば、ＯＳ１０９１、アプリケーションプログラム１０９２、プログラムモジュール１０９３、プログラムデータ１０９４を記憶する。すなわち、分析装置１３の各処理を規定するプログラムは、コンピュータにより実行可能なコードが記述されたプログラムモジュール１０９３として実装される。プログラムモジュール１０９３は、例えばハードディスクドライブ１０９０に記憶される。例えば、分析装置１３における機能構成と同様の処理を実行するためのプログラムモジュール１０９３が、ハードディスクドライブ１０９０に記憶される。なお、ハードディスクドライブ１０９０は、ＳＳＤ（Solid　State　Drive）により代替されてもよい。

　また、上述した実施形態の処理で用いられる設定データは、プログラムデータ１０９４として、例えばメモリ１０１０やハードディスクドライブ１０９０に記憶される。そして、ＣＰＵ１０２０は、メモリ１０１０やハードディスクドライブ１０９０に記憶されたプログラムモジュール１０９３やプログラムデータ１０９４を必要に応じてＲＡＭ１０１２に読み出して、上述した実施形態の処理を実行する。

　なお、プログラムモジュール１０９３やプログラムデータ１０９４は、ハードディスクドライブ１０９０に記憶される場合に限らず、例えば着脱可能な記憶媒体に記憶され、ディスクドライブ１１００等を介してＣＰＵ１０２０によって読み出されてもよい。あるいは、プログラムモジュール１０９３及びプログラムデータ１０９４は、ネットワーク（ＬＡＮ（Local　Area　Network）、ＷＡＮ（Wide　Area　Network）等）を介して接続された他のコンピュータに記憶されてもよい。そして、プログラムモジュール１０９３及びプログラムデータ１０９４は、他のコンピュータから、ネットワークインタフェース１０７０を介してＣＰＵ１０２０によって読み出されてもよい。

　１　分析システム
　１０　秘密計算システム
　１１　データ蓄積部
　１２　データ処理部
　１３　分析装置
　１３１　通信部
　１３２　入力部
　１３３　出力部
　１３４　記憶部
　１３５　制御部
　１３５１　決定部
　１３５２　ソート部
　１３５３　削除部

Claims

　第１のキーの値が重複するレコードを含むテーブルのレコードを、前記第１のキーと異なる第２のキーで秘密計算によりソートするソート部と、
　前記ソート部によるソートが行われた前記テーブルに含まれる、前記第１のキーが重複するレコードの集合のそれぞれについて、前記集合の中であらかじめ定められた位置にある１つのレコード以外のレコードを、秘密計算により削除する削除部と、
　を有することを特徴とする分析装置。
　前記ソート部は、昇順及び降順のうち、指定された順序で前記テーブルのレコードをソートすることを特徴とする請求項１に記載の分析装置。
　前記削除部は、前記集合の中で最上位又は最下位にある１つのレコード以外のレコードを削除する
　ことを特徴とする請求項１又は２に記載の分析装置。
　分析装置によって実行される分析方法であって、
　第１のキーの値が重複するレコードを含むテーブルのレコードを、前記第１のキーと異なる第２のキーで秘密計算によりソートするソート工程と、
　前記ソート工程によるソートが行われた前記テーブルに含まれる、前記第１のキーが重複するレコードの集合のそれぞれについて、前記集合の中であらかじめ定められた位置にある１つのレコード以外のレコードを、秘密計算により削除する削除工程と、
　を含むことを特徴とする分析方法。
　第１のキーの値が重複するレコードを含むテーブルのレコードを、前記第１のキーと異なる第２のキーで秘密計算によりソートするソートステップと、
　前記ソートステップによるソートが行われた前記テーブルに含まれる、前記第１のキーが重複するレコードの集合のそれぞれについて、前記集合の中であらかじめ定められた位置にある１つのレコード以外のレコードを、秘密計算により削除する削除ステップと、
　をコンピュータに実行させることを特徴とする分析プログラム。