プライバシーを守る中央銀行デジタル通貨を発行する方法

SUERF Policy Brief, No 114
Christian Grothoff、Thomas Moser
2021年6月

元記事はこちら。

How to issue a privacy-preserving central bank digital currency, SUERF Policy Brief .:. SUERF - The European Money and Finance Forum

現在、多くの中央銀行が中央銀行デジタル通貨（CBDC）と可能なデザインについて調査しています。

欧州中央銀行が最近実施した調査では、市民と専門家の両方が、プライバシーをCBDCの最も重要な特徴とみなしていることが判明しています。
我々は、中央銀行がどのようにCBDCを発行することができるかを示します。同時に、提案するデザインは規制要件を満たすため、プライバシーと法令遵守の適切なバランスを提供することができます。

はじめに

一般市民向けの中央銀行デジタル通貨（CBDC）は、銀行券や特定の金融市場参加者向けの準備預金と並んで、中央銀行が発行する新しいタイプの貨幣となる。当初は懐疑的だったものの、CBDCを調査する中央銀行の数は、過去3年間で着実に増えています。しかし、CBDCがどのように設計されるべきか、どのような特徴を持つべきかという点については、現在のところコンセンサスが得られていない。これらの疑問は、集中的に議論され研究されている。

欧州中央銀行が最近実施した調査によると、市民と専門家の両方が、プライバシーをデジタルユーロの最も重要な機能と考えていることがわかりました（ECB 2021）。これは意外かもしれませんが、市民がプライバシーを重視することは、多くの調査で一貫して見られる事実です。懐疑的な人は、市民がその行動において正反対のことを表現していると反論することがあります。彼らは一貫して、プライバシーよりも利便性、スピード、金銭的節約を選んでいます。
しかし、彼らは技術の進歩により、個人情報を追跡、集約、拡散する能力がどの程度向上しているかを十分に認識していないことが多いのです。また、自分のデータが、データを開示したときとは別の文脈で共有され、利用されることを予期していないことも多い（Nissenbaum 2010）。

過去10年間で、政府や企業によって収集・保存される膨大な規模のデータについて、一般の人々の認識や関心が高まってきた。Goldfarb and Tucker (2012) は、消費者のプライバシーに対する懸念が高まっていることを行動ベースで証明しています。決済データは特に明らかにされており、CBDC は市民に関する多くのデータを提供する可能性があり、政治的または商業的な目的のために悪意を持って利用される可能性があります。したがって、成功する CBDC は、広く一般に受け入れられるために、信頼できる取引保護を提供する必要があると考え ます。さらに、プライバシーは個人の価値だけでなく、社会的な価値も持っています。プライバシーは、自由な社会と民主主義にとって不可欠です。

同時に、CBDC は違法な取引や脱税を保護するものであってはなりません。プライバシーを保護する CBDC は、法令遵守、特にアンチマネーロンダリング（AML）およびテロ資金調達対策（CFT）規制の遵守を保証しなければなりません。したがって、プライバシーと法令遵守の適切なバランスを見つけることが極めて重要です。
最近、スイス国立銀行のワーキングペーパーとして発表された私たちの提案は、まさにそれを実現するものだと考えています（Chaum et al.2021）。これは、eCash技術（Chaum, 1983, and Chaum et al. 1990）をベースに改良し、GNU Taler（Dold, 2019）を使用しています。Talerは、「Free/Libre and Open Source Software」（FLOSS）の開発のための共同プロジェクトであるGNUプロジェクトの一部です1 FLOSSでは、すべての利害関係者がソースコードにアクセスでき、ソフトウェアを自分のニーズに合わせて調整する権利があります。特許のないオープンスタンダードなプロトコルは、サービスプロバイダー間の相互運用性と競争を向上させます。Talerは、独自の秘密やハードウェアのセキュリティモジュールを使用する代わりに、プライバシーとセキュリティを提供するために、公開仕様の暗号化ソフトウェアを独占的に使用しています。

決済におけるプライバシー：アカウントとトークンの比較

決済システムには、アカウントベースとトークンベースがある。アカウントベースのシステムでは、支払者の口座から引き落とされ、受取人の口座に入金されることで支払いが行われる。このため、取引は記録され、関係者が特定される必要がある。トークン・ベースのシステムでは、金銭的価値を表すトークンを移転することによって支払いが行われます。その代表的なものが現金（硬貨や紙幣）である。現金での支払いは、硬貨や紙幣を手渡すことを意味します。トークンを所持していれば十分であり、送金記録や関係者の特定は必要ない。しかし、受取人はトークンの真正性を確認できなければなりません。

アカウントベースとトークンベースの区別は、デジタル通貨には適用できないとの指摘がある（Garratt et al.2020）。我々は、この区別はデジタル通貨にも有効であると考える。重要な区別は、情報資産が運ぶ情報である。アカウントベースのシステムでは、資産（アカウント）は、アカウントが関与するすべてのクレジットおよびデビット操作を含む取引履歴と関連付けられています。一方、トークン・ベースのシステムでは、資産（トークン）は、その価値とトークンを発行したエンティティに関する情報を持っています。したがって、現金が持つ取引プライバシーを実現する唯一の可能性は、トークンベースシステムにある。

私たちは、トークン・ベースのソフトウェアのみのCBDCを提案し、CBDCトークンは銀行券のように発行・配布されます。従って、この CBDC トークンを単に "コイン" と呼ぶことにします。顧客は、銀行口座からお金を引き出すことによってコインを引き出します。つまり、スマートフォンやコンピュータにコインをロードし、銀行が対応する金額を口座から引き落とします。提案されているCBDCは、真正のデジタル無記名証書であり、コンピュータやスマートフォンにローカルに保存され、口座や台帳は存在しません。また、CBDCと所有者を結びつける記録も存在しません。

プライバシーは、ブラインド署名と呼ばれる暗号技術で実現されます。ユーザーが中央銀行とやりとりしてデジタル署名されたコインを入手する前に、ユーザーのデバイスでローカルに実行されるブラインド操作によって、コインを表す数値が中央銀行から隠されてから署名が要求されます。GNU Talerでは、この数値は公開鍵であり、関連する秘密鍵はコインの所有者のみが知ることができます。コインは、中央銀行がコインの公開鍵に署名することでその価値を得ることができます。中央銀行は、自らの秘密鍵でこの署名を行います。商人や受取人は、中央銀行の対応する「公開鍵」を使って、中央銀行の署名、ひいてはCBDCの真正性を確認することができます。

ブラインド署名はユーザー自身の管理下で行われるため、ユーザーは中央銀行や商業銀行が自分のプライベートな支出履歴を保護することを信頼する必要はない。中央銀行が知ることができるのは、引き出したデジタルキャッシュの総額と使った金額の合計だけです。商業銀行は、顧客が引き出したデジタルキャッシュの額を知るが、個々の顧客がいくら使ったか、どこで使ったかは知らない。この設計におけるプライバシーは、機密性の問題ではなく、暗号的に保証されているのです。

分散型台帳技術（DLT）をCBDCに使用しない場合のメリット

ほとんどの中央銀行が分散型台帳技術（DLT）を実験的に導入しています。ブロックチェーンやDLTの目的は、複数の当事者間で不変のコンセンサスを確立することであるため、中央の当事者が利用できない場合や望まれない場合には、DLTは興味深いデザインです。しかし、信頼できる中央銀行が発行するリテール CBDC の場合、これは必要ありません。中央銀行の台帳を分散させることは、単に取引コストを増加させるだけで、中央銀行の展開において具体的な利益をもたらすものではありません。

DLTを使用しない場合の重要な利点は、スケーラビリティの向上である。私たちが提案するスキームは、現在中央銀行が使用している最新のRTGSシステムと同様に、容易にスケーラブルで費用対効果の高いものとなる。GNU Talerは、1秒間に数万件のトランザクションを簡単に処理することができます。システムの主なコストは、トランザクションごとに1～10キロバイトの安全なストレージであろう。Amazon Web Servicesの価格を利用し、GNU Talerの初期のプロトタイプを使った実験では、規模に応じたシステムのコスト（メモリ、帯域幅、計算）は、トランザクションあたり0.0001米ドル未満になることが示されました。

さらに、DLTでプライバシーを実現することは、DLTが基本的にアカウントベースのシステムであることから、課題となっています。従来のアカウントベースのシステムとの唯一の違いは、アカウントが中央のデータベースではなく、分散化されたアペンドのみのデータベースに保管されることです。

ゼロ知識証明のような暗号的プライバシー向上技術は可能ですが、DLTコンテキストでは計算量が多く、高いリソース要件によりモバイル機器での使用は非現実的です。しかし、GNU Talerで使用されているChaumスタイルのブラインド署名プロトコルは、効率的かつ迅速に実行できるため、この限りではありません。

トークンベースシステムにおける二重消費を防ぐには

貨幣は希少であってこそ価値を持つものであり、それはとりわけ、貨幣資産の二重消費を防止することを意味する。トークン・ベースのシステムでは、二重消費を防ぐための一つの方法は、トークンのコピーを困難にすることである。これは、中央銀行が銀行券で行っている手法である。しかし、デジタル通貨では、コピーを防止することは困難である。デジタル通貨のコピーを防止する技術としては、「アンクローン機能」と「ハードウェアのセキュアゾーン」の2つが考えられる。しかし、物理的にクローン化できない機能はインターネット上で交換できず（CBDCの主なユースケースを排除する）、コピー防止ハードウェアのセキュリティ機能は繰り返し危険にさらされています。

ソフトウェアだけで構成される我々の提案では、トークンのコピーを防止する試みさえ行っていない。むしろ、各コインは一度しか使えないという事実によって、二重消費を防ぐことができる。コインが使われると、そのコインの番号は中央銀行が管理する使用済みコインのリストに掲載されます。このリストには、使用されたコインの番号だけが記載され、取引履歴は残りません。また、CBDCを引き出す際にコインを目隠ししたため、コインと支払人を結びつけることはできません。ペイジーがコインを受け取る際、ペイジーはこのリストを参照し、そのコインが以前にすでに使用されたことがあるかどうかを確認します。もしそうであれば、その支払いは無効として拒否される。

私たちの提案は、二重支出を防ぐためにオンラインチェックを必要とするため、オフライン決済を可能にしません。これは欠点とも言えますが、Grothoff and Dold (2021)は、どのようなオフラインの決済システムにも固有の深刻なリスクがあり、それゆえ独自の欠点があると指摘しています。中央銀行が現物現金の代わりにCBDCを発行するのではなく、現物現金に加えてCBDCを発行するつもりであることを考えると、現物現金は停電やサイバー攻撃の際に安全なオフラインのフォールバックとして使用することができます。

規制・政策の検討

提案された方式では、中央銀行は消費者や商人の身元や取引額を知ることはない。中央銀行が知ることができるのは、電子コインが引き出されたときと換金されたときだけです。商業銀行は、引き続き重要な顧客および加盟店の認証を提供し、特に、顧客情報の保護者であることに変わりはない。商業銀行は、加盟店がいつ資金を受け取るかを観察し、必要に応じて、個々の加盟店が受け取ることのできる取引ごとのCBDCの量を制限することができます。さらに、取引は関連する顧客契約と関連付けられます。その結果、収入の透明性が確保され、AML/CFT規制を遵守することができます。

このように、提案されているスキームは、買い手が匿名である一方、売り手の受信取引とその基礎となる契約上の義務が、管轄当局の要求に応じて利用できるようにするという、一方的なプライバシーを提供するものです。販売者の収入の異常なパターンが検出された場合、商業銀行、税務当局、または法執行機関は、支払いの基礎となるビジネス契約を入手して検査し、疑わしい活動が悪意あるものかどうかを判断することができます。全体として、このシステムは（EUの一般データ保護規則が求める）プライバシー・バイ・デザインおよびプライバシー・バイ・デフォルトのアプローチを実装しています。商人は本質的に顧客の身元を知ることはなく、銀行は自分の顧客の活動に対して必要な洞察力しか持たず、中央銀行は市民の活動に関する詳細な知識から至って疎遠である。

リテール CBDC でしばしば提起される潜在的な金融安定性の懸念は、銀行部門のディスインターミディエーションです。これは口座ベースの CBDC では深刻な懸念ですが、トークンベースの CBDC ではそれほど懸念されることはないでしょう。トークン型 CBDC をため込むと、現金をため込むのと同様に盗難や紛失のリスクがあります。しかし、買いだめや銀行預金からCBDCへの大量の換金が問題になった場合、提案されているデザインは、中央銀行に、口座ごとの引き出し制限やマイナス金利を課すなど、いくつかのオプションを与えることになります。

制限を課すことは、AML/CFT 体制の要件となる可能性もある。GNU Talerは設計上、ユーザーがどの通貨でもいくらでも取引できるようになっているが、法律で個々の取引に強制力のある上限を設け、取引上限を超える取引を受けた加盟店が購入者の身元を確認することを義務付けることができる。しかし、口座がないため、保有量の制限を課すことはできないだろう。しかし、これは良いことです。技術的に強制されるCBDCの保有や受信の制限は、十分な流動性があるにもかかわらず、利用者が取引を実行できないような失敗をもたらすので、いずれにせよ避けるべきでしょう。

提案された設計により、中央銀行、商業、市民は、デジタル経済の恩恵を最大限に享受することができます。効率性と費用対効果、さらに認証から認可への移行に伴う消費者の使い勝手の向上により、このシステムは、長年の夢であったオンラインマイクロペイメントの目標をサポートする最初のものとなりそうです。また、コインを用いて電子契約を暗号化することで、スマートコントラクトの利用が可能となる。これによって、決済システムにまったく新しい用途が生まれる可能性がある。

最近設計されたGNU Talerの拡張機能は、プライバシーを保護する年齢認証を統合し、法的な保護者が被保護者に与えられたコインでデジタル購入を行う際に年齢制限を課すことができるようにします。商人は、購入者が販売された商品の年齢条件を満たしていることだけを知ることができ、子供の身元と正確な年齢は非公開のままです。これは、中央銀行がこのシステムを利用してプログラム可能な貨幣を発行する方法の一例です。

参考文献

Chaum, David (1983)."追跡不可能な決済のためのブラインド署名"アドバンス・イン・クリプトロジー：Proceedings of Crypto '82, Vol.82, No.3, pp.199-203.

Chaum, David, Amos Fiat, and Moni Naor (1990)."追跡不可能な電子キャッシュ"アドバンス・イン・クリプトロジー：Proceedings of CRYPTO '88, pp.319-327.

Chaum, David, Christian Grothoff, and Thomas Moser (2021).中央銀行のデジタル通貨を発行する方法。SNB Working Papers 3/2021。

Dold, Florian (2019).GNU Talerシステム：実用的で証明可能な安全な電子決済。博士論文、レンヌ大学1号。

欧州中央銀行（2021年）。デジタル・ユーロに関する公開協議に関するユーロシステム報告書。2021年4月

Garratt, Rod, Michael Lee, Brendan Malone, and Antoine Martin (2020)."Token- or Account-Based?デジタル通貨はその両方になりうる"(A Digital Currency Can Be Both)リバティ・ストリート・エコノミクス、ニューヨーク連邦準備銀行。

Goldfarb, Avi, and Catherine Tucker (2012)."Shifts in Privacy Concerns".アメリカン・エコノミック・レビュー』102 (3)：349-53.

Grothoff, Christian and Florian Dold (2021).デジタルユーロはなぜオンラインファーストで無記名式であるべきなのか」

https://taler.net/papers/euro-bearer-online-2021.pdf

Nissenbaum, Helen (2009).プライバシー・イン・コンテクスト(Privacy in Context)：テクノロジー、政策、そして社会生活の完全性.Stanford University Press.

著者について

クリスチャン・グロートホフは、 ベルン応用科学大学コンピュータネットワークセキュリティ学科教授、将来のインターネットアーキテクチャを研究。研究テーマは、コンパイラ、プログラミング言語、ソフトウェア工学、ネットワーキング、セキュリティ、プライバシー。以前は、INRIAのDécentralisé研究チームを率い、TU MunichのEmmy Noeter研究グループリーダーを務めた。UCLAでコンピュータサイエンスの博士号を、パデュー大学でコンピュータサイエンスの修士号を、ヴッパータール大学で数学のディプロムを取得。アショカ・フェローであり、Taler Systems SAとAnastasis SARLの共同設立者でもある。また、裁判の専門家証人も務め、フリーランスのジャーナリストとしてテクノロジーや国家安全保障に関する報告を行っている。

トーマス・モーザーは、スイス国立銀行の運営委員会の代替メンバーである。スイス国立銀行入行前、国際通貨基金（IMF）のエグゼクティブ・ディレクター、スイス連邦工科大学（ETH）チューリッヒ校のスイス景気循環研究所（KOF）のエコノミストを務める。ザンクトガレン大学スイス銀行金融研究所常務委員、オレル・フュスリ社取締役、NZZスイス国際金融フォーラムアドバイザリーボードメンバーでもある。チューリッヒ大学にて経済学の修士号および博士号を取得。

関連記事

1    【プライバシー保護技術とデジタル社会の決済・金融サービス】2022年9月29日
全文
https://www.boj.or.jp/research/brp/psr/data/psrb220929.pdf

決済システムレポート別冊「プライバシー保護技術とデジタル社会の決済・金融サービス」 : 日本銀行 Bank of Japan

わが国でCBDCを導入するかどうかは、内外の情勢も踏まえ今後の国民的な議論の中で決まっていくものと考えられるが、日本銀行では、決済システム全体の安定性と効率性を確保する観点から、将来の様々な環境変化に的確に対応できるよう実証実験や制度設計面の検討を計画的に進めている。
今後も、制度設計面の検討の一つとして、デジタル通貨に関連するプライバシー保護に関する調査・検討を、幅広い関係者とともに進めていく。

2    【追跡不可能な決済のためのブラインド署名について（CBDCプライバシー関連）】

1983年、David Chaumは、史上初の暗号通貨とされる匿名暗号電子マネーを考案した。この暗号通貨は、同じく彼の論文で紹介されたブラインド署名の使用に依存していた。
一言で言えば、紙幣や硬貨などの決済システムを使った商品代金の支払い方法を自動化することです。また、コントロールの欠如、プライバシー、セキュリティなど、その問題点のいくつかを解決するものです。

3 　【GNU Taler：機能】

GNU Taler

GNU Talerとは プライバシーが保護された 支払い決済システムです。顧客側は匿名で利用できますがマーチャント側はGNU Talerでの支払いによる収益を隠すことはできないため、脱税やマネーローンダリングを回避するのに役立ちます。
GNU Talerの主な利用は 支払い決済で、資金を保存しておくことではありません。支払いは常時既存の通貨でサポートされています。