中央銀行のデジタル通貨(CBDCs)は起こりつつあるが、世界の中央銀行の90%以上がそれらに取り組んでいる。 この記事では、「監視国家」対「金融革新」の議論を超え、CBDCとプライバシーに優しいクレジットシステムを組み合わせた3層モデルを導入しています。 脅威モデル(バランス) 効率的なシステムを設計するには、不正アクセスやデータ侵害などの脅威や脆弱性を理解することから始めます。リスクを特定し、その影響を評価します。目標、ユーザー体験、統合、スケーラビリティを定義します。 CBDCsがうまくやっていること CBDCは、市民に直接社会福祉、奨励金支払い、緊急援助を提供することに優れています。COVID-19大流行の間、各国は救済資金を迅速に配布するために苦労しました。 Government-to-Person (G2P) payments: 民間企業に依存する商業的な支払いシステムとは異なり、CBDCは企業の決定によって閉鎖できない公共のサービスを提供します。2024年にSynapseのようなフィンテック企業が崩壊したとき、顧客は265百万ドルの預金へのアクセスを失いました。 Resilience: 銀行口座を持たない14億人の大人のために、CBDCは公式な金融サービスにアクセスする方法を提供します。中央銀行の財布には、クレジット履歴、最低残高、または月額手数料は必要ありません。 Financial inclusion: CBDのリスク 中国のeCNYはこのリスクを示している:すべての取引は中国人民銀行(PBOC)システムを通過し、設計により追跡可能にする。 Panopticon: CBDCsは、政府がお金そのものにハードコード制限を課すことを可能にします。当局は、特定の商品(アルコール、贅沢品)に支出制限を課し、期限内に支出を強制する期限を設定したり、裁判所の監視なしにアカウントを即座に凍結したりすることができます。 Programmable coercion: オープンレジャーがうまくやっていること クレジットコインのような公共ブロックチェーンは、誰でも監査できる不正なレコードを作成します。この透明性は信頼を構築し、中央データベースへのアクセスを必要とせずに検証を可能にします。 Transparency: オープンな帳簿に記録されたクレジット履歴は、国境や機関を越えて個人を追跡することができます. ナイジェリアに引っ越してガーナに移住する借金者は、ゼロから始めるのではなく、支払い履歴を持ち歩くことができます。 Portability: これにより、パワーが配布され、政府や企業が一方的にレコードを操作したり、アクセスを拒否したりするリスクが低下します。 Decentralization: オープンレジャーリスク 仮名ブロックチェーンでさえパターンを明らかにすることができます。取引金額、タイミング、および相手が公開されている場合、洗練された分析はユーザーを匿名化し、彼らの行動に関する機密情報を推定することができます。 Metadata leakage: いくつかのブロックチェーンシステムでは、検証者は取引をリオーダーして利益を引き出し、ユーザーを不利にする可能性があります。 MEV (Maximal Extractable Value): 3 レイヤーモデル 解決策は、CBDCとオープンクレジットリーガーの間を選ぶのではなく、それぞれの強みを活用し、弱みを軽減する層構造に組み合わせることです。 レイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイアウトレイ ベースレイヤーは、最終的な決済のためにCBDCインフラストラクチャを使用します。融資者が融資を支払うか、融資者が返済を行ったとき、実際の価値の移転はCBDC財布を通じて行われます。 即時決済:銀行送金や通信銀行チェーンを待たない 規制コンプライアンス:中央銀行は、この層で、マネーロンダリング対策(AML)および顧客知識(KYC)の要求を適用することができる。 フィアットの安定性:国内通貨で定義された融資と返済は国内取引の為替リスクを排除する Critically, the CBDC layer handles (CBDC レイヤー ハンドル) 中央銀行は「財布Aが財布Bに1000単位を移転した」と見るが、これは融資返済、購入、または贈り物であることを自動的に知らない。 定住 レイヤー2:クレジット・レイヤー(Creditcoin as Public Credit Ledger) 中間層は、クレジットコイン(Creditcoin)で融資と返済の証拠を記録し、クレジット履歴のために特別に設計された公開ブロックチェーンです。 変えられない記録:融資が発行され、返済が行われると、データは変更または削除することはできません。 匿名のクレジット履歴:貸し手は法的アイデンティティを明らかにせずに検証可能なトラックレコードを作成する 国境を越えるポータビリティ:クレジットコインに記録されたクレジット履歴は世界的にアクセスでき、国際的な融資を可能にする The credit layer stores loan hashes (cryptographic fingerprints of loan terms), disbursement timestamps, repayment amounts, and default flags. It does. クレジット層は、融資ハッシュ(クレジット条件の暗号化指紋)、払い戻しタイムスタンプ、返済金額、およびデフォルトフラグを格納します。 借主の名前、住所、またはその他の個人識別情報(PII)を格納します。 ノー Layer 3: Privacy Layer (Selective Disclosure, Encryption, ZK-Proofs) トップレイヤーでは、開示なしの検証を可能にするプライバシー保存テクノロジーを実装しています。 借り手は、借り手の名前や住所を知ることなく、「この借り手は、合計5000ドルの12時間の支払いを行った」と見ることができます。 Selective disclosure: Sensitive data stored by lenders is encrypted using keys controlled by the borrower. Even if a lender's database is breached, the attacker cannot read the encrypted data without the borrower's key. Encryption at rest: 規制当局は、たとえば、規制当局は、「このポートフォリオのすべての融資が最低限の信用性基準を満たしている」ことを確認することができ、個々の借り手の詳細を見ることなく。 Zero-knowledge proof attestations: 参考アーキテクチャ これが、3つの層が実践で一緒に働く方法です。 Sequence Diagram (イラスト) 1. Lender disburses loan from CBDC wallet → CBDC layer: Transfer 1,000 units from Lender Wallet to Borrower Wallet → Credit layer: Record loan hash on Creditcoin 2. Borrower makes repayment → CBDC layer: Transfer 250 units from Borrower Wallet to Lender Wallet → Credit layer: Record repayment timestamp and amount on Creditcoin 3. Regulator/auditor verifies compliance → Privacy layer: Request ZK-proof that loan meets regulatory standards → Lender generates proof without revealing borrower PII → Regulator verifies proof confirms compliance キー管理 それぞれの借り手は、CBDC財布を制御し、クレジットレコードの更新を許可するプライベートキーを保有しています. このキーは、スマートフォン、ハードウェア財布に保存したり、信頼できる管理者によって管理したりすることができます(キーを自分で管理しないユーザーのために)。 Borrower keys: 貸し手は、融資の支払いを承認し、クレジット記録の更新に署名するキーを保管しています。 複数の署名計画では、複数の貸し手の従業員が大規模な取引を承認する必要があり、詐欺のリスクを減らすことができます。 Lender keys: 規制当局は、クレジットレコードを監査し、データを変更したり、暗号化されたPIIにアクセスする能力なしにコンプライアンスを検証するための読書のみキーを保管しています。 Regulator keys: 役割ベースのアクセス 貸し手:自分のクレジット履歴を閲覧し、貸し手にアクセスすることを許可し、いつでもアクセスを取り消すことができます。 貸し手:許可を与えた貸し手のクレジット履歴を表示し、新しい融資と返済を記録し、コンプライアンス証明書を生成することができます。 規制当局:総合統計を監査し、コンプライアンスの証拠を検証し、適切な法的許可を得た特定のケースを調査することができる。 Public: クレジット レギュラーの完全性を検証できます(記録がバリバリされていない) 個々の借入者データにアクセスすることなく イベントログ システムのすべてのアクションは記録されます:融資の支払い、返済、アクセスの補助金、アクセスの取り消し、およびコンプライアンスチェック. These logs are cryptographically signed and timestamped, creating an audit track that can be reviewed if disputes arise. ガバナンス & 監督 テクノロジーだけでは、プライバシーと責任を確保することはできません。 鍵を握っているのは誰? CBDCの決済層を制御し、合法的な法執行目的のために口座を凍結する能力を含む(裁判所の監督を伴う) Central bank: クレジット レギュラーを維持する分散型の認証ネットワーク 単一の認証者は、記録を一方的に変更することはできません; 変更には、複数の独立した当事者間の合意が必要です。 Creditcoin validators: 自分自身のクレジット履歴へのアクセスを制御し、いつでも貸し手のアクセスを撤回することができます。 Borrowers: 複数の利害関係者(プライバシーの擁護者、消費者保護団体、業界代表を含む)の取締役会は、システムの設計をレビューし、濫用を監視し、ポリシー変更を推奨します。 Independent oversight board: キャンセルおよび事故対応 貸し手のアクセスキーが損なわれた場合、監督委員会は、損なわれたキーが貸し手のデータにアクセスしたり、新しい融資を記録したりするのを防ぎ、それを取り消すために投票することができる。 How revocation works: プライバシーの侵害が発生した場合(たとえば、暗号化されたデータが暴露された場合)、システムは影響を受けた借主に自動通知を引き起こします。 Incident response: 公的透明性レポート 各四半期にわたって、システムは以下のことを示す透明性レポートを公表する。 発行された融資の総数 全額返済金額 製品タイプによるデフォルト料金 規制当局のアクセス要請と結果の数 プライバシー事件および決議の数 これらのレポートは、個人のプライバシーを損なうことなく責任を問います。 政策チェックリスト CBDC+クレジットシステムを設計する政策立案者は、以下の最低基準を確保すべきである。 最低限のプライバシー [ ]Transactions are pseudonymous by default (no automatic linking to legal identities) (トランザクションはデフォルトで偽名です。 [ ]PIIはユーザによって暗号化され、制御され、サービスプロバイダーによって単純テキストで保存されない。 [ ]規制当局は、個々の取引の詳細に従来のアクセスなしにコンプライアンスを監査することができます。 [ ]ユーザーは、データへの第三者のアクセスをいつでも取り消すことができます。 APIsオープン [ ]システムインターフェイスは公的に文書化され、第三者開発者が互換性のあるサービスを構築することを可能にします。 [ ]No vendor lock-in:ユーザーはクレジット履歴を失うことなくサービスプロバイダ間を切り替えることができます。 [ ]他の金融システム(伝統的な銀行、移動貨幣、国際送金)との相互運用性 Auditability テスト [ ] 独立した監査官は、総合統計がチェーン上のデータと一致することを検証することができます。 [ ]コンプライアンス証明書は、原始データにアクセスすることなく確認できます。 [ ]System logs are tamper-evident and retained for a defined period レッドチームドリル [ ] プライバシー保護を侵害しようとする独立した専門家による定期的なセキュリティ評価 [ ] Key management systems に対するシミュレート攻撃 Stress tests of incident response procedures [ ] Public Bug Bounties [ ] Rewards for security researchers who discover vulnerabilities [ ] Clear disclosure process that protects researchers from legal liability [ ] Rapid patching of discovered issues パイロットブループリント 理論は重要ですが、実施は本当の課題を明らかにします。 シティ・パイア・キャッシュ・トランスポート CBDC決済とCreditcoinクレジット検証を使用して、2つの都市(例えば、ラゴスとアクラ)間の即時現金送金を可能にします。 Scope: 各都市の1000ユーザー、地元のモバイルマネーエージェントを通じて募集 Participants: 6ヶ月 Duration: Evaluation metrics: 配達時間 p95 (95th percentile): ターゲット <5分 プライバシー侵害数: ターゲット = 0 苦情率:ターゲット <2%の取引 取引当たりのコスト:ターゲット <$0.50 MSME融資プログラム クレジットコインのクレジット履歴とCBDCの支払いを使用して、マイクロ、中小企業に小規模企業の融資(最大5000ドル)を提供します。 Scope: ナイジェリア、ガーナ、シエラレオネの500の企業 Participants: 12ヶ月 Duration: Evaluation metrics: タイム・トゥ・ファンド p95: Target <24 hours デフォルトレート:伝統的なマイクロファイナンスに対するベンチマーク(ターゲット:同等またはより良い) 貸し手満足度:ターゲット>80%が他の人に勧める クレジットライン卒業率:ターゲット>60%の時間借入者が限界増額を受ける 評価枠組み 両方のパイロットは、可能な限り、ランダム化コントロール試験を使用して、研究機関(例えば、MIT J-PAL、IPA)によって独立して評価されるべきです。 Does the system actually improve financial inclusion (measured by new credit access for previously unbanked individuals)? Are privacy protections effective (measured by user surveys and technical audits)? Is the system cost-effective compared to alternatives (measured by cost per user served)? What are the unintended consequences (measured through qualitative interviews and complaint analysis)? 恐れをデザインに置き換える CBDCの議論は恐れによって支配されてきた:監視の恐れ、金融主権を失う恐れ、テクノロジーの混乱の恐れだけでは、より良いシステムを構築することはありません。 私たちがプライバシーと監査のための設計を一日目から行うと、決算、クレジット、プライバシーの機能を分離する層型の設計を使用すると、私たちは含み込むことができます。 CBDCは、抑圧のツールになることなく、即時支払いと金融アクセスの利点を提供することができます。 そして ここで紹介されている三層モデルは唯一の可能なデザインではありませんが、妥協が二元的ではないことを示しています。私たちはプライバシーと包摂、イノベーションと規制、集中効率と分散性の抵抗力の間で選択する必要はありません。 デジタル通貨システムは、プライバシー、透明性、責任を基礎原則として設計することを要求しなければなりません。 テクノロジーは存在する?問題は、われわれがそれを賢く使うための政治的意志があるかどうかだ。