欧州 EDPB デジタルユーロとトークンベースのオフラインモダリティ (2025.10.20)
こんにちは、丸山満彦です。
デジタル・ユーロの確立には、データ保護とプライバシーを確保することなどが必要であるが、EDPBが専門家に対して依頼した「トークンベースのオフライン方式」の現実的な実現可能性について詳細な評価についての報告書が公表されていますね...
透明性とコミュニティの関与が、安全で広く受け入れられるデジタルシステムのための実践的な前提条件ですね...
ところで1990年代に英国でMondex [wikipedia] というカード型の電子マネーがあったのを覚えている人もいると思います。日本では日立が関与していたと思います。
会社の先輩が関西学院大学の先生でもあり、授業のコマを持たせてもらい、このMondexについて説明をしたことを今でも覚えています。1996年くらいですかね。当時まだ駅にあった「阪急そば」でMondexを使うという想定で話をしました。やがて、現金は使われなくなり、会計監査も情報システムの内部統制の評価が重要となる、、、といった授業です。当時の日本の会計監査は、会社の人にヒアリングをし、現物をおさえるといういう監査が中心でしたからね...
● European Data Protection Board: EDPB
・2025.10.20 The Digital Euro and its token-based offline modality
| The Digital Euro and its token-based offline modality | デジタルユーロとそのトークンベースのオフライン機能 |
| An expert opinion | 専門家意見 |
| Over the last year, the EDPB has been working to ensure the highest standards of data protection and privacy in the context of the establishment of the digital euro. For example, the EDPB has adopted a joint opinion with the European Data Protection Supervisor (EDPS) on the Proposal for a Regulation on the establishment of the digital euro. | 過去1年間、欧州データ保護委員会(EDPB)はデジタルユーロ導入の文脈において、データ保護とプライバシーの最高水準を確保すべく取り組んできた。例えばEDPBは、欧州データ保護監督官(EDPS)と共同で「デジタルユーロ導入に関する規則案」についての共同意見書を採択している。 |
| Decisions regarding the design of the digital euro have significant implications for the rights and freedoms of European individuals as well as for their ability to use data protection-friendly and digital payment methods in the future. | デジタルユーロの設計に関する決定は、欧州市民の権利と自由、ならびに将来的にデータ保護に配慮したデジタル決済手段を利用できる能力に重大な影響を及ぼします。 |
| Taking into consideration the joint opinion by the EDPB and the EDPS, the EDPB requested an expert to make an in-depth assessment of the practical feasibility of the “token-based offline modality”, which the EDPB supports. The EDPB also asked the expert to investigate how this solution, suggested by the European Commission and the Eurosystem, can be implemented to ensure the very high level of protection envisaged. | EDPBとEDPSによる共同意見を踏まえ、EDPBは専門家に対し、同機関が支持する「トークンベースのオフライン方式」の実用的な実現可能性について詳細な評価を依頼しました。また欧州データ保護委員会は、欧州委員会とユーロシステムが提案したこの解決策を、想定される非常に高い保護水準を確保するためにどのように実装できるかについても調査を依頼した。 |
| As a result, this report explores the technical feasibility, inherent limitations, possible approaches, and security considerations related to the development of a cash-like, anonymous, and double-spending resistant offline modality for the digital euro. | その結果、本報告書では、デジタルユーロのための現金のような、匿名性があり、二重支払いを防止するオフライン方式の開発に関連する技術的実現可能性、固有の制限、可能なアプローチ、およびセキュリティ上の考慮事項を探求している。 |
| The EDPB launched this project in the context of the Support Pool of Experts (SPE) programme following a proposal of the Berlin Data Protection Authority (DPA). | EDPBは、ベルリンデータ保護局(DPA)の提案を受け、専門家支援プール(SPE)プログラムの枠組みにおいて本プロジェクトを開始した。 |
| The project was completed by the external expert Prof. Dr.-Ing. Tibor Jager in September 2025. | 本プロジェクトは外部専門家であるティボール・ヤーガー教授(工学博士)により2025年9月に完了した。 |
・[PDF]
目次...
| 1. Considered Questions | 1. 検討事項 |
| 2. Definition of Terminology | 2. 用語の定義 |
| 2.1 Physical Cash | 2.1 物理的な現金 |
| 2.2 “Online” and “Offline” Transactions | 2.2 「オンライン」取引と「オフライン」取引 |
| 2.3 “Tokens” are Digital Coins | 2.3 「トークン」はデジタルコインである |
| 2.4 “Cash-like” Digital Currency | 2.4 「現金類似」デジタル通貨 |
| 2.5 Secure Hardware | 2.5 セキュアハードウェア |
| 3. The CAP Theorem and its Application to Offline Digital Currencies | 3. CAP定理とオフラインデジタル通貨への応用 |
| 3.1 Distributed Systems and the CAP Theorem | 3.1 分散システムとCAP定理 |
| 3.2 The CAP Theorem in the Context of Offline Digital Currencies | 3.2 オフラインデジタル通貨におけるCAP定理 |
| 3.3 On the Validity of the CAP Theorem | 3.3 CAP定理の妥当性について |
| 4. Achieving Consistency Through Secure Hardware | 4. セキュアハードウェアによる一貫性の実現 |
| 4.1 Double-Spending Attacks and Secure Hardware | 4.1 二重支払い攻撃とセキュアハードウェア |
| 4.2 Mitigating Double-Spending Through Defence-in-Depth | 4.2 多層防御による二重支払いの軽減 |
| 4.3 Conclusions | 4.3 結論 |
| 5. Alternative Technical Solutions | 5. 代替技術的解決策 |
| 5.1 Challenges of Achieving Cash-Like Properties in an Offline Digital Currency | 5.1 オフラインデジタル通貨における現金類似特性の実現課題 |
| 5.2 Discussion of Solutions | 5.2 解決策の検討 |
| 5.3 Conclusions | 5.3 結論 |
| 6. Double-Spending Prevention for Transferable Digital Tokens | 6. 譲渡可能なデジタルトークンにおける二重支払いの防止 |
| 7. Technical Solutions for an Anonymous Token-Based Offline Modality | 7. 匿名トークンベースのオフライン方式のための技術的解決策 |
| 7.1 Blind Signatures | 7.1 ブラインド署名 |
| 7.2 Using Blind Signatures for Privacy-Preserving Digital Cash | 7.2 プライバシー保護型デジタルキャッシュにおけるブラインド署名の利用 |
| 7.3 Analysis of Functionality, Benefits, and Limitations | 7.3 機能性、利点、制限の分析 |
| 7.4 Other cryptographic tools for privacy-preserving digital tokens | 7.4 プライバシー保護型デジタルトークン向けその他の暗号技術 |
| 7.5 Conclusions | 7.5 結論 |
| 8. Conclusions | 8. 結論 |
サマリー...
| Summary | 概要 |
| This document explores the technical feasibility, inherent limitations, possible approaches, and security considerations surrounding the development of a cash-like, anonymous, and double-spendingresistant offline modality for the Digital Euro. | 本稿は、デジタルユーロ向けに現金類似匿名性・二重支払い防止機能を備えたオフライン方式を開発する際の技術的実現可能性、固有の制限、可能なアプローチ、およびセキュリティ上の考慮事項を探るものである。 |
| Key Insights: | 主な考察点: |
| • The vision of an offline digital currency that fully replicates the anonymity, security, and usability of physical cash is conceptually appealing, but the absence of physical constraints, the need for robust double-spending resistance, and the tension between anonymity and traceability pose a significant technical challenge. | • 物理的な現金の匿名性、安全性、利便性を完全に再現するオフラインデジタル通貨の構想は概念的には魅力的だが、物理的制約の欠如、強固な二重支払防止の必要性、匿名性と追跡可能性の間の緊張関係が重大な技術的課題となっている。 |
| • Realising an offline, secure, and privacy-preserving digital currency in practise requires navigating a complex landscape of technical trade-offs. There exists a large variety of cryptographic tools that can be used to achieve unforgeability and anonymity in a very strong way. These must be combined with suitable techniques for double-spending prevention, e.g., via secure hardware elements or by carefully weakening the offline requirement. | • 実践においてオフラインで安全かつプライバシーを保護するデジタル通貨を実現するには、複雑な技術的トレードオフの領域をナビゲートする必要がある。非常に強力な方法で偽造防止性と匿名性を達成するために使用できる暗号技術は多種多様である。これらを二重支払防止のための適切な技術と組み合わせる必要がある。例えば、安全なハードウェア要素を利用するか、オフライン要件を慎重に緩和するといった方法である。 |
| • The design must be guided by clear requirements, realistic threat models, and close collaboration across disciplines, including cryptography, systems security, hardware engineering, legal frameworks, and policy. Public transparency in both the design and implementation of all system components is essential, because scrutiny by independent experts helps uncover vulnerabilities early and is critical to fostering public confidence, broad adoption, and long-term legitimacy of the system. | • 設計は明確な要件、現実的な脅威モデル、そして暗号技術、システムセキュリティ、ハードウェア工学、法的枠組み、政策といった分野横断的な緊密な連携によって導かれる必要がある。全てのシステム構成要素の設計と実装における公開透明性は不可欠である。独立した専門家による精査が脆弱性を早期に発見するのに役立ち、システムの公衆の信頼、広範な採用、長期的な正当性を育む上で重要だからだ。 |
| In conclusion, an anonymous modality of the Digital Euro appears feasible, provided that the system is designed based on a suitable combination of techniques and trade-offs. Currently available cryptographic techniques offer a credible path forward for the design of a privacy-preserving and secure offline modality of the Digital Euro. | 結論として、デジタルユーロの匿名モードは、技術とトレードオフの適切な組み合わせに基づく設計がなされれば実現可能である。現在利用可能な暗号技術は、プライバシーを保護し安全なオフラインモードのデジタルユーロ設計に向けた信頼できる道筋を提供している。 |
| Outline: | 概要: |
| This document is structured around five questions that are stated in Section 1. Section 2 contains definitions of essential terminology and notions such as “cash-like” currency. Section 3 discusses a well-known fundamental limitation that applies to any distributed system and its applicability to offline digital currencies. Section 4 considers the possibility and the challenges of using secure hardware to overcome this limitation. Section 5 discusses inherent challenges and techniques to achieve “cashlikeness”, including possible hybrid solutions. Section 6 considers the question of double-spending prevention. Section 7 focuses on technical approaches to design a cash-like offline digital currency based on standard cryptographic techniques. While it is beyond the scope of this document to provide a comprehensive overview of all available cryptographic methods, we aim to illustrate what is technically feasible by focusing on blind signatures as one particularly influential and well-understood tool and discuss their functionality, benefits, limitations, and approaches to address these limitations. | 本文書は第1節で提示された5つの質問を軸に構成される。第2節では「現金類似性」通貨など、必須用語と概念の定義を記載する。第3節では分散システム全般に適用される既知の根本的制約と、オフラインデジタル通貨への適用可能性を論じる。第4節ではこの制約を克服するためのセキュアハードウェア活用の可能性と課題を考察する。第5節では「現金類似性」を実現するための固有の課題と技術、ハイブリッド解決策の可能性を論じる。第6節では二重支払いの防止について考察する。第7節では、標準的な暗号技術に基づく現金類似のオフラインデジタル通貨を設計するための技術的アプローチに焦点を当てる。利用可能な全ての暗号手法を網羅的に概説することは本稿の範囲外であるが、特に影響力があり理解が進んでいるツールの一つであるブラインド署名に焦点を当て、技術的に実現可能なことを示すことを目的とする。また、その機能性、利点、限界、およびこれらの限界に対処するアプローチについて論じる。 |
結論...
| 8. Conclusions | 8. 結論 |
| This report comes to the conclusion that an anonymous, cash-like offline modality of the Digital Euro seems technically feasible, but it requires a carefully orchestrated combination of cryptographic techniques, hardware assumptions, and systemic safeguards (Section 5.1). | 本報告書は、デジタルユーロの匿名性を持つ現金類似のオフライン形態は技術的に実現可能であると結論づける。ただし、暗号技術、ハードウェアの仮定、システム的な安全策を慎重に組み合わせる必要がある(第5.1節)。 |
| Certain properties (most notably unforgeability and anonymity) can be guaranteed very strongly using well-understood cryptographic methods. Using adequate cryptographic tools, even certain forms of accountability, which seemingly contradicts anonymity, can be realised in a way that honest users are protected and deanonymization is only possible for malicious users (Section 7.3.2). In contrast, other key requirements, such as double-spending resistance and transferability, face inherent constraints rooted in the CAP theorem (Section 5.1, Section 6). These limitations do not preclude a solution, but they necessitate careful and pragmatic choices, such as the use of secure hardware assumptions or weakening the offline requirements by considering a semi-offline setting (Section 5.2.3). Importantly, the required security assumptions should be as weak (i.e., as realistic) as possible, and used only where inherently required (Section 2.5, Section 4.3). For example, secure hardware assumptions should not be used to achieve anonymity when this property can be achieved much more reliably using well-understood cryptographic techniques (Section 7.5). It must also be taken into account that even if a certain hardware device is considered secure for traditional cryptographic use cases, such as secure key storage, it may not provide adequate protection against the more complex fraud scenarios in offline digital currencies, such as double-spending attacks. Physical proximity emerges as a property that is difficult to enforce reliably in a digital context, and thus it appears more promising to pursue designs whose security does not depend on robust distance-bounding (Section 2.4.2). | 特定の特性(特に偽造不可能性と匿名性)は、確立された暗号手法を用いて非常に強固に保証できる。適切な暗号ツールを用いれば、一見匿名性と矛盾する特定の説明責任形態さえも、誠実なユーザーを保護し、悪意あるユーザーのみが匿名解除を可能とする形で実現できる(第7.3.2節)。一方、二重支払い耐性や移転可能性といった他の主要要件は、CAP定理に根ざした本質的な制約に直面する(第5.1節、第6節)。これらの制約は解決を不可能にするものではないが、安全なハードウェア仮定の使用や、半オフライン環境を考慮したオフライン要件の緩和といった、慎重かつ現実的な選択を必要とする(第5.2.3節)。重要なのは、必要なセキュリティ仮定は可能な限り弱く(つまり現実的に)、本質的に必要な場合にのみ使用すべきだということだ(セクション2.5、セクション4.3)。例えば、匿名性を達成するためにセキュアハードウェア仮定を用いるべきではない。この特性は、十分に理解された暗号技術を用いることでより確実に達成できるからである(セクション7.5)。また、特定のハードウェアデバイスが、セキュアな鍵保管といった従来の暗号利用ケースでは安全と見なされていても、二重支払い攻撃のようなオフラインデジタル通貨におけるより複雑な不正シナリオに対して十分な保護を提供しない可能性があることも考慮しなければならない。物理的近接性は、デジタル環境において確実に実施することが困難な特性として浮上しており、したがって、堅牢な距離制限に依存しない設計を追求する方が有望である(セクション2.4.2)。 |
| The design of a Digital Euro must balance these trade-offs transparently, with clear requirements and robust threat models. | デジタルユーロの設計は、明確な要件と堅牢な脅威モデルをもって、これらのトレードオフを透明性をもってバランスさせる必要がある。 |
| An anonymous, offline, cash-like Digital Euro is a credible prospect, but also a demanding design challenge. Achieving it requires a multi-faceted approach that combines strong cryptographic guarantees with realistic and well-understood hardware assumptions, trade-offs, and transparent and open design. If these elements are aligned, it seems possible to build an offline modality that offers the expected security, privacy, and usability properties. | 匿名性・オフライン・現金類似性を備えたデジタルユーロは実現可能な構想だが、同時に困難な設計課題でもある。これを達成するには、強固な暗号保証と現実的で理解されたハードウェア前提、トレードオフ、透明かつオープンな設計を組み合わせた多面的なアプローチが必要だ。これらの要素が整合すれば、期待されるセキュリティ・プライバシー・ユーザビリティ特性を備えたオフラインモードの構築は可能と思われる。 |
| On the necessity of open and transparent system design. Lack of cash-like anonymity and the risk of attacks are real and credible threats in a digital currency system, which may severely hinder its acceptance. The best way to mitigate and respond to these risks in a democratic and trustworthy way is to open up the entire system for public scrutiny. The digital currency system must: | オープンで透明なシステム設計の必要性について。現金類似匿名性の欠如と攻撃リスクは、デジタル通貨システムにおける現実的で信憑性のある脅威であり、その普及を著しく阻害する可能性がある。これらのリスクを民主的で信頼できる方法で軽減し対応する最善の方法は、システム全体を公の監視に開放することである。デジタル通貨システムは以下を必須とする: |
| 1. Clearly document the requirements, security goals, and attacker models for every component. | 1. 各コンポーネントの要件、セキュリティ目標、攻撃者モデルを明確に文書化すること。 |
| 2. Publish its protocols and the underlying security assumptions. | 2. プロトコルと基礎となるセキュリティ前提を公開すること。 |
| 3. Provide open-source implementations of both software and hardware. | 3. ソフトウェアとハードウェアの両方のオープンソース実装を提供すること。 |
| 4. Actively encourage independent experts and ethical hackers to test, analyse, and help improve the system. | 4. 独立した専門家や倫理的ハッカーがシステムをテスト、分析し、改善を支援するよう積極的に促すこと。 |
| An open and transparent design not only delivers stronger and more future-proof security, it also ensures legitimacy in the eyes of citizens. By demonstrating that the Digital Euro is built in line with Europe’s traditions of openness and protection of fundamental rights, one can foster the trust and acceptance necessary for its success. | オープンで透明性のある設計は、より強固で将来性のあるセキュリティを実現するだけでなく、市民の目に正当性を保証する。デジタルユーロが欧州の伝統である開放性と基本的人権の保護に沿って構築されていることを示すことで、その成功に必要な信頼と受容を育むことができる。 |
| A prime example of the great success of a transparent design approach is the DP-3T (“Decentralized Privacy-Preserving Proximity Tracing”) project [TBB+22], developed during the COVID-19 pandemic to enable contact tracing while preserving user privacy. Its core protocols, cryptographic assumptions, and threat models were made fully public from the outset, and the implementation was released as open source. This transparency allowed for wide-ranging independent analysis and critique, resulting in high public trust. Several European governments ultimately adopted DP-3T-based systems, precisely because their openness fostered both technical robustness and societal acceptance. This demonstrates how transparency and community engagement are practical prerequisites for secure and widely accepted digital systems. | 透明性のある設計アプローチの成功例として、COVID-19パンデミック時に開発されたDP-3T(「分散型プライバシー保護近接追跡」)プロジェクト[TBB+ 22]が挙げられる。これはユーザーのプライバシーを保護しつつ接触追跡を可能にするためのもので、中核プロトコル、暗号学的仮定、脅威モデルは当初から完全に公開され、実装はオープンソースとしてリリースされた。この透明性により広範な独立した分析と批判が可能となり、高い社会的信頼を獲得した。欧州の数政府が最終的にDP-3Tベースのシステムを採用したのは、まさにその公開性によって技術的堅牢性と社会的受容性の両方が促進されたためである。これは、透明性とコミュニティの関与が、安全で広く受け入れられるデジタルシステムのための実践的な前提条件であることを示している。 |
Comments