規制内蔵匿名送金・決済サーベイ

PaxPay / FastPay / Zef / PRCash / PEReDi / DART を中心に、auditable payments、offline CBDC、privacy coin 祖先系まで含む 100 件の論文・論文群カードを横断する。目的は「どの論文が何を解き、何を諦め、どの設計選択が次の世代を開いたか」を一枚で読めるようにすること。

領域A 領域B

今回の2領域

  • 規制内蔵匿名送金・決済: PRCash → PEReDi / Platypus → PARScoin / DART → PaxPay
  • consensus-free / async payment rail: Astro / FastPay → Zef → PaxPay
  • 焦点: privacy, compliance, auditability, asynchrony, throughput を同時にどこまで取れるか
100論文・論文群カード
11論文カテゴリ
5主要比較軸
1合流点: PaxPay

この分野を一言で言うと

この分野は、ブロックチェーンの完全公開完全匿名の間に、金融として使える中間地帯を作る研究である。理想形は、通常時は秘匿、必要時だけ限定開示、しかも決済レールとして遅くないシステムだ。

領域A: 規制内蔵匿名送金・決済

出発点は CBDC / regulated stablecoin / tokenization であり、問いは「KYC/AML/sanctions/上限管理を組み込んだまま、どこまで匿名送金を許すか」。

  • 主役: 中央銀行、issuer、auditor、regulator
  • 代表論文: PRCash, PEReDi, Platypus, PARScoin, DART, PaxPay
  • 典型的な設計: tracing authority, per-asset auditor, reserve audit, compliance coin

領域B: consensus-free / async payment rail

出発点は asset transfer をもっと軽くできないか であり、問いは「決済に total-order consensus は本当に必要か」。

  • 主役: replica, shard, quorum, broadcast abstraction
  • 代表論文: Astro, FastPay, CryptoConcurrency, Zef, PaxPay
  • 典型的な設計: BRB, exclusive log, owner-local fallback consensus, opaque coin

2領域の違いと合流

制度から出発 CBDC / stablecoin / RWA を privacy-friendly にする
PRCash → PEReDi → PARScoin → DART regulation が最初から主問題
||
Astro / FastPay → Zef rail を速くしてから privacy を後載せ
PaxPay rail + privacy + regulation の合流
要点: PaxPay は単なる 1 本の論文ではなく、consensus-free 決済の系譜規制対応匿名決済の系譜がはじめて本格的に交差した地点として読むのが正しい。

5つの比較軸

1. 主対象

CBDC / stablecoin / RWA / 決済 rail / auditable payment のどれを主問題にするか。

2. receiver model

対話的、claim 型、affirmation 型、push 型の違いが UX と liveness を決める。

3. regulation model

tracing authority, reserve audit, per-asset auditor, compliance coin のどれで規制を入れるか。

4. privacy strength

amount confidentiality, sender/receiver anonymity, unlinkability, full tracing 抵抗性のどこまでを取るか。

5. rail assumptions

consensus 必須か、broadcast-only か、semi-honest validator を許容するか。

6. performance profile

verification を軽くするか、proof generation を軽くするか、同期を減らすか。

横断系譜マップ

上段が規制内蔵匿名送金、下段が consensus-free payment rail。右下の PaxPay が合流点。

制度・CBDC・stablecoin 起点
payment rail / consensus-free 起点
privacy を追加
audit / regulation を追加
A. 規制内蔵匿名送金・決済 B. consensus-free / async payment rail PRCash FC 2019 speed + privacy + regulation PEReDi CCS 2022 threshold CBDC tracing Platypus CCS 2022 split-trust CBDC PARScoin Preprint 2023 stablecoin + reserve audit DART ePrint 2025 multi-asset + affirmation Astro DSN 2020 BRB-only payment rail FastPay AFT 2020 line single-owner low latency CryptoConcurrency CCS 2023 shared account extension Zef WPES 2023 FastPay + Coconut privacy PaxPay AFT 2025 async + full privacy + regulation compliance coin / semi-honest validators NickPay 2025 auditable-private on Ethereum rail innovation が privacy を受け取り、最後に regulation と結合 制度設計の系譜は PaxPay で rail 系と交差

読み取り方

領域A: 規制内蔵匿名送金・決済

ここでは privacy は単独目的ではなく、制度に乗る privacy として設計される。重要なのは「規制権限の所在」「履歴開示の形式」「受取人がどう受領確定するか」の3点だ。

この領域の進化ストーリー

PRCash制約付き匿名送金の起点
PEReDithreshold authority による tracing
PARScoinstablecoin 向け reserve audit
DARTmulti-asset / affirmation / auditor
PaxPayrail side から regulation を再構成

制度起点の問い

  • 誰が de-anonymize 命令を出せるのか
  • 規制の対象は txuserasset
  • 規制当局は全履歴を見るのか、それとも statement だけ証明させるのか
  • 受取人が online でないと送金できない設計を許すか

この領域の4設計パターン

  • tracing authority: PEReDi
  • split trust: Platypus
  • reserve / supply audit: PARScoin
  • compliance state token: PaxPay
Privacy Priority
匿名性は高いが、完全 private coin より regulation を優先する設計が多い。
Compliance Priority
この領域の本質は compliance-first である。
Rail Innovation
PEReDi/PARScoin/DART は rail 自体より制度設計が主、PaxPay だけが例外的に高い。

領域B: consensus-free / async payment rail

ここでは核心は privacy ではなく、決済に total-order consensus を要求しない構造 にある。論点は「支払いの安全性を broadcast / quorum / owner-local ordering だけで足りるように再定義できるか」だ。

この領域の進化ストーリー

AstroBRB だけで支払い
FastPaysingle-owner 高速 payment
CryptoConcurrencyshared account へ拡張
Zefprivacy を後載せ
PaxPayregulation まで内蔵

rail 起点の問い

  • double-spending を total-order なしでどう防ぐか
  • client-local ordering で十分な範囲はどこまでか
  • conflict が起きた時だけ consensus を呼べないか
  • privacy を後載せしたとき verification cost はどう増えるか

この領域の4設計パターン

  • exclusive log / xlog: Astro
  • single-owner account: FastPay
  • owner-specific fallback consensus: CryptoConcurrency
  • opaque coin + threshold credential: Zef
Privacy Priority
Astro/FastPay 自体は privacy なし。Zef と PaxPay でようやく高まる。
Compliance Priority
PaxPay 以前はほぼゼロ。ここが regulated line との最大の差。
Rail Innovation
この系譜は rail innovation が本体。PaxPay はその果実として privacy と regulation を受け取る。

中核論文の詳細解説

各カードは 問題設定 / 核心アイデア / 技術構成 / 何を前進させたか / 限界 / 後続への意味 まで含めて読むための要約。PaxPay 周辺だけでなく、auditable payments、offline CBDC、privacy coin 祖先系も含める。

カバレッジ判定: 以前の版は PaxPay / FastPay / PEReDi / DART を読むには十分だったが、privacy payments 全体の重要論文を網羅してはいなかった。特に auditable paymentsoffline CBDCZerocash/Monero/Zether 系の祖先survey/SoK が不足していたため、この版で研究地図として必要な主要論文を追加した。
raw との関係: 対象 raw フォルダには base 論文が約185本ある。このHTMLはその全ファイルの逐語的カタログではなく、研究地図として参照頻度が高い100件をカード化したもの。残りは低レベル暗号プリミティブ、実装メモ、派生仕様、狭い脆弱性解析として、必要時に専門ページへ分離するのがよい。

収録基準

区分 HTMLでの扱い 代表論文
中核 詳細カード化。regulated-private payment / consensus-free rail / offline CBDC の議論で直接使う。 PaxPay, Zef, FastPay, Astro, CryptoConcurrency, PEReDi, PARScoin, DART, PRCash, Platypus, PayOff
基盤 短めの詳細カード化。問題設定や暗号プリミティブの祖先として重要。 Zerocash, CryptoNote/RingCT, Zether, Quisquis, Mimblewimble, zkLedger, Solidus, UTT
隣接重要 研究方向の比較材料として収録。全カードを同じ深さにはしない。 AuditPay, UC Auditable Surveillance, ASOZ, Hamilton, Tourbillon, Rayls, Aegis, Privacy Pools
背景 詳細表・系譜で参照。個別カード化は必要に応じて後続で拡張。 Groth16, Coconut, Bulletproofs, Halo2, FCMP++, Lelantus Spark, Dusk, SoK/Survey 群

1. Consensus-Free / Async Payment Rail

rail Astro

DSN 2020 / BRB-only payment system
問題設定: オンライン決済に全取引の total order は必要なのか、という rail 側の根本疑問を立てる。決済では「同じ資産を二重に使わない」ことが本質で、DEX や汎用 smart contract のような全体順序は過剰かもしれない。
核心アイデア: 各クライアントに exclusive log を持たせ、同じ sequence number の二重支払いだけを reliable broadcast で検出する。全員が全取引を同じ順序で見る必要を捨てる。
技術構成: Byzantine reliable broadcast、client-local sequence、double-spend detection。ブロックチェーンというより「支払い専用の分散オブジェクト」として設計される。
前進点: broadcast だけで高スループット・低遅延の決済 rail が成立することを示し、FastPay/Zef/PaxPay の思想的土台になった。
限界: privacy なし、regulation なし、permissioned committee 前提。shared account や複雑な状態遷移も主対象ではない。
後続への意味: PaxPay を理解するには、まず「決済は consensus から切り離せる」という Astro/FastPay の発想が必要。

rail FastPay

AFT 2020 line / low-latency asset transfer
問題設定: 汎用 blockchain consensus を使わず、asset transfer だけに特化すれば、どこまで高速化できるか。
核心アイデア: single-owner account の支払いは所有者が順序を決めればよい。validators は owner-local ordering と quorum validation を行い、全体 consensus を避ける。
技術構成: owner-signed transfer、validator quorum、spent certificate、client-driven finality。決済は「全体状態」ではなく「各所有者の支出系列」として扱われる。
前進点: payment rail を general-purpose ledger から分離し、低遅延 transfer object として定式化した。
限界: privacy、regulation、shared account は扱わない。高速性は single-owner という単純化に依存する。
後続への意味: Zef は FastPay に privacy を載せ、PaxPay はさらに regulation を載せる。

rail CryptoConcurrency

CCS 2023 / shared account extension
問題設定: FastPay 型は single-owner には強いが、企業 treasury、共同口座、multi-device wallet、escrow のような shared account では競合が起きる。
核心アイデア: 平時は consensus を避け、overspending や競合が起きる時だけ account-local consensus を呼ぶ。全体 consensus ではなく「問題が起きた口座だけ」を調停する。
技術構成: conflict-free path、owner-specific fallback consensus、shared account semantics。競合処理を localize する点が中心。
前進点: consensus-free rail を現実の資金管理モデルに近づけた。payment rail 側の未解決である shared account + privacy の直接の土台。
限界: privacy なし。conflict が起きたこと自体が observable で、private conflict resolution は未解決。
後続への意味: 次の研究テーマは Private CryptoConcurrency。Zef/PaxPay の privacy と CryptoConcurrency の shared state を接続すること。

privacy Zef

WPES 2023 / FastPay + Coconut
問題設定: FastPay は速いが透明すぎる。低遅延・高スループットの rail に匿名性と unlinkability を載せられるか。
核心アイデア: Coconut 系 threshold anonymous credential によって、validator が正当性を署名しつつ coin を opaque にする。FastPay 型の quorum validation を保ったまま、支払い内容を秘匿する。
技術構成: threshold credentials、blind issuance、opaque coin、FastPay-style validation。privacy coin ではなく payment rail の上に privacy を後付けする設計。
前進点: consensus-free rail × privacy の最初の重要な合流点。PaxPay の直接の前段。
限界: regulation がない。PaxPay 側の批判では、coin 作成者が追跡できる余地など privacy 強度にも改善余地がある。
後続への意味: Zef が「fast + private」を作り、PaxPay が「fast + private + regulated」に進む。

rail Pastro

2023 / permissionless asynchronous asset transfer
問題設定: Astro/FastPay 的な asset transfer を permissioned committee ではなく open environment に拡張できるか。
核心アイデア: 非同期 asset transfer の安全性を、固定委員会より開いた参加モデルで扱う方向へ進める。
技術構成: asynchronous transfer、open participation、asset-specific validation。privacy や compliance ではなく permissionless 化が主眼。
前進点: payment rail の実配備に近い「誰が validator か固定できない」問題へ進んだ。
限界: regulated-private payment の主課題、つまり KYC/AML と privacy の同居は未解決。
後続への意味: PaxPay 系を permissionless 化する時、execution committee と compliance committee を分ける研究の比較対象になる。

2. Regulated-Private Payments / CBDC / Tokenization

regulated PRCash

FC 2019 / speed + privacy + regulation
問題設定: 匿名送金と規制遵守は両立不能なのか。CBDC/regulated payment では、ユーザー privacy を守りつつ KYC や上限規制を満たす必要がある。
核心アイデア: per-transaction limit、cumulative limit、KYC 条件を ZK proof で enforce し、ユーザーの identity や詳細履歴は隠す。
技術構成: ZK range/statement proof、regulated account、limit enforcement。後続と比べると primitive は粗いが、問題設定が重要。
前進点: 「制約付き匿名送金」という regulated-private payment の基本問題を明示した起点。
限界: PaxPay/PEReDi/DART と比べると、非同期 rail、権限分散、audit semantics、実装評価が弱い。
後続への意味: holding limit や cumulative limit の議論は PRCash から PaxPay まで続く。

regulated PEReDi

CCS 2022 / threshold CBDC tracing
問題設定: 中央銀行 CBDC に現金的 privacy を持たせつつ、違法行為には規制当局が対応できるようにする。
核心アイデア: Coconut/Pointcheval-Sanders 系 threshold blind signature と encrypted ledger を使い、通常時は匿名、必要時は threshold quorum で open/trace できる。
技術構成: maintainer committee、threshold issuance、simulatable tracing tag、per-tx/cumulative limit、UC-style CBDC functionality。
前進点: regulated-private CBDC の canonical reference。full privacy だけでなく、開示権限の閾値化を制度設計として扱った。
限界: receiver が対話的で、支払い rail としては重い。validator privacy 仮定も PaxPay より強い。
後続への意味: PaxPay の self-provable history と対比すると、PEReDi は「当局による tracing」を重視する設計。

regulated Platypus

CCS 2022 / split-trust CBDC
問題設定: CBDC の監督権を単独主体に置くと、privacy 侵害や権限濫用が起きやすい。開示権限をどう分割するか。
核心アイデア: 中央銀行と規制当局の split trust。通常時は e-cash 的 unlinkability を保ち、違反時だけ複数権限で開示する。
技術構成: account/e-cash hybrid、unlinkable transfer、multi-authority oversight。PEReDi と同時期の別トポロジー。
前進点: 「誰が開示できるのか」をプロトコル設計の中心に置いた。規制対応 privacy の trust topology を豊かにした。
限界: payment rail の高速化や非同期性は主眼ではない。PaxPay ほど性能評価も前面にない。
後続への意味: bounded oversight や judge-gated opening の設計で参照すべき。

regulated PARScoin

Preprint 2023 / stablecoin + reserve audit
問題設定: 民間 stablecoin では、規制の焦点はユーザー追跡だけでなく、発行量が準備資産を超えていないかという reserve audit に移る。
核心アイデア: transfer と claim を分けて receiver 非対話化を実現し、auditability を supply/reserve の健全性として再定義する。
技術構成: threshold issuer、ElGamal 系暗号、sigma protocol、range proof、claim database、proof of burn、reserve audit。
前進点: CBDC から regulated stablecoin へ問題設定を移し、issuer/custodian/auditor の三者構造を明示した。
限界: honest validator 仮定が重い。PEReDi 的な user tracing は後退し、PaxPay のような fast rail benchmark も弱い。
後続への意味: DART の multi-asset tokenization と PaxPay の compliance coin をつなぐ中間点。

regulated DART

ePrint 2025 / tokenization + affirmation
問題設定: RWA や証券トークン化では、単に匿名送金できるだけでは足りない。受取確認、巻き戻し、asset-specific auditor、proof of balance が必要になる。
核心アイデア: account state を finalized balance と pending balance に分け、receiver affirmation / reverse を組み込む。各 asset には issuer が指定する auditor を持たせる。
技術構成: commitment/nullifier、accumulator、threshold blind re-randomizable signatures、key-private encryption、per-asset auditor、multi-party transaction。
前進点: regulated-private payment を multi-asset tokenization / RWA settlement まで拡張した最も機能豊富な設計。
限界: 機能豊富なぶん複雑で、low-latency payment rail としては重い。single auditor 前提も制度的に議論が残る。
後続への意味: PaxPay compliance coin を multi-asset world に一般化する時の主要比較対象。

合流点 PaxPay

AFT 2025 / async + full privacy + regulation
問題設定: FastPay/Zef 的な asynchronous rail を捨てずに、full privacy と regulation enforcement を同時に満たせるか。
核心アイデア: 通常 coin に加えて compliance coin を導入する。compliance coin はユーザーの累計送金額と履歴 commitment を保持し、送金ごとに古いものを消費して新しいものへ更新する。
技術構成: coin-based UTXO、Groth16、threshold blind signature、MiMC、incremental commitment、SancList non-membership、π_transfer + π_comply の統合 proof。
前進点: consensus-free rail、full privacy、sanctions、per-tx/cumulative limit、provable transaction history を一つにまとめた。semi-honest validator が adversary と情報共有しても privacy を保つ点が強い。
限界: holding limit 未対応、prover が重い、Groth16 trusted setup、full tracing ではなく user self-proof 型。法域によっては当局側の直接追跡要求と合わない可能性がある。
後続への意味: このHTMLの中心。次の研究は holding limit、bounded oversight、shared account privacy、offline reconciliation。

別系統 NickPay

2025 / auditable-private payment on Ethereum
問題設定: Ethereum 型の既存 smart contract 環境で、private payment と auditability をどう同居させるか。
核心アイデア: group signature と stealth address により、送受信の unlinkability と必要時の監査を両立する。
技術構成: group signatures、stealth addresses、smart-contract payment flow。PaxPay のような consensus-free rail ではなく、EVM 上での auditable privacy が主眼。
前進点: regulated-private payment の別解として、Ethereum 配備可能性を前面に出す。
限界: rail innovation は弱く、性能前提は EVM に縛られる。
後続への意味: PaxPay 型 rail と EVM composability をつなぐ時の比較対象。

CBDC RSCoin

NDSS 2016 / central-bank digital currency ancestor
問題設定: 中央銀行が monetary policy を保持したまま、分散台帳でスケーラブルなデジタル通貨を作れるか。
核心アイデア: 中央銀行が発行権を持ち、mintette と呼ばれる shard-like validators に transaction processing を委譲する。
技術構成: central bank + mintettes、sharded validation、accountability。privacy より CBDC scalability が主眼。
前進点: CBDC を学術的に分散システムとして扱った初期の重要論文。
限界: privacy は弱く、regulated-private payment の暗号機能はまだない。
後続への意味: PEReDi/Platypus 以降の「中央銀行 + 分散処理 + 規制権限」の祖先。

CBDC Rayls

2025 / bank-ledger federation + private CBDC
問題設定: 中央銀行単一台帳ではなく、商業銀行ごとの private ledger を連邦的に接続して CBDC を運用できるか。
核心アイデア: 各銀行が Privacy Ledger を持ち、中央銀行側の commit chain へ接続する。銀行間匿名送金を ZK/暗号プロトコルで扱う。
技術構成: bank-specific privacy ledger、commit chain、Enygma、ZK-SNARK、post-quantum key exchange 方向。
前進点: regulated-private CBDC を単一台帳から既存銀行インフラ統合へ拡張した。
限界: 信頼前提は銀行連邦に寄る。open/payment-rail innovation とは別方向。
後続への意味: 実配備志向の private CBDC と PaxPay 型暗号設計の接点を考える材料。

CBDC Aegis

2025 / scalable privacy CBDC + dynamic proof of liabilities
問題設定: privacy-preserving CBDC にスケーラビリティと発行体健全性の動的監査を同時に入れられるか。
核心アイデア: CP-SNARK などで transaction batching を行い、proof of liabilities を動的に統合する。
技術構成: batching proof、commitment-based accounting、smart-contract verification、dynamic liability proof。
前進点: regulated-private payment を「個別送金の匿名性」だけでなく issuer/liability audit へ広げる。
限界: payment rail の非同期性や receiver UX は中心ではない。
後続への意味: PARScoin の reserve audit と PaxPay の compliance coin をつなぐ audit layer として読める。

3. Offline CBDC / Deployment-Oriented Payment

offline Project Hamilton

USENIX NSDI 2023 / high-performance CBDC processor
問題設定: CBDC transaction processor はどれくらい高性能にできるか。privacy 以前に、国レベル retail payment のスループットが必要。
核心アイデア: UTXO 的な transaction processing を高性能分散システムとして実装・評価する。
技術構成: high-throughput transaction processor、parallel validation、CBDC-specific architecture。
前進点: CBDC の性能基準を引き上げ、privacy paper の benchmark を評価する物差しを与える。
限界: privacy / regulation / offline は主眼ではない。
後続への意味: PaxPay の 925 tx/s などの数値を現実の CBDC processor 文脈で比較する時に必要。

offline Project Tourbillon

BIS 2023 / privacy, security, scalability for CBDC
問題設定: 実際の central-bank prototype で、payer anonymity、scalability、quantum-safe crypto をどう組み合わせるか。
核心アイデア: payer anonymity を中心に、複数プロトタイプで privacy/security/scalability の trade-off を評価する。
技術構成: e-cash-like withdrawal/payment、denomination design、quantum-safe variant、central-bank prototype。
前進点: 学術論文だけでなく、中央銀行実験として privacy payment の現実制約を示す。
限界: DeFi composability や permissionless rail は扱わない。設計は制度側に寄る。
後続への意味: offline/retail CBDC の需要と制約を評価する実務側の基準点。

offline PayOff

2024 / regulated CBDC with private offline payments
問題設定: payer/payee がネットワークから切断されていても、private かつ regulated な CBDC 支払いを行えるか。
核心アイデア: offline token lifecycle と fraud/double-spend handling を設計し、再接続時に不正検出と規制対応を行う。
技術構成: offline token、secure hardware/credential、double-spend evidence、regulated reconciliation。
前進点: offline privacy payment を現金代替として真正面から扱う。
限界: offline はどうしても hardware trust、revocation lag、再同期 semantics に難が残る。
後続への意味: PaxPay 型 async rail と統合するなら、offline-to-online reconciliation の直接の比較対象。

offline Secure-Element Offline CBDC

2024 / secure and privacy-preserving offline payments
問題設定: スマートカードや secure element を使えば、offline payment の double-spending と privacy を現実的に両立できるか。
核心アイデア: secure element が offline spending authorization を担い、payee は限られた情報だけで token validity を確認する。
技術構成: secure element、offline authorization、fraud tracing、lightweight cryptographic verification。
前進点: offline CBDC を実装制約のある端末で動かす方向へ進めた。
限界: hardware trust が強い。端末故障、鍵漏洩、強要、更新不能状態が残る。
後続への意味: privacy rail 研究で hardware trust をどこまで許すかの境界線を与える。

4. Auditable Payments / Controlled Oversight

audit Sander-TaShma

CRYPTO 1999 / auditable anonymous e-cash
問題設定: e-cash は匿名であるべきだが、総額や発行量の監査はできるべき。この二つをどう両立するか。
核心アイデア: anonymous e-cash に auditability を組み込み、ユーザー匿名性と金額整合性を切り分ける。
技術構成: blind-signature 系 e-cash、public log、audit mechanism。
前進点: auditable anonymous payment の古典的出発点。
限界: pre-blockchain 文脈で、現代の smart contract や distributed ledger は前提にない。
後続への意味: zkLedger、PARScoin、Aegis の supply/reserve audit 系に思想がつながる。

audit Solidus

CCS 2017 / confidential distributed ledger
問題設定: 銀行仲介型の分散台帳で、取引グラフと金額を隠しながら整合性を検証できるか。
核心アイデア: 銀行が顧客口座を privacy-preserving data structure として管理し、公開検証可能な形で transfer を処理する。
技術構成: PVORM/ORAM、confidential ledger、bank-mediated transfer。
前進点: privacy-preserving ledger を銀行モデルで現実的に扱った重要論文。
限界: ORAM 系は重く、permissionless/open rail には直接乗りにくい。
後続への意味: CBDC/銀行台帳連邦の Rayls などと比較すると、bank-mediated privacy の祖先として読める。

audit zkLedger

NSDI 2018 / privacy-preserving auditing for ledgers
問題設定: 金融機関間の台帳で、個別取引は秘匿しながら監査者が総量・整合性を検証できるか。
核心アイデア: commitments と NIZK によって、各参加者の残高・取引を隠しつつ、監査可能な table-of-commitments を構成する。
技術構成: Pedersen commitments、NIZK、table-wide audit、confidential transaction accounting。
前進点: auditable ledger の標準形を作った。個別開示ではなく aggregate audit という方向を明確にした。
限界: table 全体の更新・証明が重く、retail payment rail には直接向かない。
後続への意味: PARScoin/Aegis の reserve/liability audit、Rayls の銀行私的台帳に接続する。

audit Fabric Auditable Tokens

AFT 2020 / permissioned auditable anonymous tokens
問題設定: Hyperledger Fabric のような permissioned 環境で、匿名 token と issuer/auditor の監査権限をどう組み合わせるか。
核心アイデア: anonymous credentials と ZK を使い、permissioned consortium の中で private かつ auditable な token transfer を実現する。
技術構成: Pointcheval-Sanders signatures、ZK proofs、Fabric integration、issuer/auditor keys。
前進点: enterprise/permissioned blockchain に private token を載せる具体設計。
限界: issuer 信頼が強く、permissionless private rail とは別物。
後続への意味: CBDC/regulated stablecoin の consortium deployment を考える時の実装寄り基盤。

audit UTT

2022 / decentralized e-cash with accountable privacy
問題設定: decentralized e-cash で、ユーザー privacy と budget/accountability を両立できるか。
核心アイデア: KVAC/re-randomizable credential 系で、匿名支払いと budget tracing を組み合わせる。
技術構成: KVAC、re-randomizable signatures、budget mechanism、distributed validation。
前進点: Zef/PaxPay の比較表にも現れる、privacy + accountability + performance の重要ベースライン。
限界: PaxPay と比べると検証コストや regulation feature の粒度で差がある。
後続への意味: PaxPay の throughput/verification advantage を評価する比較対象。

audit ASOZ

2023 / anonymous and auditable cryptocurrency
問題設定: Zerocash 級の強い匿名性を保ちながら、監査者が必要時に取引相手と金額を確認できるか。
核心アイデア: global mixing と full transaction audit を組み合わせる。強い匿名性と強い監査権限を同時に置く設計。
技術構成: Twisted ElGamal、ElGamal、NIZK/Sigma、zk-SNARK、offline audit。
前進点: 「匿名性は強いが監査者には全件見える」という extreme point を提示。
限界: auditor 権限が強すぎる。bounded oversight の観点では危険。
後続への意味: PEReDi/PaxPay/AuditPay と比較して、監査権限をどこまで制限すべきかを考える材料。

audit AuditPay

2026 / anonymous payments with controlled oversight
問題設定: 規制当局に追跡権限を与えるとしても、無制限監視は避けたい。監査の回数・対象・条件を暗号的に制限できるか。
核心アイデア: 監査者が epoch ごとに追跡できる対象数を制限し、監視対象集合自体も秘匿する controlled oversight。
技術構成: selective encryption、oblivious audit-key vector、audit budget、anonymous payment layer。
前進点: full tracing vs no tracing の二択を超えて、bounded oversight という研究方向を明確にした。
限界: mixer/Tornado 型の前提が強く、PaxPay rail にそのまま載るわけではない。
後続への意味: Bounded Oversight PaxPay の直接素材。

audit UC Auditable Surveillance

2023 / judge-gated threshold surveillance
問題設定: key escrow や lawful access は濫用されやすい。令状付き・監査可能・閾値化された surveillance を形式化できるか。
核心アイデア: UC ideal functionality として auditable surveillance を定義し、裁判官署名・閾値復号・監査証跡を組み合わせる。
技術構成: threshold encryption、YOSO MPC、ZK warrant verification、audit trail。
前進点: judge-gated opening を形式的に扱うための道具を提供。
限界: payment-specific ではなく汎用 lawful access。支払い上限や sanctions とは別途統合が必要。
後続への意味: PaxPay/PEReDi の中間、つまり statement-specific opening を設計する時の形式化材料。

5. Privacy Coin / Confidential Transfer Ancestors

ancestor Zerocoin / Zerocash

S&P 2013/2014 / decentralized anonymous payments
問題設定: Bitcoin の透明 UTXO から、送信者・受信者・金額を隠す decentralized anonymous payment を作れるか。
核心アイデア: commitment tree と nullifier によって「有効な coin を消費した」ことだけを ZK で証明する。
技術構成: note commitment、Merkle membership、nullifier、zk-SNARK、shielded pool。
前進点: private payment の暗号パターン、つまり commitment + nullifier + ZK の標準形を作った。
限界: 初期 Zcash は trusted setup と opt-in privacy の問題を抱えた。regulation は設計外。
後続への意味: DART、PaxPay、MASP、Aztec、Privacy Pools などの根底にある。

ancestor CryptoNote / RingCT / Monero

2013-2024 / ring signature privacy line
問題設定: trusted setup なしで、送信者・受信者・金額を隠す実用的な private cash を作れるか。
核心アイデア: ring signature で送信者を k-anonymity に隠し、stealth address で受取人を隠し、RingCT/Bulletproofs で金額を隠す。
技術構成: linkable ring signatures、key images、Pedersen commitments、range proofs、CLSAG、Triptych/FCMP++ 方向。
前進点: default-private payment の実運用例として最重要。privacy demand の実証でもある。
限界: regulation hooks が弱い。匿名集合はデコイ選択や network/app-layer leakage に依存する。
後続への意味: PaxPay とは逆に「規制より cash-like privacy」を優先する参照点。

ancestor Zether

2020 / account-based confidential payments for smart contracts
問題設定: Ethereum 的 account model で、残高・送金額・送受信者を隠せるか。
核心アイデア: account balances を Pedersen commitment として持ち、ring-style anonymity と ZK proof で送金を検証する。
技術構成: account commitments、range proof、Sigma/Bulletproof-style proof、epoch-based update。
前進点: UTXO ではなく account model の confidential payment を示した。
限界: sender は epoch あたり制約を受け、証明は anonymity set に依存して重い。regulation はない。
後続への意味: PEReDi/PARScoin/DART が account model と concurrency 問題を議論する時の比較対象。

ancestor Quisquis

2019 / updatable public keys + account anonymity
問題設定: UTXO と account の中間で、アカウントを更新しながら匿名性を保てるか。
核心アイデア: updatable public keys により、取引ごとに account representation を変え、linkability を抑える。
技術構成: re-randomizable public keys、confidential transaction、anonymity set proof。
前進点: account-oriented privacy payment の別系統を提示。
限界: anonymity set サイズに依存し、PaxPay のような regulation/rail 統合はない。
後続への意味: DART/PARScoin が比較対象にする account privacy primitive。

ancestor Mimblewimble

2016/2019 / CT + cut-through
問題設定: 金額秘匿と blockchain size 削減を同時に達成できるか。
核心アイデア: Confidential Transactions と cut-through により、中間 UTXO を削除しつつ金額整合性を検証する。
技術構成: Pedersen commitments、range proofs、kernel excess、interactive transaction construction、cut-through。
前進点: privacy と scalability を同時に狙う別アプローチ。transaction graph を構造的に薄くする。
限界: 送受信者匿名性は Zerocash ほど直接的ではなく、interactive TX と network leakage が課題。
後続への意味: payment rail の「履歴をどこまで残すべきか」という設計軸で重要。

ancestor Lelantus / Spark

2019 / FC 2022 / trusted-setup-free anonymity set
問題設定: trusted setup なしで、大規模 anonymity set と confidential payment を実用化できるか。
核心アイデア: serial-number based spend と sigma-style proof で、coin mint/spend の unlinkability を提供する。Spark は address/viewing key/UX を強化する。
技術構成: one-out-of-many proof、serial number、commitment、Spark address/viewing mechanism。
前進点: Zcash と Monero の中間にある、trusted setup 不要の shielded pool 系。
限界: regulation rail ではなく privacy coin 設計。採用率と set quality が効く。
後続への意味: PaxPay 論文でも比較対象に出る privacy baseline。

compliance Privacy Pools

2023 / association sets + self-certification
問題設定: mixer/shielded pool を全面禁止せず、ユーザーが「自分の資金は汚染集合に属さない」と証明できるか。
核心アイデア: association set / dissociation set を ZK proof に組み込み、ユーザーが資金源泉について必要な statement だけを示す。
技術構成: Merkle membership/non-membership、nullifier、association set、self-certification proof。
前進点: permissionless DeFi における compliance-aware privacy の代表。
限界: set curator と set quality の政治性が残る。payment rail 自体を高速化するものではない。
後続への意味: PaxPay の provable transaction history と同じく、ユーザー自己証明型 compliance の重要系譜。

6. Survey / SoK

survey SoK Payment Design Space for CBDC

2026 / 36 payment system designs
役割: CBDC/payment system design を Global State Update、Local State Update、Transfer Digital Coin などの設計パターンで整理する横断サーベイ。
重要点: privacy、offline、performance、implementation challenges を一枚の設計空間に並べ、offline payments と post-quantum security を主要 gap として扱う。
このHTMLでの使い方: 個別論文の強弱を、単なる「匿名性がある/ない」ではなく design pattern として比較するための背骨。

survey SoK Auditability

ACNS 2021 / auditability taxonomy
役割: privacy-preserving payment/ledger における auditor type、audit level、trust assumption、privacy level を整理する SoK。
重要点: auditor が full/partial、online/offline、keyed/keyless のどれなのかを分けないと、監査可能性の議論は曖昧になる。
このHTMLでの使い方: PEReDi、PaxPay、ASOZ、AuditPay、zkLedger を同じ「auditability」という言葉で雑に混ぜないための分類軸。

7. 追加重要論文: CBDC / Offline / Deployment

offline Two-Tier Offline CBDC

2020 / two-tier offline retail CBDC
位置づけ: offline CBDC を中央銀行と仲介機関の two-tier model で考える初期重要論文。
焦点: offline transferability、double-spend detection、仲介機関の役割分担。
このHTMLでの意味: PayOff / secure-element CBDC の前史として、offline payment が制度アーキテクチャ問題でもあることを示す。

offline DOTM

2022 / dual offline transaction model
位置づけ: offline CBDC を単なる端末間送金ではなく、online/offline の二重モードで設計する流れ。
焦点: offline token の流通、再接続時の整合性、支払い失敗時の処理。
このHTMLでの意味: PaxPay 型 async rail と offline rail を統合する時の mode-switching 参考資料。

offline Balancing Compliance and Privacy in Offline SE

2025 / secure element + compliance/privacy balance
位置づけ: secure element 依存の offline CBDC で、privacy と compliance の両立点を細かく探る。
焦点: offline spending limit、sanctions/revocation lag、端末信頼、規制当局に何を見せるか。
このHTMLでの意味: offline compliance の比較軸を作る時に必須。

offline Privacy-Compliance Design for Offline CBDC

TNSM 2025 / offline CBDC design
位置づけ: offline CBDC のプライバシー保護とコンプライアンス要件を設計論として整理する論文。
焦点: offline identity privacy、二重支払い、監査、端末管理。
このHTMLでの意味: PayOff と secure-element 系を比較する中間サーベイ的材料。

CBDC CBDC Composable Treatment

2023 / UC formulation for CBDC
位置づけ: CBDC を UC/形式的モデルで扱い、匿名性と脱税対策を同時に議論する。
焦点: ideal functionality、income transparency、Chaum 型 e-cash 的構成。
このHTMLでの意味: PaxPay/PEReDi の機能リストを formal model に落とす際の参照。

CBDC How to Issue CBDC

Chaum line 2021 / e-cash CBDC
位置づけ: Chaum 型 e-cash を CBDC 発行に戻す設計系譜。
焦点: cash-like privacy、中央発行、double-spend control、軽量支払い。
このHTMLでの意味: trust-minimized e-cash や Tourbillon と合わせて「古典 e-cash 回帰」を整理する材料。

CBDC Kaime

2024 / modular privacy for CBDC
位置づけ: CBDC privacy を単一方式ではなく modular component として設計する方向。
焦点: privacy layer、audit layer、policy layer の分離。
このHTMLでの意味: PaxPay の rail/compliance plane separation を拡張する設計思想。

CBDC Gross-Sedlmeir Cashlike Privacy

2021 / cash-like privacy for CBDC
位置づけ: CBDC が現金代替になるには、どの privacy property が必要かを整理する。
焦点: cash-like privacy、central bank visibility、retail usability、offline needs。
このHTMLでの意味: 技術論文を需要側から評価する基準。

CBDC Rayls II

2025 / private compliant CBDC iteration
位置づけ: Rayls の改良版。銀行別 privacy ledger と compliant CBDC を本番志向に近づける。
焦点: bank identifier privacy、ZK optimization、quantum-private direction。
このHTMLでの意味: Rayls を単発でなく実装系譜として扱うための後続。

CBDC PQC-DLT CBDC Feasibility

2024 / post-quantum CBDC feasibility
位置づけ: CBDC/DLT の耐量子移行を実装評価する流れ。
焦点: NIST PQ signatures、hybrid signature、Besu/SGX、DREX 文脈。
このHTMLでの意味: Groth16/Coconut 依存の PaxPay 系が将来 PQ 対応で抱える gap を示す。

CBDC Fabric-X

2026 / scaling Hyperledger Fabric for CBDC
位置づけ: permissioned ledger を高スループット CBDC 基盤へ拡張する実装寄り論文。
焦点: Fabric performance、resilience、transparent/high-throughput CBDC。
このHTMLでの意味: privacy-heavy protocol と enterprise CBDC processing の性能差を見る基準。

CBDC CBDC Cross-Border Layer2

2023 / cross-border CBDC L2
位置づけ: CBDC を国内 retail だけでなく cross-border settlement に拡張する。
焦点: L2 architecture、jurisdiction boundary、interoperability。
このHTMLでの意味: cross-jurisdiction compliance の未解決問題を具体化する材料。

CBDC UCoin

TDSC 2023 / privacy cryptocurrency/CBDC adjacent
位置づけ: privacy-preserving cryptocurrency/CBDC 系の中間的設計。
焦点: privacy transfer、regulated currency architecture、accountability。
このHTMLでの意味: CBDC と privacy coin の境界にある設計例として扱う。

CBDC PPChain

2021 / permissioned blockchain CBDC
位置づけ: permissioned blockchain 上の privacy-preserving payment/CBDC 系。
焦点: consortium operation、privacy、auditable processing。
このHTMLでの意味: Fabric/Rayls と同じ permissioned deployment 系の補完。

8. 追加重要論文: Confidential Transfer / Shielded Assets

CT PGC

ESORICS 2020 / practical confidential payment with audit
位置づけ: decentralized confidential payment と auditor-friendly decryption の代表。
焦点: Twisted ElGamal、Bulletproofs、auditor key。
このHTMLでの意味: ASOZ/zkLedger/UTT と並ぶ auditable confidential transfer の基盤。

shielded Aztec Connect

2022 / private DeFi bridge/application layer
位置づけ: payment privacy を DeFi application access に接続した実装例。
焦点: shielded account、DeFi interaction、rollup bridge、UX と shutdown lessons。
このHTMLでの意味: private rail adapter for DeFi の先行実装として重要。

shielded MASP

Anoma/Namada 2022 / multi-asset shielded pool
位置づけ: Zerocash 型 note commitment を multi-asset に拡張する代表。
焦点: asset-type privacy、multi-asset notes、shielded pool UX。
このHTMLでの意味: DART/PaxPay の multi-asset privacy と比較する基盤。

CT Confidential Assets

2019 / asset-type and amount confidentiality
位置づけ: 金額だけでなく asset type も隠す confidential transfer の基礎。
焦点: Pedersen commitments、asset tags、multi-asset CT。
このHTMLでの意味: DART の asset-type privacy や MASP の先祖として重要。

CT Solana Confidential Transfer

2024 / Token-2022 confidential balances
位置づけ: 高速 public chain の token 標準に confidential transfer を入れる実装系。
焦点: encrypted balances、auditor/decryptor role、ZK proof、wallet/SDK constraints。
このHTMLでの意味: PaxPay 型専用 rail と L1 token standard 型 privacy の対比。

CT XRPL Confidential Transfers

2026 / confidential MPTs on XRPL
位置づけ: 既存決済 ledger に金額秘匿を追加する現実寄りの設計。
焦点: EC-ElGamal、NIZK、supply transparency、selective disclosure。
このHTMLでの意味: payment rail 既存インフラ統合の比較対象。

async ePAss

2025 / asynchronous private payment
位置づけ: async private payment という PaxPay 近傍の未収録重要候補。
焦点: asynchronous transfer、privacy、receiver availability。
このHTMLでの意味: PaxPay/Zef と並べて rail + privacy の最近接 baseline として扱うべき。

token BAT

2026 / cryptocurrency-backed anonymous tokens
位置づけ: 既存 cryptocurrency を backing として匿名 token を発行する系譜。
焦点: backing proof、anonymous token issuance、redeemability。
このHTMLでの意味: trust-minimized e-cash と regulated stablecoin の中間に置ける。

CT Merces

2026 / confidential transfers with MPC/coSNARK
位置づけ: MPC と coSNARK を使って confidential transfer の proving/verification を分散化する方向。
焦点: collaborative proving、confidential balance update、scalability。
このHTMLでの意味: PaxPay の heavy prover 問題を分散 proving で解く可能性の比較対象。

account NIZK Account Model

TDSC 2021 / account-model private payments
位置づけ: UTXO ではなく account model で private payment を構成する研究。
焦点: account balance privacy、NIZK、double-spend/replay prevention。
このHTMLでの意味: Zether/Quisquis/DART の account privacy 系に接続。

account BlockMaze

TDSC 2022 / account-model privacy
位置づけ: account-based privacy payment の別設計。
焦点: account anonymity、confidential transfer、transaction graph hiding。
このHTMLでの意味: account model private payments の比較母集団を増やす。

CT PRIDE

2023 / forward-secure confidential transfer line
位置づけ: confidential transfer に forward secrecy や長期鍵漏洩耐性を入れる方向。
焦点: forward secrecy、epoch update、receiver offline handling。
このHTMLでの意味: payment privacy を「現在の匿名性」だけでなく将来漏洩耐性で評価するために必要。

DP Verifiable Local DP Transactions

2023 / verifiable local differential privacy
位置づけ: 個別取引を秘匿しつつ、統計利用のために検証可能な local DP を入れる方向。
焦点: local randomization、ZK correctness proof、central-bank/statistical use。
このHTMLでの意味: privacy payment の需要が「匿名送金」だけでなく政策統計にもあることを示す。

Zether Many-out-of-Many Zether

2021 / Zether scalability variant
位置づけ: Zether の anonymity set / account update コストを改善する方向。
焦点: many-out-of-many proof、account anonymity、proof compression。
このHTMLでの意味: account-model privacy の性能改善系として補完。

exchange Private Atomic Exchange on ZK Ledger

2019 / private atomic exchange
位置づけ: private payment を交換・settlement に拡張する初期研究。
焦点: atomicity、confidential balances、ledger audit。
このHTMLでの意味: private payment rail と DeFi/DEX adapter の古い接点。

notes Evolving Nullifiers

ePrint 2025 / note model refinement
位置づけ: note/nullifier モデルの進化形。shielded state の細部設計に関わる。
焦点: evolving nullifiers、note lifecycle、linkability reduction。
このHTMLでの意味: PaxPay/DART の coin/account state をより柔軟にする設計材料。

9. 追加重要論文: E-Cash / Credentials / Token Issuance

ecash GNU Taler

2019 / taxable anonymous e-cash
要点: payer privacy と merchant/receiver accountability を分離する実用 e-cash。税務・商取引に寄った匿名決済の代表。
意味: regulated-private payment の需要が「匿名 payer + 監査可能 merchant」にあることを示す。

ecash Trust-Minimized eCash

2024 / modular chain add-on e-cash
要点: Chaum 型 e-cash を既存チェーンに 1:1 backed issuance として載せる。
意味: PaxPay より単純な self-custody e-cash / backing transparency の比較対象。

ecash Transferable eCash Cleaner

PKC 2021 / transferable e-cash
要点: 受け取った e-cash をさらに transfer できる transferable e-cash の効率化。
意味: offline transferable CBDC と直接接続する古典暗号側の基盤。

ecash Compact Divisible eCash

PoPETs 2023 / divisible e-cash
要点: e-cash を細かい額面に分割可能にしつつ、証明・wallet サイズを抑える。
意味: exact amount payment と offline usability の基盤。

ecash OCash

PKC 2025 / light-client e-cash
要点: light client が扱いやすい e-cash を目指す。
意味: PaxPay の mobile prover cost 問題を考える時に重要。

ecash Blind Multisig Anonymous Tokens

2024 / threshold issuance
要点: blind multisignature で匿名 token の分散発行を扱う。
意味: Coconut/PS-sig/PaxPay の threshold issuance と比較すべき。

ecash Non-Transferable Anonymous Tokens

2025 / privacy token with non-transferability
要点: 匿名性を持たせつつ譲渡不能性を入れる。
意味: credential と money の境界、KYC credential/payment credential の分離に関わる。

ecash Everlasting Anonymous Rate-Limited Tokens

2025 / rate-limited anonymous tokens
要点: 匿名性を保ったまま利用頻度・発行量を制限する。
意味: PaxPay の cumulative limit / holding limit の credential 版として重要。

ecash Lattice Threshold Blind Signatures

2025 / post-quantum blind issuance
要点: threshold blind signature を lattice/PQ 方向へ移す。
意味: Coconut/Groth16 系の PQ gap を埋める候補。

ecash NI Blind Signature Threshold Issuance

2026 / non-interactive threshold issuance
要点: threshold issuance の対話コストを下げる。
意味: PaxPay/Zef の発行・更新 UX を軽くする方向。

10. 追加重要論文: Compliance Tracing / Proof of Reserves / Audit

trace DCAP

TIFS 2020 / conditional anonymous payment
要点: 通常は匿名、条件成立時に追跡可能な conditional anonymity。
意味: PEReDi/AuditPay の前段として、条件付き開示設計を比較する。

trace Traceable Monero

TDSC 2021 / traceability in Monero-like systems
要点: Monero 型 privacy に tracing hook を入れる方向。
意味: default-private coin に規制機能を足す時の危険な設計点を示す。

KYC RegKYC

2025 / privacy-compliant KYC
要点: KYC credential を privacy preserving に扱う。
意味: payment execution と portable compliance credential を分離する研究に必要。

KYC Bind Anonymous Credentials to Humans

USENIX 2023 / human-bound credentials
要点: anonymous credential を実在人間に binding し Sybil を抑える。
意味: PaxPay の「1人1 compliance coin」問題の基礎。

compliance Toxic Decoys

PoPETs 2025 / compliance and decoy risk
要点: privacy set に悪性 decoy が混ざることで生じる compliance risk を扱う。
意味: Monero/RingCT と sanctions compliance の衝突を理解する材料。

compliance Balancing Privacy Accountability ZK-SNARK

PST 2022 / accountable privacy with ZK
要点: ZK-SNARK で privacy と accountability の中間設計を作る。
意味: ASOZ/AuditPay/PaxPay の中間解として位置づける。

audit Accountable Privacy

2016 / Zerocash extension with tracing
要点: Zerocash に selective tracing を足す初期の重要研究。
意味: privacy coin に規制 hook を入れる系譜の起点。

audit SeDe

2023 / selective deanonymization
要点: selective deanonymization を暗号的に制御する。
意味: judge-gated / statement-specific opening の比較対象。

ledger MiniLedger

ESORICS 2021 / compact zkLedger line
要点: zkLedger の履歴・サイズ問題を compact 化する。
意味: auditable ledger の scalability frontier を補う。

reserves Provisions

CCS 2015 / proof of solvency
要点: 取引所等が顧客残高を隠しつつ solvency を証明する。
意味: PARScoin/Aegis の reserve/liability audit の祖先。

reserves MProve / MProve+

2018-2025 / proof of reserves evolution
要点: proof of reserves / liabilities を効率化・一般化する系譜。
意味: stablecoin reserve audit を payment privacy とつなぐために必要。

reserves XieZhi / IZPR / PoA SNARKs

2022-2024 / succinct proof of assets/reserves
要点: proof of assets / reserves を SNARK や succinct proof で軽くする。
意味: Aegis/PARScoin の監査性能を具体化する数値比較候補。

11. 追加重要論文: Privacy Coin / Zcash / Monero 詳細

coin Dusk

regulated privacy L1 / Phoenix + Citadel
要点: ZK-ID と selective disclosure を持つ規制対応 privacy L1。
意味: DART/RWA と Privacy Pools の中間に置ける実装系。

coin Dero

homomorphic encrypted account balances
要点: account balance を常時暗号化し、homomorphic に更新する privacy coin。
意味: account-model private payment と FHE/HE payment の祖先。

coin Ouroboros Crypsinous

S&P 2019 / privacy-preserving PoS ledger
要点: Zerocash 的 privacy と proof-of-stake ledger を結合する。
意味: privacy payment を consensus layer と統合する別方向の代表。

coin Nopenena

2024 / untraceable payments
要点: privacy coin 系の近年型 untraceable payment。
意味: Zcash/Monero/Quisquis 以後の匿名送金設計を補う。

coin StakeNote

2026 / PoS CryptoNote direction
要点: CryptoNote/Monero 系を proof-of-stake に寄せる研究。
意味: default-private coin の consensus 移行問題を示す。

Zcash Sapling / Orchard / Halo2

Zcash protocol evolution
要点: Sprout/Sapling から Orchard/Halo2 へ、trusted setup や UX を改善してきた系譜。
意味: Groth16 を使う PaxPay と、transparent setup 方向の将来差分を評価する基盤。

ZK Groth16 / Halo / Powers of Tau

SNARK proving system foundations
要点: private payment の proving cost と trusted setup を決める証明系の基盤。
意味: PaxPay の trusted setup / prover cost 問題を評価するには必須。

Zcash Kappos Anonymity Analysis

2018 / empirical anonymity analysis
要点: Zcash の opt-in privacy は shielded adoption と entry/exit pattern に依存することを実証。
意味: protocol privacy と実効 privacy の差を示す代表研究。

Monero Triptych / Omniring / CLSAG

2019-2020 / ring signature scaling
要点: Monero 系 ring proof のサイズ・検証コストを改善する系譜。
意味: trusted setup なし private payment の性能 frontier。

Monero Seraphis / FCMP++

2022-2024 / full-chain membership direction
要点: ring size 依存を超え、全チェーン規模の membership proof を目指す。
意味: anonymity set quality の根本改善として、privacy payment の重要潮流。

network Dandelion++

2018 / transaction broadcast privacy
要点: 取引内容だけでなく broadcast origin を隠す network-layer privacy。
意味: PaxPay/Zef でも network timing/origin leakage を無視できないことを示す。

analysis Monero Traceability Studies

2017-2025 / empirical traceability and wallet bugs
要点: デコイ選択、wallet bugs、cross-chain behavior によって Monero の実効匿名性が崩れることを示す系譜。
意味: 暗号定義だけでなく wallet/behavioral leakage を評価軸に入れる理由。

比較表

表1. 規制内蔵匿名送金・決済

論文 主対象 送金モデル 規制の入れ方 監査/開示の意味 資産モデル 主な信頼前提 性能の狙い 決定的な弱点
PRCash CBDC/regulated payment 通常の支払い tx / total limit, KYC を ZK で強制 規制条件の充足 単一資産 規制主体の存在 speed + privacy + regulation 後続ほど精緻でない
PEReDi CBDC 対話的 threshold authority tracing / open / revocation 単一CBDC 中央銀行 + committee 制度的完全性 受取人 online 必須
Platypus CBDC account / e-cash 型 split trust 違反時のみ開示 単一CBDC 中央銀行 + 規制当局 unlinkability 強化 rail 革新は弱い
PARScoin stablecoin 非対話、後で claim issuer / custodian / auditor 分離 supply / reserve audit 単一stablecoin threshold issuer, honest 仮定強め 非対話化 user tracing 後退
DART RWA / tokenization affirmation + reversion asset-specific auditor per-asset audit, proof of balance multi-asset permissionless + auditor 機能完全性 複雑、重い
PaxPay regulated payment rail coin push compliance coin provable transaction history 単一資産 semi-honest validators 許容 throughput + lightweight verify holding limit 未解決

表2. consensus-free / async payment rail

論文 rail 上の問題 privacy regulation 資産/口座モデル consensus の扱い 強み 弱点
Astro BRB だけで payment を成立させる なし なし exclusive log / xlog global consensus 不要 20K pps, robust permissioned, privacy なし
FastPay single-owner account を低遅延化 なし なし single-owner accounts owner-local ordering low latency の原型 shared account, privacy 非対応
CryptoConcurrency shared account で almost-consensusless なし なし shared accounts conflict 時だけ fallback consensus 現実の口座モデルに近い latency 増、privacy なし
Zef FastPay rail に匿名送金を載せる あり なし opaque coin + Coconut BFT rail 上 sub-second private payment regulation なし
PaxPay rail に privacy + regulation を同時内蔵 あり あり UTXO-like coin + compliance coin consensus-free, async 4条件同時達成 prover cost, full tracing 不在

表3. PaxPay vs DART vs PARScoin vs PEReDi

PEReDi PARScoin DART PaxPay
主対象 CBDC stablecoin RWA / tokenization payment rail / CBDC 近傍
receiver model 対話的 claim affirmation + reversion coin push
監査の意味 tracing reserve audit asset-specific audit self-provable history
privacy の思想 authority-compatible anonymity issuer-compatible privacy auditor-scoped privacy full privacy with bounded compliance
performance の中心 制度一貫性 非対話性 機能豊富さ verification / throughput
決定的な新規性 threshold tracing CBDC stablecoin reserve audit multi-asset affirmation compliance coin

表4. Astro / FastPay / Zef / PaxPay

Astro FastPay Zef PaxPay
主問題 BRB payment rail low-latency transfer private payment regulated private payment
privacy なし なし Coconut ベース SNARK + blind signature
regulation なし なし なし 内蔵
asset/coin xlog single-owner account opaque coin coin + compliance coin
rail assumptions async BRB async asset transfer BFT sharded authorities async + semi-honest validators
この世代で足したもの rail 自体 payment 特化整理 privacy privacy + regulation

表5. Threat / Trust / Privacy Notion 横断

系譜 代表 主な敵対者 信頼前提 privacy notion audit / compliance notion 研究上の弱点
consensus-free rail Astro / FastPay / CryptoConcurrency Byzantine validator, double spender validator quorum / BRB 基本なし 基本なし privacy を後から載せると conflict leakage が出る
private async rail Zef / PaxPay / ePAss validator, observer, malicious spender threshold authorities, semi-honest validator, secure channels confidentiality / anonymity / unlinkability PaxPay は sanctions + spend limits + provable history shared account, holding limit, mobile proving
regulated CBDC PEReDi / Platypus / PRCash / DART malicious user, issuer, auditor/regulator abuse central bank / threshold committee / per-asset auditor unlinkability, conditional anonymity tracing, opening, per-tx/cumulative limit, asset-specific audit 権限濫用、cross-jurisdiction、receiver UX
auditable ledger zkLedger / Solidus / PGC / UTT auditor, bank, ledger participants bank consortium, auditor key, public verification amount/identity confidentiality aggregate audit, decryptable audit, budget tracing auditor key が強いか、集計しか見えないかの二択
offline CBDC PayOff / Tourbillon / secure-element CBDC double spender, compromised device, offline colluder secure element, issuer reconciliation, revocation authority offline payer/payee privacy post-factum fraud tracing, spending limit, revocation hardware trust と revocation lag が残る
privacy coin Zerocash / Monero / Mimblewimble / Lelantus chain analyst, network observer, wallet fingerprinting cryptographic assumption, sometimes trusted setup anonymity set, untraceability, unlinkability view key 以外は限定的 regulation hooks が弱く、実効匿名性は運用に依存

表6. Regulation Feature Coverage

機能 強い論文 弱い論文 未解決の理由 次の研究方向
KYC / 登録制御 PEReDi, PaxPay, RegKYC, Bind Anonymous Credentials Zcash, Monero, Mimblewimble identity binding と unlinkability が衝突する portable compliance credential
per-tx limit PRCash, PEReDi, PaxPay privacy coin 系 金額を隠したまま range/policy を証明する必要がある policy-specific ZK circuits
cumulative spend limit PRCash, PaxPay, UTT Zef, FastPay 履歴状態を持つほど linkability が増える compliance state token / rate-limited anonymous tokens
holding limit PRCash/PEReDi が近い PaxPay は未対応 async + privacy では全保有額の原子的確認が難しい private solvency proof / epoch holding proof
sanctions screening PaxPay, Privacy Pools, Dusk Monero, Zcash raw privacy mode 制裁リスト非所属を証明すると set curator 問題が出る non-membership proof + governance of lists
lawful opening PEReDi, Platypus, AuditPay, UC Auditable Surveillance PaxPay は user self-proof 寄り 開示権限が強すぎると privacy が制度的に崩れる bounded / judge-gated / statement-specific opening
reserve / liability audit PARScoin, Aegis, Provisions, MProve, XieZhi PEReDi, PaxPay 個人 privacy と issuer solvency は別問題 payment protocol + proof of liabilities の統合

表7. Performance / Deployment Gap

評価対象 現HTMLで分かること まだ足りない数値 比較対象 補強すべき raw
proving cost PaxPay は prover heavy / verifier light 各論文の proving time, memory, mobile feasibility Groth16, Halo2, Bulletproofs, Sigma, MPC/coSNARK PaxPay, Merces, Zcash/Halo2, OCash
verification cost PaxPay は validator 側が軽い validator CPU, batching, on-chain gas UTT, Zef, PGC, Solana CT, XRPL CT UTT, Zef, PGC, Solana CT, XRPL CT
throughput / latency PaxPay/FastPay/Hamilton は一部あり 同一ハードウェア・同一安全性での横並び Hamilton, FastPay, PaxPay, Fabric-X Hamilton, Fabric-X, PaxPay, FastPay
wallet UX receiver model は整理済み recovery, scanning cost, view key, merchant refund Zcash, Monero, Dusk, GNU Taler, DART Zcash protocol, GNU Taler, DART, PRIDE
offline deployment offline 未解決は整理済み secure element cost, revocation lag, reconnect failure PayOff, Tourbillon, secure-element CBDC PayOff, Tourbillon, balancing-offline-SE

未解決問題

この領域は「論文が少ない」のではなく、主要設計は出揃ったが、全部を同時に満たす完全解がまだない 段階にある。特に PaxPay を軸に見ると、未解決点はかなり具体的になっている。

規制内蔵匿名送金側の未解決

  • holding limit: async + privacy のまま保有上限をどう enforce するか
  • full tracing vs bounded oversight: 全部見せるのでも、全く見せないのでもない中間設計
  • cross-jurisdiction compliance: sanctions / KYC / tax rule が複数法域で食い違う場合
  • receiver UX: claim / affirmation / push のどれが最も制度適合的か
  • proof cost: prover がモバイル級端末でも実用になるか

payment rail 側の未解決

  • shared account + privacy: CryptoConcurrency の世界に Zef/PaxPay 級 privacy を載せられるか
  • permissionless 化: Pastro 以降の open environment で compliance をどう入れるか
  • private conflict resolution: conflict 時だけ consensus を呼ぶ系で、conflict 自体も隠せるか
  • composability: rail が DeFi smart contract とどう接続するか
  • auditable-performance frontier: verification を軽くしたまま auditability をどこまで増やせるか

深掘り: 未解決問題の構造

未解決問題は「機能が足りない」というより、privacy が依存する秘匿性compliance / rail が要求する共有状態が衝突する点にある。以下は論文化しやすい粒度に分解したもの。

未解決問題 なぜ難しいか 既存論文の到達点 攻め方
Holding limit 保有額は時間をまたぐ状態なので、PaxPay 的な async payment では全資産状態を見ずに上限を強制する必要がある。 PRCash/PEReDi は limit enforcement を扱うが、PaxPay は holding limit を明示的に未解決として残す。 compliance coin を「支払い履歴」だけでなく「保有証明」に拡張し、epoch ごとの private solvency proof を作る。
Bounded oversight 全件追跡は監視権限が強すぎ、追跡なしは AML/CFT に弱い。開示対象・回数・条件を暗号的に制約する必要がある。 PEReDi は tracing/open、PaxPay は self-provable history、AuditPay/UC Auditable Surveillance は監査権限の有界化を提示。 judge-gated opening を理想機能として定義し、令状・監査予算・statement-specific disclosure を payment protocol に統合する。
Shared account privacy shared account は複数主体が同じ state を更新するため、誰が競合を起こしたか、どの支払いが競合したかが漏れやすい。 CryptoConcurrency は shared account + local consensus を示すが privacy はない。Zef/PaxPay は privacy があるが shared account は中心ではない。 account-local nullifier、private conflict proof、threshold authorization を組み合わせた Private CryptoConcurrency を設計する。
Private conflict resolution consensus-free rail は通常時を高速化するが、例外時に consensus を呼ぶ。その例外発生自体が取引パターンの漏洩になる。 FastPay/Astro は高速 rail、CryptoConcurrency は conflict 時 fallback、Zef/PaxPay は privacy/regulation を載せるが conflict leakage は十分に扱わない。 conflict を暗号化された queue とし、validity だけを ZK で証明する。fallback consensus は plaintext account ではなく commitments 上で動かす。
Permissionless regulated rail permissionless 化すると validator set が開く一方、KYC/AML の issuer や regulator は閉じた主体になりやすい。 Pastro は open environment 方向、PaxPay は regulated private rail だが制度主体の信頼前提はまだ強い。 execution committee と compliance committee を分離し、payment validity は permissionless、policy validity は threshold credential で処理する。
Composability private payment は相手・金額・残高を隠すほど、DeFi contract が必要とする入力状態を読めなくなる。 PaxPay/Zef は payment に強い。DART は tokenization に進むが、DEX/lending/collateral との一般接続は未成熟。 payment rail から contract へ「支払った事実」「上限内」「クリーン資金」だけを渡す adapter proof を作る。
Offline regulated privacy offline では二重支払い・制裁更新・失効・上限確認をオンライン照合なしに処理する必要がある。 PayOff、Tourbillon、secure-element CBDC は offline を扱うが、PaxPay 型の async regulated rail との統合は弱い。 online rail と offline wallet を同じ compliance state machine で扱い、再接続時に private reconciliation proof を提出する。

Payment rail 側の解決ロードマップ

Step 1. single-owner から shared state へ

FastPay/Zef/PaxPay は single-owner coin/account の高速性を活かす。一方、実運用では共同口座、企業 treasury、escrow、merchant account が必要になる。ここで CryptoConcurrency の shared account モデルが重要になる。

研究課題: shared account の各更新を hidden intent として表し、承認者集合・残高変化・競合理由を隠したまま validity だけ検証する。

Step 2. visible conflict から hidden conflict へ

consensus-free rail の弱点は、例外時の conflict path が目立つこと。高額支払い、資金不足、同時支払い、制裁ヒットなどが conflict として観測されると privacy が崩れる。

研究課題: conflict の有無を外から識別しにくい fixed-shape protocol にし、fallback consensus は暗号化状態と ZK proof だけを処理する。

Step 3. rail と compliance plane を分離

性能を出す rail に規制ロジックを直結すると重くなる。逆に規制を外すと実社会の導入が難しい。PaxPay の compliance coin はこの分離の出発点として読める。

研究課題: payment execution は低遅延、compliance は credential/state token で遅延検証可能にし、両者を ZK statement で接続する。

Step 4. DeFi / RWA への adapter proof

payment rail が閉じた決済網のままだと価値は限定される。DART の RWA/tokenization 方向と PaxPay の private rail をつなぐには、契約が必要とする最小情報だけを出す証明が必要。

研究課題: 「支払い完了」「資金のクリーン性」「受取資格」「担保充足」を個別に証明できる modular proof interface を設計する。

論文化しやすい研究テーマ

テーマ ベース論文 主張できる貢献 評価軸
Private CryptoConcurrency CryptoConcurrency + Zef/PaxPay shared account を持つ consensus-free private payment rail latency, conflict leakage, proof size, shared account throughput
Bounded Oversight PaxPay PaxPay + PEReDi + AuditPay full tracing なしで規制当局が必要な statement だけ検証 監査権限の上限、法的トリガー、ユーザ匿名性、regulator abuse resistance
Holding-Limit Compliance Coin PaxPay + PRCash/PEReDi async private payment で保有上限を強制 double counting 防止、epoch design、mobile prover cost、false rejection
Private Rail Adapter for DeFi PaxPay + DART + Privacy Pools private payment rail と DEX/lending/RWA contract の接続 composability, gas/proof cost, information leakage, contract expressiveness
Offline-to-Online Reconciliation PayOff + secure-element CBDC + PaxPay offline 支払いをオンライン regulated rail に戻す private reconciliation double-spend detection, revocation lag, privacy after reconnect, hardware trust

次に掘るべき問い

  1. PaxPay の compliance coin は DART の multi-asset world に一般化できるか
  2. shared account を持つ consensus-free rail に provable compliance をどう組み込むか
  3. full tracing の代わりに、bounded, judge-gated, statement-specific opening をどう formalize するか
  4. regulated-private payment を RWA / institution / retail で分けるべきか、統一モデルでいけるか

これから進むべき研究方向

この分野はもう「匿名送金を作れるか」を問う段階ではない。次の本丸は、制度・rail・配備 を同時に満たす privacy payment をどう作るかである。ここでは、今後の研究を 3 本の柱に分ける。

Privacy Payments Research Agenda 1. Regulated-Private Payment holding limit / bounded opening / portable compliance credential / cross-jurisdiction policy PRCash / PEReDi / PARScoin / DART / PaxPay 2. Consensus-Free Rail × Privacy shared account privacy / permissionless private rail / private conflict resolution Astro / FastPay / CryptoConcurrency / Zef / PaxPay 3. Offline Payment / Offline CBDC double-spending under disconnection / hardware trust / offline compliance / recovery & re-synchronization PayOff / Tourbillon / Hamilton / secure-element CBDC 制度 ↔ rail rail ↔ 配備

方向1. Regulated-Private Payment

何が未解決か

  • holding limit: spend limit ではなく、privacy を壊さず保有上限を強制できるか
  • bounded opening: full tracing と no tracing の中間解を formalize できるか
  • portable compliance credential: KYC 済み、非制裁対象、上限内であることを reusable credential として持ち運べるか
  • cross-jurisdiction compliance: US/EU/JP/SG のポリシー差分を protocol にどう入れるか

需要

  • CBDC と公的デジタルマネー
  • regulated stablecoin と tokenized deposit
  • RWA settlement / institutional DeFi
  • 「完全匿名」でも「完全公開」でもない中間設計
核心: これは「規制を避ける privacy」ではなく、「規制を維持したまま実装される privacy」を作る研究。

具体的な研究問い

方向2. Consensus-Free Rail × Privacy

何が未解決か

  • shared account + privacy: CryptoConcurrency の世界に Zef/PaxPay 級 privacy を載せられるか
  • permissionless private rail: Pastro 以降の open environment で privacy と compliance を共存できるか
  • private conflict resolution: conflict が起きたこと自体を leakage にしない設計は可能か
  • composability: private rail と smart contract execution をどうつなぐか

需要

  • 高速小口決済
  • low-latency institutional transfer
  • cross-border settlement
  • exchange / treasury transfer
核心: ブロックチェーン一般論ではなく、payment-specific distributed object として送金を再定義する流れ。

具体的な研究問い

方向3. Offline Payment / Offline CBDC

何が未解決か

  • double-spending under disconnection: グローバル照合なしで二重支払いをどう抑止するか
  • privacy vs hardware trust: secure element 依存をどこまで許すか
  • offline compliance: spending limit / sanctions / revocation を offline でどう enforce するか
  • recovery / coercion / fault: 紛失・故障・強要・災害にどう耐えるか
  • re-synchronization semantics: 再接続時の authoritative source と rollback をどう扱うか

需要

  • 災害・停電・低接続環境
  • retail cash replacement
  • humanitarian payment
  • 実際の CBDC rollout
核心: offline は単なる「ネットがない時の payment」ではなく、現金代替として成立するかを問う領域。

具体的な研究問い

3方向の交差点

この3方向は別々ではない。理想の次世代テーマは、regulated + low-latency + offline-capable な private payment である。

1制度と規制
+
2rail と性能
+
3配備と接続性
=
本命テーマ deployable privacy payment

今のところ PaxPay は 1 + 2 に強く、offline CBDC 群は 1 + 3 に強い。1 + 2 + 3 を一度に高水準で取る論文はまだ弱い。