在CBDC离线支付的实际应用中，不仅是上一节中介绍的安装系统中的技术问题，而且还有CBDC的设计和操作问题，例如确保安全性和保护隐私的保障措施。诸如处理AML / CFT之类的合规性问题也很重要。这些对于在线和离线支付都是重要的问题，但是在离线环境中更难处理，因此有必要仔细考虑它们。

　　（保障安全）

　　强化安全性在确保CBDC的伪造和排除各种不正当行为方面是不可或缺的。如果CBDC的发展和利益扩大，攻击者有可能使不正当行为更加巧妙、规模化。另外，对中央银行来说，非法发行带来的信赖丧失也是一大风险。对于离线交易的安全性，虽然通过利用了安全元件和加密技术的认证来确保特定的安全性，但是根据离线交易固有的情况，应对多变的非法的行为和加密技术的安全性降低的风险变得重要。由于威胁可以经常变化，所以很难预先设想风险的类型，但下面着眼于离线交易固有的结构，来组织有关安装有安全元件的IC芯片和加密技术的风险。

　　IC芯片中的安全元件具有防止直接物理攻击或间接攻击，通过观察和分析IC芯片的功耗和辐射电磁波来窃取密钥（例如，侧通道攻击、容错攻击）。但是，对IC芯片的攻击不断变得更加复杂，并且不可能持续响应[23]。如果任何安全元件被破坏并且攻击者可以窃取私钥或非法记录CBDC，则存在在离线支付的情况下伪造CBDC的风险。如果私钥存储在未授权设备的安全元件中，并且记录了未实际发行的伪造CBDC，则交易对手方将错误地将其识别为合法并接受伪造CBDC。这些操作可以重复多次，直到操作员采取行动为止，这可能会造成严重的损坏[24]。

　　对策之一是定期更换终端以确保安全。如果可以在线连接，则在技术上可以通过更新与安全相关的软件来增强它；另一方面，如果终端不具有在线功能，则不能采取这种措施。因此，可以在更换终端时提供具有高度安全性的新型号。因此，需要不断努力来提高安全性。另外，对于被认为更换频率较低的诸如智能电话之类的卡，确定有效日期如信用卡/借记卡并要求定期更换被认为是有效的。另外，如果终端感染了诸如恶意软件之类的恶意程序，则CBDC可能被非法发送，因此认为除了安全元件之外，还需要具有软件管理器[25]。

　　还必须注意密码技术的安全性降低的风险。尽管通常认为，实际上不可能通过当前广泛使用的方法来窃取存储在安全元件中的私钥。但随着攻击者计算能力的提升降低了加密的安全性。密码术中使用的私钥和密码算法（加密算法）通常合并在安全元件中，而不允许进行任何后续修改，从而可以连续确保安全性。在某些情况下，可能有必要定期更换硬件[26]。此外，如果将诸如超级计算机之类的具有极高处理能力的技术投入实际使用，可能会损害许多加密技术的安全性[27]。由于该行业正在继续开发防止数字计算机欺诈的技术，因此，基于最新知识实施密码算法被认为很重要。

　　在离线环境中，管理员很难持续掌握威胁，即使发现漏洞，也很难采取有效措施，例如暂停支付服务。为了准备这种情况，如上所述，可以通过确保终端的安全性并设置对终端的CBDC的存储量和使用量的上限来预先限制损坏程度。这将是一种选择。可替代地，如果离线支付继续并且累积使用量达到一定水平，则可以暂时中止设备的使用。但是，由于引入了这些限制，如果阻碍了难以在线访问的站点（例如在发生灾难时）的灵活使用，则离线P2P支付的健壮性将受到损害，安全性和如何确保便利性的平衡很重要。

　　（确保隐私并支持AML / CFT）

　　CBDC如何以及在何种程度上确保付款的匿名性和隐私性是一个重要的问题。一般来说，与基于账户的CBDC相比，基于代币的CBDC通过利用加密技术更容易确保用于避免用户指定的匿名性。但是，即使在基于账户的情况下，通过设计CBDC，使用与账户的真实名称不同的化名，也可以避免账户与个人信息之间的关联，从而确保匿名性[28]。

　　另外，在数字交易中，在考虑隐私和匿名性的同时，兼顾对AML/CFT的应对也是很重要的[29]。本银行正从技术角度对网上支付中的匿名性和(不可支持AML/CFT )交易数据的可跟踪性进行调查研究[30]。关于离线交易，CBDC的总账管理者(和公共当局)难以掌握交易信息，所以对AML/CFT的应对的门槛也变高。即，关于离线交易信息，除非交易当事人的任意一个终端被在线连接，否则帐本管理者或公共当局不能把握。即使是可以在线连接的终端，如果用户之间为了隐匿交易信息而持续避免在线连接，则当局永远也无法掌握交易信息。并且，在像银行卡那样限定了功能的终端的情况下，有可能难以搭载在线功能，在这种情况下，被认为很难掌握当局的交易信息。这样，只要是用户能够避免终端的在线连接的设计，只要用户彼此具有秘密意思，就能够对当局确保隐私，但是对于当局来说，难以应对AML/CFT。

　　如何应对AML/CFT和隐私问题，不是中央银行直接管辖的领域，包括政府当局交易以外的观点在内，有必要从各种观点进行多方面的研究[31]。假设在不能完全容许掌握交易信息的状态的情况下，只能禁止使用离线交易。如果采用允许离线交易的同时抑制非法交易的风险的方法，则每次向总账连接在线时，都需要通过求出过去的交易历史的总账记录，能够检测异常的反复交易等。另外，与安全性的对应同样，在离线交易中设置利用限制也成为一个选择项。例如，为了对本地型的价值保存额设置上限，防止因小额的反复交易而引起的变化，可以选择限制每个的价值保存次数和累计利额。在银行卡等离线专用终端的情况下，可以考虑对这次可购买的个数设置上限的方法。但是，这些应对是不正当抑制如果将离线交易限定于交易，则也有损害灾害时等的便利性和便利性的情况，因此确保两者的平衡变得重要。

　　6.结论

　　在本文中，我们将讨论有关CBDC提供“每个人都可以随时随地安全地使用付款”当前特征的技术问题，即普遍访问和弹性。通用访问要求开发可以被各种用户使用的终端。期望确保能够抵抗破坏的离线P2P支付功能。关于弹性，期望确保能够抵抗通信和电力中断的离线P2P支付功能。对于使用通用接入终端的CBDC离线P2P支付，在确保安全性的同时仍需要解决许多问题，并且认为有必要进行进一步的研究和技术开发。此外，在发行CBDC时，还需要彻底检查当前付款的其他功能，例如匿名性和隐私性。对于中央银行而言，重要的是要加深与相关公共当局的讨论，以消除这些合规性问题，同时要考虑到反洗钱/打击资助恐怖主义的观点。关于安全和合规性问题，我们不仅必须从技术角度考虑解决方案，而且还必须从CBDC运作的制度角度（例如交易限制）考虑解决方案。

　　围绕CBDC，还有许多主体应该考虑，不仅是本文讨论的支付方式的视点还包括其发行对金融体系和金融政策的影响。有必要准确地理解社会对中央银行货币的需求，并从各种角度加深对适合于数字社会的中央银行货币理想形式的讨论。日本银行将通过演示性实验等方式确认技术上的可行性，并将与海外中央银行以及相关的内部和外部组织合作，对CBDC进行讨论。