要約

  • 記事の内容:APNIC は、アジア太平洋地域のレジストリガバナンスと制度経済学の問題として、制裁とコンプライアンス圧力の観点から検証される。
  • 主なテーマ:ネットワークリソースの証拠; レジストリガバナンス; 制度の正当性; 制裁とコンプライアンスの圧力
  • 文脈:ガバナンス / リサーチ / アジア太平洋

国境検問所ではないはずのレジストリ

地域インターネットレジストリは、制裁執行機関でも銀行でも税関でも警察でも外交政策の手段でもない。その本来の役割はより限定的である。すなわち、インターネット番号資源の保有者を登録し、公開登録データの一貫性を維持し、アドレス空間と自律システム番号の一意性を保証し、ポリシーに従って移転を処理し、他者が依拠する記録を最新に保つためにネットワークが必要とする管理ツールを提供する。その業務は技術的だが、単なる配管作業ではない。レジストリの台帳は、インターネットがプライベートネットワークを公共システム内で読み取り可能なエンティティへと変換する場の一つである。

だからこそ、制裁とコンプライアンスの圧力がレジストリレベルで経済的に重要になる。形式的なコンプライアンス上の問いは些細に見えるかもしれない: この組織は、制裁審査が未解決のまま、請求書を支払い、連絡先を更新し、移転を受け、ポータルを利用し、経路起点認証を変更し、あるいは会員資格を更新できるのか、というものである。しかし、実際の影響は甚大になりうる。レジストリ登録はルーターではないが、アップストリームプロバイダー、顧客、ブローカー、セキュリティチーム、メールオペレーター、不正利用対策サービス、保険会社、監査人、他のレジストリによって利用される証拠である。登録が陳腐化し、異議が唱えられ、ロックされ、あるいは疑念が付着すると、ネットワークは依然としてパケットを流通させるが、市場での地位の一部を失う。

APNIC はまさにこの緊張にさらされている。そのサービス地域には、大規模な金融センター、巨大なインターネット市場、島嶼経済、脆弱な銀行間回廊、複数の国内インターネットレジストリの取り決め、国家の強い安全保障上の関心、企業登録の質の大きなばらつき、そして多国籍事業者のコンプライアンス部門とは似ても似つかない多数の事業者が含まれている。APNIC はオーストラリアで設立されており、オーストラリア法を遵守しなければならない。しかしその会員は、米国の金融インフラ、コルレス銀行、カードネットワーク、クラウドプロバイダー、制裁フィルタリングデータベース、輸出規制上の懸念、さらにはオーストラリアではない政府の政策期待によっても影響を受ける可能性がある。その結果、単一の明確な主権境界線のない、濃密なコンプライアンス環境が形成されている。

危険なのは、APNIC が制裁を無視すべきだということではない。それはできない。オーストラリアの制裁法は現実であり、詐欺、不正流用、偽装移転、改ざんされた法人文書、幽霊エンティティを通じた回避もまた現実である。危険なのは、合法的かつ必要なコンプライアンス機能が金融リスク回避の慣行を吸収し、それを、問題の手数料取引をはるかに超えて連続性が重要となる技術台帳に適用してしまうことだ。あるレジストリは、ある取引が禁止されているかどうかを問うことから始め、最終的には、インターネットポリシーとして一度も議論されたことのない私的リスク選好にネットワークの継続性を条件づけるようになりかねない。

こうした問題にまずく対応するレジストリは、新しい政策上の役割を発表する必要はない。日常的な管理業務を通じてチョークポイントとなりうる。請求書が支払われないのは、銀行がコルレスパスを拒否するからだ。移転が遅れるのは、受益所有者の氏名が一般的な名前だからだ。アカウントが停止されるのは、現地登録機関の文書が外国のコンプライアンスチェックリストを満たさないからだ。逆引き DNS の更新がブロックされるのは、関係のない理由でアカウントが審査中だからだ。RPKI の変更が待たされるのは、システムがすべてのアカウント制限を同等に扱うからだ。誰もネットワークを没収しない。ただ、運用がより困難になり、遅くなり、信頼性が低下するだけである。

したがって、APNIC における制裁圧力の経済学は、狭隘さの経済学である。コンプライアンスは、具体的で、法的に根拠があり、文書化され、異議申し立てが可能で、問題の取引に比例している場合に正当化される。それが、広範で、不透明で、定義されておらず、精査なしに銀行やベンダーから引き継がれ、支払いを超えて、第三者と公共のルーティングシステムに役立つレジストリの維持機能にまで溢れ出ることを許された場合に危険となる。この区別は、生ぬるいプロセス用語ではない。それは、受託者としてのレジストリと私的国境検問所としてのレジストリとの境界線である。

同一台帳上の二つの論理

レジストリの論理と制裁の論理は異なる問いを立てる。レジストリの論理は、誰が資源の正当な保有者か、どのようなポリシー条件が適用されるか、どの記録が正確でなければならないか、そしてどのような変更が一意性と安定性を保つかを問う。制裁の論理は、誰が相手方を所有または支配しているか、指定された人物が利益を得るか、資産やサービスが利用可能にされるか、支払いや移転が禁止されているか、そして後日規制当局や銀行がその決定を批判する可能性があるかどうかを問う。どちらの論理も正当でありうる。難しいのは、それらが同じアカウント上で出会うことだ。

APNIC の公開文書は、どれだけ多くのサービスがそのアカウントに結びついているかを示す有用な事実資料である。会員資格、申請、移転、請求、支払い遅延に関するページは、同じアカウントを、ポータブルアドレス空間、MyAPNIC アクセス、逆引き DNS、RPKI、法人文書、ネットワーク計画、移転証明、オーストラリアドルでの支払い、停止、閉鎖、長期未払い後の資源権利喪失の可能性へと結びつけている。

こうしたことのすべてが APNIC を銀行や国家にしているわけではない。むしろ、管理上の地位がいかに運用上の地位に触れうるかを示している。会員アカウントは、アイデンティティ、支払い、技術的維持管理、資源ポリシー、セキュリティ証明、連絡先データ、逆引き DNS、移転、更新が合流する場所である。アカウントが正常であれば、サービスは別個のものに見える。アカウントがコンプライアンス圧力にさらされると、それらの分離がガバナンスの問題となる。

制裁の論理は調子が異なる。オーストラリアの公開文書は、DFAT のオーストラリア制裁局を規制当局として、統合リストを制裁対象の個人、エンティティ、船舶のリストとして、そして個別金融制裁を、指定された人物に資産を利用可能にすることや、彼らが所有・支配する資産を取り扱うことの禁止を含みうる管理として特定している。OFAC の文書は外国への波及効果を見える化する。すなわち、米国の制裁は資産を凍結し、米国関連取引を制限し、所有権ルールを適用し、ライセンスや免除に依拠しうる。米国のリストが自動的にオーストラリア法になるわけではないが、銀行、ベンダー、決済代行業者、クラウドプロバイダー、取引相手はしばしばそれらをグローバルなフィルタリングシステムに組み込む。

経済問題は、これら二つの論理が混同されるときに生じる。制裁リストは法的制限と国家政策のために設計されている。レジストリアカウントは正確性、一意性、継続性のために設計されている。制裁関連の懸念事項がすべてアカウント全体を劣化させる理由として扱われるならば、レジストリの論理は可能な限り保守的なコンプライアンス解釈に従属する。支払いの問題がすべて滞納として扱われるならば、銀行システムは精査されないゲートキーパーとなる。受益所有権に関する問い合わせがすべて危険の証拠として扱われるならば、小規模で馴染みのない組織は、大規模でおなじみの組織にはない推定に直面する。

より良いシステムは、二つの論理が同一であるふりをせず、それらの共存を受け入れる。それは、取引ごとに、どの法的義務が適用され、どの運用機能が影響を受け、誰がリスクを負い、そして合法的でありつつもレジストリの公共機能を損なわない最も混乱の少ない行動は何かを問う。新規割り振り、IPv4 移転、払い戻し、会員更新、逆引き DNS 修正、不正利用連絡先の更新、RPKI 変更、企業支配権の変動、支払い再試行は、同一のイベントではない。それらを単一のアカウントステータス問題として扱うことは、管理上は魅力的だが、経済的には粗雑である。

ここで重要なのは、制度設計であり、レトリックではない。どのレジストリも、自らが中立的で、コミュニティ主導で、技術的だと言うことができる。こうした主張は、レジストリがコンプライアンス圧力による台帳の植民地化を防ぐシステムを構築しているかどうかに比べれば、重要性が低い。真の試金石は、難しい案件がないときに APNIC が自らの役割について何を言うかではない。それは、合法的なサービス要求が、良く認識されていない法域、音訳された名称、制裁対象国の銀行、現地の法人文書、神経質な仲介者、そして期限を伴うときに、その手続きが何を行うかである。

法的下限と過剰コンプライアンスの上限

制裁コンプライアンスには、下限と上限がある。下限は法律である。APNIC は、禁止された取引を処理してはならず、禁止されているところで資産を利用可能にしてはならず、資産凍結義務を無視してはならず、偽造文書を受け入れてはならず、回避を容易にしてはならず、確認された制裁一致を広報問題として扱ってはならない。オーストラリアで設立されたレジストリは、オーストラリアの制裁を真剣に受け止めなければならない。関連するオーストラリアの枠組みを理解し、フィルタリングを義務付けられた当事者をスクリーニングし、一致が現実のものとなりうる場合には法的助言を求め、なぜ行動したかを示す記録を保持しなければならない。

上限は過剰コンプライアンスである。これは厳密な法律用語ではなく、むしろ制度的行動である。それは、組織が法律で求められる以上のことを行う場合に現れる。なぜなら、拒否の方が分析よりも容易であり、銀行やベンダーがリスク指標の説明を拒み、スタッフが風評上の批判を恐れ、外国のリストが国内法であるかのように扱われ、あるいは「イエス」と言うコストは組織が負う一方で、「ノー」と言うコストは会員が負うからである。過剰コンプライアンスは官僚制の内部では合理的である。しかし、その官僚制が奉仕するシステムにとっては、しばしば非効率的である。

この区別は APNIC にとって中心的である。なぜなら、レジストリ層は通常の商業市場ではないからだ。顧客を拒否するソフトウェアベンダーは、一般的に代替可能である。取引をブロックするカード処理業者は、手間と、おそらく損失を生み出す。地域レジストリによる不利な措置は、希少なアドレス資産、移転、セキュリティ証明連鎖、逆引き DNS、公開登録データ、そしてネットワーク経済の他者に対して正当性を示す能力に影響を及ぼしうる。慎重な拒否の限界費用は、単なるサービス収入の喪失ではない。それは事業者、顧客、ブローカー、ピア、利害関係者へと跳ね返っていく。

偽陽性はこの点を具体的にする。フィルタリングは、氏名、別名、生年月日、住所、所有権データ、企業識別子、音訳、そして時には質の低い基盤となるレジストリに依存する。アジア太平洋地域には、ありふれた姓、複数の文字体系、家族経営企業、国家関連だが国家支配ではないエンティティ、そして西欧式の所有権透明性を要求に応じて提供しない登記所が溢れている。あいまいな一致は不正行為ではない。それは慎重な審査の根拠である。それを晴らすためのコストが高ければ、偽陽性自体がペナルティとなる。

所有権と支配についても同様である。レジストリは、詐欺を防止し、禁止された取引を回避するために、アカウント保有者について十分に知らなければならない。しかし「顧客確認」の論理は漂流しうる。金融機関はしばしば、所有権組織図、取締役、住所、納税者番号、パスポート、資金源文書、事業目的の説明を要求する。これらの一部は、高リスクの移転や新規会員の申請では適切かもしれない。しかし、不正利用連絡先の訂正や逆引き DNS の更新を試みる既存会員にとっては、多くが過剰である。経済的負担は、単なる文書要求ではない。それは翻訳費用、公証費用、時間的コスト、不確実性のコスト、そして非標準的な文書が、より大きな経済圏の文書に似ていないという理由で不十分と扱われるリスクである。

政策上の教訓は、APNIC が低いコンプライアンス基準を設定すべきだということではない。基準は、行為に結びつけられるべきだということだ。希少資源の新規割り振りは、連絡先の訂正よりも多くの精査を正当化しうる。価値ある IPv4 空間の支配権を変える移転は、既にアナウンスされているルーティングを反映する RPKI 更新よりも多くの精査を正当化しうる。潜在的に指定されたエンティティとの間の支払いは法的注意を必要とする。銀行による不可解な拒否は、自動的に会員の不正行為認定を生み出すべきではない。法的下限は尊重されなければならない。過剰コンプライアンスの上限は抵抗されなければならない。

隠れた制裁手段としての決済レール

最も効果的なチョークポイントは、しばしば最も退屈なものである。会員は、正常な状態を保つために支払わなければならない。APNIC の公開支払情報は通常の経路を特定している。カード、銀行振込、法人小切手または銀行手形、オーストラリアドルでの決済、そして送金に添付されなければならない請求書の詳細である。支払い遅延に関する文書は、期限経過後の督促、未払い後の停止、ポータルアクセスの喪失、終了、そして最終的な資源権利への影響を記述している。こうした手続きには明白な目的がある。会員制レジストリは、未払いアカウントで無期限に運営することはできない。しかし制裁圧力の下では、支払いは単なる支払いではない。それはコンプライアンスフィルターである。

銀行は、送信者、受信者、国、住所、受益所有者、仲介者、メッセージ欄、請求書記述、コルレス経路、履歴パターンをフィルタリングする。支払いが失敗するのは、支払人が本当に禁止されているからかもしれない。また、コルレス銀行が法域を好まないから、制裁関連語が住所に含まれるから、一般的な名前が指定人物に似ているから、送金欄が不完全だから、現地銀行がコンプライアンス能力を欠くから、カードネットワークが広範な国別ルールを持つから、あるいはベンダースコアが静かに閾値を超えたからかもしれない。レジストリは未払い請求書を見る。会員は、法的曖昧さを運用上の危険に変えた支払システムを見る。

これが重要なのは、支払い失敗が交渉力を変えるからだ。大規模事業者は、弁護士の意見を求め、別の銀行を利用し、子会社を通じて支払いを回し、財務部門を通じてエスカレーションし、あるいは現状維持を交渉できる。小規模なアクセスネットワーク、地元ホスティング事業者、大学ネットワーク、地域コンテンツプロバイダー、あるいは脆弱な銀行回廊の事業者は、単一の銀行しか持たず、交渉力もほとんどないかもしれない。彼らは現地語の登記所から文書をかき集め、馴染みのない用語で所有構造を説明し、外国の機関に自らの事業が制裁回避リスクではないと納得させなければならないかもしれない。請求書の時計は時を刻み続ける。

経済的非対称は明らかである。同じ支払い遅延ルールが、多数の支払いオプションを持つ会員には小さな管理コストを課し、唯一の脆弱なオプションしか持たない会員には存亡の危機的コストを課す。ルールが形式的に平等だと言うだけでは不十分である。平等なルールは、支払いインフラが不平等な場合に、不平等な排除を生み出しうる。

規律あるレジストリは、制裁や銀行摩擦がもっともらしい場合には、支払い拒否と支払い不能を分離すべきである。これは無期限の滞納を許容することを意味しない。文書化されたプロトコルを構築することを意味する。会員が閉鎖前に APNIC に通知し、期限通りの支払い試行を示し、銀行による拒否または遅延の証拠を提供し、かつ禁止当事者と確認されていない場合、APNIC は、支払い問題が解決される間、必要不可欠な維持管理を保全する現状維持経路を持つべきである。新たな利益や価値を変動させる取引は停止されうる。公開データの正確性、不正利用連絡先の訂正、セキュリティを保全する更新は、銀行の不可解な慎重さゆえに自動的に失われるべきではない。

代替支払い経路は簡潔ではない。それらは合法的で、追跡可能で、弁護士に受け入れ可能でなければならない。しかし制度上の問いは投げかけられるべきだ。認可された仲介者を使えるか?銀行の明確化を求める間、支払い証拠を保持できるか?アカウントを、新規割り振りではなく維持管理のための制限付き正常状態に留められるか?遅延が明らかに銀行チャネル内にある場合、期間を延長できるか?APNIC は、支払い問題が制裁法、銀行ポリシー、会員の無応答、あるいは管理上の誤りに起因するものかを記録できるか?一つ一つの区別が、私的金融インフラが静かに誰がレジストリ上で運用上可視であり続けられるかを決めるリスクを低減する。

APNIC が決済レールを中立的な配管と扱うなら、制裁圧力が実際にどこで噛みつくかを過小評価するだろう。地域の多くでは、支払システムこそが、一般事業者が経験する制裁システムである。そのシステムに依存するレジストリは、その不格好さを回避するように設計するか、その排除を継承するかのいずれかである。

アカウントステータスと排除の構造

アカウントステータスは、裏方の帳簿付けのように見える。しかしそうではない。レジストリにおいて、ステータスは多くの権限が流れる基準である。会員ポータルアクセス、新規資源の申請、移転への参加、連絡先変更、逆引き DNS 管理、RPKI 管理、請求、そしてアカウントが問題案件ではなく通常のエンティティであるという可視的な信頼。制裁圧力がアカウントステータスを通じて入り込むとき、レジストリはパケットに一切触れることなく事業者を懲らしめることができる。

一部のアカウント管理は必要である。APNIC は、なりすまし、乗っ取られたアカウント、改ざんされた企業変更、不正な移転要求、放棄された資源、期限切れの連絡先、でっち上げの権限を防止しなければならない。割り振りが欺瞞によって得られた場合、企業が既に存在しない場合、変更を要求する人物に権限がない場合、あるいは移転が希少資産の支配権を洗浄するために利用されている場合、レジストリは行動しなければならない。台帳の価値は正確性にかかっている。

しかし、同じツールが広範に用いられると排除を生み出しうる。法人格を確認するための審査が、政治的な受け入れ可能性に関する一般的調査へと変わりうる。受益所有権の証明要求が、遠縁の制裁対象者が利益を得る可能性がないことを証明する終わりのない要求になりうる。疑わしい移転を防ぐための一時的ロックが、無関係な維持管理を止めてしまいうる。支払いのためのアカウント停止が、会員による登録をより正確にする情報の更新を妨げうる。一つの取引に対するコンプライアンスブロックが、システムが二者択一のステータスフィールドしか持たないために、すべてのサービスに感染しうる。

構造は見慣れたものだ。トリガーが現れる: 制裁リストの一致、銀行返戻、管轄フラグ、リスクのある相手方を伴う移転、名称変更、苦情、サイバー不正利用の申し立て、政府調査、ベンダーアラート。スタッフはさらなる情報を求める。会員が大規模で、応答性が高く、期待される言語に堪能で、期待される形式で文書を提出できるなら、審査は速やかに終了しうる。会員が小規模で、遠隔地にあり、人員不足で、ブリスベンから検証するのが困難な現地文書に依存しているなら、審査は遅延する。遅延はそれ自体がリスクの証拠となる。より多くの承認が必要とされる。会員は、懸念が法的なのか、管理的なのか、財務的なのか、政治的なのかを知ることができない。最終的には、無応答、支払い遅延、または不完全な書類が、不利な措置の独立した理由となる。

救済策は、詳細で可読な審査ステータスである。審査中の会員は、懸念のカテゴリ、一時的に制限されるサービス、引き続き利用可能なサービス、必要な文書、要求の法的または政策的根拠、見込まれるスケジュール、エスカレーション経路を知るべきである。問題が制裁一致の可能性であるなら、カテゴリレベルでそう伝える。問題が決済レールの失敗であるなら、支払い拒否とは区別する。問題が企業の代理権限であるなら、それを制裁とは呼ばない。問題が移転であるなら、デフォルトで日常的な維持管理を凍結しない。

これは単なる手続き上の細かさではない。これはインセンティブを変える。明確なステータスは、スタッフが便宜のために過剰にブロックすることを難しくする。それは会員が、無関係な文書を過剰に作成するのではなく、真の懸念に対応するのを助ける。それはブローカーや取引相手に、より良い情報を与える。それは後の審査のための記録を作成する。何よりも、それは「この禁止された行為を処理できない」と「このアカウントに不安を感じる」の区別を保全する。前者は法律でありうる。後者は、狭く正当化されない限り、ゲートキーピングである。

KYC 型文書と立証責任

コンプライアンスシステムは、しばしば不確実性を書類作業に変える。銀行業界では、これはおなじみである。顧客確認審査は、本人確認、企業の存在、受益所有権、資金源、事業目的、納税状況、権限の証明を求める。レジストリにおいて、その一部は不可避である。新規会員申請は、組織とそのネットワーク需要を特定しなければならない。移転は、ソースと宛先が実在し、権限を与えられていることを証明しなければならない。合併更新は、法的継続性を示さなければならない。名称変更は、乗っ取りであってはならない。信頼ベースで文書を受け入れるレジストリを支持する真剣な議論は存在しない。

問題は比例性である。レジストリのデューデリジェンスは銀行のデューデリジェンスではない。番号資源は銀行口座ではなく、レジストリのあらゆる行為が金融取引というわけではない。資源保有者は、不正利用の連絡先を更新し、メンテナーを訂正し、逆引き DNS を調整し、あるいは上流の変更に合わせて ROA を調整する必要があるかもしれない。アカウントが制裁関連の審査中である場合、レジストリは、アカウント全体が今やリスクがあるように見えるため、すべての行為に KYC 型の立証負担を適用したくなるかもしれない。これこそが、技術台帳が私的金融チェックポイントのように振る舞い始める地点である。

負担は不平等である。大規模事業者は、コンプライアンス記録、英語を話す弁護士、監査済み口座、登記所証明書、納税証明書、ライセンス、グループ組織図、銀行取引関係をすでに保持している。小規模ネットワークはそうではないかもしれない。コミュニティ ISP、大学ネットワーク、家族経営のデータセンター、あるいは制裁隣接管轄区域の事業者は、現地では合法かつ通常だが、要求された形式で提出するのが困難な文書を求められるかもしれない。

追加文書の要求一つひとつに隠れた価格がある。翻訳、公証、認証、遅延、スタッフ時間、不確実性、そして文書が偽物ではなく単に馴染みがないという理由で審査者を満足させないリスクである。資源移転にとって、遅延は資産価格リスクも伴う。拡大中のネットワークにとって、遅延は機会費用である。嫌疑を受けた事業者にとって、遅延は風評コストである。RPKI や逆引き DNS を維持しようとしている会員にとって、遅延はセキュリティとサービス品質のコストである。

制裁リストの波及効果は負担を悪化させる。指定された名前は、別の企業の株主かもしれない。制裁対象者はありふれた姓を共有しているかもしれない。国有企業には多数の子会社があり、その一部のみが制限されているかもしれない。ある人物はあるプログラムの下で指定されているが、別のプログラムでは指定されていないかもしれない。外国のリストは銀行には関連するが、APNIC を直接拘束しないかもしれない。ベンダーは、法的に禁止された取引相手ではなく、国、セクター、住所をフラグするかもしれない。会員は、フィルタリングエンジンには曖昧にしやすい区別を証明するよう求められる。

規律ある対応は、証拠のスケールである。低リスクの維持管理は、アカウント乗っ取りを防ぎ、記録を正確に保つのに十分な認証を必要とすべきであり、完全な所有権調査ではない。新規割り振りと移転は、スケールのより高い位置にありうる。合併、高価値 IPv4 移転、アカウント支配権の変更、払い戻し、あるいは確認された指定当事者が関与する取引は、さらに高い位置にありうる。要求される証拠は、存在、権限、所有、支配、制裁一致、支払い源、資源需要といった問題に結びつけられるべきである。会員は、自分がどの問題を解決しているのか推測することを強いられるべきではない。

APNIC はまた、銀行がしばしば欠く地域的資産を持っている。コミュニティの知識である。アジア太平洋のインターネットコミュニティには、現地の企業登録、命名規則、文字体系、公共セクター構造、NIR の慣行を理解する事業者が含まれる。こうした専門知識は、法的基準を下げるために使われるべきではない。偽の疑いを回避するために使われるべきである。APNIC が地域の証拠を読み解くのが上手くなればなるほど、小規模事業者をエキゾチックに見せる汎用的なグローバルリスクツールへの依存は少なくなる。

偽陽性は管理上のノイズではない

偽陽性は通常、コンプライアンス業務を行う上でのコストとして扱われる。通常のリテール決済では、それは許容可能かもしれない。レジストリにおいては、誤りの代償を払う者がしばしばその原因を作った者ではなく、容易にプロバイダーを変更できないため、偽陽性はより重大である。誤った一致は、移転を遅らせ、支払いを止め、ポータルアクセスを制限し、あるいは後の審査で会員に付きまとう記録を作りうる。

アジア太平洋地域は偽陽性の肥沃な土壌である。名前は複数の文字体系で表示されうる。ローマ字化は、パスポート、企業登記、銀行取引明細書、請求書の間で異なりうる。姓は大きな人口で一般的でありうる。企業名には、フィルタリングベンダーが示唆的と扱う「国家」「ナショナル」「テレコム」「ネットワーク」「テクノロジー」「貿易」「開発」といった用語が含まれうる。住所は、エンティティが指定されていることを意味せずに、制裁上の関心が向けられている地域を含みうる。所有権は、省庁、ソブリンファンド、公立大学、軍事関連調達履歴、あるいは自動的な結論ではなく分析を必要とする形で政治的人物を巻き込みうる。

リストの波及効果もある。DFAT 統合リストはオーストラリアの法的文書である。OFAC リストは、グローバルな銀行的影響を持つ米国の法的文書である。国連リストは独自の履行経路を持つ。輸出規制リストはさらに異なる。ベンダーの監視リストは、法律、メディア、政治的に高位の人物、ネガティブニュース、独自格付けを混ぜ合わせうる。レジストリは認識のために複数のデータソースを使用しうるが、それらの法的意味を曖昧にしてはならない。

偽陽性のコストは累積的である。審査をクリアした会員が、後に同じベンダーの一致が支払いに現れたときに再び停止されるかもしれない。移転先は、待つよりも去ってしまうかもしれない。ブローカーは資源を格下げするかもしれない。スタッフは、ファイルが臭気を帯びたために、通常の行為を承認するのを嫌がるようになるかもしれない。時間とともに、レジストリ記録は、事実誤認が訂正された後でさえも疑惑を内包しうる。

だからこそ、偽陽性の解消システムはオプションの追加費用ではない。APNIC は、解消された一致を、プライバシーとデータ最小化規則に従いつつ、繰り返しの摩擦を防ぐ方法で記録すべきである。アラートのソース、比較された識別子、クリアの理由、再スクリーニングを必要とする条件を追跡すべきである。特定の文字体系、管轄区域、銀行、ベンダー、命名パターンが不均衡なエラーを生み出していないか監視すべきである。レビュアーを訓練し、厳密な法的照合とあいまいなリスクアラートを区別させるべきである。会員に対し、少なくともカテゴリのレベルで、どの証拠が問題をクリアしたかを伝え、将来の審査がゼロからやり直しにならないようにすべきである。

偽陽性はまた、時間に対する異なる態度を要求する。APNIC が一致未解決の間に制限を課す場合、その制限は狭く、時間制限があるべきである。レジストリは、不確実性を罰に変えることなく、審査中に自らを保護できる。会員が強力な証拠を提供し、残る遅延が内部的なものである場合、会員は無期限のサービス凍結を被るべきではない。法的助言を待っているのであれば、一般的な言葉でそう伝える。政府当局に相談しなければならないのであれば、理由を記録する。懸念が実際には法律ではなく決済プロバイダーであるなら、カテゴリを挙げる。

組織はしばしば、こうした具体性が説明責任を生むため嫌がる。だからこそ、それは必要なのである。レジストリの比較優位は、正確性である。すなわち、一意な資源、正確な記録、明確な管理者、追跡可能な変更。制裁審査も同じ基準に拘束されるべきである。あいまいな一致は認定ではない。リスクスコアはポリシーではない。効率的に解消できない偽陽性は、地域の最も標準化されていないネットワークに対する隠れた課税である。

国内インターネットレジストリと地域的非対称性

APNIC は、すべての事業者と同一の方法で対話するわけではない。地域の一部では、国内インターネットレジストリ(NIR)構造が、現地の関係、文書、料金、言語、会員サポートを仲介している。NIR は、現地の企業形態、現地のネットワーク慣行、現地の言語を理解することにより、摩擦を低減できる。また、制裁とコンプライアンスの圧力がシステムに入り込むときに、非対称性を生み出しうる。

NIR 環境の内部にいる事業者にとって、最初のコンプライアンスインターフェースは現地のものでありうる。これは役立つかもしれない。すなわち、現地レジストリは、APNIC スタッフが解釈するのにより多くの時間を要する文書、命名規則、政府とのつながり、支払い問題を認識できる。それは翻訳し、仲介し、偽陽性が地域問題になるのを防ぐことができる。また、不平等な結果を隠すこともありうる。ある経済圏の会員は、現地の支援と現地の支払い経路を受けられるかもしれない。他地域の類似の事業者は、英語で、国際決済レールを通じて、直接 APNIC に直面するかもしれない。形式的な政策は平等でありうる。実際的なコンプライアンス市場はそうではない。

第二の非対称性がある。すなわち、現地の法的圧力である。NIR は自らの法的・政治的環境の中で運営されている。現地の制裁ルール、国家安全保障上の要求、データローカライゼーションの期待、銀行規制、あるいは政府機関からの非公式な圧力に直面しうる。現地の圧力の一部は合法かつ正当でありうる。一部は APNIC の地域的義務やコミュニティ標準と明確に整合しないかもしれない。NIR の行動と APNIC の行動の境界が不透明であれば、会員は、制限が現地法、APNIC ポリシー、オーストラリアの制裁、銀行の失敗、あるいは裁量的な慎重さのいずれに由来するのかわからないかもしれない。

国境を越えた移転や企業変更は、非対称性をより可視化する。NIR 仲介の文脈から APNIC 直接会員へ、あるいは一つの経済圏から別の経済圏へ移動する資源は、文書基準、支払いタイムライン、言語負担、制裁フィルタリングの前提の違いに遭遇しうる。受け取る側は、現地レジストリの安心感がなぜ地域の承認に変換されないのか、あるいは地域のブロックがなぜ現地の法的認定を反映しないのか理解できないかもしれない。結果は、移転市場で価格付けされる不確実性である。

APNIC はすべての非対称性を排除できない。直接案件と NIR 仲介案件の両方に適用される原則を公開することにより、それを低減できる。原則は、制限の法的ソース、意思決定者、利用可能な救済経路、影響を受けるサービス、保持される記録を区別すべきである。NIR が本人確認と文書検証を支援する場合、APNIC は、それらの証拠がどのように重み付けられ、いつ APNIC が最終責任を保持するかを指定すべきである。現地法が措置を要求する場合、通知が合法であれば、会員はカテゴリを知るべきである。APNIC が地域的制限を課す場合、NIR がブラックボックスになってはならない。

集計報告はまた、少なくとも大まかに、直接案件と NIR 仲介案件のコンプライアンス事例を分離すべきである。特定の経済圏を辱めるためではなく、負担がどこで異なるかを特定するためである。NIR チャネルにおいて、現地の専門知識が機能しているために偽陽性がより低いなら、APNIC はそこから学ぶことができる。責任が不明確であるために遅延がより長いなら、APNIC はそれを修正できる。支払い摩擦が NIR の取り決めの外に集中しているなら、地域的な支払いプロトコルはより緊急になる。

NIR の非対称性は副次的な問題ではない。それは制裁圧力が地域の制度的多様性と出会う場所である。地域に奉仕するレジストリは、コンプライアンスが馴染みのあるチャネルに適合する会員には軽く、そうでない会員には重い世界を回避しなければならない。

移転、リース、不確実性の価格

制裁圧力は、アドレス空間が移動するときに、より可視的になる。IPv4 の希少性は、移転を経済的に重要なものにした。一つのブロックがネットワークのアップグレード、拡大、再構築、または撤退の資金となりうる。買い手は、成長、クラウド能力、顧客移行、または統合のために資源を必要とするかもしれない。APNIC の移転文書は、移転を法人間の移動として扱い、裏付け情報を要求し、条件と手数料を適用し、完了後に Whois データベースを更新する。この管理行為は市場価値を帯びる。

移転は、コンプライアンスの自然なトリガーである。それらは法人格、権限、支払い、資産価値、潜在的な国境を越えた取引相手、受益所有権、そして制裁対象者が売却や取得から利益を得る可能性のリスクを含む。移転を審査するレジストリは、その仕事をしている。問題は、その審査が的を絞ったものか、それとも麻痺させるものかである。

移転の広範なブロックは、それ自体問題のない当事者に害を及ぼしうる。買い手はクリーンだが、売り手の所有権連鎖が審査中であるために時間を失うかもしれない。売り手はクリーンだが、買い手の管轄区域の銀行遅延に直面するかもしれない。合併は実在するが、APNIC が期待する形式で文書化することが難しいかもしれない。歴史的資源を含む移転は、制裁フィルタリングベンダーが無関係なアラートを発する間、管理者の検証を必要とするかもしれない。資源は破壊されない。それは罠にかけられる。希少な IPv4 の市場では、遅延は価格を持つ。

不確実性はまた交渉を変える。買い手はコンプライアンスリスクに対するディスカウントを要求するかもしれない。ブローカーは特定の管轄区域を避けるかもしれない。支払いやステータスの圧力下にある売り手は、より不利な条件を受け入れるかもしれない。買い手は、実際にネットワークを運用するエンティティではなく、より知られた子会社を使うかもしれず、さらなる複雑性を生む。一部の当事者は、レジストリに認識された移転が遅いか不確実であるため、リースや非公式な取り決めに転じるかもしれない。これは公開登録をより不正確にし、コンプライアンスが望むべきものの反対である。

リースは問題を先鋭化させる。制裁圧力が正式な移転を困難にするなら、アクターは、法的登録をある場所に留めつつ、運用上の利用が他の場所に移動する取り決めを好むかもしれない。これは事業継続性を保全しうるが、説明責任を弱め、不正利用処理を複雑化し、誰が利益を得ているかを知るのをより難しくするかもしれない。

対応は、移転を軽々しく承認することではない。移転リスクを分類することである。その取引は資源の支配権を変更するか?指定された、または指定の可能性がある当事者への支払いを生み出すか?買い手は、直接の法的禁止、銀行の外国リスト問題、または単なるベンダーのリスク指標の対象か?売り手は、移転以外では正常な状態か?ブロックに依存する下流の顧客がいるか?関連する経路オブジェクト、ドメイン、RPKI は、削除、更新、または保存されるべきか?問題が審査されている間、どのような狭い制限が必要か?

異議申し立ての可能性は、市場のエンティティが決着を必要とするため、ここで最も重要である。APNIC が移転を停止または拒否する場合、当事者は、その理由が資源ポリシー、受取人の適格性、未払い手数料、本人確認、企業権限、制裁法、決済レールの失敗、訴訟上の請求、または詐欺の疑いのいずれであるかを知るべきである。何が問題を解決できるかを知るべきである。そのブロックが移転のみに影響するのか、無関係なサービスにも影響するのかを知るべきである。使用可能な説明のない拒否は、法的な不確実性を地域的な取引税に変える。

レジストリの移転市場は、権原への信頼と同じくらい、プロセスへの信頼に依存している。制裁圧力が移転結果を予測不能にするなら、市場は法的リスクだけでなく、レジストリの裁量をも価格付けするだろう。これは、特にアドレス資産が再販価値を持つ数少ないバランスシート項目の一つである小規模事業者にとって、すべての人にとってコスト高である。

RPKI、逆引き DNS、技術的波及効果

レジストリコンプライアンスにおける最も深い誤りは、管理行為が管理的なまま留まると想定することだ。RPKI と逆引き DNS は、それが誤りである理由を示している。

RPKI は、インターネット番号資源をその管理者に結びつけ、資源保有者が、どの自律システムが自らのプレフィックスに対する経路をアナウンスできるかについての暗号的な宣言を作成することを可能にする。これらは装飾的なサービスではない。経路起点検証の採用が増えるにつれて、古い ROA や欠落した ROA は、他のネットワークが行う到達可能性の決定に影響を及ぼしうる。適時な RPKI 変更から締め出された会員は、上流の変更、ネットワーク移行、合併統合、インシデント対応にクリーンに適応できないかもしれない。

逆引き DNS はより控えめだが、依然として重要である。それはメールのレピュテーション、ログ記録、不正利用処理、診断、顧客チェック、ホスティング運用、セキュリティツールに影響する。古い委任は、パケットが依然として流れている場合でもコストを課しうる。アカウントが広範に停止されているために逆引き DNS を訂正できない会員は、コンプライアンス問題とは無関係の運用上の損害を被るかもしれない。

Whois と RDAP のデータは第三のチャネルを加える。公開登録データは、トラブルシューティング、デューデリジェンス、不正利用連絡先、ルーティングの信頼、調整のために利用される。審査中の会員が連絡先の詳細を更新できないならば、公開登録はより不正確になる。レジストリのまさに目的が損なわれる。正確性を保全する維持管理を妨げるコンプライアンスブロックは、それが低減すると主張するリスクを増大させる。

これらの技術的波及効果は、サービスの狭い分類を要求する。新規割り振りと移転は、価値を変動させる便益として扱われうる。払い戻しとクレジットは金融取引を生み出しうる。アカウント支配権の変更は乗っ取りリスクを生み出しうる。しかし、不正利用連絡先の訂正、逆引き DNS の修正、あるいは不正経路リスクを低減する RPKI 更新は、便益というよりも維持管理に類するかもしれない。法的な対応は、特に確認された禁止が適用される場合には、依然として制限的でありうる。しかしレジストリは、デフォルトのアカウントロックアウトによってその対応に至るべきではない。

緊急維持管理の経路があるべきである。会員が審査中だが、上流移行後の無効化を防ぐために RPKI 更新が必要な場合、APNIC は、弁護士の審査を受け、記録されるメカニズムを持ち、その行動が合法でリスクを低減するかどうかを評価すべきである。サービス移行中に逆引き DNS が古くなっている場合、維持管理の要求は、両者が本当に関連しているのでない限り、無関係な移転審査の後ろで待つべきではない。連絡先データが誤っている場合、アカウント乗っ取りの試みの一部でない限り、訂正が優先されるべきである。正確性とセキュリティは、会員への恩恵だけではない。それらは公共財である。

これは、禁止当事者に新たな経済的便益を与えることを意味しない。レジストリサービスが異なることを認識することを意味する。既存の公開記録を維持することは、新たな資源を割り振ることと常に同じではない。セキュリティオブジェクトを訂正することは、販売を承認することと常に同じではない。これらを区別できないコンプライアンスシステムは、唯一の安全な行動が最も広範なものであるがゆえに、過剰ブロックしがちである。

設計は、法的であるとともに技術的であるべきである。アカウントシステムは、請求と維持管理、移転承認と連絡先更新、新規割り振りとセキュリティ変更、高リスクの所有権変更と低リスクの運用上の訂正を分離できる。スタッフは、要求された行動が価値を生むか、支配権を変えるか、正確性を保つか、リスクを低減するか、あるいは単に既存の読み取り可能な状態を維持するかを分類するよう訓練されうる。ログは、審査中に維持管理行動が許可された理由を記録できる。このような細分性は、二者択一の停止よりも難しい。しかし、それはまたレジストリの役割とより整合的である。

不正利用圧力は制裁コンプライアンスではない

制裁圧力はしばしば不正利用圧力と並行して移動するが、この二つは融合されるべきではない。ネットワーク不正利用の苦情は、スパム、フィッシング、マルウェア、ボットネット、コマンド&コントロールインフラ、児童安全上の懸念、詐欺、著作権主張、ハラスメント、または他の害を含みうる。制裁コンプライアンスは、指定人物、禁止された取引、資産凍結、所有権と支配、法的に定義された制限に関するものである。両者はしばしば同じネットワークに影響しうる。それらは異なる証拠と異なる手続きを要求する。

APNIC は長い間、基本的な点を説明しなければならなかった。Whois での APNIC への参照は、APNIC が不正トラフィックの発生源であることを意味しない。地域レジストリは、アドレス空間を割り振り、または登録する。それは通常、自らのデータベース内のアドレスブロックを使用するすべてのネットワークの事業者ではない。すべてのサービスをホストしているわけでも、すべてのパケットを送信しているわけでも、すべての顧客関係を支配しているわけでもない。この事実は、しばしば苦情申立人にとって不都合である。なぜなら、レジストリは可視的で中心的である一方、実際のネットワーク事業者は遠隔地にいるか、応答しないかもしれないからだ。

同じ利便性の問題が制裁でも生じる。物議を醸すネットワークは、政府、銀行、上流事業者、セキュリティ企業、競合他社、または公的キャンペーンからの圧力を引き寄せるかもしれない。圧力の一部は法律に関連するだろう。一部は真正の不正利用に関連するだろう。一部は、レジストリ管理を、より遅い国家行動の代用に変えようとする試みだろう。レジストリの境界が弱いと、「コンプライアンス」は、制裁閾値に達しない要求に対する立派なラベルになりうる。

区別は手続き的であるべきである。不正利用報告は、登録された連絡先へ、適切な場合にはネットワーク事業者、ホスティングプロバイダー、プラットフォーム、法執行チャネル、または司法経路へ向けられるべきである。レジストリの行動は、定義された根拠に結びつけられるべきである。すなわち、虚偽登録、無効な連絡先データ、乗っ取り、レジストリ義務への非協力、詐欺、またはポリシー違反である。制裁行動は、制裁法、所有権と支配の分析、禁止された取引、許可、または拘束力のある指令に結びつけられるべきである。ネットワークは、制裁対象でなくても不正利用的でありうる。指定人物は、現在の不正利用苦情がなくても制裁対象でありうる。誤った制裁一致は、不正利用とは全く無関係かもしれない。

サイバー制裁は、カテゴリが重なりうるために困難なケースを生み出す。あるエンティティは、悪意あるサイバー活動を理由に指定されるかもしれない。あるネットワークは、そのような活動に使用されるインフラをホストしていると非難されるかもしれない。あるプロバイダーは、それを容易にしていると言われるかもしれない。その場合でさえ、レジストリはその場しのぎの罰を即興すべきではない。アカウント保有者自身が指定されているか、指定当事者によって所有または支配されているか、指定当事者のために行動しているか、または特定の法的制限の対象であるかを検証すべきである。証拠を保全し、法的チャネルを通じて協力し、定義されたレジストリポリシーを適用すべきである。事実が不快であるという理由で、漠然とした不快感に退却すべきではない。

不正利用と制裁を曖昧にすることは、私的裁量を拡大する。サイバーリスクの漠然とした申し立てが、制裁型の強化された文書化をトリガーしうる。制裁型のアカウントブロックが、不正利用の言葉で正当化されうる。政治的苦情が運用上のセキュリティとして装われうる。各段階は、会員が行動を理解し異議を唱える能力を低減する。それはまた、外部のアクターが、司法手続きの負担を受け入れることなく、APNIC の台帳を圧力点として使用することを許す。

小規模事業者とコンプライアンスコストの分配

コンプライアンスはしばしば固定的な基準として語られる。経済的には、それはコスト曲線である。同じ要求が、大規模事業者にとっては些細であり、小規模事業者にとっては過酷でありうる。同じ遅延が、予備能力を持つクラウド企業には許容可能であり、新たな上流を展開するのを待つ地方 ISP には損害となりうる。同じ移転ブロックが、ブローカーには不便であり、未使用の空間を売却して運営資金を得ようとする創業者にとってはバランスシート上のイベントとなりうる。制裁圧力は、したがって分配上の帰結を持つ。

小規模事業者は複数の不利に直面する。スタッフが少ない。社内弁護士を欠くかもしれない。国際送金に自ら神経質な現地銀行に依存するかもしれない。企業文書が英語でないかもしれない。所有権が非公式だが合法的かもしれない。顧客基盤が単一のアドレスブロックに依存するかもしれない。上流プロバイダーが最新の RPKI や逆引き DNS の衛生を要求するかもしれない。オーストラリアの制裁上の懸念を、OFAC に関連する銀行の慎重さからどのように区別するかを知らないかもしれない。レジストリからのすべての要求を、ステータスを危険にさらせないために義務的と扱うかもしれない。

大規模事業者は曖昧さを吸収できる。所有構造を事前承認し、制裁フィルタリングのサブスクリプションを維持し、弁護士に指示し、銀行ブロックをエスカレーションし、遅延を待つことができる。また、APNIC スタッフ、銀行、取引相手にとってより馴染み深いかもしれない。馴染み深さは、知覚されるリスクを低減する。結果は腐敗ではない。それはコンプライアンスの通常の経済である。文書が豊富な大規模組織のために構築されたシステムは、文書が乏しい小規模組織にとって障壁となる。

政治的に敏感だが禁止されてはいない管轄区域の事業者には、特別な問題がある。彼らは制裁対象ではないかもしれない。彼らは通常のアクセスネットワーク、大学、エクスチェンジ、ホスティング施設、または企業サービスを運営しているかもしれない。にもかかわらず、その地理は、すべての支払いをより遅くし、すべての文書をより疑わしくし、すべての移転を価格付けしにくくし、すべてのコンプライアンス要求をより緊急のものにする。その効果はファントム・リスクプレミアムである。それは自らを制裁と名乗らない。それは遅延、法的コスト、銀行手数料、ブローカーディスカウント、取引相手の保守的行動として現れる。

APNIC は、コンプライアンスを弱めることなくこれを緩和できる。平易な言葉で文書の期待を公開し、受け入れ可能な地域文書の例を提供し、期限前に早期の明確化を提供し、支払い摩擦経路を維持し、審査に地域的専門知識を統合し、小規模事業者が財務問題を解決する間に維持管理の権利を失わないようにサービスのカテゴリを区別できる。審査時間が会員規模や直接/NIR チャネルによって異なるかどうかを追跡できる。偽陽性率と支払いブロックを報告できる。制度上の発言権を欠く会員のためのエスカレーション経路を提供できる。

政策目標は、小規模事業者が計画できるほど十分に予測可能なコンプライアンスを実現することである。緩いという意味での容易さではなく、可読という意味での容易さである。小規模ネットワークは、APNIC がどの証拠を必要とし、なぜそれを必要とし、どのサービスが利用可能であり続け、審査にどれだけの時間がかかるべきかを知ることができるべきである。不確実性は課税である。小規模事業者にとって、それはしばしば最大のものである。

制裁リストと波及問題

制裁リストは国家の目的のために構築されるが、それらは民間のシステムを通じて流通する。DFAT 統合リストは、オーストラリアの制裁デューデリジェンスに関連するオーストラリアの公開文書である。OFAC リストは、グローバルな財務上およびベンダー上の帰結を持つ米国の公開文書である。国連措置は国内法を通じて実施される。輸出規制リスト、政治的に高位の人物データベース、ネガティブメディアシステム、商業リスクツールは隣接しているが同一ではない。波及問題は、民間機関がしばしばこれらすべてを単一のリスクカテゴリに圧縮することである。

APNIC にとって、この圧縮は危険である。エンティティがオーストラリアのリストに載っており、取引が禁止されている場合、APNIC は行動しなければならない。エンティティが米国のリストに載っているが、オーストラリアの法的禁止が直接適用されない場合、APNIC は依然として銀行、ベンダー、取引相手からの影響に直面しうる。エンティティが輸出規制リストに載っている場合、その含意は金融資産凍結とは異なりうる。企業が包括的に制裁された管轄区域にある場合、分析はさらに異なる。ベンダーがネガティブメディアを報告する場合、法的意味は皆無かもしれない。その時々で、運用上の対応は異なるべきである。

リストの波及はまた所有権にも影響する。例えば、OFAC の 50 パーセントルールは、ブロックされた人物によって所有されるエンティティを、それらが別途指名されていなくてもブロックされたものとして扱わせうる。オーストラリアの所有権と支配の分析は独自の法的経路を持つ。銀行は独自のグループ閾値を適用するかもしれない。ベンダーは少数派のつながりや歴史的な関連をフラグするかもしれない。レジストリは、明確な説明のない名前、企業グループ、または銀行の拒否を受け取るかもしれない。もしそれがアカウント全体を凍結することで応答するなら、それはシステムの最も不透明な部分にレジストリのポリシーを定義させたことになる。

適切な対応は、義務のソースの記録である。各コンプライアンス制限は、そのドライバーがオーストラリア法、国連の実施、外国法へのエクスポージャー、決済レールの拒否、APNIC ポリシーの懸念、詐欺リスク、企業権限の不確実性、または外部圧力のいずれであるかを特定すべきである。会員はすべての詳細に対する権利を持たないかもしれないが、機関は知っているべきである。集計ケースを審査するガバナンス機関は知っているべきである。この分類なしには、過剰コンプライアンスは測定できない。

この区別はまた APNIC を保護する。すべてのリストを同一として扱うレジストリは、合法的な活動を過剰ブロックしうるが、それでも真に禁止されたケースを文書化しないかもしれない。ソースを区別するレジストリは、なぜある取引を拒否し、別の取引を停止し、第三の取引では維持管理を許可し、第四の取引では法的助言を求めたのかを説明することができる。また、銀行や政府に対し、特定の要求には非公式の不快感ではなく、法的手続きが必要であることを説明できる。

波及は常に回避可能とは限らない。米国関連銀行を通じてルーティングされる支払いは、APNIC の直接の義務がオーストラリア法であってもブロックされうる。APNIC が使用するクラウドツールがアカウントを拒否するかもしれない。取引相手の RIR が自らのルールを適用するかもしれない。しかし、不可避の波及が不可視の波及になるべきではない。レジストリは自らに、そして可能な場合には影響を受ける会員に、制限が法律に由来するのかインフラに由来するのかを伝えるべきである。この違いが説明責任の始まりである。

経済的インフラとしての監査証跡

監査証跡はしばしば防御的な官僚主義として扱われる。レジストリレベルでは、それらは経済的インフラである。それらは裁量をレビュー可能にし、繰り返される偽陽性のコストを防ぎ、スタッフを保護し、コミュニティがコンプライアンスがチョークポイントになっているかどうかを見るのを助ける。

有用な監査証跡は、審査のトリガー、チェックされたリストまたは義務、審査された当事者と識別子、要求された文書、制限されたサービス、各制限の理由、関与したスタッフの役割、求められた法的助言、会員とのコミュニケーション、会員の応答、タイムライン、解決、およびあらゆる異議申し立てを記録する。確認された事実を未解決の懸念から区別する。制限が拘束力のある法律によって要求されたのか、APNIC ポリシーの下で選択されたのか、決済レールの失敗によって引き起こされたのか、または外部圧力のために採用されたのかを記録する。また、偽陽性がいつどのように解消されたかも記録する。

これは骨の折れることに聞こえる。不透明な繰り返しよりも安価である。記録がなければ、会員は同じ一致を繰り返し解消する可能性がある。スタッフは既に提供された文書を要求するかもしれない。後のレビュアーは、ファイルに煙はあるが結論がないために、解決された問題を未解決として扱うかもしれない。ガバナンス機関は、小規模会員がより長く待っているか、NIR 仲介ケースが異なるか、支払いブロックが一般的か、あるいは特定のベンダーが脆弱な一致を過剰に生成しているかどうかを知ることができない。過剰コンプライアンスは、構造化されていない記憶の中で栄える。

監査証跡はまた、非公式の圧力を抑止する。政府、銀行、大規模事業者、セキュリティ企業、競合他社、または政治的アクターが、ネットワークに対して不利な措置を取るよう APNIC に要求する場合、その要求は文書化されたチャネルに入るべきである。誰が要求したのか?どのような権限の下で?どのような証拠が提供されたのか?どの APNIC ポリシーまたは法的義務が適用されるのか?通知が法的に制限されている場合を除き、会員は通知されたか?どのような措置が取られたのか?圧力を記録するレジストリは、影の執行メカニズムとして利用されることがより難しい。

目的は芝居がかった開示ではない。APNIC は、私的なコンプライアンスファイルを公開したり、個人情報を暴露したり、調査を危険にさらしたり、潔白が証明された会員を辱めたりすべきではない。公開報告は集計されうる。個別の通知は、ベンダーパターンや保護された通信を明らかにすることなく、適正手続きのために十分に詳細でありうる。内部ファイルは、権限を与えられたガバナンス構造によってレビュー可能でありうる。バランスは、秘密と見せ物の間ではない。責任ある秘密保持と審査不能な裁量の間である。

監査データは学習を生み出す。偽陽性が音訳の周りに集まっているなら、音訳処理を改善する。支払いブロックが特定の回廊の周りに集まっているなら、合法的な代替手段を探る。小規模事業者が審査をクリアするのにより長くかかっているなら、文書を簡素化する。NIR 仲介ケースが不平等な結果を生み出しているなら、ガイドラインを更新する。外国リストのアラートがオーストラリアの義務に無関係であることがしばしば判明するなら、エスカレーション経路を調整する。特定のサービスクラスがあまりに制限されているなら、それを再分類する。データがなければ、機関は逸話を交換することしかできない。

公共の経済的利益は現実である。移転市場は、手続きが既知であるときにリスクをより良く評価する。銀行や取引相手は、レジストリが規律ある管理を示せる場合に、より信頼する。会員は、レビューの経路を見ることができるときに、困難な決定をより容易に受け入れる。スタッフは、記録が慎重な判断を保護するときに、より自信を持って行動する。中立性はスローガンではなく実践となる。

異議申し立ての可能性と平凡でいる権利

異議申し立ての可能性は、コンプライアンスと私的ゲートキーピングの違いである。ゲートキーパーは「我々は不快に感じる」と言って、案件をクローズできる。コンプライアンスを遵守するレジストリは、どのルールまたはリスクカテゴリが適用され、どの証拠がそれを支持し、どの一時的制限が続き、どのサービスが利用可能であり続け、会員がどのようにその結論に異議を唱えられるかを言うことができるべきである。結果が深刻であるほど、異議申し立ての経路はより堅牢であるべきである。

すべてのコンプライアンス行動が法廷のようなプロセスを必要とするわけではない。追加文書の要求は、通常のサポートを通じて処理されうる。短期の移転停止は、明確な説明と目標日付を必要とするかもしれない。広範なアカウント停止、移転拒否、資源撤回段階、長期ロックアウト、またはセキュリティ維持管理の許可拒否は、より多くを要求する。会員は、最初の決定に関与しなかったレビュアーへのアクセス、書面による理由のカテゴリ、証拠を提供する機会、および APNIC ガバナンスへの適切なエスカレーション経路を持つべきである。法律が完全な開示を妨げる場合、レジストリは依然として法律上許される最も完全な説明を提供できる。

異議申し立てが重要なのは、制裁フィルタリングが誤りを起こしやすいからだ。名前は間違えられる。所有権データは古い。企業形態は誤解される。銀行は説明なしに支払いを拒否する。ベンダーは過剰に一致させる。スタッフは外国のリストを国内の義務と混同するかもしれない。会員は、何が要求されているかわからないために不完全な文書を提出するかもしれない。異議申し立てのないシステムは、これらの通常の誤りを最終結果に変える。

異議申し立てはまた、合法的なネットワークの通常性を保全する。良いプロセスの目的は、しばしば会員が再び平凡になることを可能にすることであるべきだ。偽陽性がいったん解消されたら、会員は無期限の汚名を負うべきではない。支払い摩擦が解決されたら、ステータスは非公式に曇ったままであるべきではない。所有権が検証されたら、通常の維持管理は再開されるべきである。案件をクローズできないコンプライアンスシステムは、疑惑を生み出す機械となる。

地域的な正当性の利益がある。APNIC 会員は、同一の外交政策上の見解を共有しない経済圏から来ている。一部はオーストラリアの制裁決定に懐疑的だろう。一部は米国の域外効果を懸念するだろう。一部は近隣諸国の政府を警戒するだろう。一部は、政治的に弱い事業者が強い事業者よりも容易に圧力をかけられうることを恐れるだろう。異議申し立て経路は意見の相違を排除しない。それは、APNIC の行動が政治的便宜ではなく、法律、証拠、比例性に結びついていることを示す。

レジストリの目標は、すべての会員を喜ばせることではない。それは、あらゆる深刻な制限を十分にレビュー可能にし、部外者が、機関が無言のゲートキーパーではなく、慎重な受託者として行動するのを見ることができるようにすることである。本当に禁止された会員は依然として敗北しうる。詐欺師は依然としてブロックされうる。ハイジャッカーは依然として止められうる。しかし、機械に巻き込まれた合法的な事業者は、通常の状態へ戻る経路を持つべきである。

APNIC のための実践的ルール

APNIC コミュニティは、制裁圧力を管理するために壮大な憲法理論を必要としない。拘束力のある法律を尊重し、レジストリを詐欺や処罰から守り、台帳が法的に排除されていないネットワークに対する私的チョークポイントになるのを防ぐ、実践的なルールを必要としている。

第一の要素は、コンプライアンス原則の公開声明である。それには、APNIC がオーストラリアの制裁法およびその他の拘束力のある義務を遵守し、関連当事者をスクリーニングし、詐欺を防止し、禁止された取引を処理しないことが記されるべきである。また、APNIC が、拘束力のある法的義務と裁量的なリスク判断を区別し、制限を狭く適用し、合法である場合にはレジストリの本質的な正確性とセキュリティを保全し、可能な場合には通知と再審査を与え、集計されたコンプライアンスメトリクスを報告することも記されるべきである。この声明は困難なケースを決定するものではない。それは推論の負荷を設定する。

第二の要素は、サービスの分類である。APNIC は、レジストリ行動をリスクと継続性の機能によって分類すべきである。新規割り振り、更新、移転、合併および名称変更、払い戻し、支払い処理、RPKI 変更、逆引き DNS 変更、連絡先更新、不正利用連絡先修正、Whois および RDAP 維持管理、資源返却、アカウント支配権変更。各クラスは、コンプライアンス審査中のデフォルトの取り扱いを持つべきである。スタッフは危機の前に、支払いブロックが RPKI 維持管理をブロックするか、移転審査が不正利用連絡先修正をブロックするか、確認された法的禁止が許可されたまたはセキュリティを保全する維持管理の余地を残すかどうかを知っているべきである。

第三の要素は、支払い摩擦プロトコルである。期限通りの支払い試行ともっともらしい銀行ブロックを示せる会員は、法的禁止が確認されない限り、通常の支払い遅延の帰結がエスカレーションする前に、文書化された審査経路を受け取るべきである。本質的な維持管理は、合法な場合には継続されるべきである。コンプライアントな代替支払い経路が検討されるべきである。タイムラインは明確であるべきであり、日和見的な不払いは報われるべきではない。目標は、銀行のリスク低減による自動的な排除を、APNIC の財務規律を保全しつつ回避することである。

第四の要素は、偽陽性解消プロセスである。会員は、弱い一致を解消するために識別子と文書を提出できるべきである。APNIC は、解消された偽陽性を記録し、同じ誤りが同じ会員を繰り返し止めないようにすべきである。ベンダーの閾値は監視されるべきである。命名、文字体系、文書化に関する地域的専門知識が審査に統合されるべきである。NIR は支援できるが、APNIC は地域的一貫性の責任を保持すべきである。

第五の要素は、深刻な制限に対する異議申し立て経路である。移転拒否、広範なサービスの停止、コンプライアンス関連の資源撤回段階、長期のアカウントロックアウトはレビュー可能であるべきである。異議申し立ては保護された情報を露出する必要はないが、証拠、法的根拠、比例性が堅牢かどうかをテストすべきである。NIR 仲介ケースについては、経路は審査がローカルなのか、地域的なのか、両方なのかを明確にすべきである。

第六の要素は、集計報告である。APNIC は定期的に、コンプライアンス事例、偽陽性、審査期間、支払い関連ブロック、サービス制限、異議申し立て、結果に関する数字を公開すべきである。数字が小さい場合、カテゴリはプライバシーを守るために十分に広くできる。目的は見せ物ではない。コンプライアンス摩擦を運用リスクとして可視化することである。

第七の要素は、外部圧力の記録である。政府、銀行、大規模事業者、セキュリティ企業、その他の部外者からの、レジストリの不利な行動を求める要求は、権限、証拠、結果とともに記録されるべきである。APNIC の標準的な対応は規律あるものであるべきだ。法的手続きを提供し、政策的根拠を特定し、または不正利用問題を責任のあるネットワークへ差し向ける。非公式な圧力は非公式な行動になるべきではない。

このルールは APNIC を弱くしない。それは APNIC をハイジャックしにくくする。なぜ行動したのか、正確に何を制限したのか、正確に何を保全したのか、そしてレビューが正確にどのように機能するのかを言えるレジストリは、不透明性に頼るレジストリよりもよく保護される。正確性は、回避と越権の両方に対する最も強力な防御である。

台帳は門になるべきではない

APNIC にとっての制度的危険は、自らを公然と制裁執行者と宣言することではない。危険はより静かである。法律、銀行、ベンダー、政府、風評不安の圧力の下で、台帳がポリシーとして一度も議論されたことのないゲートキーピング機能を獲得してしまうかもしれない。アカウントステータスが制裁になる。支払い失敗が排除になる。あいまいな一致が疑惑になる。文書負担が参入障壁になる。移転審査が資産凍結になる。RPKI アクセスが梃子になる。逆引き DNS が巻き添え被害になる。台帳は形式的には技術的であり続けながら、経済的には強制的になる。

この結果は APNIC にとっても地域にとっても悪い。それによってレジストリは、言葉の上では中立であり続けても、実践においてはより中立でなくなるだろう。小規模参入者や後発者を不利にするだろう。大規模事業者やブローカーへの依存を助長するだろう。政治リスクを通常の資源管理に価格付けるだろう。政府や民間アクターがレジストリを便利な圧力点と見なすよう招く。受託と支配の境界線を曖昧にするだろう。

代替案は無秩序ではない。それは規律あるコンプライアンスである。APNIC は、オーストラリアの制裁法およびその他の拘束力のある義務に従うべきである。スクリーニングし、検証し、文書化し、禁止された取引を拒否すべきである。詐欺と乗っ取りからレジストリを守るべきである。正確な記録と有効な権限を要求すべきである。法的に真剣であるべきである。しかしまた、レジストリの権威を正当化するもの、すなわち、多様な地域において正確で安定した番号資源記録を維持するという狭い公共機能を忘れるべきではない。

中心的な区別は単純である。検証は、台帳が正確で合法であるかどうかを問う。ゲートキーピングは、レジストリがネットワークを経済的に存続可能なままにしておくことに意欲的かどうかを問う。APNIC は前者を行わなければならない。後者に巻き込まれることには、法律が特に要求する場合を除き、抵抗すべきである。

優れたレジストリコンプライアンスシステムは、いくつかの約束をするだろう。禁止取引の不処理、詐欺の無許容、隠れた政治的排除の不在、必要性のない広範な技術的劣化の不在、不可解な無期限のブロックの不在、決済レールによる回避可能な処罰の不在、無差別なアカウントロックアウトの不在、そしてリスク選好と法律との混同の不在。それは、透明性、異議申し立て、狭い標的化、継続性保護、監査証跡を、管理的な付随物としてではなく、レジストリが私的フロンティアになるのを防ぐセーフガードとして扱うだろう。

アジア太平洋のインターネットは、APNIC が法的に慎重であることを必要としている。また、APNIC が制度的に謙虚であることも必要としている。レジストリは、自らを経済的正当性の裁判官として提示することなく、台帳を保護できる。制裁とコンプライアンスの事案において、この謙虚さは弱点ではない。それは信頼の条件である。