概要
- 独立した法人格は、契約を結び、資産を所有し、スタッフを雇用し、自らの義務を負う機関を特定する。それは、その機関の決定がもたらす運用上の結果を企業内部の問題にするわけではない。
- 公開されている RIR 契約は、通常、登録やサービス状態に対する重大な権限と、広範な免責、補償、低い賠償上限を組み合わせている。これらの条項は直接の当事者間でリスクを配分するものであり、影響を受けるすべてのネットワークや顧客にとってその配分が正当であることを証明するものではない。
- 番号資源レコードはルーターのコマンドではない。それでも、レジストリの正確性、RPKI、逆引き DNS、ディレクトリデータ、移転承認は、より広範な運用環境で依存されているため、誤った、あるいは突然の措置は予見可能な外部コストを生じさせる可能性がある。
- 責任の対称性は、無制限の損害賠償を要求するものではない。より強い管理力を持つ機関が、より強い注意義務、通知、理由提示、独立した審査、継続性、迅速な復旧、意味のある残余の救済措置を受け入れることを要求する。
- より信頼性の高いモデルは、措置と復旧のデータを公開し、アカウント紛争と技術的状態を区別し、可能な限り無実の下流ユーザーを保護し、証明されたレジストリ起因の損害に対して限定的な補償基金を用意するだろう。
会社は実在するが、依存もまた実在する
現代の地域インターネットレジストリ(RIR)は、通常、公益機関として認識されている。それは権威ある登録データを維持し、地域ポリシーを適用し、ルーティングセキュリティサービスを支援し、逆引き DNS を委任し、インターネット番号の一意性の維持に貢献する。しかし、契約書に署名するのは、非特異的なインターネットコミュニティではない。それは企業(corporation)もしくは法人格を有する協会(incorporated association)である。その区別は法的に有用である。名前を持つ法人は、資金を保有し、スタッフを雇用し、システムの契約を結び、監査を受け、裁判所やその他の場で請求に対応することができる。
誤りが始まるのは、独立した法人格が、企業行動のあらゆる結果をも包含するかのように扱われる場合である。そうではない。レジストリが重大な記録を変更し、サービスを停止し、証明書を失効させ、あるいは訂正を遅らせた場合、その影響は保有者の顧客、ピア、ユーザーに及ぶ可能性がある。これらの当事者は、当該企業の構成員になるわけではない。また、企業が彼らのルーターの運用者になるわけでもない。焦点はより狭く、法人の境界は予見可能な外部損害を制度上の無関係なものに変えるわけではない、という点にある。
これが重要なのは、RIR モデルがしばしば複数の命題を並列的に提示するからである。レジストリは、中立的で、権威があり、一貫した番号管理に必要不可欠であると自らを位置づける。その契約は、ルールの更新、サービスの停止、または資源の登録解除を行う実質的な権限を留保する。そして同じ契約が、広範なカテゴリの損害を免責し、残りに上限を設け、場合によっては、第三者からの請求に対して会員がレジストリを補償することを要求する。それぞれの命題には合理的な説明があり得る。しかし、それらを合わせると、一つのガバナンス上の問いが生じる。すなわち、ある機関は、過誤のコストを契約によって外部に転嫁しつつ、どれほどの管理権を行使できるのか、という問いである。
その答えは、企業形態だけから見出すことはできない。法人格は誰が行為するかを示すが、その行為が注意深くなされたかどうか、依拠が予見可能だったかどうか、救済が十分かどうか、契約条項が当事者以外に対して決定的な重みを持つべきかどうかは示さない。制度的正当性は、当該企業を特定した後、第二の問いを必要とする。すなわち、権限、義務、リスクの配分は釣り合いが取れていたか、という問いである。
まず、四つの異なる管理の形態を区別する
レジストリに関する議論は、あらゆる影響がアドレスの管理として説明される場合に混乱する。四つのより狭い管理の形態を区別すべきである。
第一は、記録管理である。レジストリは、その権威あるデータベースが、登録された保有者、ステータス、関連情報について何を記載するかを決定できる。これは直接的な制度上の管理である。会員は、通常、競合するスプレッドシートを公開することによって、権威ある登録事項を変更することはできない。
第二は、サービス管理である。レジストリは、契約とポリシーによって定義されたサービス(記録の維持、逆引き DNS のサポート、証明書、ディレクトリ機能、移転処理、関連設備)を提供し、または提供を差し控えることができる。正確なリストは機関および契約によって異なる。サービス管理は、番号資源の所有権を伴わずに、運用に影響を及ぼし得る。
第三は、契約上の管理である。当該企業は、情報提供要求、料金の支払い、停止、終了、または登録解除への協力を含め、会員に対して合意された権利を行使することができる。この権限は、実際の契約、組み込まれたポリシー、準拠法、および審査メカニズムによって制約される。
第四は、経路管理である。これはネットワーク間で分散されている。RIR は、すべてのルーター内部に存在し、普遍的なコマンドを発行するわけではない。RFC 7020は、アドレスがアナウンスされるか否か、またどのように公示されるかは、インターネット番号レジストリシステムの範囲外であると明示している。経路の起点、伝播、フィルタリング、受容は、オペレーターと技術的シグナルに依存する。
これらの層は相互作用する。レジストリの措置は、ネットワークが信頼するシグナルを変えるかもしれない。管理的な紛争にもかかわらず経路は継続するかもしれない。有効な記録と貧弱な接続性が共存するかもしれない。オペレーターの誤りが、レジストリに過失がなくとも停止を引き起こすかもしれない。したがって、真剣な責任分析には、因果関係の連鎖が必要である。管理的な変更が自動的にパケットを停止させたと決して想定すべきではない。また、ルーターが独立しているからといって、権威ある記録やセキュリティサービスの障害が運用上問題にならないと決して想定すべきではない。
対称性のテーゼは、機関が実際に保有する管理の形態に適用される。記録およびサービスの決定が現実の実務においてより決定的になるほど、それらの決定に関する義務はより要求の厳しいものとなるべきである。それは完全な管理を主張するものではない。狭い責任を主張しながら幅広い依拠を育てることに対するルールである。
RIPE-812 は非対称性を異例なほど明瞭に示している
2023年11月に RIPE-812 として公開されたRIPE NCC 標準サービス契約は、明確な出発点を提供する。これは RIPE NCC をオランダ法に基づく会員制協会と規定する。同契約は、組織が RIR としてインターネット番号資源を登録する権限を有すること、定義されたサービスを提供することを約束すること、現在のポリシーと手続きを組み込んでいること、会員の完全かつ正確な情報を要求すること、規定された状況において停止、登録解除、終了を認めること、などを定めている。
次に責任条項が、賠償範囲を明確に配分する。会員は、サービスの利用およびインターネット番号資源の利用から生じるすべてについて責任を負う。RIPE NCC は、RIPE NCC またはその経営陣による故意の違法行為または重大な過失の場合を除き、事業損失、逸失利益、第三者損害を含む直接および間接損害に対する責任を免責する。また、番号資源を期日までに利用可能にできなかったことに関連する損害、およびその利用に関連する損害を免責する。さらに、不可抗力の保護を追加し、会員に対して、サービスの利用に関連する第三者の請求から RIPE NCC を補償することを要求し、責任を関連会計年度の会員サービス料金に限定する。
同契約はまた、終了がサービスの終了および登録解除への協力につながる可能性があると述べている。さらに、登録は財産を構成せず、所有権を付与するものではないと別途規定している。これらの条項は、RIPE NCC が番号資源を所有することを意味するものではない。これらは、法人が登録とサービスの結果に対する実質的な管理を留保しつつ、金銭的な賠償範囲を限定していることを示している。
その組み合わせは、商業的には理解できるかもしれない。会員からの拠出金で運営される協会が、アドレスに構築されたあらゆる下流のビジネスモデルに賢明にも保険をかけることはできない。年間料金は、すべての顧客の収益を保証するような価格設定ではない。ネットワークは自らの経路広報と回復力を管理している。もしサービス上の欠陥すべてが無制限の間接損害請求につながるならば、レジストリは財政的に不安定になり、リスクを会員に跳ね返す可能性がある。
しかし、商業的な説明は公益分析の結論ではない。年間料金のみに基づいて設定された責任上限は、誤った高影響措置の予見可能なコストとほとんど関係がないかもしれない。同じ標準書式が、規模も依存度も大きく異なる会員を対象としている。年会費を上限とすることはレジストリサービスを価値の尺度として扱うことになるが、システムの正当性の一部は、その記録が唯一権威的であるという主張に依拠している。この乖離には、たとえ上限が維持されるとしても、手続き的かつ実質的な保護措置が必要である。
ARIN の草案は、権利と損害賠償を同時に狭める
2025年8月15日付けのバージョン14.0であるARIN 登録サービス契約は、関連するが異なるモデルを提供している。これはサービスを、レジストリへの登録、逆引き名サービス、RPKI、記録の維持、アドレス管理を含むものと定義する。そして、保有者に対して、ARIN データベース内の当該番号資源の登録者となる排他的権利、当該資源をデータベース内で使用する権利、およびポリシーに基づいて登録を移転する権利を付与する。
この用語法は慎重である。本契約は、すべての運用上の使用に対する無制限の支配権ではなく、データベースとサービスの権利を記述している。しかし、これらの限定された権利は、取引相手が ARIN データとリンクされたサービスを認識されたシグナルとして利用するため、極めて重大な結果をもたらす可能性がある。
ARIN の責任制限条項は、当事者間および第三者に対する派生的、付随的、間接的、懲罰的、模範的、特別損害を免責し、保有者のクライアントと顧客を明示的に含めている。総責任額は、保有者が直近6ヶ月間にサービスに対して支払った金額または100米ドルのいずれか高い方を上限とする。同契約はまた、停止および終了の経路を確立している。RIPE NCC と同様に、ARIN の書式は、より広範な信頼性がネットワークの決定を支えるサービスと並置して、限定された金銭的救済を置いている。
クライアントと顧客への明示的な言及は示唆的である。これは、下流でのエクスポージャーが想像不可能ではないことを示している。契約は、保有者の顧客が損害を請求しうることを予測し、そのエクスポージャーを制限しようとしている。これは合理的なリスクドラフティングであるが、同時にガバナンスの問題を確認するものでもある。すなわち、サービスに依拠していることが知られている当事者が、自ら交渉していない契約によって意味のある回復から排除される可能性がある、ということである。
執行可能性に関する結論が自動的に導かれるわけではない。準拠法、強行規定、正確な契約違反の内容、交渉のコンテクスト、司法解釈が重要となる。現在の契約は、レガシー資源には適用されないかもしれない。免責条項は、通常の過失、重大な過失、制定法上の義務、または特定の表示について異なる取扱いを受ける可能性がある。責任ある所見は、すべての上限が無効であるということではなく、公開されたリスク配分は、注意、因果関係、救済に関する証拠の代わりにはなり得ないということである。
APNIC はプロセスが厳しい救済を部分的に相殺しうることを示す
現行のAPNIC 会員契約もまた、法律で許容される範囲で広範な責任を免責し、会員による補償を要求している。同契約は、APNIC がその文書に基づく権利(委任された資源を含む)を取消し、書式に記載された通知プロセスを経た後に契約を終了することを認めている。
この契約が有用なのは、手続き上の均衡も同時に示しているからである。取消通知を受領した会員は、理事会(Executive Council)に不服申立てを行うことができ、理事会は30日以内にその申立てを検討しなければならない。正当と認められれば、通知は撤回される。通知は、信じられる契約違反とそれを是正するために必要な措置を記載しなければならない。手続きは責任免責を消し去るわけではないが、不正な損害の可能性と期間を低減することができる。
これが対称性の第一の実際的な意味である。限定された損害への対応は、無制限の損害賠償である必要はない。より信頼性の高い決定経路であり得る。もし機関が、すべての過誤の完全な経済的範囲を補償できないならば、過誤の回避、結果の隔離、誤りの迅速な是正に大幅に投資すべきである。通知、意味のある是正期間、公平な審査、証拠の保存、理由に基づく決定、迅速な復旧は、管理上の付加物ではない。それらは、リスクを他に委ねることに対する対価の一部である。
保護措置の質は、起草のみではなく運用に依存する。通常のコンプライアンス紛争には30日間の審査で十分かもしれないが、実稼働中のサービス中断にとってはあまりに遅すぎる。同じ統治機関への不服申立ては、知識を有するかもしれないが、スタッフや機関のポリシーに関する紛争においては十分に独立していないかもしれない。審査前に係争中の技術サービスが無効化され、復旧によっても失った顧客を修復できない場合、不服申立権は空洞化する可能性がある。
発行された通知、是正された事項、課された取消し、提出された不服申立て、覆された決定、審査期間の中央値、復旧期間の中央値といった、公開された集計データは、保護措置を検証可能にするだろう。これらの分母がなければ、書式は経路が存在することを証明するが、それが運用上の依拠をどれほど良く保護するかは証明しない。
AFRINIC はベストエフォートと無責任の違いを露呈する
2017年11月27日付けのAFRINIC 登録サービス契約は、サービスをベストエフォートベースで、手段の債務として説明している。同契約は、適切な手段を使用しなかった場合の留保を条件として、AFRINIC は中断、誤り、不正確さ、申請者の要件もしくは技術的設定を満たさないサービス、または申請者もしくは第三者に対するいかなる性質の損害についても責任を負わないと述べている。また、支払いの6ヶ月分または100米ドルのいずれか高い方を基準とする上限を定めている。終了または満了時に、契約は資源が取消され、サービスが責任なしに停止されると述べている。
ベストエフォートは、義務の不在と同じではない。手段の債務は、適切なシステム、有能なスタッフ、検証、エスカレーション、継続性、復旧措置が用いられたかどうかという、行為へと注意を向ける。それは完全な結果を約束するものではない。複雑なレジストリにとって、これは適切な基準であり得る。データベースは故障し、資格情報は侵害され、取引相手は虚偽の文書を提出し、経路への影響を完全に制御することはできない。
ガバナンス上のリスクは、結果に対する広範な免責が行為基準を呑み込んでしまう場合に現れる。予見可能な予防措置にもかかわらず中断と不正確さが免責されるならば、適切な手段を用いるという約束は価値評価が困難になる。逆に、適切な手段を用いなかったことが意味のある救済をもって審査可能なままであるならば、ベストエフォートモデルは責任を実際の制度的管理と整合させることができる。
この区別は明示的であるべきだ。レジストリは、中断のないグローバルな到達可能性を保証する必要はない。しかし、自らの本人確認、記録の変更、証明書の操作、アクセス制御、バックアップ、エスカレーション、訂正については説明責任を負うべきである。オペレーターが引き起こした経路漏洩に対して、そのオペレーターをレジストリが補償する必要はない。証明された内部のエラーが予見可能な形で信頼されたサービスを不能にし、機関が相当な注意をもって行動しなかった場合には、信頼に足る対応に直面すべきである。
これは、特定の AFRINIC の紛争についての結論ではない。引用された書式は、書面上の配分と関連する概念的な緊張を確立する。実際の中断に関する主張には、当時適用されていた契約、日付付きの技術的証拠、スタッフの行動、通知、経路の観測、準拠法が必要となるだろう。
法人格は会員を保護するが、法人本体を消し去るべきではない
独立した法人格は、重要な説明責任機能を果たす。通常の会員は、自動的にすべての企業資産の所有者になるわけではなく、また、すべての企業債務に対して個人的に責任を負うわけでもない。取締役および執行役は、定義された役割を通じて行動する。協会は、会員の変更があっても存続し得る。債権者および取引相手は、どの法人を相手にしているかを知ることができる。
レジストリにおいて、この保護は集団的なサービスもまた保全する。もし各会員が、機関によるすべての被疑過誤に対して個人的に晒されるならば、参加は危険なものとなり、ガバナンスは防御的行動へと崩壊しかねない。法人格は、運用能力とリスクをプールする。
保護が歪められるのは、議論が一方向にのみ流れる場合に限られる。機関は、コンプライアンスを要求する際には認知された地域レジストリの権威をもって語りながら、損害が発生した際には自らを通常の低料金サービス請負業者として提示するかもしれない。全構成員の利益を引き合いに出して広範な裁量を正当化しながら、その決定を重大にした依存を有する顧客を排除するために、双務契約の当事者関係に依拠するかもしれない。判断を仰ぐ際には記録の唯一性を強調し、影響を問われるとルーターの独立性を強調するかもしれない。
個々の声明にはそれぞれ部分的に真実が含まれている。問題は選択的な組み合わせである。正統な説明は、すべての部分を一体に保たなければならない。すなわち、法人には限定された権限がある。ルーターは独立したままである。記録は予見可能な依拠を惹きつける。会員と下流のユーザーは損害を被り得る。すべての損害がレジストリによって引き起こされるわけではない。そして、証明されたレジストリの過失は、相応の救済を引き起こすべきである。
したがって、法人格は帰属の出発点を示すのであり、その終点ではない。法人が特定されたならば、調査はその行為と、法人が認識しつつ支援している外部からの依拠へと向かう。
レジストリはネットワークを運営しないが、信頼されるシグナルを形成する
アーキテクチャは単純な原因論を妨げる。RFC 7020は、レジストリシステムが一意性と正確な情報を確保するために割り振りを維持する一方で、経路のアナウンスと公示はその範囲外の運用上の事項である、と述べている。この境界は分析上の規律を保護する。レジストリは、そのデータベース内のアドレスに関わるすべての停止について非難されることはできない。
同時に、その境界は壁ではない。オペレーターは、連絡先を特定し、請求を評価するために登録データを参照する。逆引き DNS は委任された構造に依拠している。RPKI は、経路起点検証に用いられる暗号的に検証可能な表明を提供する。移転の承認は、取引相手が取引を受け入れるかどうかに影響を与える。これらのサービスにおける変更は、フィルター、インシデント対応、デューデリジェンス、顧客の信頼に影響を及ぼし得る。
したがって、正しい因果関係のモデルは、スローガンではなく連鎖である。正確にどのようなレジストリの行為が発生したか?どの記録またはサービスが変更されたか?どのネットワークまたは取引相手がそのシグナルを消費したか?どのような独立した決定がそれに続いたか?冗長なシグナルはあったか?変更はどれほど迅速に気付かれ、訂正されたか?合理的な軽減措置の後、どのような損害が残ったか?
この方法は、帰属同様に免責も可能にする。もしトラフィックが継続しており、保有者の顧客の損害が無関係な機器の故障から生じたのであれば、レジストリの措置は原因ではない。もしオペレーターが有効な警告を無視したか、壊れた設定を維持していたのであれば、責任は別のところにあるかもしれない。もし偽造された企業文書が、適切なチェックにもかかわらず慎重なプロセスを欺いたのであれば、過失は共有されるか、存在しないかもしれない。
しかし、高い信頼性を持つレジストリシステムが不注意な変更を行い、それを紐付いたサービスを通じて配信し、速やかな信頼に足る通知を受け取ったにもかかわらず記録の復旧を怠った場合、分散ルーティングが普遍的な抗弁となってはならない。独立したネットワークは、因果連鎖を断ち切ることなく、その一部となり得る。関連する問いは、レジストリの寄与が証明され、予見可能であったかどうかである。
予見可能性は契約の当事者関係を超えて拡大する
直接の会員が明白な契約相手方であるが、運用上の境界はより広い。ホスティング企業は、登録されたブロック上で何千もの顧客をサポートしているかもしれない。公共ネットワークは、病院、緊急通信、政府サービスにサービスを提供しているかもしれない。トランジットプロバイダーとピアは、信頼されたデータに紐付いたフィルターを維持しているかもしれない。顧客は、RIR と直接の関係を持たず、レジストリの紛争を監視する実用的な能力も持たないかもしれない。
契約の当事者関係(privity)は、誰が契約を強制できるかという問いに答えるが、誰が損害を被り得るかには答えない。また、契約外の義務を認める別の法体系が存在するかどうかも解決しない。これらの問題は法域と事実によって異なるため、普遍的な結論を主張すべきではない。ガバナンス上の要点は法的な分類に先立つ。すなわち、機関は、合理的に予見し得る依存関係をマッピングし、不必要な波及を避けるように決定を設計すべきである。
予見可能性が最も強いのは、レジストリが保有者の規模と役割を知っており、その措置が共有された技術サービスに影響を与えること、そして下流のユーザーが容易に番号を付け替えられないことを知っている場合である。投機的な取引損失、遠隔の風評に基づく請求、あるいは主としてオペレーター自身の選択によって引き起こされた損害については、予見可能性はより弱い。対称性モデルは、これらのカテゴリを区別することができる。
レジストリは、すべての顧客名を知っている必要はない。リスク指標を用いることができる。アドレスブロックのサイズ、アクティブな経路の可視性、RPKI のカバレッジ、逆引き DNS の利用状況、重要サービスに関する宣言、利用可能な場合には下流への割り当て数、共有インフラの証拠などである。これらの指標は、特権的な所有権を生み出すべきではない。それらは、不可逆的な措置をとる前に適用される注意と継続性のレベルを決定すべきである。
顧客が当事者ではないからといって依存関係を観察することを拒否するシステムは、盲目を選んでいることになる。すべての依存する顧客が直接の法的権利を有すると想定するシステムは、法を過大評価している。中間の道は、明確な救済手段の説明と組み合わされた、運用上のデューデリジェンスである。
免責条項はリスクを配分するが、正当性を生み出すわけではない
契約は、派生的な損害を定型的に免責する。なぜなら、そのような損害は莫大になり得、価格付けが困難であり、部分的には相手方当事者によって制御されるからである。レジストリ契約は、単に上限を含むという理由だけで珍しいわけではない。公益上の懸念が生じるのは、当該条項が契約法が合理的に支え得る以上のことを求められる場合である。
免責条項は、両当事者が何を受け入れたかを示すことができる。それは保険、料金、訴訟に影響を与え得る。それは、機関を破滅的なエクスポージャーから保護し得る。しかし、基礎となる行為が中立的、正確、比例的、または手続き的に公正であったことを証明することはできない。非当事者に通知を与えることもできない。記録を復元することもできない。因果関係を立証することもできない。回避可能な内部の誤りを責任ある運営に変換することもできない。
正当性は、権限の質と限定性から生じる。2001年に新しい RIR を承認する基準として受け入れられたICP-2は、中立性、公平性、専門的な運営、継続性、文書化された手続き、対象コミュニティからの支持を重視している。これらの特性は、単に署名された権利放棄の存在ではなく、機関のパフォーマンスに関わるものである。
したがって、承認は有用なベンチマークを生み出す。もしシステムが一つの地域機関に対して唯一の認知された役割を与えるならば、その機関は、容易に代替可能なベンダーよりも高い継続性と審査の基準を満たすべきである。ICP-2 自体が損害賠償を提供するというのが要点ではない。そうではない。要点は、制度的正当性は制限条項が確立し得ない資質に依拠している、ということである。
レジストリの権威的かつ中立的な運営への主張が強ければ強いほど、あらゆる失敗を低価値の双務的なサービス瑕疵として扱う対応は説得力を失う。権威と説明責任は、同じ尺度で記述されなければならない。
責任の対称性は設計ルールであり、無制限の損害賠償の要求ではない
対称性とは、管理、義務、救済が同じ方向に動くべきことを意味する。もしレジストリが単に狭い事務的役割しか持たないならば、控えめな義務で十分かもしれない。もしそれが権威ある記録やセキュリティに紐付いたサービスに高い影響を与える変更を行えるならば、それらの変更に関してより強い義務を負うべきである。
第一の義務は、注意である。本人確認および権限のチェックは、要求された変更がもたらす結果に見合ったものでなければならない。高リスクの変更には、職務の分離、証拠の保存、定型的な連絡先更新よりも強力な検証が求められるべきである。
第二は、通知である。保有者は、提案された措置、事実上の根拠、影響を受けるサービス、是正経路、発効時期について、秘密保持が法的に要求されているか、即時のセキュリティ措置が真に必要な場合を除き、明確な通知を受け取るべきである。下流の損害が予見可能な場合、秘密の詳細を開示することなく、公的なステータス情報が適切な場合もある。
第三は、審査である。意思決定者は唯一の審査者であってはならない。緊急の技術的審査は、毎月の理事会カレンダーだけではなく、ネットワーク時間で機能しなければならない。信頼に足る異議申立ては、セキュリティを維持しながら不可逆的な結果を一時停止できるべきである。
第四は、継続性である。アカウントや料金の紛争が、自動的にすべての技術サービスを無効化するべきではない。登録、ポータルアクセス、証明書、逆引き DNS、経路データは分離され、最も限定的で効果的な措置が用いられるべきである。
第五は、復旧である。機関は、誤った変更を覆し、データを再公開し、資格情報を復元し、依拠する当事者に通知するための、テスト済みの手続きを維持すべきである。復旧時間は、中核的な説明責任の指標である。
第六は、残余の金銭的責任である。レジストリの過失と因果関係が証明された場合、小さなサービス料金の返金に限定された救済は、機関の実際の管理からあまりに乖離しているかもしれない。限定的な基金、保険層、または段階的な上限は、深刻な運用上の損害を認識しつつ、支払能力を維持することができる。
無制限の派生的責任は必要とされない。実際、それは共有サービスを損なう可能性がある。対称性は、制度の自己破壊ではなく、信頼に足る責任を求めるのである。
アカウントの強制措置を技術的継続性から分離する
多くの高影響リスクは、複数の制度上の機能が束ねられているために生じる。会員が支払いを怠り、書類を提供せず、またはルールを満たさない場合、レジストリはアカウントの制限、終了、登録解除、および連動するサービスの変更を通じて対応できる。もしすべての結果が同時に発生するならば、二者間のコンプライアンス紛争が下流の運用に波及し得る。
より安全な設計は段階的である。支払い不履行に対しては、まず新規の要求と議決権を制限しつつ、既存の権威あるデータは維持することが考えられる。本人確認に関する懸念に対しては、移転を凍結するが、審査までは経路セキュリティオブジェクトを保持することが考えられる。信頼に足るハイジャックや詐欺の事案では、即時の保護措置が必要かもしれないが、その措置は脅威に合わせて調整されるべきである。会員資格の終了は、過去の管理の連鎖を消去する必要はない。
この分離は寛大さではない。応答をより正確で防御可能なものにすることで、執行を強化できる。すべての救済が最大限である場合、意思決定者は行動を躊躇するか、裁判所が広範に介入する可能性がある。段階的な手段によって、レジストリは不必要な第三者の損害を生じさせることなく、有害な行為を止めることができる。
公開された書式は、通知、治癒、停止、取消しの異なる組み合わせを示している。欠けているのは、連鎖の順序に関するレジストリ横断的な運用上の説明である。証明書はポータルアクセスと同時に停止するのか?審査中も逆引き DNS は継続するのか?公開記録は削除されるのではなく、紛争中とマークされるのか?観測された事例では、経路と顧客はどのように影響を受けるのか?
これらの問いに答えることで、責任分析はエビデンスベースのものとなるだろう。また、会員が緊急時計画を構築することも可能にするだろう。狭い介入、迅速な審査、テストされた継続性が、破滅的な損害を真に稀なものにするとき、免責条項はそれほど問題ではなくなる。
会員が影響を受ける公衆のすべてではない
RIR はしばしば、正当性を会員資格と開かれた地域ポリシープロセスに基礎づける。その参加は価値がある。会員は理事会を選出し、予算や料金体系を承認し、ポリシーを議論し、パフォーマンスを精査する。それは機関に情報と支持基盤を与える。
しかし、会員資格はレジストリの決定に晒される集団と同一ではない。下流の顧客は会員ではないかもしれない。サービス地域外のネットワークがデータに依拠するかもしれない。エンドユーザー、公共機関、小規模組織は、参加する時間や専門知識を欠くかもしれない。大規模な保有者と小規模なオペレーターは、それぞれ一票を持ちながら、非常に異なる依存関係を抱えているかもしれない。
これは会員によるガバナンスを無効にするわけではない。その限界を定義するのである。会員投票は、法人の基本定款に基づいて料金体系や契約改正を承認することができる。しかし、それだけでは、外部の中断コストが公正に配分されていることを立証することはできない。多数派は、会員がレジストリに資金を提供しているため、合理的に低い上限を好むかもしれないが、各会員は、重大な損害が発生した場合にはそれが他の誰かに降りかかることを期待する。
この対立は、外部の受益者を伴う保険プールに似ている。会員は手頃な運営を望み、より広範なネットワークは信頼できる権威あるサービスを望む。良いガバナンスは、会員の承認を完全な答えとして扱うのではなく、トレードオフを可視化する。
外部の視点は、独立した技術的審査、公開インシデント報告、消費者または重要インフラに関する協議、下流オペレーターの代表を通じて入り得る。目的は、すべてのユーザーに拒否権を与えることではない。機関のリスクモデルが、標準契約を通じて自らを保護できない当事者を含むことを確実にすることである。
補償の前に証拠を
より強力な救済モデルは、薄弱な請求に抵抗しなければならない。番号資源を巡る紛争は、企業支配権を争うもの、偽造文書、未払い料金、ポリシー違反、経路ハイジャック、商業上の競合を含み得る。停止はレジストリの措置と同時に発生するかもしれないが、それが原因であるとは限らない。規律ある証明なしの補償は、戦略的な請求を助長し、会員資金を枯渇させる可能性がある。
証拠の連鎖は、日付の入った措置の記録から始めるべきである。要求、本人確認、承認、データベース変更、証明書イベント、通知、異議、復旧を記録すべきである。独立した経路観測によって、アナウンス、検証状態、受容に変化があったかどうかが示され得る。顧客の証拠はサービスの影響を立証し得る。契約記録は、誰が何を約束したかを特定する。
因果関係は、必要な寄与を背景条件から区別すべきである。もしレジストリが証明書を誤って失効させたが、オペレーターが経路を拒否しなかった場合、証明されたトラフィック損失なしに管理上の違反が存在するかもしれない。もしオペレーターが公示されたポリシーの下でそれを拒否し、サービスが停止した場合、連鎖はより強固である。もし保有者が迅速に軽減できたにもかかわらずそうしなかった場合、当初の過誤を免責することなく損害が減額され得る。
レジストリは、たとえ契約がほとんどの損害を免責していても、証拠を保存すべきである。透明性は、訂正、保険、公的な学習を支える。条件が遵守されたとだけ発表する非公開の調査は、適切な注意が払われたかどうかを立証することができない。
独立した審査は、機関がログを管理し、契約を解釈し、救済の資金を提供する場合に特に重要である。審査者は、技術的および法的な能力、利益相反ルール、復旧を命じたり補償を推奨したりする権限を必要とする。公開された編集済みの所見は、セキュリティの詳細を暴露することなく、将来の管理を改善することができる。
指標は制度上の約束を監査可能な基準に変える
公衆は、契約文面だけから対称性を評価することはできない。各 RIR は、高影響措置に関する一貫した年間の指標セットを公開すべきである。最低限、提案され課された停止、登録解除、移転凍結、エンフォースメントによって生じた RPKI や逆引き DNS の変更、不服申立て、覆された決定、緊急復旧、信頼できるエラーを認識するまでの時間の中央値および最大値、復旧時間の中央値および最大値である。
分母が重要である。10件の覆された決定は、12件の措置と10,000件の措置とでは異なる意味を持つ。報告書は、定型的なクローズと争いのある措置を分離し、どれだけのアクティブな登録や経路広報されたプレフィックスが影響を受けたかを特定すべきである。脆弱な顧客を名指しすることなく、重大度の帯域を記述すべきである。
インシデント報告は、管理の失敗を特定すべきである。誤った本人確認、不正アクセス、ソフトウェアの欠陥、ポリシーの誤適用、データレプリケーションの遅延、通信障害などである。何が変更され、その変更が再発を防止したかどうかを述べるべきである。単に責任が認められなかったという主張は、運用上の価値をほとんど提供しない。
財務報告は、秘密の和解を暴露することなく、保険の総額、運用インシデントに備えた積立金、支払われた補償を開示すべきである。もし機関が、無制限のエクスポージャーが安定性を脅かすと考えるならば、公衆は、代わりに構築された限定キャパシティを確認できるべきである。
これらの措置は、利用者だけでなくレジストリにも利益をもたらす。これらは、懸念される大惨事と実際のパフォーマンスを区別し、不服申立てが機能しているかどうかを明らかにし、より正確な価格設定を支援する。迅速な訂正の強力な実績は、広範な法文単独よりも説得力をもって責任上限を正当化し得る。
限定的な補償モデルは可能である
選択肢は、年会費の返金と無制限の事業損失との二者択一ではない。共有レジストリは、段階的な責任を構築することができる。
第一のレベルでは、通常のサービス障害に対してサービス料金が返金され得る。第二のレベルでは、証明されたレジストリの誤りによって生じた、文書化された直接の技術的回復コストが、より高い上限まで償還され得る。第三のレベルでは、重大な過失、長期化する非復旧、または深刻な管理上の弱点が立証された場合に、別途管理されるインシデント基金または保険契約が、例外的で深刻度の高い損害に対処し得る。
間接的で投機的な損害は除外されたままでよい。請求者は、軽減措置を証明し、保険による回復を開示すべきである。二重の回復は禁止されるべきである。時間制限と証拠要件は明確であるべきである。独立したパネルは、すべてのインシデントを何年もの訴訟に変えることなく、適格性を判断できる。
基金は、番号資源を財産として扱ったり、認識された市場価値の一定割合を課金したりすることなく、控えめなリスク積立金によって賄われ得る。権威あるサービスが全構成員に利益をもたらすため、拠出金は主に社会化されたままとなり得る。よりリスクの高いオプショナルサービスには、正当化される場合に追加のカバレッジが付帯するかもしれない。
このようなモデルは、あらゆる法的な問いを解決するわけではない。しかし、自らの高い信頼性を要求される機能が破綻した場合に、機関が何らかの結果を受け入れることを示すだろう。その受け入れは、たとえ支払いが完全な逸失利益ではなく、直接の回復のみをカバーするとしても、正当性を向上させ得る。
最も強力な保護措置は、依然として予防と復旧である。長期化する紛争中に失った顧客を、金銭で容易に回復することはできない。金銭的責任は、インセンティブをそろえ、損害を認識するために重要であるが、厳格な運用管理の背後に置かれるべきである。
承認には継続性と救済のテストを含めるべきである
IANA 番号資源ページは、RIR、地域または国別レジストリ、プロバイダー、利用者の階層を通じた、IP アドレスと AS 番号のグローバルな調整について説明している。この構造は、制度的な継続性に依存している。もし、ある認知されたレジストリが機能しなくなった場合、別の通常のベンダーが、翌朝に競合する権威ある台帳を単純に公開することはできない。
その依存は、承認と定期的な説明責任への現代的な拡張を示唆している。RIR は、テストされたバックアップ、安全な管理移転、緊急時の記録継続性、独立した審査、証明された運用上の損害に対する資金提供された対応を実証すべきである。これらは、IANA や ICANN が資源を所有しているという主張ではない。それらは、単一の地域サービスを信頼するための条件である。
ICP-2 は既に、承認を専門的な運営、継続性、コミュニティの支援と結び付けている。定期的な証拠は、承認を日常的な企業管理に変えることなく、これらの原則を具体化することができる。各機関は、自らの契約と運営に責任を負い続ける一方で、より広範なシステムは、不可欠な保護措置が存在することを検証するだろう。
テストには、困難なシナリオを含めるべきである。争われている企業支配権、侵害された資格情報、裁判所命令、長期化するガバナンスの麻痺、データ破損、主要サイトから運用できない状況などである。成功した演習は、台帳を保存し、誰が変更を承認できるかを特定し、審査可能な記録を維持すべきである。また、誤った緊急措置がどのように覆され得るかを示すべきである。
継続性計画は責任の対称性の一部である。なぜなら、最大の損害は、一人の不注意な従業員からではなく、制度上の無能力から生じ得るからである。重要な記録を保持する企業は、法的紛争が継続していても、サービス層で代替可能でなければならない。
NRS は非対称性の反復を避ける場合にのみ将来の方向性となり得る
将来の番号資源社会(Number Resource Society)モデルは、スチュワードシップ義務、継続性、利用者の代表をより明確にするならば、役立ち得る。共有インフラ、可搬性のあるサービス関係、独立した審査は、単一の企業相手方への依存を低減し得る。そうした社会は、補償積立金を支援し、共通のインシデント指標を公開し得る。
呼称だけでは何も証明されない。同じ一方的な権限を留保し、同じ運用上の依拠を引き付け、同じ狭い救済を用いる新しい機関は、問題を再生産するだろう。また、社会が単に記録を維持しているという理由だけで、番号資源の所有権を主張すべきではない。その価値は、説明責任を果たすサービス設計、すなわち透明な権限、分離可能なオペレーター、強固な管理の連鎖、比例的な責任に存するだろう。
したがって、NRS は簡潔な前向きの方向性であり、現在の紛争に持ち込まれる答えではない。既存の RIR は、今すぐにでもほとんどの保護措置を実装できる。より良い通知、より迅速な審査、継続性の分離、復旧テスト、限定的な補償は、全面的な制度の置き換えを必要としない。
未解決の証拠が結論を律するべきである
公開された契約は、書面上の権限とリスク配分に関する実質的な事実を確立する。しかし、レジストリの措置がどれだけ頻繁に運用上の中断を引き起こしてきたか、裁判所が各条項をどのように適用するか、どれだけの不服申立てが成功するか、復旧後にどのような損害が残るかは確立されていない。ここで考慮された資料には、停止、登録解除、覆された決定、下流への影響に関する完全なレジストリ横断的な分母は存在しない。
このギャップは、現在のモデルが日常的に停止を引き起こしているとか、すべての制限条項が無効であるといった主張を妨げる。また、既存の保護措置が十分であるという確信に満ちた主張も妨げる。契約文言は可能性のある権限を示すが、運用記録は権限がどのように振る舞うかを示す。
次の研究ステップは実証的である。地域をまたいで日付付きの争いのある措置を選択する。レジストリの通知と変更履歴を保存する。措置の前後で、RPKI、逆引き DNS、ディレクトリ、経路の観測を比較する。顧客への影響と審査のタイミングを特定する。復旧が行われたかどうか、何らかの救済が利用可能だったかどうかを記録する。そして、証拠を実際に効力のある条項と比較する。
そのようなデータが公開されるまでは、ガバナンスは可逆的な決定と透明な審査に傾くべきである。損害の頻度に関する不確実性は、義務がないと想定する理由にはならない。それは、機関に観測を組み込む理由である。
最終的なテストは対称性である
法人格はレジストリモデルの基盤である。それは契約上の機関を特定し、通常の会員を自動的な個人のエクスポージャーから保護する。広範な免責条項もまた、共有された低料金のサービスを投機的あるいは破滅的な請求から保護する上で、正当な役割を有し得る。
いずれの命題も、より難しい問いに答えるものではない。レジストリの権威ある記録とリンクされたサービスは、企業の壁を越えて意図的に信頼されている。機関は、その書式に決して署名しなかった顧客にまで及ぶ結果をもたらす権限を留保することができる。その信頼がコンプライアンスを確保するために利用される場合、制度上の誤りのコストを配分する際にそれを無視することはできない。
正しい対応は、レジストリがあらゆるルーターを運用しているとか、すべてのアドレスを所有しているふりをすることではない。それは、レジストリが正確に何を管理しているかを特定することである。すなわち、記録、サービスアクセス、資格情報、逆引き委任、承認された移転、訂正である。義務はこれらの機能に付随すべきである。因果関係は、技術的および文書による証拠を通じて証明されるべきである。救済は、限定的ではあるが意味のあるままとすべきである。
ある機関は、そのプロセスが慎重であり、理由が審査可能であり、介入が狭く、継続性が保護され、誤りが迅速に復旧される場合に、敬意を払われるに値する。証明された失敗に対して比例的な結果を受け入れる場合に、より深い正当性を獲得する。単にすべての運用コストを外部に押し付ける契約は、バランスシートを保護するかもしれないが、それだけでは、損害を可能にした権限を正当化することはできない。
管理と責任は同一である必要はない。それらは同じ方向を向いている必要がある。現代のレジストリは、より強い管理がより強い注意、より強い審査、そして返金された年会費を超えて感じられる救済をもたらす場合にのみ、信頼され続けるだろう。

