要約
- 合理的な上限は、薄利で低料金の登録サービスを、自らが引き起こしたり制御したりしていない損失に対する無制限の請求から保護することができます。しかし、機関が移管承認、セキュリティ認証、停止、ルーティング介入、または希少な番号リソースの処分に対する排他的な権限を獲得するにつれて、その正当性は弱まります。
- 現在の地域インターネットレジストリ(RIR)の契約は、契約書の文言だけでは制度的正当性を判断できないことを示しています。ARIN の2025年8月15日付バージョン14.0の登録サービス契約書は、過去6ヶ月分の手数料または100米ドルのいずれか大きい方に基づく総額上限を定めているのに対し、RIPE NCC 標準サービス契約は関連する年間サービス料金に責任を限定し、APNIC の公開標準会員契約は法律が許す範囲で広範な免責を定めています。これらは契約上の立場であり、公平な責任の普遍的な尺度ではありません。
- 番号資源協会(NRS)は、各義務を制御の観点から分類すべきです。記録公開、証拠保管、移管調整、権威あるコミット、RDAP 紹介、逆 DNS、RPKI 発行、緊急停止、ルーティングアクション、リソース処分などです。異なる機能には異なる上限、免責、救済手段が必要です。
- 金銭的上限は、不正確な記録の訂正、有効な停止の遵守、サービスの復旧、証拠の保存、後継プロバイダーへの移管を制限してはなりません。これらは損害が計算される前に継続性を保護する履行救済です。
- 詐欺、意図的な不正行為、機密証拠の悪用、無許可の処分、拘束力のある停止の故意の違反、署名権限の無謀な侵害は、準拠法が許す限り、通常のサービス上限の対象外とすべきです。重複割り当てや不可逆的なセキュリティ障害には、意図的な行為がなくても専用のより高い上限が必要です。
- 共有インシデントには共有責任が必要であり、保有者にすべての内部割り当て紛争を解決させるべきではありません。請求者は決定的な障害を管理した主体から回復できるべきであり、プロバイダーは文書化された責任に従って相互に求償権を保持します。
- 最も強力な規律は事前(ex ante)です。機能固有の保険、分離された準備金、テストされた復旧、監査可能な権限、インシデント証拠、公開された総エクスポージャーです。資産や運用復旧に裏付けられていない上限は、契約上の単なる数字に過ぎません。
価格条件は責任の理論に代わるものではない
責任条項はサービス契約の最後に作成されることが多く、あたかも機関の性質を明らかにするかのように扱われます。6ヶ月分の手数料の上限はサブスクリプションを示唆します。結果的損失の免除は通常のベンダーを示唆します。顧客からの補償は、顧客の行為がほとんどの危険を生み出していることを示唆します。これらの選択は一部の行為については擁護可能かもしれませんが、契約に基づいて実行されるすべての行為が同じリスクを持つことを証明するものではありません。
インターネット番号サービスは、通常のソフトウェア契約では頻繁に分離される機能を組み合わせています。機関は、保有者に関する証拠を受け取り、権威ある登録を維持し、RDAP 情報を公開し、移管を承認し、リソース認証をホストし、逆 DNS を委任し、紛争中のアカウントをアクティブのままにするかどうかを決定できます。将来のプロバイダーは、ルート監視や緊急介入を提供するかもしれません。基本会員に対して支払われる価格は、これらすべての権限によってリスクにさらされる価値を測定するものではありません。
中心的な問題は、プロバイダーが少ししか請求しなかったかどうかではありません。それは、プロバイダーが決定的なステップを制御していたかどうかです。エラーを防ぐことができたでしょうか?変更を承認できる唯一の主体だったのでしょうか?保有者は関連する時点で代替手段を選択できたでしょうか?プロバイダーは他者の協力なしに影響を元に戻せたでしょうか?外部の者はその署名済みまたは権威ある出力に依存していたのでしょうか?
これらの質問を無視する上限は、制度的拡大を助長します。プロバイダーは責任を古くて狭い手数料に結びつけながら権限を追加できます。制御は拡大しますが、責任は拡大しません。正当な番号資源協会は逆の約束をしなければなりません。排他的制御の拡大はすべて、エクスポージャー、保護措置、財務能力の目に見える再評価を引き起こします。
上限には正当な理由がある
無制限の責任は、グローバルレジストリにとって深刻なデフォルトではありません。ネットワーク損失は莫大になる可能性があり、因果関係は争われる可能性があり、1つの不正確な公開記録が、オペレーター設定、上流フィルタリング、顧客セキュリティ、ソフトウェア欠陥、独立したルーティング決定も関与したイベントの後に引用される可能性があります。すべての遠隔損失が制限なく登録プロバイダーに請求される可能性がある場合、非営利または競争力のあるレジストラはサービスを責任を持って価格設定できません。
上限は共有資金も保護します。会員支援機関は、弱く結びついた1つの請求が全員のサービス維持に必要な準備金を消費することを許すべきではありません。予測可能なエクスポージャーは、保険、継続計画、小規模プロバイダーの参入を支援します。市場が主権保証人や巨大なバランスシートを持つテクノロジー企業のみに利用可能になるのを防ぎます。
上限の議論は、サービスが薄い場合に最も強力です。レジストラが公開ルールに基づいて権限を確認し、署名された指示を共通コーディネーターに送信し、証拠を保持し、受け入れられた状態の正確なコピーを公開するとします。それは割り当てポリシーを決定せず、共通の署名権限を制御せず、ネットワークを運用せず、保有者がレジストラを変更するのを防ぎません。その手数料は、意味のある最低額と不正行為の除外を条件として、通常の総額上限を合理的に決定することができます。
それは免責ではありません。レジストラは依然として制御する義務を負います。安全な認証、タイムリーな送信、正確な処理、機密性、通知、レビューへの協力です。しかし、自律ネットワークによるルーティング決定のすべての結果に対して、その名前がチェーンに現れるという理由だけで保険をかけるべきではありません。目的は限定された責任であり、象徴的な罰ではありません。
現在の RIR 契約は基本的な問題を示している
現在の契約は文言と管轄権において異なっていますが、それぞれが通常の契約上の配分が番号記録の経済的重要性からどれだけかけ離れているかを示しています。ARIN の2025年8月15日付バージョン14.0の登録サービス契約書は、インシデント前の6ヶ月間に支払われた手数料または100米ドルのいずれか大きい方に等しい総額上限を定めています。また、広範なカテゴリーの間接的および結果的損失を除外しています。
RIPE NCC 標準サービス契約は、その責任は関連する会計年度の会員のサービス料金に相当する最大額に限定されると規定しており、契約および適用される法律に従います。APNIC の公開された標準会員契約は、法律で許容される範囲で、会社は契約、APNIC 文書、または委任されたリソースから生じる責任を排除し、その排除と会員による補償を組み合わせています。
これらの条項は、劇的にではなく正確に読まれるべきです。それらは異なる法律、バージョン、および機関の歴史の下で生じます。条項は強行法によって制限される場合があります。裁判所は過失、故意の行為、法定義務、第三者の請求、および非金銭的救済を区別する場合があります。テキストだけではすべての結果を予測するものではありません。
比較は、いずれかの RIR が損失を引き起こしたことや特定の上限が執行不能であることを証明するものでもありません。それは設計上の問題を明らかにします。保有者は、年間手数料を何桁も超える運用上の重要性を持つ登録および関連サービスに依存する可能性があります。将来の機関がより強力な移管、認証、または介入権限を追加する場合、継承された手数料ベースの上限を維持することは、サービスの性質を変えながら古いリスク配分を維持することになります。
契約の執行可能性は管轄権に依存する
世界的な記事が1つの責任条項をどこでも有効または無効と宣言することはできません。契約法は、組み込み、解釈、過失、故意の行為、公序良俗、標準条項、交渉力、強制的な救済について異なります。会員、事業顧客、消費者、受益者、または第三者の地位も分析を変えます。
英国の1977年不当契約条項法は、世界的な答えを提供することなく、この点を示しています。これは過失による死亡または人身傷害に対する責任の排除を防止し、特定のその他の過失制限および標準条項の制限を合理性要件に服させます。法定テストは、契約が締結されたときに知られていたまたは考慮されていた状況を考慮します。他の管轄権は異なる法理および法定境界を使用します。
番号資源協会は、選択された1つの法廷で可能な限りプロバイダーに有利な解釈に依存すべきではありません。それは、ローカル法を認識しながらプロバイダー間で適用可能な実質的な責任基準を公表すべきです。この基準は、どの障害が上限付きか、どの障害がより高い専用上限を持つか、どの障害が通常の上限外にあるか、どの訂正義務が金銭的請求でないかを示します。
このアプローチは確実性を向上させます。プロバイダーは資格に必要な最小リスク配分を知っています。保有者は、根本的に異なる免責を解析することなくオファーを比較できます。独立したレビューアは、紛争が因果関係、金額、除外、または即時復旧に関するものであるかを特定できます。ローカル法は依然として執行可能性を支配しますが、機関は法的断片化を使用して意図された配分を隠すことはありません。
制御テストは5つの質問から始まる
すべての機能は、5つの実用的な質問を通じて検討されるべきです。第一に、関連する変更を行う排他的権限を持っていたのは誰か?単にリクエストを送信するだけのレジストラと、現在の状態としてそれを受け入れることができるコーディネーターは異なります。異常を報告する監視会社と、資格情報を取り消すことができる機関は異なります。
第二に、決定的な証拠を所有していたのは誰か?あるプロバイダーが、保有者や他のプロバイダーが利用できない身元記録、承認履歴、署名ログを保持していた場合、何が起こったかを立証する能力を制御していました。証拠の保管は、最終決定を別の主体が行った場合でも責任を生み出します。
第三に、誰が影響を停止または元に戻すことができたか?即時停止をかけたり、以前の記録を復元したり、交換資格情報を発行できるプロバイダーは、サポートリクエストしか送信できないプロバイダーよりも多くの制御を持ちます。利用可能な復旧メカニズムを使用しなかったことは、不能と同じように扱われるべきではありません。
第四に、損害発生時点でその主体はどの程度代替可能だったか?顧客は名目上のプロバイダー選択肢を持つかもしれませんが、紛争中に実行可能な離脱方法を欠いている可能性があります。排他的制御と困難な出口は、より高い上限を支持します。
第五に、第三者が合理的に依存していた出力は誰のものか?RDAP ユーザー、相手方、ルートセキュリティシステムは、記録や暗号文に基づいて行動することがあります。権威あるアサーションは、助言的なレポートよりも大きな依存面を持ちます。これらの質問は一緒に機能マップを生成します。企業形態、非営利ステータス、低料金は依然として関連しますが、実際の制御を消去することはできません。
登録サービスは梯子の低い位置に属する
最も低い責任帯は、共通ルールの下での登録事実の正確な受信、保存、公開をカバーします。プロバイダーは、必要なフィールドと証拠が完全であることを確認し、機密資料を保護し、許可された変更を提出し、履歴を維持し、保有者のリクエストに応答します。共通権限の所有者を決定したり、ルーティングを変更したりしません。
合理的な上限はここで適切です。なぜなら、エクスポージャーは保険可能でなければならず、参入は可能でなければならないからです。しかし、ほとんど経済的価値のない上限は注意を損なうでしょう。NRS は、年間手数料の倍数、1回のインシデントあたりの固定額、およびプロバイダーの顧客数または管理リソースに結びついた総額のうち、大きい方として表される下限を要求すべきです。正確な数字は、政治的な劇として発明されるのではなく、保険の証拠とともにレビューされるべきです。
プロバイダーは、提供されなかったサービスの料金の払い戻し、自社の記録の訂正、保有者資料のエクスポート、移管への協力について完全な責任を負うべきです。料金の払い戻しだけでは、不正確な記録に対する適切な回答にはなりません。金銭的補償と履行は別個のものです。
プロバイダーは、許可された指示を正確に送信し、必要な管理を遵守し、後のネットワークイベントに対する権限がなかったことを示すことで防御できます。ここで、制御に敏感なモデルは良いレジストラを保護します。すべての参加者が同じリソースに触れたという理由だけで、すべての参加者を連帯責任にすることはありません。どの義務が失敗し、どの主体がその義務を負っていたかを問います。
証拠の保管は権限よりも先に責任を生じさせる
レジストラは、最終決定を行わなかったと主張するかもしれませんが、それでもその決定に異議を唱えるために必要な唯一の証拠を保持している可能性があります。身分証明書、企業権限、移管同意、セキュリティ警告、タイムスタンプ、通信は、行為が許可されたかどうかを決定することができます。これらの資料を紛失または留保することは、可逆的な紛争を不可逆的な結果に変える可能性があります。
したがって、証拠の保管は単なる公開よりも上位に位置します。排他的な保管を選択するプロバイダーは、完全性、アクセス制御、保持、エクスポート、法的ホールドを維持しなければなりません。保管を委任する場合、保有者が独立したサービスとして保管者と知って契約しない限り、保管者の選択と監督について責任を負います。
責任は、資料の機密性と代替不可能性を反映すべきです。通常の事務的な遅延は基本上限内に留まる可能性があります。紛争の通知後の破棄、機密証拠の無謀な露出、またはタイムリーなレビューのための必要な記録の提供拒否は、より高い帯域または除外を引き起こすべきです。区別は行為と効果に依存し、ファイルがサポートデータと呼ばれたかどうかには依存しません。
NRS は収集を最小限にすべきです。なぜなら、責任は抑制の代わりにはならないからです。レジストラは、ファイルを包括的に見せるためだけに、商業計画、個人文書、ネットワーク詳細を収集すべきではありません。特定された義務が必要とするものを収集し、保持期間を明記し、検証済みの訂正を許可します。証拠保有が狭いほど、保護と移管が容易になります。責任は、制度的欲求によって生み出された監視ではなく、必要な保管を追跡します。
移管調整には取引固有の上限が必要
移管は、希少なリソースに関するサービスプロバイダーまたは認識された保有者関係を変更します。遅延、盗難、重複、または誤った拒否が発生する可能性があります。コーディネーターは、指示を認証し、紛争ホールドを適用し、承認を順序付け、最終結果を公開する場合があります。これらは通常のサポート行為ではありません。
ICANN 移管ポリシーは、ドメイン市場におけるプロバイダー変更のための有用な比較対象を提供します。獲得レジストラは権限を取得し、レジストリは移管情報を検証し、喪失レジストラは定義された義務と限定的な拒否理由を持ち、共有レジストリはスポンサリングレジストラを変更します。類推は正確ではありませんが、責任を行為ごとに分割でき、完全に1つのプロバイダーに割り当てる必要がないことを示しています。
番号リソースの場合、獲得レジストラは認証と正確な提出リスクを負うべきです。喪失レジストラは、資格情報のリリース、通知、証拠保存、限定された異議に関する義務を負うべきです。共通コーディネーターは、順序付け、一意性、最終状態の正確性、有効なホールドの執行を負うべきです。2つの現在のプロバイダーを受け入れたり、拘束力のある停止にもかかわらず移管を実行したりする場合、その制御は決定的であり、その上限は小売レジストラのものよりも実質的に高くすべきです。
取引上限は低料金を超えて存続すべきです。プロバイダーは移管調整を安く販売し、その後、価格を使用して誤って指示できるリソースの最大値を定義することはできません。価格設定は上限に寄与する可能性がありますが、権限、希少性、可逆性はより大きな重みを持つべきです。
重複割り当ては事務的なミスではなく、制度的な失敗である
RFC 7020は、登録精度を中核要件として説明し、一意性とは IP アドレスと AS 番号が同時に複数の当事者に割り当てられないことを意味すると述べています。この要件は、共通の調整機能にその最も強力な正当性を与えます。また、重複割り当てを特別な責任カテゴリーにします。
公開連絡先のタイプミスは、限定的な直接損失で修正される可能性があります。同じプレフィックスに対して2つの認識された現在の保有者がいる場合、移管、契約、RDAP 応答、逆 DNS、リソース認証を汚染する可能性があります。ルーティングが自動的に記録に従わない場合でも、競合は多くの依拠当事者に不確実性を生み出す可能性があります。
したがって、最終的な一意性チェックを制御する主体は、重複受け入れに対して専用のより高い上限を負うべきです。緊急調査、通知、復旧、専門家アドバイス、直接的に実証された損失のために十分な準備金と保険を維持すべきです。繰り返しの失敗は、予測可能なサービス信用を消費するだけでなく、資格を脅かすべきです。
ルールは、実際の二重割り当てと、競合する私的請求や無許可のルートアナウンスを区別しなければなりません。2つの会社が制御を争っている一方で、共通記録には1つの現在のステータスと紛争マーカーが表示される場合があります。2つの自律システムは、レジストリがプレフィックスを2回割り当てることなく、重複するルートをアナウンスする場合があります。責任は発生した失敗に従います。精度は、すべての競合について機関が非難されるのを防ぎながら、その独自の義務が真剣に受け止められることを保証します。
RDAP 権限は依存面を創出する
RDAP はリソースを割り当てたりパケットを指示したりしませんが、ユーザーが権威ある登録情報を見つけて取得するのを助けます。RFC 9224は、IANA が維持するブートストラップレジストリが、クライアントを IP スペースと AS 番号の権威あるサービスにどのように向けるかを説明しています。アドレスの場合、クライアントは最長一致ロジックを使用します。AS 番号エントリは、範囲をサービスロケーションにマッピングします。
この設計は、紹介を基礎となる登録から分離します。ブートストラップ層でのエラーは、ユーザーを間違ったサービスに送る可能性があります。レジストラでのエラーは、不正確な保有者またはステータス情報を返す可能性があります。クライアントでの古いキャッシュはさらに別の原因を生み出します。責任はそれらを一つにまとめるべきではありません。
NRS は直接的な RDAP 義務を定義すべきです。正確な権威範囲、認証されたトランスポート、タイムリーな更新、可用性目標、明確なステータス、保存された履歴、証明されたエラーの迅速な修正です。通常の上限は短いサービス中断をカバーするかもしれません。プロバイダーが意図的に虚偽の権威範囲を提供したり、検証済みの破損を無視したり、永続的な紹介競合を引き起こしたりする場合には、より高い上限が適用されるべきです。
公衆の依存は非金銭的救済も支持します。保有者または影響を受けるネットワークは、最終的な損害を証明することなく、緊急の修正または目に見える紛争通知を要求できるべきです。機関は以前の応答を保存し、修正時刻を公開すべきです。上限は、権威あるエラーをオンラインに残す権利を購入することはできません。
RPKI は機関をルーティングの結果に近づける
登録とルーティングは別個のものです。RFC 7020は、アドレスがアナウンスされるかどうか、およびどのようにアドバタイズされるかは、インターネット番号レジストリシステムの範囲外の運用上の考慮事項であると述べています。この境界は、すべてのルートリークがレジストリの行為であるという請求からレジストリを保護します。しかし、RPKI はリソース権限とルーティング決定の間により密接なリンクを生み出します。
RFC 6480は、自律システムがプレフィックスへのルートを発信する権限があるかどうかを検証するために使用されるリソース証明書、署名オブジェクト、リポジトリを説明しています。Route Origin Authorization は、発信 AS に対する保有者の承認を表します。ネットワークオペレーターは依然として検証ポリシーを選択し、ルーティング決定を行いますが、認証階層はルートが有効、無効、または不明として扱われるかどうかに影響を与える可能性があります。
保有者の鍵を制御せずに委任された RPKI をホストする機関は、保有者に代わって発行および失効できるホステッドサービスよりも直接的な権限が少なくなります。署名された素材を再公開するだけのプロバイダーは、トラストアンカーオペレーターとは異なります。責任はこれらの区別に従わなければなりません。
ホステッド署名、鍵の回復、失効、リポジトリ公開は、より高いセキュリティ帯域を必要とします。無許可の失効、誤った証明書の撤回、署名制御の喪失、または既知の破損の復旧の失敗は、直接的な運用上の影響を与える可能性があります。プロバイダーは、すべてのネットワークによって行われるすべてのフィルタリング決定に保険をかけるべきではありません。それは、自分だけが実行できた暗号化および公開行為に対して実質的な責任を負うべきです。
直接的なルーティング制御は取引を完全に変える
番号資源協会は、緊急ルート抑制、調整されたフィルタリング、またはネットワークパートナーへの自動指示を提供することを検討するかもしれません。そのようなサービスは、ハイジャックや裁判所監督下の緊急事態において価値がある可能性があります。また、記録権限からネットワーク動作の変更への境界を越えることになります。
機関が参加者にアナウンスを拒否させ、ルートを撤回させ、または広く消費されているルーティングフィードを変更させることが直接できる場合、その通常のレジストリ上限は変更されずに存続できません。関連するエクスポージャーには、保有者、下流の顧客、指示に依存したネットワークへの中断が含まれます。機関は、誰が行動を承認するか、どのような証拠基準が適用されるか、期間がどのように制限されるか、行動がどのように逆転されるか、影響を受ける当事者がどのように即時レビューを得るかを定義しなければなりません。
より高い上限は、機能がオプションとして販売されている場合でも適用されるべきです。相手方が自動化された依存を開始すると、機関は結果的に重要なレバーを制御することになります。小さな手数料はレバーを小さくしません。
これは、すべてのインターネット到達可能性に対して無制限の責任を要求するものではありません。ネットワークは自律性を保持し、独立した障害が因果関係を断つ可能性があります。契約条件は、遠すぎる損失や機関の制御外のオペレーター決定から生じる損失を除外することができます。重要なルールはより狭いです。機関は、ディレクトリクエストに応答しただけの場合と同様に責任を価格設定しながら、ルート変更権限を行使することはできません。
リソース処分には最高の民間責任帯域が必要
最も結果的な行為は、ある保有者がもはやリソースを制御せず、別の保有者がそれを受け取る可能性があると決定することです。これは、移管、合併、破産、放棄、詐欺判決、裁判所命令、または執行決定を通じて発生する可能性があります。それは登録プロバイダーを変更するのと同じではありません。
NRS が薄い登録役割のみを主張する場合、一方的な処分権限を持つべきではありません。争われている変更には、検証済みの保有者同意、有能な外部命令、または明確に受け入れられたルールの下での独立した決定が必要です。機関は、アドレススペースを所有しているふりをすることなく、結果を記録および実装できます。
それでも機関が決定的なコミットを制御する場合、最高の上限、迅速な暫定救済、広範な除外に直面すべきです。無許可の処分は、ネットワークから希少な運用リソースを奪い、契約を混乱させ、元に戻すのにコストがかかる競合する請求を生み出す可能性があります。損失は年間会費によって公正に測定されるものではありません。
最高帯域は、合理的な復旧費用、直接的に証明された中断、制御を回復するために必要な専門家費用、および準拠法によって認識されるその他の損失をカバーするべきです。詐欺、権限の故意の転用、停止の故意の無視、および共謀は、法律で許される場合、通常の上限外に置かれるべきです。資格団体は、補償とは独立して、職員またはプロバイダーを停止できるべきです。事後のお金は、希少なリソースに対する権力に対する唯一の規律であってはなりません。
結果的損失の除外には機能的な境界が必要
プロバイダーは、遠隔のネットワーク効果を予測および定量化するのが難しいため、逸失利益、のれん、間接的、特別、または結果的損害を除外することがよくあります。いくつかの境界は必要です。それがなければ、軽微な遅延が、保有者が獲得したかもしれないと言うすべての契約に基づく請求を生み出す可能性があります。
難しいのは、継続サービスの直接の目的は中断を防ぐことです。プロバイダーがホステッド RPKI 素材を不当に失効させたり、無許可の移管を実行したりする場合、サービスの喪失は最も予見可能な結果であり、遠隔の驚きではありません。すべての運用上の影響を結果的と呼ぶことは、中核的な義務を空洞化するでしょう。
NRS 契約は、機能ごとに回復可能な名目を定義すべきです。薄い登録の場合、直接的な訂正、再認証、移管費用が中心になるかもしれません。ポータビリティサービスの場合、復旧、重複取引の逆転、合意された継続保証が直接的なものになるかもしれません。ホステッド RPKI の場合、緊急証明書の復旧と合理的なインシデント対応が直接的なものになるかもしれません。より広範な機会損失や風評被害の請求は、故意の行為や強行法が別段の定めをしない限り、制限されたままにできます。
この起草は、普遍的なラベルよりも正直です。それはプロバイダーに何を保険すべきか、保有者にどのような証拠を保持すべきかを伝えます。また、レビューアが、継続性を約束しながらそれを失うすべての結果を除外する契約と、誇張された請求を区別するのを助けます。
サービス信用は高制御機能には十分ではない
サービス信用は、損害がサブスクリプション価値とおおよそ一致する場合に機能します。遅延したダッシュボードや短いサポート中断は、手数料を減額することで対応できます。信用は管理が容易で、些細な損失に関する訴訟を回避します。
レジストリエラーは異なる場合があります。年間手数料は数百または数千である一方、影響を受けるネットワークは病院、公共サービス、商業プラットフォーム、または地域の接続性をサポートする可能性があります。信用は移管を復元せず、誤った保有者エントリを修正せず、失効したセキュリティ認証を修復しません。
NRS は、権威ある状態を変更しない可用性のミスに対して信用を保持できます。不当な停止、重複割り当て、無許可の移管、停止の違反、署名権限の喪失、またはポータブル記録のリリース拒否に対して、信用を排他的な救済手段にすべきではありません。これらのインシデントには、最初に復旧、次に該当する帯域の下での補償が必要です。
契約はまた、プロバイダーがすべての失敗を可用性イベントとラベル付けするのを防ぐべきです。サービスが技術的にリクエストに応答しながら、破損した権威あるデータを返した場合、アップタイムは関連する義務ではありません。パフォーマンス測定は機能に従わなければなりません。記録の正確性、移管のタイムリーさ、署名の完全性、ホールドのコンプライアンス、継続性の復旧時間です。
訂正救済は金銭的上限の外側に位置しなければならない
損害賠償上限は、正しいことを行う義務を制限すべきではありません。プロバイダーが不正確な記録を保持している場合、それを修正またはマークしなければなりません。失敗の前に有効な移管を受け取った場合、後継者は変更を完了できる必要があります。レビューアが一時的な停止を命じた場合、共通コーディネーターはステータスを保存しなければなりません。資格情報が誤って失効された場合、責任ある主体はそれらを安全に復元しなければなりません。
これらの義務は履行の形態であり、資金のプットへの請求ではありません。プロバイダーが小さな上限を支払い、違反状態を保持することを許可する契約は、責任を制御の購入価格に変換します。それは、正確性と継続性に依存する登録機関とは相容れません。
NRS は、記録訂正、証拠保存、エクスポート、ポータビリティ協力、拘束力のある決定の遵守、緊急復旧を総損害賠償上限の外側に明示的に置くべきです。これらの義務を履行するためにプロバイダーが負担した費用は、有効な金銭的請求に利用可能な金額を減少させるべきではありません。
裁判所と仲裁機関は、付与できる救済手段が異なります。制度的ルールは依然として意図された優先順位を述べることができます。継続性を保存し、進行中の害を停止し、権威ある状態を確立し、その後にのみ補償を決定します。この順序はすべての当事者の損失を減少させ、上限紛争が技術的修復を遅らせるのを防ぎます。
除外は狭く、重大で、可視的であるべき
通常の上限は、請求者が警告的な形容詞を使用するたびに消えるべきではありません。広すぎる除外は予測可能性を破壊し、すべての過失請求を重大な過失として訴えられるようにします。カテゴリーは識別可能な行為と機能に結びつけられるべきです。
最も強力な候補は、詐欺、故意の不正行為、機密証拠の故意の悪用、拘束力のある裁判所または独立レビュー停止の故意の違反、署名資格情報の無許可の個人的使用、故意の重複認識、リソース転用における共謀です。準拠法はすでにいくつかの行為の除外を制限している可能性があります。
重大な過失または無謀な無視も除外を正当化する可能性がありますが、契約は適用される法律との関係を定義すべきです。1つのシステムへのパッチを遅らせることは自動的に無謀ではありません。権威あるオブジェクトに署名し続けながら、繰り返し検証された侵害警告を無視することは無謀である可能性があります。
一部のイベントは、無制限のエクスポージャーではなくスーパーキャップに値します。偶発的な重複割り当て、失敗したバルク移行、またはセキュリティ制御の欠陥は、意図的な行為なしに関連する害を生み出す可能性があります。保険と準備金によって支えられた専用の上限は、機関の支払能力を維持しながら、名目上の基本上限よりも現実的な回復を提供できます。
スケジュールは公開され、読みやすいものであるべきです。保有者は、インシデント後にのみ、除外がプライベートプロバイダー追補にのみ存在することを発見すべきではありません。プロバイダーはより高いオプションカバレッジを提供できますが、資格には、小売条件によって引き下げることができない共通の最小値が含まれなければなりません。
因果関係は説明責任と公平性の両方を保護する
制御に敏感な責任は、その後に続くすべてに対する厳格な責任ではありません。請求者は依然として、違反された義務を認識された損失に結びつけなければなりません。虚偽の RDAP 記録は恥ずかしいかもしれませんが、漏洩した BGP アナウンスによって引き起こされたルーティング停止とは無関係かもしれません。遅延した移管は機器の故障と同時に発生する可能性があります。有効な ROA は、ルートオリジン検証を実行しないネットワークによって無視される可能性があります。
機関は、因果関係をテスト可能にする証拠を保存すべきです。リクエストとコミットの時間、認証結果、ステータス変更、資格情報イベント、公開履歴、通知、復旧アクションです。請求者は、ネットワーク観測、契約、緩和手順、および損失に関連するその他の資料を提供すべきです。どちらの側も唯一の説明を制御すべきではありません。
複数の障害が組み合わさった場合、責任は分割される可能性があります。レジストラは認証を誤って処理し、コーディネーターは異常を無視し、オペレーターはアカウントを保護できない可能性があります。損害評価は、準拠法が許可する場合、比較責任を反映すべきです。
したがって、モデルは2つの極端を拒否します。ルーティングは常に他の誰かの行為であるという主張に基づくレジストリ免責を拒否します。また、リソースがネットワークインシデントに現れるたびに自動的にレジストリ責任が生じることも拒否します。機能、違反、因果関係、予見可能性、緩和は依然として必要です。制御に応じて上限を移動させることは、これらの調査をより正確にし、不正確にはしません。
共有サービスには請求者保護とプロバイダー求償が必要
番号サービスにはチェーンが含まれます。保有者、小売レジストラ、身元専門家、共通コーディネーター、RDAP オペレーター、鍵管理者、クラウドホスト、独立レビューアです。障害は複数の契約にまたがる可能性があります。保有者に復旧前に各国で各主体を訴えることを要求することは、形式的な責任を無用にします。
欧州連合の一般データ保護規則第82条は、限定された類推を提供します。これは、管理者と処理者の責任をそれぞれの責任にリンクし、複数の責任主体が関与する場合の効果的な補償を保護し、全額補償を支払った主体が他の主体のシェアに対応する求償を求めることを許可します。インターネット番号サービスは類推によるデータ保護請求ではなく、この条項は自動的にそれらを規制しません。配分原則は有用です。
NRS は、定義された共有インシデントに対して保有者に1つの請求経路を与えるべきです。決定的な障害を制御した主体は、サービスを復旧し、有効な請求を満たし、その後、下請け業者またはピアプロバイダーに対して求償ルールを使用できます。プロバイダー間の契約には、互換性のある証拠、保険、紛争条件を含めるべきであり、内部配分が保有者を遅らせないようにします。
この保護は、すべてのプロバイダーを他のすべてのプロバイダーの保証人に変えてはなりません。資格ルールは、共同責任がいつ適用されるかを特定すべきです。1つの不可分な機能の共通提供、決定的な行為の共有制御、明示的な監督義務の不履行です。単なる相互運用性は十分ではありません。
アウトソーシングは残る権限を消去できない
プロバイダーは、ホスティング、身元確認、カスタマーサポート、または鍵管理をアウトソーシングする可能性があります。専門知識と復元力のためにそうするかもしれません。顧客権限を保持しながら活動をアウトソーシングし、その後誰も責任を負わないと主張することはできません。
欧州銀行監督機構(EBA)のアウトソーシングに関するガイドラインは、重要なアウトソーシング機能に対してより強力なガバナンスを要求し、規制対象機関の経営陣が責任を保持することを強調しています。銀行ルールは類推によって NRS を規制しません。それらは、重要な機能には明示的な権利、アクセス、監査、継続性、終了が必要であるという責任のロンダリングに対する成熟した対応を示しています。
ベンダーを任命する NRS レジストラは、レジストラが約束した義務について保有者に対して責任を負い、ベンダーに対する求償権を保持するべきです。ベンダーが別のオプションサービスについて保有者と独立して契約する場合、責任は明確に分離できます。決定要因は、誰がベンダーを選択し、指示を制御し、サービスをレジストラの義務の一部として提示したかです。
署名または権威ある状態の下請けは特別な精査に値します。共通コーディネーターは、鍵とレプリカがどこにあるか、制御がどのように分割されているか、交換がどのようにアクティブ化されるか、契約制限が機能と一致するかを知らなければなりません。低いベンダー上限は、高制御の制度的失敗に対する事実上の最大回復になってはなりません。
ポータビリティ法は、補償が切り替え制御に従うことができることを示している
欧州電子通信コードは、直接的なセクター比較対象を提供します。第106条は、プロバイダー切り替えと番号ポータビリティを保護し、サービス損失を制限し、遅延と濫用を禁止し、加盟国に障害、遅延、濫用、予約漏れに対する容易でタイムリーな補償ルールを確立することを要求しています。
教訓は、IP アドレスが電話番号であることや、EU 通信法がグローバル番号レジストリを規制することではありません。それは、切り替えを制御する当事者が遅延または濫用に対して結果に直面しない場合、切り替え権は不完全であるということです。受信プロバイダー、移管プロバイダー、ポータビリティ管理はそれぞれ異なるステップを制御します。
NRS は、ポータビリティ期限と責任を組み合わせるべきです。虚偽の権限を提出する獲得レジストラ、必要な資格情報を留保する喪失レジストラ、重複状態をコミットするコーディネーターは、1つの未分化の上限を共有すべきではありません。各障害には定義された救済手段と上限があるべきです。保有者は、明確な遅延に対して自動的な最低補償を受け取り、より大規模な対象損失を証明する権利を失わないようにすべきです。
自動金額は紛争コストを削減できます。それらは管理が容易で、行動を変えるのに十分な重要であるべきです。高結果インシデントは、より高い帯域と証拠の対象となります。この組み合わせにより、通常のサービス障害は救済が容易になり、稀なイベントには真剣なレビューが確保されます。
保険は企業ラベルではなく機能に従うべき
資格は、約束された制限が支払われるという証拠を要求すべきです。寛大な契約と保険や準備金のないプロバイダーは、信頼できる裏付けを持つ適度に上限のあるプロバイダーよりも少ない保護を提供する可能性があります。したがって、ポリシーは機能ごとにカバレッジを指定すべきです。
薄いレジストラは、専門家賠償責任、サイバーカバレッジ、訂正と移管協力のためのリソースを必要とします。移管コーディネーターは、認証、重複コミット、不当なホールド、バルク移行のためのカバレッジを必要とします。ホステッド RPKI プロバイダーは、それが制御するまさに署名と公開リスクを除外しないサイバーおよびテクノロジーカバレッジを必要とします。処分権限を持つ機関は、はるかに強力な準備金とカバレッジ体制を必要とします。
ポリシーは、除外、適用範囲、集約、下請け業者、鍵侵害、職員による故意の行為、プロバイダー障害後の継続性について精査されるべきです。保険証明書の存在だけでは十分ではありません。NRS は機密詳細を受け取り、カバレッジ帯域と更新ステータスの安全な要約を公開すべきです。
自己保険は、十分に資本化された機関にとって正当であり得ますが、準備金は分離され、モデル化されたインシデントに対して測定されるべきです。通常の運用に必要な会員資金は、継続準備金と請求能力の両方として二重にカウントされるべきではありません。目的は、機密のポリシー条件を公開せずに信頼できる支払いです。
総額上限は相関インシデントを考慮しなければならない
年間総額上限は、共有障害後の最初の請求者によって使い果たされる可能性があります。これにより、1つの破損した更新が数百のリソースに影響を与えた場合でも、保有者間の競争が生じます。また、プロバイダーは相関インシデントを多くの無関係な小さなイベントとして扱ったり、逆に1つの小さな上限の対象となる1つのイベントとして扱ったりすることができます。
NRS は、原因と機能によって集約を定義すべきです。1つの侵害された署名鍵から生じる請求は、1つのセキュリティイベントを形成する可能性がありますが、専用の総額は影響を受けるリソースの数と規模を反映しなければなりません。プロバイダー全体の移行エラーには、別のカタストロフィ層が必要になる場合があります。通常の無関係な事務的ミスは、年間基本総額の下に留まることができます。
契約は、請求がどのように優先されるか、復旧費用がプールの外にあるかどうか、後で発見された請求がどのように処理されるかを明記すべきです。重要な公共サービス事業者は、他の事業者よりも前にすべての補償を秘密裏に受け取るべきではありません。ただし、継続措置は、公開された緊急基準の下で即時の人的影響を適切に優先する場合があります。
総エクスポージャーはストレステストされるべきです。モデルには、同時移管破損、鍵管理者の喪失、虚偽の RDAP 範囲、プロバイダーの支払不能、移行中の裁判所紛争を含めるべきです。結果は、準備金、カバレッジ、プロバイダー集中に影響を与えるべきです。1つのベンダーがほとんどのレジストラをサポートしている場合、名目上別個の上限は1つの相関依存関係を隠す可能性があります。
請求期間は発見の遅れを尊重しなければならない
レジストリは最終性を必要とし、証拠を永遠に保持することはできません。それでも、一部の失敗は数ヶ月後に発見されます。特に、侵害されたアカウントによって隠された無許可の変更や、移管中にのみ明らかになる履歴証拠の喪失です。極端に短い請求期間は隠蔽を助長し、レビューを弱体化させます。
通常の期間は、保有者がイベントを認識したか、合理的に認識すべきであった時から進行し、法律で許可されるより長い最終制限に従います。詐欺と故意の隠蔽は異なる扱いを必要とする場合があります。即時訂正の要求は、損害通知が遅れたという理由だけで拒否されるべきではありません。権威ある正確性は継続的な義務です。
プロバイダーは、結果的な変更について複数の検証済み役割に通知を送信すべきです。サイレントな記録更新は、効果的な通知を受けなかった保有者に対して期間を開始すべきではありません。通知は、機密資料を公開せずに、リソース、アクション、時刻、権限カテゴリ、異議経路を特定すべきです。
NRS はまた、改ざん防止イベント履歴を請求を評価するのに十分な長さ保存すべきです。保持期間には、移管、セキュリティ、法的リスクに関連した理由が必要です。個人文書の無制限の保存は必要ありません。変更されたものの耐久性のある証明は、暗号コミットメントと独立した証人記録を通じて、より機密性の高い証拠よりも長く存続できます。
保有者とオペレーターは注意義務を保持する
制度的制御に応じて責任が移動しても、保有者が自身の義務を免れるわけではありません。オペレーターは、アカウント管理者、連絡先の正確性、資格情報のセキュリティ、ルート設定、ROA コンテンツ、監視、アラートへのタイムリーな対応を制御します。繰り返される侵害通知を無視する保有者は、損失に寄与する可能性があります。
契約は、不可能な保証にすることなく、合理的なセキュリティ義務を特定すべきです。多要素認証、役割分離、迅速な連絡先更新、移管資格情報の保護、結果的な変更の確認、インシデント協力が適切です。基準は、すべての保有者が銀行規模のセキュリティチームを持っていると仮定するのではなく、小規模ネットワークと緊急条件を考慮すべきです。
保有者による失敗は、それがイベントに関連している場合にのみ回復を減少させるべきです。古い請求連絡先は、コーディネーターの重複割り当てを許すべきではありません。弱いパスワードはアカウント乗っ取りに関係するかもしれませんが、プロバイダーが内部特権を通じて必要な承認をバイパスした場合は関係ありません。
ネットワークオペレーターもルーティング自律性を保持します。レジストリステートメントはすべての BGP 決定を強制するものではありません。オペレーターは、ルートオリジン検証、フィルター、アラートをいつ、どのように使用するかを決定します。請求はこれらの選択を検討する一方で、権威あるセキュリティエラーが依然として実質的な原因である可能性があることを認識すべきです。
緊急権限には短い時計と高い義務が必要
緊急事態は機関に制御を組み合わせる誘惑を与えます。疑わしいハイジャック、侵害された鍵、制裁命令、詐欺の申し立てにより、プロバイダーは移管を凍結し、資格情報を停止し、警告を公開する可能性があります。遅延は害を拡大する可能性がありますが、誤った緊急行為は正当なネットワークを中断させる可能性があります。
NRS は緊急権限を狭く定義すべきです。主体は法的または技術的根拠を記録し、権限ある意思決定者を特定し、期間を制限し、法律で許される場合に関係者に通知し、短期間内に独立したレビューを取得しなければなりません。一時的な停止は最終的な処分ではありません。
責任は、誠実で証拠に基づく一時的な行為と、不注意または戦略的濫用を区別すべきです。基準の下での通常の緊急行動は、意思決定者が行動できなければならないため、保護された上限を受け取ることができます。証拠が崩壊した後も制限を継続したり、必須のレビューを無視したり、商業的レバレッジのために緊急権限を使用したりすることは、より高い帯域または除外を引き起こすべきです。
インシデント中の最も強力な救済手段は迅速なレビューです。数年後の損害賠償請求は、不当な停止中にネットワークを復元できません。機関は、状態を保存し、限定された復旧を命じ、機密証拠を保護できる常時利用可能なレビューアを維持すべきです。
裁判所命令は正確な執行の必要性を排除しない
レジストリは裁判所および合法当局から命令を受け取ります。命令が有効で拘束力がある場合、機関はコンプライアンスが保有者に影響を与えるという理由だけで責任を負いません。それでも、解釈、範囲、タイミング、技術的執行を制御します。
プロバイダーは、資格のあるアドバイスを受けて信頼性と管轄権を検証し、命令が必要とする以上に実装せず、証拠を保存し、対象が曖昧な場合は明確化を求めるべきです。ある組織に関する指示は、無関係なリソースに静かに影響を与えるべきではありません。通知が禁止されている場合、制限とその有効期限を追跡すべきです。
契約は誠実なコンプライアンスを保護するかもしれませんが、間違ったリソースに対する執行、命令の有効期限後の行動、停止の故意の無視を許すべきではありません。これらの失敗は、司法命令ではなく制度的制御から生じます。
国境を越えた紛争には、独立したレビューへの公開された経路が必要です。NRS はすべての管轄権が同意することを約束できません。しかし、1つのプロバイダーが最も広い可能な解釈を精査なしに恒久的なグローバル効果に私的に変換しないことを約束できます。その場合、責任と訂正救済は、裁判所の権限ではなく、プロバイダーの執行義務に結びつきます。
制御マトリックスは取引を検査可能にする
各資格のあるプロバイダーは、機能ごとに1行の制御マトリックスを公開すべきです。行は、行為を承認する主体、実行する主体、誰が元に戻せるか、期待される効果、依存関係、基本上限、より高い上限、除外、復旧義務、保険、レビュー経路を特定すべきです。
登録公開の場合、レジストラは適度な上限の下で修正を承認および実行できます。プロバイダーポータビリティの場合、獲得レジストラが認証し、共通コーディネーターがコミットし、両方に別個の制限があります。ホステッド RPKI の場合、保有者が承認し、署名プロバイダーが実行し、トラストアンカーオペレーターが失効を制御する場合があります。リソース処分の場合、外部決定が承認し、コーディネーターが最高帯域の下で実行する場合があります。
マトリックスは曖昧なバンドルを防ぎます。プロバイダーは、責任を回避しようとするときは単なる仲介者として、従属を求めるときは権威ある守護者として自らを説明することはできません。その役割はインシデントの前に述べられます。
マトリックスの変更には通知と独立したレビューが必要です。自動化されたルート制御機能の追加、鍵管理の集中化、最終移管権限の取得は、開始前に新しいカバレッジと準備金要件をトリガーします。制御が移動すると責任も移動します。最初の請求者が機関が静かに変更したことを証明した後ではありません。
シナリオ1:通常のレジストラエラー
レジストラが保有者のオンボーディング中に非公開の連絡先フィールドを転置するとします。共通の権威ある状態は正確なままで、移管は発生せず、RDAP 公開出力は影響を受けず、レジストラは通知後数時間以内にフィールドを修正します。保有者はスタッフ時間を証明しますが、サービス中断はありません。
これは基本サービス上限の下に属します。レジストラはエラーを修正し、文書化し、検証を改善し、合意された直接額を払い戻すべきです。無制限のエクスポージャーは結果を改善しません。機関はリソース制御を変更せず、ルーティング影響も引き起こしませんでした。
ここで1つの事実を変えます。同じレジストラが、矛盾する証拠を受け取ったにもかかわらず、移管提出時に間違った組織識別子を使用します。共通コーディネーターは不一致を検出し、リクエストを拒否します。保有者は短い遅延を被ります。認証と提出はレジストラの義務であったため、移管帯域と自動遅延救済が適用されます。コーディネーターは一貫性のない指示を拒否したことに対して責任を負いません。
このシナリオは、インシデントラベルだけでは不十分である理由を示しています。両方ともデータエラーとして始まりました。2番目が結果的なトランザクションに触れたため、責任は異なります。機能と制御が帯域を設定し、語彙ではありません。
シナリオ2:共通コーディネーターが互換性のない状態を受け入れる
保有者が登録プロバイダーを変更します。獲得レジストラは権限のある役員を認証し、喪失レジストラはレビュー後に期限切れになる限定された異議を送信します。共通コーディネーターは新しいプロバイダーをコミットしますが、以前のプロバイダーの権限トークンを失効させません。両方が変更を提出でき、競合する RDAP および RPKI アクションが続きます。
これは2つの通常のレジストラミスではありません。コーディネーターはシリアル化とトークン失効を制御しました。二重権限は共通層の制度的失敗です。専用のより高い上限が適用され、即時凍結、最後の争いのない状態への復旧、依拠当事者への通知、すべてのイベントの保存、独立したレビューが行われます。
獲得レジストラは、重複トークンを検出した後に悪用した場合、責任を負います。喪失レジストラは、無許可の変更を提出した場合、責任を負います。求償は金銭的結果を分割できますが、コーディネーターは、自分だけが1つの現在の権限を確保できたため、その責任を低いサービス料金に減らすことはできません。
保有者は、3つの会社がどの契約が応答するかを決定するのを待つ必要はありません。共通の請求経路は状態を復旧し、有効な金額を支払います。内部求償は証拠に従います。
シナリオ3:ホステッド RPKI 失効
プロバイダーがオペレーターのためにホステッド RPKI を運用します。セキュリティアラートが誤って保有者アカウントを侵害済みとしてマークします。自動ルールが必要な2番目の承認なしにリソース証明書を失効させ、ルートオリジン認証が使用できなくなります。一部のネットワークはオペレーターのアナウンスを拒否し、他のネットワークはそれらを引き続き運びます。
プロバイダーはすべてのルーティング決定を命令したわけではないため、すべてのトラフィック損失に対して自動的に責任を負うわけではありません。それは失効、自動化ルール、復旧を制御しました。より高いセキュリティ帯域が適用されます。直接的な復旧、インシデントサポート、対象となる運用損失が利用可能です。プロバイダーは、遠隔または投機的な請求に異議を唱え、検証に依存しなかったネットワークを示すことができます。
プロバイダーが2人承認を要求し、保有者自身の権限のある役員が保有者が保護できなかった侵害された資格情報を使用して失効を確認した場合、責任は共有される可能性があります。従業員が料金紛争で保有者に圧力をかけるために故意に証明書を失効させた場合、通常の上限はその行為を保護すべきではありません。
したがって、同じ機能が複数の結果をサポートします。制御マトリックス、イベント証拠、明確な行為除外により、レビューアは、RPKI がすべてのルーティングを制御するか、ルーティング結果がないふりをすることなく、それらを区別できます。
シナリオ4:命令が間違ったプレフィックスを対象とする
裁判所命令が会社と紛争リソースを特定します。機関の法務チームは命令を検証しますが、オペレーターは実行中に隣接するプレフィックスを選択します。エラーはイベント記録に表示されます。その後、機関は契約が法的コンプライアンスから生じる損失を除外するため、復旧を遅らせます。
除外は適用されるべきではありません。裁判所は隣接するプレフィックスに対する行動を命令しませんでした。機関はマッピングと実行を制御しました。即時復旧は上限外にあり、高制御帯域が対象損失に適用されます。スタッフが不一致を知っていて続行した場合、除外が適用される可能性があります。
この結果は司法権限に挑戦しません。それは正確な実装を保護します。プロバイダーは合法的な命令に従い、紛争の保険者になることなく、自分だけが実行する技術的行為に対して責任を負い続けるべきです。
このシナリオは、理由とイベント履歴が重要である理由も示しています。法的措置が発生したことのみを述べる曖昧な記録は、命令または実装が害を引き起こしたかどうかを不明瞭にします。正確な権限、範囲、実行証拠は、裁判所、機関、保有者を保護します。
ガバナンスはインシデント前ではなく後に上限をレビューすべき
NRS は、アクチュアリー、ネットワーク、セキュリティ、保険、契約、オペレーターの専門知識を持つ独立した責任委員会を設立すべきです。機能帯域を毎年および重要な変更後にレビューすべきです。プロバイダーは、自身の新しい権限がより高い上限に値するかどうかを判断する機関を制御すべきではありません。
委員会は、私的当事者を公開せずに請求経験、ニアミス、カバレッジ除外、復旧テスト、集中、管理リソースの経済的価値の変化を検討すべきです。最低制限を変更する理由を公表すべきです。小規模保有者と第三者のユーザーが結果を負う場合、会員投票だけでは十分ではありません。
ストレステストには、プロバイダーの支払不能と制度的失敗を含めるべきです。高い上限は、プロバイダーが消滅した場合無意味です。エスクローされた証拠、ポータブル資格情報、後継者手配、分離された準備金は、害と請求の両方を減少させます。責任設計と継続設計は互いに強化し合います。
委員会はまた、過剰修正に対して警戒すべきです。過度の制限は、小規模レジストラを排除し、集中を増加させ、共通コーディネーターを唯一の実行可能なプロバイダーにする可能性があります。目的は最大の名目エクスポージャーではありません。それは、権限、結果、保険市場、各機能の信頼できる回収と整合する最低限の制限です。
責任は所有権を証明しない
機関は、責任を負うことが番号リソースに対する所有権または主権的制御を意味すると主張するかもしれません。そうではありません。責任は、機関が実行する行為に従います。プレフィックスまたは ASN を所有するという主張ではありません。
港湾当局は、貨物を所有せずに過失のある取り扱いに対して責任を負うことができます。証券仲介人は、投資家の資産を所有せずに決済エラーに対して責任を負うことができます。レジストラは、保有者にならずに無許可の変更に対して責任を負うことができます。番号リソース機関は同じ区別を受け入れるべきです。
保有者は、該当する割り当ておよび移管フレームワークの下で認識された当事者のままです。ネットワークはルーティング自律性を保持します。IANA は、該当する取り決めによって定義されたトップレベル番号付け役割を保持します。NRS とレジストラは限定されたサービスを提供します。それらがこれらのサービス内で結果的な間違いを犯した場合、責任は行為の説明責任を示し、基礎となるリソースへの所有権ではありません。
この区別は政治的に重要です。機関は、従属を要求するためにスチュワードシップの言語を使用し、責任を回避するためにベンダーの言語を使用すべきではありません。それは狭いサービスプロバイダーでありながら、その排他的な行為に対して強い義務を負うことができます。政治的権威を主張せずに重要な責任を負うことができます。
契約には責任スケジュールを含めるべき
運用条件は、すべてのイベントを1つの段落に埋め込むのではなく、スケジュールを添付すべきです。スケジュールは、少なくとも6つの帯域を定義すべきです。通常の登録、機密証拠保管、プロバイダー移管、権威ある調整と一意性、ホステッドセキュリティ権限、リソース処分または直接ルーティング介入。
各帯域は、インシデントごとの最低額、年間総額、カタストロフィ総額、除外損失、直接損失の定義、自動救済、復旧義務、除外、請求期間、証拠義務、保険要件を述べるべきです。複数の NRS 関連会社またはベンダーが関与する場合、責任主体を指定すべきです。
スケジュールは、混合インシデントには最高の該当帯域が適用されると述べるべきです。プロバイダーは、1つの高制御行為をいくつかの低制御サブタスクに分割できません。同時に、無関係な損失は、プロバイダーが他の場所でその機能を提供しているという理由だけで、より高い帯域に引き込まれるべきではありません。
条件は、制御が対称的な場合にのみ対称的であるべきです。保有者は、提供する虚偽の情報または違法な指示についてレジストラを補償する場合があります。レジストラは、自身の無許可の移管またはセキュリティ障害に対して補償を受けるべきではありません。相互の文言は、根本的に異なる制御を隠しながら、公平に見える可能性があります。
将来の NRS の約束は、責任のギャップのない狭い責任である
番号資源協会は、検証可能な登録、ポータブルサービス、継続性、現在の制御の1つのグローバルに一貫したビューという控えめな役割から始めるべきです。この狭い使命は限定された責任を支持します。空の上限を支持しません。
NRS が機能を追加するにつれて、責任スケジュールは変更されなければなりません。証拠保管は機密性と保存義務を生み出します。移管調整は認証とタイミング義務を生み出します。共通状態は一意性義務を生み出します。ホステッド RPKI は署名と公開義務を生み出します。緊急ルート行動は中断リスクを生み出します。リソース処分は、機関が希少なリソースを制御するものとして認識される者を変更できるため、最高の義務を生み出します。
原則は簡単に述べることができます。防止できなかった損失を負うべき主体はなく、自分だけが制御したレバーから生じる損失を免れるべき主体もありません。手数料、保険、非営利ステータスは金額に情報を提供します。それらは機能を定義しません。
このモデルは、不可能な請求からレジストラを保護し、制度的免罰から保有者を保護します。権限にはコストがかかるため、役割分離を促進します。保持された制御は責任を保持するため、アウトソーシングを透明にします。訴訟よりも復旧を、告発よりも証拠を優先します。最も重要なことは、将来の NRS が、広範な権力と薄いサービス上限が自然に属するかのように継承するのを防ぐことです。
証拠と分析の限界
この分析は、現在の契約アプローチを示すために公式の RIR 契約を使用しており、紛争を裁定したり、特定の条項が無効であると主張したりするものではありません。契約バージョンは変更され、準拠法が重要であり、強制的な権利が除外の効果を変える可能性があります。ARIN、RIPE NCC、APNIC のテキストは、完全な条件とその後の修正とともに読まれるべきです。
RFC 7020は、登録精度、一意性、ルーティング運用の間の技術的な区別を提供します。RFC 6480は、リソース認証とルートオリジン認証のアーキテクチャを提供します。RFC 9224は、権威ある RDAP 発見を説明します。これらの文書のいずれも、NRS の民事損害賠償コードを作成するものではありません。
GDPR、EBA アウトソーシングガイダンス、ICANN ドメイン移管ルール、英国不当契約条項法、欧州通信ルールは比較対象です。それらの直接的な法的適用は、主題、管轄権、当事者に依存します。提案された責任梯子は、制御、重要度、切り替え、効果的な救済の共通の質問から導き出された制度的設計であり、番号レジストリがすべての場合において銀行、電気通信プロバイダー、ドメインレジストラ、またはデータ管理者であるという声明ではありません。
この記事は、信頼できる制限には請求データ、保険見積もり、プロバイダー集中、リソース規模、管轄権レビューが必要であるため、金銭的額を割り当てていません。金額がどのように移動すべきかを指定します。将来の NRS スケジュールは、プロバイダーまたは保有者がそれに依存する前に、独立してレビューおよびテストされるべきです。
ソース
- RFC 7020, The Internet Numbers Registry System- グローバルな一意性、登録精度、レジストリ構造、および登録とルーティング運用の境界。
- RFC 6480, An Infrastructure to Support Secure Internet Routing- リソース証明書、Route Origin Authorization、リポジトリ、および割り当て権限とルートオリジン検証の関係。
- RFC 9224, Finding the Authoritative RDAP Service- IANA ブートストラップレジストリおよび IP アドレス空間と AS 番号のための権威ある RDAP 参照。
- ARIN Registration Services Agreement, version 14.0- 2025年8月15日現在の現在の契約サービス、免責、総額責任上限、停止、終了、紛争条件。
- RIPE NCC Standard Service Agreement- 会員義務、サービス、終了、手数料にリンクされた制限文言。
- APNIC Standard Membership Agreement- 公開された会員義務、責任免除、会員補償、準拠法条項。
- ICANN Transfer Policy- 保有者、獲得レジストラ、記録レジストラ、レジストリ運用者間の移管義務の配分。
- European Electronic Communications Code, Article 106- 切り替え継続性、番号ポータビリティ、同意、不正防止義務、補償要件。
- General Data Protection Regulation, Article 82- 自身の法的分野における複数の責任者の間での責任ベースの補償と求償。
- European Banking Authority, Guidelines on outsourcing arrangements- 規制対象金融におけるアウトソーシング機能の重要度、保持された経営責任、アクセス、監査、継続性、終了期待。
- Unfair Contract Terms Act 1977- 英国の特定の免責と制限に対する法定管理。定義された範囲における合理性要件を含む。
- ICANN, Service Level Agreement for the IANA Numbering Services- IANA 番号付け役割のパフォーマンス期待、エスカレーション、紛争解決、更新、後継運用者継続性。

