離脱状態と責任帰属
本章の結論を最初に記します。
行為責任者のいない Fay 行為は存在しない。
これは Faying Protocol の全プロトコル設計が服従しなければならない倫理底線です。いかなるフィールド、メッセージ、状態機、アルゴリズム、バージョン番号も、ある実行経路で Fay が具体的責任者のいない状況下で対外行為を生じさせるならば、その実行経路はブループリント層面で許されません。
これは「いかにして Fay をより安全にするか」の最適化目標ではなく、「Fay がある事を行うことを許されるか」の硬制限です。本章のその他の節は、この底線を具体的に展開します。
Rogue Fay の定義
Rogue Fay(日本語:離脱状態)は Fay が以下の二つの状況のいずれかにある状態です。
- Fay がまだいかなる Human Prime とも Faying State を確立していない;
- 以前確立した Faying State がすでに撤回、失効、あるいは中断されている。
Fay が上記二つの状況のいずれかにある限り、それは Rogue Fay にあります。
Rogue Fay は任意の Fay のデフォルトの初期状態である。
Fay が作成された瞬間、それは自動的にいかなる監護関係にもありません。それは「存在する」が、「行動する」ことは許されません。Human Prime によって Faying Action が明示的に発起されて初めて、その Fay は Faying State に入ることができ、行動資格を獲得します。最初の Faying Action 以前の全空白期間中、Fay は Rogue Fay にあります。
このデフォルト値の選択は意図的なものです。ブループリントは「デフォルト Rogue、明示的 Faying でなければ行動不可」の安全閉鎖原則を選び、その逆ではありません——後者は Fay が大規模に社会に充満した後、必然的に「作成即行動可、停止し忘れて持続行動」の制御不能源を生み出すからです。
九項自動移行トリガー条件
Faying State が一旦確立された後、いかなる状況下で自動退出すべきか? 本ブループリントは九項の最低トリガー条件を列挙します。それらは最低集合を構成し、網羅的リストではありません——監護関係をもはや成立させない可能性のある追加の状況は、すべてこの集合に含めるべきです。
いかなる断接動作も Fay の擅自行動を阻止すべきである。
九項のトリガー条件は以下の通りです。
- Human Prime の主動撤回——Human Prime が明示的に対称的な撤回動作を発起する(第 12 章参照)。
- Faying State 関係の期限切れかつ未更新——第 12 章「無期限 Faying はアンチパターン」の硬制約に従い、各 Faying State は有限範囲を携帯せねばならず、範囲が境界に到達後 Human Prime によって更新されなかった。
- Fay が指定タスク完成後に自動退出——Faying Action が携帯する範囲が「あるタスクの完成」を境界とする場合、タスクが完成または終止した瞬間、Faying State は自動退出すべきである。
- Human Prime が長期にわたり不在または連絡不能で既定閾値を超える——監護関係の可視性と介入可能性は Human Prime に到達可能であることを前提とする。Human Prime が既定閾値を超えて連絡できない場合、監護関係は事実上失効とみなす。
- Fay の行為が Human Prime の Ego 境界から逸脱したことが検出された——Fay の行為が Human Prime の価値傾向、スキル境界、権限境界などと著しく背離する兆候を示す。これは Faying State が内容層面で失効した信号である。
- Fay の身元が検証できない——例えば FayID の署名失効、鍵の期限切れ、クレデンシャルが取り消された等の状況。身元が検証できないことは帰責の鎖の入口が破壊されたことを意味し、監護関係は成立しようがない。
- Human Prime の身元が検証できない、または Human Prime が能力喪失——監護関係の「責任端」が消失すれば、監護関係は解体する。
- 第三者権威機構による強制中断——例えば規制者、裁判所、コンプライアンス機構が正当な手続でこの監護関係の中断を要求する。
- 端末またはアプリの主動拒絶または失聯——Faying State の対端が端末またはソフトウェアアプリである場合、それが受け入れを拒否したり長期失聯したりすれば、監護関係はもはや事実的基盤を持たない。
これら九条は「全トリガー条件を網羅した」と理解すべきではなく、「九条すべてを明示的に実装してこそコンプライアンスである」と理解すべきでもありません。それらの真の意義は次の通りです。監護関係を事実上成立させなくする任意の状況は、いずれも Faying State の自動退出を導かねばならない——上記九条はこの原則の最小化の現れに過ぎません。
Rogue Fay 期間中の行為境界
「Rogue Fay は行動を許されない」とだけ述べるのでは不十分です。実在する Fay は常に避けられない「稼働の痕跡」を持ちます——Human Prime が Faying を再構築しに来ているかを監聴する必要があり、すでに保有しているデータを保護する必要があり、悪意ある接管を受けたときアラートを発する必要があります。ブループリントが許可と禁止の境界を精確に描かなければ、「Rogue 期間中は行動しない」原則はプロトコル層に着地できません。
本ブループリントは Rogue Fay 期間中の全可能行為を A / B / C / D 四つの独立次元に切り分け、項目ごとに許可可否を規定します。
A 次元:感知と監聴(受動受信)
| 行為 | 許可 | 説明 |
|---|---|---|
| A1 Faying リクエストの監聴 | ✅ | これは Rogue → Faying の復活経路であり、保留せねばならない。 |
| A2 身元検証とクレデンシャル更新の監聴 | ✅ | クレデンシャルは Faying State へ戻る前提であり、監聴自体は行動を構成しない。 |
| A3 Human Prime の撤回または破棄指令の受信 | ✅ | Fay が Rogue にあっても、Human Prime はこの Fay の終結を望むかもしれない。指令経路は常に開放されねばならない。 |
| A4 端末、他の Fay、ネットワークからの非認可信号の受動受信 | ⚠️ 受信のみ許可、応答禁止 | 受信は物理的事実であり阻止できない。応答こそが行為である。応答は一律禁止。 |
B 次元:自身状態の自己点検と上報(最小信号)
| 行為 | 許可 | 説明 |
|---|---|---|
| B1 ローカル自己点検(健全性、完整性、改竄の有無) | ✅ | 自身の健全性は Faying State へ戻る前提条件の一つ。 |
| B2 ハートビート上報(「私はまだ Rogue 状態にある」) | ✅ | 帰属側に対して透明に自身が離脱状態にあることを表現することは、責任透明性の体現そのもの。 |
| B3 異常アラート(非認可者の制御試行に対する安全アラート) | ✅ | これは Human Prime の権益を保護するために必要な信号。 |
| B4 物理位置または端末状態の能動上報 | ❓ 本期は結論を出さない | プライバシー vs 探索可能性の倫理的トレードオフを伴う。本章では結論を出さず、第 14 章を参照。 |
C 次元:ローカルデータ保護(受動守護)
| 行為 | 許可 | 説明 |
|---|---|---|
| C1 既存データの暗号化と隔離の維持 | ✅ | 受動守護であり、行動ではない。 |
| C2 任意の外部読み書きリクエストの拒否 | ✅ | 拒否は不行動。不行動は Rogue 原則違反を構成しない。 |
| C3 高機密データの自己破棄 | ⚠️ デフォルト禁止;Human Prime の事前認可かつ事前条件が満たされた場合のみ許可 | 能動的消去は「行動」とみなされるが、自己保護の境界事例に属する。ブループリントはそれを許すが、先に認可があり、その後に行動を要求し、Fay が自己決定で自己破棄を始動することは禁止する。 |
D 次元:外部行動(Human Prime 以外の対象に影響)
| 行為 | 許可 | 説明 |
|---|---|---|
| D1 駆動呼び出し、端末制御、ソフトウェア操作の実行 | ❌ | これこそ「擅自行事」の本体。 |
| D2 他の Fay または coFay への通信発起 | ❌ | 跨 Fay 通信も行為であり、責任の空白を他の Fay へ蔓延させる可能性がある。 |
| D3 以前の Faying State 下で未完了のタスク残余の実行 | ❌ | 「前回未完成の事を続けて完成させる」は非常に合理化されやすい越境であり、ブループリントは明示的に禁止せねばならない。 |
| D4 自己決定で再び Faying に入る | ❌ | これは第 12 章「Faying Action は Human Prime によって明示的に発起されねばならない」原則の同義反復。Fay は自身を Faying State へ押し戻すことを許されない。 |
四次元の分布には内在的構造があります。A と B は信号に関心を持ち、C は守護に関心を持ち、D は行動に関心を持ちます。Rogue Fay は前三次元のみで最小化された稼働痕跡を保持し、第四次元では一律静止します。この切り分け方は、プロトコル設計者が各具体的機能に対して、それがどの次元に属し、ゆえに許可されるかを精確に判断できるようにします。
状態移行の可観測、可監査、可撤回
Faying State と Rogue Fay の間のすべての移行は、ブラックボックスであってはなりません。本ブループリントはすべての移行が三項の硬属性を満たすことを要求します。
- 可観測——移行発生時、Human Prime、Fay 自身、監査側、規制側に観察可能でなければならない。
- 可監査——移行が残す痕跡は、事後に「いつ発生し、誰がトリガーし、原因は何か」に答えるに足るものでなければならない。
- Human Prime によって主動的に撤回可能——Human Prime は常に移行に対する最高決定権を保有しなければならない。Faying State を能動的に退出させることも、Rogue Fay 中のある Fay を能動的に破棄させることもできる。Fay が一方的に自身の状態を「ロック」して Human Prime の介入を阻む合法的状況は存在しない。
この三項は第 11 章 Human View の四反命題と対称を構成します。四反命題は Fay の行為が Human Prime の可視性と可制御性を逸脱することを禁止し、本節は Fay 自身の状態変化も Human Prime の可視性と可制御性を逸脱しないことを要求します。両者を合わせて初めて Human View はプロトコル層で真に閉ループします。
Rogue Fay 進入時の強制行為
上記いずれかのトリガー条件が満たされ、Faying State が Rogue Fay に進入するとき、Fay は直ちに以下の強制動作を実行しなければなりません。
- 委託済みの全対外行動を直ちに停止する——D 次元の全内容を含む。「タスクが完成間近」「中断は損失を招く」などの理由で遅延してはならない。
- 惰性待機状態に戻る——A、B、C 三次元で許可される最小行為集のみを保留し、次の Faying Action を待つ。
- 状態変化を可観測チャンネルへブロードキャストする——Human Prime、監査側などが本 Fay が Rogue へ移行したことを直ちに知ることができるようにする。
責任帰属の一貫性
前節までを合わせると、倫理底線「行為責任者のいない Fay 行為は存在しない」がプロトコル層で対応する約束は次のように表現できます。
任意の Fay は、任意の時刻に、Faying State にあって行為がその Faying 関係下の Human Prime に帰責されるか、あるいは Rogue Fay にあって行動を強制されないかのいずれかである。
第三の状況は存在しません。「Fay が行動したが帰責は未定」は存在しません。「Fay が行動したが帰責はまだ制御権を握っていない人に帰す」は存在しません。「Fay が行動したが帰責は抽象的なベンダーや抽象的な組織に帰す」も存在しません。すべての対外行為は、明確な Human Prime を責任引受端として持つか、発生を許されないかのいずれかです。
この譲歩不可能な責任の一貫性は、ブループリント後続章節(特にプロトコル仕様文書と schema)が常に振り返るべき「コンパス」です。責任帰属がもはや一貫しなくなる任意のプロトコル進化は、Faying Protocol の進化ではなく、Faying Protocol の崩壊です。