ADICのLean証明が意味するもの：責任工学との接点

先日、ADIC（Advanced Data Integrity by Ledger of Computation）の中核補題がLean 4によって形式証明され、その証明スクリプト（ADIC_RSound.lean）が公開されました。

ソフトウェア工学や数学の文脈において、Lean等の定理証明支援系を用いた形式証明（Formal Proof）は、定理や検証器の性質を機械的に確認するための有力な方法として位置づけられています。しかし、GhostDrift数理研究所が提唱する「責任工学（Responsibility Engineering）」の枠組みにおいて、この証明の役割は、通常の形式証明とは異なる位置づけにあります。

本稿では、今回のLean証明公開という事実が、ADICというアーキテクチャにおいて何を意味するのかを整理します。一般的な形式証明との間に存在する4つの重要な差異を明確にし、なぜ我々が形式証明を必要としたのかを外部固定します。

1. 目的の対比：真理の追求か、責任境界の固定か

一般的な形式証明の目的は、対象となる定理やアルゴリズムについて、所与の形式体系の下で正しさに関する性質を機械的に確認することにあります。

対して、ADICにおける形式証明の目的は「答えてよい条件」と「沈黙・拒否すべき条件」の境界線を事前に数学的に固定することにあります。ここでいう責任境界とは、与えられた証拠、仕様制約、および検証条件の下で、システムが出力を受理してよい範囲と、拒否または保留すべき範囲を事前に定める境界を指します。

ADICが扱うのは、アルゴリズムへの正当性の移送（Algorithmic Legitimacy Shift: ALS）です。これは、人間の判断に属していた正当性が、一定条件の下でアルゴリズム側へ移る局面を指します。観測コスト $B$ と正当性移送の閾値 $J$ に対して $B < J$ が成立する不可逆領域（irreversible regime）では、その受理境界が事後的な解釈に依存していてはなりません。

ADICの証明は、プログラムが「正しい答えを出すこと」を証明するのではなく、事前に定義された境界（minimax 構造）の外部では確実に計算が拒絶される、あるいは無効化されるという「責任の境界線」を論理的に固定するための証拠です。ここでの目的は、AIガバナンスやアカウンタビリティの文脈で問われる責任判断を、事後的な解釈ではなく、事前に定められた数理的条件として表現し直すことにあります。

2. 構造の対比：閉じたスクリプトか、貫通する三層構造か

一般的な形式証明プロジェクトにおいて、証明スクリプトがカーネルを通る（エラーがゼロになる）ことは、プロジェクトの最終的なゴール（終点）を意味することが多いです。理論と証明コードの二項関係で世界が完結しています。

しかし、ADICにおいて証明スクリプトは単なる「中間層」にすぎません。 ADICは「理論 $\rightarrow$ 形式証明 $\rightarrow$ 実装」という三層構造をもっています。今回公開された ADIC_RSound.lean による証明は、論文で定義された Verifier Core を受け継ぎ、実装系の監査アーティファクトおよび追記専用台帳へと接続されます。

この意味で、証明は終点ではなく、実データ系の運用を支える検証基盤（Proof as Infrastructure）として位置づけられます。

3. 検証対象の対比：内部演算の正しさか、外部証拠（Witness）の妥当性か

一般的なプログラムの形式証明では、プログラム自身が内部で複雑な計算（例えば非線形関数の演算など）を正しく実行できるかどうかが証明の対象となります。

対して、ADICのコード（ADIC_RSound.lean）を観測すれば明らかなように、証明器は複雑な演算自体を行いません。乗算（WMul）や逆数（WInv）の検証においてADICが採用しているのは、外部から与えられた「証拠（Witness）」が所定の条件（CheckMul, CheckInv 等）を満たすかどうかの判定のみです。

これは、計算の実行主体（Prover）と検証主体（Verifier）を明確に分離する責任工学の根幹です。正しい答えを直接構成する計算過程そのものを証明対象の中心には置かず、提示された証拠が固定された条件を満たすかどうかを再検証する構造を採ります。この証拠ベース（Witness-based）の構造により、事後解釈に依存する余地は大幅に抑制されます。

4. 拡張の対比：静的真理の確認か、動的台帳による社会実装への拡張か

一般的な形式証明は「この定理は常に正しい」という静的な数学的真理の確認に留まります。

しかし、ADICでは形式証明が理論内部に閉じず、監査可能な運用構造へ接続されます。ADICは、Leanで検証可能であることを前提に、区間計算と有限閉包に基づく Ledger / Witness / Verifier の構成を採ります。

Lean が示すのは、Verifier が Witness の条件を受理したとき、対応する区間保証が成立するという健全性（soundness）です。この健全性を基盤として、Ledger、Witness、Verifier の関係が事後説明ではなく事前固定された検証経路として運用可能になります。

この検証基盤の上では、少なくとも受理された出力について、その妥当性判断の根拠となった証拠と条件を追跡可能にできます。

結び

ADICにおけるLeanを用いた形式証明は、数学的真理の一般的確認やソフトウェア品質保証そのものを主目的とするものではありません。むしろ、与えられた証拠、仕様、検証条件の下で、何を受理し、何を拒否し、何を保留すべきかという責任境界を事前に固定するための基盤として位置づけられます。

この意味で、形式証明はADICにおいて、理論を閉じる終点ではなく、監査可能性と責任追跡性を支える実装基盤となります。