責任OS用語集 — 既存の情報学と新しい責任概念をつなぐ

はじめに

「責任OS」は、AIの判断が実世界に作用するときに、後から責任状態を監査・検査・検証できるようにするための情報基盤として提案している概念です。

この概念を支える語のすべてが新しいわけではありません。情報学には、すでに来歴（provenance）、追跡可能性（traceability）、監査証跡（audit trail）、メタデータ（metadata）といった、近い概念が存在します。一方で、「責任情報」「責任状態」「非可換性」「可換化」「情報欠落」といった語は、これらの既存概念を責任OSの観点から束ね直すために、こちら側で立てた語です。

この用語集の目的は、この二つを混同せずに整理することです。どの語が既存の標準語で、どの語が責任OS独自の再定義語なのかを明示することで、責任OSの主張がどこまで既存の情報学の上に立っており、どこから新しい主張なのかを、読者が判断できるようにします。

なお、責任OSの数理的な核は、Lean 4による形式証明として responsibility-os-kernel で公開しています。この用語集の各語が、その形式化のどの部分に対応するかも、可能な範囲で示します。 ▼責任OS リポジトリ https://github.com/GhostDriftTheory/responsibility-os-kernel

用語の三つの層

責任OSに関わる語は、おおよそ三つの層に分けられます。

第一層：既存の情報学標準語 — 来歴、追跡可能性、監査証跡、メタデータ、監査可能性、検証可能性、状態遷移。これらは既存の文献・標準に根拠があり、そのままの意味で使います。

第二層：責任OS独自の中核語 — 責任情報、責任状態、未確認条件。これらは既存の標準語そのものではなく、第一層の概念を「責任を後から検査できるかどうか」という観点から束ね直すために、こちら側で立てた語です。

第三層：責任OS独自の数理語 — 非可換性、可換化、情報欠落。これらは責任情報がどう失われるか、また失われてはならないかを記述するための語で、Leanによる形式化と直接結びついています。

以下、各語を順に解説します。

第一層：既存の情報学標準語

来歴（Provenance）

情報がどこから来て、どの活動（activity）や、どの関与者（agent）を通じて生成・変換されたかを記述する概念です。W3C PROVでは、来歴は entity・activity・agent の関係として定式化されており、agent はその activity や entity に対して何らかの責任（responsibility）を負う存在として位置づけられています。

責任OSにおける役割：来歴は、責任情報の中で「誰が・何を通じて」を支える部分にあたります。来歴情報が失われると、判断がどの経路で生成されたかが追えなくなります。

追跡可能性（Traceability）

ある行為や結果から、それを生み出した行為主体や条件にまで遡れる性質です。セキュリティ・ガバナンスの文脈では、行為を行為主体に遡って結びつけられることが、責任追及（accountability）の前提とされています。

責任OSにおける役割：追跡可能性は、責任情報が「後から遡って確認できる」という性質の基盤です。来歴が経路そのものを記述するのに対し、追跡可能性はその経路を実際に遡れることを保証します。

監査証跡（Audit Trail）

誰が、いつ、何をしたかを時系列で記録したものです。ITシステムへのアクセスや操作の履歴、特定のイベントに至るまでの活動の連なりを再構成するための記録として説明されます。

責任OSにおける役割：監査証跡は、責任情報のうち「いつ・誰が・何をしたか」という部分を直接記録します。責任OSが問題にするのは、この記録が判断の根拠や確認状態と接続されているかどうかです。記録があっても、それが孤立していれば責任情報としては不十分です。

メタデータ（Metadata）

情報についての情報です。データの作成日時、形式、出典などを記述します。

責任OSにおける役割：メタデータそのものは中立的な概念ですが、責任OSでは「メタデータのうち、責任状態の検査に必要なものが責任情報である」と位置づけます。すべてのメタデータが責任情報になるわけではなく、責任情報はメタデータの部分集合として捉えられます。

監査可能性（Auditability）

外部から見て、ある判断や処理が正しく行われたかどうかを確認できる性質です。情報学・セキュリティ・ガバナンスの分野で広く使われる語です。

責任OSにおける役割：責任OSが目指す状態の一つです。責任情報が適切に保存・接続され

ていれば、監査可能性が成立します。

検証可能性（Verifiability）

証明書、条件、ログ、計算結果などが、定められた規則に照らして正しいことを確認できる性質です。

責任OSにおける役割：監査可能性よりも強い要求です。監査可能性は「確認できる」ことを指しますが、検証可能性は「規則に照らして正しいと示せる」ことを指します。責任OSのLeanによる形式化は、この検証可能性を数学的なレベルで担保しようとする試みです。

状態遷移（State Transition）

ある状態から別の状態への変化を記述する、情報学・数学で広く使われる概念です。

責任OSにおける役割：責任情報は、判断や作用そのものではなく、状態遷移に付随する情報として捉えられます。「AIが承認した」という出来事は、ある状態から別の状態への遷移であり、責任情報はこの遷移に何が伴っていたかを記述します。

第二層：責任OS独自の中核語

責任情報（Accountability-Relevant Information）

責任OSの中核概念です。実世界の判断・作用・状態遷移について、後から責任状態を監査・検査・検証するために失ってはいけない情報を指します。具体的には、来歴、監査証跡、追跡可能性、関与者、権限、根拠、確認状態、未確認条件、順序、場所、影響範囲、不可逆性が含まれます。

これは既存の情報学にそのままある標準語ではありません。第一層で挙げた既存概念の部品を、「責任を後から検査できるか」という一点から束ね直すための語です。来歴・追跡可能性・監査証跡・メタデータは、それぞれ単独で存在できる概念ですが、責任情報はそれらが判断や作用の責任状態と接続されている状態を指します。

責任状態（Accountability State）

ある時点における、判断・作用に関する責任の所在や条件の総体を指します。「誰が、どの根拠に基づき、どの段階で関与し、何が確認済みで何が未確認だったか」という状態のことです。

これも既存の標準語ではなく、責任OS側で立てる数理用語です。英語表記は Responsibility State よりも Accountability State の方が、情報学・ガバナンスの語感に近いと考えています。責任情報は、この責任状態を後から再構成するために必要な情報、という関係になります。

未確認条件（Unverified Conditions）

判断が行われた時点で、確認されていなかった条件や前提を指します。「Unchecked Points」のような直接的な訳語よりも、Unverified Conditions、あるいは Unverified Assumptions の方が、情報学・保証（assurance）の文脈に合います。

責任OSにおける役割：AIが「安全」と出力したとしても、その判断が前提としていた未確認条件が記録されていなければ、後から責任状態を検査できません。未確認条件は、責任情報の中でも特に失われやすい部分です。

第三層：責任OS独自の数理語

非可換性（Noncommutativity）

順序を入れ替えると、意味や結果が変わる性質です。数学的には正式な用語ですが、情報学の標準的な中核語ではありません。責任OSでは、これを「責任情報は順序を入れ替えると意味や責任状態が変わる、非可換な情報である」という主張として位置づけます。

例えば、AIが先に判断し人間が後から確認することと、人間が条件を確認した後にAIが判断することは、同じ「承認」という出力であっても責任状態が異なります。環境の領域でも同様に、森を伐ってから植えることと、森を残したまま手入れすることは、同じ本数・同じ面積であっても、土壌や生態系の回復可能性という点で同じではありません。

Leanの形式化との対応：この主張は `ResponsibilityOS.standard_trace_is_faithful`（標準的な責任トレースが忠実であること）として形式化されています。faithful（忠実）であるとは、操作上は異なる遷移が、責任情報を伴って記録したときにも区別され続けることを意味します。

可換化（Commutativization）

本来は順序、来歴、関係、不可逆性を持つ情報を、スコア・ラベル・出力のような形に落とし、順序を入れ替えても同じように扱えるようにすることです。

この語は数学には存在しますが、情報学・データ管理の標準語ではありません。責任OS側の造語として使う場合、初出では必ず説明を添える必要があります。より情報学に近い言い方をするなら、lossy abstraction（損失を伴う抽象化）、flattening（平坦化）、reduction to scores or labels（スコア・ラベルへの還元）といった表現が近いです。

可換化そのものは、複雑な現実を扱うために必要なプロセスであり、悪いものではありません。問題は、可換化の過程で、責任を検査するために必要な情報まで落としてしまうことです。

Leanの形式化との対応：可換化が責任情報を損なう様子は、`ResponsibilityOS.forgetting_responsibility_layer_can_collapse_distinctions`（責任レイヤーを忘却する操作的視点が、異なる責任トレースを同一視してしまうこと）として形式化されています。また、`CollapseCounterexample.tracePolicy` は、操作的に見れば同じに見える二つのトレース（traceA・traceB）が、責任の観点では区別されるべきであることを示す具体例です。

情報欠落（Information Loss）

責任OSにおける情報欠落とは、単なるデータ圧縮の失敗や、情報量の減少一般を指すのではありません。本来は区別すべき責任状態が、同じ出力や同じスコアに見えてしまうことを指します。

AIが「安全」と出力したとしても、その判断が何を根拠にしていたのか、どの条件を確認していなかったのか、どの時点のデータに基づいていたのかが失われていれば、後から責任を検査できません。責任OSが防ごうとしているのは、情報量が減ることそのものではなく、責任を区別するための情報が落ちることです。

Leanの形式化との対応：`ResponsibilityOS.PreservesPolicy` は、ある「観測すべき責任・証拠の区別」（`ObservationPolicy`）を、可視化された操作的視点が保存しているかどうかを定義します。情報欠落とは、この保存が成り立たない状態、すなわちポリシー上区別されるべき責任状態が、可視化された視点では区別できなくなることに対応します。

実世界情報（Real-World Information）について

「実世界情報」は、コンピュータ内部だけで完結しない情報を指す語として、責任OSの定義の中で使っています。自然環境、社会制度、組織、土地、水、資源、気候、人間の行為、AI判断など、現実世界の状態や変化に関わる情報がこれに含まれます。

この語自体は、Real World Computing、IoT、CPS（Cyber-Physical Systems）、デジタルツインといった分野で実際に使われている語であり、目新しいものではありません。責任OSにおいては、この語を中核概念にはせず、「実世界情報のうち、後から責任状態を確かめるために失ってはいけないものが責任情報である」という形で、責任情報を主語にした定義に位置づけています。

まとめ：責任OSの定義

以上の語を踏まえると、責任OSは次のように定義できます。

この定義の中で、来歴・追跡可能性・監査証跡・メタデータ・監査可能性・検証可能性・状態遷移は既存の情報学標準語、責任情報・責任状態・未確認条件は責任OS独自の中核語、非可換性・可換化・情報欠落は責任OS独自の数理語として位置づけられます。この三層構造により、責任OSの主張がどこまで既存の情報学の延長であり、どこから新しい提案であるかを、読者が見分けられるようにしています。

数理的な裏付けについては、責任OSカーネル（Lean 4による形式証明） を参照してください。