C³社会デザインセンター
はじめに定義仕様お問い合わせ
Impact Scenarios へ

Impact Scenario

C³ Conformance Registry インパクト・シナリオ

C3 Conformance Registry は、C3が正しい・安全・認証済みであることを保証する台帳ではなく、 どの構成要素・文書・検証キット・公開ページが、どの要件・証拠・レビュー状態にあるかを記録する状態台帳です。

なぜ今か

「ISO認証取得済み」「SOC2準拠」「FDA承認済み」。 これらの言葉は、取得したか・していないかの二値で語られる。 何を確認して、何はまだ確認できていなくて、何はHOLDなのかは見えない。

AI時代では、この問題がさらに深刻になる。 AIシステムの評価項目は増え続け、「認証済み」という一言が、 実態の複雑さをますます隠すようになる。

民主主義の国では、政府が何をしたかは公文書に記録される。
「政策はうまくいきました」という結果だけでは、誰も検証できない。いつ、誰が、何を決め、どんな資料に基づき、どんな反対があったかが、 公文書として残る。 だからこそ後から、市民・記者・研究者・別の政府が、同じ材料で検証できる。

公文書は「政策が正しかった保証」ではない。 むしろ、間違いも記録に残る。 失敗した決定、撤回された政策、変更された方針も、すべて残る。

それでも公文書制度が信頼の基盤になっているのは、結果の正しさではなく、過程の追跡可能性を保証するからだ。
「うまくいったかどうか」は時代によって判断が変わる。 しかし、「何をしたか」は変わらない。

Conformance Registryが目指すのも同じ構造だ。

「認証済み」「準拠済み」という結果表示ではなく、何を確認し、何を保留し、何を撤回したかを公開記録として残す。
結果ではなく、過程を信頼の単位にする。

これは認証を否定するものではない。 しかし、過程の追跡可能性が共通形式で公開されることで、 規制当局・監査法人・調達担当者が、同じ言葉で確認状態を読めるようになり得る。

「認証済み」と言う前に、「何をどこまで確認したか」を公開する。
それが、Conformance Registryが制度として設計される所以だ。

Conformance Registry ロードマップ状態台帳の公開から、制度的信認の基盤まで現状の問題フェーズ社会で起こり得る変化「認証済み」が何を確認したかを隠しているPhase 1状態台帳の公開← 現在地対象・証拠・HOLD理由が分けて読めるようになる各社が独自の形式を使い確認状態を比較できないPhase 2過程の追跡可能性が共通言語になるfirst-party / third-party /HOLDの区別を業界横断で読める認証制度が「取得した・していない」の二値で硬直しているPhase 3制度的信認の基盤へ「結果」ではなく「過程」が信頼の単位として制度に組み込まれる現時点はPhase 1構想段階(SPEC_DEFINED)。第三者認証・本番運用・外部標準準拠を主張しない。公文書制度が結果ではなく過程の追跡可能性で信頼を作ってきた歴史と同じ構造を想定する仮説である。

Status

workflow_status
public_draft_v0.2
basis_status
SPEC_DEFINED
reference_status
claim_checked_partial
evidence_pack_status
mixed_pass_with_holds
page_review_status
PASS_PENDING_V0_1_REVIEW

このページの位置づけ

このページは、C³ Conformance Registry が仕様どおりに実装・運用・検証された場合に、 どのような社会的意味を持ち得るかを整理するインパクト・シナリオです。本ページは、 第三者認証、認定、法令適合、外部標準準拠、安全保証、正しさの保証、真実保証、 第三者評価完了、または特定成果の達成を主張するものではありません。

一行要約

「認証済み」と言う前に、「何をどこまで確認したか」を公開する。

Conformance Registry によって何が変わり得るか

認証ではなく状態台帳

社会的意味
Conformance Registry は、何が、誰により、どの明示要件に対して、どの証拠で確認されたかを記録する状態台帳になり得ます。
実装された場合に何が変わり得るか
公開説明が、単なる達成宣言ではなく、対象、要件、証拠、レビュー状態、HOLD理由、次回確認を分けた記録として読めるようになる可能性があります。
ロジックを支える外部参照
ISO CASCO の first-party attestation、scheme design、NIST AI RMF Core の lifecycle fields を比較軸として参照します。
現在の位置・言わないこと
certification、accreditation、legal compliance、third-party evaluation completion を主張するものではありません。
関連するC³要素:ECHO-VERIFYConformanceClaim Boundary

Evidence Pack と状態記録

社会的意味
Evidence Pack、Reference Card、claim_checked、claim_checked_limited、HOLD を、内部メモではなく明示的な registry state として扱える可能性があります。
実装された場合に何が変わり得るか
どの参照が通常利用可能で、どの参照が limited-scope で、どの参照が HOLD なのかを、公開ページ作成前から追跡しやすくなります。
ロジックを支える外部参照
NIST lifecycle governance、Sigstore Bundle、in-toto Attestation を、証拠材料と状態記録の比較軸として参照します。
現在の位置・言わないこと
Evidence Pack が safety や correctness を証明するとは主張しません。
関連するC³要素:ECHO-VERIFYGVD Bridge

第一者表明と第三者評価の境界

社会的意味
registry は、first-party attestation、second-party review、third-party review、accredited certification、regulatory registration を区別するための表示面になり得ます。
実装された場合に何が変わり得るか
自己確認、内部レビュー、外部レビュー候補、認証機関による評価を同じ言葉で表示しないことで、過剰な信頼表現を避けやすくなります。
ロジックを支える外部参照
ISO CASCO guidance と ISO/IEC 42006 catalog metadata を、内部レビューと certification-body role の境界を説明する比較軸として参照します。
現在の位置・言わないこと
現在の registry entries が accredited certification であるとは主張しません。
関連するC³要素:ECHO-VERIFYConformance

公開台帳と非公開証跡の分離

社会的意味
公開 record は status、scope、boundary、digest、review state を示し、restricted evidence は別管理にする設計が考えられます。
実装された場合に何が変わり得るか
透明性を上げながら、秘匿が必要な証跡、private reviewer note、redacted artifact を混同せずに扱える可能性があります。
ロジックを支える外部参照
ISO CASCO の supporting documentation、NIST lifecycle fields、Sigstore Bundle の verification material を比較軸として参照します。
現在の位置・言わないこと
すべての evidence が公開済み、または完全に独立検証済みであるとは主張しません。
関連するC³要素:Two-RailGVD Bridge

署名・bundle・透明性ログ

社会的意味
signature bundle、manifest、transparency log は、artifact や evidence package の履歴を後から確認しやすくする材料になり得ます。
実装された場合に何が変わり得るか
いつ、どの artifact が、どの鍵や証明書で、どの verification material とともに発行されたかを、claim review と分けて扱いやすくなります。
ロジックを支える外部参照
Sigstore Bundle、Rekor、SLSA Build Requirements、in-toto Attestation を、artifact provenance と audit trail の比較軸として参照します。
現在の位置・言わないこと
signature や transparency log が semantic truth や correctness を証明するとは主張しません。
関連するC³要素:ECHO-VERIFYGVD Bridge

lifecycle / revocation / supersession

社会的意味
registry entries は、現在の status、review due date、supersession、withdrawal、revocation、change-triggered reassessment を表示できる可能性があります。
実装された場合に何が変わり得るか
一度確認した項目が古くなった場合、置換、撤回、HOLD、次回レビューを明示し、古い evidence がそのまま残り続ける問題を減らせます。
ロジックを支える外部参照
ISO CASCO の continued conformity と NIST AI RMF Core の lifecycle governance fields を比較軸として参照します。
現在の位置・言わないこと
one-time check が permanent validity を持つとは主張しません。
関連するC³要素:Verify IDECHO-VERIFY

高リスク用途の追加表示

社会的意味
高リスク領域では、human oversight owner、incident channel、impact assessment reference、change control などの追加 field が必要になる場合があります。
実装された場合に何が変わり得るか
通常の registry entry と sector-specific overlay を分けることで、医療、公共、規制領域の比較時に過剰な一般化を避けやすくなります。
ロジックを支える外部参照
EU AI Act overview、AI Act FAQ、NIST AI RMF Core を、高リスク governance の比較軸として参照します。
現在の位置・言わないこと
high-risk compliance、sector certification、legal compliance を主張しません。
関連するC³要素:ConformanceRelease Gate

Conformance Labs 構想

社会的意味
registry は、operator、evaluator、evidence、registry role を分けることで、将来の independent review に備える表示面になり得ます。
実装された場合に何が変わり得るか
将来的な Conformance Labs 構想を検討する場合でも、自己表明、内部レビュー、外部レビュー、認定認証を混同しない設計を先に置けます。
ロジックを支える外部参照
ISO CASCO scheme design と ISO/IEC 42006 catalog metadata を、review role separation の比較軸として参照します。
現在の位置・言わないこと
Conformance Labs が third-party certification を完了したとは主張しません。
関連するC³要素:ConformanceECHO-VERIFYConformance Labs

「認証」ではなく「状態台帳」である

C3 Conformance Registry は、C3が正しい・安全・認証済みであることを保証する台帳ではなく、どの構成要素・文書・検証キット・公開ページが、どの要件・証拠・レビュー状態にあるかを記録する状態台帳です。registry listing は、対象と状態を説明するための表示であり、外部認証や法令適合の表示ではありません。

何を確認したかを公開可能な範囲で記録する

公開できる範囲では、対象、要件、assessment_type、assessor_identity、evidence summary、review state、HOLD reason、next review を分けて表示できます。公開できない証跡がある場合も、非公開証跡の存在をもって第三者評価完了とは表示しません。

Evidence Pack / Reference Card / claim_checked / HOLD

Evidence Pack は、参照、使える主張、使ってはいけない主張、HOLD理由をまとめる内部確認資料です。claim_checked は公開引用の境界を整える状態であり、claim_checked_limited は公開 catalog metadata などに限定された状態です。HOLD は失敗ではなく、公開引用や強い主張に進めない保留状態です。

第一者表明・第三者評価・認証の境界

first-party attestation、内部レビュー、外部レビュー、accredited certification、regulatory registration は、同じ表示にしてはいけません。Conformance Registry は、その境界を明示することで、何が確認済みで、何が未確認で、何が将来構想なのかを読み分けやすくするためのページです。

公開台帳と非公開証跡の分離

すべての evidence を公開できるとは限りません。公開 record では、status、scope、boundary、digest、review state を示し、restricted evidence や private reviewer note は別管理にする設計が考えられます。ただし、非公開 evidence があることを理由に、外部検証済みとは表示しません。

署名・bundle・透明性ログ

signature、bundle、transparency log は、artifact や evidence package がいつ発行され、どの検証材料と関係しているかを後から確認しやすくする技術的な材料です。これらは artifact provenance の比較軸であり、claim review や semantic truth の代替ではありません。

lifecycle:supersession / revocation / next review

registry entry は、一度作って終わるものではありません。superseded、revoked、withdrawn、hold、next_review_due、change_trigger などの状態を持つことで、古い証拠や古い判断がそのまま残り続ける問題を減らせます。

高リスク用途の追加表示

高リスク領域では、通常の registry fields に加えて、human oversight owner、incident channel、impact assessment reference、change control、post-deployment monitoring などの追加表示が必要になる場合があります。ただし、このページは EU AI Act、FDA、ISO、NIST などへの適合を主張しません。

Conformance Labs 構想との関係

Conformance Labs は将来の review concept として検討できますが、このページは第三者評価機関、認定機関、認証機関がすでに存在するという主張ではありません。まず必要なのは、operator、evaluator、evidence、registry role を分けて表示することです。

外部参考文献

以下は、Conformance Registry の社会的意味を説明するための比較軸です。外部機関による C3 endorsement、 conformance、certification、accreditation、legal compliance を示すものではありません。

REF-CONF-001: Attestations of conformity

source

first-party attestation、technical file、continued conformity の比較軸として参照します。

Boundary: third-party certification や accreditation を示すものとして使いません。

REF-CONF-002: Key considerations

source

scheme ownership、maintenance、assessor roles、surveillance logic の比較軸として参照します。

Boundary: C3 program が国際的に認められた scheme であるとは扱いません。

REF-CONF-003: ISO 42001 explained

source

AI management system、lifecycle controls、monitoring、certification boundary の比較軸として参照します。

Boundary: ISO が C3 を certified とした、または C3 が certified であるとは扱いません。

REF-CONF-006: AI Act overview

source

high-risk AI governance、logging、documentation、human oversight、post-market monitoring の比較軸として参照します。

Boundary: C3 system が AI Act compliant であるとは扱いません。

REF-CONF-007: Navigating the AI Act

source

lifecycle accountability と public database / registry logic の比較軸として参照します。

Boundary: C3 Registry が AI Act database と同じであるとは扱いません。

REF-CONF-008: List of qualified trust service providers in the EU

source

signed, machine-readable public trust registry の public-sector pattern として参照します。

Boundary: C3 が eIDAS trusted list と法的に同等であるとは扱いません。

REF-CONF-009: AI RMF Core

source

post-deployment monitoring、appeal/override、incident response、decommissioning、change management の registry field 比較軸として参照します。

Boundary: NIST が C3 を certified とした、または単一の registry design を義務づけるとは扱いません。

REF-CONF-012: Sigstore Bundle Format

source

signature、certificate、timestamp、transparency-log proof などの verification material packaging の比較軸として参照します。

Boundary: bundle だけで public claim の semantic correctness が示されるとは扱いません。

REF-CONF-013: Rekor overview

source

append-only transparency log、auditability、monitoring、inclusion proof の比較軸として参照します。

Boundary: Rekor alone が complete public conformance registry である、または claim truth を示すとは扱いません。

REF-CONF-014: SLSA Build Requirements

source

artifact provenance guarantees と claim-review guarantees を分ける比較軸として参照します。

Boundary: SLSA provenance が substantive claim review の代替であるとは扱いません。

REF-CONF-015: in-toto Attestation Framework spec overview

source

statement、predicate、envelope、bundle による attested registry entry の比較軸として参照します。

Boundary: この source が C3 predicate schema を定義済みであるとは扱いません。

REF-CONF-016: C2PA FAQ

source

trust lists、implementation vetting、conforming product lists、durable credentials の mature pattern として参照します。

Boundary: C2PA validation が full provenance closure や truthfulness of content を示すとは扱いません。

limited-scope参照

Some ISO catalog references are limited-scope references. They are used only for title, edition, public metadata, or high-level comparison, not as evidence of full standard review or C3 conformance.

REF-CONF-004: ISO/IEC 42005:2025 - AI system impact assessment

source

official catalog page の title、edition、public metadata に限定して、impact assessment fields の高水準比較軸として参照します。

Boundary: full standard review、normative requirement review、C3 conformance の証拠として使いません。

REF-CONF-005: ISO/IEC 42006:2025 - Requirements for bodies providing audit and certification of artificial intelligence management systems

source

official catalog page の public metadata に限定して、internal review と certification-body role の違いを説明する比較軸として参照します。

Boundary: C3 internal review が accredited certification と同等であるとは扱いません。

HOLD中の参照

Held references remain in the Evidence Pack and are not used as public citation support on this page.

  • REF-CONF-010
  • REF-CONF-011

このページで言わないこと

  • C3 endorsement by external sources
  • C3 conformance to ISO / NIST / EU AI Act / FDA / Sigstore / SLSA / in-toto / C2PA
  • certification
  • accreditation
  • legal compliance
  • safety guarantee
  • correctness guarantee
  • truth guarantee
  • third-party evaluation completed
  • complete registry coverage
  • public page readiness for planned pages
  • that signatures prove correctness
  • that transparency logs prove correctness
  • that registry listing means certified
  • that HOLD is failure

次の検証ステップ

次の段階では、HOLD中のFDA参照の到達性を再確認し、limited-scope参照の表示範囲を維持したまま、 registry entry の schema、public evidence と restricted evidence の分離、署名・bundle・透明性ログとの接続を検討します。 その後、/impact hub に追加するかを別PRでレビューします。