エビデンス・パック

クレーム・パックは、CGF グラフから判定を導く宣言的なルール集合です。各パックは小さく、版管理され、src/lib/cgf/claim-packs/ のもとで配布されます。v1.0 は四つのパックを同梱します。

EU AI Act — 高リスク

旗艦パック。高リスク AI 提供者にとって重要な三つの条文をカバーします:

条文CGF が検査するもの
第 9 条 — リスク管理すべての Model は、Policy を実装する Control がカバーする少なくとも一つの Risk を持つ。
第 13 条 — 透明性すべての公開 EndpointDisclosure ノードを露出する。
第 15 条 — 精度、堅牢性、サイバーセキュリティモデルは評価の Evidence と、本番をゲートする Deploy 承認を持つ。

違反には構造化された機械フィールドと人間可読のナラティブの両方が含まれ、監査人と技術者が同じレポートを読めます。

構造化された違反の例:

{
  "pack": "eu-ai-act-high-risk",
  "rule": "art-9.risk-coverage",
  "severity": "error",
  "subject": { "type": "Model", "id": "models/triage-v3" },
  "missing":  { "edge": "Risk → applies_to → Model" },
  "narrative": "モデル `triage-v3` をカバーする Risk ノードがありません。EU AI Act 第 9 条はすべての高リスクモデルに文書化されたリスク管理体制を要求します。"
}

GDPR 第 30 条

処理活動の記録を、個人データ・タグを持つデータセットに対する Endpoint → reads → Dataset 辺から自動生成します。パックは次を出力します:

  • 法的根拠 (lawful_basis)、
  • 保存期間、
  • 受領者と越境移転、
  • エンドポイントごとの第 30 条表。

SOC 2 — Common Criteria

CC1–CC9 のカバレッジを、グラフ内のコントロールにマッピングします。欠落は Control → mitigates → Risk 辺の欠如として表面化します。同じ Control ノードが SOC 2 CC と EU AI Act 第 9 条を同時に満たしてよい — グラフが単一の真実の源です。

CGF-JP — 日本リージョナルプロファイル

CGF v1.0 の厳密なスーパーセット。四つのノード型(JP.RingiJP.HankoJP.NemawashiTraceJP.HankoCert)、五つのエッジ型(stampsprecedesescalates_toratifiesattested_by)、四つのパック(jp-meti-aibgjp-appi-art27jp-fsa-mrmjp-aisi-eval)を追加します。ブリッジ合成器は完了した稟議をコアの Approval ノードに変換するため、EU AI Act のゲーティングが日本のワークフロー上でそのまま動作します。

CGF-JP ローンチ記事 を参照してください。

自前のパックを書く

パックは ClaimPack を export する TypeScript モジュールです:

import type { ClaimPack } from '@/lib/cgf';

export const myPack: ClaimPack = {
  id: 'acme-internal-v1',
  rules: [
    {
      id: 'every-endpoint-has-owner',
      severity: 'error',
      run: (g) =>
        g.nodes('Endpoint')
          .filter((e) => !g.edges(e, 'owned_by').length)
          .map((e) => ({
            subject: e,
            missing: { edge: 'Endpoint → owned_by → Actor' },
            narrative: `エンドポイント ${e.id} に所有者がいません。`,
          })),
    },
  ],
};

ルールはグラフ上の純粋関数です。IO はありません。パックは構築上、決定論的です。

次に読むもの