ICANNによるGDPRに対応するWHOISモデル案について
dom_gov_team インターネットガバナンス ドメイン名本稿では、分野別トップレベルドメイン(gTLD; generic Top Level Domain)の登録者/組織情報のディレクトリであるWHOIS/登録データディレクトリサービス(RDS)の、欧州連合(EU)一般データ保護規則(GDPR)への対応案として、ICANNが2018年2月28日に公開した提案内容および関連情報について簡単に説明します。
GDPRとは
そもそも、欧州で個人データプライバシーについて厳格なのは、第二次世界大戦およびその後の冷戦時に、サーベイランスおよび歯止めのきかない個人データ利用(民族や人種などによるふるい分け)がなされたことに端を発しているということです。EU一般データ保護規則(GDPR)とは、1995年に制定されたデータ保護指令(Directive 95/46/EC)を上書きする、個人データプライバシー保護のための法律(基本法)です。データ保護「指令」がEU加盟国各国の国内法制化が必要だったのに対し、GDPRは国内法の立法が不要な「規則」となり、欧州連合(EU)加盟国に加え、アイスランド、リヒテンシュタイン、ノルウェーを含む欧州経済領域(EEA)全域に直接適用されます。GDPR発効後は、原則として各加盟国の個人データ保護法は廃止されますが、各国によるGDPRへの上乗せ規制は許容されます。
GDPRに盛り込まれた主な点は、「忘れられる権利」「データポータビリティ(持ち運び)の権利」「プライバシーバイデザイン原則」の導入、およびデータ漏洩時に監督機関に対する72時間以内の通知義務、データ管理者が「データ保護職員」を任命する義務、制裁金の引き上げ、域外事業者への適用、などとなります。
GDPRでは、EEA域外への個人データ移転については、移転先の国および地域が十分に個人データ保護を講じている、とEUに認定[1]されていない限り、標準契約条項(Standard Contractual Clauses, SCC)の締結、もしくは拘束的企業準則(Binding Corporate Rules, BCR)の承認などが必要とされています。
GDPRにつきましては、次の資料もご覧ください。
- IGCJ21
EU一般データ保護規則(GDPR)と改正個人情報保護法を考える
発表者:総務省 国際戦略局 国際経済課 矢野 圭 - Asia Internet Symposium / Online Privacy Workshop, Tokyo 2017
Privacy in Europe and the GDPR
by Nicolas Seidler, Senior Policy Adviser, Internet Society
背景
ICANNでは設立以来、WHOISの見直しについて議論が行われてきています。また、ICANNの付属定款(bylaws)では、ICANNは法令の合理的な要求に応えるため次世代WHOISと言える、gTLD登録ディレクトリサービス(Registry Directory Service, RDS)を見直すことを規定しており[2]、ICANNはそれに応じてRDS/WHOISレビューを定期的に行っています[3]。
直近では、2015年にポリシー策定プロセス(PDP)が開始され、2016年にはそのための作業部会(RDS PDP WG)が設立されています。その中で、既存のWHOISが各国のプライバシー規制に準拠しているか、という点については「十分でない」という大まかな合意がなされました[4]。
GDPRにWHOISを準拠させるための話し合いの第一歩として、2017年3月のICANN58コペンハーゲン会議で、初めてデータプライバシーに関するセッションが欧州委員会のデータ保護機関の担当者を招いて開催されました。同セッションでは、WHOISデータの収集や処理に際しGDPRに抵触する可能性があるため、ICANNにおいて調査を開始したこと、今後データ保護期間およびコミュニティと連携することなどが挙げられました。その後、ICANN59ヨハネスブルグ会議、ICANN60アブダビ会議と継続して、データプライバシー/GDPRへの対応に関するセッションが開催されました。
ICANNが実施したGDPR導入に伴うリスク調査結果
アブダビ会議前後の2017年10月16日から12月21日の間に3回に分けて、ICANN事務局が外部の弁護士事務所(ハミルトン法律事務所)に依頼した、GDPR導入に伴うリスクの調査結果が公開されました[5][6][7]。
報告書は、GDPRに準拠するために、WHOISサービスにおけるデータ処理をどのように変更すべきかを詳述しています。以下、主なものを抜粋します。
WHOISデータの目的
- レジストラや運用者による請求事務やサポート業務
- データエスクローによる登録者の権利保護
- 法執行機関による犯罪捜査
- 知財権利者による権利侵害の調査
- 一般消費者による商品やサービス提供者の確認
- ドメイン名取引のためのドメイン名保有者の特定
- 事務処理目的での利用、倒産時のデータ復旧目的、法執行目的での利用での利用は、いずれもWHOISデータを公開する理由とはなり得ない。
- 上記の目的のためには、ドメイン名登録者のメールアドレスにアクセスできる必要はないため、メールアドレスは公開すべきではない。
- どのようにGDPRが適用され、データ保護機関(DPA)によって施行されるかが明白になるまでは、現状のまま改変なしにWHOISサービスを提供し続けることはお勧めしない。
- GDPRが施行される2018年5月までに、一定の制限を加えたWHOISサービスのモデルを一つに絞るべく挑戦することをお勧めする。
- 並行して、29条データ保護作業部会[8]と非公式な対話を持つこと、および公開WHOISサービスの将来的な在り方についてDPAに正式に相談することもお勧めする。ただし、29条データ保護作業部会は正式な組織ではないのですべての質問に回答する義務は負っておらず、DPAは作業部会の回答に拘束されることはないので、その回答に全面的に依存しない方がよい。
- GDPR施行日が2018年5月という期限を考えると、WHOISサービス提供を継続しGDPR準拠となる最善の選択は、限定した目的でWHOISサービスの提供を継続する暫定的な解決策にあると考える。
- 29条データ保護作業部会との議論の次には、正式なデータ保護影響評価(Data protection impact assessment, DPIA)[9]を実施することを推奨する。
三つの素案
2018年1月12日には、ICANNより議論目的で、WHOISの暫定モデルが以下の通り提案されました[10]。
モデル1:個人(自然人)が登録した個人データのみに適用
- 適用範囲はEEAのみ
- ドメイン名、登録者名、登録者の住所、ネームサーバー、レジストラ情報、登録日、登録失効日、管理者連絡先(メールアドレス、電話番号、Fax番号)、技術担当者連絡先(メールアドレス、電話番号、Fax番号)はすべてWHOISで公開
モデル2:登録ドメイン名、ネームサーバー、レジストラ情報、登録日、登録失効日、管理者連絡先(メールアドレス)、技術担当者連絡先(メールアドレス)はすべてWHOISで公開
モデル2A:登録者が個人・法人に関わらず適用
- レジストリまたはレジストラがEEA内で設立された場合
- レジストリまたはレジストラがEEA外で設立され、登録者がEEA内にいる場合
- レジストリまたはレジストラがEEA外で設立され、登録者もEEA外にいるが、データ処理者がEEA内にいる場合
モデル2B:レジストリ、レジストラ、登録者、データ処理者がどこにいるかに関係なく、グローバルなすべての登録に適用、登録項目は2Aと同じ
モデル3:ドメイン名、ネームサーバー、レジストラ情報、登録日、登録失効日のみWHOISで公開。個人情報は一切表示せず。WHOISで公開されない情報へのアクセスが必要な場合は、令状などの提出を行った者のみに許可することとされています。
これらについて、ICANNは意見募集を実施し、その結果を表および図にまとめるとともに、新たな暫定提案を2月28日に公開しました[11]。
暫定提案
暫定提案[12]は、1月に提示された三つのモデルと、それに対して寄せられた意見をマージしたもので、示されたモデルは、すべての登録が対象で、かつレジストラが個人か法人化を区別する必要がないものとなっています。ハミルトン法律事務所による分析を元に、WHOISデータに対するアクセスを層(レイヤー)に分けたものとしており、これにより既存のWHOISシステムに対しては大掛かりな変更となります。
適用範囲は以下のいずれかになります。
- レジストリまたはレジストラがEEA内に存在する場合
- レジストリまたはレジストラがEEA外に存在するがEEA内にいる登録者向けにサービスを提供し、EEA内の登録者から送られた個人データの処理に関与する場合
- レジストリまたはレジストラがEEA外に存在し、EEA外の登録者向けにサービスを提供するが、個人データの処理者がEEA内に存在する場合
いずれにも当てはまらない場合でも、レジストリおよびレジストラが本暫定提案に準拠することは可能で、レジストラは公開WHOISへの連絡先公開へのオプトインの機会を、登録者に与えることが必須となっています。
レジストリおよびレジストラが公開WHOISで表示が求められるのは、ドメイン名、ネームサーバー、レジストラ情報、登録日、登録失効日、(法人のみ)登録組織名、登録者の州・県および国名、登録者への連絡用の匿名化メールアドレスもしくはWebフォーム、管理者および技術担当者連絡先への連絡用の匿名化メールアドレスもしくはWebフォームとなります。
公開されないWHOIS項目へのアクセス
正式な証明プログラムの下で、認証された第三者である要求/利用者のみに、定義された項目群へのアクセスを提供することになります。要求/利用者は、サイバー犯罪に対処することになる法執行機関およびドメイン名紛争に関連するためと思われますが、知的財産弁護士/弁理士が想定されています。要求/利用者認定プログラムは、政府諮問委員会(GAC)へ相談しながら策定されることになると想定されます。具体的には、各国政府がGACに認定法執行機関及び政府機関のリストを提供し、法執行機関以外の要求/利用者に対しては、行動綱領を策定することになるかもしれません。筆者の想像ですが、例えば日本では弁護士会会員および弁理士会会員に限定するなどが考えられます。
今後
ICANNは、暫定提案へのフィードバックをできればICANN61の前に欲しいとしており、ICANN61期間中に暫定提案について議論するセッションが、以下の通り予定されています。日本時間では深夜時間帯となってしまいますが、ご興味のある方はご覧になってみてはいかがでしょうか。
- Cross-Community Session: GDPR & WHOIS Compliance Models
現地時間2018年3月12日(月)10:30~12:00(日本時間同日23:00~3月13日(火)1:00)
リモート参加リンク:https://61.schedule.icann.org/meetings/647619
- GAC & PSWG Discussion: GDPR & WHOIS
現地時間2018年3月13日(火)9:30~10:15(日本時間同日22:30~23:15)
リモート参加リンク:https://61.schedule.icann.org/meetings/647663
- GAC Discussion: GDPR & WHOIS Compliance Models
現地時間2018年3月13日(火)10:30~11:00(日本時間同日23:30~3月14日(水)0:00)
リモート参加リンク:https://61.schedule.icann.org/meetings/647664
- ICANN GDD: Registry & Registrar GDPR Compliance Model
現地時間2018年3月15日(木)12:30~13:30(日本時間3月16日(金)1:30~2:30)
リモート参加リンク:https://61.schedule.icann.org/meetings/647709
なお、本稿執筆後の2018年3月8日(木)には、ICANNから暫定モデルの詳細版も公開されました[13]。より詳しく知りたい方は、こちらも併せてご覧ください。
[1] 十分性認定と呼ばれています。認定済みの国・地域:スイス、カナダ(民間部門のみ)、アルゼンチン、ガーンジー島、マン島、ジャージー島、フェロー諸島、アンドラ、イスラエル、ウルグアイ、ニュージーランド
例外として、米国はEUとの間にプライバシーシールドという仕組みを持っており、これにより個人データをEEAから米国へ移転できます。米国企業がプライバシーシールドを利用するには米国商務省に登録した上で、プライバシー原則(Privacy Principles)にある義務の遵守が必要です。
[2] Section 4.6. SPECIFIC REVIEWS (e) Registration Directory Service Review https://www.icann.org/resources/pages/governance/bylaws-en/#article4.6
[3] Registration Directory Service (RDS) Review (formerly WHOIS Review)
[4] List of WG Agreements to Date (as of 13 February 2018) p.3, 14. https://community.icann.org/download/attachments/56986791/ListOfWGAgreements-13February.pdf?version=1&modificationDate=1519084727000&api=v2
[5] gTLD Registration Directory Services and the GDPR Part 1 https://www.icann.org/en/system/files/files/gdpr-memorandum-part1-16oct17-en.pdf
[8] EUデータ保護指令(GDPRの前身)第29条および第30条に基づき設置された独立の諮問機関で、加盟国のデータ保護監督機関の代表者、欧州委員会(European Commission)の代表者などから構成され、個人データ保護について、EUの執行機関である欧州委員会に対して意見を提供する役割を負っている。ガイドラインを含む作業部会の意見は、各国データ保護機関によるEU法解釈・運用についての共通指針となっている。
[出典:IIJ Global Reach 【GDPR実践的詳解~こんな時どうする?(全6回)】第3回:「職場の個人データ処理について」29条作業部会意見書の解説 https://www.iij.ad.jp/global/column/column81.html]
[9] DPIAは、情報主体者のプライバシーに対するリスクを測定、分析、評価する、プライバシー保護対策の一つで、GDPRでは、以下の場合等にDPIAを実施することが求められています。
- プロファイリング
- 「特別なカテゴリの個人データ」(人種、政治、病歴等)もしくは犯罪に関するデータの大規模な利用
- 大規模に行われる公共の場でのモニタリング
[出典:EY Japan GDPRコラム第6回 GDPRの用語・概念解説【後編】https://www.eyjapan.jp/services/advisory/column/2017-07-26.html]
[10] Proposed Interim Models for Compliance with ICANN Agreements and Policies in Relation to the European Union’s General Data Protection Regulation https://www.icann.org/en/system/files/files/interim-models-gdpr-compliance-12jan18-en.pdf
[11] Data Protection/Privacy Update: Seeking Input on Proposed Interim Model for GDPR Compliance https://www.icann.org/news/blog/data-protection-privacy-update-seeking-input-on-proposed-interim-model-for-gdpr-compliance
[12] Proposed Interim Model for GDPR Compliance — Summary Description https://www.icann.org/en/system/files/files/proposed-interim-model-gdpr-compliance-summary-description-28feb18-en.pdf
[13] Data Protection/Privacy Issues Update: More Details Published on ICANN-proposed Interim Model https://www.icann.org/news/blog/data-protection-privacy-issues-update-more-details-published-on-icann-proposed-interim-model