JPNIC Blog JPNIC

ICANNによる非公開WHOISデータへのアクセスモデル案

dom_gov_team 

WHOISをGDPRに準拠するための柱の1つである、非公開WHOISデータへのアクセス方法案がICANNより公開されました。

欧州連合の一般データ保護規則(GDPR)へのgTLD WHOISの対応が進みつつありますが、2018年3月のブログ記事「ICANNによるGDPRに対応するWHOISモデル案について」にて「公開されないWHOIS項目へのアクセス」として記載した以下の部分

認証された第三者である要求/利用者のみに、定義された項目群へのアクセスを提供することになります。要求/利用者は、サイバー犯罪に対処することになる法執行機関およびドメイン名紛争に関連するためと思われますが、知的財産弁護士/弁理士が想定されています。要求/利用者認定プログラムは、政府諮問委員会(GAC)へ相談しながら策定されることになると想定されます。具体的には、各国政府がGACに認定法執行機関及び政府機関のリストを提供し、法執行機関以外の要求/利用者に対しては、行動綱領を策定することになるかもしれません。

に関するより詳細な案であるFramework Elements for a Unified Access Model for Continued Access to Full WHOIS Data(以下「本案」)がICANNから2018年6月18日に発表されました。本稿ではこの案の概要についてお伝えします。

1. 概要

認証された利用者に対し、非公開部分も含む完全なWHOISデータへのアクセスを提供するための枠組み(統一アクセスモデル、Unified Access Model, UAM)を示して、議論を喚起することが本案の目的です。

本案で記載されている内容は、5月17日にICANN理事会が承認した、gTLD登録データのための暫定仕様書(Temporary Specification for gTLD Registration Data、以下「TempSpec」)では「添付:今後のコミュニティによる活動に関する重要な論点(Annex: Important Issues for Further Community Action)」にて今後の課題とされていたものです。本件については、ICANN GNSO配下のビジネス部会(BC)および知的財産部会(IPC)での検討が早くからなされており、2018年3月のICANN61会期中に急きょ本件に関する会議が開催されたようです。

2. 利用資格

統一アクセスモデルを利用して非公開部分も含む完全なWHOISデータへアクセスする資格があるのは、行動綱領(Code of Conduct)で縛られた、正当な権利を持つ利用者グループ群、となっており、これらの利用者グループの特定は、ICANNの政府諮問委員会(GAC)が行うことになっています。利用者グループは、法執行機関、知的財産権者、運用セキュリティ研究者、個人であるドメイン名登録者が例として挙げられています。

法執行機関において誰がアクセス権を付与されるかということについては、各国・地域政府が認証要件を決めるとなっています。2018年4月の29条データ保護作業部会(現:欧州データ保護委員会、European Data Protection Board、EDPB)からのレターでは、国際刑事警察機構(Interpol, ICPO)もしくは欧州刑事警察機構(Europol)がグローバルな組織体として法執行機関向け認証要件の決定に寄与する可能性が指摘されました。

民間の第三者向けには、ICANNがGACに相談して関連する組織体(認証組織体)の特定を行うことになっていますが、もしうまくいかない場合は、相談対象をより広範囲のコミュニティとする可能性も示唆しています。加えて、特定の正当な目的のために自動的に統一アクセスモデルを通じてのアクセスが特定の利用者グループ(ICANN自身およびレジストラ)に対し承認されることになるだろうとしています。

3. 手順の詳細

レジストリおよびレジストラに対し、統一アクセスモデルの下、非公開WHOISへのアクセスを提供することが求められることになると考えられますが、レジストラだけに義務付けるのか、レジストリ・レジストラの両方に義務付けるのかは関連ポリシー策定プロセスで議論する対象となり得ると考えられます。

非公開WHOISへのアクセスに必要な認証を誰が行うか、という点について2つの選択肢が提案されています。

Option 1.      認証組織体(レジストリ・レジストラ)は利用者を一極集中管理された「アクセス資格証明書発行組織」に転送し、同プロバイダーが当該利用者にアクセス資格を付与するトークンまたは証明書を授与する

Option 2.      認証組織体自身が当該利用者にアクセス資格を付与するトークンまたは証明書を授与する

認証された利用者は、上記プロセスによりアクセス資格が付与されたトークンまたは証明書を提示して、非公開WHOISデータへのアクセスを得ることになります。

認証された利用者が閲覧可能なデータの範囲は、次の2つの選択肢が提案されています。

Option 1.      認証された利用者は、問合せ毎にレジストリおよびレジストラへ提示された正当な目的と一致した、非公開WHOISデータのレベルもしくは範囲への問合せベースのアクセスが許可される

Option 2.      認証された利用者は、問合せ毎に全WHOIS登録データへ問合せベースのアクセスが許可される

統一アクセスモデルの一部分として費用が課金されるかどうかという点については、非公開WHOISデータへのアクセスに際し登録料などを課す可能性があり、財政的な影響についてはさらなる調査が必要としています。また、統一アクセスモデルの実装に対する効率と改善について定期的に評価を行うとしています。

4. 技術的な詳細

WHOISサービスを運営するために中央管理されたデータの置場が作られるかどうかについては、そのようなものはなくレジストリとレジストラがそれぞれ現在の要件に沿うものを維持することが求められるとしています。非公開WHOISデータにアクセスできるようにするには、レジストリ・レジストラがRegistration Data Access Protocol (RDAP)を使ってサービスを提供する必要があります。gTLD登録データのための暫定仕様書で要求されている通り、2018年12月中旬までにはレジストリ・レジストラによるRDAPの実装が必須となっています。

統一アクセスモデルにおいて利用者の認証に使用される技術的な方法は、トークンまたは証明書のシステムに依存する、となっており、それ以上の詳細は記載されていません。ICANN GNSOのビジネス部会(BC)および知的財産部会(IPC)の提案によれば、ICANNのレジストラ用Webシステムを一時的に使うこと、および中央管理されたホワイトリストによるIPアドレスベースの制限を掛けた上でTCPポート43を使ったアクセスを許可することが提案されましたが、統一アクセスモデル案では取り入れられませんでした。

5. 行動綱領(Codes of Conduct)

行動綱領は、統一アクセスモデルの下、第三者が非公開WHOISデータを利用するにあたり遵守が求められる決まりとして制定されます。特にデータの利用を適切に制限したり、データへのアクセスへの適切な手続きを策定したりすることなどが想定されています。単一の行動綱領ですべてカバーするとは限らず、適格な利用者グループごとに別のものが作成される可能性もあります。

行動綱領はICANN事務局がGACとEDPBに相談しながら、用語の標準化と各行動綱領への共通の条項を策定することになります。各「適格な利用者グループ」向けの認証組織体は、各グループ向けの追加の条項策定に責任を持ちます。

行動綱領に含まれることになる条項の種別は次のようになると想定されます。

  1. データの利用に関する適切な限定
  2. データアクセスに関する適切な手順、悪用を避けるため照会する量の制限
  3. データアクセスに関するセキュリティ方策
  4. データ転送に関する制限
  5. データ対象の権利保護
  6. データ管理者の一般的なデータ保護義務
  7. 公平で透明な処理要求仕様
  8. その他保護手段および「適格な利用者グループ」に関する責任と業務に関連した公共政策の観点から考慮すべき事項

行動綱領の執行および監視は認証組織体が行うことが想定されており、そのためICANNと各認証組織体間で覚書を交わすことが想定されています。レジストリ・レジストラの統一アクセスモデルで要求されている事項への遵守状況は、ICANN事務局の契約コンプライアンス部門が担当します。

6. 今後

ICANN事務局は引き続き、統一アクセスモデルに関してEDPB及び各国政府を含むコミュニティとの協議プロセスを継続します。ICANN事務局は今後の作業を次の3つの段階に整理することを提案しています。

Phase 1.    統一アクセスモデルに関するコミュニティでの議論・会議

Phase 2.    統一アクセスモデルおよび様々な「適格な利用者グループ」向け行動綱領策定への取り組み方法に関するEDPBとの協議

Phase 3.    コミュニティおよびEDPBからの意見提供を受けた統一アクセスモデルの改善および最終化

6月下旬にパナマで開催されたICANN 62では、本案に関するコミュニティ横断セッションが開催されましたが、その際の中心となった議論は本案の議論をどのように進めるか、ということでした。通常のポリシー策定プロセスなのか、WHOISのGDPR対応の本体議論のように迅速化したポリシー策定プロセスとするのか、利害関係者間で相当の温度差がありました。

7. 最後に

本案が出るまでの非公開WHOISデータへのアクセスは、正当な権利を持つ利用者からの要求があればレジストリおよびレジストラは妥当なアクセスを提供しなければならない[1]、となっているだけで、何も決まっていないに等しい状態でした。そのため、非公開データへのアクセスのための統一的な認証方法、認証基準と、認証されたユーザに対する非公開データの提供方法などの詳細が定まらない限り、各レジストリ・レジストラによる手動対応を免れないため、これらの一刻も早い確定と実装が求められます。

本案により上記がすべて確定したかと言うとそうではなく、複数のオプションのところもそうですが、今後GACに相談することになっている、正当な権利を持つ利用者グループ群が何なのか、またその線引きがどうなるのか、など課題は山積しており、検討に時間がかかると思われます。そのため、これらの要素についてできるだけ早く検討を終えないと、WHOISに関する恒久的ポリシーが決まったとしても実装を開始できないといった事態も招きかねません。一方で急いで検討することに対する批判もあり、幅広い層を巻き込んでの議論も欠かせないでしょうから、関係者にとっては難しい舵取りを迫られているのではないかと思います。

この記事を評価してください

この記事は役に立ちましたか?
記事の改善点等がございましたら自由にご記入ください。

このフォームをご利用した場合、ご連絡先の記入がないと、 回答を差し上げられません。 回答が必要な場合は、 お問い合わせ先 をご利用ください。