JPNIC Blog JPNIC

EPDP Phase 2 最終報告書の提示する、WHOIS非開示情報へのアクセスシステム(SSAD)

dom_gov_team 

2020年7月31日(金)、ICANNのドメイン名支持組織(GNSO)内で検討が進んできた、「gTLD登録データの暫定仕様書第2フェーズ迅速ポリシー策定プロセス(the Temporary Specification for gTLD Registration Data Phase 2 Expedited Policy Development Process) 」に関する、最終報告書が公開されました。

 

これは、2018年5月25日に欧州連合(EU)で発効となった一般データ保護規則(General Data Protection Regulation, GDPR)に準拠するためにICANN理事会が制定した、gTLD登録データに関する「暫定仕様書」に対して、後追いでGNSOにおけるポリシー策定を行うために実施された迅速ポリシー策定プロセス(Expedited Policy Development Process, EPDP)の成果であり、2019年2月に提出されたフェーズ1報告書に引き続き、残項目の検討結果として公表されました。

暫定仕様書、EPDPに関しては、以下をご参照ください。

JPNIC: ICANNがEUのGDPRに準拠したgTLD登録データのための暫定仕様書を承認

JPNIC:インターネット用語1分解説 – EPDPとは

本稿では、このフェーズ2最終報告書の主な要素である、SSAD (System for Standardized Access Disclosure)の仕組みをご紹介したいと思います。SSADは、登録ディレクトリサービス(WHOISサービス)で非開示となっているデータの提供を司る機構です。

GDPRは、個人情報(個人データ)の無用の開示や流通を制限する規則ですが、欧州の住民の個人情報・個人データを取り扱う事業者であれば、域内だけでなく、域外の事業者にも適用されます。インターネットではその黎明期から、IPアドレスやドメイン名などのインターネット資源が誰によって保持されているかを明らかにするために、インターネット資源のレジストリはWHOISと呼ばれるサービスで、資源と保持者の対応を明らかにし、開示してきました(近年ではWHOISは登録ディレクトリサービス(Registration Directory Service, RDS)と呼ばれますので、以下この呼び方で統一します)。RDSによる保持者情報の開示は、GDPRによって正当な目的(legitimate interest)によって同意の下に、などの条件が課せられることになりました。

暫定仕様書では、個人情報に当たる可能性が高い項目は非開示とした上で、レジストリに個別の開示対応を求めましたが、個別対応はタイムリーに処理できるものではなく、実質的に従来であれば開示されていた情報が大幅に伏せられた状態での運用が続いています。SSADは、RDS上で非開示となっている保持者情報に関して、参照利用者の資格に応じた情報開示を可能にすることで、開示を正当化するという目的があります。

今般公開されたEPDPフェーズ2の最終報告書は、SSADの機構を以下のように規定しています。なお、SSADは認定された情報参照利用者にある程度自動的な情報開示を行う仕組みであって、認定を受けられない場合にも個別の情報開示請求を行う道を残しています。

まず、上の図で向って右上の”Accreditation Authority”という機関が、非開示情報の開示を受けたい者を「SSADユーザー」として適切か否かを審査します。適切であると認められたSSADユーザーはSSADを利用できることになります。

SSADユーザーは情報開示の申請をCentral Gateway Managerに提出することができるようになります。Central Gateway Managerが申請を審査し、要件を満たしていると判断すれば、レジストリ・レジストラに申請が転送され、レジストリ・レジストラが更に確認の上、開示を行うという仕組みです。

上の図の向って右下のIdentity Providerとは、正当なSSADユーザーとして認定を受けた個人/法人の情報(ID)の管理や確認等を行う機関が想定されており、Accreditation Authority自身が務めることもできるとされています。

Accreditation Authority、Central Gateway Manager、Identity Providerといった機関は、EPDP Teamが最終報告書で示した機能要素であり、これらをどの組織・団体が担うのかは、今後の実装に向けた検討の中で決められていく見通しです。EPDPフェーズ2の最終報告書は、SSADの機構案以外に、情報開示請求に含められるべき内容や要領にも言及しています。

政府等については、特別な配慮(扱い)を考えているように読めます。例えば、最終報告書の勧告2(Accreditation of governmental entities/政府組織の認定)の中で、政府等をSSADへの情報開示の正当な請求者として認定することに関連し、”SSAD MUST provide reasonable access to registration data for entities that require access to this data for the exercise of their public policy tasks. “ (SSADは、公的なポリシー課題の行使のために情報を請求する組織体に対しては合理的なアクセスを保証しなければならない) としています。

また、最終報告書は、情報開示請求をPriority 1からPriority 3まで優先順位付けすることに言及しています(勧告6)。Priority 1は生命やインフラへの差し迫った脅威が認められるケース、Priority 2は、UDRPやURSの手続きに基づく情報開示請求のケース、Priority 3はそれら以外、といった具合で、緊急度に応じた対応を求めています。

なお、Central Gateway Managerから情報開示請求の転送を受けたレジストリ/レジストラが情報を開示するか否かは、最終的にはレジストリ/レジストラの判断とされていますが、レジストリ/レジストラの独断や自由な裁量で判断してよい訳ではなく、情報の開示が適用を受ける法律に反する等の事情がない限りは開示しなければならないとしています(勧告8)。

情報の開示や情報開示のシステムの維持のための料金や費用については、勧告14において、”The EPDP Team expects that the costs for developing, deployment and operationalizing the system, similar to the implementation of other adopted policy recommendations, to be initially borne by ICANN org, Contracted Parties and other parties that may be involved. “ (EPDP Teamは、他の採用されたポリシーの勧告事項の実装と同様に、システムの開発、展開、運用にかかる費用は、最初にICANN事務局、契約当事者および、関与する可能性のある他の関係者が負担することを期待する。)とされており、具体的にどのような料金設定になるか等はまだ不明です。

最終報告書はICANN事務局に対して、情報開示請求や不開示決定が不正(abuse)であると判断される場合にICANN事務局に警告する仕組みを設けること(勧告5)や、ICANN事務局がSSADの運用開始の3ヶ月以降9ヶ月以内に報告書を作成し、その後も定期的に報告書を発行すること(勧告17)を求めています。他にも、勧告18において、GNSO内に常設委員会を作り、同委員会に対してSSADの運用状況について評価や勧告をGNSOに行うことを求めています。

Accreditation AuthorityやIdentitty Providerの業務の委託を受けた組織、SSADユーザーは、違反が繰り返された場合には委託やユーザー認定を取り消される可能性があります。それに対して異議申立を行う仕組みを設けるよう勧告で求めています。また、情報開示請求者が請求した情報開示を拒絶された場合の異議の申立ての仕組みの用意も求めています(勧告5)。その他、各機関の監査機構も求める(勧告1、16)など、正常円滑に処理が進まない場合の備えにも記述が富んでいるが印象的です。

ここまでEPDPフェーズ2最終報告書の内容から、SSADの機構を説明してきました。主要要素を始めとする機構の全体像が見えてきたところですが、今後この設計図を細部にいたるまで実装し、運用を開始するまでの間には、具体的な認定基準など難しい問題もまだまだ残されています。今後も動向を注視していこうと思います。