JPNICロゴ

GDPRによるWhoisへの影響~第51回ICANN報告会での質疑応答~

投稿者 dom_gov_team on 2018年5月18日

P1030580.png2018年5月25日の欧州連合(EU)一般データ保護規則(General Data Protection Regulation, GDPR)発効が迫ってきたことと、gTLDのWHOISでの個人情報の公開がGDPRに抵触する可能性があるため、ICANNで対応するためのポリシーを議論してきたこともあり、同年4月26日に開催しました第51回ICANN報告会では、多くの発表者がGDPRに関して言及しました。本記事では、発表に引き続いて行われたGDPRに関する質疑応答の内容を紹介します。

報告会での各発表タイトルおよび発表者(敬称略)は次の通りです。

1. ICANNサンフアン会議概要報告
   ICANNジャパン・リエゾン  大橋 由美

2. 国コードドメイン名支持組織(ccNSO)関連報告
   株式会社日本レジストリサービス  高松 百合

3. ICANN政府諮問委員会(GAC)報告
   総務省 総合通信基盤局電気通信事業部データ通信課  高村 信

4. ICANN GAC公共安全作業部会(PSWG)報告
   警察庁 生活安全局情報技術犯罪対策課  高尾 健一

5. ICANN理事からの報告
   JPNIC  前村 昌紀

6. GDPR及び派生課題に関する報告
   Com Laude株式会社  村上 嘉隆

7. 次世代gTLD RDSポリシー策定WG報告
   JPNIC  山崎 信

8. レジストリ・レジストラ関連状況報告
   株式会社インターリンク  横山 綾子

9. 次期新gTLD募集手続きポリシー策定プロセス検討作業部会報告
   GMOブライツコンサルティング株式会社  マイケル・フレミング

中でも、6.の村上氏の報告では、「EUの第29条作業部会は現時点では暫定モデルを承認できず、各レジストリ、レジストラは独自の判断でGDPR対応することが必要とされる」という説明がありました。本件に関して、発表者と参加者との間で、活発な質疑応答が行われました。主に、「6. GDPR及び派生課題に関する報告」への質疑応答内容は、以下の通りです。


Q. レジストラ、リセラを営んでいる。登録者が国内だと関係ないと思っているが、域外個人情報移転が制限されるとなっている。WHOISが欧州経済領域(EEA)内から参照されることも、域外移転に該当するのか。

A. 日本人がEEA内に住んでいるかもしれない。その場合は該当する。欧州に位置し個人情報が載っているものは隠した方がよい。

Q. レジストリがEEA域内にある場合は、軒並みGDPRの適用を受けるのか。各社の準備状況はどうなのか。

A. EEAに位置すれば適用対象となる。レジストリ・レジストラは、ICANN暫定モデルの検討が進むという期待を持っていたが、今保留になっているので、ICANNは各社で判断するように伝えたとのことである。レジストラによっては、WHOISの表示内容が変わる旨通知をしている。企業のドメイン名を欧州で登録している場合、ISPが訴えられるのか、レジストラが訴えられるのかは分からない。

Q. GDPR対応する上で表示をマスクする場合、プライバシー/プロキシ規約に対応しなければいけないと思うが、GDPRへ対応することでICANNの他のルールを破ることにならないか。

A. ccTLDはICANNの管轄外。gTLDに関しては、レジストリ契約では情報の収集・保管・公開を義務化している一方で、GDPRではそれを制限している。その矛盾点を解決する手段として提案しているのが暫定モデル。

A. また、5月25日以降GDPRに対応するために、ICANNの規約に違反しても問題としない旨のメッセージがICANNより発表されている[1]

Q. レジストラ移管の際にはWHOISではなく、EPP (Extensible Provisioning Protocol)プロトコル等で直接データにアクセスすることがあるが、それもできなくなるのか。

A. 暫定モデルで制限されることになるのは情報の公開のみで、データの収集・保管は従前通り行われるので、影響はない。レジストラステークホルダーグループでも、ドメイン名移管の際にはWHOIS情報ではなく、EPPの使用を推奨している[2]


本報告会の発表資料は公開しておりますので、発表の内容を詳しく知りたい方は、以下Webページをご覧ください。追って、発表動画も公開予定です。

[1] 以下ページにその旨記載されています。

[2] 現在のICANNの規定に沿ってレジストラ移管が行われる場合、移管手続きにおいてWHOIS情報が使用されることがあります。移管先のレジストラは、form of authorization (FOA)を登録者にメールで送る必要がありますが、移管先は登録者のメールアドレス情報を持っていません。そのため、通常はWHOISに載っているメールアドレスを、送信先として使用することになります。GDPRの影響によってメールアドレスが非開示とされる場合には、何らかの対処方法が必要になります。 長期的な解決案が決まるまで、レジストラステークホルダーグループとレジストリステークホルダーグループの参加者で占められる、契約者会議技術運用グループ(CPH TechOps)は、ICANNのグローバルドメイン名部門(GDD)スタッフと、別方法による移管手続きへの円滑な対応ができるよう、既存規定の調整について議論しています。 現在まで何度かやり取りが行われていますが、まだ方針が決まっていないようです。本稿発行時点での最新のやり取りは、以下のリンク先でご確認いただけます。
https://www.icann.org/en/system/files/correspondence/sattler-to-atallah-07may18-en.pdf