JPNICロゴ

WHOISデータ収集についてのICANNによる法的措置

投稿者 dom_gov_team on 2018年6月12日

ICANNは、欧州連合(EU)一般データ保護規則(GDPR)対応で個人情報の収集を止めたドイツのレジストラに対し、法的手段(仮処分申請)をドイツの裁判所に対して起こしました。その経緯についてご紹介します。

背景

2018年5月25日にGDPRが施行されるのを控えた5月17日に、ICANN理事会はICANNの各種契約およびポリシーのGDPRへの適合を目的とした、WHOIS/登録データディレクトリシステム(RDSまたはRDDS)データの収集とWHOIS/RDSでの表示「gTLD登録データの暫定仕様書」(以下、「TempSpec」)を承認しました[1]。TempSpecでは、ドメイン名レジストラ(以下、「レジストラ」)による個人情報を含むデータ収集は今まで通り行い、WHOISでの表示項目を制限するとしています。具体的には、管理者(Admin-C)情報および技術連絡担当者情報(Tech-C)などの情報は表示されず、レジストラ、登録の状態、登録日及び更新日、のみとなっており、ドメイン名登録者と連絡を取る必要がある場合のため匿名化された電子メールアドレスの掲載もしくはWebフォームが用意されるとしています。

ICANNによる仮処分申請

2018年5月25日、ICANNはドイツのICANN公認(gTLD)レジストラであるEPAGドメインサービス有限会社(EPAG Domainservices GmbH、以下「EPAG」)がWHOISデータを収集するよう、(ドイツ連邦共和国ノルトライン・ヴェストファーレン州の)ボン地方裁判所[2]に仮処分申請を行いました[3][4]。具体的にはEPAGの行為(次段落下線部)を止めさせることを求めています。

ICANNによれば、EPAGは新規にドメイン名登録を行った場合、GDPRに抵触するのを避けるため管理者および技術連絡担当者情報を収集しない旨ICANNに連絡してきたということです。なお、EPAGはこれまでに収集した管理者(Admin-C)および技術連絡担当者情報(Tech-C)を捨てることはしない、とICANNに伝えたとのことです。

ICANNによる主張の要点は次の通りです。


  • ICANNがEPAGを提訴した理由:
    • GDPRの解釈についてICANNとEPAGとに認識の差があるため。具体的にはGDPR施行後Admin-CおよびTech-Cの収集がGDPRに抵触するかどうか
    • ICANNはICANNとEPAGとの契約[5]に基づきAdmin-CおよびTech-C情報の収集を義務付けており、これはGDPRと矛盾しないはずである。TempSpecでもすべての登録項目の収集を義務付けている。この点についてドイツの裁判所に確認したい。
  • EPAGの行為が続けば、法執行機関、セキュリティ目的、知的財産権保持者などによる正当な目的での完全なWHOIS登録データへのアクセスができなくなる

 GDPR発効前後にTempSpecに関してEUからICANNへ送られたレター2通[6][7]の内容の概要は次のようになり、要約するとTempSpecに定まっていない部分がある、ということのようです。

  • TempSpec添付「今後のコミュニティによる活動に関する重要な論点」記載の論点はコミュニティに委ねられており未解決だが、これらは重要でありできるだけ早く解決する必要があるため、コミュニティの関与を奨励した上でその解決に向けて全責任を負うようICANNに求める。
  • 29条作業部会(WP29、5月25日以降は欧州データ保護委員会(European Data Protection Board, EDPB)[8]に改組)は2003年以来WHOISの欧州のデータ保護法に準拠するための指導をしているのに、GDPRに関してICANNが検討を始めたのは2017年になってからのようで、関係者に懸念を招いた。
  • GDPRは、EDPBにも各国監督当局のいずれに対しても執行猶予期間を与える権限は認めていない。
  • WP29は、ICANNが法執行機関などの関係者が正当に利用できるWHOISモデルを策定し実装することを期待する

地裁による判断

5月29日には、ボン地裁の判断が下されました[9]。それによりますと、差し止め請求は認められませんでした。つまり、EPAGがドメイン名の新規登録時に、Admin-CおよびTech-Cを集める必要はないと判断したということです。しかし、ICANNの主張によれば、これらの情報を収集することがGDPRに違反するという判断は示されておらず、むしろICANNが契約で定めた利用目的(犯罪行為、権利侵害、セキュリティ問題などの不正行為からの保護)にはドメイン名登録者に関するデータの収集で足りる、その理由は登録者、Admin-C、Tech-Cの3つ共に登録者データと同じデータ要素を提供することができるためとボン地裁は言及したとしています[10]

一方、ボン地裁の決定では、ICANNとレジストラ間の契約(レジストラ認定契約、RAA)には各国/地域で適用される法規制にレジストラは準拠しなければならないという条項(3.7.2項)を含んでいるとしています。このことから、EPAG社がGDPRに準拠してAdmin-CおよびTech-Cデータの収集を止めた結果、ICANNに差し止め請求され、それをボン地裁が認めなかったということは、間接的には同地裁が、レジストラによるAdmin-CおよびTech-Cデータの収集を行わないことがGDPRに沿っている、と判断していると取ることもできるように思います。

今後

今後、ICANNがどのような手段を取るかということですが、ICANNのアナウンスでは今後欧州委員会およびEDPBとの議論を継続する、となっています。ICANNのアナウンスではEDPBとの議論を継続するとなっていること、地裁の判断が確定してしまうとこれ以上の司法判断が得られないことから、今後上級裁判所に不服申し立てがなされるのではないかと考えられます。

2018/6/14追記:ICANNはその後6月13日にドイツのケルン高等裁判所に不服申し立てを行いました[11]


[1] ICANNがEUのGDPRに準拠したgTLD登録データのための暫定仕様書を承認
https://www.nic.ad.jp/ja/topics/2018/20180521-02.html

[2] ドイツの司法システムでは、第1審(地方裁判所)と第2審(高等裁判所)の各裁判所が州の管轄で、第3審が連邦の管轄となっています。
http://www.kantei.go.jp/jp/sihouseido/pdfs/dai5gijiroku-2.pdf

[3] ICANN Files Legal Action in Germany to Preserve WHOIS Data
https://www.icann.org/news/announcement-2018-05-25-en

[5] レジストラ認定契約(ICANNによる日本語訳):
https://www.icann.org/resources/unthemed-pages/approved-with-specs-2013-10-31-ja#raa

[6] Input on the Proposed Temporary Specification for gTLD Registration Data, European Commission's (EC) Directors Generals (Roberto Viola, DG Communications Networks, Content & Technology; Paraskevi Michou, DG Migration and Home Affairs; and Tiina Astola, DG Justice and Consumers)からICANN事務総長Göran Marby氏宛レター
https://www.icann.org/en/system/files/correspondence/viola-et-al-to-marby-17may18-en.pdf

[7] The European Data Protection Board endorsed the statement of the WP29 on ICANN/WHOIS.
https://edpb.europa.eu/news/news/2018/european-data-protection-board-endorsed-statement-wp29-icannwhois_en

[8] 旧29条作業部会がGDPR発効に伴い改組したもので、各加盟国のデータ保護機関の代表およびEuropean Data Protection Supervisor (EDPS)またはその代表からなる、GDPRを担当する委員会です。事務局はEDPSが提供します。データ保護法がEU全域で整合性のとれた適用となるようにするのが目的です。
https://ec.europa.eu/info/law/law-topic/data-protection/reform/rules-business-and-organisations/enforcement-and-sanctions/enforcement/what-european-data-protection-board-edpb_en

[10] German Court Rules on ICANN Request to Preserve WHOIS Data
https://www.icann.org/news/announcement-4-2018-05-30-en

[11] ICANN Appeals German Court Decision on GDPR / WHOIS
https://www.icann.org/news/announcement-2018-06-13-en