JPNICロゴ

ICANNによる非公開WHOISデータへのアクセスモデル案(続報)

投稿者 dom_gov_team on 2018年9月5日

前回(2018年7月6日)のブログでは、WHOISのGDPR準拠策の一環として、非公開WHOISデータへのアクセスモデル案(Unified Access Model、UAM)がICANNで検討されていることを紹介しました。

8月20日にICANNより、新たに ”Draft Framework for a Possible Unified Access Model for Continued Access to Full WHOIS Data - For Discussion” が発表されました。これは6月に公開された ”Framework Elements for a Unified Access Model for Continued Access to Full WHOIS Data - For Discussion” をベースに、公開時以降にコミュニティから寄せられた意見や欧州データ保護委員会(European Data Protection Board、EDPB)へ照会した結果等を踏まえて改訂したものです。

前版からの大きな変更点の1つは、用語が明確に定義されたことです。第三者が非公開WHOISデータを利用する際に遵守すべき事項として定めるべきものを、前版では「行動綱領」(Codes of Conduct)と称していましたが、改訂版ではこれが「利用規則」(Terms of Use)という、より平易な名称に改められました。名称は変更されたものの、利用者が遵守すべき内容自体には変更はないようです。

2つ目は、利用者、認証機関(Authenticating Body)、非公開WHOISデータへのアクセスを提供するレジストリ・レジストラの三者関係が、認証からアクセスまでの一連の手続きフローを図式化することにより、より解りやすくなりました。

このように、前回のものに比べて進展が図られた改訂版ですが、依然として未解決な部分が少なからず残っています。コミュニティからの相反する意見の提出を受けて、対立点が鮮明になったとも言えるでしょう。具体的な論点は以下の通りです。

  1. 利用者は個々のアクセス要請の度に正当な利用目的を示すべきか
  2. 非公開WHOISデータすべての項目へのアクセスを認めるべきか
  3. 登録者からの要望があればアクセスログは提供すべきか
  4. レジストリ・レジストラの両方がアクセスを提供すべきか、それともレジストラのみが提供すべきか
  5. 非公開WHOISデータへのアクセスを有料とすべきか
  6. 利便性の観点からWHOIS情報を一元化したポータルをICANNが運営すべきか


上記の論点に加えて、コミュニティから寄せられた意見の中で重要と思われるものを以下に列挙します。

  • 利用資格(Eligibility)

認証機関の責任が追加の論点として提起されています。正式に認証した利用者が不正行為を働いた場合や、認証基準がそうした不正行為を抑止するには甘すぎる場合などが想定されています。

  • 手順の詳細(Process Details)

非公開WHOISデータへのアクセスを提供するのは、登録者と直接的な契約関係にあるレジストラに限定すべきで、レジストリは提供するべきではないという、意見が寄せられています。

「利用規則」(Terms of Use)を遵守することが認証機関との間で確認された上で、実際にアクセスを提供するレジストリもしくはレジストラと利用者との間においても、重ねて「アクセス同意書」(Access Agreement)を締結する必要があるのか。

アクセス権限の範囲については、非公開にされているWHOISデータ項目すべてにアクセス権を与えるのか、正当な目的に適合した特定の項目のみへのアクセス権を与えるべきかで、コミュニティ間でも意見が分かれています。ICANNではクエリ毎にアクセス権を付与すべきで、すべてのアクセス権を自動的に付与することには反対の立場ですが、バルクアクセスへの対応等を含めて欧州データ保護委員会に見解を求める予定です。

また、非公開WHOISデータへのアクセスログの義務化についても不明確な部分があるため、この点に関してもICANNは欧州データ保護委員会に見解を求めるとしています。

非公開WHOISへのアクセスに関わる費用については、認証機関の申請事務費に充当する目的として有料化すべきという意見と、WHOISはあくまでも公共に供するサービスとして無償とすべきという意見に分かれています。

  • 技術的な詳細(Technical Details)

利用者の利便性や不正利用の監視等のために、集約型のWHOISレポジトリ、もしくはWHOIS情報を一元化したポータルをICANNが運営すべき、という提案もされています。

 

GDPRは施行から3ヶ月が経過しました。ドイツ法廷での一連の申し立ての様子からも、ICANNのGDPR対応が試行錯誤の状況にあることがうかがわれます。今回採り上げた非公開WHOISデータの問題についても、日暮れて道遠しの印象を強く受けます。言うまでも無く、正当な権利者がデータにアクセスできない状態が長引くことは好ましいことではありません。本文で述べたように論点整理が進みつつある点に一縷の光明を見出すこととし、今後は進捗が加速化することに期待したいと思います。

なお、非公開WHOISへのアクセス方法案についてご意見のある方は、ICANN Blog “Possible Unified Access Model Published for Community Input”に記載のメールアドレス宛に投稿することができます。