近々施行される欧州のプライバシー法とドメイン名の世界規模のWHOISサービスとの間の矛盾を解決しようとする取り組みは予想通り失敗に終わり、サイバー犯罪者がこの行き詰まりにつけ込むのではないかという懸念が高まっている。
ドメイン名の監督機関であるICANNが主催した1週間の会議の終わりに、米国を拠点とする組織が提案した暫定モデルは崩壊し、一般データ保護規則(GDPR)が発効する5月25日の期限までに解決策が提示される兆しはない。
業界関係者は、合意が得られなければ、ドメイン名登録者の全連絡先を公開するWHOISサービスが、ユーロ規則による罰金や訴訟の可能性を回避するために事実上停止するのではないかと懸念している。
そうなると、法執行機関や知的財産弁護士などは登録者の詳細にアクセスできなくなり、サイバー犯罪者に犯罪を遂行するより大きな機会を与えてしまう可能性がある。
WHOISをGDPRに準拠させる方法に関するICANNの土壇場の提案(会議開催のわずか1週間前に発表)に対する最大の打撃は、ICANNが政府諮問委員会(GAC)に委ねようとした役割を世界各国政府が受け入れなかったことでした。ICANNは、警察官や弁護士など特定の団体がWHOISレコードに自由にアクセスできるシステムの構築をGACに委託したいとしていました。しかし、この提案は断固として拒否されました。
「GACは、提案された認定プログラムの設計と実施において運用上の役割を担うことを想定していません」と、会議の最後にGACからICANN理事会に宛てた公式声明で述べられた。
このような拒否は完全に予想できたことであり、そもそも ICANN のスタッフがなぜそれを提案したのかという疑問が生じます。
それで、あなたの全体的な精神について
ICANN は、影響を受けるすべての人が解決策について発言権を持つ「マルチステークホルダー」意思決定モデルとして機能するように設計されているため、政府だけが認定モデルを決定するという提案は、米国政府をはじめ、ある程度の軽蔑をもって迎えられました。
「暫定モデル」のこの側面に関する議論は、非常に多くの時間と労力を費やしたため、ICANN の CEO である Göran Marby 氏は、インターネット コミュニティに対して他の側面に焦点を当てるよう訴えました。
「モデル全体についてはまだ根本的な決定が残っています」と彼は公開フォーラムで述べた。「WHOISのGDPR準拠に関する他の全てが決まったかのように、議論は認定モデルに集中しているようですが、そうではありません。」
マービー氏はまた、今度は欧州のGACメンバーに対して、二度目の必死の嘆願を行った。欧州法に準拠するためにWhoisシステムに何をする必要があるかに関する「確固たる助言」を得るために、データ保護当局に連絡を取るよう「謙虚に懇願」した。
この嘆願は、ICANN が提案したモデルのもう 1 つの重要な部分、つまりドメイン所有者記録内のすべての電子メール アドレスを匿名化するという部分を GAC が破棄した後に出されたものです。
ノック、ノック。誰ですか?ドメインプライバシーの刷新で匿名メールアドレスの運用開始に備えよう
続きを読む
GAC は声明文 [PDF] の中で、「WHOIS データの特定の要素を公開データベースから非表示にするという決定には、根拠が必要である」と述べ、その後 ICANN の WHOIS 専門家に実際の GDPR 法で要求されていることと要求されていないことを教えた。
「個人データに関しては、GDPRは契約の履行や管理者または第三者が追求する正当な利益など、特定の状況下での個人データの処理(公開を含む)を許可しています。」
「特に、登録者の電子メールアドレスの公開は、このデータ要素が多くの正当な目的の追求において重要な役割を果たしていること、および登録者が個人データを含まない電子メールアドレスを提供できる可能性があることを考慮して検討されるべきである。」
匿名
GACはまた、会社名や管理・技術担当者の連絡先など、個人情報以外の情報を匿名化するというICANNの提案にも異議を唱え、「法人はGDPRの管轄範囲から明示的に除外されている」と指摘した。
簡単に言えば、ICANN が提案した変更は「現在の提案に反映されている選択肢が法律で義務付けられているかどうかという疑問を提起する必要な分析と根拠によって裏付けられていない」と主張しています。
言い換えれば、ICANN は不完全な情報に基づいて誤った決定を下し、その決定に至った経緯や理由を説明できなかったのです。
GACは、解決策が見つからなければ危険な連鎖反応を引き起こす可能性があると警告し、「現状では、提案されているシステムは、違法行為と闘い、DNSの悪用を軽減する法執行機関、知的財産権、その他の関係者の努力を妨げる恐れがある」と述べた。
5月末までにシステムを導入できなければ、インターネットはより危険な場所になるというメッセージは、会議で法執行機関によって繰り返し述べられ、特にユーロポールのサイバー犯罪センター(EC3)がリスクについて声高に主張した。
EC3は、ドメイン名を一般に提供する企業(レジストラ)は、法執行機関によるWHOIS情報の「緊急」要請に24時間以内に応じる義務があるべきだという考えを繰り返し主張してきた。
これは、世界的な Whois ポリシーの欠如に対する短期的な解決策となる可能性がありますが、レジストラは、第三者に対して責任を負わせるあらゆる取り組みを一貫して阻止してきたため、このアイデアは拒否されました。
一方、民間社会団体は、匿名化された電子メールアドレスのアイディアに実際に満足しており、「エンドユーザーが直面するスパムや嫌がらせを大幅に削減するだろう」と指摘している。
