ICANN は、欧州の新たなプライバシー法に準拠するために、Whois サービスを根本的に変更する必要があると、来月中に再度通告された。
米国を拠点とするDNS監督官は、今週ブリュッセルで行われた欧州連合(EU)のデータ保護当局(DPA)との会合で、規制当局を説得して法律の1年間の特別延長を認めてもらい、人々の電子メールアドレスの公開など、Whoisサービスのいくつかの重要な側面を許可するよう再考してもらいたいと考えていた。
ICANN のブログ投稿が渋々認めているように、それは両方の面で失敗しました。
「タイムラインに関する議論の中で、DPAはWHOIS連絡先情報における匿名メールアドレスの導入に関する情報提供を要請しました」と同組織は述べた。「会議の結果、登録者、管理者、技術担当者のメールアドレスは匿名化する必要があることは明らかです。」
ICANN は、欧州当局からの明確な指示があったにもかかわらず、その定款を漠然と参照することで、依然としてすべてのユーザーの個人メールを公開できると自らを何らかの形で納得させていた。
その妄想は、その構成団体のいくつか[PDF]と米国商務省[PDF]によって巧みに支援(誤導?)された。
しかし、誰もが同意します...
ICANNの執行部は、第29条作業部会に少なくとも5通の書簡を「手渡した」と述べた。そのうち4通は、すべてのドメイン名登録情報への自由なアクセスを維持したいと考えている米国の知的財産権関係者が中心となっている。
米国の企業利益が支配するグループ(ICANNの非営利ステークホルダーグループ)から出ていない唯一の書簡は、ICANN幹部が提出したすべての主張を露骨に否定した[PDF]。
いずれにせよ、ICANN は、提案されたソリューションを他のソリューションと並べて示すポリシー マトリックス、Whois の技術的説明、および新しいソリューションを実装するためのタイムライン案とともに、書簡を提示しました。
我々の予測通り、タイムライン [PDF] によれば、ICANN は 1 年以内に新しい Whois アプローチを考案し、実装する予定であり、これは議論における ICANN の主な目標の基礎となった。つまり、世界中のインターネット レジストリによる法律違反を当局が黙認する 1 年間の「モラトリアム」である。
モラトリアムは繰り返し公然と優先事項であるとされてきたにもかかわらず、ICANN の会議の最新情報にはこれについて何も触れられておらず、第 29 条作業部会がこれを許可するのを拒否したことが示されています。
欧州がDNSの覇権者ICANNに尻を明け渡し、WHOISは消滅した
続きを読む
しかし、ICANNはまだ希望を捨てていない。法律の施行まで文字通り1ヶ月を残し、具体的な対応策も示されていない状況の中、ICANNは規制当局に対し「施行にはまだ追加の時間が必要だ」と伝えたと述べている。
「我々はまた、認定モデルに関するさらなる考えを共有し、会議中の彼らの意見に基づいてより詳細なバージョンを提供する予定だ」と投稿では概説し、さらに「まだ未解決の問題が残っており、ICANNは法律を遵守するための我々の行動計画をより良く理解してもらうために、追加の明確なアドバイスを求める書簡を提供する予定だ」と述べている。
失敗は選択肢ではない…ああ、残念
欧州の一般データ保護規則(GDPR)が2年前に承認され、WHOISが欧州法に適合していないとICANNに警告する同じ第29条作業部会からの10年以上にわたる書簡があったにもかかわらず、ICANNが計画を立てられなかったことは、この組織がいかに米国の利益に支配されているかを示す証拠だ。
これはまた、組織のリスク回避的な文化が、新しいインターネット ポリシーを開発するための手段としていかに危険なほど非効率的なものになっているかを示す兆候でもある。
そして、戦略的思考の著しい欠如と思われるが、欧州の規制当局が来月末までに法律の特別例外を認めない場合、ICANN にはプラン B がないようだ。
GDPR に従わなかったために何百万ドルもの罰金を科せられることを心配しているインターネット レジストリやレジストラが熱心に注視しているこのトピックに関する FAQ [PDF] で、ICANN は「モラトリアムがない場合にはどうなるのか」という質問にすら答えていません。
同様の否認感覚は、もう 1 つの重要な疑問にも見られます。「ICANN は「データ管理者」なのか?」
その答えは、ICANN の非営利利害関係者グループには明らかである。同グループは、職員らが提出したほぼすべての議論に反対する書簡を書いたのと同じグループである。
「ICANNはデータ管理者です」と声明は述べています。「ICANNはデータ管理者であることを認めておらず、GDPRで義務付けられているプライバシーオフィサーを任命していません。しかしながら、メディアリリースでは、ICANNは第三者によるWHOISの潜在的な利用を保護するために行動していると述べています。この『潜在的に好ましくないシナリオ』のリストを提示することで、ICANNはこれらの目的でWHOISへのアクセスを維持しようと努めるデータ管理者として行動していると考えています。」
ICANN がデータ管理者とみなされた場合、GDPR の要件は ICANN と契約している企業だけでなく ICANN 自身にも適用されることになり、ICANN が数百万ドルの罰金を科される可能性もあります。
おそらく驚くことではないが、同社がデータ管理者であるかどうかについての回答は、判読不能な法律用語で書かれている。
つまり、これは「神様、そんなことは起こらないことを願います」と言っているようなものです。
より明確な情報を得るために、ICANNとデータ保護当局との会合について、3つの質問をしました。回答は以下のとおりです。さて、読んでみてください。
Q: ICANN は 1 年間のモラトリアム/停止を要求しましたか?
A: ICANN は、暫定的なコンプライアンス モデルを実装するための十分な時間に加え、データ保護当局 (DPA) からのさらなるガイダンスを要求しました。
Q: もしそうなら、どのような反応がありましたか?
A: 当社は DPA からフィードバックを受け、GDPR に準拠するための行動計画をより良く理解し策定するために、ICANN が DPA に提出する追加の明確なアドバイスを求める取り組みの中で未解決の質問が残っていることに同意しました。
Q: モラトリアム/停止措置が実施されない場合、ICANN はどのような対応をしますか?
A: ICANN は、次のステップについて、GAC や DPA、契約当事者、ICANN 理事会などのコミュニティと引き続き協力していきます。
明確に申し上げますと、GDPR が発効するまであと 30 日あります。®
