個人情報とインターネットのドメイン名システムをめぐる争いは、欧州の立法者と米国の知的財産権弁護士の代理戦争となり、ドイツの裁判所へと持ち込まれることとなった。
金曜日、欧州の新しいプライバシー法GDPRが発効したその日に、DNS監視機関で米国法人のICANNは、ドイツのボンでドメイン登録機関EPAGに対して訴訟を起こし、ウェブアドレスを購入する人々の個人情報を収集し続けるよう求めた。
ICANNは[PDF]、レジストラはICANNとの契約に基づき、情報収集を継続する義務があると主張しました。レジストラの立場は、情報収集はGDPRに違反し、法的訴訟、叱責、そして莫大な罰金の可能性につながるというものです。
ICANN は、差し止め命令を申請し、事態が緊急であると主張することで、世界中のレジストラと締結した契約への異議申し立てを未然に防ぎ、GDPR 法に適合する新しい契約を作成するまでの時間を稼ぐことを望んでいる。
GDPRマゲドン:もう終わったと思っている人もいるかもしれないが、実は始まったばかりだ。
続きを読む
検討されている実際の詳細は、ドメイン名を登録する人が自身の個人情報に加えて、管理および技術担当者の連絡先を提供する必要があるという、比較的些細なものであるが、この法的異議申し立ては、いわゆるWHOISドメイン名検索サービスの将来と、ICANNのグローバルインターネットに対する権威にとって極めて重要である。
2年間の準備期間があったにもかかわらず、組織が新しいプライバシー規則の影響を考慮しなかったため、手遅れになったため、その権限は疑問視されるようになった。
3月、つまり法律が施行されるわずか2か月前に、WHOISサービスを対象とした「暫定的な」ポリシーを強行しようとして失敗した後、ICANNは欧州のデータ保護規制当局に、同法の1年間の特別延長を認めるよう嘆願した。監視団体は、ICANNにはそれを提供する権限がないと指摘した。
来週までにこれをやってください
その結果、期限のわずか1週間前にICANNが数百社の企業のバックエンドシステムに大幅な変更を要求する「暫定」ポリシーを発表し、その後、同じ企業に対してコンプライアンスを監視すると警告するという滑稽な状況が生じた。
ICANNが言い逃れをしている間、EPAGの親会社である世界第2位のレジストラであるTucowsは、ドメイン名情報を収集するための独自のシステムを開発しました。今週のブログ投稿で、Tucowsは、そのシステムがICANNが適用を主張しているシステムとは大きく異なる理由を説明しました。
GDPRが近づく中、ICANNはドメインプライバシーの悩みを解決する12の相反する解決策を提案
続きを読む
「GDPRそのものから着手し、それに基づいて手順とポリシーを策定しました」と同社は説明した。しかし、すぐに問題に気づいたのは、ICANNの契約(レジストラ認定契約)が「必要のない情報の収集と共有を要求しているだけでなく、法的根拠がない可能性のある人々の情報の収集と共有も要求している」ことだった。
この問題の核心は、Whois サービスが 20 年前に開発され、現代のインターネットを反映するように更新されていないという事実です。
ICANNは、安定した安全なインターネットを維持するために、管理者と技術担当者の連絡先の追加が必要だと主張していますが、Tucows氏は「gTLD登録の大半では、登録者(所有者)、管理者、技術担当者の連絡先は同じです。したがって、管理者と技術担当者の連絡先を収集しても意味がありません。データは登録者に属しているからです」と述べています。
GDPRの中核理念の一つは「データ最小化」であり、個人データの収集と処理は必要最小限に限定される。そのため、Tucows氏は、実質的に同一のデータを3セット必要とすることはGDPRに違反すると主張した。また、登録者がドメインの所有者、管理者、技術担当者といった別々の記録に氏名と連絡先情報を提供している場合、当該情報の保存、共有、または公開についてこれらの個人から明示的な同意を得ていない可能性があるため、GDPRに違反する可能性があるとも主張している。
現代の家族
現代の慣習に適合するように Whois サービスを近代化する取り組みは、膨大な情報データベースへのアクセスを失うことを恐れる知的財産弁護士によって繰り返し阻止されてきました。
ICANN は多くの点でこれらの強力な企業利益に縛られており、その結果、米国政府の支援を受けた米国企業として行動する義務はないと考え、10 年以上にわたって欧州のプライバシー法を無視してきました。
しかし、ICANN の法務チームからの脅迫にもかかわらず、欧州のレジストリが GDPR 法に照らして Whois サービスの提供を拒否したことで状況は一変しました。その理由は、契約が国内法に直接抵触しており「無効」であると主張したからです。
GDPRとこれまでのプライバシー要件の主な違いは、GDPRでは欧州市民に苦情を申し立てる法的権利を与えており、企業が新法に違反していることが判明した場合、データ保護当局には総額数百万ドルに上る巨額の罰金を課す権利を与えている点だ。
莫大な経済的打撃に直面したレジストリとレジストラは、ICANNの「契約は最終決定権である」という主張に抵抗することを決意しました。そして、DNS監督機関はそれ以来、追い上げに追われています。
ICANN の苦情は、その主な論点が商標に関するものであるという点で注目に値し、Whois サービスは公式の商標データベースと比較されるべきだとさえ主張している。
批評家たちは、この論理展開は米国の知的財産弁護士らが提示した議論に非常に忠実であり、同組織の他の会員らが示した明確な懸念を無視しているとすぐに指摘した。
ヨーロッパの各言語では「ノー」はどのように言うのでしょうか?
これは、欧州のすべてのデータ保護当局から構成される欧州委員会の第29条作業部会からICANNに直接提供された助言にも反する。
この正式なアドバイスでは、ICANN に対して、「自らの組織の使命と権限に一致する形で目的を定義することに注意する」べきであること、「他の利害関係のある第三者が追求する目的が ICANN の目的を決定してはならない」こと、「ICANN 自身の目的を第三者の利益や特定のケースに適用される可能性がある処理の法的根拠と混同しないよう注意する」ことを明確に警告しました。
しかし、データ保護当局は裁判所ではないため、ICANN の訴訟は、GDPR に準拠するための正式な方針を策定する間、欧州で契約が確実に有効になるようにするための取り組みであり、そのプロセスは完了までに 1 年かかると見積もられています。
GDPRの施行初日にドイツの裁判所に提訴することで、ICANNは、この訴訟が法制度の中で審議される間、GDPR違反を理由にICANNやICANNと契約しているレジストラおよびレジストリに対する今後の訴訟が延期されることを期待しているだろう。
これは、組織が 2 年前に GDPR コンプライアンスに取り組むことで回避できたはずの、必死の策略です。
基本的に、ICANN は、GDPR には「契約の履行に必要な場合」にデータ収集が許可されるという例外があり、その契約の Whois 条項はそのような保護の対象となると主張している。
ドイツの裁判所がこの主張を受け入れ、EPAGに情報収集の継続を命じてICANNの権限を強化するのか、それともこの問題をさらに深く掘り下げて、ICANNの契約が組織に不必要な個人情報を収集・保管することを強制することでGDPRに違反しているかどうかを判断するのかは、今後の展開を見守る必要がある。®
