世界的なドメイン名システムの統括団体であるICANNが、欧州のデータ保護法の遵守に取り組む最新の取り組みは、登録機関に個人情報の収集を継続するよう強制するICANNの要求をドイツの裁判所が却下したことで打撃を受けた。
DNS監視機関は、EUの一般データ保護規則(GDPR)が発効した金曜日に、ドイツのドメイン登録業者EPGAに対してボンで訴訟を起こした。
これは、ウェブアドレスを購入した人々の個人情報に加えて、管理上および技術上の連絡先の詳細を EPGA が引き続き収集することを強制する差し止め命令を求めたものです。
ICANNがGDPRとWhoisをめぐってドイツのレジストラを提訴したのは誰?おめでとう、ついに実現した
続きを読む
ICANNは、技術面および管理面での連絡は必要であり、レジストラとICANNとの契約でそうすることが義務付けられていると主張したが、EPGAは、この情報収集はGDPRに違反すると主張している。
EPGAとその親会社である世界第2位のドメインレジストラTucowsは、これらの連絡先情報は個人情報と一致することが多く、GDPRのデータ最小化の原則に反するため、収集する必要はないと反論している。さらに、収集には法的根拠がない可能性があると主張している。
この訴訟の提起は、ICANN が GDPR に対処し、WHOIS ドメイン名検索サービスの将来を確保するための最後の試みの一つだった。ICANN は 2 年間のコンプライアンス対応期間があったにもかかわらず、十分な準備ができていなかった。
その他の試みとしては、ICANN が EU のデータ保護機関に 1 年間の延長を懇願して準拠できるようにしたが失敗し、GDPR 施行日のわずか 1 週間前にレジストラに暫定ポリシーが発行された。
ICANN は、他のレジストラとの契約や GDPR に関する問題が、この訴訟が裁判所で審理されても解決に至らないまで延期されることを期待していたようだ。
しかし、ドイツの裁判所は、ICANN の申請は根拠がないとする判決 (PDF) で、差し止め請求を却下し、こうした可能性を潰した。
ICANNは、技術および管理の連絡先は重要な機能を持ち、ドメイン名システムの安定的かつ安全な運用のために必要であり、また技術的または法的問題に関連する顧客を特定するために必要であると述べた。
しかし判決の中で裁判所は、より多くのデータがあればドメインの背後にいる人物の特定や連絡がより信頼できるものになるのは明らかだが、ICANNはこうした他のデータの保管が同組織の目的に不可欠であることを実証していないと述べた。
例えば、判決文(裁判所によるドイツ語からの翻訳)には、「データ最小化の原則を背景に、当裁判所は、主な責任者に加えてさらにデータセットが必要な理由を理解できない」と記されている。
しかし裁判所は、登録者が3人の連絡先それぞれに同じデータを提供することが可能であり、それが登録の拒否にはつながらなかったと指摘した。
「もしそれが本当の意味で必要であったなら、これまでそれなしで行うことは不可能だっただろう。むしろ、登録は内容の点で異なるデータ記録の仕様に依存して行われ、そうでなければそのような登録は承認されなかっただろう」と裁判所は述べた。
これらのコメントにもかかわらず、ICANNの法務顧問ジョン・ジェフリー氏は、判決は「ICANNが差し止め訴訟を開始した際に求めていた明確さを提供していない」と述べた。
同氏はさらに、「ICANNは、WHOISサービスの整合性に関するGDPRのさらなる明確化のために、欧州委員会およびWP29との継続的な協議を継続していく」と付け加えた。®
