欧州のデータ規制当局は、インターネット監視団体 ICANN の Whois データ サービスに関する最新の提案を破棄し、この不運な組織を 3 度目の計画見直しに追い込んだ。
欧州データ保護委員会(EDPB)の委員長は、米国を拠点とするインターネットの命名およびアドレス指定システムに宛てた書簡[PDF]の中で、同委員会の「暫定」計画でさえも根本的な欠陥があることを明らかにしている。
インターネットの基礎インフラのルール策定のみを目的として存在し、年間1億ドルの予算を持つICANNだが、重要なWhoisサービスに関する決定をブリュッセルの官僚グループに事実上アウトソーシングする立場に陥っている。
そして、いくつかの重要な問題に関して、データ官僚たちは、ICANN とその最も影響力のあるメンバー(ビジネス界、知的財産界、米国政府、国際商標協会 (INTA) などの外部メンバーを含む)の表明した立場に真っ向から反対してきた。
おそらく ICANN の信頼性にとって最も大きな打撃となるのは、EDPB が、特定のドメイン名について追加の「管理」および「技術」連絡先を提供するようユーザーに強制することはできないと明確に述べ、先月ドイツの裁判所で ICANN が敗訴した判決に対する ICANN の法的控訴を弱めたことである。これは、プライバシー法の有効な回避策として機能すると期待されていたものであった。
この訴えは今や行き詰まったようで、ICANN が Whois サービスに対する権限を取り戻そうとする一連の恥ずかしい失敗につながっている。
もう一つの「ノー」
さらに、EDPBは、ドメイン名が個人によって登録される場合と企業などの法人によって登録される場合では異なる規則が適用されるというICANNの主張を否定しました。EDPBは、そうではないと述べ、個人のメールアドレスが企業のウェブサイトに提供されている場合でも、GDPRのプライバシー法の対象となると述べました。
さらに、この書簡は、ICANN がドメインデータを 2 年間という制限よりはるかに長く保持できるという同組織の主張に大きな疑問符を付け、同組織は「なぜこの期間個人データを保持することが必要であるかを明確に正当化し、文書化する必要がある」と述べている。
ICANN、WHOIS訴訟を欧州司法裁判所に提訴するために資金提供
続きを読む
さらに、同委員会は、「行動規範」や「認定」モデルは個人データにアクセスするための十分に強力なモデルではなく、その後のデータの不正使用に対しては ICANN とそのレジストリおよびレジストラが法的責任を負うことになると指摘し、知的財産弁護士にあらゆる Whois データを閲覧する権利を与えるアクセス モデルを作成するという ICANN とその米国を中心とする構成員による透明性のある取り組みを否定した。
しかし、この書簡は、ICANNが「データ管理者」ではないという主張を全く考慮していないことを明確に示している。ICANNは、契約書に署名者にデータ管理者であることを表明することを義務付ける文言を盛り込むことで、ICANNの法的義務を何らかの形で免除できると主張してきた。
そうではないことが EDPB の書簡で明らかにされており、したがって ICANN も GDPR に準拠していないことが判明した場合、数百万ドルの罰金を科せられることになる。
つまり、法的に疑問のある、あるいは滑稽でさえある議論に頼って既存のシステムを維持しようとするICANNの試みは、3回連続で失敗に終わったのだ。カリフォルニアに拠点を置くこの非営利団体にとって、これは驚くべきことではなかったはずだが、どういうわけか、驚くべきことだった。
新しい問題ではない
欧州の規制当局は、少なくとも15年前にICANNに対し、WHOISサービスが人々のプライバシー保護のために更新される必要があると警告しました。しかしICANNは、サービスが米国法に基づいて運営され、長らく米国政府の直接的な保護下にあったという事実に頼り、サービスの更新を怠り続けています。
しかし、EU で一般データ保護規則 (GDPR) が可決され、米国政府が ICANN に自治権を与える決定を下したことで、状況は変化しました。
GDPRは、FacebookやGoogleなどのインターネット大手による個人データ販売の巨大な市場に対処するために設計され、個人データを販売する前にユーザーの許可を得ない企業に巨額の罰金を課します。
この法案がWHOISサービスにも影響を与えることは明らかだったはずだ。WHOISサービスは、ドメイン名を購入するすべての人に氏名、住所、連絡先情報の提供を義務付け、それをインターネット上で誰でも閲覧できる状態に公開するものだ。しかし、10年以上にわたり欧州議会の意見を無視してきたICANNは、この問題に気づいていなかった。
ICANNと契約を結んでいた欧州のレジストリが、法務チームからの脅迫にもかかわらず、WHOISサービスの提供を断固として拒否したため、ICANNはようやくこの問題に気付きました。問題のレジストリはICANNに対し、契約に含まれるWHOIS条項は明らかに欧州法に違反しているため「無効」であると伝えました。
それは2017年10月のことで、ICANNには新法が施行されるまでわずか6カ月しか残されていませんでした。ICANNは依然として欧州法の影響は受けないと確信していたため、GDPRがWhoisサービスに及ぼす可能性のある影響について報告するために欧州の法律事務所を雇いました。そして、サービスに変更を加えなければ数百万ドルの罰金を科せられる可能性があることを知って愕然としました。
慌てないで!
解決策を考案するのにわずか 6 か月しかなく、平均的な政策立案プロセスには 18 か月かかる中、同組織は、新しい法律に準拠していると主張しながら、既存のシステムを事実上維持するための一連の無駄な取り組みに乗り出しました。
それらのいずれも機能せず、ICANN のスタッフと役員会が 1 年間の特別例外を認めるよう求めるという滑稽な状況に陥りました。ICANN は、この要求は可能であると確信し、その概念が単なる法的な空想に過ぎないことが明らかになった後も、積極的に主張し始めました。
特別な「モラトリアム」要請が却下されると(データ規制当局には既存の法律を撤回または無視する権限はない)、ICANN の理事会は、わずか 2 か月前に全面的に拒否されていた、スタッフが作成した「暫定」ポリシーを課すことを選択した。
その後、大手レジストラ数社が、強制されたポリシーを無視し、新法に準拠するために独自のポリシーを導入することを選択したため、ICANN は、これがテストケースとなり、Whois サービスに対する ICANN の権威を確立することを期待して、そのうちの 1 社をドイツの裁判所に提訴しました。
ナイン
しかし、このアプローチも裏目に出て、ドイツの裁判所が ICANN の主張を却下し、ICANN が契約を強制する能力が事実上損なわれてしまった。
スティーブ・ジョブズの「現実歪曲フィールド」のICANN版を作成しようとして失敗したため、ICANNには、法律を施行する欧州のデータ規制当局に、Whoisに関する見解と、それがGDPRとどう合致するかを尋ねる以外に選択肢がほとんど残されていませんでした。
規制当局は既に対応している。ICANNの職員と理事会は、健全な政策プロセスの一環として、これまで採用してきたほぼすべての立場を覆そうとするだろう。しかし、真実は、ついに自業自得の報いを受けたということだ。
EDPB は書簡の要約の中で次のように述べています。「EDPB の前身である WP29 は、2003 年以来、ICANN に対し、WHOIS を欧州データ保護法に準拠させる方法についてガイダンスを提供してきました。」®
