一般データ保護規則(GDPR)の施行を来月にひかえ、EU圏ユーザの個人情報保護を扱う企業や組織は、現行のシステムをGDPRに対応させるべく作業を進めている。しかし、著作権団体は、WHOISデータベースに掲載される情報が制限されることになれば、海賊たちの取締まりが難しくなる、との懸念を訴えている。
一般データ保護規則(GDPR)は、EU圏内のすべての個人のデータ保護およびプライバシーに関する規則だ。
インターネット上でますます多くの個人データが収集され、保存され、使(悪)用されていることから、GDPRはEU市民をプライバシー侵害から保護することを目的としている。EU圏外を拠点とする企業であっても、EU居住者の個人データを扱う場合にはこの規則が適用される。
違反した場合には、罰金が科される可能性もある。重大性に応じて段階的なアプローチが取られ、最大で年間売上高の4%または2000万ユーロのいずれか高い方が罰金として科される。言うまでもなく、多くの企業、組織が必死になって対応を進めている。
ドメイン名登録者の個人情報を公開のWHOISデータベースに掲載するドメイン名レジストリとレジストラも例外ではない。WHOIS情報には、個人や組織の名前、住所、電話番号、メールアドレスなどが含まれているためだ。
これは重大な問題を引き起こす。レジストリとレジストラはWHOISデータベースに登録者の情報掲載するよう、世界的なドメイン管理・調整機関「ICANN」に義務づけられている。しかし、これは個人の私的な情報をインターネット上に公開してはならないとするGDPRの要件と矛盾するのだ。
EFFが詳述しているように、ICANNはこの矛盾を解消しようとしている。GDPR対応のために提案されている暫定モデル(pdf)では、レジストラが完全なWHOISデータを収集しつつも、それを公開するのではなく、「次世代のWHOISのあり方についての議論がコミュニティで続く間は、既存のデータを保持する」ということになっている。
この提案では、必然的にWHOIS情報への自由なアクセスが制限されることになっているのだが、これをめぐり、MPAAやIFPI、RIAAやCoryright Alianceといったエンタメ業界団体に加盟する企業の間に動揺が広がっている。
彼らは欧州委員会のアンドルス・アンシプ副委員長に書簡を送り、WHOISへのアクセスが制限されれば、彼らのビジネスを脅かす「サイバー犯罪者」から知的財産権を守るための手段に深刻な影響を及ぼすと警告する。
この書簡は、知的財産権保護やオンラインセキュリティに関連した50の機関に署名され、ICANNがGDPRに対応するために、バランスや説明責任、透明性を書いた「過剰修正」を行おうとしているとの懸念を表明している。
「このモデルは、GDPRの定義する大量の個人データを扱う階層化ないし重層化されたアクセスシステムを構築することによって、登録者のプライバシー上の利益を尊重するものであるが、必要なデータを公開することによって得られる公共の利益および正当な利益に適うものではないと断言できる」と書簡にはある。
この書簡は、「過剰修正」の2つの側面に焦点を当てる。第一に、すべてのドメイン名登録者の個人データを公開しないとするICANNの提案は、「限定された範囲の個人データを情報公開することによる相殺利益を適切に考慮、バランスすることなく」実施される、としている。
ドメイン名登録者の行政区および国のみにデータを提供するというICANNの提案に対しては、WHOISディレクトリに「自然人登録者のメールアドレス」を掲載することを、GDPRの例外とするよう提言している。
「登録者のメールアドレス――登録者がドメインを購入した際にレジストラに提供し、レジストラが確認を義務づけられているメールアドレス――は、複数の理由により、極めて重要であると考える」
「第一に、このデータ要素は、法執行、消費者保護、特に子どもの保護、知的財産権の執行、サイバーセキュリティ/マルウェア対策の観点から、即時アクセス可能な状態にあることが極めて重要である」
「第二に、登録者のメールアドレスを一般公開することで、特に濫用的/違法な活動が異なるジェネリックトップレベルドメイン(gTLD)の異なる複数のドメイン名で行われている場合に、多岐にわたる脅威や違法行為への迅速な対処が可能となり、被害を軽減し、適時的に抑止することができる」としている。
さらに、「人権と基本的自由の保護のための条約(ECD)」第5条1項(c)に照せば、メールアドレスの公開は義務づけられているとして、「WHOISディレクトリにおける登録者のメールアドレスの掲載停止に正当な理由はない」という。
一方EFFは、ドメインの所有者にコンタクトを取る必要性があるとしても、必ずしもメールアドレスを公開する必要はない、と主張する。
「裁判所の命令を待たずに、一般市民がドメインの所有者に連絡できることが理にかなっている場合もある」とEFFはいう。
「しかし、これは非常に容易に実現できる。たとえばICANNがCAPTCHA保護された連絡フォームのようなものを提供すれば、登録者はメールアドレスを公開しなくても、適切な連絡先にメールを受けることができる」
権利者たちの第二の懸念は、GDPRが「特定または特定可能な自然人」に関連したデータのみに適用されるにもかかわらず、 ICANNは「自然人と法人」のドメイン名登録者を区別せず、すべてをGDPRの対象として扱おうとしているという点だ。
権利者たちは、登録者が違法目的でドメイン名を取得する場合、たとえ法人としての登録が適切であったとしても、「自然人」として登録する傾向ににあることを理解すべきだとEUデータ保護当局に強く訴える。
「したがって、法人と自然人との区別は、登録者の法的地位によってのみ判断されるべきでなく、登録者のドメイン名の使用の様態に照らし、法人あるいは自然人のいずれの振る舞いをしているかによって判断されるべきである」という。
「それゆえ、ICANNには自然人と法人の登録者の区別を維持し、法人ドメイン名登録者に関する情報をできる限り公開しておくことの重要性について、適切な指針が与えられることを強く推奨する」と結論づけている。
5月25日にWHOISに何が起こるのかは、まだわからない。ICANNは2017年10月になって、ようやくGDPRに準拠することを決断した。デッドラインを大幅に越えてから、スクランブル体制に入ったということだろう。切迫感が伝わってくる最新の資料はこちら(pdf)。
WHOIS Limits Under GDPR Will Make Pirates Harder to Catch, Groups Fear – TorrentFreak
Publication Date: April 13, 2018
Translation: heatwave_p2p
Header Image: Aaron Parecki / CC BY 2.0