WHOISデータの開示とGDPR (EU一般データ保護規則)
Whois とは、ドメイン名に関する技術情報と連絡先情報の両方を含むディレクトリです。Whois データの管理や更新はドメインレジストリ (.comのレジストリであるVerisignなどの特定のトップレベルドメインを管理する企業や団体) とドメインレジストラ(Gandiなど)の両方の責任です。
このディレクトリに照会すると、ドメイン名に割り当てられたさまざまな連絡先、特に所有者 (“holder”と呼ばれることもある)、管理連絡先、技術連絡先、および経理連絡先に関する情報を見つけることができます。これら4つの連絡先を合わせて、ドメイン連絡先が構成されます。
以前はWhoisに含まれる名前、メールアドレス、電話番号、住所などの情報はすべて公開されていましたが、ドメイン名の所有者がWhois上ででのプライバシーを保護するにはオプションサービスを購入しなければならない状態でした。 EUの一般データ保護規則 (GDPR) の導入に伴い、こういったWhois保護サービスは無意味となり、ほとんどのレジストラで廃止されました。
GDPRの実装時にWhoisで公開されたさまざまな種類のデータ
レジストラとレジストリがWhoisでデフォルトで公開するデータは、トップレベルドメインの2つの分類に従って異なります。
- 国別コードトップレベルドメイン (ccTLD) には、公開する必要のある情報に関する独自のルールがあります。
- ICANNによって管理される汎用トップレベルドメイン (gTLD) は、各ドメインの連絡先の名前、住所、電話番号、および電子メールアドレスを公開する必要がありました
ここでは、規制の変更が gTLD に与えた影響についてご共有します。
2018年5月25日以降のGDPRの施行により、ドメインの連絡先データを公開することに疑問が投げかけられました。レジストリとレジストラはGDPRに準拠する必要があるため、ICANNは関係企業や団体に課す義務を調整し、ドメインの連絡先データの非表示をデフォルトにしています。
こういった義務として規定されている内容は一般的なものであり、データを自分で開示するために使用する機能の実装や定義は、レジストリとレジストラに任されています。その結果、レジストリやレジストラが提供するプライバシー管理の機能の均質化がなされていない状態です。
情報開示を歓迎しないプライバシー擁護者と合法的に個人情報にアクセスをしたい人たちの間での議論が活発化しています。
そして、日常的な情報開示の欠如を歓迎するプライバシー擁護者と正当にアクセスを求める人々の間で、たとえば、知的財産権を保護するために公共の利益を保護していると主張する議論が激化しています。
Gandiの立場 : 透明性とプライバシー保護の両立
GDPRが発効する前の数年間、Gandiは迷惑行為やスパムから顧客データを保護するために、顧客データを保護するための無料サービスをすでに提供していました。 Gandiでは追加費用なしで、お客様の代わりにGandiの連絡先情報を置き換えるシンプルな機能でした。
GDPRが施行されることによってGandiが今までとってきたアプローチは正しかったと言えます。また、ドメイン名の所有者は、Whoisデータを公開することを選択することができます。
この設定を行うことにより、Gandiは個人データがWhoisに表示される場合は、本人の明示的な同意によってのみ可能になります。
Whoisデータ開示手順は、プライバシーの尊重とお客様の個人データの保護、および第三者の権利の尊重の両方に基づいています。
データ開示手順
Gandiではさらにデータ開示の手続きと申請者のデータ開示に対する個人の利益と個人データの保護との間のバランスを保つためのデータ開示手順を設定しました。
このポリシーでは、いくつか注意点があります。
- 身元の確認が情報開示リクエストの対象であるドメイン名の所有者に関して:企業、非営利団体、その他の組織などの法人であるドメイン所有者の登録情報を明かすことに問題はありませんが、GDPRに従って、個人に関する情報をどう管理するかについて、より厳しい規則があります。
- 情報開示のリクエストを行った者に関して:情報開示リクエストの正当性を確認するために、個人データを要求する人の身元を確認します。また、この情報を取得することに正当な利益があるとわかる欧州経済地域の国々の当局など「信頼できる」第三者と、紛争当事者や該当する法的文書、特にGDPR自体に基づいてリクエストを行う人などの「一般的な」第三者とを区別します。
したがって、Gandiはお客様の個人データに関わる全てのやり取りに厳格な手順を適用します。情報開示リクエストの関連性を評価するために、特定の手順に従って、要求者の正当な利益を厳密に調査します。
詳細については、当社の手順とドメイン連絡先データの開示に関する完全な契約条件をお読みください。
また、ICANNは現在、Whoisの新しいバージョンを開発していることにも注意してください。これは、Registration Data Access Protocol (RDAP) と呼ばれ、認証済み情報開示要求者の特定のカテゴリの特定のデータへのアクセスを可能にします。この新しいツールの詳細がわかり次第お知らせします。
専門家の意見— Oriana Labruyère
GDPRに対応して、ICANNは2018年5月17日にgTLD登録データに一時的な仕様を採用しました。
この一時仕様書によると、情報開示が必要な場合に正当な理由が存在するかどうかの判断は、レジストリとレジストラの裁量に任されています。 GDPRによればこれは必要性の概念をカバーし他の法的根拠を除外します。
次の3つの場合にドメイン所有者の身元情報を第三者に伝えることができます。
- 身元を確認する他の方法がない場合
- 身元情報を特定することが、例えば公的機関の調査の場合などに公益を保護するために必要な場合
- 特定の商標の所有権を保護するためにそれらを識別する必要がある場合。
ただし、所有者の基本的な権利と自由が要求者の基本的な権利および自由に優先する場合、個人情報を伝達する要求を拒否する権利を保持します。
Labruyère&Coの創設者であるOriana Labruyèreは、デジタル法に関連する問題について、特にGDPRコンプライアンスの確保について、クライアントにアドバイスを提供しています。