EU一般データ保護規則(European Union General Data Protection Regulation、以下「GDPR」)の発効で、WHOISで提供されているドメイン登録情報をどうするのかという問題が生じています。GDPRは、EU域内に居住する自然人に関する個人情報の取得、使用、および移転の取り扱いを規制、その「個人データ」の定義は非常に広範囲です。
WHOISは誰でも利用でき、ドメイン名やIPアドレスの登録者名、住所、電話・ファックス番号、そしてメールアドレスの検索・参照が可能です。このような一個人に関連付けられる情報は個人情報にあたります。WHOISのデータは、主に、知的財産権の所有者や弁護士、セキュリティリサーチャー、ジャーナリスト、消費者、消費者団体、そして法執行機関に利用されています。
ICANN(インターネット上のIPアドレスやドメイン名を割当・管理する団体)は欧州データ保護機関の当局(「第29条作業部会」)に対し、3月26日付の書簡を発出し、WHOIS公開情報のGDPRへの対応方針についてガイダンスを求めました。その中で特に(1)ICANNが階層化したデータアクセスの手法と認証プログラムを伴った暫定モデル案を実装することへの許可を求め、また(2)恒久的な解決策が実装されるまでの期間、WHOISに対するGDPRの適用を免じるモラトリアム(猶予期間)を設置することについて要請しています。
それに対して第29条作業部会は4月11日付けてICANNに回答、今回の要請、少なくとも暫定モデル案への承認要請については受け入れられないことを示唆する通知を行いました。この回答ではモラトリアム(猶予期間)提案については直接言及されていなかったのですが、別途、詳細を議論するための会合にICANNを招待、しかしこれはGDPRの施行まで一ヶ月というタイミングの4月23日のことでした。
GDPR発効日までにネット上からWHOISを削除するか、またはEU域内に所在するアドレスについてすべての登録情報を削除するか、WHOISのデータを管理するICANNとレジストラがGDPRに対応するにはそのどちらかしか方法はないでしょう。(EU域内の居住者がEU域外をベースとする事業のドメインのサイト管理者というケースもあるため、これは容易なことではありません)またレジストラもデータ管理者としての責任を負い、個人データの開示によってGDPR違反を問われると、最大で年間売上高の4%相当の制裁金が科せられることになります。
すでに、多くのレジストラがWHOISデータベースに掲載するドメイン登録者の個人情報を非開示とする、または掲載を停止とすることを公表しており、GoDaddy(米国)、FRLRegistry(オランダ)、DENIC(ドイツ)、そしてNominet(英国)などの主要なレジストラがこの対応をとっています。
皮肉にも、この一件で火の粉が降りかかるのは、むしろEU域内の居住者の方で、自身の個人データの修正や削除を求めてウェブサイトの所有者に連絡を取りたいと思っている人たちでしょう。WHOIS情報へのアクセスができないということは、ウェブサイトの所有者が管理するウェブ上に正確な連絡先を掲載してくれること(そして問い合わせに実際に対応してくれること)を願うほか手立てがなくなります。
IPWatchdogのIris Rigter氏は、この対応策として、WHOIS情報へアクセスしなくともドメイン所有者を特定するために役立つ情報を紹介しています。主な点として:
- IPアドレス情報に基づいて逆引きDNSを行う
- archive.orgのWayback Machineで検索する
- ドメイン名登録管理組織(レジストリ)に対して法的手段を取る
トリップワイヤが提供する基本的なセキュリティコントロールは、GDPRの遵守と維持に役立てることが可能です。詳細についてはこちらをクリック。
