Brian King
Director of Internet Policy and Industry Affairs
Clarivate
先日、ICANN の簡易ポリシー策定プロセス (EPDP) は、プライバシー関連法 (ヨーロッパの一般データ保護規則 (GDPR) など) に準拠した方法でドメイン名の登録データ (以前の WHOIS) にアクセスする枠組みを定める取り組みに関して、大きな節目を迎えました。EPDP のフェーズ 2 最終報告書には 22 件の「ポリシーに関する推奨事項」が盛り込まれており、これが GNSO 評議会、さらには ICANN 理事会で採用されれば、新しいポリシーとしてドメイン登録データの System for Standardized Access/Disclosure (アクセス/開示標準化システム、SSAD) について規定することになります。
ブランド所有者にとっては、全般的には残念な結果となりましたが、EPDP が現在の状況よりも改善されるという点については前進と言えます。今回のブログ記事では、171 ページに及ぶ最終報告書とポリシーに関する推奨事項 22 件を簡単に要約します。
ポリシーの概要
承認されれば、SSAD は非公開のドメイン登録データに対するすべての請求を受け付ける一元化されたゲートウェイで構成されることになります。これは、請求者が対象のドメイン名のデータを請求するために各レジストラやレジストリ (「契約者」) を個別に識別して連絡を取る必要がなくなるという点で、現状が改善されることを意味します。
ただし、残念ながらほぼすべての請求タイプ (知的財産関連の請求を含む) において、請求したデータはゲートウェイからは提供されません。ゲートウェイは単に、審査のために該当する契約者に請求を転送するだけです。以前述べたように、従来、WHOIS データの請求はあまりうまくいっておらず、レジストラ ステークホルダー グループが提案している情報をすべて提供した場合でも、開示率は 14% にとどまっています。データへのアクセスがさらに保証されない限り、請求を各契約者の裁量に委ねるいかなるプロセスも多くのブランド所有者にとっては懸念の元になるでしょう。
とはいうものの、SSAD のポリシーにより、5 つの重要な点で知的財産所有者の請求結果が改善される可能性があります。
改善点
1. 認定による信頼性の向上
認定があるからといって請求の承認が保証されるわけではありませんが、認定には一定の効果が見込めます。SSAD のポリシーではすべての請求者は認定を受けることが義務付けられています。このシステムを利用する全員が認定を受けられるようにするために、1 回限りの請求者はメール アドレスを確認するといった程度のシンプルな認定方法になる可能性があります。また、商標登録などのクレデンシャルを個別に検証して請求者と結び付けることで、クレデンシャルをその請求者による請求と関連付けるといった認定方法もフェーズ 2 ポリシーでは検討されています。さらに、「このデータを法律に従って処理すること」と宣言するなど、署名付きのアサーションを認定と結び付けることも可能です。このような事前の認証と請求の標準化により、請求者の法的権利に対するレジストラとレジストリの信頼性が向上し、請求の承認が増加すると考えられます。
2. SLA の短縮
EPDP フェーズ 1 ポリシーでは、レジストラとレジストリが非公開のデータに対する請求に対応する期間として、30 日間を対応期間とするサービス レベル アグリーメント (SLA) を義務付けています (緊急の請求に対してはさらに短期間)。フェーズ 2 ポリシーでは対応目標期間が大幅に短縮されて 5 営業日になっています。ただし、フェーズ 2 ポリシーでは、一定の期間に各レジストラまたはレジストリが処理するすべての請求の平均対応期間を基にした、やや曖昧な SLA の概念が使用されています。また、フェーズ 2 ポリシーには緊急の請求に対する期間の短縮が盛り込まれています。これは現状からの改善ではありますが、サイバーセキュリティ目的の場合、数日間ではなく、数分単位や数時間単位の対応が必要となるため、この SLA でも長すぎる可能性が高いことには注意が必要です。
3. 知的財産に関する一括却下の禁止
レジストラが知的財産権関連のすべての案件について協力を拒否するという問題が蔓延しています。この問題に対処するために、今回のポリシーでは、知的財産権の侵害に関連しているという理由だけでレジストラが請求を却下することを禁止しています。
4. 自動的なオプトイン
フェーズ 2 ポリシーでは、特定の請求タイプおよび特定の請求者に対して自動的に同意するオプションを契約者に与えることを要求しています。その一方で、自動的な却下は禁止しています。これを堅牢な認定フレームワークと組み合わせることで、協力的な契約者は、十分な権利、クレデンシャル、および署名付きのアサーションを有するエンティティに対して即座にアクセスを許可できるようになります。
5. 透明性向上のためのログ記録、監査、および報告
SSAD では、請求の承認率を追跡する必要があり、どの契約者が習慣的に請求を却下しているかが公開されます。
問題点
上記のような改善点がある一方で、フェーズ 2 ポリシーにはブランド所有者にとって問題となり得る大きな欠点が 2 つあります。
1. 契約者の裁量
新しいポリシーでは、契約者が自動的に対応することを選択しなかった請求について、契約者が請求を受けるごとにデータを提供するかどうかを決定するように求めており、契約者が請求者の利益よりも「データ主体の利益または基本的な権利と自由の方が重要である」と主観的に判断した場合にデータを提供しないことを認めています1。2,000 以上の契約者が継続的にこのような比較検討を続ける可能性は低く、先般、ICANN も EU のデータ保護会議に対して懸念を表明しました。
データへのアクセスに対する正当な利益とデータ主体の利益とのバランスを図る方法が明確でないため、非公開の gTLD 登録データへのアクセスを許可するか拒否するかに関しては、アクセス請求を受け取る管理者としてのレジストラの主観的判断と裁量に委ねられる部分が多くなります。法的明瞭さに欠けることが原因で、レジストラは管理者として法的制裁や審判を受ける可能性を避けるために、他の権利や正当な利益について考慮することなく、プライバシーとデータの保護自体を単独で評価する可能性が高くなります2。
上記のとおり、ブランド所有者の経験上、申請は承認されるよりも却下される可能性の方がはるかに高いことが予想されます。そのため、現在よりも一元的で信頼性が高く、一貫性のある、Unified Access Model (アクセス統一モデル) などのデータ アクセス モデルを求めるブランド所有者にとっては失望は避けられないでしょう。
2. エンフォースメント
契約者側の行動を義務付ける他のすべての ICANN コンセンサス ポリシーとは異なり、フェーズ 2 ポリシーは契約者が前述のバランスの比較検討を実施することのみを求めています。困ったことに、ICANN は、データを開示しないと決めた契約者に対して開示を義務付けることはしない、と明言しています。このようなポリシー エンフォースメント アプローチは、UDRP などとは異なります。UDRP では、ICANN は契約者に対し、契約者が従うことを望むかどうかを問わず、権利を侵害しているドメイン名を引き渡すことを求めています。
次のステップ
最終報告書は公開されましたが、SSAD のポリシーが最終決定されるまでには多くのプロセスが残っています。次の段階として、ICANN の GNSO 評議会が 9 月の会合で最終報告書を承認する必要があります。PDP の結果を審査する際の GNSO 評議会の基準は、報告書を十分に審査するというものではなく、単に手続き上のステップをすべて順守していることを確認するというものです。EPDP では、設立綱領内にまだ対応していない項目がいくつかありますが (契約者が法人と自然人の登録者を区別する必要があるか、それとも単にすべてのデータを非公開にするか、など)、それらの「Priority 2」の項目は将来のポリシー策定作業に持ち越され、評議会が承認のために SSAD を ICANN 理事会に送ることになる可能性が高いと思われます。
その後、ICANN 理事会が SSAD のポリシーに関する推奨事項を細かく審査し、「ICANN コミュニティまたは ICANN (法人) にとって最良の利益」とならない場合を除き、おそらくは承認することになります3。
フェーズ 2 ポリシーに対して障害があるとすれば、特に上記の理由により、いくつかのポリシーに関する推奨事項がコンセンサス ポリシー策定の基本要件となる ICANN コミュニティからの合意を得られないことが考えられます。特に、知的財産権部会、ビジネス部会、政府諮問委員会、セキュリティと安定性に関する諮問委員会、インターネット ユーザー全般を代表する At-Large 諮問委員会など、対象として最も想定されている SSAD ユーザーを代表するグループが、いくつかのポリシーに関する推奨事項の合意に加わっていないことは注目に値します。そのため、ICANN 理事会は、多くのコミュニティ メンバーが明確に反対を表明している中で、ポリシーが ICANN コミュニティにとって最良の利益かどうかを判断するという難しい舵取りが求められます。
ICANN 理事会がポリシーまたはポリシーに関する推奨事項の一部を承認した場合でも、SSAD の運用が開始されるまでに数年はかかる見通しです。まず、ICANN はポリシーに関する推奨事項を拘束力のあるコンセンサス ポリシーに変換し、そのうえで (2,000 以上の契約者がつながった) SSAD 自体の構築に取り掛かる必要があるためです。
EPDP は、今後数年間、あるいは少なくとも数か月間は変化が続くことになるでしょう。本活動への参加方法など、ご質問などがあればお問い合わせください。
(注釈)
1. GDPR Article 6、 Section 1(f)をご覧ください。
2. ICANN の CEO から欧州データ保護会議への宛てた手紙(May 22, 2020)をご覧ください。
https://www.icann.org/en/system/files/correspondence/marby-to-jelinek-22may20-en.pdf
3. https://www.icann.org/resources/pages/governance/bylaws-en/#annexAをご覧ください。