GDPRとブランド保護:施行から1年

GDPRとブランド保護への影響:施行から1年後の状況

Statton Hammock
Vice President, Global Policy & Industry Development, MarkMonitor

2019年7月17日

一般データ保護規則(GDPR)が発効してから1年以上が経過しました。

その結果、インターネット上は、データ保護機関がビッグデータ処理者から徴収した罰金に関する記事で溢れかえっています。ところがGDPRに関して、ほとんど注目されていない部分があります。GDPRが、インターネットの浄化を日常業務としている人々に与えている悪影響です。

GDPRの施行後、ドメイン名のレジストリやレジストラは、WHOISデータから登録者の連絡先情報を削除し、非公開にしました。昨年10月のブログでお伝えしたように、サイバーセキュリティ専門家、ブランド保護サービスプロバイダー、司法機関、知的財産所有者、児童保護団体は、さまざまな形式の違法または有害コンテンツを公開している人物を特定して接触し、起訴するために、ドメイン名の登録者情報を使用しています。

登録者情報にアクセスできないことは、インターネットユーザーだけでなく、市民社会全体を守るための取り組みにも大きく影響します。ちょうど今週、ブルームバーグもGDPRがテロリストの追跡を阻んでいる可能性に関する記事を発表しました。MarkMonitorは、1年以上に渡り、WHOISデータの非公開化が、MarkMonitorの模倣防止、著作権侵害防止、詐欺防止サービスに与えている影響をトラッキングしてきました。

 

影響に関する最新情報

MarkMonitorのクライアントやその顧客を標的とする、知的財産の侵害、フィッシング攻撃、その他の詐欺行為が判明した場合、MarkMonitor強制措置チームは侵害停止通告書や侵害削除通知の送付を目的として、定期的に公開されているWHOISデータベースに照会を行い、その登録者の名前や連絡先を探します。ところが、GDPRの施行後、WHOIS公開データから登録者情報をほとんど得られなくなったため、MarkMonitorはレジストラやレジストリに直接、非公開のWHOISデータを請求しなければならなくなりました。

下図のとおり、MarkMonitorは現在、49%のケースで登録者情報の取得に成功しています。

過去1年に渡り収集してきたデータによると、WHOISデータベースを検索することで未改定の登録者情報を完全に取得できたケースは、44%に過ぎません。ただし、レジストラやレジストリが、当初公開していたWHOISデータを後から削除したケースもあり、初期の方が高い確率でデータを収集できていたため、このデータポイントには偏りがあります。

より詳しいデータを紹介すると、2019年について、現時点までに、侵害しているドメインに関する未改定の登録者情報を完全に取得できたケースは、わずか6%です。情報を請求した結果、完全なWHOISデータを取得できたケースの大多数が、レジストリではなく、レジストラからのものです。

ところが、大多数のレジストラは、登録者情報の請求を単純に拒否または無視します。70以上のレジストラに対し、情報請求を行った1,200件以上の中で、レジストラからWHOISデータを提供されたケースは、13%にとどまります。WHOISデータ請求の87%は、無視(請求の受領確認がない)または拒否されます。本分析では、30日以上、一切返答がないまま、無視または「自動確認後、保留」された請求は、拒否されたと見なしています。

 

ICANNのgTLD登録データのための暫定仕様で義務付けられるとおり、一部のレジストラは、登録者の個人情報を開示することなく、第三者が登録者に通知を送れるようにするための匿名のeメールアドレスやウェブフォームを作成しました。残念ながら、レジストラによるこうした仕組みへの対応は遅く、一部のレジストラは、そうした仕組みをまだ設置していません。

レジストラが主体となって登録者との接触手段を用意している場合でも、ブランド所有者はやはり、登録者を特定できず、そうしたレジストラの通信プラットフォームの使用を強制されても、確実に登録者に接触することができません。

WHOIS公開データの登録者情報へのアクセスが厳しく禁じられたため、MarkMonitorはGDPR施行後の状況に合わせて、法的措置の戦略を調整し、手続きを行う必要があります。MarkMonitorは、現時点において、ブランドの法的措置活動における業務効率性が12%低下したことを確認しています。

 

それでも成功しているMarkMonitor

WHOISデータを確実に取得することができない中、MarkMonitorは、ウェブサイト所有者検知テクノロジーを強化することで、GDPRの影響を大幅に軽減させていますが、強制措置チームが確実な連絡先情報を見つけ、ウェブサイト所有者に削除通知を送るまでの時間は長期化しています。

MarkMonitorは、登録者窓口の検索やWHOISデータ請求に関わるマニュアル作業の増加に伴い、低下した業務効率に対処するため、ブランドアナリストを追加採用しました。また、WHOISデータは、プライバシーまたはプロキシサービスによって非公開化されているものとして、ドメイン侵害者や詐欺ドメインに対処させるためのスタッフトレーニングに莫大な資金を投入し、これまでの方法に代わる新しい強制措置法を取り入れています。

WHOISデータが不足していることで、MarkMonitorによる詐欺との戦いや、クライアントの知的財産権を強制執行する活動はさらに難しくなりましたが、法的措置のためのトレーニングや検知テクノロジーに大幅な投資を行うことで、手続き1件あたりの成功率を下げることなく、現在でも侵害サイトや詐欺目的のウェブサイトを削除することができています。

 

EPDP:現状について

ICANNの簡易ポリシー策定(EPDP)のためのワーキンググループは現在、司法機関、サイバーセキュリティ企業、知的財産権所有者に登録者情報へのアクセスを認めるポリシーを策定中ですが、ICANNから発表されている最新のスケジュールによると、このようなポリシーが施行されるのは、まだ1年以上も先の話です。

 

MarkMonitorは、EDPDや、MarkMonitorが積極的に参加している他の業界団体を通して、また、レジストラやレジストリに直接働きかけることで、クライアントが模倣、サイバーセキュリティ問題、詐欺を始め、その他のさらに有害な脅威からブランドや顧客を守るために必要なドメイン登録者情報へのアクセスを認めさせるための活動を続けていきます。

今後も、皆様から、この重要な活動に対するご意見やクライアントサポートをいただけますようお願い申し上げます。詳しくは、GDPRの影響に関するMarkMonitorのウェビナー資料をご覧ください。

 

MarkMonitorのソリューションについてはこちら

英語原文はこちら