GDPRとWHOIS: ブランド保護への悪影響
Statton Hammock
Vice President, Global Policy & Industry Development, MarkMonitor
2018年10月22日
一般データ保護規制(GDPR)の施行から4カ月以上が経ち、多くのドメイン名レジストリとレジストラが公開されているWHOISレコードから登録者情報を改訂しました(ヨーロッパ経済圏外の法人や個人に関する情報も含む、GDPRのプライバシー規制範囲を超える改訂が実施されています)。
これまで、WHOISに含まれるドメイン名登録者情報は、サイバーセキュリティ専門家、ブランド保護サービスプロバイダー、捜査当局、知的財産所有者、児童保護支援団体が、模倣品や著作権を侵害している映画・テレビ番組・音楽、マルウェア、違法薬品、模倣品、児童ポルノ、その他の違法コンテンツを販売するウェブサイトを宣伝する個人を特定し、その人物に接触して、起訴するために使われてきました。インターネット監視団体は、WHOIS情報が改訂されることで、捜査当局や知的財産保護支援団体が刑法や民法に基づく法的措置を講じることが困難になると考えていました。
今までは実際の影響を証明するデータが不十分でしたが、2つのサイバーセキュリティ組織APWG(Anti-Phishing Working Group)とM3AAWG(The Messaging, Malware and Mobile Anti-Abuse Working Group)が、サイバー調査員を対象としたアンケートを行い、セキュリティ活動への影響に関する調査結果を発表しました。
また、5月25日にGDPRが施行されてから、WHOISの改訂が弊社の模倣品、著作権侵害対策、詐欺防止サービスに与える影響をMarkMonitorで追跡してきました。まだ完全なデータではありませんが、影響の概要が見えてきましたので、ご紹介したいと思います。
問題点
この5月25日に先立ち、MarkMonitorの法的措置チームは、侵害停止要請や削除通知書を送付するため、公開されているWHOISデータベースに、定期的に登録者名と連絡先の問い合わせを行いました。WHOISの連絡先情報が不正確であったり、プライバシーまたはプロキシーサービスによって隠されている場合は、そのレジストラや侵害サイトをホストしている企業の不正報告窓口に通告していました。しかし、GDPRの施行後、WHOISの公開されている登録者データが全て削除されていたり、ほとんどなくなってしまったため、非公開のWHOISデータをレジストラや登録者から直接、請求しなければならなくなりました。
以下の表から分かるように、残念ながら、登録者情報を適切に取得できたケースは、たった22%でした。
過去4カ月間で収集したデータから、完全公開されているWHOISレコードのうち、GDPR後も登録者情報が改訂されていないレコードは、たった9%でした。取得できた完全なWHOISレコードの大多数は、レジストリではなく、レジストラから提供されたものです。
しかし、大多数のレジストラは、登録者情報リクエストを拒否または無視しています。70以上のレジストラに対して行った350件以上のリクエストのうち、レジストラがWHOISデータを返したケースは、たった26%でした。74%のWHOISデータリクエストが、無視(リクエストに対する回答が確認されなかった)または拒否されました。無視または30日以上回答のないリクエストは、拒否されたものと見なしました。
ICANNのgTLD登録データ用の暫定仕様ポリシー(Temporary Specification for gTLD Registration Data)で義務付けられるとおり、一部のレジストラは、登録者の個人情報を開示することなく、第三者が登録者に通知を送れるよう、匿名のeメールアドレスやウェブフォームを用意しています。しかし、多くのレジストラは、このような仕組みを実装せず、登録者の連絡先情報も不十分であり(メッセージの送受信を確認できない)、登録者の身元確認もしていないため、法的措置を行うには信頼性の低い情報となっています。登録IDも、UDRPの下で知的財産権を行使し、反サイバースクワッティング消費者保護法(Anti-Cybersquatting Consumer Protection Act; ACPA)に基づき訴訟を起こす場合に有益な情報となります。
さらに、MarkMonitorは、GDPR施行前と比べ、侵害検知数がわずかに上昇していることを確認しました。これは、過去に確認された夏の季節性の減少予想とは逆の傾向です。この上昇傾向を具体的にGDPRやWHOISデータの改訂と結び付けることはできませんが、MarkMonitorは、上昇に繋がる要因の解明や把握をするために、この傾向に注目し、詳しい内部分析を行っています。
一般公開されているWHOIS内の登録者情報にアクセスすることは固く禁じられているため、MarkMonitorはGDPRに沿った法的措置戦略やプロセスを修正する必要がありました。現在MarkMonitorでは、ブランドの法的措置業務の効率性が19%下がったことが判明しています。ウェブサイト所有者の検知テクノロジーは大幅に強化されましたが、WHOISデータに確実なアクセスができないため、法的措置チームがウェブサイト所有者の信頼できる連絡先を見つけて、削除通知書を送付するまでの時間が増えました。
現在の対策
WHOISの情報が不足していることから、MarkMonitorが詐欺と戦い、クライアントの知的財産権を行使することが今までより難しくなりました。しかし法的措置のトレーニングや検知テクノロジーに大幅な投資をし、1件の不正に対し、同等の成功率で侵害や不正ウェブサイトを停止させることができています。
MarkMonitorは、登録者の連絡先情報の検索やWHOISデータリクエストのマニュアル化による業務効率の低下に対処するために、ブランドアナリストを追加採用しました。また、各侵害や不正ドメインに対応する人材のトレーニングでは、プライバシーまたはプロキシーサービスによってWHOIS情報が隠されているものとして、別の法的措置をとるように指導しています。
さらにMarkMonitorは、弊社の幅広い業界ネットワークを利用して多数のレジストラやレジストリに個別に問い合わせを行い、登録者データにアクセスするために必要な情報や保証について理解を深めています。このような対策で、MarkMonitorは、各状況に特化し、GDPRにも準拠したWHOISデータリクエストフォームやプロセスを開発しました。このフォームによって、登録者の連絡先情報を取得する作業が大幅に改善されました。さらなる改善に向け、引き続きレジストラと協力していきます。
今後の展望
これらの重要な対策手順で、GDPRがMarkMonitorによる不正検知やブランドへの法的措置業務に与える影響を緩和させることができましたが、膨大な金銭的コストが付随し、業務効率が下がりました。ICANNが簡易ポリシー策定プロセス(Expedited Policy Development Process; EPDP)を完成させ、レジストラやレジストリへの「合理的なアクセス」を定義し、認証とアクセスポリシーを施行するまでの時間が長引くほど、ブランド所有者、消費者、インターネットユーザー全般に及ぶ影響が増えていくでしょう。
MarkMonitorは、GDPRや将来的なデータプライバシー規制の下、個人情報保護の権利を守りながら、さらなるデータの収集や分析を継続し、捜査当局、ICANNコンプライアンス、レジストラ、レジストリ、ブランド保護専門家がポリシー、手順、活動をかたち作り、消費者を詐欺や不正から保護します。
弊社クライアントの皆様がオンラインのお客様やビジネスを守るサポートをするために、こういった企業、機関、その他の関係者の方たちと、率直な議論を交わす機会を楽しみにしています。また法的措置は国によって異なります。MarkMonitorまでお問い合わせください。
