gdpr

GDPRとブランド保護:施行から1年

GDPRとブランド保護への影響:施行から1年後の状況 Statton Hammock Vice President, Global Policy & Industry Development, MarkMonitor 2019年7月17日 一般データ保護規則(GDPR)が発効してから1年以上が経過しました。 その結果、インターネット上は、データ保護機関がビッグデータ処理者から徴収した罰金に関する記事で溢れかえっています。ところがGDPRに関して、ほとんど注目されていない部分があります。GDPRが、インターネットの浄化を日常業務としている人々に与えている悪影響です。 GDPRの施行後、ドメイン名のレジストリやレジストラは、WHOISデータから登録者の連絡先情報を削除し、非公開にしました。昨年10月のブログでお伝えしたように、サイバーセキュリティ専門家、ブランド保護サービスプロバイダー、司法機関、知的財産所有者、児童保護団体は、さまざまな形式の違法または有害コンテンツを公開している人物を特定して接触し、起訴するために、ドメイン名の登録者情報を使用しています。 登録者情報にアクセスできないことは、インターネットユーザーだけでなく、市民社会全体を守るための取り組みにも大きく影響します。ちょうど今週、ブルームバーグもGDPRがテロリストの追跡を阻んでいる可能性に関する記事を発表しました。MarkMonitorは、1年以上に渡り、WHOISデータの非公開化が、MarkMonitorの模倣防止、著作権侵害防止、詐欺防止サービスに与えている影響をトラッキングしてきました。   影響に関する最新情報 MarkMonitorのクライアントやその顧客を標的とする、知的財産の侵害、フィッシング攻撃、その他の詐欺行為が判明した場合、MarkMonitor強制措置チームは侵害停止通告書や侵害削除通知の送付を目的として、定期的に公開されているWHOISデータベースに照会を行い、その登録者の名前や連絡先を探します。ところが、GDPRの施行後、WHOIS公開データから登録者情報をほとんど得られなくなったため、MarkMonitorはレジストラやレジストリに直接、非公開のWHOISデータを請求しなければならなくなりました。 下図のとおり、MarkMonitorは現在、49%のケースで登録者情報の取得に成功しています。 過去1年に渡り収集してきたデータによると、WHOISデータベースを検索することで未改定の登録者情報を完全に取得できたケースは、44%に過ぎません。ただし、レジストラやレジストリが、当初公開していたWHOISデータを後から削除したケースもあり、初期の方が高い確率でデータを収集できていたため、このデータポイントには偏りがあります。 より詳しいデータを紹介すると、2019年について、現時点までに、侵害しているドメインに関する未改定の登録者情報を完全に取得できたケースは、わずか6%です。情報を請求した結果、完全なWHOISデータを取得できたケースの大多数が、レジストリではなく、レジストラからのものです。 ところが、大多数のレジストラは、登録者情報の請求を単純に拒否または無視します。70以上のレジストラに対し、情報請求を行った1,200件以上の中で、レジストラからWHOISデータを提供されたケースは、13%にとどまります。WHOISデータ請求の87%は、無視(請求の受領確認がない)または拒否されます。本分析では、30日以上、一切返答がないまま、無視または「自動確認後、保留」された請求は、拒否されたと見なしています。   ICANNのgTLD登録データのための暫定仕様で義務付けられるとおり、一部のレジストラは、登録者の個人情報を開示することなく、第三者が登録者に通知を送れるようにするための匿名のeメールアドレスやウェブフォームを作成しました。残念ながら、レジストラによるこうした仕組みへの対応は遅く、一部のレジストラは、そうした仕組みをまだ設置していません。 レジストラが主体となって登録者との接触手段を用意している場合でも、ブランド所有者はやはり、登録者を特定できず、そうしたレジストラの通信プラットフォームの使用を強制されても、確実に登録者に接触することができません。 WHOIS公開データの登録者情報へのアクセスが厳しく禁じられたため、MarkMonitorはGDPR施行後の状況に合わせて、法的措置の戦略を調整し、手続きを行う必要があります。MarkMonitorは、現時点において、ブランドの法的措置活動における業務効率性が12%低下したことを確認しています。   それでも成功しているMarkMonitor WHOISデータを確実に取得することができない中、MarkMonitorは、ウェブサイト所有者検知テクノロジーを強化することで、GDPRの影響を大幅に軽減させていますが、強制措置チームが確実な連絡先情報を見つけ、ウェブサイト所有者に削除通知を送るまでの時間は長期化しています。 MarkMonitorは、登録者窓口の検索やWHOISデータ請求に関わるマニュアル作業の増加に伴い、低下した業務効率に対処するため、ブランドアナリストを追加採用しました。また、WHOISデータは、プライバシーまたはプロキシサービスによって非公開化されているものとして、ドメイン侵害者や詐欺ドメインに対処させるためのスタッフトレーニングに莫大な資金を投入し、これまでの方法に代わる新しい強制措置法を取り入れています。 WHOISデータが不足していることで、MarkMonitorによる詐欺との戦いや、クライアントの知的財産権を強制執行する活動はさらに難しくなりましたが、法的措置のためのトレーニングや検知テクノロジーに大幅な投資を行うことで、手続き1件あたりの成功率を下げることなく、現在でも侵害サイトや詐欺目的のウェブサイトを削除することができています。   EPDP:現状について ICANNの簡易ポリシー策定(EPDP)のためのワーキンググループは現在、司法機関、サイバーセキュリティ企業、知的財産権所有者に登録者情報へのアクセスを認めるポリシーを策定中ですが、ICANNから発表されている最新のスケジュールによると、このようなポリシーが施行されるのは、まだ1年以上も先の話です。   MarkMonitorは、EDPDや、MarkMonitorが積極的に参加している他の業界団体を通して、また、レジストラやレジストリに直接働きかけることで、クライアントが模倣、サイバーセキュリティ問題、詐欺を始め、その他のさらに有害な脅威からブランドや顧客を守るために必要なドメイン登録者情報へのアクセスを認めさせるための活動を続けていきます。 今後も、皆様から、この重要な活動に対するご意見やクライアントサポートをいただけますようお願い申し上げます。詳しくは、GDPRの影響に関するMarkMonitorのウェビナー資料をご覧ください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

WHOISの今後ICANN理事会がEPDPフェーズ1最終報告書を承認

WHOISの今後:ICANN理事会がEPDPフェーズ1最終報告書を承認 Brian King Director of Internet Policy and Industry Affairs 2019年6月4日 2019年5月15日に開催されたICANN理事会の特別会議において、EPDPのフェーズ1最終報告書に盛り込まれた方針に関する推奨事項29件中27件が承認されました。本フェーズ1報告書は、EUの一般データ保護規制(GDPR)に準拠したWHOIS(現「登録データ」)の再開発を目的とした、ICANNコミュニティによる総意に基づく方針(コンセンサスポリシー)の策定に向けたボトムアップの取り組みが始まったことを意味します。ICANN理事会は、同コミュニティがコンセンサスポリシーを策定するまでの短い期間、登録データをGDPRに準拠させるための緊急対策として暫定仕様(Temporary Specification)を可決していましたが、本報告書に加え、EPDPのフェーズ2を以って、この暫定仕様が終了します。 EPDPのフェーズ2では、登録データにアクセスする合法的な根拠を持つ組織が、実際にデータにアクセスするための枠組みを定めるための取り組みが、すでに始まっています。     方針内容 ボトムアップのコンセンサスポリシー案は過去に承認されているため、EPDPの推奨事項の大多数について、ICANN理事会は十分に検討することなく、これらを承認することが予想されていましたが、実際、その通りになりました。ICANN理事会は、最終的な「サニティチェック」として、ICANN(法人)に委託された義務の下で、カリフォルニア州非営利公益法人(California Nonprofit Public Benefit Corporation)としての公共の利益のために、フェーズ1報告書に盛り込まれる推奨事項29件中2件を却下しました。 MarkMonitorが先日開催したウェビナーの中で、現行の暫定仕様に基づき登録データが公開可能になり、新登録データポリシー(Registration Data Policy;ICANN使用のタイトル)に基づきデータの取得が可能になる変更内容について説明しました。変更点の一部をご紹介します。   管理者情報がなくなります。 レジストラが登録者に技術窓口を指定する機能を提供する義務がなくなります。 レジストラが技術窓口に対応する場合、技術者情報は、名前、電話番号、Eメールアドレスの3項目に制限されます。 WHOISが提供する31項目(Phone/Fax Extension(電話/FAXの内線番号)フィールドを個別に数えない)のうち、登録データポリシーの下で義務付けられる項目は3件のみです。概要は、以下の表をご覧ください。     除外された項目 EPDPのフェーズ1では、目的2が大きな物議を醸し、知的財産所有者、政府、サイバーセキュリティ専門家、消費者保護団体は、暫定仕様に記載され、GDPRに義務付けられる通りに、登録データを処理するという目的を明示的に認めるように要求しました。 一方で、保護団体は、この問題におけるICANNの役割を最小限に制限することを求め、レジストリやレジストラは、このデータを合法的に第三者に提供できることを認める前に、確実な法的根拠を求めました。最終報告書では、第三者のタイプを明示的に指定せずに第三者アクセスを推進することで、安全で安定性や回復力のあるDNSの調整というICANNの役割(Mission(ミッション)やBylaws(定款)にまとめられる通り)を認めた、混合型の「暫定」目的2によって、この膠着状態が解消されました。 先日、ICANNと欧州委員会(EC)の間で交わされた公開通信の内容から、ICANNの目的と第三者の目的を区別するために明確性を向上させる必要性が明らかとなったため、理事会はさらなる改善のため、この目的を却下し、差し戻しました。 また、現在Organization(組織)フィールドに記載されるすべてのデータの一斉消去をレジストラに認める推奨事項12の内容を一部却下しました。推奨事項12は、このフィールドには法人名しか意図されていないにも関わらず、個人データが含まれる可能性があるため削除する必要があることが理解できない、ICANNコミュニティの人々に関わる問題でした。 ところが、理事会は、このデータを全消去すると、「登録者を特定するための情報が失われる可能性がある」と警告しながら、Organizationフィールドの非公開を義務付ける推奨事項12の一部を承認しました。その結果、Organizationフィールドは、要請があった場合に、レジストラの裁量で公開するか、フェーズ2で判断される「知る必要がある場合」に限り、公開されることになります。   今後の展望 理事会が、分野別ドメイン名支持組織(GNSO)の圧倒的多数によって可決されたコンセンサスポリシーを一部でも却下した例は、ほとんどありません(初めてのことかもしれません)。却下された推奨事項について、GNSO評議会との協議が始まります(https://www.icann.org/resources/pages/bylaws-2018-06-22-en#annexA1ICANN Bylaws, Annex A-1, Section 6.c.)。GNSOは、この結果に基づき、推奨事項を確定または修正の上、理事会に再提出することができます。 承認された推奨事項は、ICANNの実装フェーズに入ります。このフェーズでは、レジストラとレジストリが2020年2月29日までに、新ポリシーへの準拠を達成させる必要がありますが、理事会は「実装が複雑であり、また、データ保護当局(DPA)その他のソースから推奨事項に対する追加フィードバックが提供される可能性があるため、期日までに完了しない可能性がある」と警告しています。この期間中、レジストラとレジストリは、現行通り、暫定仕様のルールに基づき、事業を継続することができます。 MarkMonitorは、EPDPのフェーズ2における登録データへのアクセスモデルを統一するための取り組みも含め、継続的に、知的財産所有者、消費者保護団体、サイバーセキュリティ専門家をサポートします。ご質問やご提案がある場合、または本活動への参加をご希望の場合は、MarkMonitorまで直接ご連絡ください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

ICANN 64におけるデータ取得への新たな道筋

ICANN 64におけるデータ取得への新たな道筋 Statton Hammock Vice President, Global Policy & Industry Development, MarkMonitor 2019年3月19日 先週、神戸で今年最初のICANN年次総会が開かれ、世界中から1700人を超える人が出席しました。MarkMonitorからはドメイン、セールス、マーケティング、およびGRM(Global Relationship Management)チームのメンバーが、ICANNのポリシー策定および情報提供のワーキングセッションに積極的に参加し、また日本内外のクライアントやビジネスパートナーと有意義なミーティングも行いました。   昨年と同様に、先週のICANNで最も重要な議論は、ポリシー策定プロセス促進(EPDP)と、「WHOISデータ」と呼ばれるドメイン登録者データ一覧の収集、保管、転送、および表示のための新しいポリシーの策定でした。2018年5月にEU一般データ保護規則(GPDR)が施行された後、公のWHOIS情報は編集または隠されるようになってしまいました。そのため法執行機関、ブランド保護関連企業、サイバーセキュリティの専門家が、Webサイトを侵害したり、マルウェアやその他の悪質なコンテンツを配布したりする責任を誰が負っているかを発見することが非常に困難な状況になっています。   より良いデータ収集プロセスのための協力 EPDPは今月初めにフェーズ1勧告を発表し、登録者データを収集するための法的目的を明らかにしました。 第2フェーズでは、法執行機関や知的財産権者が最も頻繁に求める非公開データへのアクセスを得るため、標準となる方針の策定を行います。 ICANNは、EPDPの勧告についていくつかのセッションを神戸で開催しましたが、そのすべてがICANNメンバーによって支持されたわけではありません。MarkMonitorのGRMメンバーであるStatton HammockとBrian Kingは、登録者のプライバシー権と知的財産権を保護するために、データにアクセスするためのブランド権利者の正当な利益とのバランスを主張し、EPDPの活動に積極的に関与しました。   次の申請ラウンドのための方針策定に関連する作業もまた、後続プロセス作業グループのメンバーとして、gTLD申請プロセスの改善のための勧告を含む最終報告書の完成を後押しすることで、先週本格的におこなわれました。この最終的な推奨事項は、新しいラウンドのアプリケーションに備えて、コミュニティ環境を準備する際に重要なステップとなります。   現在、コミュニティの多くは、2021年後半または2022年初頭に新しいアプリケーションフェーズが開始されるように、方針策定およびその実行が完了できると考えています。MarkMonitorも、このグループで作業促進を行っています。またこの新しいフェーズは.brand TLDに関心を持っている企業にとってはよい機会となるでしょう。   重要なセキュリティポリシーを調査する ICANNは、ブランド所有者を商標権侵害およびサイバースクワット攻撃から保護するため、さまざまな権利保護メカニズム(RPM)の見直しを行っています。 RPMワーキンググループは、商標請求プロセス、迅速停止サービス(URS)、および委任後の紛争処理プロセス(PDDRP)のレビューを完了しており、2020年の早い時期に勧告を付けて報告書を発行する予定です。   その後、グループは、ブランド権利者が侵害しているドメイン名を把握できるよう、その長年の方針およびプロセスに何らかの変更を加えるべきかどうかを決定するために、統一紛争解決プロセス(UDRP)を評価します。MarkMonitorは、RPMはインターネットの安全性とセキュリティ、そしてオンライン上の評判を守るために、ブランド権利者にとって重要であると考えています。   最後に、ICANN 期間中、MarkMonitorチームは日本とアジア太平洋地域のクライアントやビジネスパートナーと会い、自社のブランドをオンラインで保護することに対する課題が増大していること、また次のラウンドのgTLDへの関心について、直接お話を聞くことができました。これらの声は、私たちがICANNや世界中の他のフォーラムでクライアントの利益を効果的に提唱すること、またクライアントやパートナーに影響を与える問題や懸念を理解するのに大変有意義なもので、今後活用して参ります。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

GDPR・WHOISのブランド保護への影響9か月後の状況

GDPR・WHOISのブランド保護への影響:9か月後の状況 Brian King Director of Internet Policy and Industry Affairs 2019年3月10日 昨年10月、登録データ(「WHOIS」)の改訂が、ドメイン名の保護、模倣防止、著作権侵害防止、詐欺防止サービスに与える影響に関する記事を投稿しました。その記事で説明したように、MarkMonitorは、侵害しているドメイン名の調査、フィッシング攻撃元の特定、サイバー犯罪者、模倣者、侵害者に対する停止通告書の発行など、正当な目的のためにWHOISのデータを使用しています。GDPRが施行され、ICANNから登録データの収集、保存および表示に関する暫定仕様が発行されて以来、MarkMonitorは侵害やその他の不正を阻止するために必要なWHOISデータを得るため、レジストラやレジストリと協力してきました。GDPRの施行から9か月が経過し、ドメイン登録データの取得という点で、ある程度の進展はありましたが、現在でも対処が必要な重大な課題が残っています。   WHOISデータの取得に成功したケース ICANNが暫定仕様を制定してから、MarkMonitorは侵害ドメイン名の45%に関して、WHOISデータを取得することに成功しました。下図に反映されているように、一部のレジストラはGDPRが適用されない登録者(米国や中国など、GDPRの支配を受けない管轄区域の登録者など)のWHOISデータを改訂することなく、完全に公開しています。地理位置に基づき登録者を区別し、管轄区域のみにこのヨーロッパの規制を適用するべく、ご協力いただいたレジストラの皆さまには、本当に感謝しています。   図1. 侵害しているドメイン名について、未改訂のWHOISデータの取得に成功したケース   データが公開されていない場合は、レジストラに公開リクエストを送ります。成功率は低くく、また最低限の情報しか公開していないレジストリ(.comや.netなど)は登録者データを持っていないため、このようにレジストラに要請を送った数は最低限の範囲に留まります。WHOISデータの取得に成功したケースに注目すると、レジストラに要請を送ってデータを取得したケースと比べ、公開されているWHOISからデータを取得したケースが8倍近くも多くなっています。   削除されたWHOISデータの開示要請 また、これまでの9か月間、MarkMonitorチームと協議を行い、WHOISデータ請求プロセスの改善に協力して頂いた大勢のレジストラを始め、説明やご協力をいただきましたレジストラの皆さまに感謝を申し上げたいと思います。レジストラ・ステークホルダー・グループ(Registrar Stakeholder Group)のメンバーからのこうした協力が非常に重要になっています。データ請求手続きを効率化するため、引き続きご協力いただけますようお願い申し上げます。   一方で公開されているWHOISデータが改訂されている場合、侵害ドメインについて削除されたデータを請求しても、データを取得できる確率は低く、15個以上のクライアントブランド全体で1,000件以上の請求を行いましたが、86%という失敗率を記録しています。   図2. レジストラへのデータ請求結果   MarkMonitorは、各侵害を慎重に分析し、WHOISデータが必要な場合は、最善を尽くして、完全かつ現実的な請求を行いました。暫定仕様によって、レジストラには、MarkMonitorの正当な請求目的と登録者のプライバシー保護の間でバランステストを行うことが義務付けられています。このバランステストの結果、MarkMonitorが請求したデータをすべて取得できる可能性は非常に低いことはわかっています。MarkMonitorは、レジストラのバランステスト評価に合格できる請求方法を把握するため、引き続きレジストラと協力していきます。   非常にもどかしい状況ですが、レジストラに送った請求の5件に1件は、自動返信されるか、完全に無視されます。暫定仕様の施行から9か月が経過しましたが、多くのレジストラがバランステストを行わないだけでなく、登録者に問い合わせを行うために必要なウェブフォームも作成していません。未回答のレジストラの多くは、単純に全面拒否し、請求内容の検討すら行っていないか、召喚状に関する方針やUDRPの記録がない改訂されたWHOISデータを提供してきます。バランステスト義務を拒否しているため、暫定仕様に適合していないと考えるレジストラからの回答例をご紹介します。   お世話になります。 弊社は、本件に協力することができません。詳しくは、レジストリまでお問い合わせください。 質問または懸念事項等がございましたら、遠慮なくご連絡ください。 宜しくお願い致します。   お世話になっております。 該当のドメインの窓口情報は、GDPRの下で保護されています。 表示される情報に誤りはないため、本WHOISの誤りに関する苦情申し立て案件はクローズしました。 宜しくお願い致します。   クライアント各位 お客様のお問い合わせ内容に対応させていただきたいとは存じますが、弊社はクライアント情報を提供することができません。 弊社の方針により、クライアントのプライバシーが尊重されます。ご提供できる情報は、WHOIS検索に記載されるデータのみとなります。 宜しくお願い致します。   大抵は、このように回答されます。実際、20以上のレジストラから、20種類以上の拒否通知を受け取りました。このような対応は問題です。必要な時に登録者データを提供させる強制力のある義務を課さなければ、多くのレジストラは自動的に最もリスク回避型の立場を取るということを証明するために、MarkMonitorはこの問題を取り上げています。   MarkMonitorは、ICANN違反の申し立て手続きを通してレジストラに抗議することは望んでおらず、適切な協力や誠意ある取り組みを通して、私たちが最善の長期的解決法と信じる統一/容認されたアクセスモデルを確立したいと考えています。そのためICANNの契約コンプライアンス部門(ICANN Contractual Compliance)に違反を申し立てることはいたしません。今後も、世界的なDNSコーディネーターとしての役割どおりに、ICANNに協力を要請し、その責任を負わせ、こうした法的に複雑で潜在的に危険な個人データの取り扱いに関する判断がレジストラに与えている状況を改善していきます。引き続き、この問題を解決するために、EPDPのフェーズ2で多くの協力者と協議を続けていきたいと思います。 […]

ドメイン登録情報とEPDP

ドメイン登録情報とEPDP Statton Hammock Vice President, Global Policy & Industry Development 2019年3月5日   ドメイン名登録情報(一般に「WHOIS情報」と呼ばれる)の収集、保存、転送、および開示に関する今後の方針を作成することを目的としたICANNのEPDPグループは、2月にフェーズ1を締め切りました。GNSO評議会は、ドメイン名登録情報の新方針として承認するよう推奨し、ICANN理事会にレポートを送ることになりました。   EPDPは、知的財産権保有者、法執行機関、児童保護擁護団体、およびサイバーセキュリティの専門家の観点から、WHOIS情報を取り扱うための合法的根拠および目的を特定するという仕事をしていました(GDPRが要求する気が滅入る仕事です)。 しかし結果はGDPRの実際の範囲に適合し、ドメイン登録者の権利と世界の公共の利益とのバランスをとる政策を確定するにはほど遠いものでした。   EPDPはフェーズ1の最終報告書の152ページで、どの「データ要素」(WHOISデータフィールド)をレジストラが収集および保存するべきなのか(推奨事項5および6)またどのデータ要素が公表されるのかを(推奨事項10)含む 29の方針推奨事項を発表しました。   ICANNの既存のWHOISを可能な限り保持するという意図に反して、EPDPはこの方針をGDPRの管轄の範囲に制限しないとしました。 新方針のグローバルな適用性とレジストリとレジストラへの利便性をため、EPDPはすべての登録者のWHOIS情報の修正を認めました。これはレジストリおよびレジストラが欧州法を管轄外で適用することを許可し(推奨事項#16)、GDPRの適用を明示的に否認する企業および法人に法律を拡張することになります。   さらに厄介なのは、フェーズ1からのポリシーの推奨事項が、最初の暫定仕様にある要件の効力を弱めてしまっていることです。 たとえば、暫定仕様では、登録者の組織(「Org」)フィールドを公開する必要がありました。 しかし最終報告書では、レジストラまたはレジストリが登録者にOrgフィールドのデータを確認または修正させる手順を作成するまで、Orgフィールドを編集することができてしまいます。   問題はそれだけではありません。レジストラは登録者の連絡先を1つだけ収集するだけでよくなり(管理者用および技術用の連絡先は不要)、レジストラとしては顧客に技術担当者のコンタクト先を指定するよう提案することもできます(推奨事項#5) 。その場合、サポートされている技術連絡先データは、名前、電話番号、およびEメールアドレスだけになってしまいます。暫定仕様と同様に、新方針でもレジストラは登録者の実際のメールアドレスを同意なしに公表することが禁止されています。連絡を容易にするために、レジストラが匿名のEメール転送アドレスまたはホストするWebフォームを提供することを義務付けています(推奨項目#13)。この方針ではレジストラがどの方法を採るか明示することも、WebフォームのURLを投稿しやすいよう目立つ所におくことも要求されていません。これによりドメイン所有者への連絡方法に関する手がかりがなくなってしまうのです。   暫定仕様書は、登録者情報の合法的な処理のために合法的な目的として、消費者保護、サイバー犯罪の調査、DNSの悪用、および知的財産保護を明確に認識していました。 EPDPの最終報告書には、これらの正当な目的のいずれについても特別な言及はなく、単に「ICANNの使命に従ったドメインネームシステムのセキュリティ、安定性、および回復力」を目的とした取り扱いに関する文言が「知的財産権の侵害を調査する過程での開示を妨げるべきではない」と付け加えた脚注とともにあるだけです。この文言はICANNの権限内の他の目的の中でも、暫定仕様書に明示的に列挙された目的を含むようにしていますが、消費者保護、サイバー犯罪捜査、DNSの悪用、および知的財産権保護の仕事で必要とする人たちが求める特異性を欠いています。   一方、EPDPでは第三者から合理的な要求を受けた場合、非公開の登録者情報へのアクセスを提供するというレジストラおよびレジストリの義務に関して重要な進歩がありました。推奨事項#18は編集された登録者情報の合法的開示を要求するための具体的な基準を規定しています。 これによりブランド保護の責任者、サイバーセキュリティアナリスト、および法執行機関が、レジストラが妥当性テストを実行し、最終的に要求されたデータを提供するかどうかを決定することを要求する際に役立ちます。   レジストラは自身のウェブサイト上で誰でもアクセス可能な場所にこのリクエストを提出するための方法と手順を公開します。リクエスト提出のための形式が大変明確であるにも関わらす、推奨事項は、レジストラまたはレジストリに情報開示を要求せず、代わりにレジストラおよびレジストリが開示メリットに関して彼らの主観的評価に基づいて回答することを許可しています。 レジストラとレジストリの回答基準を定義するための作業は、EPDPのフェーズ2で継続されます。   フェーズ1では、将来の第三者認定および非公開の編集済みの登録者データへのアクセスに関するポリシーについては取り上げられませんでした。 これは来週、日本の神戸で開催されるICANNミーティングで開始予定の第2フェーズ、フェーズ2で開始されます。   MarkMonitorのGRMチームのメンバーは、法執行機関、サイバーセキュリティの専門家、児童保護の支持者、ブランド保有者がオンラインでの虐待や犯罪を防ぐための重要な情報を入手できるアクセスモデルについて合意を得ることを願い次回のフェーズに参加します。   MarkMonitorのソリューションについてはこちら 英語原文はこちら

2019年に注目すべきオンライン脅威

2019年に注目すべきオンライン脅威 Kelly Taaffe Senior Writer, MarkMonitor   2019年1月10日 仮想通貨を利用したものから模倣品に至るまで、サイバー犯罪の勢いは留まるところを知りません。   アジア発のオンライン上の脅威が急増し続けています。中国や香港産の模倣品が、合計4,000億ドル(43兆円)近くとされる世界の模倣品市場の86%を占めると予想されています。シマンテックが発表した2018年のインターネットセキュリティ脅威レポート(ISTR)によると、2017年、IoT攻撃は600%増加し、コインマイニング活動に至っては、34,000%も急騰しました。   2019年は、このような脅威トレンドに注目していきましょう。MarkMonitorでは今年も、ブログやイベントなどを通して、皆さんに最新情報をお伝えしていきます。   目が離せない仮想通貨の動向 仮想通貨関連の脅威が注目を集め、ビットコインその他の詐欺行為の対策も頻繁に取り上げられるようになりました。多くの投資家や企業、機関が、この新形態の取引を活用しようとしている一方で、サイバー犯罪者もこの機会を最大限に利用しようと、不法行為の数を増やしています。今年は、企業を脅かすクリプトフィッシング(cryptophishing)を初めとする仮想通貨関連の詐欺について詳しく説明していければと思います。   顧客中心 消費者がどんなに信頼していたとしても、模倣品市場として最も脆弱なチャネルはデジタルマーケットプレイスです。MarkMonitorはオンラインショッピングに関する世界的アンケート調査を実施し、12月にその結果を発表しました。このレポートによると、アンケート調査に参加した消費者の88%が、ブランドは消費者を守るための対策を強化するべきであると考えています。   中国のインターネットユーザーの71%がオンライン決済またはeコマースサービスを利用している現状を踏まえ、ブランド関係者はオンライン戦略の強化に向けて奔走しています。2019年、MarkMonitorは、ブランド保護の傾向を調査するためバロメーターレポートを作成して、詳細な洞察を提供していきます。   GDPRと企業の調査 貴社ブランドはGDPRの施行に沿って、確実に保護されているでしょうか?MarkMonitorは今年も最新情報をお伝えしながら、企業の皆様をサポートしていきます。   アクセス可能な登録者データの内容は、捜査当局だけでなく、サイバーセキュリティ調査にも影響します。アンケート調査に参加したWHOIS/RDS2レビューチームメンバーの67%が、WHOISから取得できるデータは十分ではないと回答しています。GDPR施行以前、この数字は2%程度に過ぎませんでした。今後もMarkMonitorが、進捗の都度、最新情報をお伝えしてまいります。   止むことのない著作権侵害 IPTVが登場し、悪質なストリーマーたちは新手の不正コンテンツの新たな販売経路として利用しています。正規コンテンツのオーナーは今や、安価な(無料の場合もある)海賊版を提供する侵害者と戦わなければなりません。このような著作権侵害は、コンテンツの価値を下げるだけでなく、ARPU(ユーザー1人あたりの平均収益)にも影響します。   これらの攻撃者に遅れを取らないようにするには、包括的なIPTVサービスのデータベースへのアクセスが必要です。また、IPTVにおける著作権侵害に対抗するには、ほぼリアルタイムで検知や検証を行う必要もあります。MarkMonitorのブログでは、ベストプラクティスやツールに関する最新情報をお伝えしていきますので、お見逃しなく。   ドメインの管理 ドメインポートフォリオの保護や最適化において、ビジネスインテリジェンスがかつてなく重要になっています。2019年は、さらに賢い登録方法やドメインライフサイクルの判断方法、また重要なドメイン資産の保護方法について、最新情報をお伝えしていきます。   一般的なトップレベルドメイン(TLD)登録による防御に代わる手法として、ブランドオーナーが利用できるブロッキングサービスにも引き続き注目していきます。今年は、普及し続けている.Brandsについて、多くの情報をお届けします(2018年11月2日の時点で、.Brandドメインの登録数は、第2四半期比19%増の15,568件を記録しています)。   MarkMonitorのブログを引き続きフォローして頂き、最新情報をチェックしてください。2019年もお客様のオンライン体験がより安全なものになるようMarkMonitorはサポートして参ります。   調査レポートの全文は、こちらからご覧になれます。 MarkMonitorのソリューションについてはこちら 英語原文はこちら

GDPRの予想しなかった影響

GDPRの予想しなかった影響 Statton Hammock Vice President, Global Policy & Industry Development, MarkMonitor   2018年12月17日 欧州委員会によると「GDPR(EU一般データ保護規則)」とは拠点を問わずEU内で活動しているすべての企業に対しデータ保護ルールを確実に実行するための規則です。その目的はEU加盟国に居住する個人が自身のデータを詳細に管理できるようにすること、またデータを取得した者にデータ保護のために必要な措置を取らせることです。なぜ個人データが収集されるのか、それがどのように使用され、処理され、処分されるのかについて知ることが重要であることは十分理解できます。しかしGDPRの施行日から6ヶ月たった今日でもこの規制の遵守は世界中の組織や企業にとって重大業務となっているのです。   ブランド保護への影響 GDPRはマーケティング、セールス、人事、企業買収などの分野に影響を与えてきましたが、特にブランドや知的財産権の保護に関わる人々にとってその影響は驚異的に大きいものとなりました。GDPRにより従来通りの業務遂行が困難になったり、また手続きが増え不便になったりすることもあります。特にオンライン上でのブランドや知的財産権保護に対する影響は小さくありません。   従来WHOIS(ドメイン名登録者の連絡先情報を公開したグローバルデータベース)でブランド侵害の責任者を特定していました。しかしGDPR施行後、WHOISはGDPRに準拠していないため登録者データの多くは非公開となってしまいました。ICANNは現在、GDPRに準拠した新しい登録者データ規則に取り組んでいますが、それが成立するまでの間は登録者データを取得することが難しくなっています。   登録者データに依存しているのはブランド保護だけではありません。皮肉なことに法執行、児童保護、サイバーセキュリティの緩和に携わる団体はGDPR施行でより重大な影響を受けています。GDPRは個人情報を保護することを目的としていましたが、それと同時により大きなリスクに個人を晒してしまう可能性が見えてきたのです。   調査への影響 WHOIS / RDS2レビューチームは世界中の法執行機関に調査を行いました。GDPR施行前、2018年5月までに84%の事例でWHOISデータを10回以上使用し、19%が1,000回以上使用していました。施行前は2%だったのに対し、施行後は67%が現在のWHOIS情報が調査のニーズを満たしていないと感じています。また51.85%がWHOIS情報が不十分なため調査が遅れていると回答し、25.93%がもはやWHOIS情報を確認することをやめています。   登録者データは従来サイバー攻撃、犯罪、またその被害者を特定する手段としても使用されてきました。フィッシング詐欺とメッセージング、マルウェア対策、モバイル不正防止のワーキンググループが実施したサイバー調査では300人の回答者中85%が登録者データを使用していることがわかりました。   WHOISのコンタクトデータが再編集されましたが、サイバーセキュリティのエキスパートの約50%が非公開の登録者データにアクセスする方法を知らず、さらにその50%は説明なくアクセスを拒否されています。またアクセスを申請した人の25%以上が実際アクセスが許可されるまで7日以上かかるという時間的リスクも発生しています。   オンライン保護の進化 GDPR施行により公的に利用可能な登録者データの現状は法執行機関とサイバーセキュリティ調査機関の両方にとって受け入れられないレベルになっています。決して簡単ではありませんが、現在ICANNはGDPRの原則に準拠し、個人の機密データを保護すると共にどのような形であれ犯罪から個人を守る正当な理由を有する人にも情報利用を許容できるよう迅速に動いています。   MarkMonitorドメイン名管理ソリューションについてはこちら 英語原文はこちら

GDPRとWHOIS: ブランド保護への悪影響

GDPRとWHOIS: ブランド保護への悪影響 Statton Hammock Vice President, Global Policy & Industry Development, MarkMonitor   2018年10月22日 一般データ保護規制(GDPR)の施行から4カ月以上が経ち、多くのドメイン名レジストリとレジストラが公開されているWHOISレコードから登録者情報を改訂しました(ヨーロッパ経済圏外の法人や個人に関する情報も含む、GDPRのプライバシー規制範囲を超える改訂が実施されています)。   これまで、WHOISに含まれるドメイン名登録者情報は、サイバーセキュリティ専門家、ブランド保護サービスプロバイダー、捜査当局、知的財産所有者、児童保護支援団体が、模倣品や著作権を侵害している映画・テレビ番組・音楽、マルウェア、違法薬品、模倣品、児童ポルノ、その他の違法コンテンツを販売するウェブサイトを宣伝する個人を特定し、その人物に接触して、起訴するために使われてきました。インターネット監視団体は、WHOIS情報が改訂されることで、捜査当局や知的財産保護支援団体が刑法や民法に基づく法的措置を講じることが困難になると考えていました。   今までは実際の影響を証明するデータが不十分でしたが、2つのサイバーセキュリティ組織APWG(Anti-Phishing Working Group)とM3AAWG(The Messaging, Malware and Mobile Anti-Abuse Working Group)が、サイバー調査員を対象としたアンケートを行い、セキュリティ活動への影響に関する調査結果を発表しました。   また、5月25日にGDPRが施行されてから、WHOISの改訂が弊社の模倣品、著作権侵害対策、詐欺防止サービスに与える影響をMarkMonitorで追跡してきました。まだ完全なデータではありませんが、影響の概要が見えてきましたので、ご紹介したいと思います。   問題点 この5月25日に先立ち、MarkMonitorの法的措置チームは、侵害停止要請や削除通知書を送付するため、公開されているWHOISデータベースに、定期的に登録者名と連絡先の問い合わせを行いました。WHOISの連絡先情報が不正確であったり、プライバシーまたはプロキシーサービスによって隠されている場合は、そのレジストラや侵害サイトをホストしている企業の不正報告窓口に通告していました。しかし、GDPRの施行後、WHOISの公開されている登録者データが全て削除されていたり、ほとんどなくなってしまったため、非公開のWHOISデータをレジストラや登録者から直接、請求しなければならなくなりました。   以下の表から分かるように、残念ながら、登録者情報を適切に取得できたケースは、たった22%でした。   過去4カ月間で収集したデータから、完全公開されているWHOISレコードのうち、GDPR後も登録者情報が改訂されていないレコードは、たった9%でした。取得できた完全なWHOISレコードの大多数は、レジストリではなく、レジストラから提供されたものです。   しかし、大多数のレジストラは、登録者情報リクエストを拒否または無視しています。70以上のレジストラに対して行った350件以上のリクエストのうち、レジストラがWHOISデータを返したケースは、たった26%でした。74%のWHOISデータリクエストが、無視(リクエストに対する回答が確認されなかった)または拒否されました。無視または30日以上回答のないリクエストは、拒否されたものと見なしました。   ICANNのgTLD登録データ用の暫定仕様ポリシー(Temporary Specification for gTLD Registration Data)で義務付けられるとおり、一部のレジストラは、登録者の個人情報を開示することなく、第三者が登録者に通知を送れるよう、匿名のeメールアドレスやウェブフォームを用意しています。しかし、多くのレジストラは、このような仕組みを実装せず、登録者の連絡先情報も不十分であり(メッセージの送受信を確認できない)、登録者の身元確認もしていないため、法的措置を行うには信頼性の低い情報となっています。登録IDも、UDRPの下で知的財産権を行使し、反サイバースクワッティング消費者保護法(Anti-Cybersquatting Consumer Protection Act; ACPA)に基づき訴訟を起こす場合に有益な情報となります。   さらに、MarkMonitorは、GDPR施行前と比べ、侵害検知数がわずかに上昇していることを確認しました。これは、過去に確認された夏の季節性の減少予想とは逆の傾向です。この上昇傾向を具体的にGDPRやWHOISデータの改訂と結び付けることはできませんが、MarkMonitorは、上昇に繋がる要因の解明や把握をするために、この傾向に注目し、詳しい内部分析を行っています。   一般公開されているWHOIS内の登録者情報にアクセスすることは固く禁じられているため、MarkMonitorはGDPRに沿った法的措置戦略やプロセスを修正する必要がありました。現在MarkMonitorでは、ブランドの法的措置業務の効率性が19%下がったことが判明しています。ウェブサイト所有者の検知テクノロジーは大幅に強化されましたが、WHOISデータに確実なアクセスができないため、法的措置チームがウェブサイト所有者の信頼できる連絡先を見つけて、削除通知書を送付するまでの時間が増えました。   […]

制限されたWHOISデータでブランドを守る

制限されたWHOISデータでブランドを守る Statton Hammock Vice President, Global Policy & Industry Development, MarkMonitor   2018年10月15日 GDPRは、ビジネスのあらゆる側面に影響を及ぼしています。ブランド保護や知的財産権の保護に関わる人々にとって、その影響は計り知れません。   GDPR施行後、知的財産権の行使を目的として、ドメイン登録者の連絡先情報を閲覧することができなくなりました。そのため、著作権や商標の侵害者を特定できる情報を探し出す新たな方法が必要になっています。WHOISデータベース内の重要情報にアクセスできない、GDPR関連のデータプライバシーに阻まれるなど、新たな問題に直面しているブランド所有者は、調査、特定、法的措置といった従来のアプローチの範囲内で、知的財産権の行使方法の見直しを迫られています。   ブランド所有者や捜査当局向けツールキット ブランド保護戦略における重要情報を取得するのに役立つ方法をご紹介します。   1. 調査   調査担当を増員する。 従来は一つか二つの手順で済んでいた作業の工程が増え、外部からの支援を活用する必要が出てきます。実際の登録者情報の調査ではマニュアルでウェブサイトを検索するか、レジストラやレジストリオペレーターに問い合わせて情報を取得するので、登録者の連絡先情報の検索により時間がかかり、また人手も必要になります。   他の情報ソースを検討する。 暫定的にWHOISに代わるものとして開発された、ICANNのgTLD登録データの暫定仕様書に基づき、レジストリやレジストラはドメイン登録者の名前とeメールアドレスを改訂できるようになりました。しかし他の方法でもこの情報を取得できる可能性があります。 ドメインネームサーバーから、他に関連性のありそうなドメイン名がないか検索してください。共通の管理下にある侵害ドメインや有害なドメインが見つかるかもしれません。 侵害要因を特定する従来の方法があります。WHOISのアドレス欄にドメイン名登録者の国や州しか入力されていなくても、この情報で、米国の国務省法人データベースや、あるいは該当国の商標事務所に問い合わせできる可能性があります。   2. 特定   問い合わせる ICANNの暫定仕様は、レジストリオペレーターやレジストラに対し、正当な理由に基づき、非公開のWHOIS情報への合理的なアクセスを要請された場合、データ主体の利益や基本的権利がその要請に優先されない限り、要請者に該当のアクセス権を提供することを義務付けています。レジストラまたはレジストリに非公開のWHOISデータを要請する際は、以下に従ってください。 – 要請者の情報と権利所有者との関係性を明確に伝える。 – 該当のデータを利用する法的な根拠を説明する。 – 侵害されている知的財産権と、その侵害発生状況を明確に伝える。 – ケースごとに要請内容を変える。実際に、担当者が内容を確認していることを念頭に置いておく。 – GDPRの原則に従って手続きを行う。 – 法的措置に必要な情報のみを要請し、その理由を説明する。情報を探り出す目的で要請するのは避けること!   他の法的データを取得する方法を模索する。 大多数の管轄地は、容疑者の身元が特定されていない場合でも、「不明な容疑者名」に対して訴訟を起こすことを認めています。起訴後に、発見手続きに基づき、弁護側の本当の名前やその他の詳細を確認します。「不明な容疑者」に対してUDRPやURS関連の訴訟を起こし、レジストラにUDRPまたはURSプロバイダーへ該当の登録者データを提供させます。   WHOIS履歴を見直す。 過去のWHOIS情報データベースはまだ存在しており、GDPR規制やその他のプライバシーポリシーに基づき、そこから情報を取得することができます。   […]

GDPRがWHOISや知的財産権保護の執行に与える影響

GDPRがWHOISや知的財産権保護の執行に与える影響 Chrissie Jamieson Head of Global Marketing, MarkMonitor   2018年7月17日 GDPR施行が始まり、すでにその影響を受けている企業が出てきています。   WHOISなどに対する影響は非常に大きく、今後も長期にわたる影響が予想されています。MarkMonitorのグローバルポリシーと産業開発担当バイスプレジデントであるスタットン・ハモック(Statton Hammock)は、今年4月に開催されたMarkMonitor NYCサミットで、影響について30分の講演を行いました。ハモックは、当社のGDPR専門家として、近い将来の展望についての豊富な知見を共有しました。   具体的には、GDPR施行後のWHOISに「壊滅的な影響」を及ぼすことや、効果的なブランド保護への取り組みを維持するには、新たなテクノロジーソリューションが必要であることに触れました。また、講演の終盤では、来場者との質疑応答を行い、さまざまな質問に応えています。皆さんがGDPR対策を講じるにあたり、お役に立つかもしれません。   GDPR関連の具体的な疑問や、MarkMonitorが提供するサポートの詳細について、是非お問い合わせください。   MarkMonitorのソリューションについてはこちら 英語原文はこちら