各位
一般社団法人日本ネットワークインフォメーションセンター
ICANNがEUのGDPRに準拠したgTLD登録データのための暫定仕様書を承認
2018年5月25日に欧州連合(EU)の一般データ保護規則(GDPR)の施行が予定されていますが、 ICANNは、2018年5月17日に開催した臨時理事会において、ICANNの各種契約およびポリシーの、 GDPRへの適合を目的とした、「gTLD登録データの暫定仕様書」を承認しました*1。 JPNICでは、当該臨時理事会の決議概要について5月18日にお知らせしましたが*2、 この度、仕様書の日本語概略も作成しました。日本語概略は、本文末尾をご参照ください。
- *1 ICANN Board Approves Temporary Specification for gTLD Registration Data (ICANNによるアナウンス)
- https://www.icann.org/news/announcement-2018-05-17-en
- Temporary Specification for gTLD Registration Data (gTLD登録データの暫定仕様書)
- https://www.icann.org/resources/pages/gtld-registration-data-specs-en
- *2 ICANN臨時理事会(2018年5月17日開催)決議概要(2018/5/18)
- https://www.nic.ad.jp/ja/icann/topics/2018/20180518-01.html
GDPRの施行により、欧州経済領域(EEA)内に居住するユーザーのデータ保護強化が義務づけられることから、 それらの地域からの登録を受け付けるレジストリやレジストラといった事業者においても、 GDPRへの対応が求められます。
今回の暫定仕様書では、GDPRに適合するのためのgTLD登録データの仕様を示し、 それに関連するレジストリ契約、レジストラ認定契約等の諸条項の変更点も示しています。 この仕様変更が事業者で適用されることで、gTLDのWHOISにおいて、 連絡担当者情報などにおける個人のデータが一部非公開となり、 それらのデータには正当な目的を持つユーザーのみがアクセスできるようになる、 というものです。
ICANNではこれまでも、 EUでGDPR制定を担当する作業部会や、EU各国のデータ保護当局(DPA)との協議や質問状のやり取りなどによって、 規制内容の明確化を進めながら、一方でコミュニティからの提案や意見も取り入れつつ、 GDPRに適合した仕様変更を検討してきました。 この暫定仕様書は、2018年3月8日に最初の案が公開され、 3月中旬に開催された第61回ICANNサンフアン会議でも議論がされました。 この議論の経過については、先日発行したメールマガジンJPNICNews & Vewsでも取り上げていますので、 こちらもあわせてご覧ください*3。
- *3 JPNIC News & Views vol.1593
第61回ICANNサンフアン会議および第51回ICANN報告会レポート - https://www.nic.ad.jp/ja/mailmagazine/backnumber/2018/vol1593.html
今回この仕様書が「"暫定"仕様」と銘打っているのは、 GNSO(分野別ドメイン名支持組織)のコンセンサスポリシー策定プロセスに従った策定ではないことと、 GDPR発効後の状況を勘案した調整が必要だという認識によるものです。
今後ICANNでは、今回の暫定仕様に関するコンセンサスポリシー策定プロセスを開始し、 暫定仕様における課題について、GNSO評議会と協議を行うとのことですが、ICANNでは、 gTLD登録データに関わるステークホルダーが、ひとまず今回の暫定仕様に従うことで、 GDPRに準拠しつつ、これまで通りWHOISを公益のために維持し、 インターネットの安定とセキュリティを維持できるとしています。
Temporary Specification for gTLD Registration Data (gTLD登録データの暫定仕様書) |
---|
1章:スコープ |
暫定仕様がすべてのgTLDレジストリ、およびICANN認定レジストラに適用されること、 レジストリ契約、レジストラ認定契約の該当条項を上書きするものであることが明記されています。 |
2章:定義と解釈 |
文書における用語の定義と解釈を示しています。 |
3章:発効日 |
暫定仕様の発効日を2018年5月25日としています。 |
4章:gTLD登録データ処理の適法性と目的 |
gTLDの登録データの収集、公開などの処理に関して、ICANN付属定款における位置付けを示し、 DNSおよびインターネットの安定的な運用の上で不可欠であることを示した上で、 登録データ中の個人データに関して、基本的権利を損ねない範囲の正当な目的で取り扱われる必要があるとし、 GDPRを考慮する上での、登録データの個別の処理の要件を示しています。 |
5章:レジストリ事業者およびレジストラに適用される要件 |
GDPR施行後に適用される、条件に従った登録データの公開、
RDAP(Registration Data Access Protocol)*4導入、
データエスクロー、データ処理要件、国際データ移転における十分性認定や標準的契約条項などの措置、
統一早期凍結(URS)、ICANNコンプライアンス確認などの要件を示しています。
多くは付録に詳細を譲っています。
|
6章:レジストリ事業者のみに適用される要件 |
ICANNへのバルク登録データアクセス、RDAP導入に関する月次レポートの実施、 レジストリ-レジストラ契約におけるEU標準契約条項の追記などの、GDPR対応の実施を求めています。 |
7章:レジストラのみに適用される要件 |
登録者に対して告知が求められる事項、登録者によるデータ開示同意の要領を示しています。 |
8章:雑則 |
付録A:登録データディレクトリサービス(RDDS) |
|
付録B:データエスクロー要件の補足 |
エスクローデータの転送が国際データ移転となる場合に、標準的契約条項を付すなど、 GDPRで規定される適切なセーフガードを実施することを求めています。 |
付録C:データ処理要件 |
データ処理事項ごとに、レジストラ、レジストリ事業者、ICANNのうち、 誰がGDPRが定めるところの管理者(Controller)や処理者(Processor)にあたるかを示し、 管理者、処理者が果たす責務や原則を明確にしています。 |
付録D:統一早期凍結(URS) |
申立人が、凍結したいドメイン名の登録者に関する情報がない状態でも、 申し立てができるとしています。 |
付録E:統一ドメイン名紛争処理方針(UDRP) |
申立人が、移転や取り消しをしたいドメイン名の登録者に関する情報がない状態でも、 申し立てができるとしています。 |
付録F:ICANNに対するバルク登録データアクセス |
レジストリ事業者がICANNに提供するべき、 データ項目の暫定仕様における変更点が示されています。 |
付録G:レジストラ間ドメイン名移転ポリシーに対する補足手続 |
登録者自身に、移転先のレジストラへの登録データの入力を求めるなど、 暫定仕様におけるレジストラ間ドメイン名移転ポリシーの変更点が示されています。 |
添付:今後のコミュニティによる活動に関する重要な論点 |
本部分は、暫定仕様の策定の過程で浮かび上がった、実装に関する論点を述べるためのもので、 ICANN理事会が暫定仕様の発効日後も議論を継続することを推奨するためのものです。 ただし、新規の要件を追加するものではなく、 ポリシー策定プロセスの対象範囲を指示することを意図したものでもありません。 |
実装メモ:理事会決議の背景、参考文書およびgTLD登録データ要素の法的基盤および目的 |
主に当該文書へのリンクです。 |
以上