ICANN(Internet Corporation for Assigned Names and Numbers)の理事会は、時間ギリギリになっても、ドメイン名システム(DNS)と誰がどのドメインを所有しているかを検索できるマスターデータベースである「WHOIS」を、欧州連合(EU)の一般データ保護規則(GDPR)を遵守したものにするための取り組みを続けている。
果たしてどうなるのだろうか。
筆者の考えでは、ICANNの「gTLD登録データの暫定仕様書」が、各国のデータ保護監督機関の代表者で構成されるGDPR第29条作業部会が掲げる条件を満たせるとは思えない。
ICANNはWHOISの情報プライバシー問題への対応に1年の猶予期間を求めていたが、それを得ることはできなかったようだ。
ICANNは、「猶予期間がなければ、WHOISを維持することはできなくなるかもしれない。これらの問題を解決できなければ、WHOISのシステムは分裂してしまう。(中略)分裂したWHOISは、もはや分野別トップレベルドメイン(gTLD)のための登録ディレクトリサービスの共通フレームワークとしては機能しない」と述べている。
これは極めてまずい事態だ。
まずドメイン登録事業者は、GDPR違反のために、最大で2000万ユーロまたは年間売上高の4%のいずれか高い方を科される可能性がある。またこれらの事業者は、法令を遵守するための対応が取れなかったことで、訴訟を受けるかもしれない。
ドメイン登録事業者が受ける別の副作用として、事業者の多くがドメインの登録情報を非公開にすることに対して追加料金を取っているということがある。これは事業者にとって大きな収入源だが、GDPRによってプライバシーの保護が義務化されると、このサービスの必要性は失われ、収入源も失われる。
影響を受けるのはドメインビジネスだけではない。情報プライバシーと脅威インテリジェンスの専門家であるAngela Gunn氏は、GDPRがWHOISをインターネットの仕組みそのものと不可分の一部ではなく、単なるデータセットの1つだと見なすのは、極めて近視眼的だと指摘する。Gunn氏はさらに、「情報の秘匿によって、セキュリティ研究者、捜査当局、その他のサイト管理者、あるいは普通の市民までもが大きな代償を払うことになるだろう。私は、すぐに反動が起こり、いずれ一定の調整が行われると予想しているが、そういった改善は、苦い経験を通じて進めることになりそうだ」と述べている。
