1998/08/18 運営委員会 資料 5-2 JPNICのwhoisによる個人情報公開について ---------------------------------------------------------------------- JPNICデータベース公開問題タスクフォース 最終更新 1998年 8月14日 JPNICのwhoisによる個人情報公開について(案) ■1 はじめに この文書ではJPNICデータベースに登録された個人情報をwhoisサービスで公 開することに関するJPNICの現在の考え方、不正使用への対応、現在進行中の ことがら、を述べます。この文書の作成の背景は以下のとおりです。 * 「whoisはネットワーク運用の目的に限って使用すること」との規定を逸脱 した利用が起こっています。 * 情報を登録している個人から自分の個人情報を公開しないよう求める声が挙 がっています。 ■2 現在の方針の基になっている考え方 ここではwhoisに対するJPNICの現在の方針「使用目的は限定するが情報自体 は公開」がよってたつ考え方を説明します。 ■■2.1 情報公開の目的 現在のJPNICの方針ではwhoisによる情報公開には以下の2つの目的がありま す。そして、JPNICはwhoisをこれら以外の目的で使うことを禁止しています。 1. ネットワーク運用に必要な情報を提供するため たとえばネットワーク障害の報告・調査・復旧や不正侵入、その他迷惑行 為に対する調査・再発防止などの作業を行うためには、関連するドメイン 名やIPアドレスを使用している組織・個人に連絡をとる必要があります。 2. 公正な資源割り当てを促進するため ドメイン名・IPアドレス等JPNICが割り当てを行う対象は限りある資源です。 その割り当てを受けている組織・個人を公開することは、公正な割り当て 申請を促すことになります。衆人環視のもとで不公正な資源利用を続ける ことは困難だからです。 これらをwhoisの目的とすることはJPNIC独自の考え方ではなく、InterNICを はじめNICの常識とJPNICは認識しています。ただし、これらはあくまで現在の 常識であってJPNICはこれらを不変のものと考えているわけではありません。 ■■2.2 電話番号・住所を公開する理由と正当性 whoisでの情報公開に対して「電話番号・住所を非公開にできるようにして ほしい」との要望があります。JPNICはそれらを非公開とすることを原則とし て認めていません。その理由は以下のとおりです。 * 電話番号を非公開とできない理由は、電話番号が「ネットワーク運用に必要 な情報」だからです。前節の目的1で触れたようにネットワーク運用上迅速 に連絡を取りたい場合があり、その際の連絡手段は一般に電話です。ネット ワーク運用上常に電話連絡が必要なわけではありませんが、電話連絡が望ま しい場合がかなりあります。 * 住所を非公開とできない理由は、組織・個人はその名前と住所の組でないと 確実に特定できないからです。住所の非公開を許すと前節の目的2が果たせ なくなってしまいます。 これらのことから考えて自らの電話番号・住所を公開することは、組織・個 人がドメイン名・IPアドレス等の割り当てを受ける権利に伴う義務とJPNICは 考えています。ただし、その義務は電話番号・住所の公開を望まない組織・個 人のインターネット利用を不当に制限するものとはなりません。インターネッ トプロバイダーのサービスを利用すれば自らドメイン名・IPアドレスの割り当 てを受けることなくウェブの閲覧・出版、電子メール送受信等、基本的にすべ ての形態でインターネット利用は可能だからです。 ■■2.3 情報公開はインターネット全体の要請 JPNICのwhoisによる情報公開は日本あるいはJPNICの範囲にとどまらずイン ターネット全体からの要請です。それを示すものとして、たとえば以下の事例 があります。 * ネットワーク障害や迷惑行為への対応が国を超えたものになることは珍しく ありません。日本以外の国の組織・個人がネットワーク運用のためにJPNIC のwhoisを使うことも珍しくないのです。 * JPNICのwhoisで閲覧できる情報のうちIPアドレスに関する部分はAPNICが複 製を持ち、APNICのwhoisでも公開しています。IPアドレスの割り当てを厳正 に行う立場からAPNICはIPアドレス割り当てを受けた組織・個人の電話番号・ 住所の公開を必須としています。 ■3 目的外使用への対応 ■■3.1 過去の目的外使用への対応 JPNICが把握しているwhoisデータの目的外使用の事例は1997年1月から1998 年6月までの間に5件ありました。目的外使用の内容はいずれもダイレクトメー ル用の名簿作成の手段としてのwhoisの利用です。すべての事例についてJPNIC は先方に注意を促し、先方から謝罪を受けています。 ■■3.2 対応方針 whoisで入手したデータの目的外使用についてJPNIC事務局の現在の方針は以 下のとおりです。 1. 事実確認を行います。 2. 目的外使用を行った組織・個人に対して注意を促し、同時に文書による謝 罪を要求します。 3. whoisで得た情報の使用目的限定に理解が得られない場合や2度以上目的外 使用を行った場合は組織名・個人名の公開を含めた対応を行います。 ■4 個人情報公開に関して進行中のことがら whoisでの情報公開の現状についても、また、その方針の基となっている考 え方についてもJPNICは不動のものと考えてはいません。情報公開の方法・方 針に関してJPNICはいろいろな点で検討・調査を進めています。しかし、残念 ながら現在のところ具体的なことは何も決まっていません。 以下、個人情報公開に関してJPNICが現在行っていることを説明します。 ■■4.1 JPドメイン名一覧の配布停止 JPNICはJPドメイン名一覧 ftp://ftp.nic.ad.jp/jpnic/domain/domain-list.txt の配布停止を検討しています。whoisの目的外使用として顕著なのはダイレク トメールへの利用であり、JPドメイン名一覧の配布停止により目的外使用が確 実に減ると期待できます。なぜなら、こういった事例ではJPドメイン名一覧を 基にwhoisへ問い合わせを行って名簿を作成しているからです。 JPドメイン名一覧の配布停止を行うのであれば同時にDNSのJPゾーンのゾー ン転送の禁止も検討しなければなりません。JPに属するドメイン名の一覧とい う点ではJPのゾーンファイルもdomain-list.txtと等価だからです。 JPドメイン一覧の配布停止を検討する上でダイレクトメール封じはことの本 質ではなく、本質は「JPNICデータベースの複製の助けとなることをJPNICはす るべきではないのではないか」という懸念です。JPドメイン名一覧を基に JPINCのwhoisに網羅的に問い合わせを行うことで部分的ではありますがJPNIC データベースの複製が可能です。ドメイン名の割り当てを受ける組織・個人は 申請の際、自らの情報がJPNICデータベースに登録されることは同意していま すが、その情報が更にJPNICとは無関係のデータベースに登録されることには 同意していません。したがって情報提供者の意思を尊重する上でJPNICデータ ベースが第三者に複製されてはならないでしょうし、JPNICが複製を助長・幇 助してはならないと考えられます。 ■■4.2 whois検索への認証の導入 JPNICはwhoisサービスに対し認証を導入することを検討しています。whois 利用が認証を基に行われると網羅的検索等の不適切な利用を防止・発見するこ とが容易になります。 ■■4.3 汎用性のある個人認証機構 個人認証はwhois検索だけではなく、JPNICデータベースのデータ更新・削除 をはじめとしてJPNICとのやりとりの様々な場面で利用されるものであり、汎 用性のある枠組みを使うのが望ましいと言えます。JPNICはそういう観点で汎 用性のある個人認証の枠組み・実現手段について検討するとともに認証局の運 用実験など試験的試みも行っています。 ■■4.4 非公開の是非・実現方法 JPNICはwhoisで提供される情報に非公開部分を設けられるようにするか否か、 また非公開可能とするとすれば運用方法・実現方法をどうするかについて検討 しています。 情報の非公開を可能とするなら、どの部分を非公開可能とするのが適当でしょ うか。非公開は無条件に認めるのでしょうか。一定の条件のもとに認めるので しょうか。例えば * 組織が割り当てを受けているドメイン名・IPアドレスに関しては非公開を一 切認めない。 * 電話番号を非公開とするのであれば例えば接続先インターネットプロバイダー を代理人として立て、代理人を通じて迅速に連絡が取れることを要件とする。 ■■4.5 JPNICデータベースの構造変更 JPNICデータベースは内容をすべてwhoisで公開することを前提に作られてい ます。例えば以下のことを可能にするためにデータベースの構造を変更する必 要があります。 * 今日的な認証機構を利用する。 * 項目単位で参照できる人(だれでも見られる・許可した人々だけが見られる 等)を定義する。JPNICはその検討を行っています。 ■■4.6 情報公開のありかたの見直し JPNICはJPNICデータベースの公開のありかた全体について見直しを行ってい ます。whoisはインターネットが研究ネットワークだった時代と同様に運用さ れ続けており、現状にはそぐわない点があっても不思議はありません。研究ネッ トワークだったころのインターネットは文字通り接続組織が協力しあって運用 していたのに対し、現在ではインターネットプロバイダーがインターネットの 主要部分を構成しており、インターネットに接続されている個々の組織あるい は個人はインターネットの構成要素とは呼びにくい状態です。また、プライバ シー保護に対する社会の趨勢も以前とは違ってきています。そういった状況を 考慮して「すべて公開」に代わる情報公開の基本原則は何かを考えるべきとき なのかも知れません。 ■■4.7 インターネット全体への問題提起 JPNICをはじめ各NICはインターネット全体の合意に沿って業務を行いますか ら、JPNICがwhoisでの情報公開の方法を変更するのであれば、それはインター ネット全体での合意に沿う形でなければなりません。個人情報保護の観点から whoisのありかたを見直す必要があるとの議論はときおりインターネット上で 見うけられますが現在までのところ散発的なものにとどまっています。そこで JPNICはインターネット全体に対して問題提起・合意形成を行うことを検討し ています。 ■5 おわりに ここまで述べたように「whoisでの個人情報公開」という一見それほど大き くないと思えることに関しても実際には多くのことがらが関係しており、また、 それら相互の関連もあり、具体的に何かを変えるには時間がかかります。 この文書はJPNIC運営委員会の「データベース公開問題タスクフォース」が 作成しました。ご意見はdbpi-tf@nic.ad.jpへお寄せください。データベース 公開問題タスクフォースは、この文書の作成をはじめとして「情報公開のあり かた」という観点でJPNICの活動・サービスについて検討を進めています。