概要
- 2018年に加速したプライバシーリセットは、登録ディレクトリの慣行を変えたが、「墨消し済み」は完全な制度的回答ではない。データ主体は、どの値が保護されているのか、なぜそのように扱われたのか、他にどこに現れるのか、そしてその判断にどのように異議を申し立てるのかを知る必要がある。
- 過剰公開と過剰墨消しは別個の誤りである。前者は個人の自宅、直接連絡先、または前職を晒す可能性がある。後者は、番号資源登録を検証し、または不正行為を解決するために必要な組織的責任と運用経路を隠し得る。
- RDAP は、空のテキスト応答よりも正確にフィールドの扱いを表現できる。RFC 9537は、墨消しされたフィールドと手法を識別する。プロトコルの基本的な機能として、通知、注記、リンク、イベントを伝達することもできる。これらの技術的要素には、依然として救済ポリシーが必要である。
- フィールドレベルのケースでは、格納された値、公開ビュー、認証ビュー、置換またはリレー、履歴上の取扱い、および下流コピーを区別すべきである。値の訂正は自動的に誰がそれを見るべきかを答えず、可視性の変更はその値が誤りであることを立証しない。
- 自動ルールには理由と有効期限の両方が必要である。個人の連絡先リスク、法的制限、セキュリティ上の必要は、異なる期間に異なる取扱いを正当化し得る。恒久的な隠蔽やデフォルトでの開示は、昨日の想定が今日の記録を支配することを許す。
- データ主体、認定保有者、影響を受ける維持者、および依存する事業者は、異なる形態の当事者適格を必要とする。誰も権限を書き換える無制限の権限を与えられるべきではない。各々は、具体的なプライバシーまたは調整上の害を生じさせるフィールドに異議を申し立てられるべきである。
- NRS は、相互運用可能なフィールド識別子、決定受領証、期限、一時的保護、独立した審査、および適格サービス間で記録に追従する訂正通知という、積極的な共有救済基準を提供できる。展開と国境を越えた認識には、依然として実証が必要であろう。
墨消しは行為であり、フィールド欠落の自然な状態ではない
公開応答が連絡先を省略する場合、その欠落は記録に関する事実のように見えることがある。それは通常、判断に関する事実である。値は収集されたことがないかもしれない。削除、マスキング、リレーによる置換、この利用者への非開示、または応答の構造を維持するための空表示がなされたかもしれない。これらの状態は異なる結果をもたらし、異なる救済に値する。
この区別が緊急性を帯びたのは2018年以降であり、データ保護義務と無差別公開への幅広い反応が、登録サービスに個人連絡先の露出を再考させることを余儀なくした時である。初期の公的な議論の多くは、どの程度の情報が可視のままとされるべきかに関するものだった。後になって、あるフィールドが誤って扱われたことに気付く個人や事業者には、あまり注意が向けられなかった。
元従業員は、直接のメールボックスが露出したままであるために、依然として不正利用の苦情を受け取るかもしれない。小規模ネットワークは、あらゆる連絡先を個人情報として扱うルールのせいで、唯一の運用連絡先が隠されてしまうかもしれない。個人事業主は、自宅住所ではなく、役割リレーを必要とするかもしれない。研究者は、省略された値を、保有者がそれを一度も提供しなかった証拠と誤解するかもしれない。どの問題も、レコード全体ではなく、フィールドから始まる。
応答を「プライバシー準拠」と呼ぶことは、その誤りを解決しない。準拠は適用法と文脈に依存する。ルールが合法である場合でも、実装は誤ったフィールド、人物、組織、または期間を結びつける可能性がある。自動判断は、古い区分に適用される可能性がある。法人の値が個人データを含むこともあれば、個人名が説明責任を負う登録者の公開名となることもある。区分がすべてのケースを決定するわけではない。
最低限の制度的規律は、その行為を認識することである。応答は、取扱いが発生したこと、影響を受けたフィールド、使用された方法、およびポリシー上の理由を特定すべきである。データ主体は、基になる値を安全に検査できるべきである。依存する利用者は、より害の少ない代替手段を求め、または重要な組織的事実の喪失に異議を申し立てられるべきである。
これらのメカニズムがなければ、墨消しは審査不能な行政的事実となる。フィールドは消失し、責任もそれと共に消失する。
2018年のプライバシーショックは、開示問題と同時に救済ギャップを明らかにした
2018年の欧州連合一般データ保護規則(GDPR)の導入は、あらゆる登録プライバシー上の懸念を生み出したわけではなく、すべての RIR レコードを規律するものでもない。しかしそれは、防御可能な目的なしに個人データを公開することの結果を先鋭化させ、アクセス、訂正、異議、消去、苦情申立権に対する公衆の関心を強めた。
登録サービスは、厄介な遺産に直面した。Whois 文化は、多くの場合、緩やかに構造化されたテキストでの幅広い公的可用性を重んじてきた。連絡先オブジェクトは、組織的責任を個人の氏名、電話番号、住所、メールボックスと結合し得る。同じ値が、トラブルシューティング、不正利用報告、説明責任、一括収集を支えた。単一の公開スイッチでは、これらの用途を個別に衡量することができなかった。
最も迅速な対応は、多くの場合、一律の隠蔽であった。すなわち、ある区分のフィールドを墨消しし、値を置換し、または公開出力を減少させることである。これにより、一部の露出は減少した。しかしまた、レコードを異なる目的を持つアサーションの集合としてではなく、文書として扱うリスクも伴った。組織名、不正利用リレー、居住用住所は、同じリスクをもたらさない。現行の役割アカウントと元従業員の個人メールボックスもまた同様である。
救済は断片化した。ある個人は、プライバシーチャネル、アカウント更新ツール、一般的な苦情受付アドレスを持っているかもしれない。部外者は、不正確報告フォームを持っているかもしれない。維持者は、記録を管理しているが、被害者本人ではないかもしれない。公開応答は、消失するか露出し続けたフィールドにどの経路が適用されるかを、ほとんど説明しなかった。
RIR の実務もまた、異なる法制度とポリシー設定の下にある。APNIC の現行のプライバシーステートメントは、その Whois 情報が Whois と RDAP を通じてアクセス可能であることを説明し、役割ベースの連絡先を推奨し、オーストラリア法の下でアクセス、訂正、苦情申立の経路を提供している。RIPE NCC は、維持者、本人確認、参照上の結果、書面による決定を伴う個人連絡先詳細の削除手続を文書化している。ARIN は、RDAP 応答に不正確報告リンクを配置している。これらは具体的な制御であるが、1つのグローバルなフィールドレベル救済には至っていない。
2018年以降の教訓は、すべてのサービスが同一の開示を選択すべきということではない。むしろ、帰結をもたらすあらゆる選択には、追跡可能な決定が必要であるということである。あるフィールドが自動的に隠蔽または開示され得る一方で、同等の精度で異議を申し立てることができない場合、プライバシー改革は不完全である。
1つのレコードには少なくとも5つの可視性状態が含まれる
実際的な救済は、何が起こったかを記述することから始まる。「公開済み」と「墨消し済み」は、多くの登録連絡先にとっては粗すぎる。少なくとも5つの状態が重要である。
第1は、権威ある格納値である。これは、責任を負うサービスが現在、自身の機能のためにレコードに関連付けている値である。それは正確であるか陳腐化している可能性があり、それへのアクセスは制限されているかもしれない。データ主体による異議申立ては、しばしばここから始まる。
第2は、公開値である。それは格納値と一致することもあれば、役割アドレスを含むこと、リレーを提示すること、部分的な値を表示すること、またはフィールドを省略することもある。これは匿名利用者が依拠するものである。公開訂正は、真実性または安全な提示のいずれかに関わり得る。
第3は、認証・認可された利用者に返される保護ビューである。これは、定義された目的のための直接連絡先を明らかにすることがある。したがって、匿名検索が非公開に見えても、個人は露出されたままであり得る。公開ページに限定された救済は、この層を見逃す。
第4は、履歴状態である。登録サービスは、継続性、調査、または法的義務のために、以前の値を保持することがある。例えば、APNIC はそのプライバシーステートメント内で、関連する WhoWas サービスに言及している。現行の訂正は、以前の値が保持されたままであるか、誰がそれを見られるか、どのくらいの期間かを特定すべきである。
第5は、下流コピーである。検索サービス、セキュリティ企業、研究者、顧客、アーカイブは、訂正前に値を受け取っているかもしれない。レジストリは、すべての独立したコピーが消滅することを約束できない。いつ公式の値が変更されたかを記録し、ポリシーまたは法律が要求する場合に、管理下にある受領者に通知し、自身のサービスからのさらなる開示を停止することができる。
これらの状態は、混同されるべきでない。格納内のスペルミスのある名前を訂正することは、その名前が公開ビューに属するかどうかを決定しない。直接メールボックスをリレーで置換することは、元のメールボックスが不正確であったことを証明しない。保護ビューから旧従業員を削除することは、その従業員がかつて連絡先として務めていたという歴史的事象を必ずしも抹消しない。
フィールドレベルのケースでは、争点となっている状態を特定しなければならない。さもなければ、運用者は誤った問題を解決し、有害な露出が同じサービス内の別の場所で持続している間に、要求が完了したと報告してしまうかもしれない。
誤った露出と誤った隠蔽は、同等の手続上の重大性を必要とする
プライバシーに関する議論では、害が直接的かつ個人的であり得るため、当然ながら露出が優先される。自宅住所、個人の電話番号、または個人メールボックスは、嫌がらせ、なりすまし、望まないプロファイリングを可能にし得る。リスクが信憑性を持つ場合、人は完全な調査の前に一時的な保護を要求できるべきである。
隠蔽もまた、具体的な害を生み出し得る。不正トラフィックを受信しているネットワークが、責任ある組織に連絡できないかもしれない。潜在的な移転先は、どの企業が認識されているかを確認できないかもしれない。ジャーナリストは、支配に関する公的な主張を検証できないかもしれない。運用者は、現行の役割が隠されているために、旧式の仲介者を通じてインシデントをルーティングするかもしれない。
これらの害は、すべてのケースで対称的ではない。公衆の好奇心は、深刻な個人安全リスクに優越しない。また、プライバシーは、それらの事実がほとんど個人情報を含まず、相当な説明責任上の価値を持つ場合に、資源レンジ、現行の組織的保有者、登録状態を隠すことを正当化しない。衡量はフィールドと目的のレベルで行われなければならない。
したがって、救済制度は2つの基本的な苦情を受け付けるべきである。すなわち、「この値はこのビューで露出されるべきでない」と「この値または安全で機能的な代替は、このビューから隠蔽されるべきでない」である。前者は、データ主体、保有者、または他の影響を受ける当事者によって提起され得る。後者は、調整ニーズを特定できる事業者または他の利用者によって提起され得る。
利用可能な救済は異なる。過度の露出は、即時のマスキング、資格情報の制限、通知、および後日審査を正当化し得る。過度の隠蔽は、組織名、リレー、理由付きの証明書、または定義された目的のためのアクセスの公開を正当化し得る。あらゆる個人フィールドの公開を正当化することは稀である。
両方の苦情申立人は、決定を受けるに値する。レジストリは、維持者が応答しない場合に、露出した人に単に維持者に連絡するよう伝えるべきでない。役割チャネルが問題を解決し得る場合に、プライバシーが議論を禁じると事業者に伝えるべきでない。相反する利益を特定し、最も害の少ない十分な取扱いを選択すべきである。
同等の手続上の重大性は、同等の開示を意味しない。それは、プライバシーも説明責任も、問い合わせを終了させる言葉として援用できないことを意味する。
RFC 9537は墨消しされたフィールドを識別できるが、審査を受ける権利を創設することはできない
RDAP の構造化応答は、正確な通知を可能にする。RFC 9537は、除去、空値、部分値、または置換値によって影響を受けたフィールドを識別できるredactedメンバーを定義する。それは、パスを使用して取扱いの場所を特定し、名前と理由を含めることができる。これは、意味がローカルな慣行に依存する空行に比べて、実質的な改善である。
手法が重要である。除去は、フィールドが応答から存在しないことを意味する。空値は、除去すると必要な構造が壊れる場合に配列位置を保持できる。部分値は一部を保持する。置換値は、プライバシーサービスまたはリレーを代替できる。拡張を理解するクライアントは、取扱いを通常の不在と区別できる。
しかし、「サーバーポリシー」といった技術的理由は、完全な説明ではない。利用者は依然として、どの公開ポリシー区分が適用されるか、なぜその区分がこのフィールドを対象とするのか、取扱いが自動的かどうか、より完全な認可ビューが存在するかどうか、そしてその決定にどう異議を申し立てられるかを知る必要がある。応答内のパスは行為の場所を示すが、それを正当化しない。
また、この拡張は、あらゆる場合に墨消しフィールドが存在することを証明しない。運用者は、不必要に機微な事実を知らせることを避けるべきである。通知は、値を明かさずにフィールド区分と取扱いを識別できる。フィールドの存在自体がリスクをもたらす場合、ポリシーはデータ主体と審査者が利用できる例外的な通知形式を説明できる。
周囲の RDAP 応答が役立ち得る。通知とリンクは、条件、訂正経路、審査を指し示すことができる。イベントは、公開の取扱いがいつ変更されたかを示すことができる。ステータスと備考は、状況を記述できる。ポリシーバージョンは、2つの日付間の差異が保有者の変更ではなく可視性を反映していることを研究者に伝え得る。
これらの要素は、一貫性のある受領証として設計されるべきである。応答を読む人は、救済を発見するために専門知識を必要とすべきでない。機械クライアントは、安定したリンクを見つけられるべきである。審査者は、保持された証拠から正確な取扱いを再構築できるべきである。
RFC 9537は、機関に墨消しのためのより良い文法を与える。彼らがその文法を用いて各決定に対する責任を受け入れる時、適正手続が始まる。
内容の訂正と可視性の訂正は異なるケースである
ある記録が正しいメールボックスを含んでいるが、それを誤った対象に表示していると想定せよ。値は正確であるが、可視性はそうではない。誤ったメールボックスを含んでいるが、それを公開から隠していると想定せよ。プライバシー取扱いは適切かもしれないが、保護された運用データは偽のままである。単一の「連絡先更新」プロセスは、これらの誤りを確実に区別できない。
内容の訂正は、格納されたアサーションが正確、最新、完全、関連性があり、その目的に対して誤解を招かないかどうかを問う。証拠には、メールボックスの管理、雇用の変更、保有者の認可、または企業記録が含まれ得る。救済は、値を置換または注記し、履歴に何が起こるかを決定する。
可視性の訂正は、どのビューが値または代替を含むべきかを問う。証拠は、個人的リスク、公的な調整価値、法的制限、同意、役割、要求者の目的に関わる。救済は、権威ある値を変更することなく、フィールドを公開、マスキング、リレー、制限、または期限付きにすることができる。
関係の訂正は、連絡先がそもそもこの資源または組織に添付されるべきかどうかを問う。それは運用上の権限に影響し、認定保有者または維持者の承認を必要とするかもしれない。データ主体は、自身が指名された本人であることを証明し、現在の関係を否定することができる。サービスは、登録をどのように運用上完全なものとすべきかを依然として検証しなければならない。
履歴の訂正は、以前の値が当時誤りだったのか、単に後になって陳腐化したのかを問う。履歴を書き換えることは、監査人に誤解を与え得る。健全な記録は、連絡先がある日付まで有効だったことを保存し、その後に取って代わる事象を追加することができる。保持が不当な個人的リスクを生じさせる場合、過去が決して起こらなかったかのように装うことなく、履歴へのアクセスを狭めることができる。
すべての要求フォームは、申請者がこれらの主張から選択するか、不確実性を記述できるようにすべきである。ケース担当官は、理由を付して再分類することができる。決定は、正確にどの問いに答えたかを明記すべきである。
この分離はまた、権力を制限する。プライバシーを求める者が、サービスが個人連絡先の削除を放棄と解釈したために、うっかり番号資源を明け渡すべきでない。組織的権限を訂正する維持者は、直接の個人アドレスを露出する許可を得るべきでない。機能する不正利用報告経路を求める事業者は、連絡先とは無関係の所有権証拠を受け取るべきでない。
フィールドレベルの救済は、1つの訂正に4つの両立しない仕事をさせないために機能する。
当事者適格は、害と主張される権限とに従うべきである
誰がフィールドに異議を申し立てることができるか?答えは、アカウント保持者のみであってはならない。個人データは、雇用主、顧客、上流プロバイダ、または維持者によって入力され得る。影響を受ける本人は、レジストリアカウントを持たず、自分を露出する対象を管理していないかもしれない。
データ主体は、自身を特定するまたは自身に関する個人の値に異議を申し立てる当事者適格を有するべきである。サービスは、相応に本人確認を行い得る。苦情の対象そのものである旧式のメールボックスを通じて本人認証することを、その者に要求すべきでない。代替証拠と保護された支援経路が不可欠である。
認定保有者は、その権限の範囲内で、組織的、運用的、権限上の関係を訂正する当事者適格を有するべきである。あらゆる連絡先が自らの所有物であると主張することで、正当なプライバシー苦情を消し去ることができてはならない。説明責任のある役割連絡先に対する保有者のニーズは、意に沿わない個人の継続的な露出ではなく、置換によって満たされ得る。
維持者は、維持を許可されている記録を更新できるべきである。RIPE NCC の削除手続は、維持者の関与がなぜ重要なのか、そして維持者が応答しない場合にそれが最終回答となり得ない理由を示している。同手続は、参照リンクが削除を重大な結果を伴うものとし得るため、エスカレーション、本人確認、書面による結果を提供する。
依存する事業者は、公開またはリレーされた連絡先が機能しないこと、または隠蔽が定義された運用上のニーズを損なうことを報告する当事者適格を有するべきである。事業者は、個人の値が誤りであることを証明する必要はない。公的な調整メカニズムが機能しなかったことを証明できる。救済は、開示ではなく、機能するリレーまたは役割連絡先であり得る。
独立した研究者または一般市民は、実証可能な不正確さを報告できるべきである。ARIN の公開 Whois 不正確報告フォームと、その RDAP 例で示される不正確報告リンクは、低い障壁の経路にとって有用な前例である。第三者報告は、報告者に非公開証拠へのアクセスを与えることなく検証を引き起こし得る。
当事者適格は、誰が審査を要求できるかを定義するのであり、誰が勝つかを定義するのではない。サービスは、問いに応じて本人性、権限、害、証拠をテストしなければならない。広い入口は、統制の取れた決定と両立する。
理由は、フィールド、ルール、証拠、および競合する利益を特定すべきである
「公開記録」が開示するための十分な理由でないのと同様に、「プライバシー」は墨消しするための十分な理由ではない。防御可能な決定は、理解できるほど短く、異議を申し立てられるほど具体的であるべきだ。
各フィールドについて、決定は要求された取扱いと選択された取扱いを特定すべきである。それは、ポリシー区分とバージョンを引用し、関連する証拠区分を記述し、フィールドの公開または運用上の目的を述べ、プライバシーまたはセキュリティのリスクを特定し、なぜより侵襲性の低い代替案が受け入れられたか拒否されたかを説明すべきである。
決定は、非公開証拠を露出する必要はない。身分証明書をコピーすることなく、指定された保証クラスを通じて本人確認が行われたと言うことができる。契約を公開することなく、現行の運用権限が確認されたと言うことができる。開示が文書化されたセキュリティ上または法律上のリスクを生じさせる場合、審査者にはより完全なアクセスを与えつつ、理由の一部を留保することができる。
拒否には特段の注意が値する。APNIC のプライバシーステートメントは、個人情報へのアクセスまたは訂正の要求が拒否された場合、理由が与えられ、苦情申立メカニズムが利用可能であると述べており、適用法の適用を受ける。RIPE NCC の公開された削除手続は、4週間以内の書面による決定と、理由付きの拒否を約束している。オーストラリアプライバシー原則第13条は、限定的な例外付きで、訂正が拒否された場合の書面による理由と苦情申立メカニズムを要求している。
これらの例は、理由が行政的に実用的であることを示している。課題は、それらを RDAP 表現に直接結び付けることである。ある人物は、公開応答を説明なく変更しないまま放置するプライバシー通知書を受け取るべきでない。ケース参照番号とフィールド識別子は、決定を影響を受けた取扱いに結び付けるべきである。
理由は一貫性も改善する。審査者は、2つの自宅住所が異なる結果を受けたのは、文脈が異なるからか、それともスタッフがルールを不均等に適用したからかを比較できる。ポリシー作成者は、どの区分が反復的な曖昧さを生じさせているかを見ることができる。
機関は、トレードオフを明記することで信頼を得る。理由付きの決定は、同意を保証しない。それは、意見の不一致が、異議申立てのために十分に正確な対象を持つことを確実にする。
期限は、一時的保護、調査、及び最終決定をカバーしなければならない
露出した個人フィールドは、通常の審査が完了する前に害を引き起こし得る。隠された運用チャネルは、インシデントを長引かせ得る。したがって、単一の最終期限では不十分である。システムは別々の時計を必要とする。
第1はトリアージである。深刻な個人露出の信憑性のある報告は、迅速な評価を受け、それが釣り合う場合には、一時的なマスキングまたは置換を受けるべきである。アクティブなネットワークインシデント中にリレーが停止しているという報告は、即時の代替経路を受けるべきである。トリアージは本案を決定しない。それは、証拠が収集される間に回避可能な害を防止する。
第2は受領確認である。申請者は、ケース参照番号、フィールド、現行の取扱い、予想される証拠、及び日付を受け取るべきである。本人性や権限がまだ検証できない場合、サービスは、要求が到着したかどうかを当人に不確かなままにせず、何が欠けているかを伝えるべきである。
第3は調査である。日常的な値の訂正は、争いのある権限変更よりも早く済み得る。公開されるスケジュールは、区分を区別し、延長が許される時期を特定すべきである。延長には理由と新しい日付が必要である。沈黙が決定となっては決してならない。
第4は最終判断である。有用な比較対象には、既に具体的な期間が含まれている。RIPE NCC は、個人連絡先の削除または変更要求が認められるかどうかを、4週間以内にデータ主体に通知すると述べている。オーストラリアのプライバシーガイダンスは、一般に、訂正のための合理的な応答期間を30暦日と扱い、機関に対しては明示的な30日ルールがある。GDPR 権利に関する欧州委員会のガイダンスは、不当な遅延なく、一般に1か月以内に応答し、拒否の場合には理由と苦情情報を提供すると記述している。
これらの期間は特定の制度の下で生じており、1つの普遍的な RIR のルールとして提示されるべきでない。それらは、固定された制度的な時計が可能であることを示している。NRS は、より短い緊急期間と合法的な地域的差異を許容しつつ、参加サービスにベースラインを設定し得る。
第5の時計は実装である。マスキングまたは訂正の決定は、管理された各ビューがいつ変更され、影響を受ける受領者にいつ通知されるかを明記すべきである。好意的な書簡は、有害な取扱いが終了するまで救済ではない。
時間制限は、善意を義務に変える。また、遅延ケース、延長、緊急マスク、未実装の決定といった、測定可能な証拠も生み出す。
自動墨消しは、リスクと役割が変化するため、有効期限を必要とする
RDAP 応答が大規模に生成されるため、自動化は魅力的である。ルールはフィールドを分類し、手法を適用し、一貫した出力を生成できる。すべての検索を手動で審査することは、実用的でも望ましくもない。危険なのは、それを正当化した事実を誰も再評価しないまま、自動的な選択が永久的になることである。
すべての非自明な取扱いは、審査トリガーを持つべきである。公開への同意は、該当する場合に撤回され得る。従業員は離職し得る。個人事業主は法人化し得る。法的制限は失効し得る。セキュリティ上の脅威は縮小し得る。役割メールボックスは機能を停止し得る。基礎となる登録は保有者を変更し得る。
有効期限の到来は、自動的な公開を意味しない。それは、サービスが根拠を更新するか、安全なデフォルトを選択しなければならないことを意味する。脅威の最中に課された一時的隠蔽は、直接アドレスではなく役割リレーに戻ることができる。開示許可は、データ主体または保有者が確認するまで、公開のベースラインに失効し得る。法的命令は、それ自身の条件に従う。
期間は、理由を反映すべきである。緊急のセキュリティマスクは、頻繁な審査を必要とするかもしれない。同意は撤回されるまで有効であり得るが、文脈が変化した場合には再確認されるべきである。運用連絡先は、陳腐化がその目的を損なうため、定期的な検証を必要とする。安定した組織名は、同じ周期を必要としないかもしれない。
自動化は、ポリシーバージョンと次回審査日を記録すべきである。ルールが変更された場合、苦情を待つよりも、影響を受けるフィールドを再評価できる。バッチエラーは、決定コードによって特定され、無関係な記録内容を変更することなく取り消され得る。
自動開示にも同様の規律が必要である。組織的とラベル付けされたすべての値を公開するルールは、個人の商号や自宅住所を露出し得る。サービスは文脈上のシグナルをテストし、即時の異議申立てを提供すべきである。「コンピューターがそう分類した」は、最終的な理由にはなり得ない。
人間による上書きには、それ自身の有効期限と説明が必要である。さもなければ、スタッフの裁量は、それが置き換えた自動ルールよりも可視性が低くなり得る。
最善の自動化は、不整合を減らしつつ訂正を保持する。それは、通常の決定を速やかにし、例外的な決定を可視化し、一時的で審査可能にする。
異議申立ては、レコードを不安定化させることなく、1つのフィールドを変更できるべきである
多くの登録紛争は、利用可能な救済が粗すぎるために不必要に大規模化する。ある人物は、自身の連絡先を削除すると、リンクされたオブジェクトの削除が必要になったり、資源管理に影響を与えたりする可能性があると告げられる。事業者は、公開連絡先を復元することは、元の個人を露出することを意味すると告げられる。フィールドレベルの異議申立ては、より狭い結果を模索すべきである。
審査者は、救済のメニューを持つべきである。すなわち、値の訂正、ビューの変更、リレーの代替、組織的証明書の発行、認証アクセスの制限、紛争注記の付与、より厳格な管理下での履歴保存、受領者への通知、再検証の命令、またはより明確な理由付きでの決定維持である。
一時的な命令は価値がある。審査者は、役割連絡先が十分かどうかを決定する間、自宅住所をマスキングしたままにしておくことができる。保有者の権限を調査する間、サービスにインシデント用リレーを維持するよう要求できる。資源レコードと無関係なサービスは継続する。
異議申立ては、当初の決定者のみに限定されるべきでない。最初の再検討は、明白な誤りを迅速に訂正できる。結果の大きな紛争には、証拠、技術的応答、適用法へのアクセスを持つ別の審査者が必要である。外部の規制機関や裁判所は、その法律が適用される場合に引き続き利用可能である。
異議申立人は、範囲を知るべきである。可視性への異議申立ては、保有者の登録全体を再開するものではない。陳腐化した従業員への異議申立ては、所有権を決定しない。機能する不正利用報告経路の要求は、要求者に非公開の移転証拠への権利を与えない。
決定は、影響を受けるビューに伝播すべきである。審査者が1つのフィールドを変更する場合、公開、認証済み、及びデータ主体アクセスの各応答は、命じられた取扱いを受けるべきである。管理下にある下流サービスは、訂正通知を受け取るべきである。旧状態は、公的に有害であり続けることなく、監査可能なままであるべきだ。
この正確さは、異議申立てに対する組織的な恐れを減少させる。審査は、もはや記録全体を解きほぐす脅威とはならない。それは、証明された害を解決する最小単位を訂正する。
異議申立てボタンは、その背後にある機関がそのような変更を命じることができる場合にのみ意味がある。単にポリシーを繰り返すだけのフォームは、顧客サービスであって救済ではない。
参照整合性は現実の制約であるが、無力さの理由ではない
登録連絡先は、しばしばリンクされている。1人の人物または役割オブジェクトが、複数の資源によって参照されることがある。それを削除すると、他のレコードから説明責任のある連絡先がなくなり、あるいは維持権限が依存する関係が壊れる可能性がある。RIPE NCC の公開された手続は、これらの結果を直接的に説明している。すなわち、個人連絡先詳細の変更または削除は、参照されているオブジェクトへの変更を必要とし、困難なケースでは資源管理に影響を与え得る、と。
この制約は真剣に受け止められるべきである。最初に削除し後で修復することは、運用上の説明責任を損なう可能性がある。だからといって、露出された個人が無期限に可視のままでなければならないということにはならない。
正しい対応は、置換と管理された順序付けである。サービスは、あらゆる参照を特定し、果たされている機能を判断し、保有者または維持者に役割代替を求め、代替が検証される間、一時的なマスキングを適用することができる。公開連絡のためにのみ存在する参照は、リレーを指し示すことができる。更新権限に結びついた参照は、より強力な証拠と保護された移行を必要とするかもしれない。
データ主体は、選択肢の中から選ぶ前に、結果についての説明を受けるべきである。唯一の認可された維持者を削除することが、自身の資源に影響を与え得ることに驚くべきでない。同様に、保有者は、当人のプライバシー要求に対する拒否権ではなく、代替を提供するための期限を受け取るべきである。
維持者が応答しない場合、レジストリは、個人を保護し、登録機能を維持するために、公開されたルールに基づく残余権限を必要とする。RIPE NCC の、維持者から本人確認及び直接措置へのエスカレーションは、その必要性を示している。正確な法的権限は、サービスと法域によって異なる。
監査履歴は、一時的マスク、代替要求、権限確認、新連絡先、終了というシーケンスを示すべきである。一般利用者は個人の値を見る必要はない。検証済みの役割がアクティブであること、及びいつ変更されたかを見ることができる。
参照整合性は、救済を計画するための工学的な理由である。適切に用いられれば、それは狭い変更と継続性を促進する。修辞的に用いられれば、それは、機関が誰かを露出させることはできるが、支援することはできない理由になる。
機能するリレーは、装飾的なプライバシーではなく、サービス上の義務である
直接のメールボックスをウェブフォームまたは仮名リレーで置き換えることは、連絡を維持しつつ露出を減少させ得る。その置換は、メッセージが説明責任を負う当事者に届き、送信者が配信が行われたかどうかを知ることができる場合にのみ成功する。
リレーは、その目的を明示すべきである。すなわち、不正利用報告、技術調整、管理連絡先、その他の定義された役割である。それは、配信に関係のない個人情報を要求することなく、通常の正当な報告を受け入れるべきである。それは、受信者のアドレスを保護し、明白な誤用をフィルタリングし、正当な期間にわたる送信の証拠を保存すべきである。
送信者は、受信確認を必要とする。それは受信者を開示することを必要としない。受領証は、メッセージが検証を通過し、ある時点で役割に配信されたことを確認できる。配信が失敗した場合、サービスはエスカレーション経路を提供すべきである。「連絡先」とラベル付けされたブラックホールは、虚偽の説明責任である。
保有者もまた、制御を必要とする。認証後に宛先を置換し、配信の正常性を確認し、嫌がらせを報告できるべきである。変更は、公開履歴内で隠されたアドレスを露出させるべきでない。データ主体は、リレーが依然として古い個人アカウントに転送していることを示し、訂正を得られるべきである。
リレーはテストされるべきである。事業者は、メッセージ内容を露出することなく、参加サービス内で配信成功率、拒否率、エスカレーション措置を公開できる。独立した監査人は、同意されたテストメッセージを送信できる。期限切れの宛先は、保有者への通知をトリガーし、未解決の場合には、そのチャネルが劣化していることを示す可視の警告を出すべきである。
認証された要求者は、時に直接の連絡先を必要とするかもしれないが、サービスは、なぜリレーが不十分なのかを説明すべきである。緊急性、繰り返される失敗、または法的要件は、より強力な開示を支持し得る。許可は範囲が定められ、記録されるべきである。
経済性が重要である。小規模保有者は、従業員の直接メールボックスを公開しないようにするためだけに、懲罰的な手数料を支払うべきでない。プライバシーを守る連絡手段は、正確な登録サービスを維持することの一部であり、贅沢な階層ではない。
墨消しは、その代替が機能する場合に正統性を得る。そうでなければ、機関は調整コストを他のすべての人に転嫁することで、自らの露出問題を解決したことになる。
地域間の差異は、平坦化されるのではなく、可視化されるべきである
5つの RIR は、異なる法的環境、異なるコミュニティの下で、異なる登録慣行をもって運営されている。ある設定では公開できるフィールドが、別の設定では制限を必要とするかもしれない。訂正権は、地域の法律、契約、ポリシー、またはその組合せから生じ得る。均一な出力だけが説明責任の唯一の形態ではない。
利用者が最初に必要とするのは、理解可能な差異である。各 RDAP 応答は、責任を負うサービス、ビュークラス、墨消し方法、ポリシーバージョン、救済リンクを識別すべきである。地域横断的なクライアントは、その時、省略されたフィールドを同等の事実として扱うのではなく、文脈を保存できる。
共通のフィールド識別子と理由コードは、地域法と共存できる。「個人データリスクのため直接連絡先を保留」は、法的根拠が異なっていても共有できる。「登録説明責任のため組織アイデンティティを公開」は、その背後にある証拠が地域的なままであっても共有できる。異議申立て受領証は、地域のフォーラムと共通の技術的記述を含み得る。
救済の可搬性はより困難である。レコードまたはサービス関係が移動する場合、アクティブなプライバシー取扱いが気付かれずに消滅するべきでない。受領サービスは、保護を継続するために必要な、現在のフィールド状態、理由、有効期限、係争中の異議申立て、最小限の証拠を必要とする。自らのルールの下で再評価し、結果が変更される場合にはデータ主体に伝えるべきである。
これは、最も制限的な地域が他のすべてを支配することを主張するものではない。また、最も寛容な開示が共通の下限となるべきでもない。共有される義務は手続上のものである。すなわち、フィールドを特定し、理由を述べ、期限を設け、継続性を保ち、審査を認めることである。
比較報告は、でっち上げられた普遍性を避けるべきである。公開観測は、選択されたサービスが特定の時点で特定のフィールドをどのように表現するかを数えることはできる。それらは、保護されたあらゆる値、非公開の苦情、報告されていない害を明らかにすることはできない。差異は、測定された集団を用いて記述されるべきである。
NRS は、1つの法的回答が全てに適合するかのように装うことを拒むならば、これらの制度間での翻訳を助けることができる。実質的な衡量が異なる場合でも、共通の救済エンベロープは可能である。そのエンベロープは、すべての人に、決定がどこにあるか、誰がそれを行ったか、どのように変更を求めるかを伝える。
NRS は、可搬性のあるフィールドレベル救済契約を定義できる
番号資源社会(Number Resource Society)は、救済を登録品質の一部として扱うことで、積極的な貢献をすることができる。正確なレコードは、単に入力時点で正しいだけではない。それらは、データ主体によって検査可能であり続け、事業者にとって安全に有用であり、内容や可視性が誤ったものとなった場合に訂正可能である。
NRS のフィールドレベル契約は、安定したフィールド識別子、格納状態クラス、公開取扱い、認可ビュー取扱い、理由コード、ポリシーバージョン、発効日時、審査日時、及び異議申立てリンクを要求し得る。適格プロバイダは、この情報を機械可読形式で返し、人々に平易に提示するだろう。
契約は、サービス最低基準を設定すべきである。信憑性のある高リスクの露出は、迅速なトリアージを受ける。すべての要求が確認応答される。通常のケースは、公開された期間内に決定を受ける。延長には理由が伴う。一時的取扱いは、期限切れとなるか更新される。異議申立ては、最初の決定から独立した審査者に送られる。成功した変更は、管理されたビューに伝播する。
NRS はまた、相互的な訂正通知を定義できる。適格プロバイダが、別のプロバイダが合法的に受領したフィールドを変更する場合、受領者は通知を検証し、その管理下にあるコピーを更新または注記することができる。これは、独立した公開アーカイブに命令したり、合法的な履歴を消去したりするものではない。それは、参加サービスが最新の値ではないと知りながら依拠することを防ぐだろう。
複数の救済提供者が重要である。データ主体は、争点となっている開示を行った企業のみに依存すべきでない。認定オンブズサービスや地域審査者が、ケースを受け付け、本人確認を行い、標準化された要求を送信できる。プロバイダは、最終的な登録措置に対して引き続き説明責任を負うだろう。
NRS のガバナンスは、大規模保有者と並んで、データ主体、小規模事業者、維持者、プライバシー専門家、独立した研究者を含まなければならない。資金提供は、スポンサーに特権的な救済を与えるべきでない。決定と集計値は、機微な事実が削除された上で公開されるべきである。
これらの提案は、現在の展開の証拠ではない。NRS の公式声明は、正確な登録、事業者の権利、集中した権力への制限を支持しているが、機能する地域横断的な異議申立てサービスを確立してはいない。法的認知、プロバイダの参加、安全な証拠交換、独立したパフォーマンス評価は、テストが必要だろう。
積極的な論拠は明確である。NRS は、レコードの所有権やプライバシーに関する単独の権限を主張することなく、1つのフィールドに異議を申し立てる能力を可搬性のあるものにできる。
測定は、放棄されたケースや未解決のケースを数えるべきである
機関はしばしば、完了した要求を報告する。それは、適切なフォームを見つけられない人々、陳腐化した連絡先に結びついた本人確認に失敗する人々、度重なる証拠要求の後に要求を放棄する人々、または最終回答を受け取らない人々を見逃す。救済の質は、それらの欠落した結果に依存する。
サービスは、初期報告、確認応答されたケース、拒否された提出、放棄された申請、一時保護、最終決定、実装完了、異議申立て、取消し、及び未解決ケースを数えるべきである。内容、可視性、関係、履歴の各紛争を分離すべきである。各指標には、その適格母集団と期間が必要である。
時間は、各段階で測定されるべきである。すなわち、報告からトリアージまで、報告から確認応答まで、証拠完了から決定まで、決定から実装まで、及び異議申立てから結果までである。中央値のみでは、深刻な裾野を隠し得る。サービスは、小さなグループを特定から保護しつつ、分布または区切られた時間帯を公開すべきである。
フィールド区分が重要である。直通電話番号開示の高い取消率は、不適切な自動ルールを示唆する。停止した不正利用報告リレーに関する反復的な苦情は、墨消しが運用を妨げていることを示唆する。元従業員からの多数の要求は、弱い連絡先検証慣行を明らかにし得る。指標は、単なるパフォーマンススコアではなく、ポリシー改訂につながるべきである。
公正さは、安全な場合に、申請者区分と地域ごとの細分化を必要とする。無所属のデータ主体は、アカウント保持者よりも頻繁に放棄するだろうか?小規模事業者は、大規模ネットワークよりも機能する連絡先を長く待つだろうか?サービス地域外からの申請は、許容される身分証拠が不明確であるために拒否されているのだろうか?これらの問いは、個別事例を公開することなく提起できる。
いかなるサービスも、露出によって害を受けたすべての人々や、隠蔽によって抑止されたすべての利用者の分母を知ることはできない。公開データは、未報告の誤りやすべての下流コピーを明らかにしない。主張は、観測されたケースと特定されたアウトリーチ調査の範囲内にとどめるべきである。
独立したテストは、苦情を補完できる。監査人は、同意を得たレコードをサンプリングし、公開ビューとデータ主体ビューを比較し、リレーをテストし、救済リンクをたどり、好意的な決定が応答を変更することを検証できる。合成ケースは、脅威や相互参照の失敗を安全にテストできる。
救済システムは、ある人物がそれを完遂できるかどうかによって判断されるべきであり、機関がそれを陳列できるかどうかによってではない。放棄は証拠であり、沈黙は一つの結果である。
異議申立てボタンは、プライバシーが説明責任ある権力となる場所である
墨消しは、レジストリに可視性に対する権力を与える。開示は、同じ権力を反対方向に行使する。両者とも必要であり得る。どちらも、単に自動化され、継承され、または標準慣行として記述されたからといって、最終的とされるべきでない。
救済の恒久的な単位はフィールドである。サービスは、どの値を格納しているか、どのビューがそれを含むか、どの代替が使用されているか、なぜその取扱いが適用されるか、いつそれが始まり、いつ審査されるかを把握すべきである。データ主体は、その取扱いを検査し、異議を申し立てられるべきである。保有者は、説明責任のある役割を維持できるべきである。事業者は、連絡機能が故障したことを報告できるべきである。
理由は抽象化を防ぐ。プライバシーの主張は、害を特定しなければならない。説明責任の主張は、調整ニーズを特定しなければならない。選択された結果は、必要以上に開示せず、必要以上に隠蔽すべきでない。衡量が不確かな場合、一時的保護と機能するリレーは、審査が進む間、両方の利益を保持できる。
時間制限は、決定を現実と結びつけておく。連絡先は変わり、脅威は後退し、同意は変わり、法的条件は失効する。自動ルールは、現在の事実に照らして更新されるべきである。異議申立ては、資源レコードを不安定化させることなくフィールドを変更できる者によって解決されるべきである。
現在の実務は有用な部品を提供する。RFC 9537は、墨消しされたフィールドと手法を識別できる。ARIN は、不正確報告経路を公開している。APNIC は、アクセス、訂正、理由、及び苦情エスカレーションを記述している。RIPE NCC は、書面による期間を伴う詳細な個人連絡先削除プロセスを公開している。オーストラリアと欧州のプライバシー原則は、それぞれの法域における理由付きの訂正と苦情義務を示している。単独では、いずれも普遍的な番号資源救済を提供しない。
NRS は、それらの部品を結び付けて、積極的な制度上の提供とすることができる。すなわち、共有フィールド識別子、可搬性のある受領証、サービス期限、相互的な訂正通知、及び適格プロバイダ間での独立した審査である。それは、この提供を測定されたケースを通じて証明し、既存の機関の外にいる人々に開かれ続けなければならない。
異議申立てボタンは、プライバシーページの末尾にある装飾的なリンクではない。それは、行政権力が、影響を受ける者とレコードに依存する利用者に対して応答可能となる地点である。それがフィールドを変更できないならば、それは異議申立てではない。期限がなければ、それは救済ではない。理由がなければ、それはガバナンスではない。
情報源
- RFC 7020: The Internet Numbers Registry System
- RFC 7481: Security Services for RDAP
- RFC 9083: JSON Responses for RDAP
- RFC 9537: Redacted Fields in an RDAP Response
- ARIN Whois and RDAP
- ARIN Report Whois Inaccuracy
- APNIC Privacy Statement
- RIPE Database: Procedure for the Removal of Personal Contact Details
- RIPE Database: Access to Personal Data
- Australian Privacy Principle 13: Correction of Personal Information
- European Commission: How Requests from Individuals Should Be Dealt With
- ICANN Registration Data Policy
- Number Resource Society: About Us
- Number Resource Society Charter

