P3P
P3P
プライバシー設定のためのプラットフォーム
略語P3P
ネイティブ名
プライバシー設定のためのプラットフォーム
状態引退
初版2002年4月16日[ 1 ] [ 2 ] (2002年4月16日
最新バージョン1.1 [ 2 ]
委員会P3P仕様ワーキンググループ[ 2 ]
編集者
  • リゴ・ウェニング[ 2 ]
  • マティアス・シュンター[ 2 ]
著者
基本基準
Webサイトwww.w3.org/TR/P3P11/

P3P ( Platform for Privacy Preferences Project ) は、Web サイトがWeb ブラウザーユーザーについて収集する情報の使用目的を宣言できるようにする、廃止されたプロトコルです。ユーザーが閲覧時に個人情報を細かく制御できるように設計されたP3P は、ワールド ワイド ウェブ コンソーシアム(W3C)によって開発され、2002 年 4 月 16 日に正式に推奨されました。その後すぐに開発が中止され、P3P の実装は非常に少数でした。Internet ExplorerMicrosoft Edge Legacy は、P3P をサポートする唯一の主要なブラウザーでした。Microsoftは、 Windows 10以降でのサポートを終了しました。Windows 10 の Internet Explorer と Edge [Legacy] は、2016 年時点で P3P をサポートしていません。[ 3 ] W3C は、2018 年 8 月 30 日に正式に P3P を廃止しました。[ 4 ] TRUSTeの社長は、P3P は難しさや価値のなさから広く実装されていないと述べています。[ 5 ]

目的

ワールド・ワイド・ウェブが商品やサービスを販売するための本格的な媒体となるにつれ、電子商取引ウェブサイトは商品を購入した人々に関するより多くの情報を収集しようとしました。一部の企業は、トラッカークッキーなどの物議を醸す手法を用いてユーザーの人口統計情報や購買習慣を把握し、その情報を用いて特定のターゲット広告を提供しました。これをプライバシーの侵害と捉えたユーザーは、HTTPクッキーを無効にしたり、プロキシサーバーを使用して個人情報を安全に保つことがありました。P3Pは、ユーザーが公開する情報の種類をより正確に制御できるように設計されました。W3Cによると、P3Pの主な目的は「技術的な支援を通じて、Webに対するユーザーの信頼と信用を高めること」です。[ 6 ]

P3Pは、ウェブサイトのデータ管理方法を表現するのに役立つ機械可読言語です。P3Pはプライバシーポリシーを通じて情報を管理します。ウェブサイトがP3Pを使用する場合、サイト訪問者から収集される可能性のある個人情報の用途を明示するポリシーセットを設定します。ユーザーがP3Pの使用を決定した場合、独自のポリシーセットを設定し、訪問するサイトにどのような個人情報の公開を許可するかを明示します。ユーザーがサイトを訪問すると、P3Pはユーザーが公開する意思のある個人情報とサーバーが取得したい情報を比較します。両者が一致しない場合、P3Pはユーザーに通知し、サイトへのアクセスを続行して、さらに個人情報を提供するリスクを負う意思があるかどうかを確認します。[ 7 ]例えば、ユーザーはブラウザの設定で、閲覧習慣に関する情報を収集しないよう設定できます。ウェブサイトのポリシーで、この目的でCookieが使用されると規定されている場合、ブラウザは自動的にCookieを拒否します。プライバシーポリシーの主な内容は次のとおりです。

  • サーバーが保存する情報:
  • 収集された情報の使用:
    • この情報がどのように使用されるか(通常のナビゲーション、追跡、パーソナライゼーション、テレマーケティングなど)。
    • この情報を受け取るのは誰か(現在の会社のみ、第三者など)
  • 永続性と可視性:
    • 情報が保存される期間。
    • ユーザーが保存された情報にアクセスできるかどうか、またその方法 (読み取り専用、オプトイン、オプトアウト)。

プライバシーポリシーはXMLファイルとして取得することも、コンパクトな形式でHTTPヘッダーに含めることもできます。特定のドキュメントに適用されるXMLポリシーファイルの場所は、以下のとおりです。

  1. ドキュメントのHTTPヘッダーで指定
  2. ドキュメントのHTMLヘッダーで指定
  3. 上記のいずれも指定されていない場合は、既知の場所/w3c/p3p.xmlが使用されます(類似の場所の比較用/favicon.ico

P3Pではmax-ageキャッシュ用に を指定できます。ダミー/w3c/p3p.xmlファイルでこの機能を使用できます。 

<META xmlns= "http://www.w3.org/2002/01/P3Pv1" > <POLICY-REFERENCES> <EXPIRY max-age= "10000000" /> <!-- 約4か月 --> </POLICY-REFERENCES> </META>

ユーザーエージェントのサポート

Internet Explorer 6で表示されるYahoo! のP3P ポリシー。

P3Pをサポートする主流のウェブブラウザは、 MicrosoftInternet ExplorerEdge [Legacy]のみでした。[ 8 ]他のブラウザは、価値がないと認識されたため、P3Pを実装しませんでした。IEはP3Pプライバシーポリシーを表示し、P3Pポリシーとブラウザの設定を比較して、特定のサイトからのCookieを許可するかどうかを決定する機能を提供しています。しかし、Internet ExplorerのP3P機能はCookieのブロックのみに拡張されており、アクティブなプライバシー設定に違反するウェブサイト全体をユーザーに警告することはありません。Microsoftは、この機能をブラウザで非推奨と見なし、Windows 10でP3Pサポートを完全に削除しました。[ 8 ]

Mozillaは数年間P3Pの一部の機能をサポートしていましたが、2007年までにP3P関連のソースコードはすべて削除されました。[ 9 ]

プライバシーファインダー[ 10 ]サービスも、カーネギーメロン大学のユーザブルプライバシー&セキュリティ研究所によって開発されました。これは、公開されている「P3P対応検索エンジン」です。ユーザーは検索語とプライバシー設定を入力すると、サイトが設定に準拠しているかどうかに基づいて並べ替えられた検索結果リストが表示されます。これは、Webをクロールし、検索クエリに表示されたすべてのサイトのP3Pキャッシュを維持することで機能します。キャッシュは24時間ごとに更新されるため、すべてのポリシーが比較的最新の状態に保たれます。また、このサービスにより、ユーザーはサイトが自分の設定に準拠していない理由を迅速に判断できるだけでなく、P3Pデータに基づいて動的に生成された自然言語のプライバシーポリシーを閲覧することもできます。多くのプライバシーポリシーは法律用語で書かれており、非常に複雑であるため、これはウェブサイト上の元の自然言語のプライバシーポリシーを単に読むよりも有利です。さらに、このサービスでは、ユーザーはプライバシーポリシーを読むためにウェブサイトにアクセスする必要がありません。

利点

P3Pを使用すると、ブラウザはウェブサイト全体を検索する必要がなくなり、プライバシーポリシーを簡潔かつ体系的に理解できるようになります。ユーザーは特定のレベルのプライバシー設定を行うことで、P3Pがユーザーのコンピュータに保存したくないCookieを自動的にブロックするように設定できます。さらに、W3Cは、P3Pによってブラウザがユーザーデータをサービスに転送できるようになり、最終的にはオンライン共有コミュニティが促進されると説明しています。

さらに、インターネット教育財団(IEF)が開発したP3Pツールボックス[ 11 ]は、ユーザーの信頼とプライバシーの向上に関心を持つすべての企業にP3Pの実装を検討するよう推奨しています。P3Pツールボックスのサイトでは、企業が新製品やサービスのプロモーションのために個人情報をどのように取得しているかが説明されています。さらに近年、企業は個人情報を取得してプロファイルを作成し、個人の同意なしにマーケティングを行っています。さらに、これらのデータはすべて悪用され、消費者である私たちはその代償を払い、迷惑メール、個人情報の盗難、差別といった問題を心配するようになります。そのため、P3Pプロトコルの実装はWebブラウザにとって有益であり、有益です。

さらに、ブラウザの増加に伴い、プライバシー問題に遭遇するリスクのあるユーザーも増加しています。しかし、インターネット教育財団は、「P3Pは、データ管理の実践と個人のプライバシー設定の自動伝達に向けて、技術の力をさらに一歩進めるために開発された」と指摘しています。[ 11 ]

批判

電子プライバシー情報センター(EPIC)はP3Pを批判しており、P3Pはユーザーのプライバシー保護を困難にしていると考えている。[ 12 ] 2002年にEPICはP3Pを評価し、この技術を「かなりお粗末なポリシー」と評した。[ 12 ] EPICによると、一部のP3Pソフトウェアは一般の人には複雑すぎて理解しにくく、多くのインターネットユーザーは自分のコンピュータにデフォルトでインストールされているP3Pソフトウェアの使い方や追加のP3Pソフトウェアのインストール方法に馴染みがない。もう1つの懸念は、ウェブサイトにはP3Pを使用する義務がなく、インターネットユーザーも同様であるという点である。さらにEPICのウェブサイトは、P3Pプロトコルはブラウザにとって負担となり、当初の目的ほど有益でも効率的でもないと主張している。

P3Pの使用に伴う主要な問題は、強制力の欠如です。そのため、P3Pのユーザーに対する約束が果たされない可能性があります。P3Pを使用することで、企業/ウェブサイトはサイトのユーザーに対してプライバシーの保護と収集されたデータの利用を約束しますが、企業がその情報を他の用途に使用することを決定した場合、法的影響は実際にはありません。現在、米国ではデータ保護に関する法律は制定されていません。理想的には、企業は顧客の個人情報の利用に関して誠実であるべきですが、企業が遵守すると宣言した規則に実際に従わなければならないという拘束力のある理由は存在しません。P3Pの使用は技術的には契約とみなされますが、連邦規制がないため、企業が遵守する必要性は軽視されています。[ 13 ]

P3Pの使用に関する合意は、執行不可能な約束を定めるだけでなく、個人情報へのアクセスと利用を事実上阻害する連邦法の制定を遅らせることにもなります。もし政府が介入し、インターネットユーザーを保護するために、アクセス可能な情報に関する連邦法や、ユーザー情報の利用方法に関する具体的な規制を設ければ、企業は、ユーザーに実際に何を伝えているかに関わらず、現在のような自由に情報を利用できる余地はなくなるでしょう。2002年、当時EPICの従業員であったクリス・フーフナグルは、P3Pが政府によるプライバシー規制の機会を奪っていると主張しました。[ 14 ]

P3P批判者は、非準拠サイトが排除されていると主張しています。カーネギーメロン大学のCyLab Privacy Interest Groupによる調査[ 15 ]によると、上位5,000のウェブサイトのうち、P3Pを採用しているのはわずか15%です。そのため、P3Pコードを採用していなくても、高いプライバシー基準を実践している多くのサイトは、P3Pを唯一のオンラインプライバシーガイドとして使用しているユーザーにとってはアクセスできないことになります。

EPICはまた、P3Pの開発と実装が個人情報の独占につながる可能性についても言及しています。P3Pを自社のウェブサイトに実装するのは大企業に限られるため、ユーザーのプライバシー設定と比較できるのは自社のプライバシーポリシーのみであるため、これらの大企業だけが情報を収集する傾向にあります。EPICのウェブサイトには、「P3Pの信じられないほどの複雑さと、一般的なブラウザがこのプロトコルを実装する可能性が高い方法とを合わせると、プライバシー保護技術としては機能しないように見える」と記載されていますが、EPICはさらに「むしろ、P3Pは米国のデータマーケターが現在享受している個人情報の独占状態を強化する可能性がある」と述べています。[ 12 ]

P3Pがすぐに採用されなかった理由は、それが公正情報慣行に準拠していない通知と選択のアプローチであるという考え方に関係している可能性がある。FTC委員長によると、[ 16 ]プライバシー法は、消費者が他人の利益のために過剰な個人情報を提供することから保護するために、今日の社会において重要である。消費者の個人データのオンライン収集と使用には制限があるべきだと考える人もいる。現在、米国の法律では、サイトが公開するプライバシーポリシーに準拠することを要求されていないため、P3Pは、個人情報の公開を懸念し、プライバシーを保護するためにP3Pのプロトコルにしか頼れない消費者との間で論争を引き起こしている。

2004年にMozilla FoundationがブラウザラインからP3Pサポートを削除することを検討していたとき、 IBMのマイケル・カプリーは次のように述べたと報告されている。 [ 17 ]

ああ、思い出だ。

私たち(IBM)が最初のP3P実装を開発し、その後Netscapeが独自の実装を開発しました。つまり、両社とも、誰もが最初からひどい提案だと考えていたにもかかわらず、膨大な時間を無駄にしてしまったのです。

削除します。

Opera Softwareの広報マネージャーであるLive Leerは、2001年に同社のブラウザがP3Pをサポートしていない理由について次のように説明している。[ 18 ]

現時点では、P3Pが最適なソリューションかどうかは確信が持てません。P3Pは、将来的にサポートを検討している仕様の一つです。P3Pのプライバシー保護能力にはいくつか問題があり、これらの問題が解決されるまで待つことにしました。

代替案

P3Pユーザーエージェントは、プライバシーを確​​保したいインターネットユーザーにとって唯一の選択肢ではありません。P3Pに代わる主な選択肢としては、Webブラウザのプライバシーモード匿名メールソフト匿名プロキシサーバーなどがあります。

P3Pの主な代替手段は、これらの技術ではなく、ウェブサイトがインターネットユーザーからどのような情報を収集し、保持できるかを規制するより強力な法律である可能性があります。たとえば、ヨーロッパでは、一般データ保護規則が、個人情報がどのように収集されるか、および個人データを保護する個人の権利について、個人に一定の原則を提供しています。[ 19 ]この法律は、個人が自分から収集される情報の種類を制御できるようにしています。この法律には、個人は一定の条件下でいつでも自分について収集されたデータを取得する権利があるという規則など、さまざまな原則が含まれています。さらに、個人の個人情報は必要以上に長く保持することはできず、最初に合意された目的以外の目的に使用することもできません。

現在、米国にはオンラインで共有される個人情報のプライバシーを保護する連邦法はありません。しかし、個人について収集された特定の種類の情報については、連邦および州レベルで一定の保護を提供する分野別法がいくつかあります。[ 20 ]例えば、 1970年の公正信用報告法(FCRA)は、消費者信用報告機関が個人情報を開示することを、信用、雇用、または保険の評価、政府の助成金または免許、または消費者が関与する「正当な事業上の必要性」という3つの特定の状況下でのみ合法としています。米国のその他の分野別プライバシー法のリストは、消費者プライバシーガイドのウェブサイトでご覧いただけます。[ 20 ]

参照

参考文献

  1. ^ 「プライバシー設定プラットフォーム1.1(P3P1.1)仕様書公開履歴 - W3C」。W3C2021年4月4日閲覧
  2. ^ a b c d e f g h i j k l m n o p q Cranor, Lorrie; Dobbs, Brooks; Egelman, Serge; Hogben, Giles; Humphrey, Jack; Langheinrich, Marc; Marchiori, Massimo; Reagle, Joseph; Schunter, Matthias; Stampley, David A.; Wenning, Rigo. Wenning, Rigo; Matthias, Schunter (eds.). 「プライバシー設定プラットフォーム1.1 (P3P1.1) 仕様」 . 2021年4月4日閲覧
  3. ^ 「P3Pはサポートされなくなりました」。Microsoft Docs。2016年12月15日。 2020年7月8日閲覧
  4. ^ 「プライバシー設定プラットフォーム1.0(P3P1.0)仕様:W3C勧告 2002年4月16日、2018年8月30日廃止」 2018年8月30日 . 2024年9月12日閲覧
  5. ^ Richmond, Riva (2010年9月17日). 「クッキーが通り抜けられるほど大きな抜け穴」 . The New York Times: Bits . 2020年7月8日閲覧
  6. ^ "Michael Young – Binäre Optionen – Tipps und Tricks – p3ptoolbox.org" . www.p3ptoolbox.org (ドイツ語)。
  7. ^ 「第2章 P3Pとは何か、どのように機能するのか?」 2002年6月12日時点のオリジナルよりアーカイブ
  8. ^ a b「Internet ExplorerとEdgeのP3Pサポート」 。 2018年1月26日時点のオリジナルよりアーカイブ2018年1月25日閲覧。
  9. ^バグ 225287 - デフォルトビルドから p3p を削除
  10. ^ www.privacyfinder.org
  11. ^ a b「第1章 なぜP3Pを実装するのか?」 2002年9月7日時点のオリジナルよりアーカイブ。
  12. ^ a b c「かなり貧弱なプライバシー:P3Pとインターネットプライバシーの評価」電子プライバシー情報センター、2000年6月。
  13. ^ 「P3P: プライバシーがかなり貧弱? Karen Coyle著」
  14. ^ Tech Republic: 有名企業の支持にもかかわらず、新しいプライバシー標準の普及は遅い、2002年6月10日
  15. ^ 2006年プライバシーポリシー動向レポート
  16. ^電子市場における公正な情報慣行、2000年
  17. ^ 「225287 - デフォルトビルドから p3p を削除する」
  18. ^ 「P3P: 消費者のオンラインプライバシーの保護」 2001年8月17日。
  19. ^ 「データ保護」
  20. ^ a b「ConsumerPrivacyGuide.org | 法律による保護」2002年2月6日時点のオリジナルよりアーカイブ2008年3月8日閲覧。
「 https://en.wikipedia.org/w/index.php?title=P3P&oldid=1308137243」より取得