Sponsored Contents

Do Not Trackの最新記事

Image credit:

マイクロソフト、GoogleはIEのプライバシー設定も迂回と非難 (※P3Pの件)

Ittousai , @Ittousai_ej
2012年2月21日, 午前07:47 in Do Not Track
449 シェア
43
212
78
55
61

連載

注目記事

人気記事



Safari の仕様の穴を突いてサードパーティーCookieをセットしていたことで Google が批判されるなか、今度はマイクロソフトが、Google は Internet Explorer のプライバシー保護設定も迂回していると非難しています。マイクロソフトのIE担当コーポレートVP Dean Hachamovitch 氏が 公式 IE Blog で主張するのは、IEは初期設定でサードパーティーCookie を拒否しているにもかかわらず、Google は IE のサポートするプライバシーポリシー記述方式 P3P に正式に対応しないことで、結果としてCookieを受け入れさせているとの内容。

「いまさらその話か!」と脱力しそうなところをぐっと堪えて解説すると、P3P (Platform for Privacy Preference) はかつてW3Cが制定したウェブ標準規格のひとつ。たとえば「これこれの情報を収集してなになにに使います」といったプライバシーポリシーを人間の読む文章ではなく機械可読なプロトコルとして定めることで、ユーザがブラウザの機能で分かりやすくプライバシーポリシーを把握したり、理想的にはユーザがあらかじめ設定しておいた許容範囲と比較してサービスごとに自動的にブラウザの挙動を変えるといったことを目的としています。

マイクロソフトはIE6からサードパーティーCookie拒否をデフォルト設定とした上で、このP3Pポリシーを部分的に「サポート」していました。しかし実装はP3P規格自体の問題もあって実に半端なもので、サーバ側が機械可読でない「P3Pポリシー」を設定した場合、「読めることが書いていない=プライバシーには影響がない」と判断して、なぜかサードパーティーCookieを受け入れる側に倒れるうえに警告も出しません。

このためP3Pポリシーとして文章で「当社のプライバシーポリシーはこちら」と書くことでサードパーティーCookieを受け入れさせる手段が広く使われるようになり、「プライバシー保護機能」としてのP3Pは完全に形骸化していました。Googleもこの例に漏れず、自社のサポートサイトと人間用プライバシーポリシーへのリンクを置いています。

マイクロソフトが突如非難し始めたのはこの部分で、GoogleはP3Pポリシーとして『これはP3Pポリシーではありません!詳しくはこちら (URL)』と書くことで、ユーザーの(というよりデフォルトの) プライバシー設定をないがしろにしているとの主張です。リンク先 IEBlogでは、Googleを「技術を尊重していない」と非難しつつ、そもそも微妙なIEの挙動についてはP3Pの仕様を引いて釈明し、P3Pがこのように不完全なのでIE9ではもっと優れたユーザー保護機能を導入しました!と着地する、なかなかにアクロバティックな論理を展開しています。

さらにはIEのCookie管理機能で「任意サイト (e.g. *.google.com)からのCookieを、ファーストパーティーかサードパーティーか問わずすべてブロックする方法」の解説リンクを紹介するなど、不完全な世界と大企業の無責任からユーザーを守る誠実な企業をアピールしています。

(下に続きます)
.
さて、このP3PとGoogleについては、意図的に「迂回していた」というべきか、ほとんど使われていない形式をサポートせずIEの挙動にまかせた(ことで結果的にサードパーティーCookieを使えるようにしていた) というべきか微妙な問題です。マイクロソフトが非難するGoogle 以外にもこの「迂回」手段を採っている企業は多く、そのひとつにはマイクロソフトが戦略提携し株主でもある Facebook が含まれます。Facebook が「P3Pポリシー」として置いているリンクから引用すると:
Facebookのプライバシーにご関心をお寄せいただき、ありがとうございます。 このメッセージは、プライバシー設定用のFacebookプラットフォーム(P3P)コンパクトポリシーへのアクセスを試みた方に.表示されます。
P3Pを構築したWorld Wide Web Consortiumでは、最新のほとんどのウェブブラウザでP3Pが完全にサポートされていないことを理由に、数年前、この標準に対する作業を停止しました。その結果、P3P標準は時代遅れとなり、現在ウェブで使用されている技術を反映していないため、ほとんどのウェブサイトには現在P3Pポリシーは導入されていません。 (略)
Googleにかわってマイクロソフトの身内が説明してくれました。なおGoogle版の説明(P3PとGoogleのCookie)は:

(...) ブラウザの中には P3P プロトコル(リンク先は英語)によるプライバシー ポリシーを使用するようサードパーティ Cookie に求めるものがありますが、P3P プロトコルはこのような状況を想定して設計されてはいません。そのため Google では、Google の Cookie にリンクを挿入して、この Cookie に関連するプライバシー ポリシーについて説明したページをユーザーが閲覧できるようにしています。(...)

P3Pの掲げる理想が実現されないまま形骸化したのは実に残念ですが、オンラインのトラッキングやプライバシーについては、たとえば Do Not Track のような新たな技術があり、またモバイルの世界では iOS のアドレス帳まる出しについて議会から説明を求められたアップルが対応を表明するなど、さまざまな取り組みが続いています。マイクロソフトにも、今度は実験的なサポートのまま放置したあげく数年後に蒸し返して他社を便乗非難する機能ではなく、実効性あるユーザー保護の仕組みがこんどこそ標準として導入されるよう先進性を発揮してほしいところです。
449 シェア
43
212
78
55
61

Sponsored Contents