Internet Explorer 6 のプライバシー機能Aaron Goldfeder July 25, 2001 概要: Internet Explorer 6 のプライバシー機能は、Cookie を正しく使用するためには、Web サービスに対して World Wide Web Consortium (W3C) が開発した Platform for Privacy Preferences (P3P) Project で定義されているようなコンパクト ポリシーを導入することを要求します。 Internet Explorer 6 プライバシー機能は、 ユーザーのプライバシー設定だけでなく、 このコンパクト ポリシーに基づいて Cookie をフィルタ処理します。 この記事では、Web サービスがサイト毎に関連付けられた Cookie のプライバシーの要件を満たし、Internet Explorer 6 で実装された Cookie のフィルタ処理に対応する方法について概説します。 一部の Cookie はコンパクト ポリシーを必要としない場合がありますが、 すべての Cookie にポリシーを実装することを強くお勧めします。
この記事のリリース時点で、 P3P とコンパクト ポリシーを定義する P3P1.0 (Platform for Privacy Preferences 1.0) 仕様は、 勧告候補 (Candidate Recommendations) です。 現在作業中のバージョンの P3P 仕様は、 http://www.w3c.org/tr/p3p にあります。 この記事は P3P ポリシーの配布に関していくつか情報を提供していますが、 完全な詳細についてはに、 P3P 仕様と "The Platform for Privacy Preferences Deployment Guide" を参照してください。 Internet Explorer 6 のプライバシーに関する追加情報に関しては、下記の記事を参照してください。 注意 この資料は、 開発中の Internet Explorer 6 の機能を説明しています。 これらの機能は、ブラウザ開発中に変更されることがあります。 目次 プライバシーの背景 プライバシーの背景問題点Web ユーザーは、Web サイトの物理的な世界にユーザー自身を置き、 仮想的な世界にユーザー自身のプロファイルを設定し、この情報を関連付けて ユーザー自身のアイデンティティを "完全に" 確立することに関して不安を感じるようになってきています。 また、Web ユーザーは、オンライン行動分析などの思いもよらない目的のために、 マーケティングで接触したような他の団体と自分の個人データを共有している Web サイトがあるのではないかという心配も高めています。 多くのユーザーはそのようなデータ収集に気が付いていないことが多いという事実が、問題を悪化させています。 データの収集には Cookie が広く使用されています。 ただし、多くのアプリケーションが Cookie に依存しているので、 単に Cookie を無効にすることが現実的なソリューションになるわけではありません。 同様に、Cookie をダウンロードするたびに、 ユーザーにダウンロードするかどうかを問い合わせるような処理の中断は、 一般的にはユーザーにいやがられるので、これも現実的ではありません。 ソリューションInternet Explorer 6 のプライバシー機能は、 Cookie のフィルタ処理の拡張が中心になっています。 このフィルタ処理の拡張は、 ユーザーがユーザー自身のプライバシーを保護する権限を持つ方向への重要な一歩です。 Cookie 問題を解決することがあらゆる問題の解決策になるわけではありませんが、 プライバシーに関する消費者の心配事を解決するという点で業界をリードしていく一歩です。 拡張された Cookie のフィルタ処理は、 Web サイトのプライバシーの実施方法を評価し、 サイトのコンパクト ポリシーとユーザー独自の設定に基づき、 どの Cookie が受け入れ可能かを判断することによって機能します。 既定の設定では、 個人を識別する情報を収集するために使用される Cookie や、 ユーザーが使用中に選択できない Cookie は、 "不十分" と考えられます。 既定では、不用意な Cookie は、 ファースト パーティのコンテキストでは参照しているセッションが終了するときに削除され、 サード パーティのコンテキストでは拒否されます。 この方法では、 ユーザーは不用意な Cookie からユーザー自身を保護することができると同時に、 Cookie の利点を味わうことも選択できます。 Cookie のフィルタ処理の完全な詳細については、次のセクションで説明します。 Web サイトのプライバシー ポリシーを理解するための Internet Explorer 6 テクノロジは、 P3P 仕様 に基づいて構築されています。 P3P は XML (Extensible Markup Language) を使って、一般的な構文とトランスポート メカニズムを提供します。 トランスポート メカニズムは、 Web サイトがそのプライバシーの実施方法を Internet Explorer 6 (またはその他のユーザー エージェント) と通信できるようにします。 その後、Internet Explorer 6 はその状況下で何が起こっているかをユーザーに通知することができ、 不用意な Cookie をフィルタ処理により除去することによってユーザーをサポートします。 ユーザーは 6 つのレベルを持つスライダ インターフェイスを使って、 Internet Explorer 6 の Cookie のフィルタの感度を簡単に調整できます。 また、Cookie のフィルタ処理は次の方法で完全にカスタマイズできます。
![[プライバシー] タブ](SS_slider.gif)
図 1. [プライバシー] タブ 永続的な Cookie と 一時的な Cookie (セッション Cookie)Internet Explorer 6 が Cookie をどのように処理するかを説明するには、 永続的な Cookie と一時的な Cookie (セッション Cookie) の違いを理解することが役立ちます。 永続的な Cookie は、定義済みの有効期限に達すると破棄されます。 有効期限が指定されていない Cookie は一時的な Cookie (セッション Cookie) と見なされ、 Internet Explorer が閉じられると破棄されます。 ファースト パーティおよびサード パーティのコンテキストInternet Explorer 6 は、 ファースト パーティのコンテンツをホスト ドメインに関連付けられたものとして定義します。 たとえば、ユーザーがアドレス バーに URL を入力して www.wideworldimporters.com を表示し、 www.wingtiptoys.com がこのページにバナー広告を持っていると仮定します。 これら 2 つのサイトが Cookie を設定すると、 www.wideworldimporters.com からの Cookie はファースト パーティのコンテキストに存在し、 www.wingtiptoys.com からの Cookie はサード パーティのコンテキストに存在します。 多くの場合、商用の Web ページには、 ファースト パーティのコンテンツとサード パーティーのコンテンツの両方が含まれています。 Internet Explorer 6 のプライバシー機能は、 ファースト パーティのコンテンツとサード パーティーのコンテンツを区別します。 この想定の元になっているのは、 ユーザーはファースト パーティとサード パーティーとでは異なるリレーションシップを持つということです。 実際には、ユーザーがサード パーティーを認識しなかったり、 サード パーティとのリレーションシップを持つかどうかの選択肢が与えられたりします。 このため、サード パーティーに対する既定のプライバシー設定はファースト パーティーに対するプライバシー設定より厳しくなっています。 注意 www.wideworldimporters.com と toys.wideworldimporters.com の 両方の URL には、 wideworldimporters.com という同じ最小ドメインが含まれています。 ホスト ドメインと同じ最小ドメインを共有するコンテンツは、 ファースト パーティ コンテンツと考えられます。 同様に、これらのドメインから設定される Cookie は、 ファースト パーティの Cookie と考えられます。 最小ドメインは、同じトップ レベル ドメイン (TLD) を持つ必要があります。 TLD のいくつか一般的な例には、.com、.net、および .org があります。 注意 ユーザーが HTTPS (Secure Hypertext Transfer Protocol) を使用する安全な接続を経由して www.wideworldimporters.com にアクセスする場合、 HTTPS を使用しないページのコンテンツはサード パーティのコンテンツと見なされます。 P3P とコンパクト ポリシーP3P 仕様は、 Web サイトのプライバシーの実施方法に関連するポリシー情報を、 Web サイトが要約し、表現する方法を標準化します。 P3P ポリシーは、データの分類、データ収集の目的、 および収集されるデータの受信者を記述する XML ステートメントから構成されます。 また、P3P ポリシーには、プライバシーに関して異議を唱える連絡先、 プライバシー ポリシーの有効期間、ユーザーが収集したデータにアクセスする方法、 およびポリシーの違反に対してどのような救済策が行えるかなど、その他の情報も含まれます。 Web サービスの局面に応じて、異なる P3P ポリシーを指定できます。 たとえば、Web サイトはホーム ページと検索ページに別のポリシーを持つことができます。 注意 Cookie に関するプライバシー ステートメントを作成するときに、 そのステートメントは Cookie に格納されるすべての情報を示すか、 Cookie によってアクセス可能にする必要があります。 たとえば、Cookie に格納される ID を使ってデータベースにアクセスできる場合、 プライバシー ポリシーはそれらの ID を使用しているときに、 アクセス可能になるデータのデータ収集の実施方法を管理する必要があります。 Cookie の仕様をカバーしている P3P ポリシーは、 コンパクト ポリシーと呼ばれる凝縮された形式で表現されます。 本質的に、P3P ポリシーの要素は短いトークンにマップされ、 コンパクト ポリシーを形成するために集約されます。 以下は、これがどのように機能するかの簡潔な例です。 繰り返しになりますが、 完全な詳細については、 P3P 仕様 をご覧ください。 Blue Yonder Airlines がそれらのデータ収集の実施方法に関する 2 つのステートメントを含む P3P ポリシーを作成することを想定します。 最初のステートメントで Blue Yonder Airlines は、 仮名で記入する分析 (自然人と関連付けを行わずにユーザーの趣味や興味を判断する分析) のために、 性別、国、郵便番号などを含む人口統計情報を収集し、 この情報をほかの受信者と共有することを明記しています。 2 つ目のステートメントでは、 Blue Yonder Airlines はユーザーが肯定応答した場合に、 将来連絡先として使用するためだけに、 特に電子メール アドレスのオンライン情報を収集することが明記されています。 また、ポリシーには ACCESS 要素が含まれており、 ユーザーにはユーザーから収集した連絡先情報へのアクセス権があることを明示しています。 Blue Yonder Airlines の完全な P3P ポリシーは次のようなものになるでしょう。
<POLICY xmlns="http://www.w3.org/2000/12/P3Pv1"
discuri="http://www.blueyonderairlines.com/ourprivacypolicy.html"
opturi="http://www.blueyonderairlines.com/optin.html">
<ENTITY>
<DATA-GROUP>
<DATA ref="#business.name">Blue Yonder Airlines</DATA>
<DATA ref="#business.contact-info.postal.street">3456 Main St.</DATA>
<DATA ref="#business.contact-info.postal.city">Tampa</DATA>
<DATA ref="#business.contact-info.postal.stateprov">Fl</DATA>
<DATA ref="#business.contact-info.postal.postalcode">77062</DATA>
<DATA ref="#business.contact-info.postal.country">USA</DATA>
<DATA ref="#business.contact-info.online.email">molly@blueyonderairlines.com</DATA>
<DATA ref="#business.contact-info.telecom.telephone.intcode">1</DATA>
<DATA ref="#business.contact-info.telecom.telephone.loccode">800</DATA>
<DATA ref="#business.contact-info.telecom.telephone.number">5550158</DATA>
</DATA-GROUP>
</ENTITY>
<ACCESS><contact-and-other/></ACCESS>
<STATEMENT>
<PURPOSE><pseudo-analysis/></PURPOSE>
<RECIPIENT><other-recipient/></RECIPIENT>
<RETENTION><business-practices/></RETENTION>
<DATA-GROUP>
<DATA ref="#user.home-info.postal.country" optional="yes"/>
<DATA ref="#user.home-info.postal.postalcode" optional="yes"/>
<DATA ref="#user.gender" optional="yes"/>
<DATA ref="#dynamic.cookies" optional="yes">
<CATEGORIES><demographic/></CATEGORIES>
</DATA>
</DATA-GROUP>
</STATEMENT>
<STATEMENT>
<PURPOSE><contact required="opt-in"/></PURPOSE>
<RECIPIENT><ours/></RECIPIENT>
<RETENTION><stated-purpose/></RETENTION>
<DATA-GROUP>
<DATA ref="#user.home-info.online.email" optional="yes"/>
<DATA ref="#dynamic.cookies" optional="yes">
<CATEGORIES><online/></CATEGORIES>
</DATA>
</DATA-GROUP>
</STATEMENT>
</POLICY>
STATEMENT 要素ごとに、 CATEGORIES、PURPOSE、RECIPIENT 要素のそれぞれが関連付けられたコンパクトな形式を持ちます。 また、ACCESS 要素もコンパクトな形式を持ちます。 以下の表は、この例の各要素に関連付けられるコンパクト トークンを示します。 [プライバシー] タグと対応するコンパクト トークン
これらの PURPOSE、RECIPIENT、CATEGORIES、および ACCESS トークンを集約することによって、 この例のコンパクト ポリシーを形成できます。 コンパクト ポリシーは、 次の例で示される構文を使ったカスタム HTTP 応答ヘッダーを使って送信されます。 P3P: CP="CAO PSA CONi OTR OUR DEM ONL" このヘッダーは、Active Server Pages (ASP) を使用するか、 Microsoft® Windows® 2000 サーバーおよびその他の代表的な Web サーバーのコンピュータの管理コンソールを使って、 HTTP 応答に追加できます。 Cookie に関する判断と設定がクライアント (Internet Explorer 6) 上で行われるのに対して、 Cookie のコンパクト ポリシーは、 HTTP 応答上の Cookie データと共にサーバーから送信されることに注意することが重要です。 注意 Internet Explorer 6 の Cookie のフィルタ処理は、完全な P3P ポリシーを使用しません。 Cookie に必要なのは、コンパクト ポリシーです。 スクリプトまたは Meta 要素を使って設定される Cookie は、 関連付けられた HTTP 応答のコンパクト ポリシーによって管理されます。 コンパクト ポリシーを持たない Cookie は、 Internet Explorer 6 ではポリシーを持たないと見なされます。 P3P ポリシーの PURPOSE タグと RECIPIENT タグは、 "opt-in"、"opt-out"、または "always" のいずれかの値を取る省略可能な属性を持ちます。 "opt-in" を指定した場合は、 ユーザーがデータの使用目的または受信者を承認する必要があります。 "opt-out" を指定した場合は、 ユーザーが指定した目的や受信者を許可しないことを選択しない限り、 つまりユーザー拒否しない限り、データは指定した目的または受信者に対して使用されます。 "always" を指定した場合は、 その目的または受信者が常に必要になることを示します。この属性を指定しない場合は、"Always" ("a") は既定値として扱われます。コンパクト ポリシー内では この属性は 1 文字に省略され、トークンに付加されます。 たとえば、CON に付加された "i" は、 ユーザーがオンライン情報を連絡先目的に使用することを "opt-in" (許可) する必要があることを示します ("always" は "a" に省略され、 "opt-out" は "o" に省略されます)。 1 文字略語を含まないトークンは "a" を持つトークンと同じように処理されます。 たとえば、CON と CONa は同じ意味になります。 注意 P3P ポリシーにあるデータの分類 (CATEGORY)、目的 (PURPOSE)、および受信者 (RECIPENT) のグループ化が、 コンパクト ポリシーを形成するために使用される集約の過程で失われることに注意することは重要です。 この結果、コンパクト ポリシーが意図しない意義を持つことになります。 この例でのコンパクト ポリシー "CAO PSA CONi OTR OUR DEM ONL" は、 必要性のないときに、連絡先情報をほかの受信者と共有できることを暗示しています。 異なるデータ収集の事例ごとに Cookie に個別の P3P ポリシーを作成することにより、 この多義性を最小限にできます。 上記の例では、仮名で記入する分析に使用される Cookie のポリシーと個人情報の収集に使用される Cookie のポリシーは、 異なるコンパクト ポリシー形式を持つ個別の P3P ポリシーに分けることができます。 2 つのコンパクト ポリシーは "CAO PSA OTR DEM" と "CAO CONi ONL OUR" になり、 それぞれの Cookie の種類の意図を明確に表現することになります。 Cookie のフィルタ処理Internet Explorer 6 は、 Cookie が送信されたコンテキストとそのコンパクト ポリシーのコンテンツに基づいて Cookie のアクションを実行します。 Internet Explorer 6 は状況に応じて、Cookie を許可、拒否、ダウングレード、または制限します。 "ダウングレードされる Cookie" は、 参照しているセッションの終了、または Cookie の有効期限切れのどちらかが先に生じた場合に削除される永続的な Cookie です。 "制限される Cookie" は、 ファースト パーティのコンテンツのダウンロード要求で送信されるだけの Cookie です。 サード パーティのコンテンツに対して要求が行われるときは、 これらの Cookie は抑制されます。つまり、Cookie は送信されません。 たとえば、www.wingtiptoys.com がファースト パーティのコンテキストに存在し、 Internet Explorer 6 で Cookie を設定すると仮定します。 また、この Cookie が制限されると仮定します。 www.wingtiptoys.com が後にサード パーティのコンテキストに出現すると、Cookie は抑制されます。 Internet Explorer 6 が Cookie を拒否、ダウングレード、または抑制したときは、 ステータス バーの小さいアイコンがユーザーにそのことをを知らせます。 アイコンをクリックすると、 Cookie に対して Internet Explorer 6 が行うアクションを要約する [プライバシー レポート] ダイアログ ボックスがユーザーに表示されます。 そのダイアログ ボックスから、 ユーザーに馴染みのある形式で完全な P3P ポリシーを表示し、 特定の Web サイトに Cookie を "許可" または "ブロック" する権限を付与することを選択できます。
図 2. ステータス バーの プライバシー アイコン 次の表は、[プライバシー レポート] ダイアログ ボックスに表示される可能性のある Cookie アクション値とその意味を一覧しています。
不用意な CookieInternet Explorer 6 では、 不用意な Cookie とは、 明記されていない目的に使用されるか、 明記されていない受信者に提供される個人を識別できる情報に、 ユーザーの同意なしにアクセスしているか、アクセスを許可している Cookie のことです。 不用意な Cookie の分類、および目的または受信者のいずれかは、 opt-in も opt-out も指定されずに次の一覧に含まれます。 これらの分類、目的、受信者は、 Internet Explorer 6 だけが使用する P3P のサブセットです。 注意 この一覧は、不用意な Cookie のデータの分類、目的、および受信者の簡単な説明とコンパクト トークンを含んでいます。 詳しい定義については、 P3P 仕様 をご覧ください。
要約すると、 不用意な Cookie とは、 ポリシーが次の表の両方の列からトークンを含み、 目的/受信者トークンが省略可能な属性の "i" または "o" を含まない Cookie です。 たとえば、PHY と CON というトークンを含むコンパクト ポリシーを持つ Cookie は不用意な Cookie です。 それに対して、PHY と CONo を含むコンパクト ポリシーを持つ Cookie は受け入れ可能です。 不用意な Cookie タグ
Internet Explorer 6 プライバシーのユーザー設定ユーザーは、[インターネット オプション] の [プライバシー] タブでスライダを使って、 プライバシーの設定を変更できます。 スライダには 6 つのレベルがあります。 6 つのレベルとは、[すべての Cookie をブロック]、 [高]、[中-高]、[中] (既定のレベル)、[低]、および [すべての Cookie を受け入れる] です。 中間的な設定では、コンパクト ポリシーはサード パーティの Cookie では必要ですが、 ファースト パーティの Cookie では必要になりません。 ただし、コンパクト ポリシーのないファースト パーティの Cookie は制限されます。 これは、Web サイトがあとでサード パーティのコンテキストに使用するファースト パーティのコンテキストに、 コンパクト ポリシーを持たない Cookie を設定することを禁止します。 サード パーティのコンテキストでファースト パーティの Cookie に到達できるように、 ファースト パーティの Cookie は、コンパクト ポリシーを伴うと最も効果的です。 この変更よりも優先して、プライバシー設定の変更がレガシ Cookie 以外の Cookie の設定には影響を及ぼすことはありません。ただし、[すべての Cookie をブロック] と [すべての Cookie を受け入れる] が設定された場合を除きます。全ての Cookie を新しい設定に反映させるために、ユーザーはプライバシー設定を変更する前に全ての Cookie を削除することができます。 また、ユーザーにはサイト単位に Cookie の管理の実施方法を定義するオプションがあります。 このようなサイト単位の設定は、 [すべての Cookie をブロック] または [すべての Cookie を受け入れる] を除き、 スライダで設定したすべての既定のプライバシー設定に優先されます。 次のセクションでは、 インターネット ゾーンの既定のプライバシーの設定ごとに、 ファースト パーティおよびサード パーティの Cookie に対して実行するアクションについて説明します。 [すべての Cookie をブロック] このプライバシー設定は次のように定義されます。
[高]
注意 [高] 設定は、不十分なコンパクト ポリシーのより厳密な定義を使用します。 不十分なタグの表に一覧されている目的または受信者のいずれかと共に "opt-out" 属性を使用するコンパクト ポリシーを持つファースト パーティおよびサード パーティの Cookie は拒否されます。 [中-高]
注意 [中-高] 設定は、不十分なコンパクト ポリシーのより厳密な定義を使用します。 不十分なタグの表に一覧されている目的または受信者のいずれかと共に "opt-out" 属性を使用するポリシーのあるサード パーティの Cookie は拒否されます。 [中] (既定)
[低]
[すべての Cookie を受け入れる] このプライバシー設定は、次のように定義されます。
レガシ CookieInternet Explorer 6 は、 Internet Explorer 6 がインストールされた時点でユーザーのコンピュータに存在する Cookie、 または Internet Explorer の [ファイル] メニューから実行できる [インポート/エクスポート ウィザード] を使って、 別のブラウザからインポートされた Cookie としてレガシ Cookie を定義します。 レガシ Cookie がインストール中に削除されることはありません。 既定のプライバシー設定が [高]、[中-高]、[中]、または [低] に設定されている場合、 レガシ Cookie は制限されます。 [すべての Cookie をブロック] または [すべての Cookie を受け入れる] に設定すると、 レガシ Cookie はほかの Cookie と同じ扱いになり、 無条件にブロックされるか、個別に受け入れられます。 ユーザーのプライバシー設定が [すべての Cookie を受け入れる] に設定されない限り、 レガシ Cookie はファースト パーティのコンテキストでのみアクセス可能です。 レガシ Opt-Out Cookie に対する特別な準備Internet Explorer 6 は、 opt-out レガシ Cookie に対して特別な準備を行っています。 ユーザーがあるオンライン サービスを拒否するときに、 Web サービスは opt-out Cookie を使用して、 この選択を容易することがよくあります。 このトランザクションの成功は、 この Cookie をファースト パーティとサード パーティの両方のコンテキストに送信するブラウザの機能に依存することがあります。 ただし、Internet Explorer 6 を使用すると、 レガシ Cookie が制限され、 サード パーティのコンテキストに送信されません。 この問題に対応するために、 Internet Explorer 6 は名前と値のペアが "ID=OPT_OUT"の Cookie を制限しません。 (この名前と値の文字列は大文字、小文字とスペースを区別することに注意してください。) Web サイトは、 レガシ opt-out Cookie が Internet Explorer 6 で効果があるように、 この構文を使用してこのような opt-out Cookie をアップグレードする必要があります。 Internet Explorer 6 が一度インストールされると、 新しい opt-out Cookie はその他のレガシ Cookie 以外の Cookie と同じように処理されます。 Cookie のフィルタ機能と Internet Explorer セキュリティ ゾーンここまでは、インターネット ゾーンについて説明してきました。 ただし、新しいプライバシー機能は、ほかのセキュリティ ゾーンで処理されている Cookie にも影響します。 次の表は、セキュリティ ゾーンごとの Cookie 管理の実施方法を説明しています。
Internet Explorer 6 のその他の主要なプライバシー機能
プライバシー機能が自分のサイトの機能に "影響する" 場合は ?Web サイトの動作が予期せず拒否されたり抑制されたりする Cookie に依存していることがあります。 これを回避するために、ユーザーはプライバシーの設定スライダを [すべての Cookie を受け入れる] に移動するか、 [インターネット オプション] の [プライバシー] タブで [編集] ボタンをクリックし、 [管理している Web サイト] 一覧にサイトを追加することにより、 Web サイトの Cookie を許可することを明示的に選択できます。 Web サービスが Internet Explorer 6 で行う必要があることInternet Explorer 6 で、 Cookie を使用するための開発を正しく続けるために行う最も適切なことは、 サイトに P3P を展開することです。 P3P は、まずユーザのビジネスの実施方法を評価し、 その後包括的なポリシーを形成することを必要とします。 P3P Project Web site にアクセスし、 ツールやリソースをご利用ください。 コンパクト ポリシーのない多くの Cookies は既定では拒否されます。 したがって、Web サービスを管理する場合は、コンパクト ポリシーを持つ P3P を展開することが重要です。 インターネット ポリシーに注目することは、 業界全体の責任であり、今こそこれらの聡明で相互運用可能なソリューションに向って進むべきです。 |
オンライン プレゼンテーション