【絵で分かるキーワード】P3P(The Platform for Privacy Preferences Project、ぴーすりーぴー)
【絵で分かるキーワード】P3P(The Platform for Privacy Preferences Project、ぴーすりーぴー)
2003年06月01日 00時00分更新
関連キーワード
HTTP、プライバシー、Cookie長ったらしいプライバシーポリシー文書におさらば
|
|---|
| ●【P3Pの仕組み】 P3P(The Platform for Privacy Preferences Project):XMLで定義されたプライバシーポリシー記述言語 |
オンラインショッピングなどでのWebサイトで、「顧客情報の取り扱い」「弊社のプライバシーポリシー」などのリンクを見かけることが多くなった。ユーザー登録で得た個人情報、例えば名前やメールアドレスを第三者に開示しないとか、Cookieによるユーザーの行動履歴追跡データをマーケティングデータとして第三者に提供しないとか、Webサイトが収集しえるプライバシー情報の取り扱い方を、明示的に文書化したものだ。
しかし、多くは決して読みやすい文章ではないし、ほとんどのユーザーは億劫で読みさえしないだろう。こうした面倒を解決してくれるのが、XMLで定義されたタグセット、P3Pだ。XMLで記述された文書は、HTML文書と同じで「人間には、ちょっと読みづらいが機械が読める」という特徴がある。曖昧さが一切ない。このため、ユーザーはあらかじめ自分のポリシーをWebブラウザに設定しておくことで、Webサイトから送られてくるP3P形式のポリシーを、Webブラウザに自動的にチェックさせることができる。具体的には、P3P対応のブラウザは、Webサイトにアクセスしたとき、
- HTTPヘッダにP3P文書のURIがないか
- XHTML、HTMLのlinkタグにP3P文書のURIがないか
- ウェルノウン・ロケーションにp3p.xmlが存在しないか(例えばアスキーならhttp://www.ascii.co.jp/w3c/p3p.xml)
を検出し、もし存在すれば、それを取得する。そして、それをユーザー側のP3P文書と比較し、相違点をユーザーに示す。
例えば、「住所情報は当該商品送付の時のみに利用され、即時破棄される」という条件をブラウザで設定しておいたとしよう。一方、このブラウザでアクセスしたショッピングサイトが「住所情報は3カ月間保持」するポリシーだったとする。このとき、Webブラウザは双方のポリシーが違うことをポップアップウィンドウで警告してくれる。逆にポリシーに合っている限り、警告は出ない。
いちいちポリシーチェックする必要がなくなるのはありがたいが、注意したいのは、P3Pはあくまで「インフォームド・コンセント」を自動化する手段に過ぎないということだ。カード情報なら経路のセキュリティ確保は必要だし、虚偽の申告については自然言語ポリシー文書と同様に、実世界の法的規制力しかない。P3P対応だからといって、即安心というわけではないことは覚えておきたい。
Webサイト側は、既存の自然言語で書かれたポリシーを、P3Pのタグに落とし込む必要があるが、これは必ずしも機械的作業で済まず、それなりのコストが発生する。2001年9月にいち早くBIGLOBEがP3Pに対応した例はあるが、個人のプライバシー保護に敏感な欧米ほどに、日本国内ではP3Pの採用例は増えていない。ただ、IE6がP3Pに対応したことと、2002年4月16日にきわめて長期にわたった策定作業が終わり、正式にP3P1.0がW3C勧告となったことなどから、徐々に普及してくると思われる。
