日本電気(株)(以下、NEC)は10日、インターネット総合サービス“BIGLOBE”のウェブサイトを、ウェブサイトのプライバシー保護規格“Platform for Privacy Perference(P3P:ピースリーピー)”に対応させたと、報道関係者向けの説明会で発表した。大規模サイトが、P3Pに対応した例は、国内ではBIGLOBEが初めてとしている。
P3Pとは
P3Pは、インターネットの国際標準化団体“World Wide Web Consortium(W3C)”が定めた、プライバシー保護規格。基本的な考え方は、ウェブサービス側は、Cookieを使って取得する個人情報の利用方法(プライバシーポリシー)を正確にユーザーに示し、ユーザー側は、ウェブサービス側が提示したプライバシーポリシーを読み、個人情報を送るかどうか決定する、というもの。
P3Pの目的は、この双方の同意(インフォームド・コンセント)を支援することであり、個人情報とその扱い方について規定している。その規定に基づいて、ウェブサービス側はサイトのプライバシーポリシーをXMLで記述しておく。そしてユーザーのアクセスに際して提示できるよう、ページごとのP3Pへの対応を記した“P3Pポリシー対応表”とともに、ウェブサーバーに掲載する。
記述内容は、個人情報やCookieの利用目的・利用範囲・保存期間、収集者の住所や名前、およびユーザーが後に、自身の個人情報を閲覧可能かについてなど。また、ウェブサイトの個人情報取り扱いの安全性について保証する、第三者機関((財)日本情報処理開発協会(JIPDEC)など)の指定や、異議を申し立てる手段についても記述することになっている。
ユーザーは、P3Pに対応するブラウザーでウェブページにアクセスすると、ウェブページに対応するP3Pポリシーに、ブラウザーが自動的にアクセスする。そして、そのポリシーがP3Pで定めた規約に基づいて記述されたものか、保証機関などの裏付けがあるかなどを検証して、問題があった場合には、ブラウザーはユーザーに対して警告を発する。
サイトがP3Pに対応していないため、プライバシーポリシーを閲覧することをユーザーに警告するダイアログ。ステータスバー上には、瞳と“進入禁止”の標識のようなマークが現われる |
警告アイコン |
警告された場合でも、アクセスは通常どおり行なえるが、この場合、ブラウザーはP3Pに対応していないCookieの受け取りを自動的に拒否する。また、アクセスしているウェブサイトがP3Pに対応していても、広告を出しているサーバーがP3Pに対応しておらず、バナー画像などからCookieが送られてきている場合もある。アクセスしているサイトからのCookieを“1st Party Cookie(ファーストパーティークッキー)”と呼ぶのに対し、アクセスしているサイト以外から受け取ってしまうCookieのことを、“3rd Party Cookie(サードパーティークッキー)”と呼ぶ。P3Pに対応しているブラウザーならば、これもブロックした上で、ユーザーに警告を発することができる。
3rd Party Cookieをブロックしていることを示すプライバシーレポート |
なぜ今、P3Pか
NECソリューションズ、パーソナルサービス事業部長の佐久間洋氏によれば、「インターネットは、ユーザーの個性に合ったプログラムやサービスを提供できることにメリットがある。今後もその使い勝手は向上していくことだろう。しかしそれにともなって、ユーザーの個人情報を保護することに注力していかなければ、インターネットそのものが不健全なものになってしまう」という。
NECソリューションズ、パーソナルサービス事業部長の佐久間洋氏 |
佐久間氏は、インターネットが普及するにつれ、サイトの数も利用者の数も急激な勢いで増えてきているが、最終的にはインターネットは利用者に(サイトの安全を確認し、選択する)権利が移っていくだろう、という。サイトの安全性について確認し、それを見た上で利用者自身の個人情報の取り扱い方について判断し、どうコミュニケーションをとるのか決めるようになる。こうした利用者たちと協調して、インターネットを本当の意味で健全なものにしていく。そこに、P3Pの本質があり、導入する意義があるという。
また、P3Pを8月に米マイクロソフト社が“Internet Explorer Ver.6 英語版”(日本語版の公開日は未定)を公開したことも、P3Pへの対応を急いだ理由の一つだという。IE6は、P3Pに対応した初めてのブラウザーで、日本では11月に発売するWindows XPの標準ブラウザーでもある。今後、P3P対応ブラウザーはほかにもリリースされる予定だが、IE6がインフラとなることは間違いない。しかし現在ではまだP3Pに対応したウェブサイトが少ないために、頻繁に警告が出て、ユーザーの不安が増大する可能性があるという。
「P3Pという仕掛けにのっとって、プライバシーの扱い方に対する態度を明らかにしていかなければならない」と、NECソリューションズ、パーソナルサービス事業部ポータルサービス部長である下島健彦氏は述べた。
BIGLOBEのP3P対応内容
BIGLOBEでは、個人情報保護運用のルールを決めるとともに、P3PポリシーをすべてのBIGLOBEサイト内に設置した。ユーザーに提示するP3Pポリシーに記述する内容は、たとえば収集する個人情報の種類、その利用目的・利用範囲・保存期間および、収集者についての詳細(ウェブサービス会社の住所・名前等)。収集した個人情報を、あとでユーザーが閲覧可能かについて。そして、ウェブアクセスと個人情報の保護を確約する保証機関・異議申立て機関の指定についてなどである。
IE6.0で表示したBIGLOBEのトップページ。警告は表示されない(赤丸内) |
また、BIGLOBEの広告総代理店である、(株)サイバーウィングの広告配信サーバーについてもP3P対応を行なっている。これによってユーザーは、BIGLOBEのサイト上で表示される広告についても、プライバシー保護に関して記したP3Pポリシーを確認することができる。
BIGLOBEのプライバシーポリシー。個人情報を保護することを約束するマーク。上が2000年10月に(財)日本情報処理開発協会(JIPDEC)が認定した“プライバシーマーク”で、下が2001年3月に(財)日本データ通信協会に個人情報取り扱い業務登録して取得した、個人情報保護マークの使用許可証 |
今後のP3Pへの対応状況
NECでは、従来よりプライバシー保護に関する研究に取り組んでおり、P3Pの規格策定についても、'97年の設立当初から主要メンバーとして貢献してきているのだという。BIGLOBEが、国内で初めてP3Pへ対応した経緯は、こうした取り組みに基づくもので、W3Cが認定したP3P対応サイトを紹介する“コンプライアンスリスト”にも掲載されている。
W3Cが認定したP3P対応サイトを紹介する、コンプライアンスリスト |
一方、他社のP3P対応状況を見てみると、米アメリカ・オンライン社(AOL)が2000年6月に試験的にP3Pに対応しているほか、米AT&T World Netが対応済み。また、米IBM社、米AT&T社、米プロクター・アンド・ギャンブル(P&G)社などもコンプライアンスリストに掲載されていた。
また、P3Pはどれぐらい普及するだろうかという問いに対しては、NECのインターネットシステム研究所長の阪田史郎氏が、「アメリカでは、プライバシーマークを提示しているところにしか広告が入らないといった現象も起こりつつあり、今後P3Pは、ユーザーセキュリティーに関するデファクトスタンダードになってゆくだろう」と応えた。
NECのインターネットシステム研究所長の阪田史郎氏(左)と、パーソナルサービス事業部、ポータルサービス部長の下島健彦氏(右) |
またNECは、BIGLOBEのP3P対応ノウハウや、これまでに培ってきたプライバシー保護に関する技術を活用し、P3Pに対応するためのコンサルティングサービスについても提供を検討しているという。