米Microsoftが現地時間2012年2月21日、同社のブラウザー「Internet Explorer(IE)」のプライバシー保護機能を米Googleが回避していたことを確認した(関連記事:GoogleはIEのプライバシー機能も回避していた---Microsoftが非難)と声明を出したことに対して、米グーグル日本法人は日本時間の同日、「Microsoftは重要な情報を省略して非難している」とする反論内容をITproに明らかにした。

 Microsoftは公式ブログで、W3Cのプライバシーポリシー標準「P3P(Platform for Privacy Preferences)」に対応したIEのプライバシー保護機能をGoogleがすり抜けていると主張した。IEのP3P保護機能では、Webサイトがクッキーの使用目的を告知してユーザーを追跡しないことを明示しない限り、クッキーを受け取らないようデフォルトで設定している。Microsoftによれば、P3Pの仕様は不明瞭なポリシーを無視するよう定めており、Googleは実際の目的を明言していないP3Pポリシーを用いてクッキーをインストールしていた、としている。

 これに対しGoogleは、P3Pが普及していないこと、さらに、P3Pに基づくMicrosoftのポリシーは「著しく運用不能の状態にある」としたうえ、多くのWebサイトがMicrosoftの要求に対応するP3Pポリシーを発行していないことを外部調査結果を挙げながら指摘している。

 Googleの指摘によると、MicrosoftがIEにP3Pを導入した2002年当時であればIEの求めに応じて機械可読形式でプライバシーポリシーを提示することは困難ではなかった。だが、現状では最新の機能を提供しながらこの要求に応えることは実用的ではなくなっている。例えばSNSサイト「Facebook」の「like」ボタンや(Facebookの公式説明例)、Googleアカウントを使った複数サイトへのログインといった新しいクッキーベースの機能をP3Pは想定していない(Googleの公式説明例)。こうした問題点は広く知られているものだという。

 Googleが引用した米プライバシー保護団体TRUSTeの調査結果によれば、2010年の時点でTRUSTeが保証している3000余りのWebサイトのうち、P3Pに対応しているのは12%に満たない。また、米カーネギーメロン大学が2010年に発表した調査報告では、3万3139のWebサイトのうち1万2276サイトがMicrosoftの要求に対応するP3Pポリシーを発行していなかった。さらにMicrosoftのサポートサイトでは、IEでの問題を回避する措置として無効なコードを使うことを勧めており、1万2276サイトの多くについてはこの勧告が要因だとされているという。

 Googleによるプライバシー設定迂回を巡る議論は、2012年2月17日に米スタンフォード大学セキュリティ研究所の大学院生が発表した調査結果が発端。その調査から、Googleが米Appleの「Safari」ブラウザーのプライバシー設定を迂回してWeb履歴を追跡していたことが判明し、批判の声が上がった。Safariはデフォルト設定でサードパーティーのクッキーを拒否するオプションを有効にしているが、特定の条件下でサードパーティーのクッキーを受け入れるようになっており、Googleはこの例外事項を利用する手法でクッキーを埋め込んでいたとされている。

 この指摘に対してGoogleは「Safariの既知の機能を使った」と説明し「個人情報を収集していない」と強調。しかし事態を重く見た米下院議員や米消費者保護団体は、米連邦取引委員会(FTC)に対してGoogleの調査を要請する公開書簡を送っている(関連記事:GoogleがSafariのWeb履歴を追跡していた問題で、米議員がFTCに調査要請)。