国内でもP3P対応サイトが登場　標準化の遅れなどにより普及はまだ先（下）

P3P（Platform for Privacy Preference）

石川勝弘

2001.11.14

***** 前回（上）を読む*****　

Webサーバー側はツールを使って簡単にP3P準拠に変更可能

写真2●日本ニューメディア協会が提供するP3P作成ウィザード
取得した個人情報をどういう目的で利用するかを選択する

写真3●ユーザーから取得する個人情報の種類をXMLで記述
画面上の「基本データの作り方」，「拡張データの作り方」をクリックすれば，XMLでの表記方法とデータ型が一覧表示されるので，これをコピーして使う

写真4●自動生成されたP3Pポリシー・ファイル

図3●P3Pに対応したWebサイトにアクセスした場合のデータの流れ
Webサイトにアクセスすると，P3Pポリシー・ファイルがクライアントに送信される。クライアントのブラウザは受け取ったポリシー・ファイルと自身が持つ個人情報ファイル（ユーザー・プリファレンス）を照合し，ポリシーに問題がなければ，要求された個人情報をWebサイトに送信してWebページを閲覧できる。ただし，現状のP3P対応ブラウザ（IE6）では，ポリシーとユーザー・プリファレンスとの照合はせず，クッキーを制御するだけである

　WebサイトをP3Pに対応させるには，サーバー側のプライバシ・ポリシーをXML（拡張可能マークアップ言語）で記述し直さなければならない。P3P対応のプライバシ・ポリシー・ファイルを作成するツールは，海外ではいくつか提供され始めている。国内では，ニューメディア開発協会がポリシー作成ウイザードを無償提供している。

　ニューメディア開発協会のWebページ（http://www.nmda.or.jp/enc/privacy/index.html）の中央にある「P3Pポリシーウィザード（P3P 2000年12月勧告候補版対応）」をクリックすると，ポリシー入力ウインドウが開く。「団体情報」や「ポリシー」，「係争情報」など，7つのタブのそれぞれに必要な情報を記入していけば，ポリシー・ファイルが作成できる。

　最初の「団体情報」タブでは，自サイトの情報を記入する。どのような目的で個人情報を収集するかは「目的情報」タブで指定し（写真2），収集する個人情報は「収集データ」タブにXML形式で記述する（写真3）。「基本データ作成」をクリックすると，収集するデータのXML表記とデータ型が一覧表示されるので，この中から収集したい個人データに関する項目のXML表記をコピーして「収集データ」のテキスト・ボックスに張り付ければよい。

　すべての項目を入力して［P3Pポリシー作成］ボタンを押せば，XML形式で記述されたP3Pポリシーが表示される（写真4）。これを画面の項目ごとにメモ帳などにコピーして保存する。ただし，P3PポリシーとPRFは拡張子を「.xml」にして，文字形式は「UTF-8」形式で保存しなければならない。作成したファイルをサイト内に配置し，トップ・ページにP3Pポリシー・ファイルへのURLを追加すれば完了である。

　W3Cでは，P3Pに対応したサイトを認定する仕組みを用意している。W3Cの認定リストに加わるには，「http://www.w3.org/P3P/validator/20001215/」にアクセスして動作検証を行うと同時に，管理者にその旨のメールを送信すればよい。現在，167社（サイト）が認定されている。

最終勧告は機能が縮小される?

　W3Cの認定ベースとなっているのがP3P1.0CR（2000年12月15日版勧告候補）である。このP3P1.0CR版の評価は9月24日で終了し，現在は最終ドラフト案（2001年9月28日版）を作成している。しかし，「この最終案は，当初の計画よりも機能が縮小される可能性がある」（インターネット協会副理事長の国分明男氏）という。

　本来，P3Pが目指しているのは，クッキーの制御がメインではない。P3Pでは，Webサービス側がプライバシ・ポリシーを正確に開示し，ユーザーがそれを見て個人情報を送信するかどうかを決定する「インフォームド・コンセント」の仕組みを作成するのが目的だ。

　P3Pの動作モデルは図3[拡大表示]のようになる。まず，ユーザーがP3P対応Webサイトにアクセスすると，P3Pポリシー・ファイル（またはそのURL）が送信される。P3P対応ブラウザは受け取ったポリシー・ファイルと自身が持つ個人情報（ユーザー・プリファレンス）を照合し，ポリシーに問題がなければ要求された情報をWebサイトに送信してWebページを閲覧する。

　最初の勧告では，インフォームド・コンセント機能は組み込まれない見込みだ。ただし，ブラウザ側で機能を追加するのは自由だ。しかし，P3Pのクライアント機能を備える唯一のブラウザであるIE6は，インフォームド・コンセント機能を備えていない。

P3Pが普及するのは当分先

　個人情報を最も必要とするECサイトの場合，P3Pへの対応は必要だろうか。現状は，各ECサイトともインターネット協会が作成したガイドラインなどを基に，プライベート・ポリシーを策定している。

　MSNはPassportシステムという独自のユーザー認証および個人情報管理システムを構築している。「P3PとPassportは同じ個人情報を扱うものではあるが，目的が異なる。現段階では両者を連携させることは考えていない」（マイクロソフト MSN事業部パブリッシンググループ・プログラムマネージャの宮坂雅輝氏）という。

　MSNのページ自体は，すでにP3Pに対応している。しかし，バナー広告などを提供する第三者のサイトから送られてくるサード・パーティ・クッキーに関しては未対応なのが現状だ。MSNでは「1カ月くらいあれば，すべてのサード・パーティにP3P対応してもらうことができる」としている。

　BIGLOBEは，同サイトの広告総代理店であるサイバーウイングの広告配信サーバーもP3Pに対応し，バナー広告も安全であることを強調している。「現在はまだP3Pの重要性を啓もうしている状態。今後半年くらいでP3Pに対応するサイトが増えてくるだろう。P3Pが普及すれば，信頼性という観点から，いちばん最初に影響を受けるのは広告配信会社」（NEC BIGLOBEサービス事業部パーソナルサービス事業部ポータルサービス部長の下島健彦氏）と考えるからだ。

　NECは，すでにプライバシ・ポリシーを作成している広告配信企業などに対して，P3Pに対応するためのコンサルティング・サービスの提供を計画している。P3P対応のポリシー・ファイル（XML）の作成よりも，すでに作成してあるプライバシ・ポリシーをカスタマイズするのが難しい。そのため，NECでは，（1）既存のプライバシ・ポリシーをP3P用のXMLファイルに変換するためのチェック・シートの作成，（2）P3Pに対応させるページの選定，（3）各ページで取得する情報の選択，などの方向性を示していく。