このドキュメントは

Make Your Web Site P3P Compliant
How to Create and Publish Your Company's P3P Policy (in 6 Easy Steps)
http://www.w3.org/P3P/details.html


の和訳です。

この文書には和訳上の誤りがありえます。
内容の保証はいたしかねますので、必ずW3C Webサイトの正式版文書を参照して下さい。
また、著作権等については本文書に含まれる記述に加え、こちらも必ず参照してください。


W3C P3P

あなたのWebサイトをP3P準拠に

貴社のP3Pポリシーを(簡単な6つのステップで)作成し、公表する方法

1. あなたの会社や団体の書面によるプライバシーポリシーを作成します。 あなたはリソースや役立つヒントについて P3Pガイドライン文書 を調べたいと思うかもしれません。 既にポリシーがあれば、あなたは恐らくポリシーの著者と一緒にそのポリシーをレビューしたいと思うでしょう。 収集したすべてのデータ、そのデータで何をするのか、そのデータに誰がアクセスしたのか、そしてそのデータをどのくらいの期間保存するのかという事を必ず書いて下さい。 あなたのポリシーのこういった部分はその後、P3Pジェネレータが読み取ります。そのP3Pジェネレータはあなたのポリシーの機械が読むことのできるバージョンを作成します。

2. この時点で、どのポリシーをサイト上のどのページに適用するかを決める必要があります。多くの会社には、異なるページに対して、異なるデータ収集技術や目的の数によって変わるP3Pポリシーが複数あります。 この方法で、ユーザは、与えられたページや形式に自身のデータがどのように使用されるのかということを正確に知るでしょう。 もちろん、ユーザは、その書面のポリシーを参照してサイトの全体のプラクティスをいつも見ることができますが、特定のディレクトリやページのプラクティスを指定すると、普通のユーザのブラウジングがよりシームレスに行えるでしょう。

会社のWebサイトの多くは、異なるいくつかの部分から(その各々は情報を別々に集めることがあります)、構成されますし、またはそうでない場合もあります。 個々の異なるセクションには恐らく、あなたのサイトの他の部分のポリシーとはわずかに異なるプライバシーポリシーがあるでしょう。 P3Pポリシーを作成する場合、あなたのサイトのコンポーネントを収集する様々なデータすべての記述を試みる一般的なP3Pポリシーを一つ持つことを選択できます。しかし、複数のP3Pポリシーを構築すると(一つは、異なるポリシーを持っていたり、非常に異なる種類の情報を収集するあなたのサイトの各部分に対してのもの)、あなたにもあなたの顧客にも全体のプライバシーポリシーが分かり易くなるでしょう。 あなたの人間が読むことのできるポリシーがユーザにも利用可能であると気付いて下さい。そうすれば、サイトのポリシーを提示する機会が持てます。

機械が読むことのできるP3Pポリシーファイルの作成を準備する場合、あなたのサイトに異なるポリシーがどのくらいの数有効なのか、ということと、どの状況下で各ポリシーが適用されるのかという事を理解しなければなりません。 人間が読むことのできるポリシーと同じように、P3Pポリシーはあなたが指定した一つ以上のファイルやディレクトリなどを除く、単一のディレクトリ、ファイルまたはすべてのファイルやディレクトリに適用できます。 さらに、実行されている操作に基づいて、単一のページやページのグループ(例えば、PUT、DELETE、GETなど)のポリシーを区別することができます。

P3P 1.0の仕様書は、例えば、 CatalogExampleのプライバシーポリシーについて記述します。 この会社は、単にその会社のサイトをブラウズする人と製品を購入する人に一つのポリシーを適用します。 > その”ブラウズ”グループから、CatalogExample社は、ユーザのコンピューターやユーザが訪問するページに関する情報を集めます。 この情報は「私たちのサイトを改善する」ための管理上の目的のために、CatalogExample社およびそのエージェントによって使用されます。 CatalogExample社からの製品を購入するユーザは、より詳細なデータ(例えば、名前、住所、金融情報など)をCatalogExample社に与えなければなりません。 この情報は、購入を完了し、かつ製品を出荷するために使用されます。 ユーザは、その後の再利用に備えて情報を格納するオプションを持っており、更新や修正を行うために自分の情報にアクセスします。 2つの別個のデータ収集手続きおよびそれらの独自の適用のため、CatalogExample社は少なくとも2つのP3Pポリシーを使用するべきであると確信しました。

3. 次に、使用するP3Pポリシージェネレータを選択してください。 現在、利用可能なジェネレータは以下です。

貴社の既存のプライバシーポリシー、あるいは、あなたがたった今書いたものを取り出して、生成プロセスを手引きとしてそのプライバシーポリシーを使用してください。 W3C P3Pサイトから利用可能な 現在のP3P仕様書 を印刷してください。(翻訳注;参考として仕様書の翻訳(2002年4月勧告)版があります。但し、翻訳時の誤りがある可能性がありますので仕様書としては英文がオリジナルです)
あなたは次の特徴に注意する必要があるでしょう:

P3Pポリシージェネレータは、貴社のP3Pポリシーを作成し、最終的には公表する支援をするソフトウェア・アプリケーションです。 現在、IBM P3P Policy Editor、PrivacyBot.comおよびYOUpowered Consumer Trustの三つがジェネレータとして利用可能です。 これらは最新の状態を保つために、P3P仕様書に従って変更を行っていきます。 必要な情報を入力すると、ジェネレータはあなたがP3Pポリシーの各部分に進む手助けをします。 ポリシーが正確で完全にフォーマットされるように、すべてのフィールドに必ず書き入れて下さい。 ブラウザは不正確にフォーマットされたXMLファイルをに読み取りませんし、受理しません。 上記以外のジェネレータの出現は近いでしょう。

W3C P3Pサイトから、現在のP3P仕様書を印刷した後、貴社のプライバシーポリシーを取り、以下の特徴を識別してください:

現在、P3Pにはあらかじめ定められたデータ・カテゴリーが14個と”Others(その他)”があります。 収集した情報のデータ・タイプは上記の15の選択肢のうちの1つによって分類されるべきです。 収集されたデータのタイプをリストする際、できるだけ特定してください。 ”Others(その他)”を選ぶ前に、データが14の定義されたカテゴリーのうちの1つへ適合しないことを確かめるために、再チェックをすることが大事です。 また、収集されたデータは、あなたがそのデータをどう使用しているかをユーザに知らせる指定された6つの目的のうちの1つ以上に分類されなければなりません。 さらに、誰がデータにアクセスするか説明するために、6つの可能な受取人オプションの1つ以上を指定しなければなりません。 最後に、情報がどれくらい長く保持されているかを述べなければなりません。--保持しない(no retention)から不定の保持(indefinite retention)までの5つのオプションがあります。

4. P3Pジェネレータへ必要な情報を入力します。 すべての必要なフィールドおよび記述に必ず書き入れて下さい。(ユーザがEntityフィールドの連絡先などのような重要な情報を迅速に見つけ出すことができるように、P3Pファイルには人間が読むことのできるコンポーネントがいくつかあります。) 共通のP3Pジェネレータは、省略されたかあるいは、不正確に入力された情報についてあなたに警報するためのエラーチェック機能を持つでしょう。 policy1.xmlでこのファイルを保存してください。 あなたが(特定のプライバシーポリシーをいくつかもつサイトに)複数のP3Pポリシーを持っている場合、そのポリシーを必ず別々に保存し、順番に番号を付けて下さい。(policy2.xml、policy3.xmlなど)

必要な情報および記述のすべての書き込みが終了したら、ジェネレータが持っているエラーチェック機能を使用してください。そして、その機能は省略されたり、不正確に入力された情報についてあなたに警報するでしょう。 オプションを与えられる場合でも、人間が読むことのできる記述を入力したことを確認して下さい。 これらの手書き記述によって、機械が読むことのできるあなたのポリシーは消費者により便利なものとなり、あなたがデバッグするのもより容易なるでしょう。 あなたのサイトが多数のプライバシーポリシーとそれに付随するP3Pポリシーを必要とする様に決めた場合、必ずそれらを別々に保存し、順番に番号を付けて下さい。(policy1.xml、policy2.xmlなど)

5. また、ジェネレータは、あなたのポリシー参照ファイルを作成するべきです。 このファイルは、任意の与えられたページに関するP3Pポリシーをどこで捜すべきであるかをWebブラウザに指示するでしょう。 ファイルをp3p.xmlで保存して下さい。 その後、P3Pポリシーファイル、およびポリシー参照ファイルの両方をサーバーのルート・ディレクトリーへアップロードする必要があります。

通常、p3p.xmlで保存されるポリシー参照ファイルは、あなたのサイト上の任意の与えられたページに当てはまるP3Pポリシーをどこで見つけるべきであるかWebブラウザに伝えます。 先で述べた様に、ページおよびディレクトリーがすべて最後に説明されている限り、プライバシーポリシーの作成の際、ページおよび全体のディレクトリーを組込んだり、除外することができます、 以下のXMLコードは、P3P 1.0仕様書からのポリシー参照ファイルの例(例2.2)です。

<META xmlns="http://www.w3.org/2001/09/P3Pv1">
    <POLICY-REFERENCES>
        <POLICY-REF about="/P3P/Policy3.xml">
            <INCLUDE>/cgi-bin/</INCLUDE>
            <INCLUDE>/servlet/</INCLUDE>
            <EXCLUDE>/sevlet/unknown</EXCLUDE>
        </POLICY-REF>

        <POLICY-REF about="/P3P/Policy2.xml">
            <INCLUDE>/catalog/</INCLUDE>
        </POLICY-REF>

        <POLICY-REF about="/P3P/Policy1.xml">
            <INCLUDE>/*</INCLUDE>
            <EXCLUDE>/sevlet/unknown</EXCLUDE>
        </POLICY-REF>
    </POLICY-REFERENCES>
</META>

この例で、Policy1.xmlは、"catalog"、"cgi-bin" および"servlet"ディレクトリ配下以外のファイルをすべて参照します。Policy2.xmlは"catalog"ディレクトリの配下のファイルをすべて参照します。 残りのディレクトリ、"cgi-bin" および"servlet"は、"servlet"サブディレクトリ"unknown"を除いてPolicy3.xmlの配下でカバーされています。 "servlet/unknown"に参照されるP3Pポリシーはありませんので、人間が読むことのできるプライバシーポリシーで表わされる必要があります。

ポリシー参照ファイルには、あなたのP3Pポリシーをナビゲートし、各ページに正しいポリシーを適用するためにWebブラウザが使用するincludeやexclude、そしてより特別なタスク分類があります。 ジェネレータは、このファイルを作成するべきです。 一旦このファイルが作成されたら、ポリシー参照ファイル(p3p.xml)、およびあなたのP3Pポリシーファイル(policy1.xml、policy2.xmlなど)を取り出し、あなたのサーバーのルート・ディレクトリーにアップロードして下さい。

6. 最後のステップは、すべての手順を正確に行ったかどうかを確かめることです。 http://www.w3.org/P3P/validator.html にアクセスし、あなたのサイト上に任意のURLを入力するとエラーがあるかどうかがわかります。 エラーがある場合、あなたはステップ3に戻ってもかまいません。 このプロセスを終えると、 P3Pを使用してのWebサイトのリスト 上にリストするかどうか尋ねられるでしょう。

注:P3P仕様書はこの数ヶ月で変更する可能性があります。 そのため、現在作成しているP3Pポリシーを更新しなければならないかもしれません。


著作権 1997-2000の W3C 。著作権保有(MIT、 INRIAKeio )。 規則を 許可する W3C 責任商標ドキュメント使用 および ソフトウェア が適用されます。 本サイトとのインタラクションは私達の 公的 および メンバー ・プライバシー・ステートメントに従います。

最終改訂日 $期日: 2001/10/24 03:59:39 $ by $著者: koike $