このドキュメントは P3P and Privacy on the Web FAQ http://www.w3.org/P3P/p3pfaq.html の和訳です。 この文書には和訳上の誤りがありえます。 内容の保証はいたしかねますので、必ずW3C Webサイトの正式版文書を参照して下さい。 また、著作権等については本文書に含まれる記述に加え、こちらも必ず参照してください。 |
Platform for Privacy Preferences Project (P3P)とは、ユーザエージェントが自動的に検索し、解釈することができる標準化された形式で、Webサイトがプライバシープラクティスを表わすことのできる新生の業界基準のことです。 その目的は、プライバシーポリシーを読む過程を簡素化することによってユーザにWebサイトのプライバシープラクティスを知らせることができるようにすることです。 P3Pを使用すれば、ユーザは訪問するすべてのサイトでプライバシーポリシーを読む必要がなくなります。その代わりに、Webサイトがどのデータを収集したかということに関する重要な情報を自動的にユーザに伝えることができますし、サイトのプラクティスとユーザの嗜好との間でおこる不一致を自動的にフラグ立てすることができます。 P3Pの目的はWebに対するユーザの信用と信頼を高めることです。
P3Pは、個人の情報を公表する前にプライバシーポリシーに関してユーザに通知することができるようにするための技術的なメカニズムを提供しますが、サイトがそれらのポリシーに従っていることを保証するためのメカニズムは提供しません。 P3P仕様書を実現する製品はその点では補助となるかもしれませんが、特定の実装によって変わってくるので、そのことはこの仕様書では述べていません。 P3Pは、Webサイトのポリシーの実施を促進することができる立法のプログラムおよび自己規定プログラムに対する補足となるように意図されます。 また、P3Pには個人データを転送したり、保護するためのメカニズムはありませんが、データ転送を容易にするために設計されたツールに組込むことはできます。
P3Pは World Wide Web Consortium (W3C)の活動です。 Platform for Privacy Preferences Project に関連する活動、仕様書、製品を略して”P3P”* といいます。
P3P仕様書 は現在 W3C勧告候補 です。 W3Cは、フィードバックを促進するために、2000年6月21日にパロアルト(カリフォルニア)で、2000年11月2日にニューヨークで、 相互運用イベント を組織しました。 仕様書は、これらのイベントや P3Pの公のメーリング・リスト からのコメントのフィードバックに基づいて、改訂されました。 ワーキンググループは、P3P仕様書を実装し、それらのフィードバックを行ない続けることを実装者に依頼しました。 一旦、勧告候補が終了する基準が満たされれば、ワーキンググループは 提案した勧告 としてその仕様書を2001年3月から12月の間に提出する予定です。
以下のメンバーを含むW3Cのメンバー組織がP3Pの作成に関わっています。 Akamai, America Online, AT&T, Center for Democracy and Technology, Citigroup, Crystaliz, Direct Marketing Association, Electronic Network Consortium, GMD, Hewlett Packard, IBM, IDcide, Independent Centre for Privacy Protection Schleswig-Holstein, International Security, Trust, and Privacy Alliance, Internet Alliance, Jotter Technologies Inc., Microsoft, NCR, NEC, Netscape, Nokia, Phone.com, TRUSTe. また、コンソーシアム以外にも多くの団体がP3Pに関わっています。 オンタリオの情報およびプライバシーコミッショナーのオフィスを含む、いくつかのデータコミッショナーオフィスは、P3Pプロジェクトに貢献しました。 参加者のリストはP3P仕様書の 貢献者 の章に記載しています。 さらに、多くの人たちが、 P3Pの公のメーリング・リスト にフィードバックを提供しました。
P3P仕様書はまだ完全には終了していませんが、既に多くの実装が開発中です。 これらの多くは、2000年6月21日に、ニューヨークの P3P相互運用 イベントで公的に実演されました。 サーバー側のポリシージェネレータをIBMやYOUPowered、PrivacyBot.comが、そして、クライアント側の実装をIDcideやENC(注;のちのIajapan)、GMD、YOUPoweredが紹介しました。 また、マイクロソフト社は、P3Pのサポートをインターネット・エクスプローラーの次のバージョンへ構築することを発表し、AT&Tと共同で開発したコンセプトの証明のユーザエージェント実装のデモを行いました。
P3P仕様書はすぐに勧告候補、または、提案した勧告へ移行する予定ですので、W3Cは実装を促進し続けています。 P3Pに関連した 既知の実装およびサービスのリスト はW3C Webサイトでご覧になれます。
1998年の夏に、P3Pワーキンググループは、Intermind社がP3Pと直接関係している特許請求を行ったことを知りました。 その時、Intermind社はP3Pに関連する技術の使用者に対し、同社にロイヤリティを支払うよう要求するライセンス条項を提案しました Intermind社の要求の真価は調査されましたが、その期間、P3Pに関する研究に遅れが生じました。 W3Cは、大手の特許会社にIntermind社の要求を調査するように依頼しました。 1999年10月27日に、Pennie & Edmonds法律事務所のBarry Rein 等は特許要求の 査定を発表しました。 同事務所の 調査 では、特許権侵害の危険がないとの結論が下されました。 それ以来、Intermind社(OneNameに社名変更)は、P3Pに関連する技術が特許と重複したとしても、ロイヤリティを課することはない、と述べています。 P3P仕様書ワーキンググループの議長であるLorrie Cranor宛の 手紙 で、OneNameは以下の様に書いています。
[私たちの事業計画への]変更の結果、Intermindは過去に得たかもしれない立場に関わらず、私達は、OneNameがロイヤルティを課したり、P3Pプロジェクトがこの技術の使用するのを防ぐ意図を持っていないことを保証することができます。
従って、P3Pの特許に関する争いは、現在も将来も起こることはないでしょう。
P3Pが現在の位置に達するのには非常に長い時間がかかった事は真実です。 この遅延にはいくつかの理由がありますが、主な理由は、広範囲に渡り有力な活動家に関わってもらう必要があったということです。 P3Pには最初から、社会的な目的を持った仕様書としての構想がありました。 P3Pの過程は審議し、周到なものでした。 W3CおよびP3Pワーキンググループは、積極的にすべての関係者からのコメントを求めて、率先して世界規模で連絡をとりました。 私たちは、四方で批判を見つけたり、受けたりしました。 そうすることがP3Pの成功に重要ですし、私たちはP3Pの次の段階でも同じ事をするだろうと思います。 この活動には時間と労力を有しました。
遅延のもう一つの主な原因は他の技術的な開発に依存したことでした。 P3P仕様書は適切に使用したり、RDF、XMLスキーマ、そして、その他P3Pと平行して開発されていた仕様書と共に相互作用するために改訂しなければなりませんでした。
また、P3Pにまつわるの特許の問題が起こったことで、実装者や参加者はこのプロセスに関して躊躇しました。 これらの問題は今ではなくなっています。(上記、質問5を参照して下さい)。 このこととその他の問題、そしてP3P 1.0ボキャブラリに関する交渉が終了したので、障害となるものはほとんどありません。
交渉をP3P 1.0仕様書から削除しました。 1999年10月に直接の会議の後、P3Pワーキンググループは、交渉および データ 転送があまりに複雑なので、P3Pのこのバージョンに実装できず、その基準を広範囲に導入することの妨げとなるだろうと思いました。 決定の時点では、データ転送メカニズムの実装に、業界からの関心はあまりありませんでした。 また、データ転送プロトコルを組込むことを望む事に関して意見の相違がありました。 データ転送の削除に関するDaniel LaLiberteの文も参照して下さい。
いいえ、P3Pの将来のバージョンには重要性があります。 ある方法でW3Cプライバシー内の多くの活動はプライバシーについて触れます。 例えば、 CC/PP および XML署名 などのようなイニシアチブは、将来、P3Pと密接に結びつくでしょう。
また、P3P仕様書のワーキンググループは、P3Pの最初のバージョンの実装と導入を迅速にしやすくする為に、P3P 1.0仕様書の初期のドラフトから大幅な部分を削除しました。 P3P 1.0の導入後、ワーキンググループは、その仕様書の将来のバージョンをリリースする構想を描きます。 こういった修正には、オリジナルのP3Pビジョンの一部であるが、P3P 1.0に含まれていなかった4つの主な構成要素と同様に、実装および導入の経験からのフィードバックに基づいた強化を含むことになるでしょう。その構成要素とは以下です。
XML はExtensible Markup Langaugeのことです。 XMLはWorld Wide Web中で簡単に転送できる形式で情報を符号化するための言語です。 P3Pを使用するWebサイトは、XML形式でそのサイトのプライバシーポリシーを符号化します。
RDF はResource Description Frameworkのことです。 RDFはメタデータを符号化するために使用されるXMLのアプリケーションです。 P3P仕様書の前のバージョンではプライバシーポリシー情報を符号化するためにRDFを使用しました。 しかしながら、P3P仕様書ではそういったことはしません。
APPEL (P3Pプリファレンス交換言語)はP3Pポリシーに関するプリファレンスのセットの記述のために言語を指定するW3Cのワーキングドラフトのことです。 この言語を使用して、ユーザは、プリファレンス規則のセット(規則セットという)に自分のプリファレンスを表すことができ、そのユーザのユーザエージェントがそのプリファレンス規則を使用して、P3P対応のWebサイトとのデータの交換に関する自動決定あるいは半自動決定を下すことができます。 第1に、私たちは他の団体が作成したプリファレンス規則セットをユーザがインポートできるようにする為と、複数のユーザエージェント間で自身の規則セットのファイルが転送できるようにするためにこの言語が使用されることを構想します。 私たちは、エンドユーザが規則セットを直接作成するためにAPPEL言語を学習したり、使用するといったことを考えてはいません。
HTMLページには、イメージ、音、層あるいはフレームなどのようなページに直接埋め込まれている他のリソースへのリンクが頻繁に含まれています。 従って、ユーザエージェントはページを与えるために、現在レイアウトされているページ用に、ポリシーがカバーするか、またはポリシーがカバーしない追加の要求を有効にする必要があります。 Webページが複数のプライバシーポリシーによってカバーされる場合、そのことは通常ユーザに明らかにはされませんが、ユーザエージェントは異なるポリシーがページの異なるオブジェクトを適用する際に、検知できますし、これらのポリシーの各々を取り出してレビューすることができます。
いいえ。 P3P 1.0はポリシーの交換のために正常なHTTP 1.1プロトコルを使用します。また、ポリシーとユーザプレファレンスの照合はクライアント側で起こります。 従って、P3Pは、任意のHTTPサーバーを使用するWebサイト上で有効にできます。 Webサイトは、その人間が読むことのできるプライバシーポリシーをP3P構文に翻訳し、P3Pポリシーの存在場所を識別するためにサーバーを構成することによって、そのサーバ上にP3P 1.0を実装することができます。
P3Pポリシーは3つの方法で参照できます。 サーバ管理者の多くは、Webサイトの管理を簡素化するために、 周知の存在場所 でポリシー参照ファイルを使用するだろうと予想されます。 そうするためには、ポリシー参照ファイル(p3p.xml)を/w3cというディレクトリに置く必要があります。ここでは/w3cはルートディレクトリの配下にあります。 そして、ユーザエージェントは、リソース /w3c/p3p.xmlのHTTP GET要求を使用して、このファイルを要求することができました。 または、サーバーを構成して、サイトのP3Pポリシーの存在場所を示すためにHTTP応答にP3Pヘッダーを挿入するか、あるいは、この情報をLINKタグとしてHTMLコンテンツに挿入することができます。
ほとんどの場合、ユーザがはじめてWebサイトを訪問すると、P3Pポリシーを探して、取り出すためにブラウザは要求をさらに一つか二つ作成しなければならないでしょう。 これらの要求によって多少の遅延が起こるかもしれません。 しかし、これによって引き起こされた遅延は通常Webページ内の単一のイメージを取り出すことで起こる遅延よりも少なくなるべきです。 サイトのポリシーが無効になっていない限り、P3Pによって、同じサイトへのその後の要求は通常、それ以上の遅延を引き起こすことはないでしょう。
はい、P3P対応のWebサイトは各P3Pポリシーが適用しているサイトの部分を示すためにポリシー参照ファイルを使用します。 全サイト用に1つのポリシー、あるいはサイトの異なる部分にポリシーが各々当てはまる複数のポリシーが作成することはできます。 また、多数のWebサーバーを持っている会社は、そのサーバ全部、または一部に適用する単一のP3Pポリシーを作成することもできます。
opt-inあるいはopt-outポリシーがあるWebサイトはP3Pを使用することができます。 P3Pボキャブラリを使用することによって、Webサイトは、必須であるか、またはopt-inあるいはopt-out原理だけを適用するのかということに従って、そのデータプラクティスにラベルを付けることができます。
P3Pには必須の ACCESS 要素が含まれています。このACCESS要素はWebサイトが保持している個人のデータにユーザがどのようにアクセスするかということを開示したものです。 アクセスのレベルはすべて(all)から無し(none)にまで及ぶことがあります。 P3Pはユーザのアクセスの許可をWebサイトに強いることはできませんが、(もしあれば)どのレベルまでアクセスをしたかということに関して明白に知らせる事ができますし、その方法で、より情報に基づくユーザ選択ができます。
いいえ。 初期の段階で、P3Pワーキンググループは仕様書に自動データ転送メカニズムを組込むことを考慮しましたが、その後、この提案は取りやめになりました。 (質問7 も参照して下さい。) P3Pが自動データ転送メカニズムのあるツールに組み込まれたとしても、P3Pガイドラインは、P3Pユーザエージェントを”デフォルトに構成して、ユーザの同意なしに、サービスプロバイダに個人情報を転送すべきではない。”と述べています。
P3P仕様書は、P3Pユーザエージェントのためにデフォルト設定を行いません。 しかしながら、ユーザエージェントはプライバシーに対して中立である、とか、偏りがあるといったような方法で、ユーザに構成の選択肢を提示すべきであり、ユーザの同意のなしに、個人の情報を転送するために、デフォルトに設定すべきではない、と述べています。 私たちは、ソフトウェア・メーカーによって指定された設定を使用したくない場合に、 プライバシー擁護者およびその他の人たちが、 APPEL言語を使用して、ユーザが自身のユーザエージェントに接続できる「缶詰めにした(canned)」構成ファイルを作成できるようになることを期待します。
P3Pは DISPUTES 要素内でこれを取り扱います。 この要素には、顧客サービスWebページ、または、独立した組織のURI、または、適切な法廷や準拠法に関する情報として定義された「サービス」と呼ばれる必須の属性があります。また、DISPUTES要素には短い記述や長い記述があります。サービスURIに提供されていない場合には、DISPUTES要素には適切な法的なフォーラム、準拠法あるいは第三機関の組織の名前、または、顧客サービスの連絡先情報の人間が読むことのできる記述を格納できます。
Open Profiling Standard (OPS)はNetscape やFirefly、そして、 VeriSignが協同で作成し, P3Pワーキンググループがレビューするために提出した提案のことです。 この仕様書は、ユーザープロファイル情報を交換するのための手段--ユーザの許可を得て、Webサイトが頻繁に要求したり、要請したりするデータを格納し、リリースする方法--を提案したものです。 結局、P3Pワーキンググループはデータ転送プロトコルをP3Pv1の一部として組込まないということを決定しました。 データ転送プロトコルがP3Pから削除されたので、もはやOPSはP3P仕様書に適切とはいえなくなりました。
いいえ、P3Pはクッキー・ブロッキング・ソフトウェアおよび匿名ツールに対しては補足的なものです。 実際、これらのツール・ベンダーの中には自身の製品へP3Pを構築している人もいます。 P3Pは、選択的にクッキーをブロックしたいと考えているユーザーに、各クッキーがどのように使用されるのかということをより深く学習し、特定の目的のために使用されているクッキーを自動的にブロックし、その他の目的のクッキーを受け入れる、ということをソフトウェアに指示する機会を提供できます。 匿名ツールは、ユーザが個人情報を提供する理由がないサイトにおいては便利なものですが、ユーザがトランザクションを終了するために個人情報を提供したい際にデータがどう使用されるかをユーザに知らせるのには、P3Pが便利です。 この機能はクッキー・ブロッキング・ソフトウェアあるいは匿名ツールが実行するものではありません。
いいえ、P3Pは、データの二次的使用についてユーザに知らせるようにデザインされているので、その目的で使用されるデータを提供するかどうかの選択を行なうことができます。 もちろん、P3Pはそれ自身、サイトが開示していないデータの二次的使用を行うことの防げになったりはしません。
法律は人々に権利を与えますが、個人が意味のある方法でデータプラクティスに関して必ず通知されるという事を保証するのに必要な透明性を保証はしません。 同様に、P3Pのような技術はWebサイトのプライバシープラクティスに関して学習するユーザの能力を伸ばすことができますが、こういった能力は、ある種の法的なフレームワークのない場合の制限された使用です。
P3Pの設計者は、技術対法律について話すのではなく、法律と技術について話すことを好みます。つまり、P3Pは様々な法的なフレームワークで使用できるという事を意味していますが、法的なフレームワークにとって変わるという意味ではありません。”P3Pは必要ですが、プライバシーに関しては十分な条件ではありません。しかし、規制は必要ですが、十分ではありません。両方の関係に私はよいプライバシー・フレームワークを見出だしました。”と Alexander Dix(ドイツ、ブランデンブルク州のデータコミッショナー)が、 CFP 2000 で述べたように、 ほんの最初から、P3P開発者は、自分達の仕事を様々なフレームワークの中にあるプライバシーのツールとして考えていました。
いいえ、P3Pは、規制された様々な環境でも使用できるように設計されています。 P3Pは法律にとって変わるというわけではありません。むしろ、法律と共に使用できるという意味です。 規制されていない環境では、P3Pはユーザがどの個人情報が収集されているのかを見る手助けとなります。--例えば、これは、アメリカの現状を改善するものとなるでしょう。 (ヨーロッパ諸国で見られるような)より規制された環境では、P3Pは、意味のある方法でユーザがデータプラクティスを理解するようにすることができます。
P3Pが プライバシーの保護に関するOECDのガイドライン の8つすべての法則をカバーするとは限りませんが、通知および選択(つまり仕様書の原理)に重点をおきます。 法的でかつ技術的な他のツールと連携すると、P3Pは8つのOECDの法則をすべて取り扱う手助けとなり得ます。
P3Pは、単独では法的強制力はありませんが、それを使用すれば、Webサイトが法的強制力をもつことのできるメカニズムを示すことができます。ユーザはサイトが自身のプライバシープラクティスに従っていないと思った場合、 DISPUTES-GROUP 要素を使用すれば、サイトはどの論争解決手続きに従うのかを記述することができます。 また、サイトは自分のプライバシーが侵害されたと思うユーザに利用可能な救済策について記述することもできます。
P3Pは、自己規制団体および(または)データコミッショナーの支援をすることもできます。 P3Pは、プライバシーについて話す、機械が読むことのできる方法なので、こういった団体は自動的にWebサイトのポリシーをチェックするプログラムをセット・アップすることができました。 さらに、P3Pによって、ユーザはどこにデータを残したかを追跡することができます。そのため、データの二次的な使用に関する苦情を明瞭に表現するためのよりよい基準を提供します。
ほとんどの司法権では、Webサイトのプライバシーポリシーにある虚偽の陳述は、プライバシーおよび(または)反不正行為の法律に違反することになるでしょう。
単にP3Pを使用しても、サービスを(サービスが持っているかもしれない)すべての法的な義務から免除することはありません。 その管轄の法律に準拠した方法でP3Pを使用する場合、どの管轄でも、P3Pを使用することができるかもしれません。 P3PはWebサイトのプライバシープラクティスの開示に関する情報に基づく決定を下す方法です。 情報に基づく選択はプライバシー保護の重要な構成要素です。 また、管轄の中には特定のデータ収集、アクセスおよび保持禁止または、必要条件を持っているものもあります。 あるいは、管轄には補足的施行および報告の必要条件があることがあります。 情報を求めたり、広範囲の開示を行ったりする柔軟性が、必ずしも懇請およびプライバシープラクティスがすべて許容可能であることを意味するわけではありません。正確に言うと、その柔軟性によって、P3Pを世界中の様々な法律および政策と共に使用することができます
P3Pを研究したメンバー会社の多くがアメリカをベースにしていますが、仕様書は国際的であるといえます。 例えば、P3Pボキャブラリは、アメリカ国内外の多くの人々のインプットで作成されました。P3Pボキャブラリについて研究しているワーキンググループのほぼ半分は、招聘された専門家や国際的なデータコミッショナーのオフィス(これらの多くはヨーロッパから)のスタッフでした。 また、日本からも相当なインプットがありました。
EUのように規制された環境では、ユーザがある権利を持っています。 その権利には、データがいつ収集されるかを知る権利だけでなく、インフォームド・コンセントなどの必要条件や合理的な条件のもとで、データにアクセスする権利も含まれています。 これらの権利を実行するために、情報の流れの管理を支援することができるソフトウェアを持っていれば便利です。 P3Pはオープンな標準なので、役に立ちますし、それ自体、さまざまなタイプのソフトウェアをWeb上で互いに共同作業させることができます。
P3Pのもう一つの利点は、ヨーロッパのデータコミッショナーとその他のプライバシー・グループが共にP3P対応のWebブラウザを使用して、誰もが簡単に共有し、使用できる推薦されたプライバシープラクティスを提供することができたという事です。 また、簡単で、構造化された形式でプライバシー・ステートメントを表現することによって、P3Pはデータコミッショナーを支援して、会社のプラクティスを監視する事ができると同時に、EU Data Directiveに準拠する会社を支援することもできました。
自動データ転送プロトコルがP3P仕様書の初期のドラフトで考慮されていた時、この問題は重大な関心事でした。 プライバシー擁護者の中には、データ転送およびデータ転送を自動化するためのプロトコルを記述するための標準化されたボキャブラリを作成することによって、P3Pが会社の個人データ収集をより容易にするのではないかという懸念を抱きました。 現在、P3P 1.0には自動化したデータ転送がないので、このことを心配する必要はなくなりました。
関連する問題では、Karen Coyleが、仕様書の設計についての疑問を持ち出しました。 P3Pの批評 において、Coyleは、Webサイトに関するデータスキーマが非常に乏しい反面、Webサーファーに関するデータスキーマは非常に豊富であることを示しました。 Coyleは、P3PがWebサイトに関する情報を開示するよりも、ユーザに関する情報を明らかにすることの方に傾倒しているのではないかと尋ねました。 ワーキンググループはこの問題を考慮し、データスキーマを変更しました。その結果、P3Pはステートメントを行うWebサイトを識別するために使用されます。
批評者の中には、P3Pがあまりに複雑なので、ユーザが自分のプリファレンスを構築できないのではないか、ということと、また、その複雑さのため、小規模なWebサイトがそのポリシーを書き留めることができないのではないか、ということに懸念を持ちました。 この事は、P3P導入の妨げとなるしょう。 P3P仕様書は複雑ですが、P3Pワーキンググループは広範囲のP3Pツールがまもなく利用可能になるだろうと予想しています。 そのツールには、ユーザ用にはあらかじめ構築されたファイルが、Webサイト用にはポリシージェネレータツールが含まれることになるかもしれません。 様々な国々の自己規制団体、プライバシー擁護者、およびデータコミッショナーは、ポリシーとプリファレンスの作成に関する彼らの専門知識をWebサイトへ提供することができるでしょう。 ちょうどHTMLの知識がなくても、ツールがWebページのデザインの支援をするのと同じように、P3Pに関する詳細をすべて知らなくても、ツールがプライバシーポリシーおよびプリファレンスファイルの記述を支援することを私達は期待します。
プライバシー擁護者の中には、P3Pがアメリカのプライバシーに関する立法を発展させる作用をそぐことになるのではないかと主張する人もいます。 その懸念というのは、法律制定者がP3Pをプライバシー問題の完全な解決策として目を向け、その結果、データ保護への法律上のアプローチを追求しないかもしれないということです。 しかし、P3Pワーキンググループは、常にP3PがWeb上のプライバシー問題の”特効薬”ではなく、たくさんあるツールのうちの一つであると主張してきました。 P3Pと立法が互いに排除しあう理由はないのです。
* 以前、 Platform for Privacy Preferences Project は”P3”と呼ばれていました。 商標侵害問題が起こった為、私たちは、P3PTMに変更することに決定しました。 P3Pは競合する主張がありませんし、MITは、アメリカで登録のための申請を提起しています。 私たちは、メンバーや私達のプロジェクトを引用する報道機関対し、そのプレスリリースや文献に頭文字P3Pを使用することをお勧めします。
最終改訂日$期日:2001/06/22 15:20:24$著者 :rigo$