Web サイトに P3P プライバシー ポリシーを導入する方法

Microsoft Corporation

この概要では、 まず Web サイトの自然言語によるプライバシー ポリシーを説明し、 それを Web サイト上に Platform for Privacy Preferences (P3P) プライバシー機能として導入する手順を説明しています。 この例は非常に簡単であり、導入手順を説明しているに過ぎません。 P3P プライバシー ポリシーの内容、用語、および構造と、別の導入のオプションについては、 Platform for Privacy Preferences (P3P) 仕様  を参照してください。

• P3P を導入する手順
• 関連情報

P3P を導入する手順

自然言語のプライバシー ポリシーを完全形 P3P プライバシー ポリシーに変換する

上の図は Web サイトに P3P を導入するときのイベントの流れを示しています。 最初の手順は、 MicrosoftR Internet Explorer 6 のようなユーザー エージェントで読み取れる XML (Extensible Markup Language) を使用して、 自然言語のプライバシー ポリシーを完全形 P3P プライバシー ポリシーに変換することです。 XML スキーマは W3C (World Wide Web Consortium) の一部である P3P プロジェクトで定義されています。 Microsoft Privacy Statement Wizard などの完全形 P3P プライバシー ポリシーの作成を補助する有効なツールがあります。

以下の例は自然言語での簡単なポリシーを示しています。

Blue Yonder Airlines では、お客様のプライバシーに細心の注意を払っています。
弊社のサイトをブラウズすると、Web サイトの効果と作用に関する情報を収集します。
収集する情報には、Web ページにアクセスした回数、ご使用のブラウザ、
Web サイトへの移動経路などがあります。この情報は毎年削除します。

また弊社では、郵便番号も収集しており、その入力を問い合わせることがあります。
この情報を、お客様の承諾の下、弊社の Web サイトのすべての訪問者から収集した情報と共に集計し、
市場分析に使用します。この情報を第三者に提供する場合があります。
ブラウザのプライバシー設定で Cookie を許可している場合は、郵便番号の問い合わせを受けた後、
再度と合わせを受けることはありません。

Blue Yonder Airlines では、Cookie (コンピュータ上の小さなファイル) を使用して、
郵便番号を入力したか、入力を拒否したかを保存しています。
弊社のサイトへの初回の訪問時だけに問い合わせを表示するために、
弊社のサイトにご訪問頂くたびにこの情報にアクセスしています。

以下の XML の構文は、 上記の自然言語のポリシーから派生した対応する完全形 P3P プライバシー ポリシーを示しています。

<POLICY xmlns="http://www.w3.org/2000/12/p3pv1"
    discuri="http://www.blueyonderairlines.com/ourprivacypolicy.html"  
    opturi="http://www.blueyonderairlines.com/optin.html">
 <ENTITY>
  <DATA-GROUP>
   <DATA ref="#business.name">Blue Yonder Airlines</DATA>
   <DATA ref="#business.contact-info.postal.street">3456 Main St.</DATA>
   <DATA ref="#business.contact-info.postal.city">Tampa</DATA>
   <DATA ref="#business.contact-info.postal.stateprov">Fl</DATA>
   <DATA ref="#business.contact-info.postal.postalcode">77062</DATA>
   <DATA ref="#business.contact-info.postal.country">USA</DATA>
   <DATA ref="#business.contact-info.online.email">molly@blueyonderairlines.com</DATA>
   <DATA ref="#business.contact-info.telecom.telephone.intcode">1</DATA>
   <DATA ref="#business.contact-info.telecom.telephone.loccode">800</DATA>
   <DATA ref="#business.contact-info.telecom.telephone.number">5550158</DATA>
  </DATA-GROUP>
 </ENTITY>
 <ACCESS><nonident/></ACCESS>
<STATEMENT>
  <PURPOSE><admin/><develop/></PURPOSE>
  <RECIPIENT><ours/></RECIPIENT>
  <RETENTION><stated-purpose/></RETENTION>
  <DATA-GROUP>
    <DATA ref="#dynamic.clickstream.server"/>
    <DATA ref="#dynamic.http.useragent"/>
  </DATA-GROUP>
</STATEMENT>
<STATEMENT>
  <PURPOSE><pseudo-analysis required="opt-in"/></PURPOSE>
  <RECIPIENT><other-recipient/></RECIPIENT>
  <RETENTION><indefinitely/></RETENTION>
  <DATA-GROUP>
    <DATA ref="#user.home-info.postal.postalcode">
      <CATEGORIES><demographic/></CATEGORIES>
    </DATA>
  </DATA-GROUP>
</STATEMENT>
</POLICY>

完全形 P3P プライバシー ポリシーから Cookie 用のコンパクト ポリシーを作成する

完全形 P3P ポリシーを記述した後は、コンパクト ポリシーを作成できます。 コンパクト ポリシーは、 完全形 P3P プライバシー ポリシーの内容を表すコンパクト トークンを集約して作成されます。 コンパクト ポリシーは、 Cookie を使用する Web サービスがプライバシーの実施方法を示すために使用されます。 次の例は、 上記の例の完全形 P3P プライバシー ポリシーから作成したコンパクト ポリシーを示しています。

"NOI ADM DEV PSAi COM NAV OUR OTR STP IND DEM"

3 文字のコンパクト ポリシーのトークンは、 完全形 P3P ポリシーの要素の値にマップされます。 たとえば、 上記の完全形 P3P ポリシーの ACCESS 要素の値 <nonident/> と、 CATEGORIES 要素の値 <demographic/> は、 コンパクト ポリシーではトークン NOI と DEM で表されます。 P3P Base Data Scheme (詳細については、 P3P 仕様  を参照してください) で定義されている DATA 要素は、 コンパクト トークンがコンパクト ポリシーで使用される対応する CATEGORIES を持っています。 たとえば、DATA 要素の値 <DATA ref="#dynamic.http.useragent"/> は、 対応するコンパクト トークンとして COM を持つ P3P CATEGORIES 要素の <computer/> にマップされます。 これらの代表的な CATEGORIES は完全形 P3P ポリシーには含まれないことがありますが、 コンパクト ポリシーではこれらが必要です。 ポリシーの内容がどのようにコンパクト ポリシーに組み込まれるかの詳細については、 P3P 仕様  を参照してください。

Web サイトに P3P を導入する

完全形 P3P ポリシーとコンパクト ポリシーを定義した後は、 それらを以下の方法で Web サイトに導入できます。

ポリシー参照ファイル

ポリシー参照ファイルは、Web サービスのプライバシー ポリシー、Web ページ、 プライバシー ポリシーが適用される対応するすべての Cookie の場所を定義する XML ファイルです。 このファイルは、 P3P 仕様  で "well-known location" として参照されている /w3c/p3p.xml にあります。 また、ポリシー参照ファイルの URL を P3P HTTP ヘッダーまたは Web ページの LINK タグの中に含めることもできます。 次の例は、 Web サイトの Cookie を処理する 1 つのプライバシー ポリシー を指すポリシー参照ファイルを示しています。

<META xmlns="http://www.w3.org/2000/12/p3pv1">
 <POLICY-REFERENCES>
    <POLICY-REF about="Full_P3P_Policy.xml">
       <INCLUDE>\*</INCLUDE>
       <COOKIE-INCLUDE>* * *</COOKIE-INCLUDE>
    </POLICY-REF>
 </POLICY-REFERENCES>
</META>

コンパクト ポリシーと HTTP ヘッダー

コンパクト ポリシーは Cookie 操作に関連する HTTP ヘッダーに追加されます。 Internet Explorer 6 はこれらコンパクト ポリシーを使用して、 ユーザーのプライバシー設定に基づいて Cookie をフィルタ選択します。 次の例は上記のコンパクト ポリシーの例を使用する P3P ヘッダーの構文を示しています。 Internet Explorer 6 が Cookie のブロックまたは許可する方法の詳細については、 Internet Explorer 6 のプライバシー機能を参照してください。

P3P: CP="NOI ADM DEV PSAi COM NAV OUR OTR STP IND DEM"

導入のまとめ

以下のリストは導入の共通手順をまとめたものです。

• ポリシー参照ファイルに p3p.xml という名前を付け、 /w3c/p3p.xml でそれを導入します。
• 同じディレクトリ、たとえば、/w3c/full_p3p_policy.xml に完全形 P3P ポリシー ファイルを導入します。
• HTTP ヘッダーのすべての Cookie に対してコンパクト ポリシーを設定します。

関連情報

• W3C: Platform for Privacy Preferences (P3P) Project 
• Platform for Privacy Preferences (P3P) 仕様 
• Make your Web site P3P Compliant(W3C) 
• Microsoft Privacy Statement Wizard
• Resources for Creating P3P Based Privacy Statements (マルチメディア プレゼンテーション)
• Internet Explorer 6 Privacy Features (マルチメディア プレゼンテーション)
• Internet Explorer 6 のプライバシー機能