マイクロソフトは本日、Internet Explorer 9に新たなセキュリティコントロール機能を追加しました。これにより、ユーザーはサイトによるトラッキングを制限できるようになります。ブラウザ内からトラッキングデータへのアクセスを制御できる機能は歓迎すべき追加機能ですが、この機能は必ずしも万全ではありません。
今月初め、米国連邦取引委員会(FTC)は、オンライン消費者のプライバシーの現状に関する厳しい報告書を発表し、ウェブサーフィンにおける「Do Not Call」リストに相当するものの導入を呼びかけました。政府の政策としての「Do Not Track」はまだ初期段階ですが、IE9のプライバシー機能により、ユーザーはウェブ閲覧履歴などの個人データにアクセスできるサイトを同様に制御できます。
MicrosoftのIEBlogの投稿では、「今日、消費者はブラウザのアドレスバーに表示されるウェブサイトよりも多くのウェブサイトと情報を共有しています。これはWebの設計とWebの仕組みに内在するものであり、意図しない結果をもたらす可能性があります。消費者が1つのサイトを訪問すると、他の多くのサイトがその行動に関する情報を受け取ります」と説明されており、「ブラウザが他のWebサイトを呼び出して何か(画像、Cookie、HTML、実行可能なスクリプトなど)を要求する場合、ブラウザは情報を取得するために明示的に情報を提供します。これらのサイトへのデータ要求を制限することで、これらのサイトが収集および追跡に利用できるデータを制限することができます」と付け加えています。
簡単に言えば、IE9の「Do Not Track」機能は、本質的にはInternet Explorer 8に既に存在するセキュリティ制御の進化版です。このプライバシー制御により、ユーザーはドメイン名のトラッキング防止リスト(TPL)を作成できます。これらのリストは、ブラウザのアドレスバーに直接クリックまたは入力した場合にのみアクセスされます。ただし、TPLに登録されたドメインは、第三者として別のサイトに明示的にアクセスした際に、情報を密かに受け取ることはできません。
Microsoft Advertising Blog では、IE9 のセキュリティ制御における重要な制限事項について説明しています。「IE9 のプライバシー設定は、IE8 と同様にデフォルトで有効にはなりませんが、ユーザーは情報を共有したいサイトと情報を共有したくないサイトのリストを作成できます。この設定は情報の管理について何らかの立場を取るものではなく、消費者が選択を行うためのより優れたプラットフォームを提供するものです。」
表面的には、それは問題ないように聞こえます。ユーザーは、Microsoftやその他のサードパーティが代わりに決定し、どのサイトがプライバシーデータを受け取れるか、受け取れないかを決めるのではなく、いつどのように情報を共有するかを自分で選択できるのです。問題は、大多数のユーザーが、プライバシーに関する知識、技術スキル、そしてこれらのリストを適切に設定・維持するための時間と労力を費やすだけの意欲を欠いていることです。
Microsoftのアプローチが間違っていると言っているのではなく、それが万能薬ではないと言っているだけです。残念ながら、一般ユーザーにとってセキュリティの分野で万能薬となるものはほとんどありません。企業や消費者は、セキュリティとプライバシーの多くは主観的なものであり、セキュリティ対策の導入と維持は第三者が主導できない、やや複雑なプロセスであることを理解する必要があります。
許可されていないサイトによるトラッキング行為をブロックするためのMicrosoftのTPLアプローチは、他のソリューションと比べても遜色ありません。ただし、TPLを理解して設定するための初期費用と、許可されたサイトへのアクセス管理や、新たな違反サイトをTPLに追加するための継続的な管理作業が必要です。
Microsoft は、FTC やその他の組織と継続的に協力してユーザーを保護するポリシーと制御を開発していること、およびユーザーが自分の個人情報をある程度制御できるようにするプライバシー機能を IE9 に積極的に導入していることの両方で賞賛されるべきです。
