グーグルは月曜日、同社がインターネット・エクスプローラーのプライバシー保護を回避したというマイクロソフトからの非難に応えて、インターネット・エクスプローラーのP3Pとして知られるマイクロソフトのプライバシー保護機能は、クッキーベースの機能など最新のウェブ機能を提供しながら準拠するのは非現実的であると述べた。
Googleはすでに、AppleのSafariブラウザのプライバシー設定を回避してユーザーにCookieを送信したという疑惑に直面している。
「GoogleがIEのP3Pプライバシー保護機能を回避していることが分かりました」と、MicrosoftのInternet Explorer担当コーポレートバイスプレジデント、ディーン・ハチャモビッチ氏はブログ記事で述べた。GoogleがSafariでプライバシー保護を回避しているという最近の報道と結果は似ているが、実際にGoogleが使用している回避メカニズムはSafariとは異なるとハチャモビッチ氏は付け加えた。
IEは、サイトがブラウザにP3Pコンパクトポリシーステートメントを提示し、Cookieの使用方法を説明し、ユーザーを追跡しないことを誓約しない限り、デフォルトでサードパーティCookieをブロックします。サードパーティCookieとは、ユーザーのブラウザアドレスバーに表示されているドメイン以外のドメインによってドロップされるCookieのことです。
Googleが送信するP3Pポリシーは、ブラウザにGoogleによるCookieやユーザー情報の利用について通知しておらず、実際にはP3Pポリシーではないことを示すテキストメッセージだとハチャモビッチ氏は述べた。同社はP3P仕様の技術的なニュアンスを利用している。プライバシーポリシーの将来的な進化に備え、P3P仕様ではブラウザは未定義のポリシーに遭遇した場合、それを無視すべきだと規定しているのだ、と同氏は述べた。「P3P対応ブラウザは、Googleのポリシーを、Cookieが追跡目的やその他の目的に使用されないことを示すものと解釈します」とハチャモビッチ氏は述べた。
グーグルのコミュニケーション・ポリシー担当上級副社長レイチェル・ウェットストーン氏は電子メールによる声明で、マイクロソフトのポリシーは「広範囲にわたって機能していない」と反論した。
Googleによると、IEにおけるMicrosoftの実装では、Cookieベースの新しい機能が動作しないという。これには、Facebookの「いいね!」ボタン、Googleアカウントを使ったウェブサイトへのサインイン機能、その他数百もの最新ウェブサービスが含まれる。こうしたウェブ機能を提供しながらMicrosoftの要求に従うのは非現実的であることは周知の事実だとGoogleは付け加えた。
Google は P3P に関する自社のアプローチについてオープンにしてきたと述べており、Facebook を含む他の Web サイトも同様だ。
Googleはサポートサイトで、ユーザーのGoogleアカウントのセキュリティ保護と認証、そして設定の保存に利用するCookieは、ユーザーが訪問しているウェブサイトとは異なるドメインから提供される場合があると説明している。「P3Pプロトコルはこのような状況を想定して設計されたものではありません。そのため、これらのCookieに関連するプライバシー保護の取り組みについて詳細を確認できるページへユーザーを誘導するリンクをCookieに挿入しました」と付け加えている。
ウェットストーン氏はまた、Facebookのウェブサイトに掲載された声明にも言及し、P3P標準は現在では時代遅れであり、ウェブ上で現在使用されている技術を反映していないため、ほとんどのウェブサイトがP3Pポリシーを採用していないと述べている。さらに、「P3Pを策定した組織であるワールド・ワイド・ウェブ・コンソーシアムは、最近のウェブブラウザのほとんどがP3Pを完全にサポートしていないため、数年前にこの標準に関する作業を中断しました」と付け加えている。
Facebookのソーシャルプラグインは、追加のCookieを設定することなく、ユーザーに他のウェブサイトでのソーシャル体験を提供することでプライバシーを保護するように構築・設計されていると、同社は声明で述べている。「したがって、当社のP3Pポリシーは、追加のCookieを設定したり、ユーザーを追跡したりすることを可能にすることを意図したものではありません」と付け加えた。
カーネギーメロン大学のコンピュータサイエンスおよび工学・公共政策准教授であるロリー・フェイス・クレイナー氏は先週のブログ投稿で、企業がInternet ExplorerのCookieブロックを回避するために無効なCP(コンパクトポリシー)を使用していることがあると述べました。CPには、Cookieのプライバシーポリシーを要約したコードが含まれています。カーネギーメロン大学の研究者による2010年の研究では、33,139のウェブサイトからCPを収集し、そのうち11,176のウェブサイトでエラーが検出されました。これにはFacebookやMicrosoftのウェブサイトも含まれています。
Facebookは、何年も前に開発されたP3Pは、現代のソーシャルネットワーキングサービスやプラットフォームの運用を記述するのに効果的ではないと述べた。Facebookは、代わりにP3P仕様のポリシーに関するセクション3.2に準拠した自社の運用を説明した公開通知を掲載したと述べた。
P3P 1.0 仕様のセクションでは、P3P 語彙が Web サイトのプラクティスを説明するのに十分正確でない場合、サイトはプラクティスに最も近い語彙用語を使用し、人間が判読できる結果フィールドまたはポリシーでさらに説明を提供する必要があると規定されています。
Googleは先週、Safariユーザーのプライバシー侵害疑惑に関する報告を受け、意図的にトラッキングCookieをインストールしたわけではないと述べた。ウェットストーン氏は先週の声明で、「Googleにログインしたユーザーが有効にした機能を提供するために、Safariの既知の機能を利用した」と述べた。「これらの広告Cookieは個人情報を収集するものではないことを強調しておくことが重要です」
米下院議員3人は、グーグルによるサファリユーザーのプライバシー侵害疑惑が、同社が昨年FTCと交わした同意協定に違反しているかどうか、連邦取引委員会(FTC)に調査を要請した。
[シアトルのナンシー・ゴーリングがこのレポートに貢献しました。]
ジョン・リベイロは、IDGニュースサービスでインドのアウトソーシングとテクノロジー全般の最新ニュースを担当しています。Twitterで@Johnribeiroをフォローしてください。メールアドレスは[email protected]です。
