サードパーティのページタグ付けに関する P3P の考慮事項

サードパーティのタグ付けとP3Pを使用したCookieのブロックの防止に関する概念情報です。

サードパーティのページタグ付けについて

ほとんどの実装では、Adobeの永続的なcookieはファーストパーティcookieと見なされます。 ファーストパーティCookieは、ホストドメインに関連付けられたCookieとして定義されます。

ユーザーがhttp://www.example.com/を訪問するとします。 SensorがドメインをホストするWebサーバーにインストールされ、動作していると仮定すると、Adobeの永続的なCookieが設定され、ファーストパーティCookieと見なされます。 ただし、ページや広告プログラムをホストするサードパーティサーバーではなくSensorを実行しているサーバーからリクエストおよび読み込む埋め込みオブジェクトを使用して、サードパーティサイトから測定データを収集する場合があります。 例えば、 http://www.example2.com/は、http://www.example.com/から提供される埋め込みオブジェクトリクエストと共にWebページを提供します。 http://www.example.com/から埋め込みオブジェクトを要求すると、Cookieが設定されます。ただし、このコンテキストでは、webブラウザーまたはユーザーエージェントはcookieをサードパーティcookieとして表示します。

MicrosoftのIE6などの新しいWebブラウザーでは、プライバシー機能により、WebサーバーからHTTP応答ヘッダーに送信されたコンパクトポリシーに基づいてCookieがフィルタリングされます。 ほとんどのユーザーが変更しないデフォルトのIE6設定では、コンパクトポリシーが存在しないか不十分な場合に、サードパーティCookieがブロックされます。 cookieのブロックに関する問題が発生しているサイトのほとんどには、HTTP応答ヘッダーに適切なコンパクトポリシーが送信されていないサードパーティcookieがサイトに存在します。 さらに、あるサイトが別のサイトでフレーム化される場合に、Cookieをブロックする問題が発生する場合もあります。 例えば、オンラインショッピングポータルの一部であるオンラインストアは、ポータルが提供するフレームに表示される場合があります。 ブラウザーの観点から見ると、ストアコンテンツは、ポータルで囲まれると、サードパーティコンテンツのように見える場合があります。 ただし、訪問者がポータルを経由せずに直接オンラインストアにアクセスした場合、コンテンツはファーストパーティコンテンツになります。 したがって、オンラインストアは、訪問者がポータルを介して入って来た場合にのみCookieをブロックすることを検出します。

Webベースのメールシステムは、同様の問題を引き起こします。 Webベースのメールシステムを使用している友達にWebサイトの訪問者がWebページを電子メールで送信する場合、電子メールメッセージは電子メールシステムでフレーム化されているので、友達のブラウザーにサードパーティコンテンツとして表示されます。 電子メールで送信されたページに関連付けられたCookieがある場合、IE6はサードパーティCookieとして扱われます。

P3Pを使用したCookieのブロックの防止

P3Pは、Webサイトがプライバシーポリシーをコンピュータで読み取り可能なXML形式でエンコードする標準的な方法を提供します。 P3P対応のWebブラウザーおよびその他のP3Pユーザーエージェントは、P3Pプライバシーポリシーを自動的に取得し、解析し、ユーザーのプライバシー設定と比較します。

IE6がサイト上のCookieをブロックしないようにするには、次の点を確認する必要があります。

  1. サードパーティコンテキストで設定されるすべてのCookieには、P3Pコンパクトポリシーが関連付けられています。
  2. 適切なコンパクトポリシーは、カスタムHTTP応答ヘッダーを使用して送信されます。
  3. IE6では、これらのコンパクトな政策は満足できると考えられています。
  4. サードパーティCookieが別の会社によって設定されている場合は、P3Pを有効にしてP3Pのコンパクトポリシーを設定するように依頼する必要が生じる場合があります。 また、P3Pコンパクトポリシーを設定するホストには、対応するフルP3Pポリシーも必要です。 ユーザーは、他の条件でCookieがブロックされるようにIE6設定を変更することもできます。ただし、サードパーティcookieに十分なコンパクトポリシーを設定すると、ほとんどのIE6 cookieのブロックが防止されます。

次に、このようなP3Pヘッダーの例を示します。

P3P: policyref=” http://www.myserver.com/w3c/p3p.xml”, CP=”NOI DSP COR PSA PSD OUR IND COM NAV”

この例では、p3p.xmlファイルを使用して、Webサイトで収集する情報の種類、組織が準拠する紛争解決方法、収集したデータの使用方法、データの所有者、インターネットプライバシーに関するその他の標準的な情報を示すpolicy.xmlファイルを参照します。 「CP」に続く3文字のコードは、policy.xmlファイル内で記述されている内容をエミュレートするコンパクトポリシーコードです。

すべてのコンパクトポリシーとポリシーXMLファイルは、デプロイ先の各組織に合わせてカスタマイズし、Webサイトのデータ収集に関する内部プライバシーポリシーを正確に指定する必要があります。 多数のP3Pポリシーエディターは、Webサイト内で適切なプライバシーポリシーを実装する際の詳細情報と共に、オンラインで見つけることができます。

Internet Explorer 6でのP3Pヘッダーの処理方法の詳細については、次を参照してください。

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnpriv/html/ie6privacyfeature.asp

このページ