Google がユーザーのプライバシー設定を無視

  • Article

Google が Safari でユーザーのプライバシー設定を迂回していたという話を聞いたとき、IE チームでは素朴な疑問を互いに問いかけました。つまり、Google は Internet Explorer ユーザーのプライバシー設定も迂回しているのでしょうか。私たちが確認した答えは Yes です。Google は、同様の方法によって IE の既定のプライバシー保護を迂回し、クッキーを使って IE ユーザーを追跡しています。この記事では、私たちが突き止めた状況についてより詳しく説明すると共に、IE ユーザーが Google からプライバシーを守る推奨策として、IE9 の追跡防止機能を使用する方法をご紹介します。私たちは Google にも連絡し、すべてのブラウザーのユーザーに対して、P3P のプライバシー設定を尊重することを約束するように要請しました。

私たちが確認したところによれば、Google は IE の P3P プライバシー保護機能を無視しています。この結果自体は、Google が Apple の Safari Web ブラウザーのプライバシー保護を迂回していたという最近の報告と似ていますが、Google が使用した実際の迂回メカニズムは異なっています。

Internet Explorer 9 には追跡防止と呼ばれる追加のプライバシー機能があり、これを使用すれば、現在のような迂回は許されなくなります。P3P プライバシー保護を無視する Google の動作から身を守りたいユーザーの皆さんには、Internet Explorer 9 を使い、ここをクリックして追跡防止リストを追加することをお勧めします。その他のリストと追加情報については、このページ (英語) をご覧ください。

背景: Google が Apple のプライバシー設定を迂回

Wall Street Journal (英語) の最近のトップ記事で、Google が「Apple 製ブラウザーのプライバシーの保護に関する設定を無視していた」ことが報じられました。ビジネス関連のニュースと分析を提供するサイト Business Insider (英語) の編集者および CEO は、この状況を次のようにまとめています。

Google は、競争相手である Apple が確立した既定のプライバシー設定を迂回する手段を密かに開発し、その回避策を使用して Safari ユーザーに広告追跡クッキーを仕込みました。これはまさに、Apple が防止しようとしていた種類の動作そのものです。

サード パーティ クッキーは、人々がオンラインで何をしているかを追跡するために使われる共通のメカニズムです。Safari では、この方法でユーザーが追跡されるのを防ぐため、既定のユーザー設定でサード パーティ クッキーをブロックしています。以下に Business Insider による見解の要点をご紹介します。

サード パーティがユーザーの許可なくコンピューターにクッキーを保存することは、Safari が許していない動作です。このような広告追跡クッキーによってプライバシーが侵害されていると感じ、不快を表すインターネット ユーザーは多数に上ります。したがって、Apple が既定でこれらをブロックする決定を下したのは無理もないことです。

しかしこれらの既定の設定は、Google にとって、少なくとも広告ビジネスの目標を達成するうえで問題になりました。

Google は、サード パーティ クッキーをファースト パーティ クッキーだと Safari に信じ込ませる副作用のあるアプローチをとったものと思われます。

IE への影響

IE では、サイトから P3P コンパクト ポリシー ステートメント (英語) が提示され、サイトでのクッキーの用途と、その用途にユーザーの追跡が含まれていないことが示されない限り、サード パーティのクッキーは既定でブロックされます。しかし Google の P3P ポリシーは、Google の意図を伝えていないにもかかわらず、Internet Explorer に Google のクッキーを受け入れさせてしまいます。

P3P はすべてのブラウザーとサイトでサポートできる Web テクノロジであり、W3C Web 標準化団体によって正式に推奨されています。サイトは P3P を使用して、そのサイトがクッキーとユーザー情報をどのように使用するかを記述します。P3P をサポートするブラウザーでは、サイトから通知された用途に関してユーザーのプライバシー設定を尊重し、クッキーをブロックしたり受け入れたりできます。

ここで、ユーザーは簡単には P3P ポリシーにアクセスできない点に注意が必要です。Web サイトは、HTTP ヘッダーを使用してこれらのポリシーを直接 Web ブラウザーに送信します。P3P の記述を確認できるのは、技術的な知識を持ち、Fiddler ツール (英語) の Cookie Inspector のような特殊なツールを使用しているユーザーだけです。たとえば、Microsoft.com からの P3P コンパクト ポリシー (CP) ステートメントは次のようになっています。

P3P:CP="ALL IND DSP COR ADM CONo CUR CUSo IVAo IVDo PSA PSD TAI TELo OUR SAMo CNT COM INT NAV ONL PHY PRE PUR UNI"

各トークン (ALL、IND など) は、P3P に準拠する Web ブラウザーにとって特定の意味を持っています。たとえば "SAMo" は、「当サイトは、当サイトのプラクティスに従って法人組織と情報を共有する」ことを示します。"TAI" は、「情報はサイトのコンテンツやデザインをカスタマイズまたは変更するために使われることがあるが、1 回の訪問に限って使用され、その後のいかなるカスタマイズにも使われることはない」ことを示します。プライバシーの詳細は複雑なため、P3P 標準もまた複雑になっています。P3P の詳細については、こちら (英語) をお読みください。

技術面から説明すると、Google は P3P 仕様のニュアンスを利用して、クッキーに関するユーザー設定を無視する結果を導き出しています。P3P 仕様には、ブラウザーは未定義のポリシーをすべて無視するべきだと記述されています (これは、プライバシー ポリシーに関して将来的な拡張の余地を残そうとしたものです)。Google は P3P ポリシーを送信しますが、そのポリシーは Google によるクッキーとユーザー情報の用途をブラウザーに通知するものではありません。Google の P3P ポリシーは、実際には P3P ポリシーではないステートメントです。P3P ポリシーはブラウザーが "読む" ように設計されているにもかかわらず、Google の P3P ポリシーは人が読むことを前提としています。 

P3P:CP="This is not a P3P policy! See http://www.google.com/support/accounts/bin/answer.py?hl=en\&answer=151657 for more info."

P3P に準拠するブラウザーは、この Google のポリシーを、クッキーが追跡目的に使われない (またはどのような目的にも使われない) ことを示すものとして解釈します。このテキストを送信することで、Google はクッキー保護を回避し、自身のサード パーティ クッキーがブロックされずに受け入れられるようにしているのです。未知のトークンを処理する際の IE の動作は、P3P 仕様の「4.2 Compact Policy Vocabulary (コンパクト ポリシーのボキャブラリ)」(英語) にある「認識できないトークンがコンパクト ポリシーに含まれている場合、そのコンパクト ポリシーは、そのトークンが存在しない場合と同じセマンティクスを持つ」という定義に従って実装されています。

同様に、P3P 仕様 (英語) の「3.2 Policies (ポリシー)」セクションも注目に値します。

3.2 ポリシー

P3P のボキャブラリが Web サイトのプラクティスを記述できるほど正確ではない場合、サイトではそのプラクティスに最も近いボキャブラリ用語を使用し、より詳細な説明を CONSEQUENCE フィールドに含めるか、人が判読できる形のポリシーを提供するか、その両方に対応すべきである。ただしポリシーは、誤ったステートメントや誤解を招くステートメントにしてはならない。

P3P は、プライバシーに関する意図を正しく伝達するサイトをサポートするように設計されています。Google による P3P の使い方では、Google の意図がテクノロジに沿った形で伝達されません。 

上記の問題に加えて、クッキーを使用しない新しいユーザーの追跡メカニズムの開発が現在進行中であることから、私たちは新しい追跡防止テクノロジに目を向けています。

次のステップ

Google から IE に送信された情報を調査した結果、ここまで説明してきたような状況が確認されました。私たちは、Google が現状を変えない場合の保護策として、IE9 ユーザーの皆さんが追加できる追跡防止リストを公開しました。このリストをブラウザーに追加するには、ここをクリックしてください。その他のリストと追加情報については、このページ (英語) をご覧ください。

IE9 の追跡防止機能は、ユーザーが何も追跡サーバーに送信しなければ、追跡サーバーがクッキーやその他のメカニズムを使う機会もないという前提に立っています。この根拠に基づいて、追跡防止機能ではネットワーク要求を完全にブロックします。この新しい技術アプローチについては、現在、W3C で標準化のプロセスが進められています。

このブログ記事 (英語) には IE のクッキー制御に関する追加情報があり、特定のサイト (たとえば *.google.com) からのクッキーを、ファースト パーティかサード パーティかを問わずにすべてブロックする方法が紹介されています。この方法でクッキーをブロックすれば、Google が使っている方法の影響を受けることはないでしょう。まだ IE9 を使っていないユーザーの皆さんには、この記事に説明されている手順をお勧めします。

現実に行われている動作を考えて、私たちは、製品にどのような変更を追加できるかを調査しています。P3P 仕様には、ブラウザーは未知のトークンを無視するべきだと記述されています。元の仕様策定にかかわったプライバシー擁護者は最近、IE では仕様を無視し、認識できないトークンを含むクッキーをブロックするべきだという提案を示しました。私たちは、この方針を前向きに検討しています。

- Internet Explorer 担当コーポレート バイス プレジデント Dean Hachamovitch