WWWの標準技術を管理する国際機関W3C(World Wide Web Consortium)が策定した、プライバシー情報の取り扱いに関する規格。
WWWにおけるサーバー・クライアント間の個人情報交換の方法としてCookieと呼ばれるものがある。
これは現在も瀕用されているが、しかし元々これは個人情報の保存のためのものではなく、従って簡単に第三者がデータをすり替えたり改竄することができる。
そこでP3Pでは、WWWサービス提供者をIDによって厳密に特定する事で、個人情報を保護するための認証機構を強化しながら、個人情報の受け渡しを可能とした。これにより、第三者が不正に個人情報を使用するといった状況を回避することが可能とされた。
しかしP3Pは全く普及することなく、今ではすでに時代遅れとなり殆ど使われていない。のみならず、今ではセキュリティホールにまでなっている。
具体的な手順は非常にシンプルだが、初回と2回め以降では若干動作が異なる。
まず初回は、クライアント側は相手サーバーを信用していないので、個人情報提供の動作は行なわない。
そこで、サーバー側は「プロポーザル」というデータの塊と、PUID(Pairwise User ID)というWebサイトを識別するためのIDが送信されてくる。
ユーザーが個人情報の提供を許可すれば、PUIDを含む「ReturnID」をサーバー側に返す。そうするとサーバー側から個人情報要求が来るので、クライアント側はそれに従って個人情報を送信する。
2回め以降は、このWebサーバーに接続した時点で、前回アクセスした時の情報に基づきライアント側から自動的にReturnIDが送信される。
その情報を基に、サービスは以前に許可を得たユーザーであると認識して個人情報要求をクライアント側に送り、クライアント側はそれに従って個人情報を送信する。もちろん、このように個人情報を送信するためにはIE4.0以降のProfile Assistantのような、個人情報管理機能をサポートしたWebブラウザーを用いる事が前提となる。
このP3Pは、電子商取引のような用途が想定されている。
個人情報は保護しながらも、必要な情報だけは相手に提供し、もって円滑な取引を実現させることを目標としている。
P3Pは、個人情報の扱いをユーザー主導にしている点が最大の特徴であり、最大の存在価値である。
また、P3Pは原則としてサーバー側に情報を貯蓄せず、必要に応じてユーザー側に情報の提供を要求し、情報を取得する。
つまりユーザー自身はいつ自分の情報が利用されたかを明確に把握することが可能で、またサーバー側はデータベースを構築する必要がなくなりサービス運営の手間が軽減される。
但し理論上はサーバーに個人情報を蓄積することは可能で、また個人情報の提供が無ければサービスを受けられなくすることで個人情報の提供を強要する事も可能であるなど、P3P自体に全く問題が無いわけではない。
Cookieの受け入れ確認ダイアログさえ煩わしく思い、全Cookieを自動で受け入れる設定にする人も多いことなどから、P3Pにおいても同様に、折角のプライバシー保護システムも充分に生かされない可能性も指摘されている。
コメントなどを投稿するフォームは、日本語対応時のみ表示されます
通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)
コンピューターセキュリティ
