「Cookie インベントリー」レポート
このレポートは、Web サイトで見つかった個々の Cookie の内容とセキュリティーに関する情報を提供します。情報には、Cookie が設定されているページ一覧、Cookie を設定している特定のページ・コンポーネント、Cookie が第三者のものであるかどうか、データが返されるドメイン、Cookie でのセキュリティーのレベル、Cookie にコンパクト・ポリシーが含まれるかどうか、などがあります。このレポートの情報によって、Cookie の用途がプライバシー・ポリシーと一致しているかどうか評価することができます。
問題点
セッション Cookie は Web サイトの訪問者がサイトを離れたあと、または少ししてから有効期限が切れます。これは、プライバシーまたはセキュリティーの問題であるとは一般的に考えられません。永続的な Cookie は、コンピューターのハード・ディスクに指定された期間存在することが可能で、サイトの訪問者のブラウズ状況の追跡と、参照したページの追跡に使用されるため、セキュリティー上の関心が向けられます。
Cookie は Web サイトの詳細な個人情報設定を指定するデジタル ID で、Web サーバーにより設置されます。インターネット・ユーザーのナビゲーション・パターンとユーザーがアクセスする Web サイトを、Cookie を使用してトラッキングする方法は、非常に多く公表されているオンライン・プライバシー違反の中でも最も一般的です。この行動の情報を取得することは、個人の身元につながり得る場合、非常に機密性が高いとみなされます。
プライバシーの専門家を目指すうえでの課題は、オンラインでのサイト訪問者を追跡するために使用されている仕組みが適切であり、公開済みプライバシー・ポリシーで的確に記述されているかどうか判断するために、これらの仕組みをすべて識別しなければならないということです。この課題は、こうした仕組みがユーザーに見えないところで行われていることが多く、Web ページのソース・コードの中に埋もれているという事実により理解しにくくなっています。
Cookie の過剰使用や無断使用 (特に第三者による) は、不正なデータ収集方法と見なされ、ユーザーが Web サイトから離れる原因にもなりかねません。ほとんどの Web ブラウザーは、Web サイトのブラウズで Cookie を受け取ったときに検出して警告を出すように設定することができます。広く承認されている業界標準では、企業が Cookie の用途、特に、第三者の広告サーバーによるオンライン・プロファイルの方法を開示し、第三者の Cookie の受け入れをオプトアウトする機能をユーザーに提供することを推奨しています。オンラインの利用者が Cookie を理解して、Cookie の使用に関連して企業の方式を把握していると、この利用者はさらに積極的に Web サイトを利用することがと考えられます。
欧州加盟国における電子通信に関する指令の実装を前提として、多国籍企業が Cookie を越えてコントロールする必要性が最近増大しています。現在、加盟国では、Cookie の使用時期と方法について、的確な通知を提供する必要があり、Cookie を使用した情報の収集をコントロールするサイト訪問者の能力に関する情報を提供する必要もあります。
Cookie における修復とベスト・プラクティス
- ユーザー・エクスペリエンスによる利益とビジネス上の価値が得られる 場面でのみ Cookie を使用します。
- 第三者が入念に調査され、契約上の保護項目が適切に作成され、ユーザー開示が 提供されている場面でのみ第三者 Cookie を使用します。
- Cookie は Web ブラウザーと Web サーバーの間で平文で渡される場合がほとんどであるため、Cookie にはどの個人情報も収集してはなりません。
- プライバシー・ポリシーが Web サイトの Cookie 方式を正確に記述していて、Cookie を設定しているすべてのページにおいて、このポリシーが有効であることを確認します。
- 名前、年齢、給与、クレジット・カード番号、SSN、医療情報 (イントラネット・サイト) などの機密の個人情報の集合について、さらに高度なセキュリティー保護を実施します。
- 個人情報の収集時にオプションに何があるかを明確にします。
- 永続 Cookie ではなくセッション Cookie を使用します。
- 永続 Cookie を使用しなければならない場合は、Cookie には必須情報のみが 含まれており、誤用のリスクを最小限に抑えなければなりません。
- サイトの訪問者情報を収集するために Cookie をどのように使用するかについて 開示する P3P 圧縮ポリシーを作成します。
- Web サイトに含まれる可能性がある第三者の Cookie をチェックし、評価します。
P3P 圧縮ポリシーにおける修復とベスト・プラクティス
P3P を実施するかどうか決定する前に、次の項目を実行してください。
- 正しいグループを形成します。リーガル、テクニカル、およびビジネス上の関心が的確に表されている必要があります。
- 外部の認識を考慮します。Web サイトのユーザーの半数より多くが既に IE 6.0 を使用していると思われます。このユーザーが新規プライバシー・フィーチャーにさらに習熟し、P3P を実装している Web サイトを見つけると、Web サイトがまだ P3P を実装していない場合に、ユーザーはこのサイトはプライバシーに対する配慮が低いと見なすでしょうか。
- 影響分析を実行します。Web サイトの運営者は、P3P ポリシーの欠如により、動作しないショッピング・カート、ログイン、および誤って報告される Web メトリックなどの悪影響が発生するかどうか判断するために、Web サイト・プロパティーでの IE 6.0 の影響を積極的に評価する必要があります。状況によっては、この影響だけで、組織が P3P を実装することになります。
P3P の開発とデプロイの決定時期:
- 徹底した Web サイトのレビューを行います。Web フォームを使用したアクティブ・データ収集と、Cookie およびログ・ファイルからの受動性の高いデータ収集などのすべてのデータ収集と用途を表すために、的確な P3P ポリシーが必要です。
- P3P ファイルを作成し、デプロイします。このポリシー作成は、P3P ポリシー・ジェネレーター・ツールのいずれかを使用することにより簡素化されます。ただし、このツールは P3P 仕様の最新バージョン向けに設計されていて、フルポリシーとコンパクト・ポリシーの両方を作成することを了解しておくことが重要です。多くの組織が XML への直接コーディングを選択します。
- ポリシーの調整を確実にします。P3P をプライバシー・ポリシーの 翻訳版で表示し、すべてのバージョンが基本的に同じメッセージを 伝達し、相互間で矛盾しないようにすることが重要です。
このレポートに関する重要情報
- このレポートの URL からページを開こうとすると、 Cookie が必要であるというメッセージが表示される場合があります。このままページを開くには、「OK」をクリックします。
- フレームを使用しているサイトの場合、HCL® ソフトウェア・サービスまたは製品管理者は、ページ・コンポーネント・データ・セットを使用可能にすることができるため、このデータ・セットを使用してレポートの結果をグループ化することができます。
-
- ページ・コンポーネント: Web ページを構成するファイル (gif、js、html、フレームなど) を識別するのに役立ちます。
- ページ・コンポーネント ID: Web ページの特定のコンポーネントを識別するために割り当てられている個別の ID。このページ・コンポーネントの詳細については、「このページ・コンポーネントの情報」レポートを参照してください。