11月26日、海外のブログ「5snb.club」が「RFC 35140: The Do-Not-Stab flag in the HTTP Header」と題した記事を公開し、話題になっている。

この記事では、Webサイトがユーザーをトラッキングすることが当たり前の現状を皮肉り、「 Do-Not-Stab（私を刺さないで） 」というヘッダをHTTPに追加するというRFC-35140を提案している。

（編注: 前提として、「私をトラッキングしないで」を表明可能な「Do-Not-Track HTTPヘッダ」が以前標準化されつつも、様々な形で骨抜きにされ現在ほとんど機能していないという実状を踏まえる必要があり、以下は、ほとんどDo-Not-Track仕様のパロディである）

RFC 35140の概要

RFC 35140は、Do-Not-StabというHTTPヘッダーの仕様とセマンティクスを定義している。このヘッダーは、ユーザーがウェブサイトに対し「刺さないでほしい」という意向を伝えるための手段を提供するものだ。この仕様では、サービスがこれらのユーザーの意向にどのように対応すべきかについても標準を設けている。

仕様の詳細

1. ヘッダーの構文

Do-Not-Stabヘッダーは非常にシンプルで、以下のように設定するだけである：

Do-Not-Stab: 1

ヘッダーが指定されていない場合、 デフォルトで「刺されたい」という意向が示されている と解釈される。

2. デフォルト設定

ユーザーエージェント（ブラウザなど）は、Do-Not-Stab: 1をデフォルトで設定しては ならない 。この理由として、ユーザーエージェントがユーザーの意向を勝手に決めるべきではないことが挙げられている。設定はあくまでユーザー自身が行うべきである。

3. 例外規定

商業的な利益が安全上の懸念を上回る場合には 例外が認められる 。具体的には以下のようなケースである：

• ユーザーが明示的または暗黙的に刺されることに同意している場合
• 政府の要請に基づく刺傷（合法性の確認は不要）
• ユーザーの生命に致命的でない刺傷
• 株主の要望による刺傷

4. 法域ごとの対応

マイクロソフトは、欧州経済領域（EEA）内でDo-Not-Stabヘッダーをサポートすることを公約している。ただし、EEA外ではこのヘッダーのサポートは進行中であり、 設定しても刺される可能性がある 。また、 EEAを離脱した国では刺傷が行われる場合がある 。

見解と批判

記事では、Do-Not-Stabのような標準が必要となる背景として、現代の企業がユーザーの意向を無視しがちな状況に対する批判が述べられている。特に、マイクロソフトがEEA内でのみこのヘッダーを尊重する姿勢について、「最低限の規制しか遵守しない企業文化」を問題視している。また、かつてInternet ExplorerがDo-Not-Trackをデフォルトで有効にし、多くの企業が無視した歴史にも触れられている。

このような標準が必要とされる現状について、著者は次のように結論付けている。
「規制が最低限の形でしか守られず、利益が優先される現代では、ユーザーが明示的に意思を示さなければ企業に無視される。このような状況は嘆かわしい。」

詳細は[RFC 35140: The Do-Not-Stab flag in the HTTP Header]を参照していただきたい。