デジタルビジネス部コンサルタントの関です。
主にGoogleアナリティクスを用いたデータ解析基盤構築を支援しております。近年、欧州をはじめとした地域でプライバシー保護がトレンドとなり、国内の顧客でも海外展開されていらっしゃる企業では「GDPRはどうか、CCPAはどうか」と話を伺うことが多くなりました。
もちろんGoogleさんも活発に仕組みづくりを働きかけておりますので、今回はGoogleアナリティクスを取り上げてGDPR/CCPAに対する取り組みとそのために設定すべきポイントをご紹介させていただきます。
GDPRとは
皆さんご存じかと思いますが、GDPRとは欧州で2018年6月に施行された法律「General Data Protection Regulation」の略で、日本では「EU一般データ保護規則」と呼ばれることもあります。
生活者の個人データを自分自身でコントロールできるようにするために、Cookieなどの個人情報を取得する際は「暗黙的ではない同意」を得ることが求められるようになりました。最近Webサイトを見ると、「Cookie取得を同意していただけませんか?」とポップアップが出てくることがありますよね。あれがまさにGDPRを意識した対策の一環となります。
違反した企業に対しては罰金制裁の事例もあり、Googleフランスではターゲティング広告の透明性や説明責任の欠如ということで約62億円の罰金が科せられたことは記憶に新しいかもしれません。
CCPAとは
2020年1月施行と真新しい話となりますが、米国カリフォルニア州で施行された法律「California Consumer Privacy Act」についても取り上げていきましょう。
GDPRに比べて消費者の知る権利に比重を置いており、「私の情報がどう使われているか教えてほしい」と求められたときに開示が義務化されるということが重要な部分となります。つまり、消費者から預かった情報は適切に「管理」「運用」してくださいねという法律です。
最近では、米国全土への波及、連邦法への統一が求められているなど盛んになっており、主要ブラウザがこぞってCookie制御の動きを示しています。SafariのITP対応しかり、ChromeもCookieを取得やめるかもという話が出てましたね。
Googleアナリティクスは安全か?
GDPRおよびCCPAの文脈から見た時に、Googleアナリティクスで取得された情報の管理体制には問題がないのか、というのが気になるポイントです。結論から申し上げると、サイト運営者がしっかりと仕様理解して必要な対策ができれば現行法では問題ない、と考えられます。
理解しておくべき仕様①:データ設定管理
Googleアナリティクスではデータの収集・保持・共有に関する設定をある程度調整することができます。
前提として、Googleアナリティクスなどのアクセス解析ツールでデータ取得を行う際には、サイトポリシーやプライバシーポリシーにその旨を記載する必要があります。ただ、企業によっては法的リスクなどの理由でポリシーを厳密に指定する必要があるため、その設定をツール側で調整できるのはGoogleアナリティクスの利点と言えるでしょう。
具体的にできることとして、以下の項目があります。詳細についてはそれぞれの記事で紹介予定となりますので更新をお待ちください。
- データ処理規約に同意するか否かの選択
- WebプロパティのIPアドレス匿名化
- データ収集を一部またはすべて無効化
- データ保持期間の設定
- Googleと共有するデータの指定
- Googleシグナルの設定確認
理解しておくべき仕様②:データ連携管理
Googleアナリティクスの特徴のひとつに、Googleエコシステム上の他ツールとの連携がしやすいという面があります。
その中でもGoogle広告のパーソナライズは、マーケティングを行う上で欠かせない機能となっていますが、ここにもGDPR/CCPAのリスクが存在いたします。最近になって、このパーソナライズの範囲を細かく管理できるようになりました。
これまでもプロパティ単位でGoogle広告との連携有無は指定できたのですが、地域単位(基本は国、アメリカは州別)でオンオフができるようになったのは明らかにGDPR/CCPAを意識した改修といえますね。
また、ユニバーサルアナリティクス(UA、従来のGAプロパティ)はもちろんのこと、GA4プロパティにおいてもイベントやユーザープロパティ単位で広告パーソナライズを管理することができます。例えばCookie同意を拒否するユーザーに対して広告パーソナライズを除外するといった設定を行うこともでき、法的リスクを回避できるのは大きいですね。
理解しておくべき仕様③:データ削除管理
さて、CCPAで求められているプライバシーの権利には「削除権」というものがございます。「Googleアナリティクスで個人情報を取得してしまった!簡単に削除できないだろうし、どうしよう…。」と枕を高くして寝られない日々を送るサイト運営者もいたかもしれません。
Googleアナリティクスで収集されたデータは、無償版の場合Googleに所属し、有償版の場合企業に所属するというルールがありますが、不適切なデータ収集をしてしまったときの対処方法としてサーバーからデータ削除するためのリクエスト機能が備わっています。
具体的な方法としては主に3つ。詳細については別記事で順次更新を予定しています。
- プロパティごと削除する
- 特定期間データの削除をリクエスト ※UAのみ
- 特定ユーザーデータの削除 ※UA/GA4対応
まとめ
今回はGoogleアナリティクスにおけるプライバシー保護対策を紹介させていただきました。意外とGoogleアナリティクスデータは簡単に削除できてしまうのですが、反面ミスって消すと貴重な資源の損失につながりうるので注意も必要ですね。
とはいえ、プライバシー保護のためには事前承諾が重要です。Cookie同意ツールを利用したり、法律とGoogleアナリティクスの仕様を理解することでリスクヘッジを取りましょう。
アピリッツでは、Googleアナリティクスを用いたデータ基盤構築サービスをご提供しています。本記事の内容に限らず、困ったことや相談したいことがございましたらお気軽にお問い合わせください。
