インターネット上には様々な情報があります。
しかし、結構間違った情報が出回っているので、気をつけないといけません。
今回のメインテーマ「5月25日からGoogleアナリティクスの全データに保管期限が設けられるのか?」についてもネットでいろいろと調べましたが、人によって書いていることが様々で、結論もバラバラでした。
信用できる情報源として、結局はGoogleの公式ページと、ジェトロ(日本貿易振興機構)によるレポートを参照しました。
ホームページの運用・改善のため、無料のアクセス解析であるGoogleアナリティクスを使っている方は多いのではないでしょうか。
Googleアナリティクスをお使いの方に、
最近このような件名のメールが届いていると思います。
[ご対応ください] Google アナリティクス データの保持と一般データ保護規則に関する重要なお知らせ
すごくわかりにくい日本語のメールでしたので
内容について勘違いされている方が多くいらっしゃるようです。
Googleアナリティクスのデータ保持期限についての間違った情報
Googleからのメール文章内の一部を転載します。
Google は本日、詳細な管理が可能なデータ保持設定を導入し、
Google のサーバーに保存されている
ユーザーデータとイベントデータの保持期間を、
お客様ご自身で管理していただけるようにいたしました。2018 年 5 月 25 日より、
ユーザーデータとイベントデータはこの設定に即して保持されるようになり、
ご指定の保持期間を過ぎたデータは、
Google アナリティクスによって自動的に削除されます。なお、この設定は集計データに基づくレポートには影響しません。
このメッセージを受けて、ネット上では
「Googleアナリティクスの全データに保管期限が設けられて
何もしないと一定期間(初期設定は26カ月)たつと消えてしまう。
だから手動で無期限にしましょう。」
という解説が多く書かれています。
しかし、ちゃんとメッセージを読むと、
「この設定は集計データに基づくレポートには影響しません。」
とありますので、
私たちがよく見る
・ページビュー
・訪問数
・直帰率
などのアクセス解析の記録が期限が来ると消えるわけではありません。
保持期限が設けられるのは、
「Cookie、ユーザーの識別子(例: ユーザー ID)、広告 ID(DoubleClick Cookie、Android の広告 ID、Apple 広告主向け識別子など)」のような
特定のデータのみです。
Googleがデータ保持期限を作ったのは私たちを守るため?
今回のGoogleの取り組みの理由は、2018年5月25日に適用が開始される
「EU 一般データ保護規則(GDPR)」
を受けたものです。
「GDPR」はEU版の個人情報保護法ですが、中身は日本よりもかなり厳しいです。
私が調べたところによると、
「GDPR」では、EUを含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データをEEA域外に移転することを原則禁止しています。
(同意があればOKになることがあります。)
違反すると罰金が課されるリスクもあります。
罰金は、最大で2,000万ユーロ(約26億円)か売上高の4%のうち高いほうと、超高額です。
名前やメールアドレス、カード番号は、そりゃ個人データだよねと納得感がありますが、
EU的には、
【オンライン識別子(IPアドレス/クッキー識別子)】
も個人データとされています。
https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf
(P14)
これらの情報は、Googleアナリティクスを使っていると自動的に収集されています。
(具体的には、「ユーザー」の中の「ユーザーエクスプローラ」など)
遠いヨーロッパのことなので、私たちには関係ないように思えますが、そんなことありません。
中小・零細企業も対象であり、
EEA 域内に現地法人・支店・駐在員事務所を置かない事業者であっても、
インターネット取引などで EEA 所在者の顧客情報を取得・移転する場合、
適用対象となり得る。https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf
(P2)
とのことです。
EUの人の個人データを長期間持ち続けていることはリスクになります。
今回Googleが個人情報に関連するデータの保持期限を作ったのは、私たちユーザーを守るためと言えるかもしれません。
具体的に、どういう影響があるの?
たとえば、たまたまEUの人があなたのホームページにアクセスして、Googleアナリティクスを通してクッキー情報やIPアドレスが記録されたとします。
そのデータを持っていることであなたが罰せられるリスクがあるという事です。
ちなみに、EU圏内のホームページにアクセスすると、
以下のように
「あなたのクッキーデータなどを取得するよ」
という確認が表示されることが多いです。
日本も今後、こういった表示が増えるかもしれませんね。
<About cookies on this site>
This website places cookies on your computer or device to make the site work better and to help us understand how you use our site. Further use of this site (by clicking, navigating or scrolling) will be considered consent. You can review the cookies used at any time using the cookies link. Please visit our *** privacy policy and cookie policy for more information.<このサイトのクッキーについて>
このウェブサイトは、あなたのコンピュータやデバイスにクッキーを配置し、サイトをより良くするため、またサイトの使い方を理解するのに役立ちます。このサイトを(クリック、移動、またはスクロールによって)さらに使用することは、同意とみなされます。 Cookieのリンクを使用して、いつでも使用されているCookieを確認できます。詳細については、***のプライバシーポリシーおよびクッキーポリシーをご覧ください。
【2018年5月10日追記】
上記の文脈は、Cookie収集についての通知という感じですが、
EU一般データ保護規則(GDPR)に対応するためには通知というよりは「明示的な同意」が必要になるようです。
・Cookieの初期設定は無効にしておき、ユーザーが同意したら有効にする
・案内部分にプライバシーポリシーページへのリンクを張るなどして、情報取得者、取得情報、目的、保存期間が明確に分かるようにする
このようにする必要があります。
しかし、わざわざ自主的にCookieを取集に同意する人はほとんどいない(10%くらい)ので、
Cookie自体の意味が薄れ、アクセス解析や追跡広告も意味をなさなくなります。
このようなことを考えると、
EUの人がアクセスしそうな英語版HPについては
アクセス解析などのCookieを使うツールの利用を止めるのがベターかもしれません。
【追記ここまで】
で、Googleアナリティクスの設定はどうすればいいの?
今回はちょっと難しい話になりましたが、お伝えしたいことは以下の通りです。
インターネット上でのほとんどの論調では、今のところ、
「Googleアナリティクスの全データの保持期限(初期設定26カ月)が設けられるので、
手動で無期限にしないとアクセス解析の全部のデータが消えてしまう」
というものです。
しかし、
「保持期限が設けられるのは、EU的な個人情報に関わるデータのみ」
「データの保持期限を無期限にしては危険」です。
今回のGoogleの変更の理由(EUの個人情報保護)と、
Googleが公式発信している
「集計データに基づくレポートには影響しません。」
「保持期間を変更しても、ほとんどの標準的なレポート機能は集計データに基づいているため、影響を受けません。 」
というメッセージを踏まえると、
個人情報に関係のない、通常のアクセス解析で使うような
ページビューや直帰率などのほとんどのデータには保持期限は設定されないと考えられます。
なので、Googleアナリティクスのデータ保持期限は
初期設定(26カ月)のままにしておくべきで、
手動で無期限にする必要はありません。
★つまり、何もしなくていいという事です。
もし手動で無期限にする場合は、
上記のような罰金などのリスクがあることをご承知いただいたうえで
意思決定することをおススメします。
逆に、26カ月もクッキーなどの個人情報データを持ちたくない方は
保持期限を14カ月に設定変更できますし、
近日中に手動で削除も可能になるようです。
言語が違いますし、ヨーロッパの方が日本語のホームページを訪問することはあまりなさそうです。
それに、わざわざ日本人相手に商売をしている日本の中小企業にEUが罰金を払わせるのは現実的には考えにくいですが、万が一のことがありますからご注意ください。
ヨーロッパと取引のある方へ
アクセス解析とは関係ないですが、
この「EU 一般データ保護規則(GDPR)」は、EU圏内の人と取引をしている方にはかなり重要な法律だと思います。
例えば、旅館業でヨーロッパの人から予約が入るとか、ヨーロッパの人に対して商品を売っているなど、EU圏内の人と取引がある方は専門家に相談していただくと良いと思います。
以下の参考文献には、EUの人と名刺交換した場合はどうなるか?
など、結構具体的なことも書いてありますので、参考になると思います。
※おことわり
この記事の内容についてはあくまで参考としていただき、ご自身の判断・責任において意思決定をしてください。
意思決定の結果不利益が発生しても、筆者は一切の責任を負いかねます。
<参考>
「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)
https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf
メールマガジン
週に1回、火曜日にメールマガジンを発行しています。
このページでは、過去にメルマガでお送りした記事の一部を公開しています。
