news

ニュース

Googleアナリティクスのデータ保持期間と一般データ保護規則(GDPR)

© Serpstat via Stocksnap

「一般データ保護規則(GDPR)に関する重要なお知らせ」というメール

2018年4月18日、私のところに、Googleから、「一般データ保護規則(GDPR)に関する重要なお知らせ」という件名のメールが届きました。

以下、メールの抜粋

お客様各位

Google ではこの 1 年間、2018 年 5 月 25 日に施行される新しいデータ保護法「一般データ保護規則」の要件を満たすための取り組みについて お伝えしてきました。一般データ保護規則は欧州の企業のほか、欧州経済地域(EEA)のユーザーによってアクセスされるサイトやアプリでオンライン広告やオンライン測定のソリューションを利用している欧州以外の企業に適用されます。

お客様と Google の双方が新しい要件を満たすことができるよう、本日は 「EU ユーザーの同意ポリシー」の更新 のほか、Google の契約条項とサービスでの変更点など、一般データ保護規則への Google の対応について詳しく説明いたします。

(省略)

サービスでの変更
Google は一般データ保護規則を遵守し、お客様がこの規則を遵守できるようにサポートするため、次の取り組みを行います。

  • パーソナライズド広告以外の広告を表示するサイト運営者またはパブリッシャーをサポートするためのソリューションを提供します。
  • お客様のサイトやアプリで欧州経済地域のユーザーを対象に広告の配信と測定を実施する第三者を選択できるよう、DFP や AdX のプログラマティック トランザクション、コンテンツ向け AdSense、ゲーム向け AdSense、および AdMob を対象に新しい設定を提供します。これらのツールについては、今後数週間以内に詳しい情報をお送りいたします。
  • 一般データ保護規則に基づいて加盟各国で個別に定められた年齢に満たない子供の個人情報の収集を制限するために、必要な措置を講じます。
  • Google アナリティクスをご利用のお客様がデータの保持と削除を管理できるよう新しい設定を提供します。
  • IAB Europe などの業界団体との連携を含め、サイト運営者またはパブリッシャーのための同意に関するソリューションについて検討します。

Googleからメールは、比較的注視しているのですが、
「欧州経済地域(EEA)」「EU ユーザーの同意ポリシー」といったワードが書かれていたこともあり、日本にいる私には、関係ないことだと高をくくるおりました。

・・・が、

よく見ると、

「Google アナリティクスをご利用のお客様がデータの保持と削除を管理できるよう新しい設定を提供します。」 と

記述がありました。。

この件について、ググってみると、

この欧州経済地域(EEA)の一般データ保護規則(GDPR)により、

Googleアナリティクスの「データ保持」で、設定された期間でデータが削除される

というものでした。

どういったデータが削除されるのか

ここで、立ち止まって考えるべきなのは、
どういったデータが削除されるのかということです。

間違った情報もチラホラ

多くのブログでは、

「全てのデータが削除されるから、気をつけてください。
デフォルトでは、26ヵ月となっており、これを「自動的に期限切れにならない」に変更しましょう」

のようなことが多く書かれておりました。

実際には・・・

実際には、下記ページに書かれているとおり、
Cookie、ユーザーの識別子(例: ユーザー ID)、広告 ID(DoubleClick Cookie、Android の広告 ID、Apple 広告主向け識別子など)に関連付けられたユーザー単位やイベント単位のデータです。
データの保持 – アナリティクス ヘルプ

すなわち、Cookieなどによって収集したユーザーのアクセスした地域や再訪などのイベント記録のデータで、サイトの訪問数やユーザー数のデータが削除されるわけではありません。

一般データ保護規則(GDPR)とは

そもそも、GDPRってなんなのか、一言では説明できませんので、
JETROが発行している
EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)
をご覧ください。

個人データの取得や対象範囲については、日本の個人情報の保護法よりも、厳しいものになっています。

個人データの対象

GDPRで、個人データの対象となるのが、下記の通りです。

  1. 自然人の氏名
  2. 識別番号
  3. 所在地データ
  4. メールアドレス
  5. オンライン識別子(IP アドレス、クッキー識別子)
  6. 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因

Googleアナリティクスは、関係ないでしょ?

自社サイトのメールフォームは、ともかくとして、
Googleアナリティクスでは、個人情報はとっていないでしょ?
と思った方もいらっしゃるかと思いますが、

5番目の「オンライン識別子(IP アドレス、クッキー識別子)」が該当しているのです。

そのため、
Googleアナリティクスで、データ取得する場合には、
GDPRを考慮しなくてはなりません。

Googleアナリティクスで、
Cookieなどのユーザーデータを取得することで、
そのユーザーが、どの地域の人なのか、再訪したか、新規ユーザーかなどを判断できます。

26ヶ月とは

データ保持期間は、下記の中から選択することができます。

  • 14ヶ月
  • 26ヶ月 ← デフォルト
  • 38ヶ月
  • 50ヶ月
  • 自動的に期限切れにならない

そして、
オプション設定で、「新しいアクティビティをリセット」という項目あり、
「オン」 or 「オフ」が選択できるようになっています。(デフォルトは、「オン」)

先にも挙げたヘルプページには、下記のように書かれています。

このオプションをオンにすると、特定のユーザーからの新しいイベントが発生するたびにユーザー識別子の保持期間がリセットされます(したがって、有効期限はイベント発生時刻から保持期間が経過した時点になります)。たとえば、データの保持期間を 14 か月に設定した場合、ユーザーが毎月新しいセッションを開始すると、そのユーザーの識別子は毎月更新され、14 か月の有効期限に達することはありません。ユーザーが新しいセッションを開始しない場合、保持期間が経過するとそのユーザーのデータは削除されます。

「データ保持期間」をデフォルトの「26ヵ月」、
「新しいアクティビティをリセット」を「オン」で設定した場合、

そのユーザーが、最後に訪れた時(トラッキングされた時)から、26ヶ月間(2年2ヶ月間)データを保持し、
その間に、再訪があれば、保持期間がリセットされ、またそこから、26ヵ月間のデータ保持期間がスタートすることになります。

また、
2年2ヶ月の間、一度も訪れていないユーザーのデータは、26ヵ月を超えた時点で、削除されます。

ここで考えるが、長期間訪問していないユーザーのデータが、GDPRのリスクを負ってまで、必要か不要かという点です。

欧州経済地域(EEA)でのGDPRによる個人データを保持するリスクを考えるならば、
「自動的に期限切れにならない」に設定するのは、リスクが高いと言えます。
(何ヶ月に設定するかは、自社のスタンスからご自身で判断してください。)

私は、不要であると思いますので、デフォルトの26ヵ月もしくは最短の14ヵ月で良いかと思います。

一般データ保護規則(GDPR)の保護対象国とは

対象は、欧州経済地域(EEA)に加盟する全31カ国です。

内訳は、

EU加盟国

オーストリア、ベルギー、ブルガリア、キプロス、チェコ、デンマーク、エストニア、フィンランド、フランス、ドイツ、ギリシャ、ハンガリー、アイルランド、イタリア、ラトビア、リトアニア、ルクセンブルク、マルタ、オランダ、ポーランド、ポルトガル、ルーマニア、スロバキア、スロベニア、スペイン、スウェーデン、クロアチア、イギリス

EFTA加盟国

ノルウェー、アイルランド、リヒテンシュタイン

先日、「ブレグジット」で話題になったイギリスは、
EU加盟中の現時点では、GDPRの対象国であり、EU離脱後も、
GDPRに準拠予定とのことです。

日本で企業活動しているからEEAとは関係ない?

と、思っている中小企業の担当者様、
EEA加盟国在住の人から、ネットで貴社のウェブサイトにアクセスされるのです。

また、対象は、EEA加盟国在住者だけはありません。

なんと、EEA加盟国に短期出張や旅行中の日本人も、対象になるのです!

GDPRの保護対象者

「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)には、
下記のように、記述されています。

GDPRの保護対象となる「個人データ」とは、EEA域内に所在する個人(国籍や居住地などを問わない)の個人データをいう。短期出張や短期旅行で EEA 域内に所在する日本人の個人データや、日本企業から EEA域内に出向した従業員の情報(元は日本から EEA域内に移転した情報)も、処理および第三国への移転の制限を受ける個人データに含まれる。また、日本から EEA 域内に一旦、個人データが送付されると、EUの基準に沿って EEA域内において処理されなければならない。さらに、当該個人データを日本へ移転する場合、EUの基準を遵守しなければならない。

GDPR違反の制裁金

「EU一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)(2016年11月)のP12に記述されている内容を見ると下記のように書かれています。
高額な制裁金が課せられることになります。

GDPR違反の場合の制裁金の上限額には、次の 2とおりの類型がある。
– 1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方
– 2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方

例えば、公的機関の場合、通常は売上高に該当するものがないため、1,000万ユーロ以下か 2,000万ユーロ以下という 2つの類型の制裁金制度ということになる。また、例えば、前会計年度の全世界年間売上高が 100億円の企業グループの場合、売上高の 4%は 4億円だが、2,000万ユーロ(約 22億 6,000万円。1ユーロ=113円として換算)の方が「高い方」に当たるため、制裁金の上限額は 20億円を超えるレベルになる。GDPRの制裁金の額が、企業経営や公的機関の運営を揺るがし兼ねない規模であることが分かる。

最後に

今回は、GDPRのGoogleアナリティクスに係る部分しか記述しておりませんが、
ウェブサイトの運営上、Cookieを取得している場合は、GDPRに関わってきますので、
企業のサイト管理担当者の方は、
このJETROの入門編などを読んだり、
個人情報保護に詳しい弁護士に相談したり、
しっかりと理解しておきましょう。