「GDPR対策」の為のGoogleアナリティクス設定はどうするの？

• 大塚孝二
• 2018年8月3日

今年5月25日、「Google Analyticsのユーザーデータとイベントデータが自動的に削除されるようになります。」というアナウンスがあった。
削除対象は、ユーザーやブラウザといった「プライバシーに関連するデータ」である。このGoogle内容は、EU域内で取得された個人情報に関する法律、「GDPR」に対応したものと思われる。
今回はこの内容を受け、Google Analytics管理者は何をどのように対応しなければならないかなど、まとめてみた。

●「GDPR」とはEUが策定した、新しい個人情報保護の法律である

現代社会のIT化は様々な情報のグローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれるデータの取得、分析されるデータの増大など、日々IT化社会は拡大し、進化している。このような時代背景から個人情報保護の重要性はますます高まり、さらに、サイバー攻撃、内部不正などによる個人情報漏えいのリスク、セキュリティ管理の重要性も急速に高まっている。

これらの時代背景から、ヨーロッパではEU（欧州連合）内のすべての個人（市民と居住者）のために、個人データのコントロールを取り戻し、保護を強化することを意図した法律、「GDPR」が2018年5月25日に施行された。 日本において、「GDPR」の影響を受けるのは以下の3つの企業・団体・機関である。

• EUに子会社、支店、営業所、駐在員事務所を有している
• 日本からEUに商品やサービスを提供している
• EUから個人データの処理について委託を受けている（データセンター事業者やクラウドベンダーなど）

「GDPR」についての前回のブログはこちら；https://www.live-commerce.com/ecommerce-blog/eu-gdpr/#.W2O1B9j7SV4
「GDPR」について：https://www.jetro.go.jp/world/europe/eu/gdpr/

●「GDPR」の発効を受け、GoogleではGoogleアナリティクスで取得されるデータに”データ保持期間”を設けた

「GDPR」が今年5月25日に始まることを受け、GoogleではGoogleサーバーに保存されている保護対象となるデータの保持期間を、Google Analyticsユーザー自身が管理できるように変更した。

「GDPR」に万が一、規制に違反した場合は、約26億円、もしくは当該企業の全売上高の4％のいずれか高い方という高額な制裁金が科せられることとなるのでGoogle Analytics管理者は要注意である。

●Googleではアナリティクス管理者宛てに重要なお知らせを配信した

Googleは4月上旬Googleアナリティクス管理者宛に「 [ご対応ください] Google アナリティクス データの保持と一般データ保護規則（GDPR）に関する重要なお知らせ」というタイトルでメールを送信した。
内容は、「Googleアナリティクス上では、先日導入された新しいデータ保持の設定により、2018年5月25日からのデータが影響を受ける可能性があります。設定をご確認のうえ、必要な変更を加えてください。」等である。 そして、詳しい内容を見ると、アナリティクス管理者に影響がある主なものは、下記、3点と思われる。

1. Googleのサーバーに保存されているユーザーデータとイベントデータの保持期間をアナリティクス管理者が管理できるようになった。
2. Googleのサーバーに保存されているユーザーデータとイベントデータは期間が過ぎると自動的に削除される。
3. Googleのサーバーに保存されているユーザーデータとイベントデータは集計データに基づくレポートには影響しない。

ここでいう、ユーザーデータとイベントデータとは

• Cookie、
• ユーザーの識別子（例: ユーザー ID）、
• 広告 ID（DoubleClick Cookie、Android の広告 ID、Apple 広告主向け識別子など）

に関連づけられたデータである。
ある保存期間を過ぎるとデータは削除され、この保存期間はアナリティクス管理者が変更できるものである。

ユーザーデータとイベントデータは、ユーザの行動を細かく分析できる「ユーザーエクスプローラ」を利用する場合のみである。
「ユーザーエクスプローラ」とは、一人一人の利用行動の詳細を見ることができるもので、匿名ではあるが、特定の一人について、一番最初の訪問日と、過去２か月の間、どれだけサイトに訪問したかが確認できる。
例えば、ECサイトなどで「購入経験のあるユーザーのサイト内行動について調べたい」といった場合に活用できる。この機能が、無期限ではなく、ある一定の期間内でしか分析できない、制約がつくこととなった。

また、ユーザーデータとイベントデータは、集計に関するレポート、つまり、全体のセッション数、ユーザー数、ページビュー数など、Google Analyticsで主に使われる機能には影響しないものなので、こちらを使ってでユーザー行動を分析されている管理者は問題はないだろう。

●ユーザーデータとイベントデータの保存期間を変更するには

ユーザーデータとイベントデータを使っていなかった管理者は特に対策をする必要はないが、もし、活用している、もしくは今後、活用される場合は、初期設定を確認し、設定変更を行う必要がある。 設定変更することができるのは「プロパティの編集権限」者である。

初期設定では2保存期間が26ヶ月に設定されており、使用しな場合はこの状態で良いと思われるが、自動的（26ヶ月）にデータが削除されないようにする場合は下記の手順で設定変更を行う必要がある。

①[管理] をクリックして、編集するプロパティに移動
②[プロパティ] 列の、[トラッキング情報] > [データ保持] をクリック
③ユーザーデータの保持: 希望の保持期間を選択する
④完了をクリック 「自動的に期限切れにならない」を選択すれば、データが削除されることはない。

「ユーザーエクスプローラ」を活用している管理者は、まず、「自動的に期限切れにならない」を選択し、この設定にすることをお薦めする。
そして、アナリティクスで取得した個人データは削除される範囲を決める必要があるので、影響範囲が具体的にわかり次第、改めてデータ保存期間を設定する必要があるだろう。

参考：https://support.google.com/analytics/answer/7667196

●まとめ

EUの発効した「GDPR」の本質はプライバシー保護の強化にある。 データの自動削除機能を利用せずに情報を保持し続けることは、「GDPR」に違反するリスクを抱え続けることになる。
日本ではまだ、一般的な認識が低い個人情報保護の意識は、欧米ではウェブサイトなどから取得された個人データの保護意識は非常に高まっているのだ。
「GDPR」はそれらを踏まえた、先進的な法律で、日本もこれに習うことは確実の状況である。 越境ECサイトでは、商品購入の際、住所、氏名を入力しなければならない。
EU諸国から越境ECサイトを通じて、商品を購入するお客様もあるだろう。Google Analyticsの設定変更以外にも、自社ECサイトが「GDPR」個人情報保護に関して適切な処置を行えているかどうか、改めて確認すべきである。

タグ: ECサイト, Google Analytics, 越境EC