どんな対応が必要なの?「Google アナリティクス データの保持と一般データ保護規則に関する重要なお知らせ」

Google からの重要なお知らせ

Google から Analytics のデータが消えますよっていうメールが20日に届いて何やら Analytics 界隈が騒がしいようです。

Google アナリティクス データの保持と一般データ保護規則に関する重要なお知らせ

「なに、このままではデータが消える?」
「そいつぁ一大事だ、こうしちゃいられねぇ、消えないように設定しねぇとな!」

みたいな。

ただ、保持期限を過ぎたAnalytics のデータが見れなくなる(ひえええ)とは少し様子が違うみたいです。


ガンバって理解しようとしてみる(;^_^A

重要そうな内容ですしちゃんと理解しようと思いましたが、冒頭を読んだだけでもすでにツライ。

Google ではこの 1 年間、2018 年 5 月 25 日に施行される新しいデータ保護法「一般データ保護規則」の要件を満たすための取り組みについてお伝えしてきました本日は、Google アナリティクス データへの影響が予想される重要なサービス変更と、一般データ保護規則の施行に備えるための最新情報についてお知らせいたします。お客様のユーザーの拠点が欧州経済領域(EEA以外の場合でも、このメールをお読みいただき、必要な対応を行っていただけますようお願いいたします。

欧州経済領域(EEA)ってなんですか? 遠い外国のことで自分には関係ないことなんじゃないかと思えてしかたがない。

Googleさんは「お伝えしてきました」って言ってますがお伝えされてましたっけ?

と思ってメールを漁ってみたら、

from:(google.com) EEA

なにやらお伝えされていたみたいでした。うーん、まったく記憶にない(;^_^A

とにかく、今回はがんばってひきつづき読んでいきます。

Google は本日、詳細な管理が可能なデータ保持設定を導入し、Google のサーバーに保存されているユーザーデータとイベントデータの保持期間を、お客様ご自身で管理していただけるようにいたしました。2018 年 5 月 25 日より、ユーザーデータとイベントデータはこの設定に即して保持されるようになり、ご指定の保持期間を過ぎたデータは、Google アナリティクスによって自動的に削除されます。なお、この設定は集計データに基づくレポートには影響しません。

必要なご対応: 上記のデータ保持設定をご確認のうえ、必要に応じてご変更ください。

Analytics のデータに対して保持期間の設定ができるようになったとのこと。でもって話題になっているように、期間を過ぎたデータは自動的に削除されてしまうとのこと。

ただし「この設定は集計データに基づくレポートには影響しません」とのこと。

5 月 25 日に先立って、Google は新たにユーザー削除ツールも導入いたします。このツールを使うと、個々のユーザー(サイトの訪問者など)に関連付けられたすべてのデータを、Google アナリティクスやアナリティクス 360 のプロパティから削除できます。この新ツールは、アナリティクスの Client-ID(Google アナリティクスの標準的なファーストパーティ Cookie)や、User ID(有効な場合)、App Instance ID(Firebase 向け Google アナリティクスをご利用の場合)に送られる一般的な識別子に基づいて自動的に機能します。詳細につきましては、まもなく Google Developers サイトでお知らせいたします。

Google は今後も従来と変わらず、お客様によるデータ保護を可能にする取り組みを続けてまいります。Google アナリティクスとアナリティクス 360 では、データの収集、使用、保持に関するさまざまな機能とポリシーを今後も提供し、お客様がご自身のデータを保護できるようにサポートいたします。たとえば、お客様の会社に固有の状況とアナリティクスの実装方法を踏まえて一般データ保護規則の影響を評価するうえで、カスタマイズ可能な Cookie 設定プライバシーに関する設定データ共有設定アカウント閉鎖時のデータの削除IP の匿名化といった機能がお役に立つ可能性がございます。

前述のデータ保持設定とは別に「個々のユーザー(サイトの訪問者など)に関連付けられたすべてのデータを、Google アナリティクスやアナリティクス 360 のプロパティから削除」できるツールも提供するそうです。

契約に関する変更

Google では昨年 8 月より、多くのサービスの契約条項を更新し、新しい法律の下での Google の立場をデータ処理業者またはデータ処理管理者のいずれかとして示しています(Google 広告サービスの全分類をご覧ください)。一般データ保護規則に関する新しい条項は、Google との現在の契約を補完するもので、2018 年 5 月 25 日に発効します。

新しい契約は 2018 年 5 月 25 日から発効するそうです。

EU ユーザーの同意ポリシーの更新

Google の広告向けの機能に関するポリシーの規定により、Google アナリティクスまたはアナリティクス 360 の広告向けの機能をご利用のお客様は Google の「EU ユーザーの同意ポリシー」を遵守していただく必要がございます。Google の「EU ユーザーの同意ポリシー」は現在更新中で、更新されると一般データ保護規則の新しい法的要件が反映されます。更新版では、欧州経済領域においてお客様のサイトやアプリを利用するエンドユーザーに情報を開示し、かかるエンドユーザーから同意を得ることについて、お客様の責任が明確に示されます。

必要なご対応: お客様が欧州経済領域を拠点とされていない場合でも、Google アナリティクスとアナリティクス 360 をご利用の際にお客様のビジネスが一般データ保護規則の適用を受けるかどうかについて、貴社の法務部門や顧問弁護士と相談することをご検討ください。そのうえで、データ処理規約の更新版の確認と同意、EU ユーザーの同意ポリシーに準拠するための行動計画の立案をご検討ください。

この先、Google アナリティクスまたはアナリティクス 360 の広告向けの機能をご利用のお客様は Google の「EU ユーザーの同意ポリシー」を遵守しないといけないそうです。


つまり…どういうことだってばよ?

要するに、

ヨーロッパの方(欧州経済領域(EEA))で個人情報保護の法律(一般データ保護規則)が新しくなりましたよ。

これまでよりもキチンと個人情報を管理しないと法律に引っかかっちゃうよ。

Google アナリティクス はユーザの情報を収集するから、サイト内でちゃんとユーザ(サイトの訪問者など)に対して「情報収集するよ」って告知してね。

ユーザー情報を収集・保持することに不安があるならツールを使って削除したり、一定の期間が経過したら自動で削除されるように設定してね。

ってことを Google さんはお伝えしようとしているようです。なるほど~。


で、具体的にはどうすればいいのでしょう?

ユーザーデータとイベントデータの保持

上のスクショの通り、データ保持設定は、Analytics の管理から「トラッキング情報」→「データ保持」とメニューをたどると設定項目を見ることができます。設定はサイトごとに行う必要があるのでご注意ください。

ユーザーデータとイベントデータの保持②

設定画面の説明に「保持期間を変更しても、ほとんどの標準的なレポート機能は集計データに基づいているため、影響を受けません」と書いてあるのは、なるほどたしかにそうかもという感じです。

保持期間を過ぎたユーザーデータとイベントデータが削除された後では見れなくなる「標準的ではないレポート」がなにかはわかりませんが、おそらくセッション数とかページビューとか参照元とか、いわゆる普通のデータは別に保持期間を過ぎた後でもレポートとして閲覧することはできるんでしょう。

データ保持期間をデフォルトの「26ヶ月」にしておくと2018 年 5 月 25 日以降、26ヶ月より前のAnalytics のレポートが一切見れなくなるとかそういうことではなさそうです。

設定画面の中にある詳細リンクには、以下のように記載がありました。

データの保持

Google アナリティクスのデータ保持コントロールを使用すると、保存されたユーザー単位やイベント単位のデータがアナリティクスのサーバーから自動的に削除されるまでの期間を設定できます。

この設定は 2018 年 5 月 25 日以降有効になります。

ユーザーデータとイベントデータの保持

保持期間は、Cookie、ユーザーの識別子(例: ユーザー ID)、広告 ID(DoubleClick Cookie、Android の広告 ID、Apple 広告主向け識別子など)に関連付けられたユーザー単位やイベント単位のデータに適用されます。

集約されたデータは影響を受けません。

( https://support.google.com/analytics/answer/7667196?hl=ja&utm_id=ad から抜粋)

ユーザーの識別子(例: ユーザー ID)に適用されるそうなので、リマーケティングとかはできなくなりんでしょうね。

まあ、そういった個人情報を必要以上に残さないようにするための措置なんでしょうからあたり前か。

さて結局のところ「データ保持」設定はどうすればいいのかでしょうか?

ヨーロッパの誰かから法的なことで文句言われない限りは、データが消えるのはもったいない消す必要ないなら残しておけばいいっていう考えで「自動的に期限切れにならない」に設定しておくのが一番「困らない」んだろうと思います。

標準設定の「26ヶ月」のままにしておいてデータ残さなくても困らないんじゃない」という気もするけれど、まぁ消すのはいつでもできますからね(;^_^A

シェアする

  • このエントリーをはてなブックマークに追加

フォローする