GDPRなんて関係ない」と思っていたところ、突然Googleからデータ削除についての英語メールが届いて右往左往した人も多いと思います。結局どうすれば良いのか?一般論ではなく、GoogleアナリティクスやAdobe AnalyticsのようなWebの分析ツールを利用しているアナリストやWeb担当者は実際にどうすべきか?という観点で、調べた結果をまとめました。

以下は個人としての見解です。

EUに物理的に存在する個人のプライバシーを守る

まずは原則から。GDPR(EU一般データ保護規則)は、EU(正確にはEEA)内の全ての個人のプライバシー保護を強化するために2018年5月25日に施行される法律です(一般論は割愛するので詳細はWikipediaやGoogleで調べてください)

対象は幅広い

人種や国籍、市民権は無関係なので、日本からの駐在員や現地で日本語を話せる人も権利が保護される対象になります。EEA内に拠点や現地法人があるかどうかも無関係。

拡大されたプライバシー情報

人単位で異なる会員IDユーザー名Emailアドレスは当然として、デバイス毎に固有のIPアドレスや、Cookieに保存されるブラウザ毎に固有のオンライン識別子(GAのClient IDやAdobe Analyticsのvid, mid, ecid)も対象になります。昨今は分析に限らず、ターゲティングやA/Bテスト、接客、LPO、EFOなど多くのツールが固有IDをCookie保存するので、要注意ですね。

つまり、EU(EEA)に拠点や現地法人を持たない日本企業のサイトであっても、EUからアクセスできる公開サイトに、お問合せメルマガ購読のような名前やEmailアドレスを入力するフォームを設置したり、GoogleアナリティクスやAdobe Analytics(やCookieに固有IDを保存するマーケティングツール)を一つでも導入しているだけでGDPRの規制対象になる、というのが今のところの私の理解です。

データ主体、つまりWebの訪問者に与えられる権利

EU(EEA)内の個人は、企業へ提供する自分の個人データについて

  • 取得されることを拒否する権利(同意)
  • アクセスする権利(内容確認・修正)
  • 消去する権利(削除)
  • 持ち運ぶ権利(エクスポート)

が保障されます。

では、どう対応すべき?

立場によって異なります。

Webの運営者(事業会社・団体)

はデータ管理者 (Controller)として、

  • 事業に必要なデータの用途と処理過程を定義する
  • それを訪問者へ分かりやすく説明する(プライバシーポリシーやCookieポリシー、入力フォーム掲載ページで)
  • GDPRに対応できる体制やルール、機能を持ったツールや委託先を選ぶ
  • データ取得と用途について、訪問者から事前の明示的な同意を得る
  • 訪問者からデータの確認や削除要求を受けた場合は対応する
  • 目的達成に必要な保管期間を過ぎたデータは削除する

データの保管を請け負うツールベンダー(GoogleやAdobe)

はデータ処理者 (Processor)として、

  • データをセキュアに保管・処理する
  • GDPR対応に必要な機能を実装する
    • 指定IDのデータを表示・エクスポート・削除できる機能
    • 用途に不要なデータの匿名(仮名)化
    • 保管期限を過ぎたデータの自動削除機能 など
  • 利用規約をGDPR対応にする

などの対応が必要になります(アナリティクス関連のみを抽出)。

Googleはデータ処理者としての責務を果たしているだけ

という状況の中で、GoogleはGoogleアナリティクスの自動データ削除を実装し、メールで管理者へ通知しました。

それだけに反応して「データが消えると困るから無期限にしよう」「変えるのは危険だからデフォルトのままにしておこう」と近視眼的に対応するのは、どちらも不正解です。

アナリストやコンサルタントがすべきこと

分析を請け負ったアナリストやコンサルタントは、データ処理者として、委託を受けたデータやアカウントをセキュアに管理し、必要がなくなったら削除する必要があるのは当然として、要注意なのは、制作や集客などの受注ついでに無料だからとGAを導入した場合ですね。クライアント企業が状況やリスクを把握できていない可能性があるので、誰が導入して誰が利用しているのかに関わらず、運営企業にはGDPR対応の義務とリスクが生じることを説明する責任があります。

コンサルタントとしては、「こうしないとダメ」という指摘だけではなく、法務と連携し、対応方針策定や必要なツール選定と実装、運用プロセスの構築まで踏み込んで提案や対応するケースもあるでしょう。対応できない、する価値がない場合は、タグやデータを削除する、という決断も必要です。

Webの制作や分析を受託した企業や個人事業主がすべきことをまとめます。

プライバシーポリシーやCookieポリシーの更新を手配する

規約の文面は事業会社が主体となって法務部門や専門家に作成を依頼する必要がありますが、その必要性の説明や、ツールが取得するデータに関する情報提供、フッタからの確実なリンク設置の手配や確認は可能ですね。

実は、Googleアナリティクスの場合、その利用規約の中で、導入企業はプライバシーポリシーにおいてGAについて追記することを求めています。

お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても必ず開示するものとします。この情報の開示は、「ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用」のページ(www.google.com/intl/ja/policies/privacy/partners/ や、Google が随時提供するその他の URL)へのリンクを目立つように表示することで実施可能です。お客様は訪問者の端末上での Cookie やその他の情報の保存や、そうした情報へのアクセスについて、そうした行為が本サービスに関連して発生する場合、およびかかる行為に関する情報の提供と訪問者からの同意が法律で求められている場合は、訪問者に明確かつ包括的な情報を提供し、同意を得るように商業上合理的な努力を払うものとします。

Googleとしては責任を逃れられるように規約を定めているだけなので、違反しているからとGoogleから訴えられることはないと思いますが、GDPRをきっかけとして、主体的かつ本質的な対応をしたいところです。

特にCookieに関しては、個別のCookieごとに用途や内容、保管期間を列記した詳細表を含むCookieポリシーを別途定める企業も存在します。事業会社がこのCookieポリシーが必要と判断した場合、ツールのベンダーやその導入を提案した代理店、コンサルタントは、必要な情報をまとめて事業会社へ提供する必要があるでしょう。

お問い合わせやメルマガ購読など、個人データを含む送信フォームを含むページを制作する場合は、どんなデータを何のために取得し、どう扱うのかの説明を入力フォーム付近に記載することも漏れなく提案し、実現しましょう。フッタからのリンクだけでは不十分です。

オプトアウトの方法を説明する

プライバシーポリシーの中でオプトアウト方法を説明し、それが可能なページにリンクすることが多いようです。ツールによって方法やリンク先が異なるので、その方法を整理して伝えましょう。

データ取得の同意を得るUIを実装する

2018年に入ってから、英語のサイトは次々に導入を進めています。サイトを初めて訪問したときにページの上や下にオーバーレイ表示されるアレです。

JavaScriptで自作しても良いですが、実はこの同意を管理するソリューション(Consent Manager)が数多くリリースされています。

提供者 URL 提供形態 対応タグマネ
Baycloud https://baycloud.com/ 商用サービス
CIVIC https://www.civicuk.com/ 商用サービス(無料版あり)
Consent Cookie by Insites https://cookieconsent.insites.com/ 無料
Consentric https://consentric.io/ 商用サービス
Consentua https://consentua.com/ 商用サービス
Datastreams.io https://www.datastreams.io/ 商用サービス
Didomi https://www.didomi.io/en/ 商用サービス
Evidon https://www.evidon.com/ 商用サービス Adobe Launch
iubenda https://www.iubenda.com/en/ 商用サービス(無料版あり)
Obsequio Software https://www.obsequiosoftware.com/ 商用サービス
OneTrust https://onetrust.com/ 商用サービス(無料版あり) Adobe Launch
PrivacyCheq http://www.privacycheq.com/ 商用サービス Adobe Launch
TrustArc https://www.trustarc.com/ 商用サービス Adobe Launch
  • アルファベット順です
  • 対応タグマネは、タグが事前定義されているか、という意味です。タグを手動で貼ればどのタグマネージャーでも対応できます。調査対象はGoogle Tag Manager, Adobe Dynamic Management, Adobe Launch, Tealiumです。

この中ではOneTrustとCIVICとiubendaが無料プランを提供しています。このページでは、CIVICのCookie Control V8を試験導入しました。詳しい解説と実装方法はこの記事をどうぞ。OneTrustは駆け込み需要で忙しいのか、審査に2週間かかりました。

データ取得ツールをオプトイン対応する

同意を得るUIを実装したら、その結果に応じてアナリティクスの計測を停止する必要があります。タグマネージャーで対応するのがおすすめ。詳しい方法は別途記事を書きます。

不要な個人データは取得停止や匿名化する

これを機に、事業の運営や改善のために不要な個人データは取得をやめることを検討しましょう。

カスタムディメンションやユーザーID:
Client IDや会員IDを取得している場合は、その必要性を再検討します。

ページのURLやタイトル:
ページのURLやタイトルにEmailや会員IDが含まれていないか確認し、サイトを修正します。

サンクスページなどで動的にIDやEmailアドレスをURLクエリパラメータに付与していると、それがアナリティクスによって計測されてしまいます。知らない間に個人データを計測していることもあるので、今すぐ確認を。

参考:個人情報(PII)を送信しないようにする方法 - GA公式ヘルプ

IPアドレス:
ドイツなど厳しい国では、GDPR施行の前からIPアドレスの取得がNGでした。
GoogleアナリティクスやAdobe AnalyticsにはIPアドレスを匿名化する機能があるので、それを有効にします。

参考:GDPR対策のためにGAとAAのIPアドレスを匿名化する方法

保管期間を過ぎたデータは削除する

目的を達成するために合理的に必要となる保管期間をツールごとに定めて、それをプライバシーポリシーで訪問者へ説明してから、自動削除機能があるツールに関しては、その設定を行います。

Googleアナリティクスの場合、まずは期限設定機能がリリースされましたが、細かい制御はできません。

Adobe Analyticsの場合は、設定期限後の自動削除に加えて、どのデータが個人データに該当するのかを区別するためのラベル付け機能もリリースされました。

個人データの確認や修正、エクスポート、削除の依頼に対応する

実はこれが一番難しいです。例えばFacebookの場合、設定画面の中に、自分に関するデータを全てダウンロードしたり、全て削除する機能が含まれています。

アナリティクスの場合は完全自動化が難しいので、プライバシーポリシーの中でリクエスト方法について説明し、そのリクエストを(書面やメールやフォームで)受け取った場合にデータの抽出・返信や削除を個別対応する運用プロセスを作ります。

また、特定のIDに関するデータのみを削除する機能を実装する必要があります。GoogleアナリティクスにもAdobe Analyticsにも、特定データを削除する機能はありませんが、GDPR対策として2018年5月にAPIがリリースされています。

Googleアナリティクス:

Adobe Analytics:

提供されているのはAPIのみで、画面はありません。社内用の管理画面を自前で構築する必要があります。

顧客視点の積極的な対応を

結局、何をどこまで対応すべきか?については、企業の状況や経営方針、法務的な考え方にもよるので、Web運営主体である事業会社は、総合的かつ継続的に判断をし、方針策定、体制やプロセスを構築し運用していく必要があります。同様に、分析やマーケティングや制作を請け負うアナリストやコンサルタントも、データやツールに関する情報を調べて提供したり、サイトの改修やツールの設定変更、運用や管理プロセスの変更を行うなど、GDPR対策に関わる必然性があります。

このGDPRが強化を目指すプライバシー保護の観点について、日本におけるレガシーな個人情報保護の延長として受け取ってしまうと、「法務に任せておけば良い」「マーケティングでは匿名データしか使わないから関係ない」と他人事になりがちです。しかし昨今のプライバシー保護の流れは、アドテクノロジーが進化した結果、個人に関するデータが一人歩きし、個人の意図に反する形で利用されてしまうことへの大きな懸念に起因します。そのような背景から、個人の権利に立ち返り、自分のデータに関するコントロールを取り戻すという善意に基づいたプライバシー保護の流れは、世界的なものであり、そして今後止まることはないでしょう。GDPR施行の後も、日本の個人情報保護法が改正されたり、USの法律もきっと変わっていくはずです。「GDPR対策のため」「リスクを回避しないと」といった偏った受け身のスタンスではなく、お客様の視点で心地良い顧客体験を提供するためには、何が必要なのか、その方針や伝え方、要求への対応方法などを予め検討して実現することができれば、お客様からの信頼を高めることができるでしょう。

最後に

以上、調べて分かったことと現時点の私の見解をまとめました。

このページは急いで作ったので、間違いや漏れがあるかもしれません。そもそも法律自体が曖昧なので、前例や判例が増えながら徐々に定義が固められていくはずです。随時修正や追記をしていきます。

なお、情報は圧倒的に英語のサイトの方が多いので、なるべく一次ソースに近い情報を英語で読むと良いでしょう。アナリティクスに関しては、GoogleよりもAdobeの方が丁寧で迅速な情報提供やサポートをしているので、GAしか使っていない場合でも、動向をチェックしておくのがおすすめです。

参考:GDPR and Your Business | Adobe Privacy Center