Webサイトを運用するうえで、個人情報をどう扱っていくかという問題は無視できないものです。技術アップデートが進み、顧客体験の向上を感じる一方で、個人のデータをどう活用し、守っていくかという課題もあります。

2018年4月、Googleから、Googleアナリティクスのユーザー宛に、個人データの取扱に関するメールが送信されました。その中で、特にユーザーの注目を集めたのが、「データ保持期間」の設定です。

新しく追加されるこの設定は、Googleアナリティクスのサーバーに存在する一部のデータの保持期間を変更するものです。これを受けてWeb関係者の中では「データが消失してしまう!」といった様々な憶測や情報が飛び交い、混乱を招きました。

Googleアナリティクスを利用しており、どう対処すれば良いのかと悩んでいる方も多いと思われます。
よって今回は、この設定が追加された背景と、設定方法を解説します。

今回の仕様変更の背景

今回の仕様変更に対して正しく理解するためにも、「そもそもなぜこの変更が決まったのか」という背景を知っておくことが大切です。

一連の取り組みの裏側にあるのは、「個人情報をどう保護していくか」という問題です。
インターネットが日常に欠かせないものになり、顧客とのコミュニケーション手段が多様化する中で、個人情報に対する考え方も見直されるようになりました。
そうした課題の中で、今回の仕様変更が行われたと考えることができます。

EUの「一般データ保護規則」の影響

日本時間の4月20日、Googleアナリティクスの管理者宛に、以下のような翻訳版のメールが送信されました。簡単にではありますが、そこで取り組みの背景に関する記載がされています。

Google ではこの 1 年間、2018 年 5 月 25 日に施行される新しいデータ保護法「一般データ保護規則」の要件を満たすための取り組みについてお伝えしてきました。本日は、Google アナリティクス データへの影響が予想される重要なサービス変更と、一般データ保護規則の施行に備えるための最新情報についてお知らせいたします。お客様のユーザーの拠点が欧州経済領域(EEA)以外の場合でも、このメールをお読みいただき、必要な対応を行っていただけますようお願いいたします。
引用元:[ご対応ください] Google アナリティクス データの保持と一般データ保護規則に関する重要なお知らせ(Googleからの4月20日付のメール)

この文章を読むと、「一般データ保護規則(略称:GDPR)」の施行に備えた仕様変更であることが分かります。GDPRは、欧州経済領域(EEA)内での個人データの取扱いに関する法規則です。

EEAは、EU加盟国とノルウェー、リヒテンシュタイン、アイスランドを指します。EEAと日本では、個人情報保護に関する意識に違いが見られます。

例えば、個人情報の範囲の違いです。その1つに、日本の個人情報保護法では、氏名を含まない個人の履歴データは個人情報ではないとしていますが、GDPRにおいてはこれも個人情報に当てはまるとしています。デジタル化が進む現代に合わせた法整備が進められているのです。

GDPRが施行されることで、個人データの取扱について、時代に合わせ、より明確なルールが規定されることになります。それを受け、多くのユーザーの個人データを扱っているGoogleも当然ですが、対処を取る必要が出てきました。それが今回の「データ保持期間」の設定追加です。

なお、GDPRの適用範囲や企業に必要な対策については、複雑であるほか、本筋から逸れるためここでは説明を省略します。さらに詳しく知りたい方は、以下のリンクを参照してみてください。

参考:
[EUで施行されるGDPRとは?日本の企業も知らなきゃ損するホームページのプライバシー保護|ferret [フェレット]] (https://ferret-plus.com/10039)

[「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)] (https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf)

EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先端技術株式会社

欧州連合における個人情報保護の枠組みGDPR、その現状と対策のポイント : 富士通マーケティング