Webサイトを運用するうえで、個人情報をどう扱っていくかという問題は無視できないものです。技術アップデートが進み、顧客体験の向上を感じる一方で、個人のデータをどう活用し、守っていくかという課題もあります。

2018年4月、Googleから、Googleアナリティクスのユーザー宛に、個人データの取扱に関するメールが送信されました。その中で、特にユーザーの注目を集めたのが、「データ保持期間」の設定です。

新しく追加されるこの設定は、Googleアナリティクスのサーバーに存在する一部のデータの保持期間を変更するものです。これを受けてWeb関係者の中では「データが消失してしまう!」といった様々な憶測や情報が飛び交い、混乱を招きました。

Googleアナリティクスを利用しており、どう対処すれば良いのかと悩んでいる方も多いと思われます。
よって今回は、この設定が追加された背景と、設定方法を解説します。

今回の仕様変更の背景

今回の仕様変更に対して正しく理解するためにも、「そもそもなぜこの変更が決まったのか」という背景を知っておくことが大切です。

一連の取り組みの裏側にあるのは、「個人情報をどう保護していくか」という問題です。
インターネットが日常に欠かせないものになり、顧客とのコミュニケーション手段が多様化する中で、個人情報に対する考え方も見直されるようになりました。
そうした課題の中で、今回の仕様変更が行われたと考えることができます。

EUの「一般データ保護規則」の影響

日本時間の4月20日、Googleアナリティクスの管理者宛に、以下のような翻訳版のメールが送信されました。簡単にではありますが、そこで取り組みの背景に関する記載がされています。

Google ではこの 1 年間、2018 年 5 月 25 日に施行される新しいデータ保護法「一般データ保護規則」の要件を満たすための取り組みについてお伝えしてきました。本日は、Google アナリティクス データへの影響が予想される重要なサービス変更と、一般データ保護規則の施行に備えるための最新情報についてお知らせいたします。お客様のユーザーの拠点が欧州経済領域(EEA)以外の場合でも、このメールをお読みいただき、必要な対応を行っていただけますようお願いいたします。
引用元:[ご対応ください] Google アナリティクス データの保持と一般データ保護規則に関する重要なお知らせ(Googleからの4月20日付のメール)

この文章を読むと、「一般データ保護規則(略称:GDPR)」の施行に備えた仕様変更であることが分かります。GDPRは、欧州経済領域(EEA)内での個人データの取扱いに関する法規則です。

EEAは、EU加盟国とノルウェー、リヒテンシュタイン、アイスランドを指します。EEAと日本では、個人情報保護に関する意識に違いが見られます。

例えば、個人情報の範囲の違いです。その1つに、日本の個人情報保護法では、氏名を含まない個人の履歴データは個人情報ではないとしていますが、GDPRにおいてはこれも個人情報に当てはまるとしています。デジタル化が進む現代に合わせた法整備が進められているのです。

GDPRが施行されることで、個人データの取扱について、時代に合わせ、より明確なルールが規定されることになります。それを受け、多くのユーザーの個人データを扱っているGoogleも当然ですが、対処を取る必要が出てきました。それが今回の「データ保持期間」の設定追加です。

なお、GDPRの適用範囲や企業に必要な対策については、複雑であるほか、本筋から逸れるためここでは説明を省略します。さらに詳しく知りたい方は、以下のリンクを参照してみてください。

参考:
[EUで施行されるGDPRとは?日本の企業も知らなきゃ損するホームページのプライバシー保護|ferret [フェレット]] (https://ferret-plus.com/10039)

[「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)] (https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf)

EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先端技術株式会社

欧州連合における個人情報保護の枠組みGDPR、その現状と対策のポイント : 富士通マーケティング

新しく追加された設定

ここまでは、背景的な部分に触れました。ここからは、具体的にどのような設定が追加され、必要になったのかを見ていきましょう。

「データ保持期間」の設定

1つが、「データ保持期間」の設定です。Googleアナリティクスのサーバーから、ユーザー単位、イベント単位のデータが自動的に削除されるまでの期間を変更できます。

image2.png

値は、以下の5つから設定が可能です。

  • 14ヶ月
  • 26ヶ月(デフォルト値
  • 38ヶ月
  • 50ヶ月
  • 自動的に期限切れにならない

誤解しないように注意したいのが、この設定がすべてのデータに関して適用されるわけではないということです。

Googleアナリティクスのヘルプでは、以下のように説明されています。

保持期間は、Cookie、ユーザーの識別子(例: ユーザー ID)、広告 ID(DoubleClick Cookie、Android広告 ID、Apple 広告主向け識別子など)に関連付けられたユーザー単位やイベント単位のデータに適用されます。

集約されたデータは影響を受けません。”
引用元:データの保持 - アナリティクス ヘルプ

上記のように、「データ保持期間」が適用されるのは、ユーザー単位のデータとイベント単位のデータということになります。

これは、ユーザー1人ひとりが何回サイトにアクセスしたか、どのようにページを遷移したか、ページのどのリンクをクリックしたか、といった情報を指します。

Webサイト全体のデータや、ページ単位のデータは、個人情報に基づかない「集約されたデータ」であり、保持期間の設定とは関係がないことに注意が必要です。

参考:
[Google Analytics に新たに導入された「データ保持」の設定に関する誤解と対策 | ニュース・コラム | バーンワークス株式会社] (https://burnworks.com/news/article/350/)

「新しいアクティビティをリセット」

もう1つ確認したいのが、「新しいアクティビティをリセット」という項目。オンオフの設定が可能です(デフォルトではオン)。
先ほど述べたように、データ保持の対象になるのは、ユーザー単位、イベント単位の情報です。

image1.png

これらの情報は、「データ保持期間」で設定された期間を過ぎると消去されますが、「新しいアクティビティをリセット」をオンにすることで、再訪(厳密にはイベントが発生)したユーザーに関するデータの保持期間は再びリセットされます。

例えば、デフォルトの26ヶ月の保持期間設定の場合。あるユーザーが最後に訪問した月が今年の5月だとします。このまま26ヶ月後まで1度もユーザーが再び訪問しなかった場合は、データが消去されます。

しかし、翌月である6月に再びそのユーザーが訪問した場合、保持期間はリセットされ、その時点から26ヶ月間データが保持されます。
つまり、保存期間内にユーザーが訪問を繰り返している限りは、そのユーザーのデータが消えることはありません。

具体的な設定手順

以下、データ保持に関する具体的な設定の手順です。

【設定手順】
1. Googleアナリティクスにログイン
2. 画面左の歯車アイコン(管理)をクリック
3. 編集したいプロパティから「トラッキング情報」→「データ保持」の順にクリック
4. 「ユーザーデータとイベントデータの保持」で保持期間を変更
5. 「新しいアクティビティをリセット」をオンまたはオフに

設定が有効になる時期、GDPRへの対応

Googleアナリティクスのヘルプによれば、データ保持期間の設定が有効になるのは2018年の5月25日(GDPRの施行日)以降です。

そして、設定の適用までには24時間の猶予時間があると記載されているため、万全を期するならば、前日の24日までに適切な設定を完了していることが必要になるでしょう。

また、冒頭でも少し述べましたが、GDPRが自社のビジネスに適用されるかどうかは、確認したうえで対処が必要かどうかの判断をすることが求められます。グローバルにWebサイトを展開している企業は特に注意が必要といえるでしょう。

拠点が欧州経済領域ではない場合も、自社の法務部門や顧問弁護士と相談することをGoogleも推奨しています(4月20日付のメールにて)。まだGDPRへの対応を取っていない担当者の方は検討が必要です。

参考:
「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)

EU一般データ保護規則(GDPR)の概要(前編) | NTTデータ先端技術株式会社

まとめ:個人情報の扱いについて対策を取ろう

Googleアナリティクスの「データ保持期間」の設定について、背景的な部分を交えながら述べました。設定に際しては、適用されるデータの範囲などを正しく理解しましょう。

多くのユーザーが利用しているツールだけに、たくさんの情報が公開されています。短絡的な判断をせず、Googleが発表する情報をしっかりと読み込んだ上で、対処していきたいところです。

個人情報に関する考え方の変化や、それに合わせた取り組みの中で、今回の仕様変更が行われています。この機会に、デジタル時代の個人情報の扱い方について今一度考え、対策を取ることが大切です。