本日、朝Googleアナリティクスから突然のメール「[Action Required] Important updates on Google Analytics DataRetention and the General Data Protection Regulation (GDPR)」が届いていた。内容が気になったので翻訳・解説してみる。
目次
メールの内容
メールタイトルに[Action Required]と入っていたので対応が必要?何かやらかしてしまった!?と慌てたのだが翻訳してみると海外の新しいデータ保護法施工に合わせてGoogleアナリティクスをアップデートするよ~という内容っぽい。Googleによる翻訳結果は下記の通り。
Googleアナリティクス管理者様
過去1年間、2018年5月25日に新しいデータ保護法が施行され、GDPRの要件を満たすためにどのように準備しているのかをご紹介しました。今日、Googleアナリティクスのデータに影響する可能性のある重要な製品の変更、およびGDPRの準備のためのその他の更新この電子メールは、ユーザーが欧州経済圏(EEA)に所属していない場合でも、あなたの注意と行動を必要とします。製品のアップデート
今日は、ユーザーとイベントのデータがサーバー上で保持される期間を管理するための詳細なデータ保持コントロールを導入しました。 2018年5月25日から、これらの設定に従ってユーザーとイベントのデータが保持されます。 Googleアナリティクスでは、選択した保存期間より古いユーザーとイベントのデータが自動的に削除されます。これらの設定は、集計データに基づくレポートには影響しません。
処置:これらのデータ保持設定を確認し、必要に応じて変更してください。
5月25日までに、Googleアナリティクスやアナリティクス360の各プロパティから、個々のユーザー(サイト訪問者など)に関連付けられているすべてのデータの削除を管理できる新しいユーザー削除ツールについても紹介します。この新しい自動化ツールは、解析クライアントID(すなわち、標準のGoogle Analyticsファーストパーティクッキー)、ユーザID(有効な場合)、またはアプリケーションインスタンスID(FirebaseためにGoogle Analyticsを使用している場合)に送信された共通の識別子のいずれかに基づいて動作します。まもなくディベロッパーサイトで詳細をご覧いただけます。いつものように、私たちはあなたのデータを保護する方法を提供することを約束します。 Googleアナリティクスとアナリティクス360では、引き続きデータの収集、使用、保存に関するさまざまな機能やポリシーを提供し、データの保護に役立てています。あなたの会社の独自の状況とAnalyticsの実装のためのGDPRの影響を評価するようたとえば、カスタマイズ可能なクッキーの設定、プライバシー制御、データ共有設定、アカウントの終了時にデータの削除、およびIPの匿名化のための機能が有用であることを証明し得ます。
契約書とユーザー同意の更新
契約変更
Googleは、昨年8月以来、新しい法律の下でGoogleのデータプロセッサーまたはデータコントローラーとしてのステータスを反映して、多くの製品の契約条件を更新しています(広告製品の完全な分類を参照)。新しいGDPRの条件は、Googleとの現在の契約を補完し、2018年5月25日に発効します。
Google AnalyticsとAnalytics 360の両方で、Googleはサービスで処理される個人データのプロセッサとして動作します。
•EEAおよびすべてのAnalytics 360の顧客以外のGoogle Analyticsクライアントの場合、更新されたデータ処理条件は、お客様のアカウントで確認/承認されます(管理→アカウント設定)。
•EEAに基づくGoogleアナリティクスクライアントの場合、更新されたデータ処理条件は既にお客様の条件に含まれています。
•測定製品を使用するためにGoogleと契約していない場合は、契約を結んでいる当事者にアドバイスを求める必要があります。
更新されたEUユーザー同意ポリシー
Googleの広告機能ポリシーでは、広告機能を使用するGoogleアナリティクスとアナリティクス360の両方のユーザーが、GoogleのEUユーザー同意ポリシーに準拠している必要があります。 GoogleのEUユーザー同意ポリシーは、GDPRの新しい法的要件を反映するように更新されています。 EEAのサイトおよびアプリのエンドユーザーに開示し、同意を得る責任を設定します。
アクション:あなたはEEAに基づいていない場合であっても、Googleアナリティクスと分析360と見直しを使用しているときあなたのビジネスはGDPRの範囲にあるかどうか/だけでなく、更新されたデータ処理条件を受け入れ、自分の法務部門や顧問と一緒にご検討くださいEUユーザー同意ポリシーに準拠するためのパスを定義します。
もっと見る
privacy.google.com/businessesを参照して、Googleのデータプライバシーポリシーとアプローチについての詳細を学び、Googleのデータ処理用語をご覧ください。今後数週間、今後も計画についての情報を共有し、必要に応じて関連する開発者やヘルプセンターのドキュメントを更新します。
ありがとう、
Googleアナリティクスチーム
また、アナリティクスの「データの保持」に関するヘルプは既に日本語化されているので合わせて確認してみて欲しい。
各種解説
メール内容について一つずつ解説してみる。
GDPR
「GDPR」とは2018年5月25日から欧州で新たに施工される個人情報保護に関する法律。「General Data Protection Regulation」の略であり、日本語で言うと「一般データ保護規則」にあたる。GDPRに関する詳細な説明はZDNet Japanのこちらの記事が詳しかった。
Googleとしては運用される5月前のタイミングに合わせてデータを削除可能とするアップデート、ポリシー変更、サービス利用者の責任を明確に説明した形だろう。
アップデート
アナリティクス自体のアップデートとしてはイベントデータを保持する期間を新たに管理可能となる「データ保持コントロール」を導入するらしい。ヘルプによると具体的には「自動的にデータが削除されるまでの保持期間」を下記から選択可能となる。
- 14ヶ月
- 26ヶ月
- 38ヶ月
- 50ヶ月
- 自動的に期限切れにならない
重要なのはアナリティクスの統計データ保持の保証期間制限(過去25ヶ月)が無くなることだろう。実際には2年以上前のデータも保存されているのだが、アナリティクス側で明確に保持期間を選択可能となる。
必要な対応
上記のアップデートに伴いアナリティクスユーザーは保持設定を確認し、必要に応じて変更する必要がある。また、個々のユーザー(サイト訪問者)に関連付けられた全てのデータを削除できる管理ツールも5月25日までに提供されるらしい。ここら辺は「忘れられる権利」に対応するためのツールだろう。
保持期間の具体的な設定変更方法は後述する。
データ保護
今までどおりアナリティクスデータはちゃんと保護するよ~的な話とGDPRの影響を考えてアカウント終了時にデータ削除やIP匿名化等もできるよ等の証明。
契約書・ユーザー同意の更新
現在の契約を保管して2018年5月25日に新しいのを発行するよ。管理→アカウント設定から確認・承認されるらしい。
EUユーザー同意ポリシーの更新
GoogleのEUユーザー同意ポリシーはGDPRの法的要件を反映した形で更新済みだよ。
必要な対応2
欧州以外の人もビジネスがGDPRの範囲内か確認して、更新されたデータ条件を受け入れてね。また、法務部門やコモンと一緒に検討してね。同意ポリシー準拠のための案内はこちら~的な話。
もっと見る
Googleのプライバシーに関するアプローチの詳細はこちら。Googleのデータ処理に関してはこちら。
保持期間の変更方法
概要が分かったところで具体的にユーザーデータ・イベントデータ保持期間を変更する方法を解説してみる。
アナリティクスにログイン
まずGoogleアナリティクスにログインする。
管理をクリック
左下の歯車マークの「管理」をクリック。
プロパティ→トラッキング情報
設定を行うプロパティ情報を選択して「トラッキング情報」→「データ保持」をクリック。
保持期間の変更など
「ユーザーデータとイベントデータの保持」から設定を変更し、保存ボタンをクリック。「Do not automatically expire」を選択すると「自動的に期限切れにならない」扱いとなる。
ちなみに「新しいアクティビティをリセット」はユーザーからの新しいイベント発生時に保持期間をリセットするか否かの設定。オンの場合はアクティビティごとに保持期間が更新されるイメージ。
一般的には「Do not automatically expire」と「オン」で良いと思う。この設定は2018年5月25日から有効となる。
感想
普段見慣れないメールで身構えてしまったが蓋を開ければ欧州の個人情報保護法制定に伴うアップデート・お知らせという内容だった。設定変更はしておくに越したことは無いがヘルプにもある通り「集約されたデータは影響を受けない」のでそのままでも問題ない。
以上、簡潔ではあるが概要と必要な対応をまとめてみた。記事内容を参考に設定変更等をしてみて欲しい。