皆様こんにちは!
今週は、バンコクに出張に行っておりまして、昨日やっとクアラルンプールに戻ってきました。
実は、タイでは先週から今週にかけてソンクラーン(タイの水かけ祭り)がありました。運よくソンクラーン後に出張でしたが、もしソンクラーンに遭遇するとノートPCが水浸しの可能性がありました。危ないところでしたね笑
ところで、先週にGoogleより各クライアントに送信されている、"一般データ保護規則(GDPR)に関する重要なお知らせ"について、結構情報が錯綜しておりますので、一旦整理してみました。
この件、結論からお伝えしますと、
ってことです。
いったいどういうこと?という方が圧倒的に多いと思いますので、順を追って解説していきます。
まず、一般データ保護規則(GDPR)とは何か?といいますと、EUが発表した個人情報保護のガイドラインのことです。
詳しくはこちらをご覧いただければと思います。
また、JETROが本件に関してガイドブックを作成していますので、日本語で詳細を知りたい方はこちらをご覧ください。
上記の情報をまとめると、一般データ保護規則(GDPR)とは、EU圏内(EEA)所在者の顧客情報を扱う場合のポリシーと罰則規定が定義されたものだと解釈できます。
因みに、対策とその方針も発表されてまして、その内容は以下の通りです。
原文(英語):15 steps to developing GDPR-compliant apps
このような背景から、GoogleAnalysticsもデータ保持方針の変更がありその仕様変更が発生した、というわけです。
従来、GoogleAnalysticsはデータを無期限に持っていましたが、今回の一般データ保護規則(GDPR)の件を受けて、データ保持ルールを変更しました。
具体的には、以下の様な設定が追加され、GAのユーザーデータとイベントデータの保持期間に制限が加わるようになっています。
5/25日以降は、上記の設定のポリシー通り、一定期間以降の過去データは参照できなくなります。
特に、通年でデータを参照し、年度ごとにデータを分析されている方は注意が必要となります。
ただし、この保持期間はすべてのデータに適用されるわけではありません。Googleに掲載されているデータのプライバシーとセキュリティに関するポリシーによれば、
が対象となりますので、集約されたデータ(例:レポート、グラフ)は影響を受けないとGoogle上に明記されています。
【Googleのデータのプライバシーとセキュリティ】
[GoogleAnalystics]データのプライバシーとセキュリティについて
https://support.google.com/analytics/answer/7667196?hl=ja
ということは、マーケティングに関するユーザー情報が主に影響を受けると考えてよさそうです。
では、なぜGoogleは、上記の様な仕様変更を行ったのでしょうか?
JETROの「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)によれば、一般データ保護規則(GDPR)が適用される個人データとは、以下の項目を指すとしています。
Googleが懸念したのは、おそらく上記の5にあたる"オンライン識別子"が無期限に保存される点です。
オンライン識別子が個人データとして扱われる可能性が高く、それを無期限に保持するのはGDPR上望ましくないと考えたからではないかと予想されます。
一般データ保護規則(GDPR)の罰則規定は、EU圏内(EEA)だけではなく、EU圏外の事業者でインターネット経由で得たEEA所在者の情報が漏洩した場合も罰則の対象となります。
特に、GoogleAnalysticsの場合、デフォルトで保持期間を定義したにも関わらずそれ以降のデータを保持し続け、結果として情報が漏洩した場合、GDPRに定義する巨額な賠償が発生する可能性があります。
ということは、極論を言ってしまうと、上述した個人を特定可能な個人データを保持すること自体、かなりハイリスクだと考えてよさそうです。
これは、GAに限らず、オンラインで提供している会員システムにも少なからず影響がありますので、ぜひ一度現状の仕様を確認したり、場合によっては法務的なリスクについて弁護士や司法書士に相談してみることを推奨いたします。