2018年5月、GDPR(一般データ保護規則)の適用が開始されて以来、企業はデータの取扱いに対して、法令遵守の義務が生じ、大きな変革が生じています。
この法制度は、欧州連合(EU)を含む欧州経済領域(EEA)域内で取得したデータや域内の居住者のデータを対象としていますが、今では多くの国や地域で類似した法制度の施行が進み、現在、企業は世界中でプライバシー保護の関連法令のコンプライアンスに迫られている状況と言えます。
データを収集・管理・分析する立場にあるWebサイトの運営者やマーケティングの担当者にとって、GDPRを遵守し、その規定に運用や業務を適合させることは極めて重要です。
現在、多くのGoogle Analyticsの利用者は、マーケティング活動やデータ分析を継続しながら、いかにしてGDPRに適応するか、その方法を模索しています。
この記事では、GDPRに準拠しながら、かつGoogle Analyticsを有効に活用し続ける可能性や代替手段のアプローチについて紹介します。
GDPRに対しては、Google Analyticsも対応が必要
2006年頃に日本に上陸して以来、今やほとんどの企業がアクセス解析にGoogle Analyticsを利用しています。GDPRで定められている規定の多くは、GAFAMに代表されるいわゆるビッグテックを狙い撃ちしているとも指摘されています。
では、我々がGoogle Analyticsを利用し続けることに対して、GDPRはどのような影響を及ぼすのでしょうか?
GDPRで定められているデータの取扱いの規定
GDPRでは、EU域内で収集した個人データについて、EU域外への転送や処理を原則として禁止しています。ここで重要なのは、国と地域をまたがる広大なEU圏に対して、各加盟国に共通のプライバシー関連規則が適用されているという点です。
拡張を続けるEU圏において、加盟国の増加に伴い、適用エリアはさらに拡大するという点も念頭に置いておく必要があります。
GDPRの影響を受けるGoogle Analyticsの要素
Google Analyticsでは、Webサイトで収集したデータをGoogle社のサーバーへ転送し、分析を行ないます。
2023年3月、ノルウェーのデータ保護局より、Google Analyticsの利用は、GDPRに違反していると暫定的な結論に至ったことが発表されました。その他、オランダやフランス、オーストリアでもGoogle Analyticsの使用禁止を勧告しています。
Googleが提供している各種サービスやGoogle Analyticsの仕組みそのものが、GDPRの規定に準拠していないと各国のデータ保護当局から判断されるケースが今後も増える可能性があります。
【参考】:Varsel om vedtak i Google Analytics-saken
Google Analytics4
各国のデータ保護当局から同様の判断が続く中、Googleでは新たにGoogle Analytics4の開発を進め、2020年10月に正式にリリースしました。
Google Analytics4には、主に下記の特徴があります。
・EU内のデータはEU内で処理される
・IPアドレスを記録しない、または匿名化する
・地域毎に収集するデータの有効化・無効化が可能
Google Analytics4は、GDPRへの対応を意識して設計されています。ただし、現時点でGoogle Analytics4がGDPRに完全に準拠しているという判例は出ておらず、また、Google Analytics4がリリースされた以降も、EC各国のデータ保護当局からのGDPR違反との判定や利用停止勧告が続いています。
これらの動向は今後も注視する必要があります。
GDPR違反が現実に?制裁金が生じた事例を紹介
実際にGoogle Analyticsの利用に伴うデータ転送を「GDPR違反」と判定し、制裁金を科したケースがあります。
EUとUS間でのデータ転送
スウェーデンのIMY(データ保護局)は、EU域内で収集したデータをUS(米国)へ送信することを違法と判断しています。そのため、Google Analyticsを使用していた通信プロバイダーやオンライン小売企業に対して制裁金を科しました。
EUとUS(米国)間のデータ転送については、2020年にCJEU(欧州司法裁判所)により、GDPR違反の可能性が高いとされていましたが、多くの企業では、Google Analyticsの利用に付随して実行されるEU域内からEU域外へのアクセス解析データのデータ転送に関して、直接的な対策を行っていませんでした。
このケースは、Google Analytics の利用に関連して、初めてGDPR違反の制裁金が課された事例となりました。
【参考】:noyb win: First major fine (€ 1 million) for using Google Analytics
海外での事例ですが、日本企業がこのような制裁金を課せられるリスクはゼロではありません。
必要な対策は、すみやかに実行する必要があるでしょう。
中長期的なGDPR対策のアプローチとは?
インターネットユーザのプライバシー保護や関連法令のコンプライアンス違反と判断され、制裁金が課されるケースは、年々増加傾向にあり、今やGDPRへの対応は急務であると言えます。
多くの企業で活用されているGoogle Analyticsではありますが、その利用によってGDPR違反の制裁金が課される判例が出ている中、このままGoogle Analyticsを利用していては、GDPRへの対応は難しく、また、訴訟のリスクが回避できないと考える企業も少なくないでしょう。
代替手段として、「自社でGDPRに対応した環境を構築する」、または、「GDPRに準拠した外部サービスを活用する」の2パターンを軸に考えてみましょう。
自社でGDPRに対応した環境を構築する
GDPRの法的要件を調査、確認し、自社のWebサービスに合わせた実装を行ないます。GDPRだけではなく、自社のプライバシーポリシーに完全に準拠した対策を講じることができる点が大きなメリットです。ただし、システム開発のコストや要求される専門知識はもちろん、GDPRに関する法的知識も要求されます。
GDPRの対応については以下の記事で詳解しています。合わせてご参考ください。
【関連記事】:GDPR対応のポイントは、利用者の利便性の確保とプライバシーの保護!
GDPR準拠の外部サービスを活用する
既にGDPRに対応しているアクセス解析サービスも存在しています。
自社の要件に合ったものを採用することで、GDPRに準拠したアクセス解析環境を構築し、利用することが可能です。
GDPRのみならず、個人情報保護法や電気通信事業法などにおいても、近年、プライバシー保護に関連した法改正がなされています。外部サービスの活用は、結果的には、自社で対応をし続けるよりも、長期的にはトータルコストを抑え、かつコンプライアンスの維持・強化にかける時間的、心理的な負荷を軽減できる効果が期待できます。
【関連記事】:企業のGDPR対応をサポートするツール、その用途と種類を解説!
企業は、GDPR違反による制裁金や信用の失墜などのリスクが、現実となりえる状況にある中で、自社の事業を展開・発展させながら、かつGDPRをはじめとする今後のプライバシーに関連する法改正や新たな規制に対応し続けることが求められています。
しかし正直なところ、きちんと対応をしようとすればするほど、各企業は相当な負担を抱えることになり、対策の実行を先延ばしにすることにも、相応のリスクが伴います。
では、どのような観点で対応を検討していけば良いのでしょうか。
長期的な視点でアナリティクス基盤の検討を
Webサービスを展開する上で、詳細なアクセス解析を実施して改善を繰り返すことは、Webサイトの運営やマーケティングの実行において、非常に重要なプロセスのひとつです。
安心してGoogle Analyticsを利用しづらくなった現在では、改めてアクセス解析ができる別の方法を検討するのも有効な手段ではないでしょうか。
RTmetricsでは、GDPRに準拠した環境を構築する機能を標準で搭載しており、事業者のニーズに合わせたアクセス解析を行なうことが可能です。
Webビーコン型、Webログ型、パケットキャプチャ型の3パターンでアクセス解析が可能であり、Webサービスの設置場所や特性、運営されている方の都合に合わせて、使用するモジュールの組み合わせを自由に選択することができます。
これからのアクセス解析に不安を感じている方は、ぜひ一度、RTmetricsをご検討ください。