資料

GDPR対応について

多くの国や地域で個人情報の定義に新たにIPアドレスやCookieが含まれるようになり、GDPRが施行されている欧州では、裁判で高額な賠償金を求める判決が現実化する中、個人のプライバシー保護とデータセキュリティに対する関心が急速に高まっています。日本においても、改正個人情報保護法の施行に合わせて、どのようなデータを収集・管理し、法令を遵守しながらデータ活用を行うべきか、本格的な検討に着手する企業が急増しています。

アクセス解析データの保管場所

現在、業務に広く浸透している無償・有償のSaaSの利用にあたり、見落されがちなのが、データの保管場所です。SaaSの提供事業者側では非公開としているケースが多く、ユーザ企業は自社のデータが国内にあるのか、国外にあるのか、把握していない、もしくは、把握したくてもできない、といったケースが数多く見受られます。
GDPRにおける個人データの移転(EU圏内外、越境移転など)と合わせて論じられることが多いこの問題について、RTmetricsのご利用に際しては、まずシステムの設置場所、データの保管場所をお客様がご自身で決めて頂くことを前提としています。RTmetricsは、ソフトウェアとしてご提供しており、実機・クラウド、どちらの環境でもご利用頂くことができます。

図:解析データの保管場所を自社で管理できることの重要性

法令遵守とデータ活用の両立は急務

RTmetricsでは、サイト訪問者のプライバシー保護対応を必須とする企業様に向け、個人情報を含まない匿名情報としてデータを保存し、アクセス解析を行うオプション機能を最新バージョン(RTx-9.3.0)で追加しました。また、より厳格な運用構築を必要とする企業様に向け、指定したCookieやログインIDに紐づくWebサイト上のアクセス履歴をDB上から過去に遡って消去する機能をご提供しています。RTmetricsに従来から標準搭載されているマッピング機能と組み合わせてご利用頂くことで、自社のプライバシーポリシーに準拠したデータに加工・保存・管理し、法令を遵守しながら、今や企業の成長に不可欠となったデータ活用に安心して取り組んで頂くことができます。

図:コンプライアンスとデータ管理の検討プロセス例

RTmetricsを活用した具体的な対策例

1. 対策レベルの検討

主に日本のユーザ向けにサービスを提供(日本の法令を遵守)、グローバルに事業を展開(関連各国の法令を遵守)など、企業が提供しているサービス内容や事業ドメイン、提供地域により、必要とされるプライバシー保護の対策レベルは異なります。RTmetricsは、必要とされる対策レベルに対応したプライバシー保護を実現する各種設定の実装を標準機能でご提供しています。
※RTmetricsの機能を使った実装と取得したデータおよび運用について、法令遵守していることを保証するものではありません。法的な見解については、自社の法務部門や企業弁護士に必ずご相談下さい。

CookieやIPアドレスなど個人情報として識別される可能性が高いデータへの対応

アクセス解析においてCookieやIPアドレスは、ユニークユーザ数の計測やセッションの判定、再来訪の判定などに利用されています。自社が展開しているサービスや事業、対象国・地域に合わせて、必要とされるプライバシーポリシーおよび個人情報保護の対策レベルをご検討の上、RTmetricsで実施すべきデータの加工内容、保存形式等をご検討下さい。どの形式で保存した場合もアクセス解析の標準的な指標(PV・UU・セッション)は通常どおりレポートされます。

表:CookieおよびIPアドレスの対策レベル

個人情報に該当する可能性があるデータの精査および対策の実施(URLやログインID、位置情報など)

Cookie以外にも個人情報に該当する可能性があるデータを収集・記録していないか、サイト全体にわたり確認を行います。ログインID、会員番号、サイトのURLの文字列やパラメータの一部、マイページ、購入完了ページ、トランザクションIDなどが、確認のポイントになります。RTmetricsは、対象を指定し、データを加工する機能(マッピング)が標準で搭載されています。例えば、個人情報に該当する文字列のみを切り出し「記録しない」または「他の文字列に変換する」など、加工して保存する設定を適切に実装し、対策を行います。

表:個人情報に該当する可能性があるデータおよび確認のポイント

2. 目的により複数の要件が共存しているケースへの対応

RTmetricsでは、グループ単位でデータを保管・管理しています。個人情報を一切保存しないグループでサイト全体のアクセス解析の基本指標を把握し、かつ、CRMやMA、BI等の外部システムと連携した高度なデータ活用に個人情報を保存したい要件が共存している場合、RTmetrics上でグループを分けて設定することで、プライバシー保護と高度なデータ活用のニーズの両方の要件を満たす環境を構築することができます。

データ活用や解析の異なる要件に対応する柔軟な解析グループ設計

RTmetricsでは、「Cookieを使用する」、「Cookieを使用しない」の選択についても、標準搭載されているマッピングの設定で実現できます。右表は、もっとも厳しいポリシーに準拠したCookieを一切使用しない「Cookieレスグループ」、CookieやIPアドレスは匿名化・マスク化して保存するポリシーの「匿名グループ」、各Webサイトの訪問者からオプトインを取得し個人情報を収集、高度な分析やデータ活用に利用する「個人情報保存グループ」の異なる要件に基づく各ポリシーに沿ったデータをRTmetrics上のグループを分けて収集・管理することで、1つのRTmetricsの環境で実現し、運用する例となっています。

表:データ活用の目的により異なる保存データの種類や管理ポリシー

今日からはじめてみませんか?

AURIQの製品・ソリューションの
資料をお配りしています。
お電話でも承ります。お気軽にご相談ください。