2018年5月25日より、Google Analyticsのユーザーデータとイベントデータが自動的に削除されるようになりました。この変更の背景、影響範囲、利用者がどう対応すべきかをまとめました。
GDPRとは
欧州議会、欧州理事会および欧州委員会が策定した新しい個人情報保護の枠組み。「EU一般データ保護規則」(GDPR:General Data Protection Regulation)が正式名称です。
グローバル化やクラウドサービスの利用拡大、ビッグデータと呼ばれるように取得・分析されるデータの大幅な増大を背景に、個人情報保護の重要性は高まっていますが、同時にサイバー攻撃、内部不正などによる個人情報漏えいのリスクも急速に高まっている現状があります。
1995年には、EUデータ保護指令が策定されていましたが、それに代わる、より厳格なものとしてGDPRは発効されました。EU(欧州連合)内のすべての個人(市民と居住者)のために、個人データのコントロールを取り戻し、保護を強化することを意図しています。GDPRは、2012年に立案、2016年4月に採択され、2018年5月25日に施行され、個人データを収集、処理をする事業者に対して、多くの義務が課されることになります。
なぜGoogle Analyticsでデータ保持期間が設けられたのか
Google Analyticsでデータ保持期間が設けられた背景には、「GDPR(General Data Protection Regulation: 一般データ保護規則」があります。GDPRとは、EUにおける新しい個人情報保護の枠組みで、個人データ保護や取り扱いについて詳細に定められています。万が一、規制に違反した場合は、約26億円、もしくは当該企業の全売上高の4%のいずれか高い方という高額な制裁金が科せられます。
この運用が2018年5月25日に始まったことを受け、Googleのサーバーに保存されている保護対象となるデータの保持期間を、Google Analytics利用者自身が管理できるようにしたというのが、今回の流れになります。
データが削除されることによる影響範囲
削除対象は、ユーザーやブラウザといった「プライバシーに関連するデータ」です。
具体的には
- Cookie
- ユーザーの識別子(例: ユーザー ID)
- 広告ID(DoubleClick Cookie、Androidの広告ID、Apple広告主向け識別子など)
これらに関連付けられた「ユーザー単位」や「イベント単位」のデータが削除されます。
データが削除されても、集計データに基づくレポートには影響はないとGoogleは述べています。
つまり、全体のセッション数/ユーザー数/ページビュー数など、Google Analyticsで主に使われる機能には影響しないと見られます。しかし、Google Analyticsがブラウザごとに発行する「クライアントID」というものを使った計測ができなくなると思われます。
また、Google Analyticsに特殊な設定や使い方をしている場合は、影響が出る可能性があります。
パブリッシャーが取るべき対応
この対策として、自動的にデータが削除されないように設定することも可能です。
- ①[管理] をクリックして、編集するプロパティに移動
- ②③[プロパティ] 列の、[トラッキング情報] > [データ保持] をクリック
- ④ユーザーデータの保持: 希望の保持期間を選択
- ⑤保存をクリック
「自動的に期限切れにならない」を選択すれば、データが削除されることはありません。
※デフォルトでは26ヶ月に設定されます
※プロパティの編集権限がないと設定できません
データを削除しない場合のリスク
この仕様変更の本質はプライバシー保護にあります。データの自動削除機能を利用せずに情報を保持し続けることは、GDPRに抵触するリスクを抱え続けるということになります。
閲覧ユーザーのデータになるので、EUからのアクセスを禁止していない限り、ほぼ全てのメディアにリスクがあると言えます。
こうしたリスクとGoogle Analyticsの活用の仕方を踏まえ、データ保持に期限を持たせるかどうか、検討をされることをお勧めいたします。
