「一般データ保護規則(GDPR)のお知らせ」は素直にGoogleに従う方が良いかも

Rawpixel com 603645 unsplash data analytics

追記】記事執筆当初より事の理解が深まり、現時点では無制限に変更するのではなく、素直に情報に従った方が良いのではないかという判断に至り、タイトルおよび内容を変更致しました。既にご覧頂いている方も改めてご確認頂ければ幸いです。

Google Analyticsを使用している人であれば、下記内容のメールを受信しているかも知れない。件名には「[Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR)」と書かれている。

Today we introduced granular data retention controls that allow you to manage how long your user and event data is held on our servers. Starting May 25, 2018, user and event data will be retained according to these settings; Google Analytics will automatically delete user and event data that is older than the retention period you select. Note that these settings will not affect reports based on aggregated data.

最近は日本語の翻訳版として「一般データ保護規則(GDPR)に関する重要なお知らせ」という件名で同じ内容のメールを受信しているはず。

Google では昨年 8 月より、多くのサービスの契約条項を更新し、新しい法律の下での Google の立場をデータ処理者またはデータ管理者のいずれかとして示しています(Google 広告サービスの全分類をご覧ください)。一般データ保護規則に関する新しい条項は Google とお客様の契約を補完するものであり、2018 年 5 月 25 日に発効します。

背景として、EUで施行されるデータ保護規則に伴い、Googleもこれに準ずる設定を適用することになったようだ。

メールは受信しているが、具体的に何をするべきなのか分からない、という人も少なくないはず。何を隠そう、僕もその1人で「5月25日までに何かデータが消えるらしい(ホジホジ」ぐらいにしか思っていなかった。

ところが、よくよくメールを見てみると、結構重要なことが書かれている。日本語の文面ではものすごく分かりづらいが、原文である英文によると、2018年5月25日以降、ユーザーが設定したデータ保存期間以前のデータはすべて消去される、という内容だった。

当初は、ユーザーがデータの保存期間を「期間無制限」に設定することも可能であることから、無制限に変更する方法を案内していたが、「一般データ保護規則(GDPR)対策によるGoogleAnalyticsのデータ保持期間を変更するリスク」を改めて読み、この件について理解が誤っていたことが分かった。

結論から言うと、そもそも保持期間をすぎると削除されるのはユーザーデータとイベントデータのみとなっていて、集約されたデータは影響を受けないことが分かった。

削除されるのは「保存されたユーザー単位やイベント単位のデータ」

Googleではこのことについて、「データの保持」について下記のように解説している。

Google アナリティクスのデータ保持コントロールを使用すると、保存されたユーザー単位やイベント単位のデータがアナリティクスのサーバーから自動的に削除されるまでの期間を設定できます。

これらが執行されるのが、メールで案内された2018年5月25日以降、ということになる。

問題は消えるデータだ。僕は完全にすべてのデータが消えると理解していたため、当然ながら過去のデータを削除されるのは困るとして無制限に変更する方法を紹介したが、実際は「ユーザーデータとイベントデータ」のみが対象

これは何かというと、Googleでは下記のように説明している。

保持期間は、Cookie、ユーザーの識別子(例: ユーザー ID)、広告 ID(DoubleClick Cookie、Android の広告 ID、Apple 広告主向け識別子など)に関連付けられたユーザー単位やイベント単位のデータに適用されます。

さらに、Googleは「集約されたデータは影響を受けません」と明言。つまり、アクセス数などの情報は引き続き確認することができる、ということだ(と、僕は理解している)。

とは言え、データをあえて手放すのは嫌だ、と思っている人も少なくないはず。Googleがあえてこのようなことを対応を行う決定をしたのは、しっかりと理由がある。

それが冒頭で触れたEUの「一般データ保護規則(GDPR)」。日本貿易復興機構「ジェトロ」の解説ページは以下のように説明している。

GDPRは、EUを含む欧州経済領域(EEA)域内で取得した「氏名」や「メールアドレス」「クレジットカード番号」などの個人データを EEA 域外に移転することを原則禁止しており、現地進出の日系企業に勤務する現地採用従業員や、日本から派遣されている駐在員も含まれるため注意が必要とされます。行政罰規定があり、違反行為に対しては、高額の制裁金が課されるリスクもあります。

ここで確認するべきは、違反行為が確認された場合、高額の制裁金が課されるリスクがある、ということ。

あくまでもEU内に適用される規則だと思い込んでいたが、先ほど紹介した記事に書かれてあった通り、「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編) には衝撃の一言が書かれている。

EEA 域内に現地法人・支店・駐在員事務所を置かない事業者であっても、インターネット取引などで EEA 所在者の顧客情報を取得・移転する場合、適用対象となり得る。また、こうした事業者には EU における代理人の選任義務が課せられるケースがあり、その場合の義務違反にも高額の制裁金が課されるリスクがあるので要注意だ。

※強調表示はgori.meによるもの

要は、データを保持しているだけで罰されるリスクがある、ということだ(と、僕は理解している)。

よって、Googleがデフォルトで設定している通り、データ保持期間を26ヶ月のままにしておいた方が良い可能性もある。取り急ぎ、むやみに「無制限」にするのは良くない可能性があるため、記事を大幅に書き換えた。執行されるまでにまだ時間はあるので、確認しておきましょう。

Google Analyticsでデータの保存期間を無制限にする方法

それでもデータの保存期間は無制限にしたい、という場合は下記設定を参考にどうぞ。

まず、「Google Analytics」にログインし、左下の「管理」ボタンをクリックする。
Google Analytics Settings for Data 01 2

「管理」画面を開くと、「アカウント」「プロパティ」「ビュー」という3つのペインが並ぶが、中央にある「プロパティ」の中にある「トラッキング情報」をクリックし、展開されるメニューの中にある「データ保持」をクリックする。
Google Analytics Settings for Data 03 2

ユーザーデータとイベントデータの保持」と書かれたメニューが表示されるため、「自動的に期限切れにならない」を選択肢、「保存」をクリックして完了。僕の場合は「26ヶ月」に設定されていた。
Google Analytics Settings for Data 02 2