欧米、とくにEUでは、GDPR(一般データ保護規則)が適用されており、個人データの収集と利用に対する厳格な規制があります。そのため、EUではプライバシー保護に関する意識が非常に高く、GA4の利用はGDPRに違反していると判断する国々もあり、プライバシーに配慮したウェブ解析ツールの需要が高まっています。
そのようななかでも、無料でアクセス解析を行えるGA4を使い続けるため、GA4はGDPRに準拠しているのか?を調べているユーザーや、それに答える記事がいくつか見つかります。
今回は、GA4とGDPRの関係についてまとめた海外の記事をご紹介します。
はじめに
Googleの公式見解は日本語でしっかり出ています。
過去にフランスなどでGoogleアナリティクスは違法という判決がでたことがありますが、それは個人データと見なされるデータの置き所がEU域内ではなかったからです。現在は対策されており、基本的にGA4はGDPRに準拠しているといえます。
但し普通には使えないケースも多く、各社の法的判断に従って下記を正しく制御することが重要となっています。
- Googleシグナルのデータ収集を地域単位で無効化する
- 地域とデバイスに関する詳細なデータの収集を地域単位で無効化する
- Cookie同意に基づきCookieを利用する
特に最後のCookie同意は全ての企業で対応必須ですが、同意されるまではGA4はデータ収集を行わず70%程度のデータが失われるという調査結果もあり、残念ながらデータを正しく保存する手法は存在しません。Googleタグの同意モードを使って簡易的に失われたトラフィックに対応することが推奨されていますが、プライバシー問題はGA4のみならず各種トラッキング系サービスに影響を与えており、よりデータの正確性を高めるためサーバーログやQA ZEROなど別の手段と併用することでトラフィックを復元する試みも一部の企業で行われ始めています。
上記を前提に、下記の海外の記事をご紹介しますが、一部昔のGA4を対象に書かれた部分もあると考えられるため、基本的に最新情報はGoogle公式ヘルプを確認することを推奨致します。但し海外記事の法的な観点からのGA4の捉え方は、今後の日本における参考になると思います。
GA4の設定と使い方によってはGDPRに準拠する
GDPRに準拠するためには、GA4の設定と使用方法にとくに注意を払う必要があります。以下で紹介する記事では、GA4がどのようにGDPRに対応しているか、具体的な対策方法について説明されています。
Is Google Analytics GDPR compliant in 2024, especially GA4?
This isn’t a simple yes or no answer. Navigating the GDPR’s maze of regulations and technical nuances requires understanding the evolving legal landscape, GA4’s specific features, and crucial steps to ensure compliance.
[…]
GA4 comes with a few privacy features that make it more privacy-friendly than the previous ones. Some of the features include allowing websites owners to:
- Employ IP anonymization
- Restrict data collection on specific web pages
- Set shorter data retention periods
- Erase data in response to data deletion requests
2024 年時点で、Google アナリティクス、特に GA4 は GDPR に準拠しているのでしょうか?
これは、単純に「はい」か「いいえ」で答えられるものではありません。GDPR の複雑な規制や技術的なニュアンスを理解するには、進化する法的状況、GA4 の特定の機能、コンプライアンスを確保するための重要な手順を理解する必要があります。
(中略)
GA4 には、以前のバージョンよりもプライバシーに配慮したいくつかのプライバシー機能が付属しています。機能の一部には、Web サイトの所有者が次のことができることが含まれます。
- IP匿名化を採用する
- 特定のウェブページでのデータ収集を制限する
- データ保持期間を短く設定する
- データ削除要求に応じてデータを消去する
Google Analytics GDPR Compliance in 2024: Navigating GA4, Data Collection, and Legal Landscape
以下の記事でも同様に、GA4がどのようにGDPRに対応しているか解説しています。ただし、GA4 プロパティを実装しただけでは、ウェブサイトが GDPR の適用範囲から自動的に除外されるわけではないと結論付けています。
In recent years, Google has run into several issues regarding privacy of its users and has been the subject of several related lawsuits. The most recent of these has been regarding the unlawful transfer of personal data across EU-U.S. borders through the use of Google Analytics.
In light of this legal crisis, Google decided to provide a more privacy-centric solution for users with the launch of its latest flagship analytics product, Google Analytics 4 (GA4).
[…]
In a world where users are increasingly expecting better protection and control over their data, GA4 offers a variety of privacy controls (among other features) to meet these expectations and comply with common privacy laws, particularly the GDPR.
[…]
To recap, remember that implementing GA4 properties does not automatically exempt your website from the GDPR’s scope. You may, however, be exempted if you run GA4 only in an anonymized version for statistical reporting purposes while disabling all other data-sharing features.
近年、Google はユーザーのプライバシーに関するいくつかの問題に直面しており、関連する訴訟がいくつか起こっています。そのうち最も最近のものは、 Google Analyticsの使用による EU と米国の国境を越えた個人データの違法な転送に関するものです。
この法的危機を踏まえ、Google は最新の主力分析製品であるGoogle アナリティクス 4 (GA4)をリリースし、ユーザーに対してよりプライバシー重視のソリューションを提供することを決定しました。
(中略)
ユーザーがデータのより優れた保護と制御をますます期待するようになる中、GA4 は、こうした期待に応え、一般的なプライバシー法、特にGDPRに準拠するために、さまざまなプライバシー制御 (その他の機能の中でも) を提供します。
(中略)
まとめると、GA4 プロパティを実装しても、ウェブサイトが GDPR の適用範囲から自動的に除外されるわけではないことに注意してください。ただし、統計レポートの目的で匿名バージョンのみで GA4 を実行し、その他のすべてのデータ共有機能を無効にした場合は、適用が除外される可能性があります。
これら二つの記事では共通して、以下の対策を講じることで、GDPRに準拠した形でGA4を利用できると解説されています。
- IPアドレスの匿名化(※):GA4ではIPアドレスの匿名化機能が提供されており、これを有効にすることで個人を特定できる情報の収集を防ぐことができます。
- データ保持期間の設定:データ保持期間を必要最低限に設定し、不要になったデータを自動的に削除することで、データ保護を強化します。
- ユーザーの同意:GA4を利用する際には、ユーザーからの明示的な同意を取得することが求められます。これはCookieの使用に関する通知と同意バナーを設置することで対応可能です。
※現在のGA4はIPアドレス自体を保存しないようになっているため、この設定は不要です。
GDPRは厳格なデータ保護規則であり、違反すると高額な罰金が科される可能性があります。EUでGA4を使用する場合は、適切な設定とユーザーの同意取得により、GDPRに準拠した運用が必須です。
QA ZEROはCookieレスのアクセス解析に完全対応
弊社のQA ZEROはCookieを使用せず、自社ドメインのサーバー側でアクセス計測できるツールです。Cookie同意がアクセス解析にどのような影響を及ぼすか、以下ブログでくわしく解説しています。
2024年6月に、最新バージョン「QA ZERO 2.0」をリリースしました。本バージョンには、新たに自動アドバイザリー機能『Brains(ブレインズ)』が搭載されており、データ分析の専門知識がないユーザーでも簡単に高度なWeb行動分析を行うことが可能です。
無料デモや無料トライアルもご用意しております。無料デモのお申込・オンラインでのご説明・製品資料のご請求などご希望の方は、こちらからお気軽にご連絡ください。