「GoogleAnalyticsのデータが消える」の話じゃなくて、、、先にGDPR（EU一般データ保護規則）を意識しないとダメなんじゃない？というお話し

本投稿で提供している情報は、ご利用される方のご判断・責任においてご使用ください。できるだけ正確な情報の提供を心掛けておりますが、本投稿で提供した内容に関連して、ご利用される方が不利益等を被る事態が生じたとしても、執筆者は一切の 責任を負いかねますので、ご了承ください。 また個人ブログであり、在籍している職場、コミュニティとも関係ございません。

「GoogleAnalyticsのデータが消える」の話じゃなくて、、、一番はじめに、2018/5/25からEEA圏（欧州経済領域）にて施行開始される「EU一般情報保護規則：General Data Protection Regulation (GDPR)」施行のお話しがあるということ。

まずはそこの確認から始めましょう。と、

GoogleAnalyticsのトラッキングデータが消える？？

  昨日（2018/04/18）くらいからネット上で、やはり利用している方が多いせいか、

「GoogleAnalyticsのデータが消える？」

　　　　　↓

「ならば”消えない設定”にしよう」

って読み取れる記事がどんどんでてきてますが、、、

 GoogleAnalyticsのトラッキングコードをEEA圏のサイト利用者が踏んだ時点で、GDPRの個人情報の定義のうち「オンライン識別子(IP アドレス、クッキー識別子)」が設定され、、、個人情報として取得（移転）されることになるので、、、抵触となる可能性大。

 つまり、

 「GoogleAnalyticsのデータが消える？」

　　　　　↓

「ならば”消えない設定”にしよう」

　　　　　↓  

「EEA圏のユーザーをトラッキングしてユーザーにCookieを、さらにリターゲティングデータを移転」

 ということになり、、、これって即ちGDPRに抵触してんじゃん？

ってことになり兼ねないのかな。と。（しかるべき法務担当者へのヒアリングをお勧めします。）

 そんなリスクを半永久的にはらんじゃいそうな「ならば”消えない設定”にしよう」でほんまに大丈夫か？ってところが目下の心配ごと。 

 あちこちの記事、その記事を読んだ方々のソーシャル上でのやりとりざっと見ても 「先にGDPRありき」の話をしてないのが気になる。 

「GoogleAnalytics使っているけどGDPRを知らない人」はミスリードそらするわと。

GoogleAnalytics界隈の大御所、小川卓さんのエントリでも4/19追記として、GDPRありきのGoogleAnalyticsの設定変更であることが言及されました。 

（titleがミスリードしそうだけど、、、逆にこのほうが「俺にも関係ある！！」ってユーザーの目に留まりやすく、記事を読んでくれる可能性が高いと見越しているとしたら賢いな。。。勉強になる。）

じゃぁどうするの？ってお話し

5/25からEEA圏（欧州経済領域）にて施行開始される「EU一般情報保護規則：General Data Protection Regulation (GDPR)」において、GoogleさんがGoogleAnalyticsユーザーに「表明」と「選択の提示」のために送付されたメール、

 [Action Required] Important updates on Google Analytics DataRetention and the General Data Protection Regulation (GDPR) に端を発するもので、、、 

 ここで「選択の提示」とは

の「ユーザーデータとイベントデータの保持」をメニューで選べるようにしたことを指し、

 「GoogleAnalyticsを導入しているサイトは、データ保存期間をGDPRに抵触しないかどうか判断した上で、サイトの事情に合わせてユーザー側で選択してね。」

というものになります。

 基本的にはこれまでのデータ保証期間の25か月に近い、 保存期間「26か月」を選択。（なのでデフォルトなのかな） 

もし、「自動的に期限切れにならない」を選択する際は、よくよくそのサイトがGDPRに抵触しない利用になっているかを確認する必要があります。   

EEA圏のユーザーをトラッキングする場合はどうするか

これはあくまでも僕が調査した内容の範囲でですが、例えば、アステラス製薬の欧州サイトなどは、このように明示的にCookieの利用を宣言したりしております。

Astellas Pharma Europe Ltd.

ページの最上部に目立たないのですが、、、
"This website uses cookies for functionality and performance purposes. To change your cookie settings or find out more, click here. If you continue browsing our website, you accept these cookies."

と”明示”と"取得している個人情報への参照（Cookie Policyページへのリンクの提供）"を行っているようです。

5/25からのGDPR施行に向けて

GoogleAalytics、Web周辺の話だけでなく、 自社はもちろんですが、顧客がGDPRについてどこまで把握されて、具体的にどのような対応をしようとお考えなのか？ のほうが先に確認すべきことだなと認識しております。 プライバシーポリシーの変更や個人情報保護の運用などより大きな課題がありますので、法務部門・情報システム部門と連携とるのがまずは大切かなと思います。

がよくでてきますが、こちらではそもそものGDPRありきの話題に読めないため、、、

合わせて、

こちらも読まれることをお勧め致します。

（2018/04/20追記）

リスクと対策

目下の個人的心配ごとは、、、知らず知らずにGDPRに違反してるサイトの持ち主（顧客）に対して、

GDPRの２大特徴の

1. 域外適用（日本にも適用される）
   
2. 重い制裁金

から「当たり屋」よろしく、制裁金を請求してきたりされんだろうな？というところ。

で、そんなことになって、、、顧客から「何で知らせてくれなかったのですか！？」とかがめちゃくちゃ怖いし、、、仕事柄とても悲しい。あとになってから「あのとき知っていれば、、、やっておけば、、、」というやつ。

Web周りで対策しないといけなさそうなポイント。。。ぱっと思いつく限り、、、

• EEA圏の方々がアクセスできる状態のWebサイトでGoogleAnalyticsやGoogleSearchConsole、リタゲツールなど、何かしら仕組みでCookieを投げているもの
  
• EEA圏の方々がアクセスできる状態のWebサイトでお問合せフォームなど、氏名や住所、メールアドレスを取得しているもの
  
• EEA圏の方々がアクセスできる状態のWebサイトでお問合せフォームなどからの自動送信メールを飛ばしているメールサーバー
  
• EEA圏の方々がアクセスできる状態のWebサイトのプライバシーポリシーページの更新（GDPRに対しての表明とCookieに対する表明）
  

あたりは、対応するしないはともなく、顧客担当者に先手打って連絡いれても良いと思っておるわけで。（あっこれが善管注意義務か。。。）

あくまでもWeb以前に、自社、お客様のビジネス全般に関わる今回のGDPR施行であり、各社ごとに対応や方針は当然異なるかとおもいますので、まずは、ご担当者様にご一報をいれ、そこから双方で実施すべきことを積み上げていくのが良いのかなと感じています。

（実際、そのような対応で動いてます。）

僕自身がどうやってGDPRを学習したか参考にした記事など

ネットであちこちのページ読んでも余計に混乱するかと思いますので、ひとまず一か所にまとまりつつGDPRのそもそもから読める資料へのリンクを貼っておきます。

（長いよー難しーとなるかもですが、、、頑張って。＾＾；）

「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）

「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（実践編）