一般データ保護規則(GDPR)対策によるGoogleAnalyticsのデータ保持期間を変更するリスク

「一般データ保護規則(GDPR)のお知らせがGoogleからメールがあったのをきっかけに、色んなところで、「Googleアナリティクス」のデータが削除される懸念の記事やツイートを見かけました。

私も「ああ、危ないな」と思って設定をいつか変えなきゃと思っていたのですが、運良く博識な友人達のこの件の討論を見かけて、削除しない設定にしちゃ駄目だなという気持ちになりました。

私が何を誤解していて、なぜ削除期間の設定を変えなかったのかをメモしておきます。

認識していなかったデメリット

この分野では素人なので恐縮ですが、「個人情報のデータを持っている(EEA域外に移転した場合)と自分が罰せられる可能性がある」という事です。

Googleを始めとした、各企業が対策に乗り出した一般データ保護規則(GDPR)は私もよく分かっていないのですが、こちらが簡潔に書いてあって理解がしやすかったです。

EU 一般データ保護規則(GDPR)について

ちなみに、対処法としてはこちらがわかりやすいです(英語ですが、Google翻訳でええ感じに読めます)
15 steps to developing GDPR-compliant apps

詳しい内容はこちらのPDFが日本語で書いてあります。
※ページが多いのもあって私も全部読み切れてないです。

「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)

そもそもの誤解

アナリティクスのデータのプライバシーとセキュリティを見ると、

保持期間は、Cookie、ユーザーの識別子(例: ユーザー ID)、広告 ID(DoubleClick Cookie、Android の広告 ID、Apple 広告主向け識別子など)に関連付けられたユーザー単位やイベント単位のデータに適用されます。

とありますので、我々がよく使う訪問のデータは継続的に残りそうです。

イベントのログやユーザーのデータはあれば嬉しいですが、2年前のもので比較するデータでは無いかなと思っています。

この分野では素人なので恐縮ですが、SEOやマーケティングのプロの方がなぜこの辺のデータをリスクを背負ってまで残そうとしているのかは私にはわからないです。(そもそもで、リスクを認知してなかったら仕方ないですが。)

日本でも罰則を受けるケース

そしてGDPRの範囲はEUだから大丈夫と私も誤解していました。

日本でも罰則の適応になるケースはあります。

また、中小・零細企業も対象であり、EEA 域内に現地法人・支店・駐在員事務所を置かない事業者であっても、インターネット取引などで EEA 所在者の顧客情報を取得・移転する場合、適用対象となり得る。
(P.2 https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf)

例えば、EUから日本のサイトへアクセスがあった場合はこの対象になります
それが日本人だろうが現地の人かとか関係ないです。
※Cookieも使っていないただの静的サイト訪問は対象外になるかなと思っています。

この事が理解できて、安易にデータを保持するのはリスクだと理解しました。

なぜGoogleが保持期間設けるようになったか

まだ自分でも確証は持てていないのですが、Googleが削除するといっているデータがGDPRに引っかかるということでこの部分を削除しようとしていると理解しています。

1:GDPR が適用される個人データとは、どのようなデータを指しますか?
<中略>
個人データの例は以下のとおりです。
 自然人の氏名
 識別番号
 所在地データ
 メールアドレス
オンライン識別子(IPアドレス/クッキー識別子)
 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
(P.18 https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf)

Googleでデフォルトで期間を設けた以上、その期間以上に保持をしていて何か合った場合はそれはGoogleではなく、アナリティクスを管理しているユーザーに責任が持つ形になるのかな(この分野では素人なので、自信がなくて恐縮です。)

表 5:個人データの処理における原則
5 保管の制限の原則
個人データは、当該個人データの処理の目的に必要な範囲を超えて、データ主体の識別が可能な状態で保管してはならない。
(P.12 https://www.jetro.go.jp/ext_images/_Reports/01/dcfcebc8265a8943/20160084.pdf)

つまり保持期間を無期限にして、「なにかやらかした場合」は自己責任で多額の賠償責任を負うリスクがあると私は理解しました。

最後に

この分野では素人なので恐縮ですが、本当にどうするのが1番いいのかはわかりませんが、リスクを自分で背負うという点が抜けているなら、それは危険です。

私は自分で何かやらかしたときに多額の賠償金を仮に払うことになって人生を詰む事をしたくないので、Googleの意思に従う結論にいたりました。

私はGoogleを信じてます(ゝω・)