Google AnalyticsとGDPR：準拠していますか？

GDPRの施行からわずか1か月です。 やるべきことはたくさんありますが、まだ多くの質問があります。

大きなもの：

Google Analyticsの追跡がGDPRに準拠していることをどのように確認できますか？ それとも、今後のeプライバシー規制法ですか？

簡単な答え：

まあ、誰も確かに知りません。

誠意をこめて：現在、Cookie、匿名化された追跡-その多くは非常に大きな方法で変更されようとしています。 しかし、その背後にある「方法」は、完全には確定していません。

しかし、待ってください—行く前に。 この記事から離れる前に、「神様、クリックの無駄」と考えてください。GDPRが何を制限しているかはわかっています（2018年5月に予定）。 また、新しいeプライバシー規制法になる可能性のある法案があります。

そしてそれは、分析にもたらされる大きな変化に備えるための確固たる基盤を私たちに与えてくれます。

私に思い出させてください。 GDPR。 気になります…？

お金！

そして、公平性と透明性、そして責任を持ってデータを使用および保存する方向へのシフト。

しかしまた、そうです。GDPRに違反すると、多額の罰金が科せられます。

もちろん、これは新しいことではないようです。 ヨーロッパには、市民のデータを処理する方法について常に規則があります。 しかし、それらは国によって異なりました。 そして、組合全体のデータ規制法の最後の部分は、1990年代以来更新されていませんでした。

GDPRは、物事をより明確かつ厳格にし、立法の範囲を拡大します。 現在、EUに拠点を置く場合、EUにデータを保存する場合、またはEU市民から個人データを収集する場合は、新しい規則に従う必要があります。

では、分析コンプライアンスについて話しましょう。

まず、いくつかの良いニュース：

GDPRには、同意と個人データについて多くのことが言えます。 そして、それはほとんどこれに蒸留することができます：あなたが誰かの個人データを使用しようとしているなら、あなたは尋ねなければなりません、そして彼らはあなたに「大丈夫」を与えなければなりません。

（そして、彼らはその「大丈夫」を編集できなければなりません。そして、用語は明確な言葉で与えられなければなりません。そして彼らはあなたに「大丈夫」を与えたデータを見ることができなければなりません、そして…。それはプロセスです別の記事のために）。

個人データとは、個人を特定または再特定するために使用できるあらゆるデータを意味します。

では、これはGoogleAnalyticsと何の関係があるのでしょうか。

理想的には、とにかくGAに個人データを保存するべきではありません。

それは彼らの利用規約に違反しています。

つまり、アカウントには、ページURLで送信されるユーザー名、フォーム入力から取得された電話番号、カスタムディメンションでカスタム識別子として使用できるメールアドレスが含まれていない必要があります。

郵便番号も、訪問したページと組み合わせて特定のユーザーにリンクし、小さなグループに分割することができます。 それらもカスタムディメンションから外しておく必要があります。

実際、データ主体の背後にある「誰」を特定するために明確に使用できるものはすべて、たとえつなぎ合わせるのが難しい場合でも、個人データです。

だからあなたのアカウント。 それらは明らかですか？

偉大な。

さて、これは（潜在的に）トリッキーになるところです。

あまり良くないニュース：

Googleアナリティクスにはいくつかの潜在的なフィールドがあります。これらは、Googleにとって「ノーゴー」とは見なされませんが、GDPRで定義されているように間違いなく「個人データ」です。

その中で…

• 長いURL（特定のユーザーを識別するためにそれらを使用できる場合）
• IPアドレス

これらの両方を確認し、拠点がカバーされていることを確認する方法について説明します。

長いURL/パラメータ

通常、長いURLはそれほど心配する必要はありません。 URLが個人識別子として機能する可能性が高いのは、複数のユーザーデータ入力が含まれている場合のみです。

フォームにこれらが表示されることがあります。 ユーザーは、年齢、場所、性別などの詳細を記載したフォームまたはアンケートを送信します。 次のようなURLに転送されます。

[www.notcompatible.com/form?gender=male&birthdate=31-12-1980&location=Iowa_City]

次に、GAで、このデータをそのURLにアクセスしたユーザーにリンクできます。また、「匿名」入力の背後にある「誰」を引き出すことができる可能性があります。

幸いなことに、これらはまれであり、管理が非常に簡単です。

疑わしいリンクを短くすることは、問題を完全に回避するための最善の策です。

ただし、個人データを直接キャプチャするパラメータがある場合もあります。

プラグインまたはフォームが名前と電子メールを受け取り、それをフィールドの事前入力に使用する場合はどうなりますか？ または、ランディングページのパーソナライズ？ これは保存されますか？それとも、Google Analyticsへの道を見つけるカスタムURLを作成しますか？

次に、個人データを保存します。

パラメータの削除

GAでパラメータを除外できる組み込みの方法がいくつかあります。

ビューレベルでの除外：

GA管理者は、[表示]-> [フィルター]に移動して、パラメーターを除外できます。 「URLクエリパラメータを除外する」のオプションが表示されます。

まず、使用するパラメーター（「名前」、「電子メール」など）のインベントリを作成し、各パラメーターをコンマで区切って入力します。 今後、新しい追加がないかパラメータを監視し続けてください。 この方法は手動であり、保存するパラメーターを理解している場合にのみ機能します。

ここで注意すべき点：ディメンションに送信するパラメータがある場合、これらのパラメータを除外すると、これは機能しなくなります。 「URLクエリパラメータを除外する」設定は、フィルタの前に処理されます。

フィルタレベルでの除外：

もう1つのオプションは、[管理]->[表示]->[フィルター]->[検索と置換]から[検索と置換]オプションを使用して、パラメーターをフィルターで除外することです。

たとえば、\？。*を追加してこれを使用します。基本的に、メインURLの後に強いクエリを削除します。

（これは、厄介な長いURLを除外するのにも役立ちます）。

他のフィルターを使用してディメンションに送信する場合は、このフィルターの[検索と置換]オプションが便利です。 フィルタリストの一番下に配置しても、他のフィルタは引き続き機能します。 これらの最初のいくつかのフィルターが実行された後、パラメーターがクリーンアップされます。

これは、潜んでいる可能性のあるパラメータを把握するための良い方法でもあります。

[検索と置換]->[RUIの要求]->[検索\？。*->]を使用します

フィルタを確認するとき、多くの厄介な驚きを見つけるかもしれません。

完了すると、ビューのフィルターのリストに新しいパラメーターフィルターが表示されます。

IPアドレス：

Google AnalyticsなどのプログラムでIPアドレスを匿名化することは、データ保護法が厳格な国（ドイツなど）では長い間ベストプラクティスでした。 今では、分析をGDPRに準拠させることが重要です。

ここでの問題は専門性から生じます。 顧客のIPアドレスはGAデータベースに保存されておらず、どのクライアントからもアクセスできません。 ただし、Googleの従業員がアクセスでき、個人識別情報としての資格があります。 したがって、訪問者のIPアドレスにアクセスできない場合でも、訪問者が匿名化されていることを確認する必要があります。

IPアドレスの削除：

幸いなことに、Googleにはこれに関する多くのドキュメントがあります。 また、便利なプラグイン—オンサイトに存在するすべての場所でトラッキングコードに追加する必要があります。

この_anonymizeIP関数は、ユーザーのIPを取得してマスクし、最後の数桁をゼロに設定します。 このプロセスは、Googleアナリティクスコレクションネットワークがデータを受信するとすぐに開始されます。つまり、個人データが保存されることはありません。

注意：これにより、地理的レポートの精度がわずかに低下する可能性があります。 しかし、これらの多額の違反罰金を回避したい場合は、支払う価値のある価格です。

クッキー：

ヨーロッパにいる場合（またはヨーロッパのWebサイトにアクセスしている場合）、ユビキタスなCookieポップアップを見たことがあるでしょう。

あなたは知っています：「このウェブサイトはあなたが最高の経験を得ることを確実にするためにクッキーを使用しています。 続きを読む。 」

これはソフトオプトインと呼ばれます。これは、「私たちがあなたに言った、そしてあなたはまだブラウジングしているので、あなたは同意する」という同意へのルートです。

GDPRによると、ソフトオプトインはもはやテーブルにありません。 黙示の同意はカウントされません。

同意は肯定的で明確である必要があります。 個人データが関係している場合、ユーザーはそのチェックボックスをオンにするか、「これで大丈夫です」というボタンをクリックする必要があります。

したがって、将来のCookieポップアップは、ionetrust.comからのこの例のように見える可能性があります。

そして、誰かが「アクティブ化または同意します」と言った場合にのみ、Cookieの追加を開始できます。

GDPRによると、識別子を持つ分析Cookieは個人データです。 しかし、すべてのCookieが同じように作成されるわけではありません。 ユーザーの同意が必要なものとそうでないものがある可能性があります。 詳細は、承認された後、新しいeプライバシー規制によって決定されます。 今のところ、ドラフト15333がありますが、これにはWeb分析ソフトウェアの例外があります。

「Cookieは、たとえば、Webサイトにアクセスするエンドユーザーの数、Webサイトの特定のページ、またはその数を測定するのに役立つなど、提供される情報社会サービスの有効性を評価する際に、合法で有用なツールにもなります。アプリケーションのエンドユーザーの数。」

Google Analyticsのような分析プログラムは、「提供される情報社会サービスの有効性を評価します」。 また、他のGoogleサービスにデータを渡すために多くのサードパーティシステムに接続されているため、eプライバシー規制の更新は現在ドラフト中ですが、クリーンアップされたバージョンのGoogleアナリティクスに同意が必要ない可能性があります。

（完全に非準拠の）Cookieの排除：

Google AnalyticsのユーザーID機能を使用している場合は、データを停止してクリアします。 ユーザーID機能（デバイスやセッション全体で個々のユーザーを追跡する）などの一意の識別子は、明示的に個人データと見なされ、この例外の対象にはなりません。

また、クライアントIDをオフにすることも最も重要な場合があります。これはGoogleAnalyticsのオプションの追跡機能です。 IPアドレスと同様に、「ブラウザインスタンス」を匿名で追跡し、定期的なサイト訪問者と新しいサイト訪問者をカウントします。

このプロセスに関して、いくつかの本当に良いニュースがあります。

GDPRは、5月25日以降に収集するすべてのデータだけでなく、自由に使用できるすべてのデータに適用されます。

つまり、技術的には、ユーザーIDを収集していた場合、問題が発生します。 GAプラットフォームでユーザーデータを選択的に削除する簡単な方法がなかったためです。 全面的に拭く必要があります。

しかし、最近のGDPR以前の製品リリースはそれを変えています。

チームから：

「5月25日より前に、Googleアナリティクスやアナリティクス360のプロパティから、個々のユーザー（サイト訪問者など）に関連付けられたすべてのデータの削除を管理できる新しいユーザー削除ツールも導入されます。 この新しい自動化ツールは、AnalyticsクライアントID（つまり、標準のGoogle AnalyticsファーストパーティCookie）、ユーザーID（有効な場合）、またはアプリインスタンスID（Google Analytics for Firebaseを使用している場合）に送信される一般的な識別子のいずれかに基づいて機能します。」

このアップデートに関するニュースは、こちらの開発ページで公開されます。 削除する必要がある場合は、注意してください。

権限：

そこで、データ収集が準拠していることを確認する方法について説明しました。

しかし今、あなたはやるべきデータ保護を持っています。

代理店、請負業者、または現在の元従業員にGA権限を定期的に提供する場合は、アカウントにアクセスできるユーザーを定期的に確認することをお勧めします。

ここでは、いくつかの常識的なルールが適用されます。

しばらくして[email protected]が誰であるか覚えていますか？ アカウントに「ビジネス用メールのみ」のアクセスポリシーを作成することをお勧めします。

Google Analytics Organizationは、まさにそれを行うための強固なインフラストラクチャを作成します。 これにより、関連するGAアカウントを1つの屋根の下でリンクでき、組織の管理者にいくつかの追加機能を提供します。 ポリシーを作成し、誰がログインしているかを確認し、製品のユーザーと権限を簡単に管理できます。

GA組織をオンにすることは、非常に簡単なプロセスです。 Googleはここでその方法を詳しく説明します。 以下のスクリーンショットの下に、初期設定を見つける方法があります。

要約すると：

Google Analyticsは、個人データの保存を制限する厳格なプライバシーポリシーを維持することにより、すでに多くの恩恵を受けています。
したがって、アナリティクスをGoogleに満足させ、GDPRに準拠させることは、密接に関係しているように思われます。

ただし、簡単に呼吸できるように、IPを匿名化し、長いURLを再確認し、パラメーターを削除し、保存されているユーザーIDを削除することができます。 また、ユーザージャーニーのすべての段階を通じて、GDPRを念頭に置いてください。

資力：

GoogleAnalyticsの利用規約

Analytics.jsanonymizeIPGoogleヘルプ

GA.jsanonymizeIPGoogleヘルプ

iOSanonymizeIPGoogleヘルプ

AndroidanonymizeIPGoogleヘルプ