オーストリアのデータ保護当局によってGoogleAnalyticsの使用が違法になりました

オーストリアのデータ保護機関（Datenschutzbehorde）は、オーストリアのウェブサイト運営者であるnetdoctor.atでのGoogle Analyticsの使用に反対する画期的な事件で、非営利のNOYBを支持する判決を下しました。

まだ拘束力はありませんが、この決定は、データを大量に消費するテクノロジー企業に人々の個人情報の取り扱いについて責任を負わせようとしているヨーロッパのプライバシー擁護派を後押しする可能性があります。

NOYBは、Max Schrems（Facebookによるデータ転送の取り決めの使用に異議を唱えた人物）が率いるヨーロッパのプライバシー権を専門とする非営利団体です。

これは、CJEUのSchrems II判決（プライバシーシールドを無効にした）に応じて提出されたNOYBの101モデルの苦情に対する最初の決定です。 101件の苦情は、ヨーロッパの企業が訪問者データを大手テクノロジー企業と共有し続けており、ユーザーに適切なレベルの保護を提供していないことを示唆しています。 したがって、この決定はその種の最初のものですが、最後ではない可能性があります。

欧州データ保護委員会（EDPB）は、状況を調査し、すべての欧州データ保護当局間の緊密な調整を確保するために、2021年にタスクフォースを設立しました。

その結果、他のEU加盟国でDPAによって提起された規制措置が加速すると予想されます（たとえば、オランダのデータ保護局（Autoriteit Persoonsgegevens））。

決定には何が含まれますか？

DPAは、次の決定を行いました。

GDPRの適用性

法律の専門分野として、指令2002/58 / EC（e-プライバシー指令）の該当する要件（オーストリアでは電気通信およびテレメディアデータ保護法（TTDSG 2021）に改名）がGDPR（一般データ保護規則）よりも優先されます。

一方、eプライバシー指令には、個人データを他の国に転送するための規定がないため、この場合、GDPRの第V章が適用されます。

GAを介して送信されるデータは個人データです

オーストリアのデータ保護当局は、送信された膨大な量のデータを組み合わせることにより、転送されたデータを自然人に関連付けることが理論的に考えられます。 その結果、人とのつながりを確立することができ（GDPR第4条（1）を参照）、GDPRが適用されます。

この点で、DPAは、 Google Analyticsの匿名化機能が、IPアドレスやその他の識別子をGDPRの範囲外にシフトするには不十分であると考えていることに注意してください。 送信されるEUデータの量が膨大であるため、IPアドレスは、GDPRに基づく個人データとしてのデータの分類とは関係ありません。

ウェブサイト運営者はデータ管理者です

オーストリアのDPAは、データ処理アクティビティがGoogleに正常に転送されるまでしか調べていなかったことは注目に値します。 当局は、Googleのその後のデータ処理については何も述べていません。

米国へのデータ転送はGDPRに準拠していません

EU-USプライバシーシールドは、2020年7月16日付けの評決（Schrems II）で、欧州司法裁判所によって違法であると認定されました。

その結果、GDPR第45条はデータ送信の手段として適用されなくなり、DPAは「特定のケースの委任」が存在するとは考えていませんでした（特に、特定のケースで同意が得られなかったため）。

GDPR第46条で定義されている「適切な保護」は、最終的な法的移転メカニズムです。 標準の契約条項（SCC）は、GDPR第46条（2）（c）に基づく適切な保護手段として機能します。 ウェブサイトの所有者は、当面の問題でGoogleと「古い」SCC（バージョン2010/87 / EU）に署名していました。 （2021年6月に、改訂されたSCCのセットがリリースされました。）

ただし、Google Analyticsを使用する場合、データ転送は完了したSCCのみに依存することはできません。 これは、Googleが米国の監視法（FISA 702）の対象であり、契約上の義務だけでは「第三国」の当局を拘束するには不十分であるという事実によるものです。 米国における法的保護の欠如を補うために追加の技術的および組織的ステップ（「補足的措置」）が採用された場合にのみ、データ転送は合法です。 DPAは、Googleはその結論において「補足的措置」の十分な証拠を提供していなかったと結論付けました。

では、この特定のケースでは何が間違っていたのでしょうか。

上記の分析から、この特定のケースでは、その時点（2020年8月14日）に行われたGoogleAnalyticsの統合に欠陥があったことが明らかです。

• Google Analyticsの使用は、古いSCCのみに基づいていました。
• データ処理の同意は得られませんでした。
• IPアドレスの匿名化が正しくアクティブ化されていませんでした。

Googleはどのように対応しましたか？

訴訟におけるグーグルの弁護とその後の最初の反応はあまり安心できない。

Googleは、Google Analyticsを使用する際に、サービスが適切に機能するために必要なだけの個人データが実際に米国と交換されていることを確認します。 より一般的には、Googleは、サービスをプライバシーに配慮したものにするために多大な努力を払っていると述べています。

この場合、具体的には、Googleは、SchremsIIの判断に基づいて必要とされる必要な「追加の保証」を提供すると述べています。 ただし、DSBは、これらの「追加の保証」は実際にはそれほど多くはないと判断しました。

それに応じて、Googleは、ユーザーが自分のアカウントで「サードパーティのデータ共有」を無効にすることを選択できると言う以上のことはできません。 ただし、ここではサードパーティのデータ共有が主な法的問題ではありません。問題は、米国政府による機密データへのアクセスの可能性です（もちろん、どこでもオフにすることはできません）。

言い換えれば、Googleは当分の間実際に答えを持っていません。 Googleは、優れた分析ツールがグローバルに機能する必要があると言っているのは正しいことです。また、米国政府による分析データへの潜在的なアクセスが、ヨーロッパのWebサイトの99％に実際のプライバシーの脅威をもたらすかどうかを真摯に疑問視することもできます。

この決定はあなたにとって何を意味しますか？

この訴訟から1つのポイントがあるとすれば、これらの裁判所の判決を無視してGoogleAnalyticsを使い続けることは選択肢ではないということです。

オーストリアでウェブサイトを運営している場合、またはオーストリア人にサービスを提供している場合は、すぐにサイトからGoogleAnalyticsを削除する必要があります。

また、他のEU加盟国の企業は、地域のデータ保護当局がより多くの企業を対象とし始める前に行動を起こすことを強くお勧めします。

ヨーロッパの企業として、機密性の高いユーザーデータをGoogleのような企業に委託することはできなくなりました。Googleのような企業は、ヨーロッパのプライバシー法を故意に無視し、ヨーロッパのビジネス顧客に多額の罰金を科すリスクを負っています。

GoogleAnalyticsを使い続けるための可能な回避策

ただし、ヨーロッパ中のWebサイトは、GoogleAnalyticsの使用を突然停止することはありません。

この決定が法的拘束力を持つようになるまで、以下の最も厳格な措置に従うことで、GDPRに準拠した方法でGAを使用できます。

1. GoogleのDPAを受け入れる：標準契約条項の現在のバージョンを反映するために、GoogleはすべてのGoogle製品（DPA）のGoogleデータ処理条件を改訂しました。 Google Analyticsの設定で、新しいGoogle DPA（最新バージョン2021年9月）を受け入れます。
2. データ保護規則で、第三国へのデータ転送の可能性について言及しています。
3. ユーザーの同意を得る：「これは、同意を得た場合にのみGoogleアナリティクスを起動できることを意味し、Googleアナリティクスに関する情報を保存して提供することもできます。 同意管理プラットフォーム（CMP）を使用すると、このプロセスが簡単になります。
4. Google Analyticsの正しい構成を使用してください。ベストプラクティスに従って、セットアップ中に個人データがAnalyticsに流れないようにする必要があります。 したがって、IP匿名化を利用する必要があります。
5. サーバー側の追跡に切り替える：サーバー側の追跡は、ファーストパーティのCookieの寿命を延ばし、一部の追跡ブロッカーをバイパスするための適切なソリューションであるだけでなく、データをGoogleAnalyticsに送信する前に適応させるオプションもあります。 具体的には、たとえば、データがGoogle Analyticsに送信される前に、ユーザーのIPアドレスが完全に削除されることを意味します。

他のプライバシー準拠の分析ツールに切り替える

プライバシーは世界中の消費者にとってますます重要になっているため、ヨーロッパの企業にとって、ユーザーのプライバシーの保護を優先するサービスを選択することは論理的なステップです。

以下に、GAを完全に削除したい場合に備えて、GAの最も興味深い2つの代替案を示します。

もっともらしい

Google Analyticsに代わる本物のEUをお探しの場合は、Plausibleをお試しください。 これらは、エストニアを拠点とする独立したブートストラッププロジェクトです。 彼らのチームはエストニアとベルギーに分かれています。

彼らが収集するすべての訪問者データは、ドイツのドイツ企業（Hetzner）が所有するサーバーに保存されます。 グローバルCDNには、スロベニアが所有するプロバイダー（Bunny）を使用します。

この事件に関する彼らの公式声明については、こちらをご覧ください。

Matomo

Matomoはもう1つの価値のあるGAの代替手段です。

これは、完全な分析機能と完全なデータ所有権を提供するように設計されたオープンソースのWeb分析プラットフォームです。

Matomoは、GoogleAnalyticsのオープンソースの代替手段として始まりました。 また、Google Analyticsと同様に、WebサイトユーザーとWebサイトとの相互作用に関する重要なレポートも提供します。 興味深いのは、データの所有権に大部分の注意が集中しているため、データを完全に自分のものにすることができ、ユーザーのプライバシーが保護されることです。

この事件に関する彼らの公式声明については、こちらをご覧ください。

Convertユーザーはこの決定の影響を受けますか？

ConvertExperiencesで個人データが使用または保存されることはありません。 したがって、あなたの経験と訪問者は上記のケースの影響を受けません。 さらに、ヨーロッパのカーボンニュートラルサーバーを使用して、経験と変動データを保存します。

透明性のために、ConvertExperiencesでのデータ使用に関する追加の注意事項を次に示します。

• デフォルトでオン
  • セッションCookieID（Cookieとサーバーキャッシュで20分のタイムアウト）。 これは現在、GDPR/eプライバシー指令およびeプライバシー規制の解釈においてパフォーマンスCookieに該当します。

• デフォルトでオフ
  • 顧客がクロスブラウザターゲティングをオンにすると、URLに一意のCookieを挿入して、他のドメインで取得します（GDPRでは個人データとして解釈される可能性があります）。 この機能は、「デフォルトのプライバシー」ポリシーの一部としてデフォルトでオフになっています。
  • セッションIDの代わりに一意の訪問者IDが顧客から提供された場合、これは個人データとして解釈される可能性があります。 この機能は、「デフォルトのプライバシー」ポリシーの一部としてデフォルトでオフになっています。
  • ジオターゲティングが使用されている場合（デフォルトではオンではありません）、国、地域、都市をCDNまたはサーバーキャッシュに保存して、正しいターゲティングを行うことができます。

この判決の意味は広範囲にわたり、企業がデータをどのように使用するかについての先例となる可能性があります。

この決定は、オーストリアの企業またはそれと取引を行う他の企業のGoogle Analyticsの使用にのみ影響することに注意することが重要ですが、他の国もそれに続く可能性があります。

Google Analyticsを使用している場合は、コンプライアンスを維持するために、今後の規制に注意してください。 NOYBやその他のヨーロッパのプライバシー擁護派は、オンラインユーザーの権利のために戦う用意があることを示しているため、今後さらに同様の決定が期待できます。