Google Analytics 4とGDPR:知っておくべきことすべて
欧州の一般データ保護規則(GDPR、ドイツ語ではDSGVO、フランス語ではRGPDとも呼ばれます)が施行されてから4年が経過しました。
これは、特にGoogleのように大きく革新的な組織にとって、準拠するための十分な時間です。 実際どうたっだでしょうか?
GDPRがGoogleアナリティクス4にどのように影響し、現在のコンプライアンスステータスがどのようなものか疑問に思われる場合は、こちらをご覧ください。
Google Analytics 4 GDPRに準拠していますか?
いいえ。2022年半ばの時点で、Googleアナリティクス4(GA4)はGDPRに完全には準拠していません。 プライバシーに重点を置いた機能を追加したにもかかわらず、GA4は依然としてヨーロッパの規制当局とのあいまいな状況にあります。 2020年にプライバシーシールドフレームワークが無効になった後、GoogleはまだEU-USデータ保護を規制していません。 現在、同社は米国の監視法からEU市民と住民のデータを十分に保護していません。 これはGDPRの直接の違反です。
Google AnalyticsとGDPR:複雑な関係
GDPRが2018年に発効して以来、ヨーロッパの規制当局はGoogleを精査してきました。
同社はGDPR条項に備えるための措置を講じましたが、ユーザーデータの保存、転送、セキュリティに関する重要な規制に完全には準拠していませんでした。
欧州連合司法裁判所(CJEU)がプライバシーシールドを無効にした後、GoogleとEUの規制当局との関係はさらに熱くなりましたか? GoogleがEU-USデータ転送に使用した余裕。 2020年以降、Googleに対するGDPR訴訟が続きました。
この投稿では、このストーリーの主なマイルストーンを要約し、Googleアナリティクスユーザーへの影響について説明します。
2018:GoogleアナリティクスがGDPRに対応
2018年、EUは一般データ保護規則(GDPR)を採用しましたか? すべての加盟国を対象とする一連のプライバシーおよびデータセキュリティ法。 EU市民および/または居住者とやり取りするすべての企業は遵守しなければなりませんでした。
GDPRは、加盟国全体でデータ保護法を調和させ、機密性の高い個人情報(またはPII)を構成するものについて追加の規定を設けました。 大まかに言って、PIIにはその人に関するすべてのデータが含まれます。
- 人種的または民族的起源
- 雇用状況
- 宗教的または政治的信念
- 健康状態
- 遺伝的または生体認証データ
- 財務記録(支払い方法データなど)
- 住所と電話番号
企業は、明示的な同意なしに(場合によってはそれを使用しても)この情報を収集することを禁じられました。 収集された場合、そのような機密情報は、保存、保護、転送、および使用方法に関する厳格な要件の対象にもなります。
GDPRの主な原則の説明
GDPRの第5条では、個人データとプライバシー保護に関する7つの主要なGDPR原則について説明しています。
- 合法性、公平性、透明性?データは合法的に取得され、同意を得て、法律を遵守して収集される必要があります。
- 目的の制限?すべての個人情報は、特定の明示的かつ法的な目的で収集する必要があります。
- データの最小化?企業は、定められた目的に沿って、必要かつ適切なデータのみを収集する必要があります。
- 正確さ ?データの正確性は常に確保する必要があります。企業は、不正確なデータを遅滞なく消去または修正するメカニズムを備えている必要があります。
- ストレージの制限?データは、記載された目的が示唆する期間のみ保存する必要があります。データストレージに時間の上限はありませんが。
- 完全性と機密性(セキュリティ)?企業は、安全なデータストレージを確保し、データへの違法または不正アクセスを防止するための対策を講じる必要があります。
- 説明責任?企業は、上記の原則を順守していることを実証できなければなりません。
Googleは、期限前にすべての製品をGDPRに準拠させるための措置を講じたと主張しました。しかし実際には、これが常に当てはまるとは限りませんでした。
2018年3月、出版社のグループは、GDPRに準拠するための十分なツールをGoogleに提供していないことをGoogleに警告しました。
「データの収集、共有、使用方法に関する具体的な情報を出版社に提供することを拒否します。 十分な透明性を提供するため、またはGDPRに基づいて必要な特定の詳細なインフォームドコンセントを取得するために必要な特定の情報を発行者に提供しない限り、発行者に新しい同意を取得するという全責任を負わせることはできません。」
提案されたGoogleAnalyticsGDPR同意書は、実装が難しく、カスタマイズオプションがありませんでした。 実際、Googleは、収集されたデータの保存方法と使用方法について「一方的な決定を下します」。
ユーザーには、人々のデータの意図されたすべての使用法について学習したり、制御したりする方法がありませんでしたか? これにより、2番目の条項への準拠が不可能になりました。
当然のことながら、Googleは(Facebookとともに)GDPR訴訟に直面した最初の企業の1つでした。
2019年までに、フランスのデータ規制当局CNILは、Googleが製品全体のデータ収集を十分に開示していないと首尾よく主張しましたか? したがって、GDPRに違反しています。 上訴が失敗した後、Googleは5000万ユーロの罰金を支払い、より良い結果を出すことを約束しなければなりませんでした。
2019:GoogleAnalytics4の発表
2019年を通じて、Googleは、Google Universal Analytics(UA)を含むすべての製品で、GDPRの欠点のいくつかを正しく解決しようとしました。
彼らは、オンライン追跡のためのより目に見える同意メカニズムを追加し、ユーザーが従うべき追加のコンプライアンスのヒントを提供しました。 バックグラウンドで、Googleはまた、規制の良い面を取得するために、データ処理メカニズムに技術的な変更を加えました。
Googleはいくつかの問題に対処しましたが、他の問題を見逃していました。 2019年の独立した調査によると、Googleリアルタイムビッダー(RTB)広告オークションでは、「プッシュページ」と呼ばれる抜け穴のおかげで、EU市民と住民のデータが同意なしに使用されていました。 しかし、彼らは、申し立てが法廷に持ち込まれる前に、これを迅速に修正することができました。
2019年11月、Googleは新製品バージョンのベータ版をリリースしましたか? Google Analytics 4、UniversalAnalyticsに代わるもの:
GA4には、次のようなGDPRボックスをチェックするためのプライバシーに重点を置いた一連の新しい機能が付属しています。
- データ削除メカニズム。 ユーザーは、新しいインターフェースを介してAnalyticsサーバーから特定のデータを外科的に抽出するように要求できるようになりました。
- データ保持期間が短くなります。 デフォルトの保存期間をデフォルトで(14か月ではなく)2か月に短縮したり、カスタム制限を追加したりできるようになりました。
- IP匿名化。 GA4は、デフォルトではIPアドレスをログに記録したり保存したりしません。
Google Analyticsはまた、データ処理条件を更新し、プライバシーポリシーを変更しました。
グーグルはある程度の進歩を遂げましたが、グーグルアナリティクス4にはまだ多くの制限がありますか? GDPRに準拠していません。
2020年:プライバシーシールド無効化の決定
2018年のGDPR準備の一環として、Googleはアイルランドの事業体(Google Ireland Limited)を、EEAおよびスイスのユーザーの情報に法的に責任を負う「データ管理者」として指名しました。
会社の発表によると:
当初、Googleは、「法的に言えば」ヨーロッパのエンティティがヨーロッパのデータを担当するように設定されているため、この法改正によりGDPRへの準拠が保証されると想定していました。
ただし、実際には、EEAの消費者のデータは、依然として主に米国で転送および処理されていましたか? ほとんどのGoogleデータセンターがあります。 2020年まで、このような国境を越えたデータ転送は、プライバシーシールドフレームワークのおかげで合法と見なされていました。
しかし、2020年7月、EU裁判所は、このフレームワークは、米国の監視法に対してデジタル送信されたデータに適切なデータ保護を提供しないとの判決を下しました。 したがって、Googleのような企業はもはやそれを使用することはできません。 スイス連邦データ保護情報委員会(FDPIC)は、2020年9月に同じ結論に達しました。
プライバシーシールドフレームワークの無効化により、Googleは厳しい立場に置かれました。
GDPRの第14条fは、次のように明示的に述べています:
「第三国または国際機関の受信者(分析ソリューション)への個人データの転送を実行する予定の管理者(会社)は、データの処理および保管場所に関する情報をユーザーに提供する必要があります。」
プライバシーシールドフレームワークの無効化により、Googleはデータを米国に移動できなくなりました。 同時に、GDPRの規定により、適切なデータの場所を開示する必要があります。
しかし、Google Analytics(他の多くの製品と同様)には、次のメカニズムがありませんでした。
- EU内データストレージの保証
- 指定された地域の保管場所の選択
- EU外でのデータ保存場所またはデータ転送についてユーザーに通知する
そして、これらの要因により、Google AnalyticsはGDPRに直接違反しましたか? それらが2022年の時点で残っている領域。
2020-2022:GoogleGDPR違反と罰金
2020年の判決により、Googleは国別のデータ規制当局からのGDPR訴訟にさらされました。
特にGoogleAnalyticsは大規模な停止状態にありました。
- スウェーデンは、2020年にデータの上場廃止を要求する義務を果たさなかったとして、GDPRに違反したとして最初にGoogleに罰金を科しました。
- フランスは、国境を越えたデータ転送を保護するための十分な手段として、Google Analytics4のIPアドレス匿名化機能を拒否しました。 それでも、米国のインテリジェンスサービスはユーザーIPやその他のPIIにアクセスできます。 フランスはGoogleAnalyticsを違法と宣言し、1億5,000万ユーロの罰金を科しました。
- オーストリアはまた、Google Analytics GDPRが非準拠であると判断し、サービスを「違法」と宣言しました。 当局は今も罰金を求めています。
オランダのデータ保護局とノルウェーのデータ保護局も、Google AnalyticsがGDPR違反で有罪であると判断し、GoogleAnalyticsの使用を制限しようとしています。
Google Analytics 4の新しいプライバシーコントロールは根本的な問題を解決しませんか? 規制されていない、合意に基づかないEU-USデータ転送。
Google Analytics GDPRに準拠していないと、ヨーロッパの訪問者を追跡または分析するWebサイトが法的な迫害を受ける可能性があります。
実際、これはすでに起こっています。 ヨーロッパのプライバシーに焦点を当てたNGOであるnoybは、GoogleAnalyticsを使用してヨーロッパのウェブサイトに対してすでに100件を超える訴訟を起こしています。
2022年:プライバシーシールド2.0。 交渉
プライバシーシールドフレームワークの無効化の影響を受ける米国企業はGoogleだけではありません。 この判決により、何千ものデジタル企業がコンプライアンス違反のリスクにさらされています。
問題を解決するために、米国とEU当局は2022年春に「和平交渉」を開始しました。
欧州委員会のウルズラ・フォン・デア・ライエン委員長は、「EUと米国の間の予測可能で信頼できるデータの流れを可能にし、プライバシーと市民の自由を保護する」という新しい合意について、バイデン政権と協力していると述べた。
ただし、これは長い交渉プロセスの始まりにすぎません。 ツイッターで話し合ったように、問題は解決にはほど遠いものであり、論争の的となっている問題が残っています(こんにちは!)。
一つには、米国は監視法を修正することを熱望しておらず、EUで施行されている法に「比例」させることを主に望んでいます。 これらの変更はまだCJEUを満たさない可能性がありますか? これは、契約の審査をブロックするか、もう一度無効にする権限があります。
これらの問題が解決されつつある間、EU市民や居住者に関するデータを収集しているGoogle Analyticsユーザーは、滑りやすい状況にとどまっています。 GA4を使用している限り、GDPR関連の訴訟の対象となる可能性があります。
まとめると
- GoogleAnalytics4とGoogleUniversalAnalyticsは、2020年にプライバシーシールドが無効になったため、GDPRに準拠していません。
- フランスとオーストリアのデータウォッチドッグは、GoogleAnalyticsの運用を「違法」と名付けました。 スウェーデン、オランダ、ノルウェーの当局も、GDPRに違反していると主張しています。
- 欧州市民および/または居住者に関するデータを収集するためにGAを使用するWebサイトは、GDPR違反(すでに発生しています)について法廷に持ち込むことができます。
- EU-USデータ転送を規制するためのPrivacyShield2.0 Frameworkの議論は始まったばかりであり、数年かかる可能性があります。 受け入れられたとしても、新しいフレームワークは、過去にすでに起こったように、ローカルデータ規制当局によって再び無効にされる可能性があります。
GDPRに準拠したGoogleAnalyticsの代替案を入手する時期
100%のデータ所有権を維持することは、GDPRコンプライアンスへの最適なパスです。
100%のデータ所有権を提供する透過的なWeb分析ソリューションを選択することにより、「舞台裏」のデータ収集、処理、または転送が行われないので安心できます。
Google Analytics 4とは異なり、MatomoはGDPRに準拠するために必要なすべての機能を提供します。
- 完全なデータの匿名化
- 単一目的のデータ使用
- 簡単な同意とオプトアウトメカニズム
- デフォルトでのファーストパーティCookieの使用
- データを収集するための簡単なアクセス
- 迅速なデータ削除
- Matomo Cloud用のEUベースのデータストレージ(またはMatomoオンプレミスで選択した国のストレージ)
プライバシー中心の方法でオーディエンスについて学び、不必要な法的露出からビジネスを保護します。
21日間の無料トライアル(クレジットカードは不要)を開始して、GDPRに完全に準拠したウェブサイト分析がどのように機能するかを確認してください!