技術情報

Matomoでユーザーの権利を行使する方法

2025年01月21日 GDPR Matomoの管理 プライバシー

GDPRを遵守するために、データ主体は以下のさまざまな権利を行使することができます:

  1. 知らされる権利
  2. アクセス権
  3. 消去権
  4. 修正権
  5. データ・ポータビリティの権利
  6. 異議申し立ての権利
  7. 同意を撤回する権利

1 – 情報を得る権利

個人データを処理する場合は、データ収集の時点で、明確なプライバシー通知をユーザーに通知する必要があります。

この個人情報保護に関する通知には、最低限、以下の内容が含まれる必要がある:

詳しくは詳細記事をご覧ください。GDPRに対応したプライバシー通知の書き方.

2 – アクセス権

データ対象者の身元をまず確認する

訪問者が個人情報へのアクセスを求めた場合、訪問者の身元を確認する責任があります。

本人かどうかを確認するには、例えばリクエストのメールアドレスが Matomo に登録されているものと一致するかどうかを確認することができます(メールアドレスを処理するためにユーザーID機能を使用している場合)これには、以下で説明する GDPR 機能を使用できます。

個人データを匿名化すると、個人データでなくなるため、データ対象者を検索できなくなることに注意してください。

Matomoにおけるアクセス権の行使方法

このようなデータ対象者のアクセス要求に対応するために、全く新しい機能が開発されました。管理 → プライバシー → GDPRツールの中にあります:

そこで、データ対象者から提供された情報に基づいて、特にこのデータ対象者に関して処理しているすべてのデータを検索することができます:

また、データ対象者に関連するすべての情報(訪問、訪問時間、ウェブサイト上で実行されたアクション、eコマースの注文など)を取得します。

データをエクスポートしたいデータ対象者に属する各訪問を確認したら、「EXPORT SELECTED VISITS」をクリックしてデータを取り出します。

これにより、必要なデータがすべて入ったファイルがダウンロードされ、データ対象者にメールで送信することができます。ユーザーIDを電子メールアドレスで使用し、「ユーザーID = 電子メールアドレス」でデータ対象者を検索する場合、エクスポートされた情報は、データを検索したのと同じ電子メールアドレスにのみ送信するようにしてください。

3 – 消去権

指定したユーザーの情報を削除するには、以下の手順を実行する必要があります:

  • 管理画面(Matomoのバックエンドの右上にある車輪のロゴ)をクリックする。
  • プライバシーカテゴリの「GDPRツール」をクリックします。
  • データ主体の検索

  • 選択したら、DELETE SELECTED VISITSをクリックします:

  • データ対象者に個人データを適切に削除したことを伝え、メッセージを受け取ったかどうかの確認を求める。

4 – 修正する権利

データ対象者のデータを修正する要求が提示された場合、代わりに消去権を使用することをお勧めします。特別な理由でどうしてもこの権利を行使する必要があり、Matomo をセルフホストしている場合、唯一の方法は Matomoデータベースにアクセスすることです。そのためには、Matomoデータベースの仕組みを理解する必要があります。

5 – データ・ポータビリティの権利

利用者は、自己の個人データのコピーの取得を求める権利を有します。まず、「2-アクセスする権利」に記載されているように、本人であることを確認してください。
以下の権利を行使する:

  • 管理画面(Matomoのバックエンドの右上にある車輪のロゴ)をクリックする。
  • プライバシーカテゴリの「GDPRツール」をクリックします。
  • データ主体の検索

  • 見つけたら、「選択したビジットをエクスポート」をクリックします:

  • データ対象者の身元が確かであれば、データ対象者にデータを送付し、データ対象者がデータを受け取ったことを確認するよう求める。

6 – 異議申し立ての権利

この権利は、正当な利益に基づいて処理する場合にのみ適用されます。
ユーザーは、自分の個人データの処理に異議を唱えることができなければなりません。当社のオプトアウト機能を含めることで、この機能を簡単に提供することができます。
これはiFrameで構成されており、ユーザーがそれを見つけることを期待するウェブページに挿入することができます。ほとんどの場合、プライバシーポリシーページに記載されています。

  • 管理画面(Matomoのバックエンドの右上にある車輪のロゴ)をクリックする。
  • プライバシーカテゴリの「ユーザーのオプトアウト」をクリックします。
  • あなたのウェブサイトに合わせてHTMLコードを微調整する (さらに詳しく)
  • コピー/ペーストして、ユーザーが閲覧すると思われるウェブサイト(例えば、プライバシーポリシーのページ)に貼り付けます。
  • 正しく動作しているかテストする

この権利は、同意に基づいて個人データを処理し、Matomoの同意機能を使用している場合にのみ適用されます。

GDPRの下では、ユーザーが同意を与えた場合、それを撤回する方法を提供する必要があります。

同意を削除するためには、ユーザーは特定のアクションを実行する必要があります。例えば、「これ以上追跡されたくない」ボタンをクリックします。

Matomoの同意機能の設定方法については、こちらをご覧ください。また、管理画面(Matomoのバックエンドの右上にある車輪のロゴ)をクリックし、プライバシーセクションの下にある「同意を求める」をクリックすることもできます。