Googleアナリティクスの「データ保持期間(保存期間)」が変更されます。
具体的には、「データが削除されるまでの期間」を選択できるようになりました。
変更前 | 変更後 |
---|---|
削除されない | 下記5つから選択 ・14 か月 ・26 か月(デフォルト) ・38 か月 ・50 か月 ・自動的に期限切れにならな |
この仕様変更に伴い、「データ保持期間を自動的に期限切れにならないに変更しなさい!」的な記事が乱立していますが、ちょっと待ってください。
「うそー!データが消えちゃうの?!」、「よくわからないけど、削除されないに越したことはないよね!」と、鵜呑みにしていませんか?
……いやいやいや、それが情弱(検索力の低さ)というやつです。
「それって正しいの?」、「Googleはなぜ初期設定を26か月にしているの?」と、疑うようにしましょう。
この保持期間について私なりに調べた結果、私は26か月のまま変更しないことにしました。
多くの人は変更する必要がないように思いますが、あなたはどうでしょうか?
私なりの考えをお話します。
一般データ保護規則(GDPR)の施行に伴い、Googleアナリティクスのデータ保持期間を設定できるようになりました。あなたは何か月に設定しますか?私は26か月のままでよいと思います。
それでは早速、始めましょう。
このページの目次
1.保持期間の変更とは?
Googleアナリティクスの管理画面を開くと、下図のようなアナウンスが表示されています。
先日導入された新しいデータ保持の設定により、2018 年 5 月 25 日からのデータが影響を受ける可能性があります。このメッセージを閉じるには、[管理] > [プロパティ] > [トラッキング情報] でプロパティのデータ保持の設定をご確認のうえ、[保存] をクリックしてください。
あわせて、下図のようなポップアップウィンドウが表示される場合もあります。
これら表示の意味は、「アナリティクスデータの保持期間が変更になりました。あなたも設定を確認(必要に応じて変更)してください。そうしないと、この表示は消えませんよ」というものです。
つまり、Googleアナリティクスを利用しているすべての人が、この設定を確認しなければならないということです。
2.保持期間が変更された理由
2-1.法令に違反しないための変更
そもそも、これまでは保持期間に関する設定はありませんでした。すべての人が自動的に期限切れにならない設定だったわけです。
しかし、なぜ、Googleは「データが削除される期間」を設けたのか?
答えは、2018年5月25日に施行されるデータ保護法「一般データ保護規則(GDPR:General Data Protection Regulation)」の要件を満たすためです。
つまり、Googleや私たちが法令に違反しないための変更なのです。
※要件の詳細は後述。
「データ管理者」は個人データを収集するウェブサイト運営者(あなた)です。Googleはその個人データを分析する「データ処理者」です。つまり、Googleだけでなく、あなたも当事者なのです。
2-2.一般データ保護規則とは?
「一般データ保護規則」とは、欧州経済領域(EEA:European Economic Area)加盟国で施行されるものです。
個人データ(情報)の保護を目的としていて、わかりやすく例えるなら、日本の個人情報保護法のようなものです。
各国で定められていたデータ保護に関する法令を廃止し、EEA全体で統一することになりました。
ベルギー、ブルガリア、チェコ、デンマーク、ドイツ、エストニア、アイルランド、ギリシャ、スペイン、フランス、クロアチア、イタリア、キプロス、ラトビア、リトアニア、ルクセンブルク、ハンガリー、マルタ、オランダ、オーストリア、ポーランド、ポルトガル、ルーマニア、スロベニア、スロバキア、フィンランド、スウェーデン、(イギリス)、アイスランド、リヒテンシュタイン、ノルウェー。
2-3.違反すれば制裁金(罰金)が課される
これに違反すると、制裁金(罰金)が課される場合があります。
GDPR違反の場合の制裁金の上限額には、次の 2とおりの類型がある。
- 1,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 2%のいずれか高い方
- 2,000万ユーロ、または、企業の場合には前会計年度の全世界年間売上高の 4%のいずれか高い方
例えば、前会計年度の全世界年間売上高が 100億円の企業グループの場合、売上高の4%は 4億円だが、2,000万ユーロ(約 22億6,000万円。1ユーロ=113円として換算)の方が「高い方」に当たるため、制裁金の上限額は 20億円を超えるレベルになる。GDPRの制裁金の額が、企業経営や公的機関の運営を揺るがし兼ねない規模であることが分かる。
出典: 「EU 一般データ保護規則(GDPR)」
に関わる実務ハンドブック(入門編) 12ページから抜粋
制裁金は必ずしも課されるわけではありませんが、最安でも1,000万ユーロ。1ユーロ=113円換算だと……目が飛び出るわっ!
次項から要件の詳細をお話していきますが、一般データ保護規則に違反すると、とんでもないことになるかもしれないこと、伴い、Googleもきちんと対応した方がよいと判断し今回の変更をしたこと、は理解してもらえたのではないかと思います。
……「日本に住んでいる私たちには関係ないでしょ?」と考えたあなたも、もう少しお付き合いください。関係ありますから。
3.一般データ保護規則の要件
このページでは、「Googleアナリティクスの利用によって、違反してしまう可能性がある要件」についてお話します。
EU 一般データ保護規則(GDPR)について
3-1.対象となるデータ
一般データ保護規則の目的は個人データの保護であり、次のものが主な対象となります。
- 自然人の氏名
- 識別番号
- 所在地データ
- メールアドレス
- オンライン識別子(IP アドレス、クッキー識別子)
- 身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要因
出典: 「EU 一般データ保護規則(GDPR)」
に関わる実務ハンドブック(入門編) 2ページから抜粋
はい、問題の核心に近づいてきましたね。
上記の内、「オンライン識別子(IP アドレス、クッキー識別子)」は、Googleアナリティクスで収集しているデータに含まれています。
3-2.対象となる人
あなたのウェブサイトが日本人をターゲットにしているなら、EAA域内に居住しているベルギー人、ドイツ人、フランス人、イタリア人などが閲覧する可能性はほとんどないと言えるでしょう。
しかし、たまたまEAA域内にいる日本人が閲覧する可能性ならどうでしょう?
結論から言ってしまえば、旅行中、出張中、出向中など、居住しているわけではないが、EAA域内に所在しているだけの人も対象となるのです。
GDPRの保護対象となる「個人データ」とは、EEA域内に所在する個人(国籍や居住地などを問わない)の個人データをいう。
短期出張や短期旅行でEEA域内に所在する日本人の個人データや、日本企業からEEA域内に出向した従業員の情報(元は日本から EEA域内に移転した情報)も、処理および第三国への移転の制限を受ける個人データに含まれる。出典: 「EU 一般データ保護規則(GDPR)」
出典: 「EU 一般データ保護規則(GDPR)」
に関わる実務ハンドブック(入門編) 3ページから抜粋
に関わる実務ハンドブック(入門編) 3ページから抜粋
3-3.どのような保護(処理)が必要?
では、上記の対象データを収集した場合、どのような保護(処理)が必要なのか。
「一般データ保護規則」の条文には、いくつかの「個人データの処理における原則」が定められていますが、この中に「保管の制限の原則」があります。
個人データは、当該個人データの処理の目的に必要な範囲を超えて、データ主体の識別が可能な状態で保管してはならない。
出典: 「EU 一般データ保護規則(GDPR)」
出典: 「EU 一般データ保護規則(GDPR)」
に関わる実務ハンドブック(入門編) 8ページから抜粋
に関わる実務ハンドブック(入門編) 8ページから抜粋
これをアナリティクスを利用する私たちが読み換えるなら、「アナリティクスでのアクセス解析に必要な範囲を超えて保管してはならない」となり得ます。
3-4.アナリティクスの利用によって違反してしまう可能性
ここまでの話をまとめて、最悪のストーリーを想像してみましょう。
- EAA域内に所在する人が、あなたのウェブサイトを訪問した。
- アナリティクスでのアクセス解析にあたってIPアドレスなどを収集した。
- そのデータを、アクセス解析に必要な範囲を超えて保管し続けた。
- 目が飛び出るほどの制裁金を支払うはめになった。
……まさに極端な例であり、あまりにも飛躍したストーリーであることは重々承知ですが、可能性は0(ゼロ)ではないはずです。
4.保持期間は何か月に設定すべきか?
4-1.「個人データの処理の目的に必要な範囲」とは?
ここでひとつの疑問が浮かびます。
「じゃあ、個人データの処理の目的(アナリティクスでのアクセス解析)に必要な範囲ってどのくらいなの?」
……残念ながら、目安のようなものを見つけることはできませんでした。
(もっとも、Googleがデフォルト設定を26か月としているわけですから、これがひとつの目安と言えますが)
では、角度を変えて検討してみましょう。
4-2.どのようなデータが削除されるのか?
保持期間を過ぎた際に削除されるデータとはなにか?ということです。
一部の記事に煽られ、盲目的に行動している人がいますが、本当に、そのデータが削除されて困るのですか?ということです。
Googleの「データの保持」に関するページを参照してみます。
ユーザーデータとイベントデータの保持
保持期間は、Cookie、ユーザーの識別子(例: ユーザー ID)、広告 ID(DoubleClick Cookie、Android の広告 ID、Apple 広告主向け識別子など)に関連付けられたユーザー単位やイベント単位のデータに適用されます。集約されたデータは影響を受けません。
削除されるデータは、次のものに関連付けられた「ユーザー単位のデータ」や「イベント単位のデータ」です。
- Cookie
- ユーザーの識別子(例: ユーザー ID)
- 広告 ID(DoubleClick Cookie、Android の広告 ID、Apple 広告主向け識別子など)
……必要ですか?
※上記を読んで、「どんな機能だ?」とピンと来ない人にはまず必要ありません。
しかも、保持期間がリセット(リスタート)される、次のようなオプションもあります。
新しいアクティビティをリセット
出典: アナリティクスヘルプ データの保持
このオプションをオンにすると、特定のユーザーからの新しいイベントが発生するたびにユーザー識別子の保持期間がリセットされます(したがって、有効期限はイベント発生時刻から保持期間が経過した時点になります)。たとえば、データの保持期間を 14 か月に設定した場合、ユーザーが毎月新しいセッションを開始すると、そのユーザーの識別子は毎月更新され、14 か月の有効期限に達することはありません。ユーザーが新しいセッションを開始しない場合、保持期間が経過するとそのユーザーのデータは削除されます。
このオプションをオンにしておけば、設定した保持期間を過ぎる前に再訪問などしたユーザーの個人データは、0日(0か月)からリスタートするわけです。
言い換えると、保持期間を26か月に設定しているとすれば、削除されるデータは「26カ月間、あなたのウェブサイトに再訪問しなかったユーザーの個人データ」です。
……そんな個人データ、必要ですか?
Googleが推奨する保持期間を変更してまで、ましてや、「必要な範囲を超えて保管してはならない」と定められ高額な制裁金のリスクすらあるのに、大した意味もなく自動的に期限切れにならないを選択するメリットがあるのか?ということです。
ここまでお読みいただいたあなたは、保持期間の選択には迷わないはずです。
削除されるデータ(分析)を活用していないなら、最短の14か月でもよいくらいです。
反対に、フル活用しているなら、自動的に期限切れにならないを選択すべきでしょう。
冒頭でもお話しましたが、私は、Google推奨の26か月に設定しました。……14か月を選択するほどの男らしさも潔さもなく。
5.保持期間の変更方法
それでは、最後に、保持期間の確認(変更)方法を解説します。
5-1.ポップアップウィンドウが表示されている場合
「ユーザーデータとイベントデータの保持」にて、設定したい期間を選択し、Saveをクリック。
これだけで設定は完了です。
※「新しいアクティビティ(再訪問ユーザーの保持期間リセットオプション)」を含め、きちんと設定されているか不安な人は、下記の手順で再確認してください。
5-2.ポップアップウィンドウが表示されていない場合
1
画面左側メニュー内、管理をクリック。
2
「プロパティ」項目内、トラッキング情報をクリックし、データ保持をクリック。
3
「ユーザーデータとイベントデータの保持」にて、設定したい期間を選択。
「新しいアクティビティをリセット」がオンになっていることを確認し、保存をクリック。
4
画面上に小さく「完了しました。」と表示されれば、設定は完了です。
6.最後に
これで、Googleアナリティクスの保持期間に関する設定は完了です。
保持期間の設定は人それぞれですし、私の設定や解釈が最適とも言い切れません。
ですが、「うそー!データが消えちゃうの?!」、「よくわからないけど、削除されないに越したことはないよね!」と、煽るようなタイトルの記事を盲目的に鵜呑みにしてばかりだと、いつか痛い目をみるかもしれません。
「疑う癖」、「検索する癖」、「自分で結論付ける癖」を付けましょう。
以上、保持期間設定の参考になったなら、次回のシェアも楽しみにしていてください。