2018年5月にGDPR(EC一般データ保護規則)が施工されて1年と少し。当時は正しい情報も少なく、どんな対策をすればいいのか、そもそも対策が必要なのか、アクセス解析担当者やマーケティング担当者は頭を悩ませたと思います。

アクセス解析は、ブラウザに保存されるCookieや、デバイスごとの識別子、IPアドレスなど、ユーザーが持つ様々な情報を収集・分析する方法です。「GDPR(EU一般データ保護規則)」という規制により、EUにおいてはcookie情報などもユーザーの個人情報として扱い、保護する必要性があります。
EUの規則ではあるものの、インターネットに国境はありません。そのため、アクセス解析をしている以上、全く無関係な規則ではありません。

知らずにいると、突然GDPRに関する警告のメールが来て驚く、なんてことにもなりかねませんので、GDPRの内容について知っておきましょう。
今回はGDPRとアクセス解析の関係について考えてみたいと思います。

GDPR(EU一般データ保護規則)とは

GDPR(EU一般データ保護規則)とは、2018年5月から施行されている、EU内の全ての個人のプライバシーを守るための規則のことです。
人種や国籍は関係なく、EUの領域内に居る全ての個人が、GDPRの保護の対象とされます。
具体的に、GDPRがアクセス解析にどう影響するのかと言いますと、ユーザーIDやメールアドレスといった個人情報はもちろん、CookieやIPアドレスなどもGDPRの保護の対象とされ、これらのデータの所有権はEU内の該当する個人にあると定められています。
そのため、その個人がこれらのデータの収集・利用を拒否した場合、そのデータはアクセス解析には利用できない、というのが原則となります。

GDPRに対応したアクセス解析を行う方法

GDPRがある以上、EU内の個人に対してはアクセス解析が全く行えないのか？というと、そんなことはありません。GDPRの規定に沿った形であれば、アクセス解析を行うことは可能です。
実際に、GDPRに対応したアクセス解析を行っている事例として、自動車メーカーのフェラーリがあります。

フェラーリの公式サイトでは、Googleアナリティクスによるアクセス解析では必須であるCookieについて、Cookieとは何なのか、フェラーリがどのような目的でCookieを収集しているのか、といった解説のためのページが設けられています。
さらに、このページでは、ユーザーにCookieについて知ってもらった上で、フェラーリがCookieを収集することを許可するかどうかをユーザー自身が選択できるようになっています。

GDPRは、個人情報の一つとしてCookieを規定し、その保護を定めていますが、Cookieを収集することを全面的に禁止しているわけではありません。
あくまでも、Cookieの所有権がユーザー自身にあることを定めているだけですので、データ収集者がユーザーの同意を得て、正しい目的で使用することは制限されていないのです。
フェラーリの事例では、まずCookieとは何か、Cookieをどういった目的で収集・利用するのかをユーザーに対して説明した上で、収集・利用に同意したユーザーに対してのみ、Cookieを収集してアクセス解析を行う、という手順を踏んでいます。

この方法であれば、ユーザーのプライバシーを侵害することにはなりませんので、GDPRに沿った形でアクセス解析を行うことができます。
もちろん、Cookieの収集・利用を拒否したユーザーに対してもCookieの収集を行ってしまうと、GDPRに違反することになりますので、注意が必要です。

日本のウェブサイトはGDPRの対象になる？

ここまでで、「GDPRについて知らなかった！何も対応していないけどどうしよう？？」と不安になったサイト運営者の方もいらっしゃるかもしれません。
しかし、日本はEUに所属していませんから、日本のウェブサイト全てが必ずGDPRの影響を受けるわけではありません。
日本国内だけを対象に運営を行っているウェブサイトにEUからのアクセスがあった場合、GDPRの対象外として扱われる可能性が高いのです。

GDPRの対象となるのは、以下の3つの企業・団体・機関です。

1. 1. EUに子会社、支店、営業所、駐在員事務所を有している
   2. 日本からEUに商品やサービスを提供している
   3. EUから個人データの処理について委託を受けている（データセンター事業者やクラウドベンダーなど）

（引用：https://www.live-commerce.com/ecommerce-blog/google-analytics-setting/#.XZAv-fnng2x　）

1、2の場合は、EUと直接ビジネスのやり取りをしているわけですから、大抵の場合は、既にGDPRへの対策は実施済みでしょう。
もしも、現時点で1、2に該当しているのにGDPRへの対策ができていないという場合は、早急な対応が必要です。

難しいのは3ですが、Googleアナリティクスを利用しているウェブサイトは、EUから個人データ処理を委託している場合、自動的に適用を受けています。
どういうことかというと、Googleアナリティクスで収集しているデータには、GDPRの施行日以降、保存期間というのが設けられました。
デフォルトでは、26ヶ月間(2年と2ヶ月)という風に定められており、保存期間を過ぎると自動的にデータが削除されるようになっています。
この保存期間は、GDPRの規定に沿って定められた期間ですが、上記のGDPRの対象になっていないウェブサイトは、この期間を超えてデータを保持していても問題ありませんので、保存期間の設定を変更して、自動的に削除されないように対策することが可能です。

保存期間を変更するには、Googleアナリティクスの「管理」→「トラッキング情報」→「データ保持」の設定メニューから変更できます。

自社がGDPRの対象かどうかわからない場合はどうしたらいい？

GDPRの対象となる3つの企業・団体・機関に自社が含まれているかどうかがわからない、という方には、それを解決してくれる条文がGDPRの中に規定されています。

GDPRが企業に対して影響力を持つためには、『管理者または処理者が欧州連合内役務を提供しようとする意思が明確かどうかを確認しなければならない』とされています。
日本国内だけを対象に運営されているウェブサイトで、サイト内の言語が全て日本語で書かれている場合、客観的に見ても、そのウェブサイトがEU内の個人によるアクセスを想定しているとは考えにくいと言えます。
そのため、そういったウェブサイトは『欧州連合内役務を提供しようとする意思が明確』とは言えず、GDPRの対象にはならないと考えられます。

1.運営元が日本にあり、
2.日本国内だけを対象としており、
3.日本語だけで書かれている
ウェブサイトは、基本的にはGDPRの対象外と考えていいでしょう。

ただ、法的なことを知識なしで判断してしまうのは少々危険ですので、自社サイトがGDPRの対象に含まれているかもしれない、と思ったら、専門家の意見を仰ぐようにすると、より安全です。
GDPRに違反していることが認められた場合は、約26億円、または総売上高の約4%というとてつもない高額な罰金が科される可能性がありますので、ウェブサイト内に英語で書かれたページがあったり、EUからのアクセスが一定以上あったりと、GDPRの対象に含まれそうなポイントがある場合は注意してください。

アクセス解析とGDPR(EU一般データ保護規則)まとめ

今回は、EU内のプライバシー保護を規定するGDPR(EU一般データ保護規則)の内容と、アクセス解析を行う上でのGDPRに対する注意点、そして日本のウェブサイトがGDPRの対象になるかどうかの判断材料などについて、一挙に解説してきました。

日本国内だけで運営しているウェブサイトであれば、まずGDPRの対象とはならないと考えられますが、アクセス解析やデータ分析を行う立場の方は、知識としてGDPRの内容について知っておいた方がよいでしょう。
フェラーリのWebサイトは、GDPRについてしっかり対策し、さらにユーザーに対してわかりやすい形で明示している優れた例です。自社のWebサイトがGDPRの対象になり、まだ対策できていないという場合は、専門家にアドバイスを求めるとともにフェラーリを参考にしてみましょう。

さらに、今後GDPRが改正されたり、EU以外でもGDPRと似たような規則が施行されたりということも考えられますので、そういったプライバシー保護関連の情報を常にキャッチアップできるようにしておくことが非常に大切です。
アクセス解析は、常にユーザーの個人情報を取り扱っているということを忘れないようにしましょう。