はじめに
本記事では、プライバシーの専門家がGoogle アナリティクスとどう向き合っているのかを解説します。いわゆる GA として広く利用されているサービスにどんな危惧や留意点があるのかを整理するとともに、Google アナリティクスを利用するうえで必要な基本的な手続きと設定とのプライバシー上の意味をご理解いただけるかとも思いますので、これからウェブサイトを構築する事業者やプライバシーポリシーの記載ぶりに迷う方のご参考になれば幸いです。
なお、Google アナリティクスは、設定によりかなり高度なことをすることができます(Google アカウントの属性紐づけ、Google 広告との接続や自社IDの送信など)が、本記事は導入編を銘打っておりますので、この種の高度な機能を利用しない場合を前提とします。コンプライアンス部門の方でGoogle アナリティクスってどこまでできるのだろうか、と相談を受けているうちによくわからなくなってしまったときの原形の把握にも有用ですので、それでも長い記事ですが是非ご覧ください。
ただし、執筆者の技術的理解の制約と説明能力の限界もあり、GA そのものについての解説は省略することとさせてください。
なお本記事は、テーマ自体の広さと深さに鑑み、公開後の加筆等を予定しております。
Google は何を言っているのか – 前提の整理 –
Google アナリティクスの利用規約を掲載する必要はない。
誰がやり始めたのか、最近Google アナリティクスの利用規約をプライバシーポリシーに掲載する企業が増えたように見受けられます。意味が無いとは思いませんが、少なくとも Google は要求していません。
そもそも規約や契約の相対効などという大原則を仰々しく引くことせずとも、ウェブサイトに訪問したユーザーに対してプライバシーポリシーにアクセスさせ、更にあの長々しい利用規約を読ませることはいささかユーザーへの負荷が高すぎるだろうとも思いますし、これから縷々述べるように設定次第でユーザーに案内すべきことは変わってきますから general な利用規約からユーザーが何かを引き出すことができるはずもなく、実質的ななにかを求めてのことではないのかもしれませんが、必須ではありません。百害あって一利なし、と言い切ってしまいたい気分すらあります。
よくいうプライバシー原則の透明性 (transparancy) や説明責任 (accountability) に応答できるものでもありません。
規約上の要求事項
それでは利用規約は何をユーザーのプライバシーのために要求しているのかを抜粋して引きます(なお、この前項に「6. 情報に関する権利およびパブリシティ」がありますが、基本的に気にする必要はありません。後述します。)。
7. プライバシー
お客様は、Google が個人情報として使用または認識できる情報を Google に送信したり、第三者によるかかる行為を支援または許可したりしないものとします。お客様は適切なプライバシー ポリシーを用意および遵守し、ユーザーからの情報を収集するうえで、適用されるすべての法律、ポリシー、規制を遵守するものとします。お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで Cookie の使用、モバイル デバイスの識別情報(Android の広告識別子、iOS の広告識別子など)、またはデータの収集に使われる類似の技術について必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても開示する必要があります。こうした情報を開示するには、「ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用」のページ(www.google.com/intl/ja/policies/privacy/partners/ または Google が随時提供するその他の URL)へのリンクを⽬立つように表示します。お客様は、本サービスに関連してユーザーのデバイス上で Cookie やその他の情報を保存、アクセスする行為が発生し、かかる行為に関する情報の提供とユーザーからの同意が必要であると法律で定められている場合には、ユーザーに明確かつ包括的な情報を提供し、同意を得るための商業上合理的な努力を払うものとします。
お客様は本サービスに含まれるプライバシー機能(オプトアウトなど)を一切回避してはなりません。お客様は、www.google.com/analytics/policies/(または Google が指定したその他の URL)に掲載される、該当するすべての Google アナリティクス ポリシー(「Google アナリティクス ポリシー」)に従うものとします。このポリシーは随時改訂されることがあります。
お客様は、Google アナリティクスと特定の Google の広告サービスの統合バージョン(「Google アナリティクスの広告向け機能」)を利用でき、その際 Google アナリティクスの広告向け機能に関するポリシー(https://support.google.com/analytics/answer/2700409?hl=ja&topic=2611283)に従うものとします。お客様が Google の広告サービスにアクセスし、これを使用する際は、当該サービスに関してお客様と Google との間に適用される規約に従うこととします。
プラットフォーム ホームを使用する場合は、https://support.google.com/marketingplatform/answer/9047313 または Google が指定したその他の URL)に掲載されるプラットフォーム ホーム追加規約(規約が改名された場合は、改名後の規約)が適用されます。この利用規約(「プラットフォーム ホーム利用規約」)は随時改訂されることがあります。
Google アナリティクス利用規約 (US英語版は Google Analytics Terms of Service )
要約し適宜順番を繰り替えてみると以下のようなところです。
- 適切なプライバシー ポリシーを用意および遵守し、ユーザーからの情報 (information) を収集するうえで、適用されるすべての法律、ポリシー、規制を遵守すること
- プライバシー ポリシーには以下の内容を含めユーザーに通知 (“provide notice” and “disclose”)すること
- Cookie の使用、モバイル デバイスの識別情報(Android の広告識別子、iOS の広告識別子など)、またはデータ (data) の収集に使われる類似の技術について必ず通知する
- Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組み
- 上記のため、例えば (“This can be done by”) 「ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用」のページ(www.google.com/intl/ja/policies/privacy/partners/ または Google が随時提供するその他の URL)へのリンクを⽬立つように表示すること
- 法律上必要ならば、ユーザーに明確かつ包括的な情報を提供し、同意を得ること
- Google アナリティクスの利用に際して以下のことをしないこと
- Google が個人情報 (personally identifiable information) として使用または認識できる情報 (information) を Google に送信すること
- サービスに含まれるプライバシー機能(オプトアウトなど)を回避すること
- 他の Google サービス (「Google アナリティクスの広告向け機能」など)と組み合わせて利用する場合、追加的な規約等が適用される場合があること
他の Google サービスにまで及ぶ記事とすると、いつ書き終えられるかわからないので、今回は 5. について立ち入りません。
補足的な小括
Controllership
重要なのは、(少なくともプライバシーの専門家にとっては)何を措いても 1.です。誤解を恐れずに言えば、2. や 3. は、「てにをは」のレベルの問題、オマケであるとさえいえるでしょう。私見に過ぎませんがここにみるべき含意はおそらく2つです。
ひとつに、Google は、これらを倫理の最低限だと考えているのです。「どんなにあなたの国のプライバシー法が未成熟であるとしても(つまり 1. で要求されなかったとしても)、2. や 3. だけは守ってくれる必要がある」、と。
もうひとつに、Google は、データ処理者 (processor (ref. GDPR, LGPD)) でありサービスプロバイダ (service provider (ref. CPRA)) だと言っており、ひるがえって我々が管理者=controllerとして法律上必要な準備をする必要があるといっている、ということでしょう。日本法に即すと、Google は「委託先」である、と。ただし、後述するように、ここにはいくつかの留保がつきますし、若干の疑問が残るところでもあります。
脇道にそれますが、SaaSのプロバイダやB2Bサービスを展開する事業者においては、この種の文言、責任分界点の明確化として記載しておくことをおすすめします。Personally indentifiable information (PII)
わたしも何度か質問を受けたことがありますが、Google アナリティクスって日本でいう個人関連情報しか送ってはならないということだろうか、と思われたかもしれません。そういうことではないのです。
「メールアドレスって個人情報でしたっけ?」という議論を懐かしく思う今日この頃で、すでに決着がついたことを殊更に蒸し返すのは心情的に気が重くなるのですが、この用語を語るには歴史をみる必要があります。
特にUSにおいて利用されてきた概念の残滓がここにある、というとやや悪意が帯びているかのようですが、プライバシーインパクトの有無において PII か non-PII の区別が重要とされていたことがあります(これに対する批判の嚆矢が代表的には Online Profiling: A Federal Trade Commission Report to Congress (June 2000) です。日本語による解説は、石井夏生利『新版 個人情報保護法の現在と未来: 世界的潮流と日本の将来像』(2017年、勁草書房)など。)。
つまり、Google がここでいう個人情報/personally indentifiable information は、日本法の「個人情報」ともGDPRの”personal data”とも対応しません。さらにいえば、ISOの”personally indentifiable information”とすら対応しないものです。
かつてのPIIとも完全一致するわけでもない気はするものの、無理に近しい概念を日本で用意するとすれば、個人識別符号は送信してはならないということと理解してよさそうです。
すでにUSにおいても PII vs. non-PII に大きな意義が見出されていない現下の環境において、これを送信してはならないとすることで Google が守りたいものは定かではありませんが、単純に安全管理措置であると理解して差し支えないように思われます。cookie でそんなものをやりとりするな(しかも無償なのだから)、という古くからの教えよろしくということでしょうか。
オプトアウト
オプトアウトに限られない話ではあるのですが、ともあれこの理解をしないことにはプライバシーポリシーに何を書くかに進めません。
「なぜリターゲティング広告をするわけでもないのにオプトアウトを回避してはならないのだろうか」と、直感したことはないでしょうか。広告をするならばわかるが無限定に要求するのはどうか、と。実際のところも、彼らの言を信じるならば Google は「委託先」なのだろう、と。
Google が一義的にオプトアウト機能を実装し全クライアントに要求した動機については知る由もないのですが、全世界のウェブサイト運営者に無償でサービス提供をする 3rd party としての立場を踏まえると、こうするほかないのだろうということはわかります。
3つ理由を挙げることができるでしょう。
- 一つに、ある法域においては、これが必要ということ。
- もう一つに、Google は、processorという性質もあいまって、controllerにどの国の法律が適用されるか判断できる立場にないということ。
- 最後に、GAは使い方によって multi-purpose cookie とみる必要があり、この場合必ずしも Google が processor であるとは言い切れないこと。
どれが決定的かといわれるとどれも決定的ではないのですが、GA というサービスを無償で提供しようとするのであれば、ウェブサイト運営者ごとに個別対応をするのは現実的ではないのは理解できるところです。
代表的な「ある法域」とはもちろん EU ですが、e-Privacy Directive で必要とされている同意 = consent に関しては彼らですら現行の規制に違和感を表明しています。
同意の必要性については、Art. 5 (3)を踏まえると条文上否定しがたいところ、一方でかつての29条作業部会の手になる Opinion 04/2012 on Cookie Consent Exemption - WP 194 (07.06.2012) "4.3 First party analytics"で以下のようにも述べられていることには気を留めておきたいところです。
"[T]he Working Party considers that first party analytics cookies are not likely to create a privacy risk when they are strictly limited to first party aggregated statistical purposes and when they are used by websites that already provide clear information about these cookies in their privacy policy as well as adequate privacy safeguards. Such safeguards are expected to include a user friendly mechanism to opt-out from any data collection and comprehensive anonymization mechanisms that are applied to other collected identifiable information such as IP addresses.
In this regard, should article 5.3 of the Directive 2002/58/EC be re-visited in the future, the European legislator might appropriately add a third exemption criterion to consent for cookies that are strictly limited to first party anonymized and aggregated statistical purposes.
First party analytics should be clearly distinguished from third party analytics, which use a common third party cookie to collect navigation information related to users across distinct websites, and which pose a substantially greater risk to privacy."
もう少し最近の見解だと、EU を離脱しましたが UK ICO の案内が参考になるかと思います。なお、いつまでステータスを変えないつもりでいるのかわからないe-Privacy Regulationを引くと、ここはもう少し語るべきものがありますけれどもいつかの別稿とします。Google アナリティクス導入時のプライバシーポリシー最小版
実は第三者提供をすることになっていませんか? – テンプレを見る前に –
様々なことを捨象して、しかしここまで来たならば、一応GAの導入時にプライバシーポリシーに書くべき最小限を語ることができます。なお、冒頭にも高度な機能を利用しない原形としての Google アナリティクスを解説すると申し上げましたが、特に以下の設定画面(確かめたくなったなら、一番上のレイヤーのアカウント設定(プロパティレベルではなく、アカウント)を参照してください。)は注意する必要があります。
4つのチェックボックスのうち、プライバシー屋さんの観点からは、一番上の「Google のプロダクトとサービス」にチェックを入れる際だけは留意が必要です。controller to controller のデータ移転契約(かいつまんでいうと、Google への第三者提供をすることとなります。)を特約として締結することとなるからです。
Google のプロダクトとサービス
この設定をオンにすると、Google がデータにアクセスし、そのデータを分析することで、オンラインでの行動や傾向を把握することができるようになります。このデータは、広告キャンペーンの作成、管理、分析に使用される Google 広告システムツールなどの Google サービスの向上に使用されます。
「Google のプロダクトとサービス」設定により Google が収集して使用するデータには、管理者間のデータ保護に関する条項が適用され、Google は GDPR に則り、対象データの独立した管理者となります。
データ共有設定
ウェブサイト運営者にとってこれにチェックを入れる合理性は、ちょっとよくわかっていないのですが、黒子に徹してくれていた Google が自分の利益のためにウェブサイトにおけるトラフィックを覗きにやってくるので穏やかではありません。詳しい人ならGoogle の独自の取得である(いわゆる第三者提供ではない)という理屈を考えてみたくなるところかもしれませんが、「管理者間のデータ保護に関する条項」を前提とするとやや苦しいように思われます。
つまり、当然、個人情報保護法にいうところの個人関連情報/個人データの第三者提供という論点も生じますし、最近話題のトピックでいえば電気通信事業法の外部送信規律も気になってくるところです。
テンプレート
ともあれ、ここまで読んでくださってありがとうございます。
導入編、原形としての Google アナリティクスのためにプライバシーポリシーに何を書くべきか、そのサンプルをお届けして本稿を締めたいと思います。
本ウェブサイトでは、本ウェブサイト上のユーザー体験の改善およびそのためにおこなう解析を目的としてGoogle アナリティクスを利用し、本ウェブサイトを訪問し利用した方の閲覧その他の本ウェブサイト上の操作や行動(訪問時や離脱時の情報を含みます。)に関する情報を取得しています。このため、Google アナリティクスにより提供される cookie その他の類似技術を通じて、ユーザーのブラウザ上からブラウザを識別するための識別子、訪問した URL、IPアドレス等の情報を Google のサーバーに送信することとなります(*)が、本ウェブサイト上で Google アナリティクスにより取得されたユーザーの情報は、すべて本ウェブサイトのためにのみ用いられ、Google その他の第三者がこれ以外の目的でアクセス等することはなく、例えば Google の他の広告等のサービスにユーザーの情報が利用されることはありません。 (*)「ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用」 また、本ウェブサイトにおいては、本ウェブサイトで利用するアカウントその他のユーザー ID 等と Google アナリティクスの識別子を紐づけられず、匿名または仮名の状態でユーザー情報は処理されます。 本ウェブサイト上その他のウェブサイト上で Google アナリティクスの利用をオプトアウトされる場合には、お使いのブラウザに Google アナリティクス オプトアウト アドオンをインストールすることで利用を無効にすることができます。
おまけ (次回以降に向けて)
processor ということへの疑問
Google はしきりに processor/委託先である旨強調していますが、本当のところどうだろうか、と思うことがあります。データの移転先やデータの保管場所について controller であるわたしになんのオプションも無いことは、巨象と蟻との取引では詮無いことであるとは思いつつ、最後にも触れたオプトアウトは理論上あやしいところを孕むのではないかとも感じます。
ただ、大いなる決断であったことは想像にかたくないし、結果としてユーザープライバシーにとっては良いことであるようにも思うのです。
controller とは、その data processing の目的と方法とを決定するものであると言われますが、processor を自称する Google がアナリティクスの胴元としてオプトアウトを一括受付して、一度オプトアウトしたブラウザでは、どの controller もアクセス解析できないわけです。controller の controllability は「誰のトラッキングをし、しないか」を完全に決定できないという意味でやや損なわれているということがあるような気がしております。
域外移転への対処
本稿は、導入編ですからいわゆる「個人情報/個人データ」に該当しないものとして議論することができました。しかしオフィシャルに開放されているユーザー ID の送信をしようと思うと、もう少し深く考えなければなりません。いちばん大きな問題は、(多くの日本企業にとって)域外移転することになることでしょう。
EU GDPRのもとでの Google アナリティクス利用の是非も論点としては越境移転です。次項のそれも含めてもう少し掘り下げてみる余地があるところです。
営業秘密の問題(経済安全保障)
正直なところ、これはプライバシー屋の本流ではないと思っているところですが、昨今いろいろなところで取りざたされていることでもあるので、何がデータ保護の問題で何がそうではないのかについて見通しだけでも示すことができればと思っています。
むすび
自分で触ってみるのとみないのとでは全然違いました。なるべく出典を示しつつ書き連ねたつもりでおりますが、応用編?はもう少しエッセンスを絞って解説していければと思っています。
ということでプライバシーポリシーをアップデートいたしました。
コメント