以下の内容は、個人の学びを整理したものであり正確性は保証できません。
正確な情報が必要な方は、ご自身での調査・専門家へのご相談をお願いします。
GoogleAnalyticsのCookie利用状況
GoogleAnalyticsはCookieを利用しています。
次の表で、GA4 JavaScript タグによって設定される各 Cookie を示します。アナリティクスが収集するデータについて詳しくは、データの保護をご覧ください。
Cookie 名 デフォルトの有効期限 説明 _ga 2 年間 ユーザーを区別するために使用します。 _ga_container-id 2 年間 セッション状態を保持するために使用します。 Google 広告でお客様のビジネスとユーザーとの接点をより確実に測定できるようにするため、Google 広告アカウントにリンクされている場合に、GA4 JavaScript タグにより追加の Cookie が設定されます。これらの Cookie について詳しくは、Google の広告 Cookie と測定 Cookie をご覧ください。
また、GoogleAnalyticsがデータ収集にCookieを利用していることは以下で公開されています。
ファーストパーティの Cookie
Google アナリティクスは、Google アナリティクスを使用するウェブサイト / アプリでのユーザーの操作に関する統計を測定してレポートするために、ファーストパーティの Cookie、デバイス / ブラウザに関連するデータ、IP アドレス(Google アナリティクス 4 では、データを収集する際に IP アドレスの記録または保存を行いません)、サイト内 / アプリでのアクティビティを収集します。
広告識別子
Google の広告 Cookie は、お客様が Google アナリティクスの広告向けの機能をご利用の際に収集され、Google ディスプレイ ネットワークでのリマーケティングなどの機能をお客様に提供するために使用されます。
これらの機能は、ユーザーによる広告の設定、Google アナリティクスの広告向けの機能におけるポリシー要件、Google の EU ユーザーの同意ポリシーに沿って運用されます。
ファーストパーティのCookieと広告識別子で取り扱う個人情報のレベル感が異なるように読みとれます。
GoogleAdSenseを利用する場合、広告識別子のレベル感で個人情報を取り扱うのが良さそうです。
今回はGoogleAnalytics限定でもう少し調べてみます。
GoogleAnalyticsの個人情報に対する考え方について
GoogleAnalyticsの個人情報に対する考え方は以下のリンクで確認可能です。
Googleが個人情報として解釈する情報と、GoogleAnalyticsから除外する方法を確認できます。
GDPRや他規則との整合性を保証するものではないことが記載されているため、関連規則との整合性には注意が必要です。
GoogleAnalyticsと個人情報保護法について
Cookieは個人情報保護法における個人関連情報に該当します。
Q8-1 Cookie 等の端末識別子は個人関連情報に該当しますか。家族等で情報端末を共用している場合はどうですか
A8-1 個別の事案ごとに判断することとなりますが、Cookie 等の端末識別子について、個人情報に該当しない場合には、通常、当該端末識別子に係る情報端末の利用者に関する情報として、「個人に関する情報」に該当し、個人関連情報に該当することとなると考えられます。
第三者が個人関連情報を個人データとして取得することが想定されるときは、対象者の事前同意が必要です。
個人関連情報取扱事業者は、第三者が個人関連情報(個人関連情報データベース等を構成するものに限る。以下この章及び第六章において同じ。)を個人データとして取得することが想定されるときは、第二十七条第一項各号に掲げる場合を除くほか、次に掲げる事項について、あらかじめ個人情報保護委員会規則で定めるところにより確認することをしないで、当該個人関連情報を当該第三者に提供してはならない。
一 当該第三者が個人関連情報取扱事業者から個人関連情報の提供を受けて本人が識別される個人データとして取得することを認める旨の当該本人の同意が得られていること。
「GoogleAnalyticsの個人情報に対する考え方について」では、Google社はGoogleAnalyticsが収集する情報を個人情報(個人データ)として取得していないように読みとれました。
「個人データとして取得することが想定される」には該当しないので、第31条第1項による本人の同意は不要と考えて良さそうです。
また、 別の観点として「GoogleAnalyticsを利用した場合、閲覧者のデータをGoogle社に提供していることになるか(第三者への提供に該当するのか)」を確認しました。
Q8-10
A 社が自社のウェブサイトに B 社のタグを設置し、B 社が当該タグを通じてA 社ウェブサイトを閲覧したユーザーの閲覧履歴を取得している場合、A社は B 社にユーザーの閲覧履歴を提供したことなりますか。
A8-10
個別の事案ごとに判断することとなりますが、A 社が B 社のタグにより収集される閲覧履歴を取り扱っていないのであれば、A 社が B 社に閲覧履歴を「提供」したことにはならず、B 社が直接にユーザーから閲覧履歴を取得したこととなると考えられます。このため、B 社がそのタグを通じて閲覧履歴を取得することについて、法第 31 条第1項は適用されないと考えられます。なお、個人情報取扱事業者である B 社は、閲覧履歴を個人情報として取得する場合には、偽りその他不正の手段によりこれを取得してはならず(法第 20 条第1項)、また、個人情報の利用目的を通知又は公表する必要があります(法第 21 条第1項)。
「ウェブサイト管理者がGoogleAnalyticsの収集した閲覧履歴を取り扱っていない場合」は、「GoogleAnalyticsにより取得した情報はウェブサイト管理者を介さずにGoogle社が取得しているため閲覧履歴の提供には該当しない」と解釈できます。
補足として、B社(Google社)が遵守する必要のある関連法律は以下のとおりです。
個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得してはならない。
個人情報取扱事業者は、個人情報を取得した場合は、あらかじめその利用目的を公表している場合を除き、速やかに、その利用目的を、本人に通知し、又は公表しなければならない。
Google社は以下のページで取得した情報の利用目的を公表しています。
GoogleAnalyticsを利用する際には利用者に対する事前同意は必要なのか
Google社はGoogleAnalyticsにおける事前同意の必要性について、以下の考えを表明しています。
多くの国と地域では、ユーザーに関する情報の保存と共有についてユーザーの同意を得ることを義務付ける法律があります。こうした法律は地域の適用法令によって異なり、時間の経過とともに変更されます。ご自身に影響する法律を理解し、Google と共有するデータに対する同意管理ソリューションを実装することは、広告主様の責任です。
事前同意の有無を保証してくれるわけではなく、GoogleAnalytics利用者に判断・責任を委ねています。
個人的には、以下2点を根拠としてGoogleAnalyticsは閲覧者の事前同意なしでも利用できると考えています。
- GoogleAnalyticsが利用するCookie(
_ga,_ga_container-id)は個人関連情報の位置づけとなるが、個人データとしては取得されない - GoogleAnalyticsが収集する情報はGoogle社が直接取得しており、Webサイト管理者からの提供ではない(Webサイト管理者が閲覧履歴を取り扱っていない場合)
「閲覧履歴の取り扱い」の具体的な事例は読み取れませんでしたが、Cookie経由で個人データは取得されないため同意なしで利用可能と判断しました。(正確性を保証するものではありませんので、Cookie同意有無の必要性については各自でご判断をお願いします)
個人的には、「GoogleAnalyticsを利用する場合は事前同意の確認を前提とする」が安定かなと思いました。
GoogleAnalyticsを利用するモチベーションとしてアフィリエイト等の収益化を見越している場合、事前同意の実装は遅かれ早かれ必要になる気がするためです。
感謝
本記事を作成するにあたり、以下のブログを参考にしました。
引用元の法律、ガイドラインが明示されており、大変参考になりました。