CCPA対象企業がGoogleアナリティクスを使うためには?

『California Consumer Privacy Act – カリフォルニア州消費者プライバシー法(CCPA)』が施行されて2ヶ月が経過しました。Webサイトをクリックしたときに表示される通称“クッキー同意バナー(Cookie Consent Banner)”もかなり見かけるようになってきましたね。実際に違反企業に対する罰則の執行が始まる2020年7月1日に向け、対応がまだ終わっていない企業はあと4ヶ月弱の間に済ませる必要があります。

 

CCPAはカリフォルニア州住民の個人情報に関するプライバシー保護法ですが、最近以下のような問合せがよくあります。

「CCPA対象企業がWebサイトでGoogle Analyticsを使用するのは問題ないか?」

「Google Analyticsのデータは個人情報にあたるのか?」

「クッキーバナーを実装してからGoogle Analyticsによるアクセス解析データが激減した」

そこで今回は、CCPAとGoogle アナリティクスの関係について解説していきます。CCPAの概要のおさらいはこちらをご覧ください↓

<CCPAとは?:

 

■Googleアナリティクスで収集するデータは、Personal Information=個人情報にあたるか?

結論から言えば、答えは”Yes”です。GoogleアナリティクスはGoogleが提供する無料のアクセス解析ツールです。Webサイトにタグを埋め込むことで、訪問数や滞在時間、閲覧ページ、流入経路、利用デバイスなどさまざまな分析データを得ることができます。Googleアナリティクスがユーザーのデータを識別・取得するときに使う以下のようなデータが、CCPAが定義する個人情報に該当します。

・Client ID

・IP Address

・User ID

ではCCPA対象企業がGoogleアナリティクスを使うことは違反になるか?と言うとそうではありません。なぜならCCPAは個人情報の収集自体を禁止する法律ではないからです。

 

■CCPA=個人情報の収集NG、ではない

CCPA対象企業がWebサイトで明示する必要があるのは以下のポイントです。

・情報収集に関する通知

・オプトアウト権の通知

・プライバシーポリシーの通知

つまりここでCCPAに準拠するために必要なのは、

個人情報を収集するのであればその旨を知らせ、取得するデータの内容と使用目的を明らかにする」そして、

ユーザーに”Opt-Out”の権利を与え、Opt-Outの要求があったユーザーの個人情報を販売に利用しない」ということです。

“販売”の定義はまだ議論の続いている点であり、「収集したデータをリターゲティング広告に使用することは“販売”にあたる/あたらない」「収集したデータを特定の目的で第3者に転送することは販売にあたる/あたらない」など、解釈が分かれています。CCPAが定めているのはあくまで“販売しない”ということですが、何が“販売”にあたるかが不明確な現時点においては、オプトアウト要求のあったユーザーについてはデータを取得しないのが無難でしょう。

 

■CCPAは“Opt-In”ではなく“Opt-Out”の法律

もう1つ、CCPAの重要な性質を解説します。それはCCPAがヨーロッパのGDPR(General Data Protection Regulation)とは異なり、”Opt-Out”の法律であると言うことです。

GDPR(ヨーロッパ)= オプトイン・・・ユーザーの承認なしに個人情報を取得してはいけない

CCPA (アメリカ)= オプトアウト・・・ユーザーから要求があった場合、個人情報を取得してはいけない(削除しなければいけない)

違いが分かりますでしょうか?つまりCCPAにおいては、個人情報を取得されたくないユーザーは自らアクションを起こす必要があり、逆に言えばオプトアウトの要求がなければ個人情報の取得は違反になりません(ただし取得するデータの内容と目的はWebサイト内に明記する必要あり)。

オプトアウト・オプトインについてはどちらも、クッキーバナーにチェックボックスを設置してWebサイトの訪問者に通知と選択権を与えます。CCPAの“オプトアウト”方式であれば、自身の情報の販売を拒否するユーザーはボックスにチェックを入れます。これは人によるので一概には言えませんが、今のところはチェックマークを付けないユーザーが多いのではないでしょうか。チェックをしなくても閲覧できるWebサイトが大半であり、またチェックを入れることに潜在的な抵抗を感じる人の方が多いと推測しています。

「クッキーバナーを設置してからアクセス数が激減した」というWebサイトはここに原因がある可能性が高いです。バナーの形式がオプトアウトではなくオプトインになっている場合、データを取得するためにはユーザーにチェックを入れてもらう必要があり、その数は絶対的に少なくなるためです。

 

■CCPAに準拠しながらGoogleアナリティクスを利用する方法

Googleアナリティクスは確かに個人情報を収集します。ですがここまで解説してきた通り、CCPAに準拠する方法で使用すれば違反にはなりません。またオプトインではなくアプトアウト式のクッキーバナーであれば、実装の後にほとんどデータが取れず困るようなことも少ないかと思います。

・プライバシーポリシーのページをアップデートする

プライバシーポリシーの中に、Google Analyticsを使用していること、使用している目的(マーケティング利用、パフォーマンス向上など)、クッキーを使って取得している個人情報の内容、それらをGoogleと共有している旨、データ取得の拒否権・削除権があることを含めます。

 

・ユーザーからのデータ取得拒否・データ削除要請に対応する

“Opt-Out”にチェックを入れたユーザーの情報は取得しない他に、データの削除を要求してきたユーザーに対してはClient IDなどの個人情報を削除し、Googleアナリティクスのクッキーをブラウザから削除してもらうよう依頼します。

 

・Googleの他のサービスとのデータ共有を制限する

Googleのサービスの中には、個人情報を“販売”しているとみなされるプロダクトがあります(Google Adsなど)。それらのサービスに、Googleアナリティクスで取得したデータをシェアしないよう設定をします。管理画面から以下の順で設定しましょう。

Admin → Account Settings → Edit the “Data Sharing Settings” → turn off for all services

 

■GoogleによるCCPA対策もアップデート中

Googleは昨年11月に、CCPAの準拠を目的として『Restricted data processing(制限付きデータ処理)』をリリースしました。このモードの下で利用されるGoogleサービスによって取得された個人情報は、特定の目的(広告配信、レポートと測定、セキュリティと不正行為の検出、デバッグ、Google が提供するサービスの機能の改善、開発など)のみに使用され、CCPAが定義する“販売”にはあたらないとしています。

<Googleのリリース>

Helping advertisers, publishers, and partners comply with the California Consumer Privacy Act (CCPA)(英語)

Google 広告における広告主様の CCPA 準拠をサポートする(日本語)

これによると、Googleの見解ではCCPAはカリフォルニア州の消費者に個人情報の販売を拒否する権利を与えるものであり、この新しいRestricted data processing(制限付きデータ処理)で処理されたデータの転送は販売にはあたらないためCCPAに準拠する、ということのようです。

このモードが適用されているサービスとそうでないものはまだ分かれており、Google Analyticsについてはすでにこのモードで運用されています。Google広告(Google Ads)についてはマニュアルで設定する必要があり、適用するとリターゲティング広告ができなくなるなどの影響がともないます。

販売にはあたらないので、例えオプトアウトしたユーザーであってもデータ取得は問題無し(とまでは言っていませんが)、というのがGoogle側の見解と思われますが、先述の通りCCPAの定義はまだ議論の途中であり、現段階では慎重な姿勢でいるのが無難です。また社内でCCPA対策を取る際は必ず、法務部や弁護士の見解を仰いでください。CCPAはデジタルマーケティング業界に対し様々なインパクトを及ぼしている最中なので、今後も続報を待ちたいと思います。