データに基づくビジネス判断が求められる中、Webアクセス解析はマーケティング、広報活動において欠かせない手段になっている。一方、個人情報の扱いに対する規制はグローバルで厳しさを増すばかりだ。特に欧州ではWebアクセス解析で収集するCookieやIPアドレス、位置情報についても個人データ(Personal Data)として、法令で保護対象とされ、法令違反に際して高額な制裁金を課される事案も多数発生している。本稿では、こうしたWebアクセス解析における個人情報保護の動向を解説するとともに、リスクを回避するための方策について考察する。
提供:オーリック・システムズ・ジャパン株式会社
規制強まるWebマーケティング
日本の読者にとって、個人情報に関する法改正としては、2022年の改正個人情報保護法と2023年の改正電気通信事業法の施行が記憶に新しいところだろう。これらの改正によって、個人情報やCookieの使用に際し、利用目的の提示やユーザーの同意取得(オプトイン)、オプトアウトや開示請求への対応が必須となった。法令遵守のために、CMP(Consent Management Platform:同意管理プラットフォーム)ツールを導入した企業も多いだろう。
日本では、法令による若干の違いはあるものの、データ収集から活用までのデータ処理のプロセスを念頭に法規制の対象とされている。具体的には、Cookieの取得と外部への送信、取得後のCookieの活用(特に個人情報との突合や紐付け)なども対象とされ、世界的な潮流に沿って、違反時の罰則も法改正により厳罰化された。これらはマーケティング活動を行っている一般企業のオウンドサイトなどで、サイト運営者が普通に発行しているファーストパーティCookieであっても影響を受ける内容になっている。
グローバルの法規制のトレンドは、ブラウザの標準仕様にも影響を与えている。具体的にはSafariのITP(Intelligent Tracking Prevention)やFirefoxのETP(Enhanced Tracking Protection)といったトラッキング防止機能がそれに当たる(図1)。これらは、JavaScript由来のCookie(トラッキングを目的としたCookie)に生存期間の短縮(ファーストパーティCookie)や即時削除(サードパーティCookie)などの制約をかけている。Cookie の生存期間が切れれば、Cookieは新しく付与されるため、継続したトラッキングは不可能になり、Cookieを使ったアクセス解析の有効性やデータの連続性は失われてしまうことになる。
拡大画像表示
各ブラウザのトラッキング防止機能が近年ここまで厳しくなった理由としては、日本より厳しいプライバシー保護を強力に推進する、欧州連合のGDPR(General Data Protection Regulation:EU一般データ保護規則)などの法規制の存在がある。このGDPRは、EU域内に居住するすべての人を対象とし、個人データの保護を規定している。そのため、EUに営業拠点を持たない企業であっても法規制の対象となりえる。また、GDPRと類似した法制度は、現在世界各国で次々と施行されており、事実上GDPRがプライバシー保護のディファクトスタンダードになっていることから、ビジネスをグローバル展開する企業にとっては軽視できない状況になっている。
GDPR対応が重視される背景
そもそもGDPRの施行は2018年であり、今から5年以上前のこと。ではなぜ、今さらGDPR対応を急ぐ必要があるのか。それは施行後一定期間を経て、Google Analyticsの利用がGDPR違反に当たるとの司法判断がEU各国で相次いで出されているからだ。
2022年にはイタリアとフランス、オーストリアで、2023年にはノルウェーでGoogle Analyticsの利用がGDPR違反とされ、スウェーデンでは2023年にGoogle Analytics利用企業に初の制裁金が課せられた。
一方、Googleは最新版のGoogle Analytics 4(GA4)で対策を進めているものの、GDPR準拠との裁定は今のところ出されていない。
Google Analyticsは現在、最も幅広く使われているアクセス解析ツールであり、これを利用し、EU域内のユーザーを対象にビジネスを展開する企業は早急な対策が求められる状況にある。GDPR違反に対する制裁金の上限は、2000万ユーロまたは全世界年間売上高の4%の高い方とされており、対応を先送りし様子見することは、事業継続に対する大きなリスクと言えるのだ。
GDPR対応のポイント
それでは、GDPR対応を図るうえでのポイントを見ていこう。個人情報保護法をはじめとする日本の法規制にすでに対応しているのであれば、特に注意を払うべきことは、以下の2点だ。
●個人データの保管場所および移動の制限
GDPRではEU域内で収集した個人データのEU域外への移動を原則禁止しており、移動する場合はEU域内と同等の情報保護が求められる。Google AnalyticsがGDPR違反とされたのは、個人データをアメリカのサーバーに転送する過程において、GDPRが求めている十分な保護がなされていないと判断されたためだ。
これに対し、GA4ではEU域内のサーバーで収集・加工してから転送する対策が行われているものの、この方法がGDPRに合致するかどうかの裁定はまだ出されていない。 GA4では指定した地域の個人情報を収集しないよう設定できる。ただし、この設定を有効にすることは対象地域のユーザーに対するアクセス解析ができなくなることを意味する。あくまでも、これは制裁リスクを回避するための急場しのぎの機能と見るべきだろう。
●オプトインによる個人情報の削除、利用停止
もう1つ重要なポイントは、個人情報全般に対し、収集・保管・活用・廃棄のデータライフサイクルにおいて、オプトインが求められることだ。日本の個人情報保護法では個人情報(個人識別符号を含む)に対して、電気通信事業法では収集する利用者に関する情報(Cookieを含むがこれに限らない)に対して、オプトインなどによる対応が求められている。一方、GDPRでは個人情報を含む全ての個人データ(CookieやIPアドレス、位置情報等を含むがこれに限らない)に対してオプトイン対応が求められる。要するにGDPRに対応するとなると、一気に保護対象が広がるのだ。
個人情報の収集・運用環境(アクセス解析ツール)の要件
上記を踏まえてGDPR対応の環境を整えるうえで、アクセス解析ツールに求められる要件を見てみよう。
①データの保管場所や管理方法を自社で判断・決定することができ、プライバシーガバナンスに沿ったシステム管理ができること
②データ取得を同意しなかったユーザーのデータを記録させない仕組みが実装できること
③ユーザーから同意の撤回があり、削除を求められた場合、データベースから関連データの一括削除が実行できること
④Cookieを使用しないCookieレスの設定、データの匿名化や仮名化、ハッシュ化などの機能を選択して使用できること
⑤Cookieを使用する際、ITPやETPなどのブラウザのトラッキング防止機能の影響を受けにくい仕組みを選択できること
最後の⑤は必須ではないが、上述したようにCookie自体の利用が難しくなる一方である以上、従来のCookie以外の方法が利用できるとより有利ということだ。
そしてこれらの要件を満たすのが、オーリック・システムズのRTmetricsだ。
自社のポリシーに合わせて柔軟な運用ができるRTmetrics
RTmetricsの特徴をご紹介しよう。RTmetricsは日本国内での提供開始から20年以上の老舗アクセス解析ツールで、国内400社以上、ライセンス発行数16500以上の豊富な実績を持つロングセラーだ。近年は、グローバル展開しているさまざまな業種業態の企業のWebサイト、国際的なイベント、越境EC、中央官公庁、地方自治体、政府機関など、プライバシーガバナンスを特に重視している国や組織、企業からの問い合わせや導入が増えているという。
パッケージソフトウェアであるため、オンプレミスでもクラウド(IaaS)でも利用することができ、任意の場所でデータを保管・運用できる(図2)。SaaSが流行する昨今だが、個人データを扱うアクセス解析ツールでは、自社のデータ管理ポリシーに従って、任意の場所で利用できることが現在は大きなメリットとなっている。
拡大画像表示
さらに、ユーザーからの開示・削除・利用停止のリクエストがあった場合、対象となるCookie 情報をRTmetricsに連携することにより、データベースから自動削除する仕組みを構築できることも重要だ。メールフォームでリクエストを受けるだけ、という簡易な方法の場合、リクエストのたびに手作業が発生し、ユーザーが増えたときに対応できなくなる恐れがある。また、手作業では関連データの消し忘れなど、人的ミスも生じやすい。
そして、RTmetricsの特筆すべき機能として、サーバーサイドCookieを利用できる ことが挙げられる。一般的にトラッキング目的のCookieはブラウザ側でJavaScriptを使って生成されるのに対し、サーバーサイドCookieはその名の通り、サーバー側で生成したCookieだ。サーバーサイドCookieは、ITPやETPなど各ブラウザのトラッキング防止機能の対象になっていないため、前述のアクセス解析ツールに求められる要件の⑤に記したトラッキング防止機能の影響を受けない仕組みとしても非常に有効である。
さらに、ビーコンタグ型、パケットキャプチャ型、Webログ型といった多彩なデータ収集方式に対応していることも見逃せない(図3)。方式ごとにメリット・デメリットがあるため、一概に優劣を付けることはできないが、自社のニーズに応じた方式を選べる点は安心材料となるだろう。なお、各方式の詳細については、公式サイトの以下のページをご参照いただきたい。
●方式別構成例 | オーリック・システムズ・ジャパン
https://www.auriq.co.jp/products/rtmetrics/configuration/
拡大画像表示
なお、RTmetricsはパッケージソフトウェアだが、買い取りとサブスクリプションの2つのライセンス形態が用意されている。もちろん、利用期間が長くなれば買い取り型のほうがお得になるが、サブスクリプションから買い取りへの移行もできるので、スモールスタートで効果を確かめながら段階的に導入したい場合は、サブスクリプションで始めるのもよい手だ。キャンペーンやプロモーションなどの期間限定サイトでも、サブスクリプションなら気軽に利用できる。
以上、本稿ではWebマーケティングにおける個人情報の取り扱いに関する課題・リスクとその対策について解説した。まずは、自社の取り組みの現況を把握するところから始めて、現在の自社にとって最適なツールは何か、見極めていただきたい。
●お問い合わせ先
オーリック・システムズ・ジャパン株式会社
URL:http://www.auriq.co.jp/
E-mail:sales@auriq.co.jp