211 人が現在オンライン
211 人が現在オンライン
Google アナリティクスのアカウント設定、プロパティ、ビューやフィルタ設定などについて、ユーザー同士で意見交換ができます。解析を通して浮かんだ質問やアイディアを投げかけ合って、よりデータ分析の知識を高めていきましょう。
ガイドを表示
star_border
返信

アナリティクス|タグマネージャーでの個人情報取得に関するユーザーへの告知の必要性

[ 編集済み ]
初級者 ✭

googleでアクセス解析を行う際に、cookieが基本となると思います。

そうした際に、何を使用した際にwebサイトにcookie(個人情報)の利用をしなければならないのか教えていただければと思います。

現状の僕の認識は以下になります。

■1.googleアナリティクス

単体であればファーストパーティーなので「googleアナリティクスを使ってます!」などの告知は不要。

 

■2.googleアナリティクス(オーディエンスレポート)

年齢や性別を特製する際にユーザーのサードパーティーまで使うので告知が必要。

 

■3.googleタグマネージャー

アナリティクスやカスタムJSを入れていても告知は不要。

 

■4.googleタグマネージャー(クロスドメイン設定)

別ドメインのcookie情報を引き渡すので告知が必要。

 

■5.ただし、上記は日本国内のアクセスのみの話で海外(主にEU)の場合は、1-4どのケースでも情報取得の告知が必要。

EU ユーザーの同意ポリシー

 https://www.google.com/about/company/user-consent-policy.html?hl=ja

 

また、5月30日に改定があるので、ざっとではありますが「個人情報保護委員会(https://www.ppc.go.jp/)」が配信している「改正法の施行準備についてhttps://www.ppc.go.jp/personal/preparation/」のガイドラインのPDFを読みました。

「個人情報の保護に関する法律についてのガイドライン(通則編)」p36に「利用目的の通知または公表」があり、以下の文言が記されていました。

 

――――――――――――――――――――――――――――――――

【本人への通知又は公表が必要な事例】
事例1)インターネット上で本人が自発的に公にしている個人情報を取得した場合(単に閲覧しただけの場合を除く。)
事例2) インターネット、官報、職員録等から個人情報を取得した場合(単に閲覧しただけの場合を除く。)
事例3)個人情報の第三者提供を受けた場合

――――――――――――――――――――――――――――――――

 

つまりは、閲覧情報を取得するgoogleアナリティクスの場合は本人通知はいらず(日本のみ、EUは必要?)、googleタグマネージャーの場合は閲覧以外の情報も取得できるので必要、という感じでしょうか?

 

リーガルはほとんど門外漢でして、お詳しい方がおりましたご教授頂きたくお願いします。

 

 

1 人のエキスパートが返信verified_user

Re: アナリティクス|タグマネージャーでの個人情報取得に関するユーザーへの告知の必要性

レジェンド
こんにちは。

ちょっと質問とはそれるかもしれませんが、
そもそも、Googleアナリティクス自体の利用規約として、

「プライバシー ポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても必ず開示するものとします。」

とありますので、Googleアナリティクスの利用だけでも明示は必要かと思います。
https://www.google.co.jp/analytics/terms/jp.html

よろしくお願い致します。
------
文責:カグア!

Re: アナリティクス|タグマネージャーでの個人情報取得に関するユーザーへの告知の必要性

初級者 ✭
カグアさん
ご回答誠にありがとうございます。
カグアさんのwebサイトをいつも拝見させていただいております。とても参考になる記事が多く勉強させていただいております。

利用規約のリンクありがとうございます。
もちろん利用規約は順守すべきですし、そうしております。

拙い文章で申し訳ございません。
ここで解決したいのはgoogleの利用規約からみた告知の有無ではなく、個人情報保護法から見たgoogleアナリティクスのケースごとの告知の有無です。

Re: アナリティクス|タグマネージャーでの個人情報取得に関するユーザーへの告知の必要性

レジェンド
まあ、広義に解釈しますと、第2条第1項第1号 によると、cookieでも個人を特定できるとも
解釈できちゃいそうですよね。

ファーストパーティであっても、今後は、先日5月15日にGoogleが示した、デバイスフリーの
cookie利用の点から見ても個人情報と解釈できるような気も。

たぶん、完全にクリアしようと思うと、そもそもの着地の時点で、cookie取得しますけど
良いですか?みたいなアラートを出す仕様、もしくは、ホバーで常に明示しておく、

http://www.appbank.net/

などの対応をしておけばのかなあという感じですよね。・・・とそれくらいしか読んで
いません、すみません。
------
文責:カグア!

Re: アナリティクス|タグマネージャーでの個人情報取得に関するユーザーへの告知の必要性

初級者 ✭
カグアさん!
ありがとうございます!

そうですよね! 非常にスッキリしました!
拡大解釈かもしれませんが、そういったもうそういう時代だということを念頭にいかなる場合でもいれるべきですね!

不肖ものながらまだカグアさんのサイトに訪問させていただき勉強させていただきます!

Re: アナリティクス|タグマネージャーでの個人情報取得に関するユーザーへの告知の必要性

トップコントリビューター

まず、「個人情報」の定義ですが、 https://www.ppc.go.jp/personal/general/ では、

「生存する個人に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別できるもの(他の情報と容易に照合することができ、それにより特定の個人を識別することができることとなるものを含む。)」

と定義されています。ここから読み解くと、Googleアナリティクスがユーザー特定のために用いているクライアントIDや、オーディエンスレポート・Adwordsなどで用いるDouble ClickのCookieなどからは「特定の個人」を識別することは不可能ですので、個人情報には当たりません。当然、クロスドメイントラッキングなどで別ドメインのCookie情報を参照したとしても、「特定の個人」を識別できないので、個人情報とはみなされません。

 

もし、自身のサイトで個人情報(メールアドレスや電話番号など)をカスタムディメンションに入れて収集しているとすれば、そこから「特定の個人」を識別できてしまうので、それは個人情報とみなされますが、それはGoogleアナリティクスの規約違反になります。

 

 

ただ、GoogleアナリティクスもAdwords(Double Click)も個人情報を収集していないものの、それらの規約は遵守する必要があり、規約どおりに(個人情報保護法とは無関係に)プライバシーポリシーへの記述は必要となります。

Re: アナリティクス|タグマネージャーでの個人情報取得に関するユーザーへの告知の必要性

初級者 ✭
山田さん

ご回答ありがとうございます。
また、定義を提示していただいてありがとうございます。

先の回答とはやや反対の意見で、再度調べなおしてみております。

知識が至らないため、「googleアナリティクス」のcookie使用に関して確認させてください。
標準の状態で使っている場合はファーストパーティcookieのみ
「オーディエンスレポート」「Adwords」「クロスドメイントラッキング」「タグマネージャー」サービスと連携をしたらサードパーティcookie使用。

そのうえでサードパーティcookieですが、設定によってはアカウントやメールアドレスを取得することが技術的には可能と考えており、「「特定の個人」を識別することは不可能」と仰っていただいているのですが、可能と考えております。
大変申し訳ございません。僕の知識不足で現状の認識では、別サービスにログインする際に使用したサードパーティcookieから格納された変数をタグマネージャーで取得するすればパー
不可能である理由を教えていただけないでしょうか?

しかしご自身でも
>個人情報(メールアドレスや電話番号など)をカスタムディメンションに入れて収集しているとすれば、そこから「特定の個人」を識別できてしまう
と仰っているように「技術的に可能」というのは同意いただけるかと思います。

以降、「技術的に可能」という体で話を進めます。
「オーディエンスレポート」「Adwords」ではそういった技術を挟む余地がなく、個人情報保護法の対象であるパーソナルデータには合致せず、「クロスドメイントラッキング」「タグマネージャー」に関しては、技術を余地を挟むことが可能であり、するならがパーソナルデータの対象となるという認識でよろしいでしょうか?
※カスタムディメンションと仰っているので「googleアナリティクス」の「ファーストパーティcookie」使用だけでもパーソナルデータの取得が可能なのでしょうか?

パーソナルデータを取得する際は個人情報保護法に則り、本人の同意が必要と考えます。
しかしもう一つ調べなおして分かったのですが、改正個人情報保護法には「匿名化情報」というものがありました。

知っておきたい!個人情報保護法改正の影響 事業者編(字幕あり)
https://www.ppc.go.jp/personal/pr/movie/pipl_exposition_jigyosha_jimaku/

特性としては「パーソナルデータから個人を特定できる情報を削除したデータ」のようですが、この利用についてのルールが二つあるようで「個人識別のために利用しない」と「匿名化情報作成と第三者提供の際には公表が必要」となっています。
googleアナリティクスの情報はそれに該当すると考えております。

そのため、利用規約はもとより、個人情報保護法からもgoogleアナリティクスで情報取集する際は、告知/公開が必要と考えましたがいかがでしょうか?

ちなみに、
>ただ、GoogleアナリティクスもAdwords(Double Click)も個人情報を収集していないものの、それらの規約は遵守する必要があり、規約どおりに(個人情報保護法とは無関係に)プライバシーポリシーへの記述は必要となります。

これはgoogleアナリティクスの利用規約のどの辺に明記されておりますでしょうか?
このトピックのエキスパート
山田 良太