個人データを、ビジネスを守る、IIJ

【回答公開中】
GoogleAnalyticsの利用の際の留意点


  • 2020年9月9日

02. 諸原則

質問

当社では、Google Analyticsを利用しております。そこで、Googl Analyticsへ送るIPアドレスを匿名化する設定は以前から施してありましたが、扱いが不明確なため、一旦、Google Analyticsを遮断することにしておりました。ここにきてGoogle analyticsを使って分析を行いたいという強い要求が上がってきており相談させて頂いた次第です。

回答

結論を先に申し上げますと、Google Analyticsが閲覧者のソースIPアドレスを取得しているかどうか、どの程度匿名化しているかどうかにかかわらず、EUで閲覧されることを想定している商用ウェブサイトでGoogle Analyticsを利用する場合、閲覧者の事前の同意が必要です。
EUでは、ePrivacy Directive(電子プライバシー保護指令)というEU法に基づいて、端末装置の読み書き機能を利用する場合には原則として端末利用者の同意が必要であるとしています。典型的には、ウェブサイト管理者が利用者のウェブブラウザに設定するクッキーが規制対象となります。Google Analyticsは、利用者の端末にクッキーを設定することによってブラウザを一意に識別し、当該ブラウザの閲覧履歴を取得・分析する仕組みです。設定によってはIPアドレスの取扱が異なる場合がありますが、IPアドレスの取扱方法に関係なく、Google Analyticsを利用する時点で、利用者にこれを説明し、事前に同意を取得する必要があります。
また、GDPRは、端末装置の識別子によって個人が特定されうるとしており、 Google Analyticsのようにブラウザを一意に識別するクッキーを設定する場合、IPアドレスの取扱いかんにかかわらず、Google Analyticsが取得・分析するデータは、GDPRの規制対象となる個人データとされており、ウェブサイト管理者は、利用者から同意を取得する必要があります。
このような解釈は、EU各国のプライバシー保護当局の代表者から構成される欧州データ保護会議(EDPB)のガイドラインやフランス、ドイツなどEU主要国の当局が公表した文書によるもので、EU域内の多くのウェブサイトがGoogle Analyticsが設定するクッキーの利用について同意を取得する手続をとっています。
ご参考までに、IPアドレスについて、ドイツでは取扱が厳しいのは事実です。2016年に欧州司法裁判所(CJEU)が出したブライヤー事件判決(https://eur-lex.europa.eu/legal-content/EN/TXT/uri=CELEX%3A62014CJ0582)という有名な判決で、ドイツ連邦政府が管理するウェブサイトのログに記録されたアクセス元のIPアドレスは、政府がISPにIPアドレスと顧客個人の照合を求める捜査権限を持つので、ドイツ連邦政府にとっては個人データに該当する、とされました。この判決が、ドイツではIPアドレスは個人データとされる、という風説につながっていると思われます。この判決では、ドイツ連邦政府はISPに対する捜査権限で動的IPアドレスと利用者を照合できることがIPアドレスを個人データとみなす理由とされており、逆にIPアドレスから個人を照会する権限を持たない一般企業にとっては、IPアドレスだけではGDPRの規制対象となる個人データに該当しないという相対説的な解釈も有力に主張されています。
繰り返しますが、EUで閲覧されるウェブサイトでGoogle Analyticsを利用する場合には、いずれにしてもクッキーバナーおよびクッキー設定ツールでその旨を説明し、タグを発火させる前に閲覧者の同意を取得することが必要です。

関連する記事