個人サイトのアナリティクスのプライバシーポリシーの基本部分の設置について 結城永人 - 2018年6月11日 (月) Googleの無料サービスでアクセス解析のアナリティクスをサイトのホームページやブログに使う場合にはプライバシーポリシーを同時に設置するように利用規約で定められている。 法律が影響するから個人サイトと法人サイトで、プライバシーポリシーの捉え方が幾らか変わる。基本部分は同じで――アナリティクスの利用規約のプライバシーに示される以外ではない――記述では前者よりも後者に社会的な制限が強い部分が商取引に関連する法律に応じて付け加えられそうだ。僕は個人サイトをやっているからアナリティクスのプライバシーポリシーの基本部分を覚えてサイト運営に取り入れたい。 目次アクセス解析の個人情報保護の必要性アナリティクスの利用規約のプライバシーサイトのプライバシーポリシーの設置アナリティクス用の一般的な記述例広告向け機能の追加項目の記述例EUユーザーの同意ポリシーへの対応 アクセス解析の個人情報保護の必要性 サイトで訪問者のアクセスのデータを入手しているために訪問者に固有の経緯を開示するのが望ましい。 アナリティクスが使われているかどうかはサイトのソースコードに載っているけれども表向きは全く分からない。訪問者は知らない間にサイトに来たとかページを移動したなんてデータを収集されていて後から知ったら騙されたみたいに気分を害されないとはかぎらない。無条件には想定されないし、アクセスのデータを勝手に取られて大きく悲しむ人も概して少ない世の中だろう、知りたい人だけが確実に知るべき方法を与えておくのがせめても必要なんだ。 人々の個人情報の感覚が変わって――欧州連合ではブラウザのCookieのデータのサイトでの取り扱いについてもう既に法制化されている――特有の法律が強く施行されたりすればサイトで最初に告知するように求められるかも知れないし、常日頃と世の中の動向や提供されるサービスの更新へ注意しておいても良いと思う。 アナリティクスの利用規約のプライバシー 実際のGoogleアナリティクス(2018年6月時点)の利用規約のプライバシーを読む。 お客様は、Google が個人情報として使用または認識できる情報を Google に送信したり、第三者によるかかる行為を支援または許可したりしないものとします。お客様は適切なプライバシー ポリシーを用意および遵守し、訪問者からの情報を収集するうえで、適用されるすべての法律、ポリシー、規制を遵守するものとします。お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知するものとします。また、Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても必ず開示するものとします。この情報の開示は、「ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用」のページ(www.google.com/intl/ja/policies/privacy/partners/や、Google が随時提供するその他の URL)へのリンクを目立つように表示することで実施可能です。お客様は訪問者の端末上での Cookie やその他の情報の保存や、そうした情報へのアクセスについて、そうした行為が本サービスに関連して発生する場合、およびかかる行為に関する情報の提供と訪問者からの同意が法律で求められている場合は、訪問者に明確かつ包括的な情報を提供し、同意を得るように商業上合理的な努力を払うものとします。 利用規約|アナリティクス|Google 最も重要なのが「そのプライバシーポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知するものとします」という一文だ。なぜなら「Cookie」が個人情報に当て嵌まるからだ。アナリティクスは只単に誰かのアクセスのデータを入手できるアクセス解析ではない。管理人に訪問者の名前や住所などの生活上の詳細は分からないけれども「Cookie」によって一人ずつを識別できるようになっている。サイトに特定の人物がいつどのくらい訪問したかが追跡されてしまう。誰かまでは分からないにせよ、ブラウザでの個人情報に含まれるかぎりは不誠実に取り扱ってはならない。 サイトのプライバシーポリシーの設置 利用規約によると一般的に記載する項目は二つだけだ。すなわち「Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても必ず開示するものとします」のところだ。ただし肝心なのは訪問者への通知が義務付けられている個人情報の「Cookie」によってアクセス解析を行っているという事実を盛り込みながら纏めなくてはならない。 アナリティクス用の一般的な記述例 本サイトではGoogleアナリティクスを使用しています。アクセス解析のデータ収集にブラウザのCookieを使用していますので、訪問者の皆様はご注意下さい。GoogleアナリティクスがCookieによってどのようなアクセス解析を行っているかのデータ収集と処理の仕組みについてはユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用から実情をご確認頂けます。運営者は入手された訪問者の個人情報を本サイトのアクセス解析でのみ取り扱います。 場合によっては何のためにアクセス解析を行うか、すなわちサイトにアナリティクスが導入される理由を具体的に述べておくともっと丁寧に伝わるとも感じる。 引用したアナリティクスの利用規約では割愛したけれども広告向け機能(アドセンスとの関連付けなど)を使った場合にサイトのプライバシーポリシーへの追加項目が含まれている。 詳しくはGoogle アナリティクスの広告向け機能に関するポリシー要件に情報開示の要求や記述する方法が載っている。 導入済みの Google アナリティクスの広告向け機能の内容。お客様とサードパーティ ベンダーが、Google アナリティクスの Cookie などのファーストパーティ Cookie(または他のファーストパーティ ID)と DoubleClick Cookie などのサードパーティ Cookie(または他のサードパーティ ID)を組み合わせ、どのように使用しているか。使用している Google アナリティクスの広告向け機能をどのような方法でオプトアウトできるか(広告設定やモバイルアプリ向けの広告設定、または NAI の消費者向けオプトアウト ツールといったその他の利用可能な方法など) Google アナリティクスの広告向け機能に関するポリシー要件|アナリティクス ヘルプ|Google 要約するとアナリティクスの広告向け機能の内容とアナリティクスと広告の二つのCookieの組み合わせの使用説明とCookieを使用しないオプトアウト(除外)の仕方の三項目を一般的な記述に追加しなくてはならない。 広告向け機能の追加項目の記述例 尚、アクセス解析は広告向け機能を伴っています。広告サービスのGoogleアドセンスのCookieと組み合わせて訪問者の広告サービスの利用について調査し、本サイトの運営改善に役立てるためです。訪問者は不要な場合に広告設定:サイト広告の隅のスイッチ(またはwww.aboutads.info)やブラウザへのGoogleアナリティクスオプトアウトアドオンの導入で回避できます。 サイトの広告サービスがアドセンス以外ならば名称やオプトアウトの広告設定を変更するし、アドセンスと他の広告サービスを同時に幾つか付けるならばそれぞれを列挙しておく。 そして利用規約では他にもプライバシー機能(オプトアウトを含む)などの該当する全てのGoogleアナリティクスポリシーや360スイートポータルの利用規約(改名されたら更新済みの利用規約)に基づいて使用するように求められている。 EUユーザーの同意ポリシーへの対応 今年の五月二十五日から欧州連合でインターネットでの個人情報の取り扱いが欧州データ保護法(EU一般データ保護規則/GDPR: General Data Protection Regulation)で厳しく制限されて企業がサイトで訪問者の個人情報をCookieを含めて使用するためには事前の同意が義務付けられた。違反すると最大で二千万ユーロ:約二十六億円か全世界の売り上げの4%の制裁金が課せられてしまうらしい。アナリティクスはアクセス解析にCookieを使用するから予め注意しなくてはならない。 市民には関係ないけれどもサイト広告で収益を上げていると大丈夫かどうかは不明なので、念のためにプライバシーポリシーでは企業と同じように訪問者からCookieを使用するための説明と共に同意を貰うか、またはオプトアウトで回避するように最初に表示して運営するのが無難だろう。 どうするかはサイトの一部にオーバーレイでCookieについてのダイアローグを取り付けるのを良く見かける。 GoogleのEUユーザーの同意ポリシーに関するヘルプではGoogle Cookie Choicesが紹介されていてさらにCookieについてのダイアローグの作成サイトが幾つか紹介されていた。 現時点、日本では最初からCookieを使用する説明と同意が必要ではないからオーバーレイをかけるとしても欧州連合からのアクセスに限定しても大丈夫なんだ。 因みにBloggerブログでは「ブログに通知を通過しました」(欧州連合(EU)諸国における Cookie に関する通知)と無料版とカスタムドメインの両方とも対応済みになっているんだ。 国内の法律がもっと厳しくなる可能性がないわけではないので、EUユーザーの同意ポリシーと同程度になれば確実に適したサイトへ作り替えるべきだ。 関連ページ個人サイトのアドセンスのプライバシーポリシーの基本部分の設置について コメント 新しい投稿 前の投稿
コメント