こんにちは、佐藤隆道です。

本日は、先日こちらの記事でお伝えしたことへの訂正とお詫び、新たな対応方法についてお伝えしていきます。

先日の記事をおさらいをすると、欧州で「GDPR(General Data Protection Regulation: 一般データ保護規則」という個人情報保護に関する取り組みが新たに施工されることになりました。

これに伴い、googleでは、googleアナリティクスで扱っている個人情報に関わるデータに保持期間を設け、自動的に削除するようになりました。

ただし、自動削除はデフォルト設定で、アナリティクスの管理画面から設定することで、データ保持期間を際限なく伸ばすこともできます。そのため、私は自分のサイトでもさっそくこの設定を取り入れたというお話をさせていただき、設定忘れへの注意喚起を行いました。

今回、googleの公式発表などを読み込み、他の記事を参考にしたところ、無意味にデータ保持期間を伸ばすことは無用なリスクを招くことになりかねないということがわかったため、再度アナウンスさせていただくことにしました。

googleで自動削除の対象になるユーザー情報は？

まず、前回の記事では、あまり検証していなかったgoogleが自動削除するユーザー情報とは何かを抑えておきましょう。

• Cookie
• ユーザーの識別子（例: ユーザー ID）
• 広告ID（DoubleClick Cookie、Androidの広告ID、Apple広告主向け識別子など）

上記の情報＋これらに紐づいた「ユーザー単位」「イベント単位」の情報を、googleではユーザーの「プライバシーに関連する」データと位置付けて、デフォルトで二年以上前のデータを削除対象としています。

ただし、アナリティクスを使う方の目的の9割と言えるPV数やセッション数、ユーザー数などのデータは削除されないとのこと。

PV、セッション、ユーザー数が確認できれば良いという方はデータ保持期間を気にしなくて良い

この時点で、多くのアナリティクスユーザー（私を含め）は、「なんだ、ならどうでもいいや」と思われたのではないでしょうか。

そうなんです。純粋にアナリティクスを軽い分析程度に使うだけなら一切問題が出ないということなんですよね。

高度なマーケティングや顧客情報を収集して分析するような企業サービスサイトとかなら問題があるかもしれません。 ただ、「一般的なブロガー」や「情報提供が目的のオウンドメディア」なら、正直、上記のデータが消えたところでほぼ問題ないと言えるでしょう。

この点、前回の記事では、皆さん絶対にデータ保持期間を延長しましょう！みたいに言ってしまったので、とても反省しております。

データ保持期間を無意味に延長すると危険も！

そもそも、googleがこのような機能をつけるきっかけとなったGDPR。
基本的にはEU内でのルールですが、これに違反するとどうなるのかも知っておいた方が良いでしょう。

GDPRに違反した場合、約26億円または全売上高の4%のいずれか高い方という罰金が発生します。

高い方というのが曲者で、売上高4%が26億円ということは元の売上高500億円前後となりますが、これよりも売り上げが低い企業は問答無用で26億円の罰金です。あなたも私も26億円です。

このふざけた内容の法律ですが、実際に施行されてしまうのですから、本当に危険極まりないと言えます。
つまり、変に個人情報になるようなデータを保持してしまうと、古い情報を持っていただけで途方も無い金額の制裁金を払わされる可能性があるということです。

だからこそ、googleは今回のアップデートで少なくともアナリティクスの範囲では、ユーザーがデータ保持期間を自ら設定できるようにしたというわけですね。

とりあえず、デフォルトの二年間が無難？

改めて、今回のアップデートへの対応を考えてみると、EUからのアクセスを禁止しないのであればデフォルトの通り、二年で自動削除する設定で良いのではないでしょうか。

そもそも、過去のデータなんて、見ても前年程度というのが多いですし、二年以上前のデータが現在役に立つ可能性はあまり高くないでしょうし。

それでも、EUからのユーザーも含めて過去の個人情報が極めて重要だという方は、一度webに詳しい弁護士に相談してみることをおすすめいたします。