先に結論
かなり難しい。
CMP(Consent Management Platform)を利用し、ホワイトリスト形式でアクセスを制限するくらいしか、真っ白にする方法はないと思われる。
はじめに
重要: 2024年6月現在の解釈であり、今後も同じであるとは言えない情報である点に留意してください。この手の情報は、いつの情報かが重要。
さて、先日、久しぶりに C 向けサービスを公開した。広告掲載でちゃりんちゃりんするため、どれくらいの UU/PV があるかを調べたく、安易に Google Analytics(GA4)かなぁと考えたが、特に EU での裁判事例等を見るに、簡単に手を出してはいけないもののように思えたので、色々調べてみた。調べた結果、分からないことが多数あったので法律の専門家に相談した。
GA4 に限らず Cookie 等を使い、(解釈によっては)個人情報を取り扱う 3rd Party のサービスは全て同様だ。
今回、調べた対象は、
- EU: GDPR
- US: CCPA/CPRA
- JP: 改正電気通信事業法
- VN: サイバーセキュリティ法
および、それぞれの個人情報保護法もしくはそれに準ずるもの。
ベトナムのサイバーセキュリティ法に準拠したい人はあんまりいないのかなと思うが、私が必要だったのと、こんなパターンもあるのかとの気付きになると思うので、紹介する。
個人情報の定義
まず、何が個人情報に当たるのかを明確にしたい。
「メールアドレス単体であれば、個人を特定するに至らないので、個人情報には当たらない」というような話を見聞きしたことがあるかも知れない。これは、条件付き真である。そういう国もあれば、そうでない国もある。個人情報には統一のルールはないのである。
例えば、GA4 で送信する、個人識別ID はというと、メールアドレスより個人特定は難しそうな気もするが、日本の改正電気通信事業法では、保護すべき個人情報に該当すると解釈されるが、ベトナムのサイバーセキュリティ法では、グレーであり、該当する可能性があると解釈される。
という訳で、何が個人情報に該当するかを全て洗い出すのは現実的でなく、「個人ごとに違う何か」は全て個人情報に該当すると考えておくのが、訴訟リスクの観点から、妥当ではないかと考える。
気にし過ぎ感はあるが、そもそもは何の規制もなく個人情報をじゃぶじゃぶ抜き取りまくっていた時代は終わり、個人情報は、ハラスメント同様、最弱者を守るように対応すべきなのである。それを逆手に取る輩もたくさんいるため、気にしすぎるくらいでも、足らないくらいのものとして認識しておくのが良い。
実際に何を個人情報と定義するのかは、御社法務と確認を。
ここでは、「個人ごとに違う何かは、何でも個人情報」とする。
個人情報を取り扱う際のポイント
個人情報を取り扱う際に気をつけるべきポイントをざっくりまとめると、以下の3点になる。
- ポリシー
- 同意取得
- データの越境転送
ポリシー
まず、ポリシーに関してだが、利用規約、プライバシーポリシー、Cookie ポリシーなどいくつも種類があるが、ここではいったん、Cookie ポリシーに限定して考える。
Cookie ポリシーには、Cookie って何?Cookie を何に使うの?3rd Party Cookie の詳細、オプトアウトの方法などなどを書く必要がある。
GA4 は、え?なんで?!どうやって!?と思ったが、3rd Party Cookie ではなく、1st Party Cookie を使っている。だから3rd Party Cookie について書く必要がないかと言うと、実はそんなことはない。
日本の改正電気通信事業法には、3rd Party Cookie に関する規定があり、利用する場合、取扱事業者の詳細などを明記する必要がある。個人識別ID が保護すべき対象であるため、1st Party Cookie であっても、明記が必要だ。なお、3rd Party Cookie 自体は、廃止の流れで、Safari ではもう使えないし、Chrome も段階的廃止中で 2025 Q1 には使えなくなる(全てブロックされる)予定だ。
CCPA(カリフォルニア州消費者プライバシー法)では、目的や販売に関する情報を明記しなければならない。
と、ポリシーに書くべき内容は、地域や国、何なら州レベルで異なるため、全てを網羅し、キャッチアップし続けるのは相当な専門性とコストがかかる。世の中にいくつ個人情報保護法あると思ってんの?という話だ。
同意取得
同意を求める鬱陶しいバナーのようなものを設置する必要がある。ユーザの同意なしには、いかなる個人情報も取り扱えないか?というと、実は同意を取らなくても取り扱って良いところもある。同意するまで一切何も送らないパターンと、拒否されるまでは送って良いパターンなどがある。安全を考えれば、同意するまで一切何も送らないのが良いが、問題がある。
サイトを分析する際に、なるべく正しいデータを元に分析を行いたいわけだが、デフォルト送信しないだと、無駄に取りこぼしが発生してしまう。また、どこかのデータによれば、7割程度が Cookie 利用に同意しないらしい。まじかよと思ったが、単純に拒否というよりは、鬱陶しくて離脱してしまうも含めて7割くらいということらしい。それでも、まじかよと思ったが、後述の CMP を利用した場合、特に SP からのアクセスで、画面全体を同意バナーが覆い尽くすという事態になっており、確かにこれは離脱やむなしと思える。ユーザビリティとコンプライアンスの兼ね合いのレベルを大きく超えている。
同意を取るために7割のユーザのデータをとれないだけならまだしも、7割のユーザが離脱してしまうというのは、大変なことである。ボリューム次第では、3割でも有意なデータである場合もあるが、そもそも意味あるデータなのか謎だし、アクセス解析をした結果、改善策のぶっちぎりトップが同意バナーの削除になるのは目に見えているし、非常に由々しき事態である。
でも、同意バナーなんて、「クッキー使ってます。ポリシーはこちら。拒否・同意」くらいで、そんなに場所取らないんじゃないの?と思うが、そんなことはなく、実は同意を取る際の文言も、地域や国、取り扱う個人情報の種類によってルールが異なるそうだ。
維持メンテするには、ポリシー同様、専門性とコストがかかる。
データの越境転送
最後にとどめの越境転送だ。今回調べて、これまであんまり意識して来なかったが(そもそも Analytics などを使おうと思わなかったし。)、これが何よりも高いハードルだった。同意とってもダメというのが厳しい。
まず、GDPR では、個人データをアメリカに越境転送することが違法だ。なので、もうすぐ使えなくなる Universal Analytics は、利用自体が違法である。まだ乗り換えてない・並行稼働させているなどの人・企業は、ASAP で利用停止すべきだ。でないと、昨年のスウェーデンの裁判事例のように 100 万ユーロの罰金などのリスクがある。
via. スウェーデンのプライバシー保護機関がGoogle Analytics利用企業に1.5億円の罰金
なんでアメリカに転送したら違法なのかというと、アメリカ国内のデータは、アメリカの諜報機関による監視下にあり、政府要求による開示に対応する義務があるため、GDPR における個人情報の管理基準を満たさないからだ。これは、もうどうにもならない。
EU 内では、とんでもなく面倒な越境転送の申請を出せば認められる場合もあるそうなので、全てのデータ転送が NG とは言えないのだが、Google や Meta などが認められる未来は想像できない。
GA4 の場合、EU 内からのアクセスに対して、越境転送しないという機能が実装されているため、この点は、”現時点”では、クリアしている。が、同じような規制がある他の場所ではどうなの?というと、どうしてるのか調べてもよく分からない。
データの越境転送規制は、
- 規制なし
- 転送禁止
- 条件付き転送禁止
- 転送は認められているが、データの国内保管が必須
などに分けられる。GDPR は、条件付き転送禁止だ。
ベトナムのサイバーセキュリティ法および個人情報保護法は、4つ目の転送OK・一次データの国内保存義務に該当する。Google がどう対応しているのか分からないので、国内保存をどうしたら良いものか?を考える必要がある。知らないけど、ベトナム以外でも同様の規制を敷いている国はあるものと思われる。
ただ、現状のベトナムの法律では、じゃあ具体的にどうしろというのも決まっていなければ、GA4 であれば、個人識別 ID が個人情報に当たるかも明確でない。かつ、罰則も決まっていない(廃案では売上5%とか)。必要な手続きも決まってない。事例もない。という状態で、概ね様子見をしている状態だ。ただ、例えば EC サイトのようながっつり個人情報を取り扱うサービスの場合、AWS や GCP, Azure などを諦め、ベトナム国内インフラに移行している。
今回調べなかったが、VPN や Proxy を使われた場合は?というのも、考えておく必要があるかも知れない。個人情報保護の対象は、EU ”在住者”だから。利用規約との合せ技が必要かもしれない。
と、越境転送に関しては、維持メンテが難しいだけでなく、対応事態が極めて困難な場合がある。
なお、余談でありウェブからは遠ざかるが、例えば、ベトナム支社の従業員の情報を、日本本社の管理部に渡す、みたいなこともデータの越境転送に該当する。何も申請せずに、セキュリティの観点からグローバルで従業員情報を一元管理するみたいなことをすると違法になることがある。
取り扱いポイントのまとめ
- ポリシー
- 同意取得
- データの越境転送
のいずれも、対応、維持、メンテの難易度が極めて高く、ワールドワイドにサービスを展開する場合は、実質全てを網羅するのは不可能に近い。
また、これは完全な私見だが、GDPR と Google のいたちごっこや EU での裁判事例を見るに、GDPR においては、正直かなり恣意的な判断がなされているように感じられる。過激なヴィーガンと同じ香りがする。許さないし逃さない。Google や Meta は、個人情報というビッグ・ビジネスにおけるドル箱であり、将来的に分かり合える日は来ないと、私は思う。
同意管理マネージャー
ここで登場するのが、同意管理マネージャー(CMP: Consent Management Platform)である。GA4 でも、利用が推奨されている。個別にも設定できるが、その方法は、そんな人はいないと思うけど…くらいの感じで控えめのコンテキストで書いてある。
CMP は様々あるが、このツールは一体何をしてくれるツールなのか?というと、
- ポリシー
- 同意取得
の対応をやってくれる。まず、サイトをクロールし、どこでどんな Cookie を使っているかを洗い出し、国や地域などに合わせて、必要なポリシーや同意取得バナーなどを生成してくる。どれくらいの国や地域に対応しているかは、それぞれの CMP によって異なる。はずだ。
これは非常に便利で、維持メンテを時前でやるのに対して、遥かに低コストで実現することができる。
が、データの越境転送は、サービス提供元(Google など)でやってよという姿勢?であり、対応していない。
また、そのウザさから、大量のユーザを離脱させる大きな原因になっている。
解決方法
という訳で、GA4 は、利用しない・アクセス制限をしない状態を除き、完全に法令遵守する現実的な方法は、現時点では存在しないと言える。
CMP を利用するか時前で用意するかし、その対応範囲内で、データの越境転送に関する規制に対応できる国・地域を、ホワイトリスト方式でアクセス許可し、それ以外はアクセスをブロックするか、Cookie を取得しないよう設定したインスタンスにルーティングするかなどが、落とし所か。
だが、コストをかけて、7割(実際には、サーバのログとアクセス解析ツールを比較するなどが必要)を落としてまで取るべきデータなのか?有意なデータたりうるのか?そのうえでペイするのか?を考える必要がある。日本の情報を日本語で発信し、メインターゲットが日本在住の日本語話者なサービスで、海外に間口を開く重要性はどの程度なのか?サイトの UU や PV などが、KPI として設定されているサービスなども多いことだろうと考えると、まずは社内調整が必要そうだ。吐きそう。
まとめ
真っ白に運営したいという観点で話を進めたが、分かったうえで、訴訟リスクを(軽微と捉えて)取るという判断もあるだろうし、最終的にどうするかは全て”判断”次第だ。そして、繰り返しになるが、本記事は現時点での話、かつ、私は法律の専門家ではない。御社の法務と確認を。
GA4 に代わる代替サービスはいくつかあるが、個人情報を取り扱う時点で同じことを検討する必要があるし、使って大丈夫な手頃なツールも見当たらない(あまり調べてないので、知らない)。Cookie 使わなきゃ良いという話ではないことは、ここまで読めば分かると思う。
グローバルにサービスを展開している、私のクライアントのサービスをいくつか見てみたが、GA4 に限らず、ログインID管理系、アクセス解析系の割とメジャーどころが散見され、かつそれらは GA4 ほど進んだ対応はしておらず(いないように見えた)、現時点でも既にアウトなのでは?3rd Party Cookie がブロックされるし、これを機に法務と見直しをするよう促した。
昔は、個人ブログに気軽に Analytics を仕込んだりしていたが、そんな時代はとっくに終わっていた。テクノロジーの進化によって、簡単にサービスが作れるようになったが、それ以上に法規制が進んだ結果サービスを提供することのハードルはかなり上がった。ものづくりに没頭するきっかけとなる原体験も得られにくくなったかも知れない。
個人情報が体験を豊かにすると同時に、サービス自体を潰す時代。C 向けサービスは、それにどう対応するかを考えるのではなく、ビジネスモデルから考え直す必要がある。トラフィック勝負の無料 C 向けサービスというのは、すでに前時代的なサービスのあり方で、その役割を終えたのかも知れない。ユーザビリティの改善は、個人情報に頼らない方法で行うべきなのだろう。必要な人材含め、ビジネスの再構築が必要だ。
なんの規制もなかった時代を経験してきた私には、いやー、GDPR は個人情報マフィアのようだなと感じられるが、それは違う。本来あるべき姿になっていってるだけ。訴訟って企業だけでしょ?というのも違う。Google Fonts 事件後に、実際にドイツで悪用する輩が湧いて、和解金目的の警告書が送られまくったりした。
そういうもんだ、というところから初める必要がある。
参考
- 電気通信事業法改正によるCookie規制を弁護士が解説
- クッキー規制対応は完了していますか?~改正電気通信事業法の外部送信規律について
- 【2023年最新版】Cookie規制とその対策とは ── 改正電気通信事業法を含む影響とポストCookie時代を考える
- 法改正で規制の対象となる「サードパーティCookie」とは?
- ベトナムのデータ保護法規制の解説と個人データの処理および越境移転における留意点
- 世界のプライバシー保護規制対応を支援するサイト | BizRis
etc.