Google Analyticsを利用してる方は以下のメールを受け取ったかと思います。

• [Action Required] Important updates on Google Analytics Data Retention and the General Data Protection Regulation (GDPR)
• [ご対応ください] Google アナリティクス データの保持と一般データ保護規則に関する重要なお知らせ

簡単にいうと「EUで新しい規則（GDPR）ができて、個人データの取り扱いが厳しくなるので、Google Analyticsではその対応をしますよ」というお知らせです。「ご対応ください」の部分は「デフォルトで個人データ保持期間を26ヶ月にしますが、それぞれの事情あるだろうからそれにあわせて設定してください」です。

これを受けて「GoogleAnalyticsのデータ保持期間は無期限にすべき」という論調の記事がいろいろと出てきていますが、ちゃんとGDPR・・・というか、Googleからのメール読んでから書いてますか？と思わざるえない内容が多いので、その誤解を解くための記事です。

削除されるのは「アクセスデータ」ではない

一番多いのはこれです。26ヶ月以上前のアクセス数がわからなくなる大変だ！みたいな記事がありますが真っ赤な嘘です。Googleからのメールでは当該部分。

2018 年 5 月 25 日より、ユーザーデータとイベントデータはこの設定に即して保持されるようになり、ご指定の保持期間を過ぎたデータは、Google アナリティクスによって自動的に削除されます。なお、この設定は集計データに基づくレポートには影響しません。

もうちょっと細かく書くと、ユーザを特定できる個人データだけを、不要になったら破棄するようにしますねということです。「Aのページに100アクセスありましたよ」みたいなアクセス情報は破棄されません。

どうして破棄するの？

GDPRを読んでない人向けにいうと、日本でいう「個人情報保護法」をめちゃくちゃ厳しくしたものだと理解してください。IPアドレスやCookieだけではなく、社員番号なども「個人データ」として定義付けて、正しく運用しないと厳しい罰則（具体的には罰金）が定められています。

破棄する理由は簡単です。

「使わないのに持ち続けることはリスクがあるから」。

Google Analyticsは、「サイト運営者が、Googleに閲覧者データを預けている」という位置づけですので、個人データを収集したのはサイト運営者、個人データを管理しているのもサイト運営者です。

つまりGoogleは「サイト運営者のために、個人データを破棄する」機能を実装したわけです。

EUだけの話でしょ？

「「EU 一般データ保護規則（GDPR）」に関わる実務ハンドブック（入門編）」の対象事例に「EU在住の人が、日本の旅館を予約するために入力した個人情報」があります。また、GDPRの対象に「IPアドレスやCookie」もありますので、これを拡大解釈しますと

「EUからアクセスのあったGoogle Analyticsを設置しているWebサイト」

は対象となります。

まとめ

まだ判例もでておらず、またこれで罰金というのは現実的ではないのは重々承知ですが、Google Analyticsのデータ保持期間を無期限にするということは「特に使わない個人データを無期限に持ち続けますよ」という大変マナーの悪い行為だと思っております。

もちろん、現在の運用と、26ヶ月以上前の個人データとイベントを有用に改善に繋げているという事例では、26ヶ月以上、場合によっては無期限でデータを保持する必要があると思いますが、そこは経営、エンジニアリングの両輪からご判断いただければ。少なくても、何も考えずに設定を変更するような項目ではありません。

それでは、また。