これまで無料で提供されてきたGoogleのUAは2023年に終了し、その後継としてGoogle Analytics 4（GA4）のスタンダードおよびプレミアムプランに置き換えられました。データ分析を基盤としている企業は、過去最大13か月分のデータに基づいてビジネスの意思決定を行っているため、分析チームは迅速に対応し、運用への影響を最小限に抑える必要がありました。

この移行はタイミング的に好ましくなく、Googleは世界的にプライバシー規制に違反したとして批判を浴びています。

GA4に移行するか、新しいプロバイダーを使うかを判断する際に、なぜGoogleがGDPR非準拠とみなされているのか、その理由と経緯を把握する必要があります。

プライバシー規制は国ごとに作成・施行されている一方で、GDPRは国際的なデータ保護の枠組みを定めており、企業が遵守すべき基準となっています。

この記事では、GoogleのEUのプライバシー基準に対する取り組みを詳しく説明し、同社の分析ソリューションの課題点を分析します。

なぜGoogle AnalyticsはGDPRに準拠していないのか

近年、ビッグテック企業の中でデータプライバシー規制に違反する事例が相次いでおり、その中でもGoogleが特に非難の対象となっています。規制当局や監視機関は繰り返し各国の個人情報保護機関（DPA）に対し、Googleがヨーロッパのデータ保護法に違反しているとの告発を行いました。

この問題は2020年に決定的なものとなり、米国が個人データの保護に十分な水準を満たす国として認められなくなったことを受けて、欧州裁判所（ECJ）はEUと米国間のデータ移転のための「Privacy Shield」を無効としました。これにより、GDPRが適用される国から米国への個人データの移転は現在、許可されていません。

要約すると：

Google Analyticsとその関連製品であるUAとGA4は、2020年にPrivacy Shieldが無効となって以降、GDPRに準拠していません。

フランスを含むEU加盟国のウェブサイトが、UAやGA4を用いてEU市民の個人データを収集している場合はGDPRに違反していると見なされます。

EUと米国間で安全かつ規制に遵守したデータ共有を実現するための Privacy Shield の改訂版（米国欧州データプライバシーフレームワーク）は、当時まだ策定されておらず、GoogleがUAの廃止を予定していた2023年までには最終決定がなされる見込みもありませんでした。

世界的な影響：

2022年初頭、Google Analyticsの使用はオーストリア、フランス、イタリア、ノルウェーを含むEU各国の個人情報保護当局（DPAs）により正式に違法と判断されました。これは、 Googleが欧州のデータがGDPRの規定に基づいて保管できる保証を明示できなかったためです。この動きはEU全体に広まっており、今後は他国もEUのプライバシー保護規制に追いつく形で規制強化が進むと予想されています。

Google AnalyticsがGDPRに違反している理由

オーストリア、フランス、イタリア、ノルウェーを含む欧州の個人情報保護当局（DPAs）により Google AnalyticsがGDPRに準拠していないと判断されたことは、UAとGA4の両方に適用されます。この決定は、UAを利用しているユーザーや、2023・2024年にGA4へ移行した利用者に直接影響を及ぼします。

個人データ

GDPRでは、「個人データ」とは「識別された又は識別され得る自然人に関するあらゆる情報」と定義されています。※EU一般データ保護規則 第4条より

これには、以下のような情報が該当します。

• IPアドレス

• すべてのオンライン識別子：クッキー、モバイルID、広告ID、ブラウザ情報等を収集するフィンガープリンティングも含む

• 当該自然人の身体的、生理的、遺伝的、精神的、経済的、文化的又は社会的な同一性を示す一つ又は複数の要素　※EU一般データ保護規則 第4条より

GoogleはGDPRの厳密な定義から外れ、以下の情報を個人データとみなしていません。

• 匿名化されたクッキーID

• 匿名化された広告ID

• IPアドレス

• その他の匿名化されたエンドユーザー識別子

これはGoogleが広告リクエスト（ほぼすべての広告リクエストを含む）に付随するIPリクエストを、GDPRの下ではPII（個人識別情報）として扱わないことを意味します。しかし、この判断はGDPRの規定と相反しており、UAやGA4を利用する企業が規制当局の監視下で問題になる可能性があります。

データの収集と利用

GDPRでは、個人データは「適法であり、公正であり、かつ、透明性のある態様で取扱われなければならない」と定められています。(※EU一般データ保護規則 第5条より)つまり、個人情報を収集するすべてのウェブサイトやアプリ運営者には、その情報の収集方法や利用目的を明確に示す義務があるとされています。

しかしGoogleは、GDPRの遵守に必要な透明性を十分に示せていません。これについては、2019年にフランスのデータ保護当局であるCNILから課された5,000万ユーロの制裁金によって明らかになりました。CNILは、Googleには「透明性の欠如、不十分な情報提供、そして広告のパーソナライゼーションに関する有効な同意の欠如」があると指摘しました。

データの保存

EUから米国へのデータ移転には、以下のような厳格な条件が求められます。

• 適切な保護措置の実施：標準契約条項（SCC）や拘束的企業準則（BCR）の導入

• 追加の保護措置の提供：匿名化や暗号化など

• データへのアクセスや利用方法の完全な透明性を示すこと

• データ輸入者の監査手順を改善し、遵守を徹底するコンプライアンスの確保を図ること

• EUのデータ保護認証や行動規範、国際標準化機構に基づいた安全性やプライバシーに関する厳格なポリシーを遵守すること

GDPRの下では、適切な保護措置を講じられている場合、個人データをEU域外の国に転送することが可能です。これには、十分な保護レベルを確保すること、データの転送について通知すること、そして個人のプライバシー権を尊重することが含まれます。

しかし、Googleは以下のような理由によりEUと米国間のデータ転送および保存の要件を満たしていません。

• Googleのデータセンターは世界各地に分散している

• 欧州のデータがEU内に留まることを保証できていない

• 米国の監視法により、GoogleやFacebookなどの米国企業は、米国当局に対し個人情報を提供しなければならない

• CNIL（フランス共和国データ保護機関）によると、規制が不十分な場合、アメリカの諜報機関が米国に移送された個人データにアクセスするリスクが存在している

分析ツールの代替選びで注意する点は何か？

UAやGA4の代替ツールを選ぶ際は、リスクを回避しつつ、データ保護がしっかりと担保されるプロバイダーを見極めることが重要です。

• 企業は、以下の事項を明示したデータ保護契約（DPA）を提供するベンダーを選ぶべきです：

• 誰がデータ管理の責任を持ち、誰がどの関係者に通知するのか

• どの個人データが、どのように、何の目的で処理されているのか

• どこでデータが処理・保存されているのか、そしてそれに伴う保証内容

さらに、企業はプロバイダーがGDPRの基準に基づいてどのように運用されているかを、データ保護契約に明示しているかどうかを確認すべきです。また、DPO（データ保護責任者）などの問い合わせ窓口を設置し、誰でもアクセスしやすいサポート体制を整えることで、規則遵守に関する不安を解消できる体制を整えることも重要です。

Piano Analyticsは「プライバシー・バイ・デザイン」

Google Analyticsとは異なり、Piano Analyticsはプライバシーを考慮した設計が特徴で、部門間でのデータ共有や理解をスムーズにします。そのため、規制リスクを気にせず安心して利用できます。

Pianoは、 GDPRやその他のプライバシー規則を最高水準で遵守し、社内の専門チームが必要に応じて継続的にメンテナンスやアップデートを行なっています。

当社の専門チームは、クライアントが自社のデータや規制の状況を正しく理解できるようサポートし、規則を守りながらユーザー行動を把握することで、ROIの最大化をサポートします。

Piano Analyticsの特徴的な違いは？

GDPRおよびeプライバシー規則の遵守: Piano Analyticsは、GDPRやカリフォルニア州のCCPAなど、あらゆるプライバシー規制を厳守しています。当社のクラウドサービスも欧州の行動規範に従い、CNILや欧州データ保護機関の承認を受けているため、クライアントは高いレベルのデータプライバシーを確保しつつ、安心して導入できます。

厳格なデータ利用ポリシー：

当社は、クライアントの目的に必要な最小限のデータだけを収集し、エンドユーザーの明確な同意を得た上で行っています。用途はオーディエンス測定に限られ、GDPRや当社のデータ処理契約に基づき、データの所有権は常にエンドユーザーにあります。

社内のデータ専門チーム：

Pianoには、規制の変化に対応しながらコンプライアンスを維持するためのデータ保護責任者（DPO）がいます。また、クライアントがデータを有効に活用できるようサポートしつつ、厳格なプライバシー基準を守る支援も行っています。

コンフリクトフリーなデータ：

当社はデータの販売や共有、GDPRや地域ごとの規制に反する活動には一切関与しません。目的はあくまで、匿名化されたオーディエンスやユーザーナビゲーション・行動データの収集・処理・保存のみです。また、仮名化や暗号化などの技術を活用し、常に規制を遵守した安全なデータ管理を実現しています。

プライバシーを最優先に設計された、GDPR準拠の高機能分析ソリューション

Pianoのミッションは、お客様への専門的なサポートを提供し、最新の規制動向に沿ってコンプライアンスを維持できるよう支援することです。Piano Analyticsを導入することで、高度な分析機能はもちろん、安全にデータを共有できる仕組みも備えており、プライバシーを最優先に考えた信頼性の高い分析ソリューションを利用できます。

長い実績を持ち、GDPRに準拠した分析ソリューションとして、当社はデータやプライバシー保護について徹底的に透明性を確保しています。そのため、データがどこで処理され、保存されているのかを常に把握することができます。

Pianoと共に取り組むことで、ウェブサイトのプライバシーコンプライアンスを整え、お客様のエンドユーザーに向けてプライバシーを尊重する姿勢を示すことが可能です。