• トップ
  • Amplitude
  • ​​GAがEUで使えなくなる?データ分析におけるGDPR違反リスクとは

​​GAがEUで使えなくなる?データ分析におけるGDPR違反リスクとは

2022.12.26

イタリアはじめEU諸国でGAが利用禁止に

GDPR:一般データ保護規制
出典:Amplitude, Inc.

昨今、イタリアやフランスなどのEU諸国でGoogle Analytics(GA)が、EUで採用されているGDPR(General Data Protection Regulation:一般データ保護規則)に違反しているとして利用禁止になるケースが相次いでいます*1出典:TECH+「イタリア、GoogleアナリティクスをGDPR違反のため利用禁止へ

2022年6月22日、イタリア共和国データ保護機関(GPDP)が、GAの使用がGDPR違反にあたるとして、関連するサービスの使用を禁止すると発表しました*2出典:GPDP「Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie / … Continue reading

こうした動きはEUの他の国でも見られ、オーストリアやフランスでもGAがGDPRに違反しているとして使用を禁止する決定が下されました。今後、他の国でも同様の流れが続けば、EUでGAが全面禁止になることも十分あり得ます。

SCCに準拠するデータ保護対策が必要(欧州経済圏外へとデータを保持する場合)

GDPRの注意点
出典:Amplitude, Inc.

EUでこうした決定が相次ぐ一因として、GDPRで「個人データの域外移転に伴うデータ保護措置」の1つに位置付けられているSCC(Standard Contractual Clauses:標準契約条項)の存在があります。

EUではGDPRに基づき、欧州経済領域(EEA:EU加盟国とノルウェー、アイスランド、リヒテンシュタイン)から域外国への個人データの移転が原則禁止されています。

域外国への個人データの移転は、SCCなど適切な保護措置に基づく場合に限り、例外的に認められていて、基本的にはSCCに基づいた対策が必須となっているのです*3出典:Priv Lab「GDPRの新SCC(標準契約条項)とは?求められる対応と期限」

日本企業も対象!SCCに準拠しないGA使用のリスク

出典:Amplitude, Inc.

イタリアでの決定から遡る2022年1月、オーストリアのデータ保護機関は「Googleが準拠する(2020年版)SCCその他の対策はGDPRを遵守するのに十分ではない」旨の判断を下しました*4出典:The Register「Austrian watchdog rules German company’s use of Google Analytics breached GDPR by sending data to US / … Continue reading

こうした規制は日本企業も例外ではありません。GDPRはEUでのサービス、あるいはEUからアクセスのあるサービスを展開する企業も適用対象になるため、同様のサービスを提供している日本企業は注意が必要です。

これからの分析ツールは最新のSCCに準拠したものを選ぼう!

出典:Amplitude, Inc.

以上のように、GAが万一EUで使えなくなってしまうなどのリスクに備え、データの分析ツールを選定する際には最新のSCCに準拠しているかなど、これからはデータ保護の観点から判断することが必須であると言えるでしょう。

実際に、イタリアの当局は「すべてのデータ管理者に対し、自社のウェブサイトにおけるクッキーおよびその他のトラッキングツールの使用方法、GAおよびその他の類似サービスに特に注意を払い、個人データの保護に関する法律に準拠していることを確認することをお勧めします」と注意を呼びかけています*5出典:GPDP「Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie / … Continue reading

それでは、SCCにも準拠しGAと同等かそれ以上のデータ分析を行えるツールというと、実際にどんなものがあるでしょうか?

もし、これから分析ツールを選ぶのであれば、世界で45,000サービス、日本国内でも1,000サービス・以上の導入実績があり、IBM、Walmart、UNDER ARMOUR、shopify、BURGER KING等のグローバル企業でプロダクトの行動分析に活用されているソリューションAmplitude最新の2021年版SCCに準拠)が最適でしょう。(大前提としてGDPRに準拠した形でデータを送るように設計することが必須となります。Amplitudeを導入するサービス事業者が、その対応を理解し導入設計をする事が求められます。)

GA4に移行したほうが良いのか?|移行の工数

GAに移行したほうが良いのか? 移行の工数
株式会社DearOne調べ

また、従来使用していたUAをGA4に移行する(か既に移行したが運用面で困っている)場合、一見同じようなツールをアップデートするだけかのようにも思えますが、実際にはまったく新しい分析ツールを導入するのに等しいことに気をつける必要があります。

まずイベントベースのデータ分析モデルであるGA4は、従来のセッションベースのUAとは異なるデータアーキテクチャを使用しており、大幅な設計のしなおしが必要です。

詳しくは、こちらの記事でご確認ください。

このような事情から、UAの使用に慣れている人であってもツールの学習をほぼ一からやりなおすことが必要になり、結果、まったく新しい分析ツールに移行するのと変わらない労力がかかる可能性が高いです。

以上のように導入・移行に同じくらいの労力をかけるのであれば、最新のSCCに準拠し世界中で導入実績もあるAmplitudeを検討してみてはいかがでしょうか?仮に「既にGA4を使っている」という場合でも、既に行ったイベント設計をそのままAmplitudeで活用することが可能です。

GA4に移行したほうが良いのか?|GA4ユーザーが移行後困っている点

GAに移行したほうが良いのか? GA4ユーザーが移行後困っている点
株式会社DearOne調べ

実際にGA4に移行したユーザーからよく聞かれる問題点として、「データ更新が2時間かかるなど、従来のUAにはあったリアルタイム性がない」「深掘り分析にはBigQueryやSQLの知識が必須」「ユーザーデータやイベントデータの保持期間が2カ月と短いなど、制限が多い」といった声が多く挙がっています。

Amplitudeなら、こんなメリットが!

Amplitudeなら、こんなメリットが!
株式会社DearOne調べ

Amplitudeであれば上図のようにこれらの問題の解消が可能であり、単純に「これまでUAを使っていたからGA4に移行すればいい」ということではなく、SCCのみならず前述のようなリスクにも目配りすることが重要になります。

Amplitude vs GA4 機能比較

Amplitude vs GA4 機能比較
株式会社DearOne調べ

その点、大きな制限がなくSQLの知識が不要で、リアルタイムに上の表に示したような豊富な機能を用いた高度なユーザー行動分析が可能なAmplitudeは、こうした意味でもこれからのデータ分析に打ってつけのソリューションだと言えるでしょう。

まとめ

参考:GDPR*6General Data Protection Regulation:EU一般データ保護規則への対応

参考|GDPRへの対応
株式会社DearOne調べ

昨今、EU諸国でGDPR違反としてGAが利用禁止になる中、その根拠の一つとしての「SCC準拠」に注目が集まっています。この規制はEUからアクセスのあるサービスを展開する日本企業も対象となるため、これからはSCCに準拠した分析ツールを選ぶ必要があります。

実際、GDPRに違反して制裁金が課された場合、最大で当該企業の全世界売上高の4%か、または2,000万ユーロ(約24億円)のいずれか高い方を支払う必要が発生するなど、そのリスクは企業にとって決して小さくありません。

また、単にこれまでUAを使っていたからという理由でGA4への移行を進めると、両者はまったく異なるデータアーキテクチャで構成されるため、上記のデータ保護規制に加え、一からまったく新しい分析ツールを導入するのと変わらない労力がかかるなど、多くのリスクに直面します。

これからの分析ツールには、GAFAMをはじめ全世界のグローバル企業で12,000 社以上の導入実績があり、ノーコードでプロダクトの高度な行動分析が可能なAmplitude(最新の2021年版SCCに準拠)などのソリューションが最適だと言えるでしょう。

※本記事の法的解釈につきましては、Amplitude, Inc.の監修でお届けしております。2022年11月28日現在の情報となります。ご了承ください。

References
*1 出典:TECH+「イタリア、GoogleアナリティクスをGDPR違反のため利用禁止へ
*2 出典:GPDP「Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie / Google:GPDPがGAの利用を禁止。十分な保証がないまま米国に転送されたデータについて」
*3 出典:Priv Lab「GDPRの新SCC(標準契約条項)とは?求められる対応と期限」
*4 出典:The Register「Austrian watchdog rules German company’s use of Google Analytics breached GDPR by sending data to US / オーストリアの監視機関、ドイツ企業によるGA利用が米国へのデータ送信の点でGDPR違反に当たると判断」
*5 出典:GPDP「Google: Garante privacy stop all’uso degli Analytics. Dati trasferiti negli Usa senza adeguate garanzie / Google:GPDPがGAの利用を禁止。十分な保証がないまま米国に転送されたデータについて」
*6 General Data Protection Regulation:EU一般データ保護規則

タグ一覧