ヨーロッパのGoogleAnalytics：GDPRコンプライアンスを確保する方法

データプライバシーゲームのルールは一変し、ヨーロッパの企業がパフォーマンスを正確に評価し、マーケティング活動を適切に評価する能力に影響を与えています。 禁止事項が表示されると、通常の作業方法は不可能になり、置き換えられることのない貴重なデータが失われます。

デジタルアナリティクスの大きな変化は、一部のヨーロッパ諸国でのGoogleアナリティクスの使用禁止から始まり、EUと米国の間の新しいデータプライバシーフレームワークで終わりました。 欧州のデータ保護当局による最近の決定によると、GoogleAnalyticsはいくつかの国でウェブサイト運営者に使用することは違法になっています。 Google Analyticsの実装は、GDPRの第V章の違反と見なされて以来、ヨーロッパの企業は危機に直面しています。

しかし、2022年3月に状況が変化したので、最終的に、データプライバシーで発生した問題と、マーケティング分析を保護するためにヨーロッパの企業ができることを特定してみましょう。

過去2年間で、データプライバシーとGoogleAnalyticsの分野で多くのイベントが発生しました。 ヨーロッパの企業にとって、データの収集と適用におけるこれらの変化は、調整された高度なマーケティング分析の黄金時代の終わりを意味しました。 データ使用の制限と禁止により、確立されたワークフローを適用することは不可能です。 これらすべての変更がどのように開始され、現在どこにいるのかを確認するために必要なすべての情報を収集してマッピングしました。

2020年、非営利団体NOYBは、GoogleAnalyticsまたはFacebookConnectを適用した欧州経済領域（EEA）のWebサイトに対して101件の苦情を申し立てました。 この後、EEAデータ保護当局は、一般データ保護規則（GDPR）に準拠していないという理由で、EEAWebサイト運営者にこれらのサービスの使用を停止するように強制する判決の発行を開始しました。

問題は、EU居住者に関する収集データ（ユーザー行動データ）を米国ベースのクラウドサービスに保存するため、ヨーロッパでGoogleAnalyticsを適用する方法にありました。 こだわりのポイントは、米国の諜報機関がEU居住者の個人データにアクセスするのを防ぐには、Googleが講じた保護手段が不十分であるということでした。 欧州のデータ保護当局によると、これらの海外のデータ転送はGDPRに違反しています。

これまでに、2件の訴訟が審理されました。 最初の事件はオーストリアの事件（2021年12月）であり、2か月以内（2022年2月）にフランスの事件が続いた。 これらの事例の要約は、EU居住者の個人データの適切な保護がなく、米国を拠点とするサービスへの個人データの違法な転送がないことです。 たとえば、一意のユーザーID番号、IPアドレス、ブラウザパラメータは、Googleが提供する標準の保護条項では十分に保護されていません。

他のヨーロッパ諸国での同様のケースは、Google Analytics（および同様のサービス）の使用を抑制する上でドミノ効果をもたらす可能性があります。 データプライバシーの侵害に関するこれらの苦情に対するモデル化された応答と反応がすでにあるため、より多くのヨーロッパ当局がすぐに追随し、ヨーロッパでのGoogle Analytics（およびその他のツール）の完全な禁止につながる可能性があります。

その後、2022年3月25日、1年以上の交渉の末、米国とEUは、EUから米国へのGDPR準拠の個人データ転送に関する新しい法的枠組みに関する「原則的合意」を発表しました。 大西洋横断データプライバシーフレームワークは、2020年7月のシュレムスII判決で欧州連合司法裁判所が提起した懸念に対処し、最高水準のプライバシーとデータ保護を保証します。 Googleは、最初の機会に大西洋横断データプライバシーフレームワークの下でプロセスを認定することを楽しみにしています。 それでも、それは「原則として合意」のままであり、詳細とタイミングはまだ確認されていません。

誰も将来を予測することはできません。デジタル環境は急速に変化しているため、企業はデータ処理ワークフローを保護する準備をする必要があります。

NOYBからの苦情により、多くの欧州経済領域（EEA）のデータ保護当局は、EEAWebサイトの運営者にGoogleAnalyticsの使用を完全に停止させたいと考えています。 このような決定に苦しんでいるのは、ビジネス収益を増やし、全体的なパフォーマンスを向上させるためにオンラインテクノロジーを実装したいヨーロッパの企業です。

現在、これらの企業は、国際的なデータ転送の政治的にホットなトピックがいくつかの論理的な解決策で解決されるのを待っているため、弱い立場にあります。 データ転送の問題にもかかわらず、サイバー攻撃やランサムウェアなど、データプライバシーに対する他の危険なリスクが世界的に存在することを忘れないでください。

現在、GoogleAnalyticsの使用で発生する問題は次のとおりです。

• GDPRに準拠できないウェブサイトは、機密性の高いユーザーデータを米国を拠点とするサービスに転送し続けると、多額の罰金が科せられます。
• Google Analyticsを適用しないと、マーケターはマーケティングパフォーマンスを評価できないことを恐れています。
• マーケティング分析ソリューションを変更するために、企業は新製品の学習と実装に多くの時間を費やします。

これらの問題を解決するために何ができるか、そして企業が将来さらに大きな問題をどのように回避できるかを見てみましょう。

注：NOYBプロジェクトは、企業向けのガイドラインを提供します。 特に、米国の監視法について確信が持てない、または米国のパートナーがこれらの法律に該当する小規模なEU企業の場合、noyb.euWebサイトに無料のガイドラインとモデルリクエストがあります。

もちろん、この状況は多くの企業にとって不快であり、長期にわたる作業プロセスに違反します。 しかし、これは確かに世界の終わりではなく、逃げ道があるので、絶望の理由はありません。

まず最初に、GoogleAnalyticsは2つの方法で実装できることを説明する必要があります。 したがって、実装方法はGDPRへの準拠に影響します。 2つの方法は次のとおりです。

通常、Webサイトはクライアント側モードを適用します。これは、WebサイトのページでJavaScriptコードを使用し、Cookieを設定し、クライアントIDを生成し、取得したデータをGoogleAnalyticsに転送してWebサイトの統計を生成することを意味します。

クライアント側モードでGoogleAnalyticsを使用するときに実行する必要がある手順を見てみましょう。 GDPRに準拠していることを確認するには、技術的および法的な事項の両方を確認する必要があります。

1. 適切なユーザーの同意から始めます。 データ（デバイス情報、トラッキングID、IPアドレスなど）が収集されるだけでなく、米国ベースのサービスに転送されることをユーザーに通知する必要があります。 さらに、ユーザーはいつでも同意を取り消すことができることを述べておく必要があります。
2. IP匿名化を実装します。 （Google Analytics 4のプロパティの場合、IP匿名化はデフォルトで有効になっています。）
3. GoogleAnalyticsのデータ共有オプションとシグナルオプションの両方が無効になっていることを確認します。
4. 独自のユーザーIDを使用している場合は、ユーザーIDの許可がないことを確認してください。

重要！ 法的な状況を確認することを忘れないでください。 EMEA地域の企業が署名するすべての契約は、GoogleLLCではなくGoogleIreland Limitedと締結する必要があるため、署名するすべての契約を確認してください。 次に、GoogleIrelandLimitedとGoogleLLC間のデータ転送をカバーするTIAを確認します。

2番目のバリアントは、サーバー側モードの実装です。 このモードでは、タグをWebサイト（広告と測定の両方）から移動して、安全なサーバーコンテナーに転送できるため、より目立たなくなります。 また、サーバー側の追跡を適用することにより、情報がGoogleのレポートツールと共有される前に、ユーザーのIPアドレスが自動的に匿名化されます。 つまり、ユーザーとGoogleの間に直接のコミュニケーションがないことを意味します。 情報は発行元のサーバーによって収集され、分析のためにGoogleに転送されます。

多くの企業は、Google Analyticsがないということは、分析がまったくないという印象を持っているかもしれませんが、そうではありません。 高度なマーケティング分析を実装する方法は他にもあり、OWOX BIチームは、データの収集と保存の両方に安全なソリューションを提供します。

OWOX BIとは何ですか？

OWOX BIは、サイロ化されたソースから分析先へのデータの配信を自動化するマーケティング分析ソリューションであり、データが常に正確で最新であることを保証します。

OWOX BIを使用してデータを操作する主な利点は、次のとおりです。

• すべてのデータは、GDPRに完全に準拠したGoogleBigQueryに保存されます。 OWOX BIのサーバー側追跡は、個人ドメインでの安全なファーストパーティデータ収集を提供します。 追跡プロセスは、SchremsIIおよびGDPRに準拠しています。
• おなじみのGoogleAnalyticsデータスキーマ。 ヒットとセッション変換のための有名なGoogleAnalyticsユニバーサルデータスキーマを取得します。 現在のGoogleAnalytics設定を使用してトラッキングを簡単に設定するには、わずか数分かかります。
• 高品質のデータ収集。 広告ブロッカーの影響を受けずに、説明可能な品質の完全な生データを取得します。 Google BigQuery EUストレージの各ヒットを、サンプリングなしでほぼ​​リアルタイムで収集します。
• 効果的なマーケティングとデータ分析。 2023年には、サードパーティのCookieの廃止と、Cookieの有効期間の短縮により、広告チャネルの有効性に関する情報の大部分が利用できなくなります。 OWOX BIサーバー側の追跡により損失を最小限に抑え、自社データを収集し、それをストレージ内のマーケティングデータとマージできます。

マーケティング分析を保存するためにOWOXBIで実行できる手順は何ですか？

ほとんどの企業は、データ収集とストレージの両方がEU地域で行われていることを確認することを好むため、OWOXBIはGoogleAnalyticsの使用を避けています。 詳細には、OWOXBIデータフローは次のようになります。

1. 従来のGoogleAnalytics形式でウェブサイトからデータを収集します。 このデータ形式はおなじみなので、何千もの既存のSQLクエリを再利用することが可能です。
2. 生データをリアルタイムでGoogleBigQueryストレージに収集します。 取得したデータはあなたのものであり、選択したEUゾーンに保存されます。

要約すると、OWOX BIを使用すると、すべてのマーケティング担当者とアナリストが作業を継続し、会社の法務部門を満足させる分析ソリューションを適用できます。

• 機密データを処理する際は、GDPRに準拠していることを確認してください。
• データの再処理や、新しい技術スタックの学習と採用にかかる時間とリソースを失うことは避けてください。
• 実装時間と評価期間は非常に短いため、Webサイトの既存のマークアップを維持します。

Google Analyticsが禁止されている状況と、今後の大西洋横断データプライバシーフレームワークについては、まだ明確にする必要があります。 ただし、結果に関係なく、将来のより良い時期を待たずに、今すぐビジネスを保護することが最善です。 法的な準備からユーザーの同意の確保、米国が所有するサービスプロバイダーからの移行まで、リスクを最小限に抑えるために実行できる明らかな手順があります。

OWOX BIサーバー側の追跡は、SchremsIIおよびGDPRに準拠した安全なファーストパーティのデータ収集を提供します。 そして、一番上のチェリーは、サードパーティのCookieの消滅とCookieの寿命の短縮に起因する損失を最小限に抑える機能です。