2020年の1月に施行され、7月からいよいよエンフォースメントがスタートしたCCPA (California Consumer Privacy Act)。
Google Analyticsのデータは匿名だから大丈夫・・・ではありません。
実はGoogle Analyticsのデータの中にはCCPAに規定される個人情報 (‘Unique Identifier’もしくは’Persistent Identifier’)に該当するデータがあります。その1つがClient ID (クライアントID)。
Client IDとはCookieの中に格納されている固有のID。Google Analyticsが個々のユーザーを識別するために使用されます。
2020年現在、Google Analyticsを実装している場合、訪問者に対してデフォルトでこのClient IDの付与がされますので、Google Analyticsを実装している = Client IDのトラッキングがされていると理解して良いかと思います。
消費者から、Google Analyticsを経由して取得した個人情報の請求開示、もしくは削除請求を受けた場合、このClient IDの過去12ヶ月分のデータの開示・削除をする必要があります。
本記事では、Google AnalyticsのClient IDの特定の方法と削除の方法をご紹介します。
また、EC機能や会員ポータルなどウェブサイトにログイン機能がついているWebサイトの場合、Client IDとは別にUser IDのトラッキングをしている可能性があります。その場合は別途User IDの開示・削除の手続きを行う必要がありますが、本記事では割愛させて頂きます。
※本記事ではあくまで、Google AnalyticsにおけるClient IDの取得・削除方法という実務的な部分をご紹介しております。CCPAの法律的な見解に関して、Touch-Baseでは一切の責任を負えませんので弁護士の方にご相談頂き、判断するようお願いします。
全体的な流れ
Google AnalyticsのClient ID以下3つのステップとなります。
1. 消費者側のブラウザに残っているクッキー情報からGoogle AnalyticsのClient IDを教えてもらう
2. そのClient IDを基に、Google AnalyticsのUser Explorerから情報を取得
3. 消費者の要望に応じて開示または削除を行う
ブラウザ側でのClient IDの取得方法
まずは#1の「消費者のブラウザのクッキー情報からGoogle AnalyticsのClient IDを抽出する方法」をご紹介。その後に#2と#3の「Google Analyticsの画面からトラッキングしている個人情報の取得方法と削除方法」をご紹介します。
以下ではGoogle Chromeを例に、ブラウザ側でのClient IDの取得方法をご紹介します。
(※Client IDの取得に関しては、消費者側のブラウザでのみ確認できる情報なので、消費者側に行ってもらう作業になります。)
Google ChromeでのClient IDの取得方法
1. Google Chromeの右上の点々マークをクリックし、Settingsをクリック
2. ページ上の検索バーをクリックし’Cookie’と検索、その後ページ下に表示される’Cookies and other site data’をクリック
3. ページ下にスクロールして’See all cookies and site data’をクリック
4. ページ右上の検索バーに自社サイトのドメイン(今回の場合はakihironomura.com)を入力。ページ下に自社ドメインが出てきたらクリック
5. クッキー情報の中から’_ga’を探し、クリックしてドロップダウンを開くと’Content’の中に’GA-‘から始まる数字が出てくるのでそれをコピー。ただし、’1.2.’や’1.3.’から始まる場合はそれ以降の数字がClient IDにあたるので注意。
(※今回は自分自身のクッキー情報を取得していますが、念の為Client IDなど個人情報に当たる部分は隠しております。)
以上では、Google Chromeを例にご紹介しましたが、他にもInternet ExplorerやFirefoxなど別のブラウザを使用している場合はそれぞれの方法でブラウザの’_ga’に紐づくClient ID情報を聞き出してください。複数存在する場合は全て聞く必要があります。
Google Analytics上でClient IDの情報取得と削除
1. Google Analyticsにログイン。左サイドバーの’Audience’をクリックし、’User Explorer’をクリック
2. 右上の日付のバーをクリック。過去12ヶ月のデータを指定して、’Apply’をクリック。
3. 日付のバーの下にある検索バーにて、前段で取得した’Client ID’を入力し、検索を行う。ページ下に表示された項目をクリック。
4. 人型アイコンの下に表示されている’Client ID’が正しいことを確かめて、開示を求められたら本ページの情報を開示。削除する場合はページ左下の’Delete User’で削除を行う。
まとめ
今回はCCPAにおけるGoogle AnalyticsのClient ID(個人情報)の開示・削除請求の部分をご紹介しました。
CCPAへの対応として今回の開示・削除請求への対応以外にも、Google Analyticsと関連する部分でプライバシーポリシーの更新 (Google Analyticsを使用していることやCCPAにおける個人情報に当たるClient IDを収集している旨の通知、こちら側が集めたデータを消費者側が知る権利、削除を求める権利、第三者への”販売”を止める権利などの通知)を行う必要があります。
CCPAへの対応は大変ですが、今後世界的に消費者のプライバシー保護の流れが加速すると思われますので、迅速に対応されることをオススメします。
参考: Google Analytics and CCPA | Compliance with Cookiebot