EUではGoogleアナリティクスは違法なのか?
欧州では、Google Analyticsを合法的に使用することが可能です。ここでは、その方法を説明します。
2022年初頭、オーストリアとフランスのプライバシー保護団体は、プライバシー侵害を理由に、欧州企業にとってGoogle Analyticsの使用は違法であると宣言しました。今回、ノルウェーとデンマークのデータ保護当局が、企業がGoogleアナリティクスを法的に遵守した形で使用し続けるための方法を説明しました。
ノルウェーデータ保護庁は次のように説明しています。
「ヨーロッパの同僚による決定以来、私たちはGoogle Analyticsを使用する場合に使用できるツールと特定の設定について詳しく見てきました。オーストリアの最初の決定を受けて、グーグルは、このツールを使って収集できる情報の種類に関連する追加設定を行うようになったので、特に関連性が高いです。しかし、結論は依然として、このツールを合法的に使用することはできない、というものです。"
では、Googleアナリティクスはヨーロッパで違法なのでしょうか?
イエスでもあり、ノーでもある。欧州の企業がGoogleアナリティクスを「そのまま」使用することは違法です。仮名化のような技術的手段を適用することで、GDPRに準拠してGoogleアナリティクスを使用することは可能である。
GDPRに準拠してGAを使用するには?
Googleアナリティクスを使用する際に考慮しなければならない技術的措置として、仮名化が考えられます。欧州のGDPRでは、Googleが誰のデータを見ているのかが分からないようにすることが求められています。これには、人々のIPアドレスだけでなく、個人の身元について結論を導き出すことができるその他の情報も含まれます。
そのため、Googleにデータを送信する前にデータをクリーニングするために、欧州の企業はリバースプロキシ経由でデータを送信しなければならない。
ここでは、フランスのCNILによる、アナリティクスデータをプロキシ経由でGoogleに送信する方法についての詳細な指示を紹介します。
しかし、これは言うは易く行うは難しです。CNIL(Commission Nationale de l'Informatique et des Libertés)が説明する解決策は、複雑な技術的混乱に陥っているのです。
Google AnalyticsのトラフィックをすべてGoogleのサーバーに直接送信する代わりに、企業が管理するEU圏内のサーバーを経由させるというものです。
GDPRのプライバシー要件に準拠するために、EU企業は、個人を特定できる情報をデータから削除する必要があります。
注目すべきは、CNILによる勧告では、キャンペーン識別子と呼ばれるUTMクエリパラメータをすべてスクラビングする必要があるとも述べられていることです。この要件は、Google Analyticsの使用を無意味なものにします。どの広告キャンペーンがうまくいっていて、どの広告キャンペーンがうまくいっていないのか、データを利用できないのであれば、なぜ企業はGoogle Analyticsを利用するのでしょうか?
幸いなことに、ヨーロッパにはMatomo、Piwik、Plausible、Econdaなど、Google Analyticsの代替となるツールが数多く存在します。
オーストリアとフランスの判決
2022年2月に出されたオーストリアの判決に続き、フランスのプライバシー監視機関であるCNILも、Google AnalyticsがGDPRに違反しており、したがって禁止されなければならないと宣言しています。CNILは声明を発表しています。
「CNILは、欧州の担当者と協力して、このサービス(Google Analytics)を通じて収集されたデータが米国に転送されている状況を分析しました。CNILは、これらの転送が違法であると考え、フランスのウェブサイト管理者に対し、GDPRを遵守し、必要であれば、現状のままこのサービスの使用を停止するよう命じました。"
プライバシーシールドの無効化
2020年にプライバシーシールドの法律が無効になると、欧州で活動する米国のオンラインサービスには広範囲な影響が及びました。欧州市民のデータを米国に転送することは、欧州市民のデータを米国の大規模監視の対象とすることになり、欧州のGDPRに明確に違反するため、もはや許されなくなったのである。
しかし、シリコンバレーのハイテク業界は、この判決をほとんど無視しました。これが今回、欧州でGoogle Analyticsが禁止されるという判決につながった。NOYBは言う。
"これ(=プライバシーシールドの無効化)はテック業界に衝撃を与えたが、米国のプロバイダーやEUのデータ輸出企業は、この件をほとんど無視している。マイクロソフトやフェイスブック、アマゾンと同じように、グーグルはいわゆる「標準契約条項」に頼ってデータ転送を続け、ヨーロッパのビジネスパートナーを落ち着かせてきたのです。"
現在、オーストリアのデータ保護局は、プライバシーシールドを無効と宣言する際に、欧州の裁判所と同じような声を上げている。Google Analyticsの利用は、一般データ保護規則(GDPR)に違反し、違法であると判断したのである。グーグルは「米国情報機関の監視対象であり、欧州市民のデータを米国情報機関に開示するよう命じられる可能性がある」。そのため、欧州市民のデータを大西洋を越えて転送することはできない。
判決文の原文を機械翻訳したもの。
この裁判は何だったのか?
2020年8月14日、Googleのユーザーが健康問題に関するオーストリアのウェブサイトにアクセスしたことがありました。このウェブサイトはGoogle Analyticsを使用しており、ユーザーに関するデータが米国のGoogleに送信された。このデータに基づいて、グーグルはその人が誰であるかを推論することができました。
2020年8月18日、Googleのユーザーは、データ保護団体NOYBの協力を得て、オーストリアのデータ保護当局に苦情を申し立てました。
現在、オーストリアの裁判所は、このGoogle Analyticsのデータ転送を欧州では違法であると宣言しています。
データが十分に保護されていない
この問題は、米国のCLOUD法に基づいて、米国当局は、Google、Facebook、その他の米国のプロバイダーが米国外、例えばヨーロッパで活動している場合でも、個人データを要求することができることである。
したがって、グーグルはGDPR第44条に基づく適切なレベルの保護を提供することができない。これは、欧州のデータ保護保証に対する明らかな違反である。2020年に欧州司法裁判所(ECJ)が「プライバシーシールド」に関する判決(Schrems II)で認めたように、ウェブサイト運営者が発動する標準的な契約条項は何の役にも立たないのです。
データ不正利用の証明は必要ない
Google Analyticsの使用に関する法的評価の決め手は、米国の諜報機関が実際にデータを取得したかどうかでも、Googleが実際にユーザーを特定したかどうかでもない。理論的にはすでに可能であったという事実だけで、GDPRに違反することになる。
ただし、Googleのユーザーは、Googleアカウントで設定を行うことで、Googleが第三者のウェブサイトの利用を詳細に評価するのを止めることができる。しかし、この機能が存在することは、グーグルが利用データを個人と融合させることができることの証左である。
NOYBの最大の成功
この判決は、データ保護団体であるNOYBのこれまでの最大の成功例の一つである。その結果、NOYBとMax Schremsは、オーストリアの裁判所による判決を非常に喜んでいます。
「これは非常に詳細かつ健全な判決です。結論はこうだ。つまり、企業はもうヨーロッパで米国のクラウドサービスを利用することはできない、ということです。司法裁判所が2度目にこのことを確認してから1年半が経ちますので、この法律が施行されるのはもっと先のことです。"
この判決は、シュレムスの非営利団体NOYBがEUのほとんどの加盟国で起こしている101の訴訟の中で最初のものです。
今後、ドイツ、オランダ、その他のEU加盟国でも、Google Analyticsの禁止に関する同様の判決が下される見込みです。
Google Analyticsを削除しますか?
ツタノタ - ユーザーのプライバシーを重視する安全なメールサービスとして、Google Analyticsを使用したことはありません。
しかし今、ヨーロッパの多くの企業は、自社のウェブサイトからGoogle Analyticsを削除すべきか、それともGDPR違反のペナルティを受けるリスクを負うべきか、自問自答しなければなりません。
長い目で見れば、選択肢は2つでしょう。米国がテックビジネスを強化するために監視法を変更するか、米国のプロバイダーが欧州のユーザーのデータを欧州でホスティングしなければならなくなるか、だ。
Google Analyticsの使用に関する2つの決定がまだ保留されているオランダの個人情報局(AP)は、今回、「プライバシーに配慮したGoogle Analyticsの設定」についての独自のガイダンスを更新しました。
この更新に伴い、APは警告を発しました。
"ご注意ください:Google Analyticsの使用は間もなく許可されなくなる可能性があります。"
デンマークとノルウェーのデータ保護当局は現在、Google Analyticsをヨーロッパで法的に準拠した方法で使用する方法を説明していますが、提示された解決策は信じられないほど複雑で、実現不可能なものです。
結論
シリコンバレーのハイテク企業は、何らかの方法でヨーロッパでサービスを提供する方法を見つけるだろうが、プライバシーシールドの無効化後に彼らが取ったアプローチは、ヨーロッパの企業にいくつかの赤信号を投げかけるものであるに違いない。
ヨーロッパの企業として、ヨーロッパのプライバシー法を意図的に無視し、ヨーロッパの企業顧客に多額の罰金を科す危険性のあるグーグルのような企業に、機密性の高いユーザーデータを託すことはもはや不可能である。
今回取り上げたオーストリアの健康サイトに対する罰金はまだ決定していませんが、最悪の場合、2000万ユーロまたは年間売上高の4%が課されることになります。
世界中の消費者にとってプライバシーの重要性が増している今、欧州の企業がユーザーのプライバシー保護に重点を置いたサービスを選択することは、理にかなっていると言えるでしょう。
Google Analyticsのヨーロッパでの代替サービスには、Matomo、Piwik、Plausible、Econdaなどがあります。
Googleの他のサービスの代替をお探しの場合は、Googleの代替サービスを利用してオンラインでプライバシーを取り戻すためのガイドをご覧ください。
例えば、Gmailの代替としては、GDPRに完全に準拠したドイツの安全な電子メールプロバイダであるTutanotaがあります。
