今更ですが、新年第1回目のエントリーですよ。あけおめことよろ(ぉぃ
さて、突然ですが、今日はみんなも大好きなGoogle Analyticsの話をします。
正確に言えばGoogle Analytics の話ではなく、プライバシーポリシーの話なんですけども、Google Analytics あたりと絡めた話にしておくと アクセス稼げる みんな楽しいかな、と思ったのでそうします。
これから書くことは、ある意味では当たり前のことですので「こんな普通のことを大仰に書きやがって」と思う方におかれましては、憤らずに、こんな普通のこともできていない人たちをどうにかしてやろうという優しい気持ちをもって臨んでいただけましたら幸いであります(意味不明)
さて、本題。最近セキュリティ系の凄い人たちが個人情報やプライバシーについて色々と語られているので、僕も含めた凡人の皆様方におかれましては、ウチは大丈夫なのか、いつセキュリティ専門家の人に凸られるのか考えただけでももうガクガクガク((((;゜Д゜)))ブルブルブル...って恐怖におののいてることと存じます。
(年末年始に食事した方が実際に何人かそういったことを言ってた)
まあ結局のところ、どこに問題あるかわからないでガクブルしてるんだったら、勉強しながら至らない点を探して直していくしかないわけですけども。
さて。
そんなセキュリティ専門家の方や、そこらへんに詳しい方々のような視野の広さも知識もない僕ですが、「これは割と皆やっちゃってるなあ」と思う点があるので、そこらへんから直していくことを皆様に広めていってみたりしなかったり(どっちだ)します。
「Google アナリティクス サービス利用規約」ちゃんと読んでますか?
以下は「Google アナリティクス サービス利用規約」からの引用です。
なお、改行および強調は、引用者のフジイによるものです。
7. プライバシー お客様は、本サービスを利用する(又は第三者が利用する)にあたって、本サービスをインターネット・ユーザーの個人情報の追跡又は収集に使用せず(かつ第三者にさせず)、お客様のウェブサイト(又は当該第三者のウェブサイト)から集めたデータを、ソースを問わず個人情報と関連づけない(かつ当該第三者に関連づけさせない)こととします。お客様は、適正なプライバシー・ポリシーを策定してこれを固守し、お客様のウェブサイトの訪問者からの情報の収集に関して適用される法令を全て遵守することとします。お客様はプライバシー・ポリシーを載せなければならず、当該プライバシー・ポリシーにはお客様が、ファーストパーティ cookie により匿名のトラフィックデータを収集していることが表示されなければならない。
んあああー。
プライバシーポリシーに「ファーストパーティ cookie を使って匿名のトラフィックデータを収集しています」って書いてるサイトなんて、あんまり見たことないなあ。
「本サイトではcookie技術を使用しています」とかは見たことあるけど「ファーストパーティーcookieを使用して匿名のトラフィックデータを収集しています」って、あんまり書いてるところ見かけないっすもんね。
あ、べつに僕は重箱のスミを突いて、規約違反m9(^Д^)プギャーって言いたいわけではないです。誤解なきよう(理由は後述します)
実際のところはどうなのかってのを見ていこうと思います。
Google Analyticsブログの事例紹介だと、大手だと村田製作所やディノスのECサイトにGoogle Analyticsが採用されているって書いてあるんで、ここらへんの大手さんには載ってるかどうか参考にさせていただこうと思います。
追記)この記事を書いた時点の話です。その後に色々と変わっております。
さて。まず村田製作所のサイトを拝見。
サイトポリシーと、プライバシーポリシー、それからヘルプあたりを眺めてみますが、僕が見た限りでは cookie への言及も、トラフィックデータの収集についても触れられていないように思いました(間違ってたら修正いたします)
念のために cookie site:murata.co.jp で検索 してみますが、ヒットしないので、恐らくですが無いのでしょう。
次にディノスのECサイトも拝見してみます。
ご利用ガイド(と、その中にある個人情報保護方針)、あんま関係ないけど特定商取引法に基づく表示のページあたりを確認。
弊社が保有する個人情報の利用目的
- お客様の個人情報は、ご注文いただきました商品の配送、資料の送付、お問い合わせ、商品お届け後のアフターサービスや弊社からの各種カタログ・ダイレクトメール・eメールの送付、アンケートの実施、お電話での商品・サービスの紹介、催事・イベントや店舗のご案内、お取引に関わる与信・債権等の管理に利用させていただきます。
また、マーケティング・商品企画のためのデータ分析にも利用しますが、この場合は個人を識別いたしません。
尚、ご購入商品やお問い合わせ内容の確認、及び電話受付業務の品質向上のために、お客様との通話内容を録音する場合があります。
株式会社ディノス 「個人情報の取り扱いについて」より引用
おお、匿名データをマーケティングに使う場合は個人を識別しない、と明記してありますね。
いい感じですので僕も仕事の参考にさせていただくこととします。
ではcookieについてはどうでしょう。
クッキーの使用当サイトでは、WEBブラウザを通じて、お客様のコンピュータにクッキー(Cookie)という情報を送り通信を管理することが有ります。お客様ごとに画面の遷移を維持したり、「お客様情報」のようなカスタマイズされたページを提供できるようにするために使用しており、当サイトでお買い物などの操作をしていただく為に必要なものです。Cookieを無効に設定されますと、当サイトのサービスを正常にご利用いただくことができませんので、あらかじめご了承ください。弊社では、お客様の個人情報保護に関し、上記のように万全を期しておりますが、お客様ご自身におかれましても、情報の管理につきましては十分ご注意いただきますようお願いいたします。
[クッキーについての補足事項] (2011年9月22日)
ディノスでは、当サイトに来訪された方にディノスの広告が適切に配信されることを目的として、アドバタイジングドットコム・ジャパン社及びサイバーエージェント社の広告サービスを利用しております。
おおおおおお、ちゃんとサードパーティcookieについても書かれてますね。さすが。
でも、匿名のトラフィックデータを取得していることについては書かれていないようですねー。
他にも横浜銀行もGoogle Analytics採用してるっぽいので、見てみましたが、やはりそういった文言は見つかりませんでした。
アクセス解析系のプロが運営してるサイトでも書いてないことあるくらい。
大切なことなので、もう一度書きますが、べつに僕は規約違反m9(^Д^)発見プギャーって言いたいわけではないです。
その点は誤解なきように。
「プライバシーポリシー」は「個人情報保護に関する法律に基づく表示」でいいの?
現状の「個人情報保護に関する法律」などの日本の法律では、個人を特定しないデータについての法的見解は微妙な感じなので、ここれらへんを企業側も慎重さを欠いてしまうところなんだと思いますし、僕もそこらへんは厳密に見られると、できていないところが沢山あります。
規約違反はない方が良いですが、ここで僕がしたいのは規約がうんぬん、という話ではないです(←しつこい)「個人情報保護に関する法律」に対しての要件を満たすために定めるのはではなく、本当の意味で顧客のプライバシーをどう扱うかを定めたプライバシーポリシーって何かを考えた方が良いんじゃないかと思うのですよ。
一般的に、企業のプライバシーポリシーって、それポリシーっていうよりも「個人情報保護に関する法律に基づく表示」みたいな感じのが多いんでね。
最近は、facebookやらtwitter、G+などなどのソーシャルメディアアカウントとか、AndroidOSとかgmailアドレス帳とか、どんどん紐づいていって、ユーザーとしては自分の情報がどういう紐づきをしているのか把握しづらくなってきてますし、事業者側としても(悪意の有無は別として)マーケティングデータを取得するための仕組みの中で、意図せず顧客のプライバシーを侵害しかけていた(もしくは、そう疑われも弁明しようもない状況になっていた)なんてことにもなりかねないなあと思うわけであります。
本当の「プライバシーポリシー」が必要なんではないですかね。
つまり、サイト運営をする事業者側が、法律要件を満たすためではなく、顧客やサイト閲覧者のために、自分たちがどんなデータを取得していて、どのように扱うかを真剣に考えて、それを明示するって流れができたらいいのにな、と思うわけであります。
いや、自分もできてるわけじゃないですし、「そんなん面倒だよー」ってのも理解できるんですけどね。
すぐに完璧にはできないから、できることから。
まあ、できることからやりましょう。今のプライバシーポリシー見て足りないところを足していけばいいんじゃないですかね。
■匿名データをどのように取得/送信しているか明示する
どうせソース見ればわかるんだし、Google Analyticsを使っている場合はGoogleのサーバーへ情報を送信していることを明示した方が良いと思うのです。もちろん広告系や解析系で他社サーバーへデータ送信するものについては、できるだけ明示した方が良いと思います。例えば宅配事業者や郵便事業者に住所を伝える度に許可をとるようなことがないように、第三者に開示する条件として「公表した利用目的の達成に必要な範囲で、代理店、業務委託先に提供、開示する場合」と定めるのが普通だと思うのですが、アクセス解析などの場合はwebサイトの利用目的の達成に必要な範囲とは解釈しづらいんじゃないかな、と僕は考えます。つまり明示が必要だと思うのです。
■cookieについても明示する
わかりやすく解説するの難しいですけどね・・・。
サイト運営側が、広告配信ツールやWeb解析ツール、その他、サードパーティcookie発行をしていることについて無自覚なのは良くないと思うので、ちゃんとそこらへん把握しておくべきかと思います。
■匿名情報を個人と識別できるような紐づけをしないことを明示。
これ、ちゃんと明示しませう。
もちろん、ポリシーってのは会社によって違うものですから「バリバリ紐づけするぜ」って明示するのもナシではないとは思いますが、あまり好ましくはないでしようね。
(ちなみに、その場合でもGoogle Analyticsは紐づけデータにできませんよ、規約があるからね)
また、ソーシャルメディアのアカウントについても取扱いを考えておく必要があるでしょうねえ。
余談ですが、ECサイトの運営をしていて、お客様から「サイトの動作がおかしい」って連絡をいただいてしまうことがあります。
アクセスしたページや時間、その他の情報と、Apache(webサーバー)のアクセスログを紐づけて、そのセッションの動きからプログラムのバグなのか何なのか原因を探る、みたいなことを(少なくとも僕は)やるわけですけども、こういうのは匿名情報が匿名じゃなくなくなる一例として存在します。
何があっても紐づけしないってことに決めちったせいで、こういう動きができなくなったらアホみたいですね。
もちろん、個別に承認をとればいいだけなんですけども、本当に業務に必要なデータ紐づけをしないかってところも含めて、よく考えた方が良いと思うです。
ポリシーは、業務範囲じゃなく、規範そのものでしょう?
ポリシーが行動を縛るのではなく、自社の「あるべき姿を規範として定める」ってのは大切だと思うので、本当はそれくらい上段から話が進めばいいんですけども、まあ普通の会社ではそんなことあるはずもないので、まずはプライバシーポリシーがGoogleの規約違反、みたいなところから話を始めていくといいんじゃないかな、と思った次第です。もし、このエントリに間違いや、その他指摘すべき点があれば、ぜひ教えてください。
追記:ちなみに本ブログにはGoogle Analytics は設置しておりませんが、ロリポップ!のサーバーを利用しているアレで、サーバー標準機能のアクセス解析で匿名データを取得しております(って明記しないといけないのかな、めんどい...)
更に追記)2016年11月にサーバーを切り替えてGoogle Analyticsの使用を開始しました
追記2:そういやあ、スマホアプリ用のSDKなんてのもありますね。
追記3:清水 誠さんがブログで EUから学ぶ、プライバシーポリシーでのCookie説明方法 って記事を書いてくださいました。
こちらもぜひ!