もし、あなたがサイトをGoogleアナリティクスで分析しているのであれば、サイトの目立つところにプライバシーポリシーを掲載し、その中でサイトユーザーにいくつかのことを明示しなくてはなりません。

この話、ウェブ制作を行ってきた人にとってはなんとなくわかっている話だと思います。僕も、基本的に明示しなくてはいけないことの存在を知っていたし、記載してきました。

でもそのプライバシーポリシー、本当に正しく書けていますでしょうか?

GAprivacypolicy01

今回、自分自身も以前から少し不安であったこのプライバシーポリシーの書き方問題について改めて調べたので、本記事ではGoogleアナリティクスを利用しているユーザーが具体的に何をプライバシーポリシーに記述しなくてはならないのか、考察してみます。

目次
1. Googleアナリティクスの利用規約をおさらい
2. Google自身のプライバシーポリシーに学ぶ
3. 企業サイトのプライバシーポリシーを参考にする
4. cookieの使用承諾について
5. まとめ

Googleアナリティクスの利用規約をおさらい

GAPP01

Googleアナリティクスのサービス利用規約「7.プライバシー」欄には、次のように記載されています。

お客様はプライバシー・ポリシーを掲載しなければならず、当該プライバシー・ポリシーにはお客様が、データの収集のために cookie を使用していることが示されなければなりません。お客様は、Google Analyticsの使用、どのようにデータを収集し、処理するかを開示しなければなりません。これは、(www.google.com/policies/privacy/partners/ に位置し、またはGoogleが随時提供するその他のURLにある)「お客様がパートナーのサイトやアプリケーションを使用する際、Googleはどのようにデータを使用しているか」というサイトへの目立つリンクを表示することにより行われます。お客様は、本サービスの利用によって発生する訪問者のデバイス上のcookieまたはその他の情報の保存およびこれらのアクセスに関し、法令により義務付けられている場合、訪問者に明確かつ十分な情報を確実に提供し同意を得るための商業上合理的な努力を行うものとします。

引用:Google Analytics

要点だけ抜き出すと、GoogleはGoogleアナリティクスを使うのであれば、次の3点をサイトの目立つ場所に掲載し、そのうちcookieの使用についてはユーザーから承諾を得なければならない、と言っています。

  1. Googleアナリティクスを使用していること
  2. どのようにデータを収集し、処理しているか
  3. データ収集のためにcookieを使用していること

特にややこしい3について簡単に説明すると、Googleアナリティクスでは、ユーザーのデバイスにファーストパーティクッキー(cookie)というものを付与して分析を行っています。主にユーザーを区別するためにこのcookieというものを利用する必要があります。

さて、サイトに記載すべきことが少し見えてきましたが、まだまだ抽象的です。これ以降、具体的に記載しなくてはならない文章について考えていきます。

Google自身のプライバシーポリシーに学ぶ

具体的な文章を考えていく際に参考になるのが、Google自身のサイトに掲載されているデータの利用に関するプライバシーポリシーページ(パートナー向け)です。前述した引用文の中にGoogleがさらっと記しているリンク先がそれにあたります。

GAPP02

この中でGoogleは、前述した3点について次のように記載しています。

分析ツール(Google アナリティクス)を使用しているウェブサイトにアクセスすると、お使いのウェブブラウザはGoogle に特定の情報を自動的に送信します。このような情報には、たとえば、アクセスしたページのウェブ アドレスや IP アドレスなどがあります。また、Google がお使いのブラウザに Cookie を設定したり、既存の Cookie を読み取ったりする場合もあります。

引用:ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用 – ポリシーと規約 – Google

太字にしたところがそれぞれ前述の1〜3にあたるところかと思います。これを参考にして前述の3点をもう少し具体的な文章にすると、サイトにGoogleアナリティクスを導入している人は、そのサイトのプライバシーポリシーに次の3点を記載しなくてはならないということになるでしょう。

  1. Googleアナリティクスを使用していること

    2. →本サイトでは、サイトの分析と改善のためにGoogleアナリティクスを使用しています

  2. どのようにデータを収集し、処理しているか

    3. →本サイトをご利用中のウェブブラウザは、Google に特定の情報(たとえば、アクセスしたページのウェブ アドレスや IP アドレスなど)を自動的に送信します

  3. データ収集のためにcookieを使用していること

    4. →データ収集のためにGoogle がお使いのブラウザに cookie を設定したり、既存のcookieを読み取ったりする場合があります

以上に加え、cookieの使用についてはユーザーから承諾を得なければなりません。

だいぶ具体的になってきました。

日本電産コーポレートサイトのプライバシーポリシーに学ぶ

GAPP03

ここまで勉強してきたことを踏まえ、今度は大手企業のコーポレートサイトでどのようにGoogleアナリティクスに関する記述がされているのかを振り返ってみました。リサーチした企業の中で、特に参考になるのが日本電産さんのコーポレートサイトです。

日本電産さんのプライバシーポリシーページの中から、該当箇所を引用させていただこうと思います。

また、本サイトにおいてはサービス向上のためGoogle, Inc.のGoogle Analyticsを利用してサイトの計測を行っております。これに付随して生成されるテキストファイル「Cookie」を通じて分析を行うことがありますが、この際、IPアドレス等のユーザ様情報の一部が、Google, Inc.に収集される可能性があります。サイト利用状況の分析、サイト運営者へのレポートの作成、その他のサービスの提供目的に限りこれを使用します。利用者は、本サイトを利用することで、上記方法および目的においてGoogleが行うこうしたデータ処理につき許可を与えたものとみなします。
※なお、「Cookie」は、ユーザー側のブラウザ操作により拒否することも可能です。ただしその際、本サイトの機能が一部利用できなくなる可能性があります。

引用:プライバシーポリシー | 日本電産株式会社 – Nidec Corporation

  • 「本サイトにおいてはサービス向上のためGoogle, Inc.のGoogle Analyticsを利用してサイトの計測を行っております。」の部分で、Googleアナリティクス使用について言及。
  • 「これに付随して生成されるテキストファイル「Cookie」を通じて分析を行うことがありますが、」の部分でcookieの使用について言及。
  • 「この際、IPアドレス等のユーザ様情報の一部が、Google, Inc.に収集される可能性があります。」の部分で、特定の情報がブラウザからGoogleに送信されることに言及。
  • 「利用者は、本サイトを利用することで、上記方法および目的においてGoogleが行うこうしたデータ処理につき許可を与えたものとみなします。」の部分で、cookie使用の承諾を得ています

全て条件を満たしていますね。参考になります!

その他、企業のプライバシーポリシー記述の参考になる箇所まとめ

さらに、他の企業サイトのプライバシーポリシーも眺めていて、これはいいなと思った記述を引用してまとめます。

情報の利用方法について

これは、お客様が当社の開設しているウェブサイトを再訪問されたときに役立つ情報を記憶し、ウェブサイトを最適な状態で利用していただくためにのみ使用いたします。

引用:三菱電機 個人情報保護について

第三者のデータ利用について

弊社は、本ホームページ上における、一部の情報やサービスの提供にあたり、広告配信業務を委託している第三者企業に対して、本ホームページのアクセス情報を提供することがありますが、提供するアクセス情報に個人を識別する情報は含まれません。

引用:キヤノン:キヤノンマーケティングジャパン株式会社 個人情報の取り扱いについて

cookieとは何かの説明

※クッキーとはサイトがお客さまのパソコン等のブラウザに情報を保存し、あとで取り出すことができる技術のひとつです。ただし、当サイトで設定するクッキーにはお客さまの個人情報(氏名、生年月日、電話番号、メールアドレス、住所、口座番号等の情報)は含まれていませんのでご安心ください。

引用:JR東日本ウェブサイトのご利用にあたって:JR東日本

cookieの受け取りを拒否する方法の説明

お客様は、お使いのブラウザの設定により、クッキーを受け取ったときに通知を表示したり、受け取りを拒否することができますが、拒否された場合、一部のコンテンツを利用できない場合がありますので、あらかじめご了承ください。設定方法はブラウザによって異なりますので、お使いのブラウザのヘルプなどをご覧ください。

引用:任天堂ホームページについて|Nintendo

Google社のサービス利用規約とプライバシーポリシーについて

また、Google社によるアクセス情報の収集方法および利用方法については、Google Analyticsサービス利用規約およびGoogle社プライバシーポリシーによって定められています。

引用:任天堂ホームページについて|Nintendo

実は調査を進めてわかったことですが、多くのGoogleアナリティクスを利用している企業サイトにおいて「Googleアナリティクスを使用しています」という記述が不足していました。逆に、cookieを利用していることについてはほとんどのサイトにおいて記述されていました。

このあたりは古くからの慣習で記載されている部分もあるかと思うので、今一度自社のサイトや自分が運営するサイトのプライバシーポリシーについて見直してみるといいかと思います。

cookieの使用承諾について

最後に、いろいろ調べてみたもののまだ不明だった点を整理します。今回リサーチした多くのサイトにおいて、cookieの使用承諾に関して次のような記述が見られました。

「ユーザーは、本サイトを利用することでcookieの使用に許可を与えたものとみなします。」

つまり、Googleやサイト管理者のcookie使用についてユーザーは、サイトを利用することで自動的に認めたこととみなされるのです。

これを、ひとつの承諾の取り方として自分はアリだと考えました。

一方で特にヨーロッパのウェブサイトでは、サイトの初回利用時に必ずポップアップが表示され、cookie使用の許可を求められるサイトも少なくありません。

GAPP05

例えばこれは、コペンハーゲン大学のウェブサイト。初回訪問時には上部に通知が出て「ACCEPT COOKIES」をクリックするまでどのページに遷移してもこの通知が表示され続けます。

GAPP06

こちらはノルウェー政府のウェブサイト。こちらもサイトの下部に通知が出て「cookieの使用を許可した場合だけ、このサイトを利用できます」と記載されています。

GAPP07

こちらはスウェーデンの郵便局のウェブサイト。こちらにも左下にバッチリcookie使用許可のための通知が出ています。

もう一度振り返ると、Googleの規約でcookieの使用承諾に関しては「訪問者に明確かつ十分な情報を確実に提供し同意を得るための商業上合理的な努力を行う」と記載されています。この「商業上合理的な努力」として、プライバシーポリシーページ内での「このサイトのユーザーは自動的にcookie利用を認めたことになるよ」という宣言が不十分だと感じる方は、例に挙げた3つのサイトのようにトップページにポップアップを表示する機能を追加するのがよいでしょう。

この点は元々の規約が非常に曖昧な記述かつ、自分は法律の専門家ではないということもあるため、どこまで許可を取る努力をしなくてはならないのか、判断ができませんでした。もしこの記事を読んだ方の中で詳しい方がいらっしゃれば、お知らせいただけると嬉しいです。

ここまで、非常に長い文章になりましたが、自分自身少し不安に感じていた内容だったのでしっかりと確認することができてよかったです。

まとめ

最後に、確認してきたことを元にし、当サイトの「ABOUT THIS SITE」ページ内にあるプライバシーポリシーに関する記述を、下記のように修正してみました。

GAPP04

だいぶ良くなった気がします。満足です。

なお、本記事の内容はあくまでGoogleアナリティクスの規約から判断できる範囲のことを調べてまとめたものとお考えください。もしかしたら法律的には見解が違うといったことがないとは言えません。もし本記事の内容に誤りがある場合、ご意見をいただけますと幸いです。

それでは長い記事に最後までお付き合いいただき、ありがとうございました。

参考:
Google アナリティクスによるウェブサイトでの Cookie の使用 – Google アナリティクス — Google Developers
ユーザーが Google パートナーのサイトやアプリを使用する際の Google によるデータ使用 – ポリシーと規約 – Google
時価総額上位ランキング :ランキング :マーケット :日本経済新聞