GA4(Google アナリティクス 4)とは何か。GDPRへは準拠?Cookieの同意は不要?
Google アナリティクス 4(GA4)とは、Google アナリティクスの最新版で、第四世代のGoogleアナリティクスという意味から名付けられました。従来のGoogle アナリティクスはUA(ユニバーサルアナリティクス)と呼ばれており、UAのサポートは2023年7月に終了します。
Google アナリティクス 4(GA4)の導入の背景にはGDPRへの対応やサードパーティーCookieの利用を廃止する潮流などがあります。さらには機会学習の進化、ユーザーとの接点の多様化も挙げられます。この記事では、GDPRなどのプライバシー保護の観点からGAの進化と導入に関して考えます。
世界で最も厳しいGDPRへのGA4の対応
GDPR(General Data Protection Regulation: EU一般データ保護規則)とは、欧州経済領域(EEA)における個人情報の取り扱いについて定めた法律で、世界で先駆けた、最も厳しいプライバシー法とも言われています。
Google は 、GA4 を GDPR に準拠できるように実装を行っていました。(しかしながら、完全に準拠しているか言えば、個別に考える必要があります。)
主にGDPR に準拠するため、課題があった下記の項目に対して、新しい機能が追加されました。
データ削除
IPの匿名化
データの保存期間
それぞれを見てみましょう。
GA4ではIP を匿名化
GDPR では、IP アドレスは個人を特定できる情報であり、個人データとみなされます。同意がない限り、IP アドレスを含むあらゆる情報を収集、保存、処理することはできないと規定されました。GDPR以外にもCCPA、LGPDなど、個人データを収集するためにユーザーの同意を得る必要がある法律もあります。
従来Google アナリティクスのように、ユーザーの IP をユーザーの同意なしに追跡することは、GDPR の規則に該当しました。そのため、ユーザーデータの収集を停止するか、同意を得る必要があり、さらに収集を停止する場合はIPを匿名化する必要がありました。
匿名化とは下記のようにIP アドレスの 4 番目の数字の文字列を0にすることです。
12.214.31.144→12.214.31.0
マーケティング担当者は、Google タグ マネージャー (GTM) を使用して GDPR 準拠のために IP アドレスを匿名化したり、トラッキング コードに関数を追加したりして対策を講じてきました。
Google アナリティクス 4 プロパティでは IP 匿名化は自動的に有効になり、無効化できません。
また、下記のようにプライバシーを中核に設計し、IPアドレスも保存されなくなると発表しています。
Google アナリティクス 4 は、お客様とそのユーザーの両方により良いエクスペリエンスを提供するためにプライバシーを中核に設計されています。データの収集と使用をより包括的かつ詳細に制御することで、企業が進化するニーズとユーザーの期待に応えるのに役立ちます。重要なのは、Google Analytics 4 では IP アドレスも保存されなくなることです。これらのソリューションと制御は、今日の国際的なデータ プライバシー環境において特に必要です。ユーザーは、より多くのプライバシー保護とデータの制御を期待するようになっています。
イベントデータの保持
GDPR ルールの 1 つは、ユーザーの情報を必要以上に保存しないことです。
GA4 ではユーザーレベルのデータ保持期間を設定できます。2か月と14か月の2つのオプションがあります。
2ヶ月(デフォルト)
14ヶ月
GA4 プロパティを作成すると、デフォルトでは 2 か月になります。他のすべてのイベント データについては、保持期間を次のように設定できます。
データ保持設定は、探索とファネル レポートにのみ影響します。
2ヶ月
14ヶ月
26 か月 (360 のみ)
38 か月 (360 のみ)
50か月(360のみ)
EU データは EU 内で収集
Google アナリティクス 4 は、トラフィックをアナリティクス サーバーに転送して処理する前に、EU のデバイスから(IP 地域検索に基づいて)ドメインおよび EU に拠点を置くサーバーからすべてのデータを収集します。
さらに、Analytics は、EU ドメインおよびサーバー経由でデータを記録する前に、EU ユーザーから収集した IP アドレスを削除します。
GA4は次のコントロールを提供します。
リージョンごとに Google シグナル データの収集を無効にする
地域ごとに詳細な位置情報とデバイス データの収集を無効にする
データ削除リクエスト
Google Analytics 4 には「データ削除リクエスト」と呼ばれる優れた機能があります。GDPR またはその他の規制に従って収集されていないほぼすべてのデータの削除をリクエストできます。
Cookie のない将来に向けたGA4の機能
さらに、昨今、サードパティCookieの規制が進んでいます。 従来、企業が Google、Facebook などのサードパーティによって開発された製品を使用すると、ユーザーのスマホやPCにサードパーティ Cookieが設定されました。 ただし、サードパーティ Cookie は廃止される方向に向かっています。すでに、Mozilla Firefox、Safari、Brave などの一部のブラウザは、デフォルトでサードパーティ Cookieをすでにブロックしています。Google は、少し遅れて2024 年にサードパーティ Cookieもブロックすると発表しました。
Google は、Cookie のない将来に向けて、データ プライバシーに重点を置いたGoogle アナリティクス 4 (GA4) を導入し、Cookieを使わない代替手段を提供しました。
GA4は、ユーザーに関するデータを収集する方法は下記の4通りになります。
デバイスID
Googleシグナル
ユーザーID
モデリング
ユーザー ID も Google シグナルも利用できない場合、Analytics はデバイス ID を使用します。デバイス ID も利用できない場合、GA4 はモデリングを使用します。
また下記の3種類の識別子を組み合わせることにより、ユーザーを識別するような仕組みを取り入れています。(これらの仕組みがプライパシー的にどうであるのかは個別に判断していくことが良いでしょう。)
デバイスID
Googleシグナル
ユーザーID
従来と同様にGoogle アナリティクス 4 はユーザーのブラウザに Cookie を残します。これらの Cookie は、GDPRの厳格なデータ処理要件の対象となります。それぞれの識別子について紹介します。
デバイスIDとは
Web サイトまたはモバイル アプリ ユーザーを表す、ブラウザ ベースまたはモバイル アプリ ベースの一意の仮名の識別子。
Web サイトでは、デバイス ID は 、ファーストパーティCookie に格納されるクライアント ID プロパティから値を取得します。iOS または Firebase アプリでは、デバイス ID は、アプリの一意のインストールを識別するアプリインスタンス ID から値を取得します。
訪問者が Cookie をクリアするか、別のデバイスの使用を開始すると、それは新しいデバイスとして扱われます。
Googleシグナルとは
Google アカウントを使用し、広告のパーソナライズを有効にしているユーザーから得られるデータを使用します。Google シグナルは、広告のカスタマイズを有効にしているユーザーのみが使用できることに注意することが重要です。
Google シグナルは、ファーストパーティ Cookie から取得した集約および匿名化されたユーザー データを使用するため、プライバシー法に準拠していると言うこともできます。サードパーティ Cookieに対する Google シグナルのメリットは、集約データを使用するため、個人データが匿名化され、サードパーティによって処理されることがないということになります。
Google シグナルは、Google アカウントにサインインし、広告のパーソナライゼーションを有効にしているユーザーと Google が関連付けたサイトやアプリからのセッション データです。これらのログイン ユーザーとのデータの関連付けは、クロスデバイス レポート、クロスデバイス リマーケティング、クロスデバイス コンバージョンの広告へのエクスポートを可能にするために使用されます。
広告のパーソナライゼーションが有効になっている場合、クロスデバイス追跡が可能になります。Google は、複数のブラウザや複数のデバイスからオンライン製品やサービスを操作するユーザーの全体的なビューを作成できます。Google アナリティクス 4 (GA4) オーディエンスを使用してGoogle 広告でリマーケティング キャンペーンを設定する場合は、GA4 で Google シグナルを有効にする必要があります。
Googleシグナルの活用には、オーディエンスの作成、追加のユーザー分析、クロスデバイス レポートが可能になりますが、コンプライアンスのリスクとビジネス上のメリットを比較検討する必要があります。
Googleシグナルの活用の注意ポイント
Google シグナルは、個々のユーザーに関する特定の情報を提供しない集約データを匿名で収集します。Googleは、Google シグナルから収集したデータによって個人が明らかにされないことを保証しています。
Google シグナルを有効にすると、データが収集されることをユーザーに通知するために必要なプライバシーをすべて開示する必要があるという契約を Google と締結することになります。
Googleアナリティクスの広告向け機能を使う場合、EUユーザーの同意ポリシーに従う必要があります。
つまり、GDPRなどのプライバシー法に対しては、Google シグナルを追加し、この機能により個人データが集約されても収集および処理されることを説明する必要があります。Google Analytics、Google シグナル、またはその他の関連する Google Analytics 広告機能を使用していることをユーザーに通知しましょう。
さらにGoogle シグナルはファーストパーティ Cookie を使用することから、利用に際してはCookie ポリシーの必要性を考慮すべきでしょう。
Google シグナルに関する問題の核心は、ユーザーが Web サイトにアクセスしているのと同じブラウザで Google サービス (gmail、Chrome など) にログインしているときに、Google Analytics によって追加のユーザー ID が収集されることにあるようには感じます。
ユーザーIDとは
ユーザーIDを使用するとWebサイトやアプリで一意に識別可能な固有のIDが発行され、1 つ以上のデバイスから開始された 1 つ以上のセッションからのそのユーザーのエンゲージメント データに関連付けることができます。 GDPR に準拠するためには、訪問者がCookie に同意した場合にのみこの機能が有効になるようにしましょう。
GA4への移行、データ保管・活用に関しての実装に関して
IP アドレスの処理方法、サードパーティ Cookie を廃止することが、GA4の大きな前進だったと考えられます。Google は多くの対策を講じて進歩を遂げましたが、Google アナリティクス 4 はGDPR に完全には準拠していません。(Google は GA4 の GDPR 準拠を宣言したことはありません。)
まだ判例も出ていないので、リスク軽減戦略を実装してコントロールを確立し、プライバシー中心の未来に向けて可能な限り強力な基盤を築きましょう。
特にユーザーIDは、Web サイト自体が特定のデータを収集して、クロスプラットフォームのユーザーを識別します。このデータに基づいて、Web サイトは一意の ID を生成し、Google に提供します。次に、Google は提供された一意の ID ごとにユーザー ID を生成し、デバイス間でパラメータを追跡します。さらに、ユーザーが Web サイトにアクセスしているのと同じブラウザで Google サービス (gmail、Chrome など) にログインしているときに、Google Analytics によって追加のユーザー ID が収集されるという問題点があります。
Web サイト訪問者の行動の収集と使用に関して、Google Analytics で有効にした設定に対して、プライバシー ポリシーが合致している、もしくは最新であることを確認しましょう。
GDPR 規制が施行されている国が会社のビジネスにとって重要ではない場合は、特定の国からの訪問者からのデータ収集をブロックまたは除外することを一つの方策でしょう。
Cookie 管理ツールを使用して、Web サイト訪問者に Cookie を拒否するか受け入れるかを選択できるようにしましょう。
GA4 の実装は、Webサイトのパフォーマンス把握と向上、さらにはデータを活用したマーケティング活動にとって非常に重要です。こ Cookieレスマーケティングの加速が予想され、データの保管、データ活用、プライバシー保護といった3つの観点から実装していく必要があるでしょう。
まずは利用規約やプライバシーポリシーを中心に据えて設計することで、テクノロジーとマーケティングが融合し噛み合った事業展開ができるのではないかと思います。
これらに関して、お手伝いできることがありましたら、お問合せください。