一般データ保護規則(GDPR)の件について、改めて考えてみた。
Publish2018/04/23(月)
今回はGoogleより先日発表された、一般データ保護規則(GDPR)に伴うデータ保持期限の変更について、改めて考えたことを書こうかと思います。
今回の目次は、
- GoogleAnalyticsのデータ保持期限のポリシーが変更された。
- 変更の案内を受けて、色々な人が案内を出したけど…
- 自分も反省。情報をきちんと考えてから言葉を出そう
- これってこんな可能性もあるんじゃね?という話
- 今後の個人情報を取り巻く環境はきっともっと厳しくなっていくだろうなという話
といった感じです。
なお、今回の記事にはGoogleAnalyticsの設定方法や、実務的にこういう変更をするとか、そういう情報は含まれておりません。
GoogleAnalyticsのデータ保持期限のポリシーが変更された。
まず、事の発端はGoogleAnalyticsのデータの保持期限のポリシーが変更され、2018年5月25日からは標準設定が現在の無期限から26ヶ月になるということがきっかけでした。
データの保持
この変更を聞いて最初に思ったのが、「これって設定変更しないと過去データが消えるってことなんじゃ?」ということ。
GoogleAnalyticsのデータは、サイトの運営には欠かせない判断材料で、このデータを分析したりすることでサイトの方向性を決めたりする非常に重要な情報です。
このデータが過去分無くなるとしたら、非常に深刻な問題です。
ということを真っ先に考えまして、FacebookやTwitterなどで色々な人の意見を見てみました。
変更の案内を受けて、色々な人が案内を出したけど…
僕のSNSの属性としては、基本的に同業者の人が多い傾向があるので、やはり色々な人が「これは大変だ、早く設定変更などの対策をしなければ」というスタンスでリアクションをしていました。
これについては僕の第一印象もそうだったので、「とりあえず5/25までに設定を変更しておく必要があるな」ということで、僕のサイトやお客さんのサイトのアカウント設定を変更しました。
そして、ドヤ顔でこんな感じに対応を報告しました。
この告知を行った後で、ふと知り合いのコンチさんも記事を書いていることを知り記事を読んでみると、他の人とは少し違う視点での記事でした。
「一般データ保護規則(GDPR)対策によるGoogleAnalyticsのデータ保持期間を変更するリスク」
この記事を読んで、「あれ?もしかして自分は少し先走ってるんじゃね?」と思ったわけです。
なので、気になって調べてみると、コンチさんの記事にもあるように、
- そもそもトラッキングデータ全てに対して適用させる変更ではない
- あくまで個人情報にかかる部分に対してのデータ保持期限の設定である
- この変更はEUで開始される、一般データ保護規則(GDPR)に対してのGoogleとしての見解の一つ
- 変更すること自体がリスクと考えることもある
ということがあるわけです。
この記事を読んで、自分のリアクションは「やっちまったな」感があることを認識し、とても恥ずかしい気持ちになりました。
そこから色々情報を確認し、達した結論としては「Googleの初期設定に準じているという選択が無難ではないか」という結論に至りました。
状況が変われば考えも変わるかもしれませんが、今の自分の考え方としてはそう思っています。
自分も反省。情報をきちんと考えてから言葉を出そう
今回の騒動で改めて思ったことは、以前から人に偉そうに「情報はきちんと確認してから正しい情報を出そう」とか言ってた割に、全然自分ができていない口だけ野郎だったという絶望感です。
こういう姿勢って非常によくないですね。
情報をしっかり把握した上で、それでも「設定は変更するべきだ」という確固とした意志があるのであればともかく、今回はめちゃくちゃ人の言葉を確かめもせず、脊髄反射でリアクションしたというのがお笑いポイントです。
今回の情報は、読むば読むほど内容的には解釈の問題や個人情報とはどういうものかという定義の問題まで考える必要のある非常にデリケートな問題で、脊髄反射でリアクションできるような内容ではなかったわけです。
にもかかわらず、恥ずかしげもなくドヤ顔で報告しているというのが、全くもって情けない話です。
今回のことで、最近の自分は全くダメだったということに改めて気付いたので、今後はもっときちんと自分の中で咀嚼してから発信するようにしようかなと思います。
脊髄反射でリアクションしたい場合は、あくまでこういう事実があるという確定情報のみにして自分の主観は入れないようにするとかであればまだいいのかもしれません。
これってこんな可能性もあるんじゃね?という話
そんな感じでいろいろなことを思いながら、長いドキュメントを読んでいくと面白い項目がありました。
「EU 一般データ保護規則(GDPR)」に関わる実務ハンドブック(入門編)のP32にある「Q24:「名刺」記載の個人データ」の項目です。
内容としては、海外の見本市などで取得した名刺に記載された個人情報はどう取り扱うべきかという内容で、これはこれで非常に面白い視点ですが、僕が思ったのはGDPRによって「名刺交換したからといって、勝手にメルマガに登録するスパム野郎に罰則が適用されたらマジで面白いな」ということ。
以前から何度か書いている気もしますが、交流会などで名刺交換をした際、こちらの同意なく勝手にメルマガのリストに追加し、望んでもいないのにメルマガが送られてくるケースというのは結構な確率であるんです。
この件については、一言で言えば「スパム野郎は滅べばいい」ということに尽きますが、現在日本ではそれに対する罰則というのはないように思います。
あったとしても法的拘束力の弱いものであったりするのではないのかなと思います。
しかし、今回のGDPRは、違反しているものに対して高額な罰則を適用してくるようなので、スパム野郎が誤ってEUに在住している人のメールアドレスをGDPRの規約に抵触する形で使用し、がっちりと制裁を受ける事例というのも発生するように思います。
一概に罰則があれば違反する者がいなくなるということもないかと思いますが、これを契機にスパム野郎がこの世界から駆逐されるのであれば願ったり叶ったりです。
今後の個人情報を取り巻く環境はきっともっと厳しくなっていくだろうなという話
最後に、今回こういう形ではありますが、GDPRの件をきちんと確認して、世界はどんどん個人情報に対する取り扱いが厳格化していってるなと考えさせられました。
普通に考えれば、まあそりゃそうかと思いますが、世界的にこの流れは主流になっているかと思うので、確実に近い将来日本でも似たようなことが起こるんじゃないのかなと思います。
今回のニュースはあくまでEUでの話が起点ではありますが、日本国内にいても完全に関係がない話ということでもないわけですので、今後も引き続きこういう情報はチェックしておく必要があるなと思いました。
あと、やはり個人でこういう法的解釈の話を考えるのは無理があるなということも改めて感じており、法律の専門家的なAIができて、個別の事例について問題点を指摘するサービスなどがあると嬉しいなとか考えてました。
最後の話は余談ですが、今回改めて考えた情報の咀嚼と情報発信のあり方については、より一層の努力をしていこうと思います。
