兵庫県警がウェブサイトからGoogle Analyticsのトラッキングコードを削除したという話を聞き「ん?Google Analytics使うのってそんなにセンシティブなの?」と気になり、少し調べてみたので、さらっとまとめます。結論からいうと自分の認識は相当甘かったです。
Google Analyticsを使用していることの開示が必須っぽい
Google アナリティクスを使用していること、および Google アナリティクスでデータが収集、処理される仕組みについても必ず開示するものとします。
Google アナリティクス利用規約の「7.プライバシー」をみると、このように書かれています。"必ず開示する"ことと書かれているので、Google Analyticsを使用していることをサイトできちんと明示しないと、利用規約違反になってしまうということかと思います。
プライバシーポリシーの公開も必須っぽい
お客様は適切なプライバシー ポリシーを用意および遵守し、訪問者からの情報を収集するうえで、適用されるすべての法律、ポリシー、規制を遵守するものとします。お客様はプライバシー ポリシーを公開し、そのプライバシー ポリシーで、お客様がデータ収集のために Cookie を使用していることを必ず通知するものとします。
同じく「7.プライバシー」には、このようにも書かれています。こちらもプライバシーポリシーの用意・公開、Cookieを使っていることの通知を必須としているので、これを行わないと利用規約違反となるということでしょう。
Cookieを使用することの同意は得ないといけないのか?
最近色々なサイトで「Cookieを使うことに同意しますか?」的なポップアップが出てきて「GDPRぇ〜」ぐらいにしか思ってなかったのですが、もしかするとGoogle Analyticsを使用するとき、必ず同意を得なきゃいけないのかなぁとちょっと心配になり、こちらも少し調べてみました。これは結構微妙なところみたいですね。
お客様は訪問者の端末上での Cookie やその他の情報の保存や、そうした情報へのアクセスについて、そうした行為が本サービスに関連して発生する場合、およびかかる行為に関する情報の提供と訪問者からの同意が法律で求められている場合は、訪問者に明確かつ包括的な情報を提供し、同意を得るように商業上合理的な努力を払うものとします。
Google Analyticsの利用規約だと上記の部分が該当するかと思いますが、ここで大事になってくるのが「かかる行為に関する情報の提供と訪問者からの同意が法律で求められている場合」というところかと思います。
下記のOracleの記事を読む限りでは、日本(人?)へのサービス提供のみ行なっている限りは「今のところは必ずしも同意を得る必要はない」といってもいいのかなぁ*1、と思えるのですが、大学図書館のウェブサイトって普通に欧州からもアクセスがあると思うので、どうなんでしょうね。
今調べた範囲で言えることは、同意を得るに越したことはない、ぐらいでどうでしょう。
ベストプラクティスは?
ざっとググった程度ですが、大手前大学・大手前短期大学図書館さんのサイトのプライバシーポリシーがGoogle Analyticsの使用、Cookieの使用をきちんとうたっていて、きちんと利用規約にかなっているのでは、と思いました。
京都大学図書館機構さんのプライバシーポリシーは、割とよくみる形ですが、大学のプライバシーポリシーに準じて運用と書かれており、大学のほうで詳細な説明が書かれているので、これはこれであり?なのでしょうか。
とこんな感じで、必要な情報は探せばいっぱい出てくるので、さらっとしか書いていませんが、どうもいろいろと気をつけないといけないんだなと認識を改めました。
ここまで書いていて気づきましたが、よく考えるとこのブログでもGoogle Analyticsを使っているので、ちゃんとプライバシーポリシーとか用意しないとですね。近日中にやりたいと思います。
お相手はやわらか図書館学でした。
参考
*1:本当のことはわかりませんよ
