ご存知の通り、GoogleAnalyticsにデータ保持の期限が付きました。
ヤバイ！と思っているマーケッターは結構いるのではないでしょうか！？
かくいう私もマーケッター。
お客様の積み上げてきた情報を守らなければなりません！

2018年5月25日までに期限設定の変更を行いましょう！

でも安易に「自動的に期限切れにならない」にして本当に大丈夫！？

一般データ保護規則（GDPR）の関係でもしかしたら「24億円」の罰則がかかってしまうかも！？（1ユーロ＝120円換算）

この件での重要Pointは
・Analyticsに今までなかったデータ保持への期限が付いた事
・EUユーザーの同意ポリシーの更新
・欧州経済領域
・EU一般保護規則（GDPR）

Web上では「自動的に期限切れにならない」設定を行えば大丈夫！！
のような情報ばかりが安易に出ていていますね。
これは危ない事になりそうです！
なぜこの変更が行われたのか、一度考えてみましょう！
場合によってはGDPR（一般データ保護規則）の関係で多額の罰則金が課せられてしまうかもしれません！
しかもPマークではカバーしきれない程GDPRの基準は厳しいものとなっています！
恐いです！！
GDPRがどんなものなのか、今後のためにもよく見ておきましょう。

EU一般保護規則（GDPR）の概要と企業がすべき対応
https://www.eyjapan.jp/library/issue/info-sensor/2017-02-05.html

◆データ処理に関するアナリティクスヘルプはコチラ◆
https://support.google.com/analytics/answer/3379636?hl=ja

Googleからのサービス変更情報

Googleからのメール転載

◆一部抜粋◆
Googleは本日、詳細な管理が可能なデータ保持設定を導入し、
googleのサーバーに保存されているユーザーデータとイベントデータの保持期間を、
お客様ご自身で管理していただけるようにいたしました。
2018年5月25日より、ユーザーデータとイベントデータはこの設定に即して保持されるようになり、
ご支持の保存期間を過ぎたデータはGoogleアナリティクスによって自動的に削除されます。

自動の設定では26ヶ月、2年間までデータが保持されます。

■設定出来る期間は
1 ）14ヶ月（1年2ヶ月）
2 ）26ヶ月（2年）
3 ）38ヶ月（3年）
4 ）50ヶ月（4年）
5 ）自動的に期限切れにならない（無期限）

「自動的に期限切れにならない。」
にすればいいと思いますよね。
でもそれ、ほんとうに大丈夫ですか？

何故この変更が行われたのか、それは個人情報の取扱いに対し世界基準がより厳正なものになっているからだと言えると思います。
Googleの契約内容説明を見ていきましょう。
契約とユーザーの同意に関する更新内容

「EUユーザーの同意ポリシー」は現在更新中
上記Googleから来ていたメールの内容に上記の記述があり、リンクが貼られていたのでクリックしてみました。

英文でわかりませんでした…（；▽；）

なのでGoogle翻訳で変換しましたところ、こんな文面になりました！

Googleとの契約でこのポリシーが組み込まれている場合、またはこのポリシーを組み込んだGoogleサービスをご利用の場合は、欧州経済地域のエンドユーザーに特定の開示を行い、同意を得ていることを確認する必要があります。このポリシーを遵守しなかった場合、Googleはお客様のGoogleサービスの使用を制限または中止したり、契約を解除したりすることがあります。

（※　本来はもっと長文なので気になる方は最下部を御覧ください。全文記載してます。）

「欧州経済地域のエンドユーザーに特定の開示を行い、同意を得ていることを確認する必要があります。」
欧州経済領域の話しだから無関係でしょ。
とお思いではないですか？

「欧州経済地域のエンドユーザー」とは！
欧州経済領域に取引のある企業は十分に注意を払わなければいけません。

EU　ユーザーの同意ポリシー
「GDPR」EU一般データ保護規則（General Data protection Regulation)は、欧州連合（EU）における新しい個人情報保護の枠組みであり、
個人データの処理と移転に関するルールを定めた規則です。
https://www.eyjapan.jp/library/issue/info-sensor/pdf/info-sensor-2017-02-05.pdf

GDPRの内容の中に以下の文言があります。

「処理を行う目的の達成に必要な期間を超えて個人データを保持し続けてはならない」

ここはEUじゃないし、日本は関係ない、とお思いではないですか？
この件は決して知らなかったでは済まないものになるんです！！

EUに無関係じゃない企業とは,

01)EUに子会社、支店、営業所を有している企業
02)日本からEUに商品やサービスを提供している企業
（※ココには通販や旅行関連会社、決済システム等もこちらに当てはまります。）
03)EUから個人データ処理について委託を受けている企業<

先にも書きましたが上記に当てはまる企業は十分な注意が必要です、
GDPRは適用対象となる企業に対し様々な義務を課すとともに、違反した場合には多額の制裁金（2000万ユーロ）を課す事とともに、
違反した場合には多額の制裁金を課すことでルールの遵守を厳格に働きかけています。

個人情報保護法は日本でもありますが、それを取り扱う保護レベルとしては日本はいまだ欧州委員会による十分な認定を受けるに至っておりません。
日本企業が事業活動に積極的にグローバル展開していく中で、個人データをEUとの間で円滑に流通させるためには、各企業がGDPRに沿った対応について自主的に取り組む必要があります。

「処理を行う目的の達成に必要な期間を超えて個人データを保持し続けてはならない」
GDPRの個人情報に関して、Cookieでの計測、Analytics利用者なら知っているセッションIDなんかも個人情報の定義の対象となっている。
ということになります。

Cookieでの計測やセッションID、IPアドレスなども個人に繋がる情報としてEUでは取り扱われているんですね！

「処理を行う目的の達成に必要な期間を超えて個人データを保持し続けてはならない」
と言うのはやはりCookieでの計測やセッションID、IPアドレスでのデータ蓄積が該当する可能性が高い、と言う認識で今後のデータ計測を行っていく事が重要になっていくと考えてよさそうです！

でもよく考えてみるとAnalyticsのデータで参照する期間って、基本的に「現在」と「前年」が主ではないですか？
いままでマーケッターの業務をこなしてきて5年前のAnalyticsデータを参照したことって無い気がします！
多くて2～3年前。
基本的なセッションとかの情報ならPDFに落とすことも可能ですし、カスタムレポートで必要最低限欲しい情報を取得しておくことも可能ですよね！
そう考えるとAnalyticsのデータを無期限で保持しておく必要もないかもしれません。

結局日本も個人データ保護法についてGDPRの基準に合わせる方向になっていくものと推測できるのではないでしょうか。
Pマークついているから大丈夫な時代ではなくなりそうです！
昨今のフェイスブックの個人情報の件もあり、更に厳格なものへと変更されていく事でしょう。

GDPRの基準を一度考慮してみる事と、
GoogleAnalyticsのデータ保持期限について本当に自社が大丈夫なのか、一度確認してみてください。
でないと多額の罰則金をかけられてしまう可能性がありますよ！

◆「最後にEUユーザーの同意ポリシー」についての翻訳を記載します。◆

注：このページのテキストは、2018年5月25日にEUの既存のユーザー同意ポリシーに代わるものです。

Googleとの契約でこのポリシーが組み込まれている場合、またはこのポリシーを組み込んだGoogleサービスをご利用の場合は、欧州経済地域のエンドユーザーに特定の開示を行い、同意を得ていることを確認する必要があります。このポリシーを遵守しなかった場合、Googleはお客様のGoogleサービスの使用を制限または中止したり、契約を解除したりすることがあります。

あなたのコントロール下のプロパティ
お客様の支配下にあるサイト、アプリまたはその他の財産、または関連会社またはお客様のサイトで使用されているGoogleサービスの場合、欧州経済地域のエンドユーザーには以下の義務が適用されます。

エンドユーザーの法的に有効な承諾を得る必要があります。

法的に要求されている場所でのクッキーまたはその他のローカルストレージの使用。そして
広告やその他のサービスのパーソナライゼーションのための個人データの収集、共有、および使用。
同意を求めるときは、
エンドユーザーからの同意の記録を保持する。そして
同意を取り消すための明確な指示をエンドユーザーに提供する。
お客様は、Googleサービスの使用の結果として、エンドユーザーの個人情報を収集、受信、または使用する可能性のある各当事者を明確に特定する必要があります。また、エンドユーザーに、エンドユーザーの個人データの使用に関する著名で容易にアクセス可能な情報を提供する必要があります。

第三者のコントロール下のプロパティ
Googleサービスの使用または統合により、第三者財産のエンドユーザーの個人情報がGoogleと共有される場合は、商業的に合理的な努力を行って、第三者財産の運営者が上記の義務を遵守するようにする必要があります。第三者のプロパティは、あなた、あなたのアフィリエイトまたはクライアントの管理下になく、このポリシーを組み込んだGoogle製品をまだ使用していないサイト、アプリなどのプロパティです。