パスワードを忘れた? アカウント作成
15566172 story
プライバシ

フランスのデータ保護当局、Google Analytics が GDPR に違反すると判断 67

ストーリー by headless
違反 部門より
フランスのデータ保護当局 CNIL (情報処理および自由に関する国家委員会) は 10 日、Google Analytics による米国へのデータ転送が EU の一般データ保護規則 (GDPR) に違反するとの判断を示し、フランス国内の Web サイトに対して GDPR を順守するよう命じた (ニュースリリースNOYB のブログ記事The Register の記事)。

Google Analytics では Web サイトのビジター数を測定するため、各ビジターに (個人情報とみなされる) ユニークな識別子を割り当て、関連付けられたデータとともに米国へ送信する。CNIL では米国へのデータ送信を懸念する EU およびその他の欧州経済域計 30 か国における苦情計 101 件を非営利組織 NOYB から受け取っており、各国のデータ保護当局と協力して Google Analytics が収集するデータと米国に送信する条件を調査したという。

EU 司法裁判所 (CJEU) は EU 域から米国へ個人情報を転送する根拠となっていた Privacy Shield を無効と判断した Schrems II 判決にあたり、データの転送が適切に制限されなければ米諜報機関が個人情報にアクセスする可能性を強調している。CNIL では現在のところ米国へのデータ転送が十分に制限されていないとの結論に達し、Google はデータ転送を制限するための追加の基準を導入しているものの、米諜報機関によるアクセス可能性を排除するには十分ではないと判断したとのこと。

そのため、CNIL ではフランスの Web サイト管理者に対し、必要に応じて現在の条件での Google Analytics 機能の使用をとりやめることや、EU 外にデータを転送しないツールに変更することを含め、1 か月以内に GDPR を順守するよう命じた。CNIL は Web サイトのビジター数測定には匿名の統計データのみを生成するツールの使用を推奨しており、ユーザーの合意を得なくても合法的に使用できるツールの判定プログラムも開始しているとのことだ。

Google Analytics に関してはオーストリアのデータ保護機関 (DSB) が GDPR 違反との判断を 1 月に示しており、オランダのデータ保護機関 (AP) も近く国内での使用が禁じられる可能性があると述べている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • German Court Rules Websites Embedding Google Fonts Violates GDPR [thehackernews.com]
    日本語訳(宣伝) [qiita.com]

    Under the European Union's General Data Protection Regulation (GDPR), data points such as IP addresses, advertising IDs, and cookies are counted as personal identifiable information (PII), making it mandatory for businesses to seek users' explicit permission before processing such information.

    EUの一般データ保護規則(GDPR)では、IPアドレス、広告用のID、Cookieのような個人を特定できる情報(PII)について、事業者はこれらの情報を処理する前にユーザの明確な許可を得なければならないと義務付けられています。

    Google Analyticsは分析を目的としているからまだわからないことはないにしても、識別を目的としていないGoogle Fontsにまでアウトって判断が出ました。
    というか文字どおりに受け取ると、該当のサイト以外へのリクエスト、すなわちCDNやソーシャルボタンすら全てアウトってように見えるんですよね。

  • by Anonymous Coward on 2022年02月13日 18時15分 (#4199309)

    Google Analyticsって生IPを閲覧することができないなど意外にもプライバシーに配慮されています。
    まぁGoogleはその生IPを知っているのは問題ですが。

    Google Analyticsが普及する前なんかは広告主が平気でApacheの生ログ要求してきました。
    PVが幾つですってだけじゃ信用できないしどのページにどれだけアクセスがあるのかといった細かな情報が分かりにくいので生ログそのままよこせといってくるわけですね。
    当時は、docomoのガラケーなどCookieが使えない端末もあって、URLに ?PHPSESSIONID=なんちゃら とセッションIDまで含まれていたので、広告主は事実上ログインユーザーの個人情報まで閲覧可能な状態だったわけです。

    Google AnalyticsのおかげでApacheの生ログ要求が当たり前だった慣習が改善されてアナリティクスのアクセス権与えるだけでよくなるなど、セキュリティやプライバシー面で完全された点もあります。

    Google Analyticsが駄目となると、昔のようにhttpdのログ解析することになりそうですけど、今httpdのログ解析ツールってロストテクノロジーになってきてますね。
    BOTと人間のアクセスを見分けることも困難だし、どうするんだろう。CDNが間に挟まると更にめんどくさくなりそう。

    • by Anonymous Coward on 2022年02月13日 19時07分 (#4199331)

      Google Analyticsが駄目となると、昔のようにhttpdのログ解析することになりそう

      なぜ他のツールに切り替えるという方法を無視してこのような極端な結論に至るのかよくわかりませんが、今回の件はGoogle AnalyticsがGDPR違反であるとされただけで、アクセス解析のソフトウェアやサービス全てがGDPR違反とされたわけではないので、世の中に多数存在するGA以外のアクセス解析ソフトウェアに切り替えれば済む話です。

      例えばMatomo [matomo.org]というOSSは各種データ保護規制に対応するための機能が実装されており、欧州議会も使用しているためGDPRへの準拠はお墨付きといえます。
      自前での構築が面倒だという人向けに公式のSaaSもあり、こちらもGDPRに準拠しています。

      これ以外にもアクセス解析ツールは色々あり、各々の要求に応じて選ぶことができます。
      Google Analyticsがアクセス解析のすべてであるというのは全くの誤りで、

      Google Analyticsが駄目となると、昔のようにhttpdのログ解析することになりそう

      というのはFUDに過ぎません。

      親コメント
      • IPアドレスは個人を特定しうるのでごく普通のアクセスログ取ってる時点でアウトに「出来る」らしいけど、
        どこのどんなサービスならどんな解釈を適用されても違反とならないのか、示して欲しいもんだよ。
        記録取る事に対して合意を取っても合意が無効と判断されたりもするから、
        事実上遵守不可能なお題目掲げてEUに取って気に入らない相手に罰金課すだけの規則にしかなってない。

        >欧州議会も使用している
        欧州議会が違反してないなんて誰が保証している?

        親コメント
        • by Anonymous Coward

          欧州議会が違反してない保証が必要ですか?

          • by Anonymous Coward

            保証が必要かどうかはどうでもいいけどあればいいね
            欧州議会も使用しているからといって違反していないとは言えないと言いたいのだろ
            分かれよ
            あれですか、わからないふりして火起こしエンタですか?

      • by Anonymous Coward

        関係ないけど、Matomoって名前なんかむず痒さない?
        名付けの理由読むとなるほどなのだが、それでもなんか違和感
        そうはいっても、海外のプロダクトに日本要素を見かけるのはなんだかんだ嬉しくなるけど

        すべての言語で簡単に発音できます。 覚えておくのに十分短く簡潔にする。 そして、何よりも、Matomoは日本語で正直を意味します。 当社の重要な価値である透明性と一致します。

        • by Anonymous Coward

          形容詞とか訓読み漢字の並びを使われるとこっちは嫌なんだけど
          向こうは名前を考えてから訳すから自然に思うのかもね…

          • by Anonymous Coward

            逆に英語圏の人からすると、例えばmeritとかも多分むず痒い。「功徳」「称賛すべき価値」とかだからちょっと大げさすぎる。

    • まぁGoogleはその生IPを知っているのは問題ですが。

      いや、だから、それがまさに問題とされている点なんですけど…。問題の核心があっさりシカトされててわらた。

      親コメント
    • by Anonymous Coward

      Google Analyticsって別に広告のインプレッション数計測には使われてないんじゃない?

    • by Anonymous Coward

      > URLに ?PHPSESSIONID=なんちゃら とセッションIDまで含まれていたので、広告主は事実上ログインユーザーの個人情報まで閲覧可能な状態だったわけです。

      Apache httpd 1.3まで遡っても、標準的なログ形式は
      * Common Log Format: "%h %l %u %t \"%r\" %>s %b"
      * Combined (NCSA) Log Format: "%h %l %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\""
      なので、いずれもquery string (%q)は含まれないと思いましたが・・

      %qまで含むログを寄越せという話なら、Google関係なく突っぱねるべき案件だったと思われます。

      • by Anonymous Coward

        %r%m %U%q %Hと等価なので query string 含みますよ

      • by Anonymous Coward

        それはWebの仕組みも理解してないのに、Cookieを無効にして自らを危険に晒すアホなユーザーだけ。

    • by Anonymous Coward

      っつかなんで広告業界の主張ありきで語るんだよと。
      オンライン広告なんてもはや行政の手で「健全化」されなければ収拾が付かない社会悪ってレベルなので、
      プライバシー侵害するような個人追跡だとかは一切合切禁止に決まっとるやろ。

      GDPRってあまり難しいことは要求してないぞ。
      単に「ストーカー紛いのことはやるんじゃねぇ」って言ってるに過ぎない。

      • by Anonymous Coward

        大本の理念はそうだし、今の所運用もそれに寄せてるけど、実態としては

        ・個人を特定しうる情報を無断で記録してはいけません。
        (IPアドレスは個人を特定しうるので普通のアクセスログも禁止です)
        ・記録する事に同意を取っても同意が無効と見做される事があります。

        みたいな内容だろ?言うは易しだが実際問題そんな運用は不可能だろ。
        スパム発信元が一個あれば、特定して弾けないのでスパムに溺れてサービス停止。

        • by Anonymous Coward

          (#4199427 [srad.jp])と同じ人かな?
          全く同じ内容を言い方だけ変えてマルチポストするの話が面倒になるから止めてくれないかなぁ

      • by Anonymous Coward

        JRはSuicaで個人追跡できるし、ケータイ会社もGPSとか無しに位置を追跡できて、それを他社に提供してる。それはいいの?
        IPやWeb上の履歴よりよっぽど重要な個人情報だけど。

        それに、オンライン広告が社会悪って言うけど、みんなが大好きなWebサービスを作り上げたのも運営できているのもその広告のおかげ。

        というか、Webページにアクセスしたらクロスサイトでアクセスが発生して、IPが別ドメインにも漏れることなんてHTMLができた時からの仕様で、運用してきた側(国含めて)はそれを把握した上で乗っかって儲けてきたのに、自分

        • by Anonymous Coward

          > JRはSuicaで個人追跡できるし
          他社へ売ろうとした途端大批判されてやめたよね。

          > ケータイ会社も
          利用者の許可なしに他社に提供したら違法だよね。

    • by Anonymous Coward

      洗脳済みw

  • by Anonymous Coward on 2022年02月13日 19時43分 (#4199339)

    もう、欧州と金盾のむこうとそれ以外にインターネット3分割すれば良い。

    • by Anonymous Coward

      くまのぷーさん「天下三分の計」

    • by Anonymous Coward

      日本はアメリカの属国陣営でよい?

      • by Anonymous Coward

        日本も韓国もアメリカの属国であることは事実なんですけど、
        最大の貿易相手は中国ですし、有事に最前線になっちゃいますので、
        イケイケで中国に敵対するのも難しい。
        中国に出資してる人とか、鼻薬効かされてる輩も官民問わず沢山いますし、何とも出来ないですねぇ。

        中国側もその程度は理解しているので、このままグダグダ揉め続けるのが最善なはずですが、
        プーさん狂ったり、軍部が暴発したりするような不確定要素が大きすぎて頭痛が痛いです。

  • 企業や行政のサイトを見るだけで、閲覧データがGoogleに筒抜けになる

    また、クリックしなくてもページ見るだけで、twitterやfacebook、その他の大手SNSサイトに情報が送られるタイプの
    埋め込みスクリプトや埋め込み画像を利用してるところも非常に多い

    サイト閲覧がビッグテックに筒抜けになってる

    サードパーティのスクリプトや画像に対して、ブロックやリファラ偽装をしてる一部のユーザを除いて
    ネット上での行動履歴が筒抜けになる

    • by Anonymous Coward

      最近のiOSはデフォでトラッキングのIP隠すのと広告ブロック効いてるから、筒抜けってわけじゃないんじゃない。
      サイト運営していると、サーバの生ログとGAの数字が合わなすぎる。

    • by Anonymous Coward
      日本の企業や行政は「米国の諜報機関に筒抜けだぞ」と言われても
       ・ははは、映画の観すぎだろ
       ・核の傘には代えられない
       ・覗かれてるの? ハァハァ
      のどれかだからだろ
      • by Anonymous Coward

        「知ってるけど、それが何か?」は2?

        • by Anonymous Coward

          別に諜報機関から刺客送られるとかって話でもないしな。

          むしろ勝手に行動追跡して興味のないことでも「興味がある」とか決めつけて
          うざい広告をしつこくしつこくしつこくしつこくしつこく出してくる連中の方が有害。

  • by Anonymous Coward on 2022年02月13日 20時07分 (#4199348)

    Google Analytics は、ブラウザのプラグインでブロックした上で、
    さらにhostsファイルでもブロックしている

    二重にブロックすることで、どっちかに抜けがあってもアクセスしない

  • by Anonymous Coward on 2022年02月13日 23時26分 (#4199389)

    EU圏|民向けのブラウザでサードパーティブロック必須にすればいいだけ

    その方がよっぽどセキュアになるだろうに

    あからさまな制裁金取る方法考えました状態だよね

    # EU圏弾いてもEU民送り込まれて毟り取られるっていう

    • by Anonymous Coward

      今の問題は CDN ですら GDPR 違反だって話。 image がロードされる前にサードパーティブロックする。origin からデータ取得なんてCDNのメリットの大半が失われてしまう。

      • by Anonymous Coward

        世界からCDNをなくしたらどれくらい二酸化炭素放出量が増えるのか、ちょっと気になる。
        同じデータを別に管理して配布するんだから、多少は増えるはずだよね。

  • by Anonymous Coward on 2022年02月14日 12時50分 (#4199552)

    ASEANあたりと組めばいけるっしょ
    ヨーロッパ様が賠償金を取り尽くす前に急げ!

    • by Anonymous Coward

      あからさまにIT企業を潰しにかかると、民主国家の進歩が鈍化してる間に共産圏が追い抜いて、もっとひどい世界になるかもよ?

      IT企業だって慈善事業じゃないんだから、ある程度の報酬を得る権利はあるでしょ。それを後出しで、議論もせずに一方的に、あれもの無しこれも無しっていうのは、流石にかわいそうだし今後の技術革新の妨げになりうる。Winnyみたいに。

      • by Anonymous Coward

        そりゃ程度問題ってやつで、今の状態がいいわけじゃないよね。
        WebサーフィンしてればGAでGoogleに個人情報を取られ放題。
        日本国外へ情報の移転をやり放題。

        だいたい、どこがあれもなしこれもなしなの?
        広告屋に必要な「技術革新」とやらはプライバシーを尊重しながらやればいいだけの話だよ。
        現状は明らかに手を抜いてるとしか言いようがない。
        後出しと言ってるけど、権利意識の高まりとそれに反するような行動がひどくなってきたから規制されるようになったという経緯を見てね。

      • by Anonymous Coward

        その慈善事業じゃないIT企業は暴利の領域に到達してるけどね。
        既成事実を次々作って「これがビジネスだ」とか超理論でまくし立ててるだけ。

        個人情報を売って商売するとか30年くらい前に公言したら袋叩きだぞ。
        名簿屋が問題になった頃だし、結果的に個人情報保護法成立で違法化されたし。

        • by Anonymous Coward

          それは、あなたの感想ですよね

          日本の個人情報保護法ではオンラインの識別子(IP、クッキーなど)は個人情報に該当しないですよ

          • by Anonymous Coward

            日本の個人情報保護法ではオンラインの識別子(IP、クッキーなど)は個人情報に該当しないですよ

            この4月から、一度でも特定の個人と紐づけたら、その後は(総体として)個人情報として取り扱う必要が生じます。
            GDPRに比べればワンクッションありますが。

            根拠はこことか 個人情報の保護に関する法律についてのガイドライン(通則編) [ppc.go.jp]

            • by Anonymous Coward

              正直、日本政府としてはアフィ広告は消費者保護より暴対法絡みで潰したいと思ってるだろうしなー
              潰したところで世論は味方になるだろうって計算も込みで。

      • by Anonymous Coward

        阿漕な商売している悪徳企業を懲らしめているだけだぞ

    • by Anonymous Coward

      名称はpgr(^Д^)9mでいかがか

    • by Anonymous Coward

      ヨーロッパ様が賠償金を取り尽くす前に急げ!

      アナルティクスでケツの毛羽まで抜かれる前に!

typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...