よくある Google アナリティクス の設定の落とし穴
個人情報を収集してしまった!|よくある Google アナリティクス の設定の落とし穴(4回)
Google アナリティクス の設定を自動でチェックする Sunfish
>> Sunfish | GAで効果的なアクセス解析を行うための第1歩を支援
>> よくある Google アナリティクス の設定の落とし穴 記事一覧
警告がきてしまった。ヒット数に原因??
本記事では、Sunfish のリリースから 1 周年を記念して『よくある Google アナリティクス 設定の落とし穴』というテーマで全 5 回にわたってGoogle アナリティクスに関する困った事例をご紹介します。
今回は < 個人情報を収集してしまった! > をテーマに Google アナリティクスの設定の落とし穴をご紹介いたします。
過去に Google アナリティクス のサポートをおこなっている企業の担当者さまから、こんな相談がありました。
質問内容
相談の内容は、Google アナリティクス で個人情報を収集してしまったというものでした。
まず、Google社 は Google アナリティクス 利用規約によって個人情報を厳しく取り扱うことを明示しています。
お客様は、Google が個人情報として使用または認識できる情報を Google に送信したり、第三者によるかかる行為を支援または許可したりしないものとします。
(参照:7. プライバシー|Google アナリティクス利用規約)
ここでいう個人情報とは、下記に記載の参照情報ように個人を特定できる情報です。
いくつか具体例を記載しますが、下記以外にも個人を特定しうる場合には個人情報となります。
< 個人情報 例 >
- 指名
- メールアドレス
- 支払情報
- 携帯電話番号
- 社会保険番号
「個人情報」とは、ユーザーから Google に提供される個人を特定できる情報です。具体的には、氏名、メールアドレス、お支払いに関する情報の他、個人情報として Google が関連付けることのできるデータ(Google アカウントと関連付けている情報など)を指します。
なお、Google アナリティクス で個人情報を収集した場合は、Google アナリティクス のデータから個人情報のみを抜き出して置換や削除をすることが困難なため、個人情報に紐づくデータをかなり大きな範囲で削除することになります。
本件のご相談のように意図せず収集してしまうことを防ぐためにも、あらかじめ Google アナリティクス の導入のタイミングで個人情報を収集しないよう実装や設計をおこなう必要があります。
調査方法
個人情報は一意の値ではないため、一貫した調査方法がないのが現実です。
上記から、調査する際は個人情報を収集する可能性のあるディメンションにあたりをつけて調査をおこなう必要があります。
例えば、以下のようにユーザー側で変更が可能なディメンションでは個人情報を収集する可能性があります。
- ページパス
- イベント
- キャンペーンに関するディメンション
- サイト内検索
- カスタムディメンション
- User-ID
- など
上記のディメンションを表示したレポートのデータフィルタで検索をかけます。
< メールアドレス有無の確認 例 >
標準レポート>行動>サイト コンテンツ>すべてのページ
メールアドレスに含まれる "@" で検索をおこなう。
個人情報が収集される事例
上記のように、意図せず個人情報を収集してしまう問題のよくあるパターンとして、以下の 3 つがあげられます。
- ページパスにメールアドレスが付与される
- ログイン後のランディングページのパスにユーザーアカウントが付与される
- お問合せで個人情報が URL に記載される
1 つ目の事例は、ユーザーが個人情報をアドレスバーに記載してしまい Google アナリティクス に収集されるというものです。
サイトやサービスを運用する中で、時にユーザーは思いもよらない行動をとります。
本事例ではサービスのログインページでログイン ID とパスワードを記入する際に、アドレスバーにいったんログイン ID とパスワードをメモすることで、ページパスに個人情報が付与されたまま、ページパスを取得することになりました。
アドレスバーをメモ帳代わりに利用するとは予想がつきづらいですが、個人情報はこういったところから漏れるのだと学ぶことが多い事例です。
こういった予想外の出来事を事前に解決する方法はいくつかあります。
1つ目は、ヒットを送信する前にタスク機能を利用することでヒットの内容を書き換える方法です。他には、個人情報を取得してしまうディメンションにあたりをつけて、取得する条件を厳密にするという方法です。どちらも簡単な javascript を記述する能力が必要になります。
< 対処法 >
- ヒットの送信時に個人情報が載ったヒットの内容を書き換える
- 取得するディメンションの値をより厳密に指定する
2 つ目の事例は、別サービスからサイトにユーザーを誘導するタイミングでパラメータに個人情報が付与される仕組みになっているというものです。
WEB サイトやサービスの仕組み全てがアクセス解析をおこなうのに適した環境というわけではありません。時には、アクセス解析をおこなうためにトラッキングコードに複雑なカスタマイズをおこなうことが必要なこともあります。
本事例では、別サービスからサイトにユーザーを誘導する際に、ユーザーの認証情報を渡すために URL にパラメータで情報をわたしていたものが Google アナリティクス に収集されてしまいました。
上記は、サイトにランディングしたタイミングで、最初のヒットとして個人情報を含んだページビューが送信されてしまいます。
こういった場合はヒットが送信される前に個人情報を書き換える必要があります。
対処法はGoogle タグマネジャのタグシーケンス機能を利用して、ページビューが送信する前にページパスを書き換える処理をおこなうことで対処することができます。また、前項で提示した対処法も有効です。
< 対処法 >
- タグシーケンスで個人情報を書き換える
- ヒットの送信時に個人情報が載ったヒットの内容を書き換える
- 取得するディメンションの値をより厳密に指定する
3 つ目の事例は、お問合せフォームを送信すると URL に個人情報が追加されてしまうというものです。
WEB サイトに設置されているお問合せフォームの送信方法は、GET メソッドと POST メソッドの 2 種類があります。
本件の事例で問題とされているのが GET メソッドでの送信です。GET メソッドは URL にクエリストリング("?" で付与される文字列)を利用し情報付与することで、サーバへ情報を送信します。
これが個人情報を送信するお問合せフォームの場合には、ページパス(URL) に個人情報が付与されることとなります。
また、URL に個人情報が付与されるということは、Web サーバのアクセスログやプロキシサーバのキャッシュなど多くの場所に重要な情報が露出することになるため重大な情報漏えいの原因となります。
なお、POST メソッドの場合に、情報は URL のクエリストリングに付与されるのではなく、HTTP リクエストボディで送信されます。HTTP リクエストボディは、基本的にサーバのログに情報が記録されることはないため、個人情報など機密性が高い情報を送る場合には、POST の利用をおすすめします。
< 各メソッドの情報の持ち方 >
- GET
- URL のクエリストリングに情報を付与する
- POST
- HTTP リクエストボディに情報をもつ
< 対処法 >
- お問合せフォームは POST メソッドで送信する
解析ツールの運用に不安がございましたら弊社までお問い合わせください。
