インターネットビジネス最新情報ポータル IBNIP

【要確認】GDPRとアフィリエイトサイトの関係について

2018年5月25日からEU一般データ保護規則(GDPR)が運用開始となり、アフィリエイトサイトを運営している企業、個人にとっても対応が求められています。

個人データやイベントデータの扱いについては、Googleが対応を実施する方針のようです。

これらの内容をしっかりと理解し、確実に実行して対応することで、「後で知らなくて大変な目に遭った」というリスクを軽減することができます。

今回は、GDPRとアフィリエイトというテーマで解説をしていきます。

GDPRとアフィリエイト

GDPRとは、一般データ保護規則のことを指し、欧州経済地域(EEA)のユーザーによってアクセスされるWebサイトやオンライン広告、オンライン測定のソリューションなどを活用している企業に当てはまります。

ユーザーの個人情報保護をさらに強化し、EU全体の規則として等しく適用することが目的です。

GDPRの施行は、全世界に影響が大きく及ぶ可能性が高いと見られていて、当然日本国内の企業やWebサイトも当てはまります。

Googleは、GDPRの法的要件に対応するために、ユーザーのデータの取り扱いを変えていく方針を明らかにしています。

アフィリエイトをやっている方で特に関係があるのが、Googleアナリティクスを使っている場合です。

2018年5月25日から、Googleアナリティクスのデータ保持期間について、デフォルトで26ヶ月保持の設定になり、何も変更しない場合、26ヶ月を過ぎると自動的に削除されるようになります。

アフィリエイトでGoogleアナリティクスを使っている方が心配されるのが、設定を変えなかったら、「26ヶ月以前のデータが消えちゃうの?」ってことです。

「設定を変えないとデータが消えてしまうので、5月25日までに設定を変えましょう」というアフィリエイト関連の方のメルマガがたくさん届いているので、心配になり、急いで設定を変更した方もいると思います。

しかし、Googleアナリティクスでデータが削除されるというのは、「ユーザーを特定できる個人データ」のことで、「アクセス数やPV数」などのデータは消えません。

アフィリエイト関連の方のメルマガで、「設定を変えないとデータが消えてしまうので、保持期限を無期限にしましょう」と書かれていたので、焦って変更してしまった方は注意が必要です。

自分が運営しているアフィリエイトサイトに適した形で、データ保持期限を設定しましょう。「ユーザーを特定できる個人データ」について、26ヶ月を超えて持ち続ける必要があるのかを考えて、設定することが大事です。

GDPRが開始され、Googleがアナリティクスにてデータ保持期間をデフォルトで26ヶ月にしたのには、「使わないデータを長く保持しているリスク」についての考えの結果ですので、とりあえず無期限に設定してしまった場合は、今一度GDPRについて考える必要があります。

日本で運営しているアフィリエイトサイトであっても、Googleアナリティクスを設置している場合、EUからのアクセスに対してGDPRに関係しますので、今一度運営方針や設定を見直すことをおすすめします。

こちらの記事でもGDPRについて詳しく解説しています。

>>5月25日から施行される一般データ保護規則(GDPR)とは?

 

データを削除されないように変更する場合

Googleアナリティクスのデータを削除されないようにするためには、以下の手順で行います。

  1. Googleアナリティクスにログインをして、画面左下の歯車マークをクリックする。
  2. トラッキング情報をクリックする。(データを残したいサイトが指定されているかどうかを確認する)
  3. データ保持をクリックする。
  4. 初期設定で、「ユーザーデータとイベントデータ保持」が26ヶ月になっているかどうかを確認してクリックする。
  5. 「自動的に期限切れにならない」をクリックする。
  6. 保存をクリックして完了

もし複数のWebサイトで設定を行う場合は、各サイトでそれぞれ設定を行います。

Googleの推奨設定の26ヶ月には意味がありますので、やみくもに設定を無期限にするのではなく、自分の運営しているサイトにおいて「ユーザーを特定できる個人データ」を保持したほうが良いのか、良く考えてから変更しましょう。

そもそもどんなデータがGDPRに当てはまるのか?

GDPRの中核に当てはまるデータが、消費者の個人データです。アフィリエイトサイトで注意したいデータがいくつかあります。

GDPRでは、個人データの区分が大きく範囲が広がり、「cookie ID」、「顧客番号」、「IPアドレス」、「デバイスID」などが考えられます。

アフィリエイトサイトで、メルマガの登録を促しているサイトも注意が必要でしょう。

これらを取り扱っているアフィリエイトサイトは、EEAのユーザーの情報を取り扱う場合、GDPRの遵守義務を負うことになるので注意が必要だといえるでしょう。

その他考えられる対応など

その他のアフィリエイト運営者が考えられる対応としては、サイトと連結しているチャネルやセグメンテーションやターゲティングなどをしっかりと分析しなおして、GDPRに抵触しているかどうかを確認する必要があるでしょう。

また正しいデータを収集しているかどうかや、不要なデータは削除しているかどうかも再確認しましょう。

データの取り扱い方法におけるプライバシーポリシーを修正し、作成する必要もあります。ログアウト画面や登録画面など、サイト内の主要な箇所にきちんと見える形で、表示しておくことが大切です。

GDPRは、データ保全、データ保持、データ収集、データ消去に関して、99条でかなり厳しい制限を設定しています。

また個人を特定できる情報の定義については、範囲が広く解釈もできるので、専門家に相談する必要もあるでしょう。

アフィリエイトサイト運者者や、Webマーケッターは、今後様々なデータを活用して、よりユーザーに高い価値を提供していく必要がありますので、データの取り扱いはしっかりと押さえていきたい部分です。

データのプライバシーと許諾は?

GDPRの施行後、アフィリエイトサイトや企業が保持している個人情報は、その保持と利用できる権利の有無は許諾をもらっているかどうかによります。

例えばですが、自動オプトインや事前入力の記入欄などで、EEA圏内のユーザーから集めたデータがあれば、彼らの情報を利用する際には個別に連絡をして許諾を得る必要があるということです。

GDPRは、データ保持に関しては、管理者と処理者の2者に責任を課しています。

これらの2者は兼任の場合もあるでしょうし、処理者が複数の場合もありますので、法務部門や専門家を通してしっかりと対応する必要があります。

またこれらの許諾が、契約や同意などが根拠になるかどうかもきちんと定める必要があります。

もし、これらの対応を不明確にした場合は、データ対象者からGDPRの行使によりデータの取り扱いを拒否や取り下げを要求されることも考えられるでしょう。

まとめ

GDPRの施行は、あらゆる企業が対応を迫られるデータ保護規則といえるでしょう。

まだまだ施行が始まったばかりで、アフィリエイト業界にどの程度の影響があるのかは不透明です。しかし、適用されるデータに関してはしっかりと理解する努力をして、対応していくことでリスクの軽減ができるでしょう。

GDPRのみならず、今後個人情報の扱いはどんどん厳しくなってくることが予想されますので、早めに対応していくことが求められます。

日頃からGDPRに関する情報収集は必要だといえるでしょう。

こちらの記事でもGDPRについて詳しく解説しています。

>>5月25日から施行される一般データ保護規則(GDPR)とは?

[記事公開日]2018.06.08
[最終更新日]2018.11.19
[ライター]ワカさん