GDPR対策の一つにも!Googleアナリティクスに送信する国を制限する方法

Googleアナリティクスへのデータ転送が違法に

昨今、GDPRが適用されるEU圏内で、「GDPRに則したレベルのデータ保護規則を施行していないアメリカへ転送するため、Googleアナリティクスへのデータ転送は違法」と判決された事案がいくつか発生しました。

一部の大手サイトではEU加盟国や英国などの利用を停止するなど、GDPR対策と思われる対応が始まっています。

EUに事務所等が存在しない企業のサイトでも、該当国からのアクセス情報をGoogleアナリティクスに転送する可能性がある場合、対策を行わないとGDPRから指摘を受ける恐れがあります。

EUからのアクセス情報をGoogleアナリティクスに送信しない方法

どこどこJPでは、アクセス国がEUに含まれるかどうかを判断するプラグインを提供しています。
EU判定プラグイン:https://api.docodoco.jp/euflag_plugin.js

このプラグイン内にある「checkEU」という関数にどこどこJPの国コードを渡すことで、EUに該当する国だったらboolean型で「true」、含まれない国だったら「false」を返します

こちらを使うことで、EUからのアクセスがあったときだけGoogle アナリティクスへデータを送信しないという仕組みも簡単に構築できます。

以下はHTMLに直接タグを設置している場合の実装例となります。

<!--どこどこJPのAPI-->
<script type="text/javascript" src="//api.docodoco.jp/v6/docodoco?key=*******&bake=1"
charset="utf-8"></script>

<!--EU判定プラグイン-->
<script type="text/javascript" src="//api.docodoco.jp/euflag_plugin.js" charset="utf-8"></script>

<!--Google Analytics-->
<script>
//EU以外からのアクセス時のみGAのトラッキングコードを実行
if (!checkEU(SURFPOINT.getCountryCode())){
 (function(i,s,o,g,r,a,m){i['GoogleAnalyticsObject']=r;i[r]=i[r]||function(){
 (i[r].q=i[r].q||[]).push(arguments)},i[r].l=1*new Date();a=s.createElement(o),
m=s.getElementsByTagName(o)[0];a.async=1;a.src=g;m.parentNode.insertBefore(a,m)})(window,document,'script','//www.google-analytics.com/analytics.js','ga');
 ga('create', 'UA-1234567890-1', 'auto');
 ga('send', 'pageview');
}
</script>

■<!–どこどこJPのAPI–>
 どこどこJPにリクエストを送るためのAPIを設置します。
■<!—EU判定プラグイン–>
 EU判定プラグインを読み込みます。
■//EU以外からのアクセス時のみGAのトラッキングコードを実行
 Googleアナリティクスのトラッキングコードを設置します。その際プラグイン内の関数「checkEU」でEUに含まれないと判断された(falseと返却された)場合だけ、Googleアナリティクスのトラッキングコードが実行されるように、条件式(ifから始まる行)を追加します。

Googleアナリティクスの利用は続けたいけど、GDPR対策も必要だと考えておりましたら、一つの案として参考になれば幸いです。

対応方法の利用に関する注意点

弊社では2022年2月時点の判決結果等から、EUからのアクセスに関するデータをGoogle アナリティクスへ転送しないようにすれば解決できると判断しましたが、GDPRでこの対応でも不十分だと判断される可能性もあります。
最新の動向に注意してご利用ください。