「Googleアナリティクスの使用は違法」とデータ保護機関が宣言、ウェブサイト運営者にGoogleアナリティクス排除を命令

フランスのデータ保護機関であるLa Commission Nationale de l'Informatique et des Libertés(CNIL：情報処理と自由に関する国家委員会)が、「Googleアナリティクスの使用は違法」として、ウェブサイトの運営者に対してGoogleアナリティクスの使用を停止するよう命じています。

Use of Google Analytics and data transfers to the United States: the CNIL orders a website manager/operator to comply | CNIL
https://www.cnil.fr/en/use-google-analytics-and-data-transfers-united-states-cnil-orders-website-manageroperator-comply

Googleアナリティクスは、ウェブサイトに訪問するインターネットユーザーの数や経路などを測定するためのサービスです。Googleアナリティクスでは一意の識別子が各訪問者に割り当てられるのですが、この識別子および関連データはGoogleによりアメリカのサーバーへ転送されます。識別子は各訪問者を特定するために使える情報の集まりであるため、個人情報と捉えることが可能です。

CNILはGoogleアナリティクスを使用するウェブサイトで収集されたデータがアメリカのサーバーへ転送されることについて、プライバシー保護団体のNOBYからいくつかの苦情を受け取っていたとのこと。なお、NOBYは27のEU加盟国および3つの欧州経済領域に対し、合計101件の苦情を提出していた模様。

NOBYからの苦情を受け、CNILはヨーロッパのカウンターパートと協力してGoogleアナリティクスが収集するデータがアメリカに転送される条件や、関係者に発生するリスクについて分析。この理由は、2020年にEU司法裁判所が下した個人情報の越境移転に関する判決「シュレムスII判決」との整合性を確かめるためです。

アメリカがGDPRに則した十分なレベルのデータ保護規則を施行していないため、データの転送には「適切な保証が提供されるべき」とCNILは主張しており、Googleアナリティクスの場合はこの保証が「十分ではない」とCNILは結論付けています。具体的には、Googleアナリティクスが収集してアメリカへ転送するデータは、アメリカの諜報機関がアクセスできる可能性が十分に残っているためだそうです。

よって、Googleアナリティクスの使用はフランスのウェブサイトユーザーに大きなリスクを与えるものだとして、CNILはGDPRの第44条に基づき「Googleアナリティクスの使用を停止し、EU外へのデータ転送を伴わないツールの使用に移行」するようにウェブサイトの運営者に命じています。なお、この命令を順守するための猶予期間として1カ月が設けられています。

CNILはGoogleアナリティクスのような分析サービスについて、「匿名の統計データを生成するためだけに使用することを推奨している」と記しています。