GDPRがGAの利用に与える影響がヤバい！？Cookie同意管理ツールの導入率とシェアについて

はじめに
GDPRとは？
GDPRがGAの利用に与える影響について
Cookie同意管理ツールの必要性
- 背景
- Cookie同意管理ツールとは？
Cookie同意管理ツールの導入率とシェア
Cookie同意管理ツールの導入によるGAへの影響
Cookie同意管理ツールの導入によるGAへの影響を防ぐ対策方法
Google同意モードを同意するとどうなる？

はじめに

欧州連合（EU）の一般データ保護規則（GDPR）は、2018年に施行され、データプライバシーとセキュリティに対する新しい基準を確立しました。この規則により、多くの企業はデータ収集と処理の方法を見直す必要に迫られました。特に、Google Analytics（GA）などのツールを利用する際の影響が大きく、企業はCookie同意管理ツールの導入を検討する必要があります。

GDPRとは？

GDPR（General Data Protection Regulation）は、欧州連合（EU）が2018年5月25日に施行した新しいデータ保護規則です。この規則は、EU市民の個人データを保護し、データプライバシーの基準を統一することを目的としています。GDPRは、EU内外の企業に適用され、EU市民のデータを扱うすべての組織に対して厳格なデータ保護義務を課しています。

GDPRがGAの利用に与える影響について

データ収集と処理の透明性要求

GDPRは、データ主体（ユーザー）に対してデータ収集と処理の透明性を求めています。具体的には、以下のような措置が必要です。

１．プライバシーポリシーの更新:
GAを利用するウェブサイトは、プライバシーポリシーにGAの利用目的やデータ処理方法を明確に記載する必要があります。ユーザーに対して、どのようなデータが収集され、どのように使用されるかを説明します。

２．データ主体の権利の明示:
ウェブサイトは、ユーザーに対してデータアクセス、訂正、削除などの権利を行使する方法を提供しなければなりません。これには、データポータビリティの権利や忘れられる権利も含まれます。

Cookieの利用と同意の取得

GAはCookieを使用してユーザーの行動を追跡しますが、GDPRの下ではCookieの使用に対する事前の同意が必要です。

１．明示的な同意の取得:
ウェブサイトは、ユーザーがCookieを受け入れる前に、Cookieの使用について明確かつ具体的な情報を提供しなければなりません。ユーザーは、GAによるデータ収集を許可するかどうかを選択する必要があります。

２．Cookie同意管理ツールの導入:
多くのウェブサイトは、ユーザーからの同意を効率的に管理するためにCookie同意管理ツールを導入しています。これにより、ユーザーが同意した場合のみGAのCookieが設定され、同意の記録と管理が容易になります。

個人データの匿名化とIPアドレスの匿名化

GDPRは、個人データの保護を強調しており、GAの設定においてもこれが反映されています。

１．IPアドレスの匿名化:
GAでは、ユーザーのIPアドレスを匿名化する機能が提供されています。これにより、個人が特定されないようにし、GDPRに準拠することができます。具体的には、IPアドレスの最後のオクテットが削除され、完全なIPアドレスが保存されないようにします。

２．データ保持期間の制限:
GDPRに準拠するために、GAではデータの保持期間を設定することができます。企業は、必要な期間のみデータを保持し、その後は自動的に削除する設定を行うことが推奨されます。

データ処理契約の締結

GAを利用する際には、Googleとの間でデータ処理契約（DPA：Data Processing Agreement）を締結する必要があります。これは、Googleがデータ処理者としてGDPRの要件を遵守することを保証するためのものです。

・契約内容の確認:
ウェブサイト運営者は、Googleと締結するDPAの内容を確認し、GDPRの要件が満たされていることを確認する必要があります。これには、データの保護措置やユーザーの権利保護に関する項目が含まれます。

Cookie同意管理ツールの必要性

背景

GDPRの施行に伴い、ウェブサイト運営者はユーザーのプライバシー保護に関して厳格な規則を遵守する必要があります。その中でも特に重要なのが、Cookieの使用に対するユーザーの明示的な同意の取得です。Cookieは、ユーザーの行動を追跡し、個別にターゲティング広告を表示するために広く使用されており、その使用は個人データの処理に該当します。GDPRでは、ユーザーの同意なしにCookieを使用することを禁止しており、これを管理するためのツールが必要不可欠です。

Cookie同意管理ツールとは？

Cookie同意管理ツール（Cookie Consent Management Tool）は、ウェブサイトがGDPRに準拠し、ユーザーのプライバシー権を保護するためのツールです。これらのツールは、以下のような機能を提供します。

Cookie同意管理ツールの導入率とシェア

導入率

Cookie同意管理ツールの導入率は、GDPR施行以降、急速に増加しています。多くのウェブサイト運営者が法令遵守のためにこれらのツールを導入しており、特に欧州に拠点を置く企業や、欧州のユーザーをターゲットにする企業ではその傾向が顕著です。

欧州の導入率:
欧州においては、GDPRの直接の影響を受けるため、Cookie同意管理ツールの導入率が非常に高いです。ある調査では、欧州の大企業の90%以上が何らかの同意管理ツールを使用していると報告されています。

北米の導入率:
北米でも、カリフォルニア州のCCPA（California Consumer Privacy Act）などの州法の影響もあり、Cookie同意管理ツールの導入が進んでいます。ただし、導入率は欧州ほど高くはなく、おおよそ50〜70%の企業が導入していると言われています。

日本国内の導入率:
日本国内の企業におけるCookie同意管理ツールの導入率は5%未満です (王道DX)。これは、欧米諸国と比べて著しく低い数値です。大企業の中には導入が進んでいるケースもありますが、中小企業では導入が遅れているのが現状です。これはコストや技術的な障壁が原因とされています。（前回調査：2022年3月）

市場シェア

Cookie同意管理ツール市場は多様で、いくつかの主要なプレイヤーが存在します。以下に、主要なツールとその市場シェアを紹介します。

CMP	市場シェア／特徴
OneTrust	市場シェア: 約30% 特徴: OneTrustは、GDPRだけでなく、CCPAやその他のグローバルなプライバシー規制にも対応している総合的なプラットフォームです。多機能でカスタマイズ性が高く、大企業に人気があります。
TrustArc	市場シェア: 約20% 特徴: TrustArcは、使いやすいインターフェースと詳細なレポート機能を提供します。中小企業から大企業まで広く利用されており、多言語対応のバナーも用意されています。
Cookiebot	市場シェア: 約15% 特徴: Cookiebotは、ウェブサイト上のすべてのCookieを自動でスキャンし、簡単に導入できるツールです。中小企業に特に人気があり、シンプルなインターフェースが特徴です。
Usercentrics	市場シェア: 約10% 特徴: Usercentricsは、高度なカスタマイズ機能と豊富なデザインオプションを提供します。特にデザイン重視の企業や、ユーザーフレンドリーなインターフェースを求める企業に人気です。
その他のツール	市場シェア: 残りの25% 特徴: 他にも多くのツールが市場に存在しており、それぞれ異なる機能や強みを持っています。これらのツールは特定のニッチ市場に特化している場合が多く、小規模企業や特定の業界で使用されています。

Cookie同意管理ツールの市場シェア

導入事例と成功例

大企業の導入事例：多くの大企業が、GDPRに準拠するためにOneTrustやTrustArcを導入しています。例えば、グローバルな消費財企業やIT企業では、詳細なプライバシー管理が求められるため、これらのツールが選ばれています。

中小企業の導入事例：中小企業では、手軽に導入できるCookiebotや、カスタマイズ性が高いUsercentricsが選ばれることが多いです。これらのツールを利用することで、GDPR遵守を効率的に実現しています。

結論

Cookie同意管理ツールの導入は、GDPR遵守のために不可欠であり、特に欧州の企業においては高い導入率を誇ります。市場には多くのツールが存在し、それぞれが異なる強みを持っています。企業は、自社のニーズに合ったツールを選び、ユーザーのプライバシーを保護しながら法令遵守を実現することが重要です。

Cookie同意管理ツールの導入によるGAへの影響

データ収集の制限

Cookie同意管理ツールを導入すると、ユーザーの同意が得られるまでGAのトラッキングが制限されます。これにより、以下のような影響があります。

データの欠落: 同意を得られなかったユーザーのデータは収集されないため、トラフィックデータやユーザー行動データの一部が欠落します。これにより、分析結果に偏りが生じる可能性があります。

データのサンプリング: 同意を得たユーザーのみのデータが収集されるため、全体のユーザー行動を正確に反映できない場合があります。これにより、サンプリング誤差が発生する可能性があります (Priv Tech株式会社)。

トラッキングの遅延

Cookie同意管理ツールを使用すると、ユーザーが同意を与えるまでトラッキングが遅延します。この遅延により、リアルタイムデータの収集に影響が出ることがあります。

リアルタイムデータの遅延: 同意が得られるまでの間に、ユーザーがサイトを離れる可能性があり、これによりリアルタイムでのデータ収集に遅延が生じます。

同意管理の複雑さ

GDPRやその他のプライバシー規制により、ユーザーの同意管理が複雑になります。これはGAの設定やデータ処理にも影響を与えます。

設定の複雑化: GAの設定が複雑になり、プライバシーに関する設定やデータの匿名化が必要になります。これにより、データ収集と処理のプロセスが増加します (マーケターのよりどころ「ferret」)。

同意の記録と管理: Cookie同意管理ツールは、ユーザーの同意状況を記録し管理する機能を提供しますが、これには追加の設定と管理が必要になります。

プライバシー保護の強化

Cookie同意管理ツールの導入により、ユーザーのプライバシー保護が強化されます。これには、ユーザーの信頼向上や法令遵守の効果があります。

ユーザー信頼の向上: ユーザーのプライバシーを尊重し、透明性を持ったデータ収集を行うことで、ユーザーの信頼を得ることができます。

法令遵守: GDPRやCCPAなどの法令を遵守することで、企業は高額な罰金を避けることができます (Priv Tech株式会社) (マーケターのよりどころ「ferret」)。

結論

Cookie同意管理ツールの導入により、GAのデータ収集と分析にいくつかの影響がありますが、これらは主にユーザーのプライバシー保護と法令遵守を強化するための措置です。企業は、これらの影響を考慮しつつ、効果的なデータ分析を行うために適切な対策を講じる必要があります。

Cookie同意管理ツールの導入によるGAへの影響を防ぐ対策方法

Cookie同意管理ツールの導入によるGoogle Analytics（GA）への影響を最小限に抑えるためには、いくつかの対策を講じることができます。以下にその具体的な方法を説明します。

１．同意バナーの最適化

同意バナーのデザインや文言を工夫することで、ユーザーが同意しやすくなります。

目立つデザイン: ユーザーが見逃さないように目立つ位置に配置し、デザインもわかりやすくする。
簡潔な文言: ユーザーが理解しやすい簡潔な文言を使用し、同意の重要性を説明する。
選択肢の明示: 同意のオプションをわかりやすく提示し、ユーザーが容易に同意または拒否できるようにする。

２．同意取得のタイミングを工夫

ページロード時にすぐに同意を求めるのではなく、ユーザーがサイトのコンテンツをある程度閲覧した後に同意を求めることで、同意率を向上させることができます。

遅延表示: ページロード後数秒遅らせて同意バナーを表示する。
スクロールトリガー: ユーザーがページを一定量スクロールした後に同意を求める。

３．同意の取得と再取得の管理

ユーザーが同意を一度与えた後に、同意の更新や再取得が必要な場合には、そのタイミングを慎重に管理します。

同意の長期保存: ユーザーの同意状況を長期間保持し、頻繁に再取得を求めない。
再同意のトリガー: プライバシーポリシーの変更や新機能の追加時にのみ再同意を求める。

４．サーバーサイドトラッキングの活用

クライアントサイドでのトラッキングが制限される場合、サーバーサイドトラッキングを併用することでデータ収集の影響を緩和できます。

サーバーサイドトラッキング: クライアントサイドのCookie利用に依存せず、サーバー側でユーザーの行動をトラッキングする手法を導入する (マーケターのよりどころ「ferret」)。

５．GAの設定を調整

Google Analyticsの設定を調整し、プライバシー保護を強化しながらデータ収集の効率を維持します。

IPアドレスの匿名化: GAの設定でIPアドレスの匿名化を有効にすることで、GDPRに準拠しながらデータを収集する。
データ保持期間の設定: データの保持期間を適切に設定し、不要なデータを定期的に削除する。

６．カスタム同意ソリューションの導入

標準の同意管理ツールだけでなく、カスタマイズされた同意ソリューションを導入することで、GAへの影響を最小限に抑えることができます。

カスタム同意管理プラットフォーム: 特定のニーズに合わせたカスタム同意管理プラットフォームを導入し、GAのデータ収集に適した設定を行う。

７．Google同意モードの実装

Google同意モードとは「CMPツールを通じてユーザーより収集した同意状況を、Googleの各プロダクトに反映する仕組み」となります。同意モードを使用すると、ユーザーの Cookie またはアプリの識別子の同意ステータスを Google に伝えることができます。これにより、タグの動作が調整され、ユーザーの選択内容が尊重されます。

Google同意モードを同意するとどうなる？

Google同意モードについて

Google同意モード（Google Consent Mode）は、ユーザーのプライバシーとウェブサイトのデータ収集ニーズのバランスを取るためにGoogleが提供する機能です。これは、ユーザーがCookieの使用に同意しない場合でも、基本的なデータ収集と広告のパフォーマンス測定を可能にする方法です。Google同意モードを利用することで、ウェブサイト運営者は法令遵守を維持しながら、データの有効性を最大化することができます。

簡単に言うと、ユーザーが選択したCookieの同意ステータス（同意するのか、拒否するのか）をGoogleに連携することができて、同意ステータスによってCookieを利用するタグの動作を調整できる機能です。

ウェブサイトとモバイルアプリの同意モード｜アナリティクスヘルプ

主要機能

以下の同意タイプを利用して、Google タグマネージャー（以降、GTMと記載します。）で配信されるタグを管理できます。ただし、現時点で同意モードでサポートされているのはGoogle タグで、「ad_storage」と「analytics_storage」のステータスに基づいてタグの動作が調整されます。

同意タイプ	説明
ad_storage	広告に関連する保存（Cookie など）を有効にします
analytics_storage	訪問時の滞在時間など、分析に関連する情報の保存（Cookie など）を有効にします
functionality_storage	言語設定など、ウェブサイトまたはアプリの機能をサポートする保存を有効にします
personalization_storage	おすすめの動画など、パーソナライズに関連する保存を有効にします
security_storage	認証機能、不正行為防止、その他のユーザー保護など、セキュリティに関連する保存を有効にします

https://support.google.com/analytics/answer/12334711?hl=ja

１．同意の状態に応じたデータの調整:

ユーザーがCookieの使用に同意した場合、通常通りデータを収集します。
ユーザーが同意しなかった場合、一部のデータを匿名化または制限して収集します。

２．タグの自動調整:

Google同意モードは、Googleのタグ（Google Analytics、Google Adsなど）を自動的に調整し、ユーザーの同意状況に基づいて動作を変えることができます。

３．匿名化されたデータの利用:

ユーザーが同意しなかった場合でも、匿名化されたデータ（例えば、ページのビュー数やイベントトラッキング）を収集して分析に利用することができます。

動作原理

Google同意モードは、ウェブサイトのタグ管理システム（Google Tag Managerなど）と連携して動作します。以下のようなステップで機能します。

１．ユーザー同意の取得:

ウェブサイトは、ユーザーからCookieの使用に関する同意を取得します。

２．同意ステータスの設定:

ユーザーの同意ステータスに基づいて、Google同意モードがタグの動作を調整します。例えば、広告Cookieが無効な場合、広告パーソナライズが無効になります。

３．データ収集の調整:

Google同意モードは、同意ステータスに基づいて、データの収集と処理方法を調整します。同意がない場合、IPアドレスの匿名化や、広告インプレッションの測定のみに制限されます。

同意モードって結局何ができるの？

前提として、GAの計測はファーストパーティのアナリティクス Cookieを使用して、ユーザーの行動やウェブサイトでの操作を記憶します。特にCookie「_ga」では、ユーザーを識別するためのクライアントIDが記録されます。

同意モードを利用すると、ユーザーの同意を得られなかった場合にCookieを利用せずにデータを収集します。この部分だけ読むと、ユーザーから同意を得られなかった場合にもCookieを利用せずにデータが計測可能になる仕組みと誤解していますが、同意を得られなかったデータ（以降、非同意データと表現します）はモデリング機能で推定値として利用されます。
なので同意モードを利用したからといって、非同意データを完全に計測できるような機能ではない点に注意してください。

行動モデリングとは

行動モデリングでは、同意を得られなかったユーザーに関するデータの欠損を、GA4の機械学習によるモデリングデータで補うことができます。同意モードを利用して収集したデータのうちCookie を受け入れた類似ユーザーの行動を基に、非同意データをモデル化します。

Cookieの利用同意バナーやプライバシー設定をウェブサイトに導入した場合、同意モードを利用しないと、同意を得られなかったユーザーの計測は断念せざるを得ません。
例えば同意したユーザーが全体の30%の場合、実際にウェブサイトにアクセスしたユーザー数が10万であったとしてもGAの計測では3万となってしまうので、この欠損を補える行動モデリングのメリットは大きいですね。

行動モデリングを利用するには、以下の要件を満たす必要があります。

＜前提条件＞
・同意モードが、サイトのすべてのページと、すべてのアプリ画面で有効になっている。
・同意ダイアログが表示される前にタグが読み込まれ、ユーザーの同意の有無にかかわらず Google のタグが必ず読み込まれるようにウェブページの同意モードを実装する必要がある（高度な実装）。
・プロパティで、少なくとも 7 日間、1 日あたり 1,000 件以上の analytics_storage='denied' のイベントが収集されている。
・過去 28 日間のうち少なくとも 7 日間、1 日あたり 1,000 人以上のユーザーがプロパティで analytics_storage='granted' のイベントを送信している。 
　→モデルのトレーニングが成功するためには、その 28 日間でデータのしきい値に達している日数が 7 日より多く必要な場合があります。ただし、追加のデータがあってもモデルをトレーニングするのに十分ではない場合もあります。

[GA4] 同意モードの行動モデリング

行動モデリングが開始されるのは、特定のプロパティが対象となった日からです。

要件を満たせたら、管理画面のプロパティ列配下の「レポート識別子」で「ブレンディング」を選択すると、モデリングデータを確認することができます。実際のレポートの見え方は後述します。

行動モデリングでできないこと（サポートされていないこと）

非同意データはモデリング機能の推定値に利用されると記載しましたが、行動モデリングは全てのレポートで利用できる機能ではありません。以下は現時点でサポートされていませんので注意してください。

・オーディエンス
・セグメントの重複、ユーザー エクスプローラ、コホート、ユーザーのライフタイムのデータ探索
・シーケンスが定義されたセグメント
・維持率レポート
・予測指標
・データのエクスポート（例: BigQuery Export）※モデリングデータはBigQueryにエクスポートされませんが、計測データの一部はエクスポートされます。

ただし、最近では行動モデリングのデータが経路とファネルを含むすべてのデータ探索とレポート（具体的には、経路データ探索・ファネルデータ探索・ユーザーの購入経路レポート・カスタムファネルレポート）で利用できるようになりました。今後もアップデートがあると思われるので、モデリングに関する情報は要チェックです。

実装方法

gtag.jsはThe Google tag (gtag.js) API のconsentコマンド、GTMはTag Manager Consent API で同意ステータスを管理しています。動作するAPIが異なるため、GTMのGoogle タグからgtag.jsのconsentコマンドを動作させるなどして、動作するAPIを混在させないことが推奨されている点に注意してください。

Google Tag Managerを使用:

Google Tag Managerを利用している場合、Google同意モードを簡単に実装できます。タグの設定において、同意モードのステータスを設定します。

直接コードを追加:

ウェブサイトのヘッド部分に、同意モード用のコードを追加することでも実装可能です。このコードは、ユーザーの同意ステータスに基づいてタグの動作を制御します。

同意設定を管理する｜developers.google.com

タグマネージャーでの同意モードのサポート｜support.google.com

意図したタイミングで同意ステータスが更新されているかを確認する

非同意データはあくまでもモデリングの材料として計測されるため、現時点ではGA4のリアルタイムレポートやDebugViewではデータが正しく送信されているかを確認することはできません。そのため、GTMのデバッグ画面（Tag Assistant）から同意ステータスが更新されたタイミングを確認したり、GAへの送信データとしてMeasurement ProtocolというHTTP リクエストの内容を確認する必要があります。

意図したタイミングで同意ステータスが更新されているかを確認する際は、GTMのデバッグ画面で「Consent」というイベントが発生しているかを確認します。同意を選択する前の段階で「Consent」が発生していない場合は、同意ステータスのデフォルト値を設定できていない可能性があるので、同意モードの実装についての公式ドキュメントを参考に設定を見直してください。

「Consent」が発生していることを確認できたら、デバッグ画面の「Consent」タブを開きます。
この画面から各同意タイプの同意ステータスを確認することができます。デフォルト値が意図した状態となっているか確認してください。

また、同意ステータスのデフォルト値が適切に設定されていると、Google タグ（旧：GA4 設定タグ）を開いて下の方にある「Event Consent Configuration Status」でDefaultが「Detected」となります。
デフォルト値がセットされる前にGoogle タグが発火してしまうと、「A tag read consent state before a default was set」というエラーが発生します。その場合は、デフォルト値がセットされた後にGoogle タグが読み込まれるように設定を見直してください。