Analytics 変数用の GDPR ラベル

データにラベルを設定する理由

アドビ製品をご利用の多くのお客様は、GDPR 関連の法律をチェックし、GDPR に準拠するためにデータをどのように処理するかを決める法務チームを設けています。法律の解釈は企業によって異なり、希望するデータ処理設定もお客様によって異なります。GDPR のデータ処理方法とデータセットはお客様によって異なるので、アドビでは、データ管理者であるお客様が、自社の GDPR データの処理設定をカスタマイズできるようにしています。これにより、それぞれのお客様が、ブランドのニーズと保有するデータセットに最適な方法で GDPR 要求を処理できます。

計測データのプライバシー性と契約上の制限に従ってデータをラベルで分類するためのツールを提供開始します。ラベルは、(1)データ主体の識別、(2)アクセス要求に対応するデータの特定、(3)削除要求に対して削除する必要があるデータフィールドの識別をおこなう場合に重要かつ有用です。

どの変数やフィールドにどのラベルを適用するかを把握するためには、Analytics データから取得する ID について理解し、GDPR 要求でどのような ID を使用するかを決める必要があります。

Adobe Analytics の GDPR 実装では、識別データ、機密データ、データガバナンス用に以下のラベルを利用できます。

DULE ラベル

注意:Data Usage Labeling & Enforcement(DULE)フレームワークは、アドビのすべてのソリューション/サービス/プラットフォームにまたがり、共通の方法で Adobe Experience Cloud 全体のデータに関するメタデータを取得、伝達、利用できるようにすることを目的としています。データ管理者はこのメタデータを利用して、どのデータが個人情報や機密情報に該当するかを指定したり、契約上のどの制限事項がデータと関連しているかを指定したりできます。この初期リリースでは、Analytics は、GDPR に関連する DULE ラベルのみを公開しています。他のアドビ製品が DULE ラベルのサポートを実装するのに伴い、将来のリリースでは、追加の機密データラベルに加えて契約のラベルが導入されます。これは、製品間で共有されたデータが法的に許容される方法でのみ使用されることを保証するのに役立ちます。

識別データラベル(DULE)

識別データの「I」ラベルは、個人を特定できるデータまたは個人に連絡できるデータの分類に使用されます。

ラベル 定義 その他の要件

I1

個人を直接的に特定可能:名前や電子メールアドレスなど、個人を特定できるデータまたは個人に直接連絡できるデータ。

  • イベントには設定できません。
  • マーチャンダイジング eVar には設定できません。

I2

個人を間接的に特定可能:他のデータと組み合わせることで、個人やデバイスを特定できるデータまたは個人やデバイスに連絡できるデータ。

単独では個人を特定することはできないものの、他の情報(自分が所有しているものとそうでないものを含む)と組み合わせることで個人を特定できる ID。例えば、顧客のロイヤルティ番号や、企業の CRM システムで使用される顧客ごとの一意の ID などが該当します。

  • イベントには設定できません。
  • マーチャンダイジング eVar には設定できません。

機密データラベル(DULE)

機密データの「S」ラベルは、地理データなどの機密データの分類に使用されます。将来的に、他のタイプの機密情報を特定するために、追加の機密データラベルが導入される予定です。

ラベル 定義

S1

緯度と経度に関連する正確な位置情報データ。デバイスの正確な位置(誤差 100 m以内)の特定に使用できます。

S2

広義の地域境界エリアの特定に使用できる位置情報データ。

データガバナンスラベル(GDPR)

データガバナンスラベルを使用すると、規制や企業のポリシーに準拠するためにプライバシー関連の注意事項や契約条件を反映したデータを分類できます。

GDPR アクセスラベル

ラベル 定義 その他の要件

なし

この変数が、GDPR アクセス要求の一環としてデータ主体に返されたデータに含まれている必要があるデータを含んでいない場合に、このオプションを選択します。

ACC-ALL

このフィールドの値は、すべての GDPR アクセス要求に含める必要があります。

このヒットの発生源が複数のユーザーが共有するデバイスの場合に、データ管理者であるお客様がこのラベルを適用すると、その共有デバイスへのアクセス権を持つすべてのユーザー間でこのフィールドのデータを共有することを許可したことになります。

このラベルが設定されたフィールドは、すべての GDPR 要求で返されます。

ACC-PERSON

このフィールドの値は、ID-PERSON フィールドの値と一致する GDPR 要求 ID を基に、ヒットの発生源がデータ主体であると合理的に判断できる場合のみ、GDPR アクセス要求に含める必要があります。

また、このレポートスイート内の何らかの変数に対して ID-PERSON ラベルを設定する必要があり、その ID を使用して要求を送信する必要があります。そうでない場合、このラベルは適用されません。

ほとんどの変数は他のラベルを受け取りませんが、アクセスラベルが多くの変数に適用されることが期待されます。ただし、自社の法務チームと相談し、収集したデータのうちどれをデータ主体と共有するかを決めるのは、お客様次第です。

GDPR 削除ラベル

ラベル 定義 その他の要件

他のラベルとは異なり、これらの削除ラベルは相互に排他的ではありません。どちらか、両方、なしを選択できます。どちらの削除オプションもチェックしないことで「なし」という状態が示されるので、個別の「なし」ラベルは不要です。

削除ラベルは、データ主体と関連付けられるヒットを許可する(つまり、データ主体の ID を許可する)値を含むフィールドに対してのみ必要です。

他の個人情報(お気に入り、閲覧/購入履歴、健康状態など)は、データ主体との関連付けがなくなるので、削除する必要はありません。

DEL-DEVICE

GDPR 削除要求では、このフィールドの値は、指定された ID-DEVICE がヒットに含まれる要求でのみ匿名化する必要があります。

同じ値が他のヒットで発生し、削除されない場合は、それらの値は変更されません。そのため、このフィールドのユニークカウント数を算出するレポートで、カウント数が変わります。共有デバイスでは、これによってデータ主体だけでなく、他のユーザーの ID が削除される場合があります。

このフィールドに ID-DEVICE ラベルも設定されており、このフィールドの値が GDPR 要求で ID として使用されていた場合は、カウント数は変わりません。

  • I1、I2 または S1 ラベルも必要です。
  • イベントには設定できません。
  • マーチャンダイジング eVar には設定できません。
  • 分類には設定できません。
  • ID-DEVICE を使用して要求を送信するか、expandIDs を true に設定する必要があります。そうでない場合、このラベルは適用されません。

DEL-PERSON

GDPR 削除要求では、このフィールドの値は、指定された ID-PERSON がヒットに含まれる要求でのみ匿名化する必要があります。

同じ値が他のヒットで発生し、削除されない場合は、それらの値は変更されません。そのため、このフィールドのユニークカウント数を算出するレポートで、カウント数が変わります。このフィールドに ID-PERSON ラベルも設定されており、値が GDPR 要求で ID として使用されていた場合は、カウント数は変更されません。

  • I1、I2 または S1 ラベルも必要です。
  • イベントには設定できません。
  • マーチャンダイジング eVar には設定できません。
  • 分類には設定できません。
  • また、このレポートスイート内の何らかの変数に対して ID-PERSON ラベルを設定する必要があり、その ID を使用して要求を送信する必要があります。そうでない場合、このラベルは適用されません。

GDPR ID ラベル

ラベル 定義 その他の要件

なし

この変数には GDPR 要求に使用される ID が含まれていません

このフィールドに、GDPR API または UI でアクセス要求または削除要求を送信する際に使用する ID が含まれている場合にのみ、他のラベルのどちらかを設定する必要があります。

ID-DEVICE

このフィールドには、GDPR 要求のデバイスを識別するために使用できる ID が含まれていますが、共有デバイスの個々のユーザーを区別することはできません。

ID を含むすべての変数にこのラベルを指定する必要はありません(このために I1/I2 ラベルがあります)。この変数に保存された ID を使用して GDPR 要求を送信し、特定の ID についてこの変数を検索したい場合に、このラベルを使用します。

  • I1 または I2 ラベルも必要です。
  • イベントには設定できません。
  • マーチャンダイジング eVar には設定できません。
  • 分類には設定できません。

ID-PERSON

このフィールドには、GDPR 要求で認証済みユーザー(特定のユーザー)の識別に使用できる ID が含まれています。

ID を含むすべての変数にこのラベルを指定する必要はありません(このために I1/I2 ラベルがあります)。この変数に保存された ID を使用して GDPR 要求を送信し、指定された ID についてこの変数を検索したい場合に、このラベルを使用します。

  • I1 または I2 ラベルも必要です。
  • イベントには設定できません。
  • マーチャンダイジング eVar には設定できません。
  • 分類には設定できません。

変数を ID-DEVICE または ID-PERSON としてラベル設定する際の名前空間の提供

変数を ID-DEVICE または ID-PERSON としてラベル設定する場合、名前空間を提供するよう指示されます。以前定義した名前空間を使用することも、新しい名前空間を定義することもできます。

以前定義した名前空間の使用

以前、ログイン会社の任意のレポートスイートの他の変数に ID ラベルを割り当てている場合、これらの既存の名前空間の 1 つを選択できます。名前空間で既にラベル付けされている他の変数と同じタイプの ID がこの変数に含まれている場合、また要求を送信する際に、それらの ID をすべて検索する必要がある場合、その名前空間を再利用してください。

  1. 名前空間を選択」をクリックして、既存の名前空間の 1 つを選択します。
  2. 適用」をクリックします。



新しい名前空間の定義

また、新しい名前空間を定義することもできます。名前空間文字列は、英数字、アンダースコア、ダッシュおよびスペースに制限することをお勧めします。すべて小文字に変換されます。

  1. 名前空間を選択」をクリックして、名前空間のタイトルを入力します。



  2. Enter キーを押してこの名前空間を追加します。これで「適用」ボタンがアクティブになります。
  3. 適用」をクリックします。

名前空間として指定した文字列は、GDPR API で要求を「名前空間」パラメーターの値として送信する際に使用する必要がある文字列と同じです。この要求により、Adobe Analytics は、要求で指定した ID について、この名前空間を共有するすべてのレポートスイートのすべての変数を検索します。

ID を含むすべての変数に ID-DEVICE ラベルまたは ID-PERSON ラベルを指定する必要はありません(このために I1/I2 ラベルがあります)。この変数に保存された ID を使用して GDPR 要求を送信し、特定の ID についてこの変数を検索したい場合に、このラベルを使用します。例えば、eVar1 に電子メールアドレスを、eVar2 にログインユーザー名を含むことができるが、ユーザー名のみを使用して要求を送信する場合、eVar1 には I1、ACC-PERSON、DEL-PERSON とラベル設定しますが、eVar2 は名前空間「ユーザー名」と共に、I2、ACC-PERSON、DEL-PERSON、ID-PERSON とラベル設定します。次に、以下のようにユーザーセクション JSON ブロックを使用して要求を送信します。

{
	    "namespace": "user name",
	    "type": "analytics",
	    "value": "rocketman123"
}

同じレポートスイート内の異なる変数に同じ名前空間を使用することもできます。例えば、一部のカスタム実装は、prop と eVar の両方に CRM-ID を保存します。CRM-ID が常にこれらのどちらか一方(例えば eVar)にあり、他方(prop)にあるのはまれであり、eVar にない場合は prop にもない場合、eVar だけで ID を検索できるので、ID ラベルおよび名前空間が必要なのは eVar のみとなります。ただし、CRM-ID が一方の変数にあることも、もう一方の変数にあることもある場合、両方が同じ名前空間を持つ必要があり、アドビは、この名前空間を持つ、GDPR 要求の一環として指定した ID について、両方の変数を検索します。それでも、これらのすべての変数に対して DEL ラベルを設定する必要があります。それにより、どこで出現しても値が匿名化されます。

別の例として、eVar1 を使用して送信されることも、prop7 を使用して送信されることもある CRM ID があるとします。また、eVar1 から eVar3(存在する場合)に値をコピーする処理ルールがあります。そうでない場合は、prop7 から eVar3 に値をコピーします。このシナリオでは、CRM ID がわかっている場合、必ずそれが eVar3 に格納されるので、ID-PERSON ラベルが必要なのは eVar3 のみとなります。

変数のタイプとそれぞれが対応している GDPR/DULE ラベル

GDPR/DULE のラベル設定は、Analytics 変数の 4 つの主要クラスに影響します。すべての変数ですべてのラベルを利用できるわけではありません。以下の表には、各変数で利用できるラベルと利用できないラベルがまとめられています。

変数の種類 利用できるラベル 利用できないラベル
  • カスタム成功イベント
  • マーチャンダイジング eVar
  • 複数値の変数(mvVar)
  • 階層変数

S1/S2

ACC-ALL、ACC-PERSON

I1/I2

ID-DEVICE、ID-PERSON

DEL-DEVICE、DEL-PERSON

分類

I1/I2、S1/S2

ACC-ALL、ACC-PERSON、

ID-DEVICE、ID-PERSON

DEL-DEVICE、DEL-PERSON

  • トラフィック変数(prop)
  • コマース変数(非マーチャンダイジング eVar)

すべてのラベル

-

その他のほとんどの変数

(例外は以下の表を参照)

ACC-ALL、ACC-PERSON

I1/I2、S1/S2

ID-DEVICE、ID-PERSON

DEL-DEVICE、DEL-PERSON

ACC-ALL/ACC-PERSON 以外のラベルを割り当てる/変更することができる変数

グループ 変数 変更可能なラベル コメント
  • コンバージョンディメンション
  • カスタムトラフィックディメンション

分類を除くすべて

すべて

分類

なし/I1/I2

なし/S1/S2

コンバージョンイベント

すべて

なし/S1/S2

ソリューションのディメンションとイベント

Activity Map リンク、

Activity Map ページ

なし/I1/I2

なし/DEL-DEVICE/DEL-PERSON

変数に、個人を直接的または間接的に特定できるデータを含む URL パラメーターが追加される場合があります。これらの変数で個人を直接的または間接的に特定できるデータを収集しない実装の場合は、識別ラベルおよび削除ラベルは不要です。

削除によって URL パラメーターはクリアされますが、元の URL は保持されます。

データ処理ディメンション

カスタム訪問者 ID

ID-DEVICE/ID-PERSON

DEL-DEVICE/DEL-PERSON

ID または DEL ラベルを削除(なしに設定)することはできませんが、カスタム ID 実装に応じて、DEVICE バリアントまたは PERSON バリアントに変更できます。

カスタム訪問者 ID を使用しない場合、設定は関係ありません。

  • 標準のディメンション
  • データ処理ディメンション

IP アドレス

IP アドレス 2

DEL-DEVICE/DEL-PERSON

DEL ラベルを削除することはできませんが、DEL-DEVICE または DEL-PERSON、または両方に変更できます。

ClickMap アクション(従来)、

ClickMap コンテキスト(従来)、

ページ、

ページ URL、

オリジナルエントリページ URL、

リファラー、

訪問開始ページ URL

なし/I1/I2

なし/DEL-DEVICE/DEL-PERSON

変数に、個人を直接的または間接的に特定できるデータを含む URL パラメーターが追加される場合があります。これらの変数で個人を直接的または間接的に特定できるデータを収集しない実装の場合は、識別ラベルおよび削除ラベルは不要です。

削除によって URL パラメーターはクリアされますが、元の URL は保持されます。

削除処理

Adobe Analytics での GDPR 削除要求は、レポートへの影響を最小限に抑えるように設計されています。ほとんどの場合、レポートに表示される指標は変わりません。GDPR 削除の前に実行された履歴レポートは、削除の後に実行された同じレポートと一致します。これは、削除されたデータをデータ主体から完全に切り離し、個人を特定できないデータを保持してレポートの値の一貫性を保つことで実現されます。

次の表に、様々な変数の「削除」方法を示します。ここでは一部のみをリストしています。

変数 削除方法

• トラフィック変数(prop)

• コマース変数(eVar)

既存の値は、「GDPR-356396D55C4F9C7AB3FBB2F2FA223482」という形の新しい値で置き換えられます。ここで、「GDPR-」プレフィックスの後の 32 桁の 16 進数値は、暗号として強固な 128 bit 疑似乱数です。基本的にランダムな文字列で置き換えられるので、この新しい値から元の値を判別する方法はなく、新しい値をたどって元の値を知ることはできません。

特定の変数について、置き換えられる値と同一の値が、同じ GDPR 要求の一部として削除される他のヒット内に存在する場合、その値のすべてのインスタンスが同じ新しい値に置き換えられます。

値の一部のインスタンスがある削除要求で置き換えられる場合で、後の要求が元の値の他の(新しい)インスタンスを削除する場合、新しく置き換えられる値は、元の置き換えられる値とは違うものになります。

購入 ID

既存の値は、「G-7588FCD8642718EC50」という形の新しい値で置き換えられます。ここで、「G-」プレフィックスの後の 18 桁の 16 進数は、暗号として強固な 128 bit 疑似乱数の最初の 18 桁です。トラフィックおよびコマース変数の削除に適用されるすべてのコメントは、ここにも適用されます。

購入 ID はトランザクション ID で、購入確認ページの表示を更新する場合など、購入の二重処理がおこなわれていないことを確認することが主な目的です。ID 自体は、購入が記録される独自の DB 内の行に購入を関連付けている場合があります。ほとんどの場合、この ID を削除する必要はないので、デフォルトでは削除されません。独自のデータの GDPR 削除要求の後でもまだ購入をユーザーに関連付けできる場合、この訪問者の Analytics データを購入者に関連付けできないように、このフィールドを削除する必要がある場合があります。

訪問者 ID

値は、128 bit 整数で、暗号として強固な 128 bit 疑似乱数値に置き換わります。

• MCID

• カスタム訪問者 ID

• IP アドレス

• IP アドレス 2

値はクリアされます(変数のタイプに応じて、空の文字列または 0 に設定されます)。

• ClickMap アクション(従来)

• ClickMap コンテキスト(従来)

• ページ

• ページ URL

• オリジナルエントリページ URL

• リファラー

• 訪問開始ページ URL

URL パラメーターはクリアまたは削除されます。この値が URL のように見えない場合、値はクリアされます(空の文字列に設定されます)。

• 緯度

• 経度

精度は低下して 1 km よりも悪くなります。

定められた削除ラベルをサポートしない変数

ここでは、削除に対応していない Analytics 変数について説明します。これらの変数は、変数に含まれているデータのタイプを理解しておらず、変数の名前に基づいて不適切な判断をしかねない Analytics 以外のユーザー(法務チームなど)によって削除されてしまう可能性があります。ここでは、これらの変数の一部をリストします。また、削除が不要な理由や、特定の削除ラベルを必要としない理由も示します。

変数 コメント

新規訪問者 ID

新規訪問者 ID はブール値で、特定の訪問者 ID が初めて表示されるときに true になります。訪問者 ID は一度匿名化されたら、削除する必要はありません。匿名化の後は、匿名化された ID が初めて表示されたときの状態に対応します。

郵便番号

位置情報の郵便番号

郵便番号は、米国で生成されたヒットの場合にのみ設定されます。EU で生成されたヒットには設定されません。設定された場合でも、データ主体の再特定が困難な広範囲の地域のみが提供されます。

位置情報の緯度

位置情報の経度

これらは、IP アドレスから得られる大まかな位置を提供します。精度は通常、郵便番号と同様で、実際の位置から数十 km 以内です。

ユーザーエージェント

ユーザーエージェントは、使用されたブラウザーのバージョンを識別します。

ユーザー ID

データが含まれる Analytics レポートスイート(番号)を指定します。

レポートスイート ID

データが含まれる Analytics レポートスイートの名前を指定します。

訪問者 ID

MCID/ECID

これらには DEL-DEVICE ラベルが設定されていますが、DEL-PERSON ラベルを追加することはできません。各要求で ID 拡張を指定した場合、ID-PERSON を使用している要求も含め、すべての削除要求に対して、これらの ID が自動的に削除されます。

ID 拡張を使用しないが、一致する ID が prop または eVar に含まれているヒットでこれらの Cookie ID を匿名化したい場合は、実際にユーザーを特定できる場合でも、prop または eVar に ID-DEVICE ラベルを設定することで、このラベル設定の制限を回避できます(すべての DEL-PERSON ラベルを DEL-DEVICE ラベルに変更する必要があります)。この場合、訪問者 ID または ECID の一部のインスタンスのみが匿名化されるので、履歴レポートでは個別訪問者数が変更されます。

AMO ID

Adobe Media Manager ID は、変更不能な DEL-DEVICE ラベルが設定されたソリューション変数です。これは、訪問者 ID や MCID と同様に、Cookie から値が入力されます。これは、他の ID が削除されるたびに、ヒットから削除される必要があります。詳細については、それらの変数の説明を参照してください。

アクセス要求のデータフィールド

5 つのタイムスタンプを含む標準変数があります。

タイムスタンプ 定義

ヒット時刻 (UTC)

Adobe Analytics がヒットを受信した時刻。

カスタムヒット時刻 (UTC)

ヒットが発生した時刻。一部のモバイルアプリおよびその他の実装では、受信した時刻よりも早い可能性があります。例えば、発生時にネットワーク接続が利用できなかった場合、アプリはヒットを保持し、接続が利用できるようになったら送信します。

日時

「カスタムヒット時刻 (UTC)」と同じ値ですが、GMT ではなく、レポートスイートのタイムゾーンです。(バグにより、この値は、現在ラベリング UI に表示されず、常に ACC-ALL の値を持ちます。これは、2018 年 7 月に修正されます。)

初回ヒット時刻 (GMT)

このヒットの訪問者 ID 値に対して受信した初回ヒットの「カスタムヒット時刻 (UTC)」の値。

訪問開始時刻 (UTC)

この訪問者 ID の現在の値に対して受信した初回ヒットの「カスタムヒット時刻 (UTC)」の値。(バグにより、この変数は UI に「初回訪問開始時刻 (UTC)」として表示されます。)

GDPR アクセス要求用に返されたファイルを生成するコードでは、少なくとも最初の 3 つのタイムスタンプ変数のいずれかがアクセス要求に含まれている(この要求のタイプに適用する ACC ラベルを持つ)必要があります。これらがいずれも含まれていない場合、「カスタムヒット時刻 (UTC)」が ACC-ALL ラベルを持つかのように扱われます。

GDPR アクセス要求用に返されたヒットレベル CSV ファイルは、これらのフィールドの値を Unix タイムスタンプから YYYY-MM-DD HH:MM:SS 形式(例:2018-05-01 13:49:22)の日付/時刻フィールドに変換します。概要 HTML ファイルでは、これらのタイムスタンプ値は、日付 YYYY-MM-DD のみを含むように切り捨てられて、これらのフィールド用に発生する一意の値の数を減らします。