Google アナリティクスは、ウェブサイトとアプリのトラフィックに関するビジネス インサイトの取得に使用できる測定ソリューションです。Google アナリティクスの実装と、プロパティへの訪問者について収集されたデータが、該当するすべての法的要件を満たしていることを確認する必要があります。
Google アナリティクスのポリシーと利用規約では、ユーザーのプライバシーを保護する目的で、個人を特定できる情報(PII)として Google が認識できるデータを Google に送信しないこと、および Google アナリティクスで収集するデータによってユーザーの機密情報を明らかにしたりユーザーを特定したりしないことが義務付けられていますので注意が必要です。なんらかの理由でアナリティクス サーバーからデータを削除する必要がある場合は、データ削除リクエストをスケジュール設定するか、User Deletion API を使用します。
HIPAA とは何ですか?誰に適用されますか?
HIPAA(医療保険の相互運用性と説明責任に関する法律、1996 年制定)は、HIPAA 規制対象の事業体に適用される米国連邦法です。HIPAA とその施行規則は通常、Google アナリティクスをご利用で米国外のみを拠点とされているお客様には適用されません。また、Google アナリティクスをご利用で米国内を拠点とされているすべてのお客様に適用されるものでもありません。アナリティクスのお客様には、ご自身が HIPAA 規制対象の事業体であるかどうか、また HIPAA に基づいてどのような義務が発生するかを判断する責任があります。
Google アナリティクスは HIPAA を遵守して利用できますか?
お客様は、HIPAA に基づく義務が Google に発生する可能性がある方法での Google アナリティクスの使用を控えていただく必要があります。Google アナリティクスをご利用で、HIPAA 規制対象の事業体であるお客様の場合、Google の契約およびポリシーで PII として明示されていない場合でも、保護医療情報(PHI)と見なされる可能性のあるデータを Google に公開することはできません。Google は、Google アナリティクスが HIPAA の要件を満たしていることを表明することはありません。また、Google アナリティクスに関連する業務提携契約を締結することもありません。
HIPAA 規制対象の事業者に該当し、ご利用のプロパティでの Google アナリティクスの設定方法を検討されているお客様は、米国保健社会福祉省(HHS)の公開情報で、データが PHI と見なされるかどうかに関する具体的なガイダンスをご覧ください。また、Google アナリティクスのご利用が許可されるよう、次の事項を確認してください。
- HIPAA 規制対象のお客様の場合、Google による PHI へのアクセスまたは PHI の収集を示唆するような方法での Google アナリティクスの使用は禁止されています。Google アナリティクスをご使用いただけるのは、HIPAA 規制対象外のページに限定されます。
- 認証済みのページは HIPAA 規制対象となる可能性が高いため、Google アナリティクス タグを設定しないようにしてください。
- HHS の公開情報に記載されたページを含む、ヘルスケア サービス提供に関連する未認証のページは HIPAA 規制対象となる可能性が高いため、HIPAA 規制対象のページに Google アナリティクス タグを設定しないようにしてください。
- Google アナリティクスの設定により PHI が収集されることがないよう、法務チームとご協力のうえ、サイト上で医療サービスの提供に関連しないページを特定してください。