PII:Personally Identifiable Information(個人を特定できる情報 – 個人情報)
Google のサービスの多くにはPIIに関する記述があり、これらはGDPRにおいて個人データと呼ばれているものと異なる。
Google はユーザーのプライバシーを保護するため、Google が個人情報(PII)として使用または認識できるデータを Google に送信することをポリシーで禁止しています。個人情報には、メールアドレス、個人の携帯電話番号、社会保障番号などの情報が含まれますが、これらに限定されません。法的な規制は国や地域によって異なり、また Google アナリティクスのご利用方法も多岐にわたるため、特定の情報が個人情報に該当するかどうか判断がつかない場合は、弁護士など法律の専門家にご相談ください。
https://support.google.com/analytics/answer/6366371?hl=ja
Google が個人情報と解釈していないデータであっても、GDPR の下では個人データとみなされたり、カリフォルニア州消費者プライバシー法(CCPA)の下では個人情報とみなされたりすることがあります。その場合、これらの法律が適用される可能性があります。
https://support.google.com/analytics/answer/7686480
具体的には、Googleは下記を個人情報としている。
Google は、個人情報を、それ単体で個人の特定、個人への接触、個人の所在地の特定を可能にするものと解釈しています。これには次のものが含まれます。
・メールアドレス
・住所
・電話番号
・高精度な位置情報(GPS 座標など。以下の注を参照)
・フルネームやユーザー名
たとえば、個人情報を Google に渡すことが契約で禁止されているサイト運営者のウェブサイトでは、Google による広告が表示されるページの URL にメールアドレスを含めることはできません。これらの URL は広告リクエストで Google に渡されるためです。Google では長い間、このように個人情報の譲渡禁止を解釈してきました。
逆に、個人情報と認識しないものは下記になる。
Google が個人情報として解釈しない例として、次のようなものがあります。
・仮名化された Cookie ID
・仮名化された広告 ID
・IP アドレス
・その他の仮名化されたエンドユーザー識別情報
たとえば、IP アドレスを広告リクエストとともに送信するケース(IP の性質上、ほぼすべての広告リクエストが該当します)は、Google への個人情報送信を禁止する規定に違反しているとはみなされません。
なお、Google が個人情報と解釈していないデータであっても、GDPR や CCPA などのプライバシー法の下では、個人データや個人情報とみなされることがあります。この記事は、これらの法律の下での個人データや個人情報に関連する契約条項やポリシーに影響を与えるものではありません。
しかし、アプリによっては、どうしてもGETリクエストを使用しなければいけないような場合も生じることがあるかもしれない。
そのような場合は、下記のようにしてGAへ送信する際に、URLを正規化しておく。
// analytics.js
// 送信するURLを変更
ga('set', 'location', 'http://example.com/example?a=b');
// 送信するタイトルを変更
ga('set', 'title', 'New Title');
また個人情報をハッシュ化すれば、送信しても構わない。
その場合は、8文字以上のソルトを使用することが推奨されている。
適切な暗号化レベルを使用している場合に限り、個人情報を含む ID やカスタム ディメンションは、暗号化したうえで Google アナリティクスに送信することができます。Google は、SHA256 によるハッシュ化を最小要件とし、8 文字以上のソルトを使用することを強くおすすめしています。ただし、ハッシュやソルトを使用していても、HIPAA で定義されている「保護されるべき医療情報」を暗号化して送信することはできません。
https://support.google.com/analytics/answer/6366371?hl=ja