保存期間の制限は2026年のアナリティクス執行の最前線

GDPRで高くつく問いは、かつてはこれを収集する適法な根拠があるかだった。2026年にはなぜこれがまだデータベースに残っているのかになった。2つの執行事案が、保存を文書の脚注から最前線へと押し上げ、アナリティクスシステムはまさにその影響圏内にある。

標的を変えた2つの決定

2026年1月13日、CNIL はFree Mobileに2,700万ユーロ、Freeに1,500万ユーロの制裁金を科した。報道の多くは2,400万件の加入契約を露出させた2024年の侵害に焦点を当てたが、決定は 第5条1項(e) —— 保存期間の制限 —— にも直接言及した。Free Mobileは、正当な理由なく 10年以上前に解約された280万件の契約 のデータを保持していた。データは違法に収集されたのではない。違法に保持されたのだ。

その1か月後、EDPB は2025年の協調執行アクションの結果を公表した。32のデータ保護当局が764の管理者を消去の実践について調査し、2つの体系的な欠陥を発見した。すなわち、内部のデータ分類が存在しないこと、そしてITシステム自体に自動削除が存在しないことである。技術的に何も執行しない文書化された保存ポリシーは、軽減要因ではなく加重要因として扱われた。

シグナルは明白だ。規制当局は今や収集が行われたことを前提とし、削除を監査する。

なぜアナリティクスが調べるべき明白な対象なのか

第5条1項(e)に基づく保存期間の制限は、個人データを目的が要求する以上に識別可能な形で保持してはならないと定める。ほとんどのアナリティクススタックは、これに静かに違反している。

典型的なイベントテーブルは、安定した識別子 —— cookie ID、デバイスID、ハッシュ化したメールアドレス —— に紐づけて、相互作用ごとに1行を、タイムスタンプ付きで有効期限なしに保存する。スキーマは「あとでクエリしたくなるかもしれない」が成り立ち続けるよう、すべてを永久に保持する設計になっている。それこそが、CNILが処罰した 念のための保持 である。

問題が深刻化するのは、行を個人データにするのが識別子そのものだからだ。user_id = a91f... が数か月分のイベントを通じて人物に結びつけられる限り、それらの行の一つひとつが対象範囲に入り、一つひとつがアクセス・消去請求の対象となり、一つひとつが侵害時の責任となる。保存はストレージのコストではない。時間で測られる露出リスクである。

書き込み時の最小化は読み取り時の削除に勝る

恒久的な解決策は、古い行を刈り取るより優れたcronジョブではない。識別可能な形がそもそも一切残らないデータモデルである。

Monoidのアイデンティティモデルはこれを中心に構築されている。訪問者は日次ハッシュだけで表される。

SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

生のIPとUser-Agentは、そのハッシュを計算するのに必要なだけWorkerのメモリ上に存在する。D1が保存するのはハッシュであり、生の値ではない。日付が入力であるため、同じ訪問者のハッシュは毎晩0時に変わる。保持すべき日をまたぐ安定した識別子が存在しないため、保存期間の制限が標的とするセッションをまたぐプロファイルは蓄積され得ない —— ポリシーによってではなく、構造によって。

これが 書き込み時のデータ最小化 である。あとで紐づけを削除する必要はない。そもそも書き込んでいないからだ。消去すべき恒久的なキーが存在しなければ、消去請求は些末なものになる。

実際に証明できる保存

保存期間の制限には依然として外側の上限が必要であり、擁護できる上限は、長く理想的なものではなく、短く執行されたものだ。Monoidはページビューデータを最大でも 730日 間しか保持しない。2年はトレンド分析のための意図的な上限であり、削除はポリシーのPDF上の一行ではなく、テーブルに対する実際の操作である。EDPBの所見は、執行を伴わないポリシーこそ調査がつけ込む隙間だというものだった。実際に実行される保存がそれを塞ぐ。

組み合わせは、どちらか一方よりも重要だ。日次でローテーションするハッシュは、保存が適用される前からデータがすでに集計された形をしていることを意味する。730日の削除は、その集計シグナルでさえ、明確で実証可能な終わりを持つことを意味する。

依存するアナリティクスをどう見極めるか

サイトの背後にどんなアナリティクスがあろうと、規制当局が監査した内容に直接対応する3つのチェックがある。

• **時間をまたいでレコードを人物に結びつけるすべてのフィールドを見つける。**安定したuser ID、永続的なcookie値、生のIP、fingerprint。それぞれがイベントログを保持されたプロファイルへと変える —— だからこそ、あなたが使うアナリティクスがそれらのいずれかをそもそも保存しているのかを問うべきだ。
• **保存期間がいつ適用されるかを問う —— 取り込み時か、それとも四半期レビューか。**データが書き込まれるときに行われる最小化は、誰かが実行を覚えておかなければならない削除ジョブに勝る。最も強い答えは、識別可能な形がそもそも一度も保存されなかったモデルである。
• **削除が実証可能かを問う。**ベンダーが、実際に実行される厳格な保存上限を指し示せないなら、それが持っているのはポリシーであって制御ではない —— そしてEDPBの一斉調査は、2つのうちどちらが制裁金を科されるかをたった今教えてくれた。

監査で最も安く守れるデータは、識別可能な形で一度も保持しなかったデータだ。保存期間の制限は、もはやプライバシーポリシーで言い換える条項ではない。それは次の調査が測定するものであり、それに答えるアーキテクチャは、そもそも削除すべきプロファイルを持たなかったアーキテクチャである。

出典

• GDPR 第5条 — 個人データの取扱いに関する原則（保存期間の制限）
• 規則 (EU) 2016/679（GDPR）、EUR-Lex 公式テキスト
• EDPB — 消去権の実施に関する 2025 年協調執行アクション
• Google Analytics 4 — データ保持