Mixpanelが収集するもの

Mixpanel SDK（cdn.mxpnl.comから読み込まれるか、セルフホスト）はグローバルなmixpanelオブジェクトを初期化し、生成されたディスティンクトIDを含むMixpanel所有のクッキーでユーザーを識別します。その瞬間から、mixpanel.track()へのすべての呼び出しは、イベントペイロード（イベント名、プロパティ、ディスティンクトID、および自動キャプチャされたプロパティのセット（ユーザーエージェント、OS、リファラー、UTMパラメータ、画面解像度、タイムゾーン））をMixpanelの取り込みエンドポイントに報告します。SDKは、DOMを監視し、明示的な計測なしにクリック、ページビュー、フォーム送信イベントを発行するAutocaptureモードもサポートしており、収集される対象範囲を劇的に拡大します。

ユーザーが認証し、アプリケーションがmixpanel.identify(user_id)を呼び出すと、それ以降のすべてのイベント（および設定によってはそれ以前のすべての匿名イベント）が認証されたアイデンティティに関連付けられます。この遡及的な関連付けは、Mixpanelの最も有用な機能の1つであり、プライバシーの観点からは最も露出度の高い機能の1つです。同意前に収集された匿名の閲覧行動が、そのユーザーがログインした瞬間に遡及的に識別されたプロファイルにリンクされます。

「プロダクト分析」という枠組みが同意から逃れられない理由

プロダクトおよびエンジニアリングチームからよくある主張は、Mixpanelのデータはマーケティングや広告ではなく内部のプロダクト決定のためのものであり、この内部使用の枠組みがGDPRの正当な利益の根拠の下で十分な正当化となるべきだというものです。この主張は、規制当局が明確にしている3つの理由から大部分が誤っています。

処理は依然として個人データ処理である

なぜデータが収集されているかに関係なく、クッキーはePrivacy Article 5(3)の下で非必須であり、イベントはGDPRの個人データの定義の下で永続的な識別子を運びます。合法的根拠の分析は、他のトラッキングスクリプトと同じです。

正当な利益にはバランステストが必要

CNIL、ICO、およびEDPBはすべて、行動分析のための正当な利益には、処理が必要であり、比例的であり、ユーザーの合理的な期待を上回らないことを示す文書化された評価が必要であることを明確にするガイダンスを書いています。ユーザーレベルのイベントデータを受信する第三者SaaSベンダーの場合、そのバランステストは明示的な同意なしに成功することはほとんどありません。

国境を越えた移転は独立している

収集自体の正当な利益を確立できたとしても、Mixpanelの米国インフラストラクチャへの国際移転には、同意または契約上の保護措置が正当な利益だけよりもクリーンに満たす独自の合法的根拠要件があります。

ネイティブなMixpanelプライバシーコントロール

Mixpanelは、同意ゲート型の導入をサポートするように設計された意味のあるプライバシープリミティブのセットを公開しています。ほとんどのプラットフォームと同様に、同意決定が上流に存在すると仮定しており、自分自身では収集しません。

opt_out_tracking

mixpanel.opt_out_tracking()呼び出しは、SDKがイベントを送信するのを停止し、セッション間でオプトアウトの設定を永続化します。これを、ユーザーがCMPで分析カテゴリを受け入れたときのmixpanel.opt_in_tracking()とペアにします。SDKは、再初期化を必要とせずに、その後のすべての呼び出しでこの設定を尊重します。

has_opted_out_tracking

現在のオプトアウト状態を返すクエリ関数で、ページロードまたはルート変更時にSDK状態をCMP状態と同期するのに便利です。

EUレジデンシーオプション

Mixpanelは、イベントデータをFrankfurtベースのインフラストラクチャ内に保持するEUデータレジデンシープロジェクトタイプを提供しています。これは国境を越えた移転の懸念の意味のある部分に対処し、EUレジデンシーが厳格な要件であるプロジェクトには正しい構成です。同意要件を排除するものではありません。

set_config({ ip: false })

IPアドレスキャプチャを無効にし、各イベントの個人データフットプリントを削減します。同意ゲーティングと並行して多層防御手段として有用です。

ステップバイステップのCMP統合

確実に機能する統合パターンは、デフォルトでオプトアウト状態でMixpanelを初期化し、ユーザーがCMPで分析カテゴリを受け入れたときにユーザーをオプトインすることです。

1. オプトアウトデフォルトでMixpanelを初期化

アプリケーションのブートストラップのできるだけ早い段階でmixpanel.init(token, { opt_out_tracking_by_default: true })を呼び出します。これによりSDKが読み込まれますが、opt_in_tracking()が呼び出されるまでイベントの送信が防止されます。

2. 同意コールバックを接続

CMPが分析カテゴリ承認イベントを発火したときに、mixpanel.opt_in_tracking()を呼び出します。オプトアウト期間中にキャプチャされたキューに入れられたイベントは通常破棄されます。それらを保持する必要がある場合は、SDKのキューイング動作を明示的に構成し、同意前期間のイベントが同意後に送信されるという小さなリスクを受け入れます。

3. 取り消しを処理

ユーザーが後で同意を取り消した場合、mixpanel.opt_out_tracking()を呼び出します。これにより、さらなるイベント取り込みが停止します。履歴データの完全な削除には、アプリケーションはさらにMixpanelの削除APIを呼び出すか、Mixpanelプロジェクト UIから削除リクエストをトリガーする必要があります。

4. 明示的な同意なしに遡及的なアイデンティティマージを避ける

ユーザーが識別前の閲覧をプロファイルに結び付けることに同意していない限り、identify呼び出しの遡及的マージ動作を無効にします。MixpanelのSDKオプションはこれのためのフラグを公開しています。保守的なデフォルトは「遡及的マージなし」です。

5. EUトラフィックにはEUレジデンシープロジェクトを使用

EUレジデンシーが重要なプロジェクトの場合、EUトラフィックをEUレジデンシーMixpanelプロジェクトに、米国/その他のトラフィックを別のプロジェクトにルーティングします。SDKは、ユーザーの検出された地域に応じて異なるトークンの読み込みをサポートしています。

よくある落とし穴

4つの統合ミスが、Mixpanel導入の監査結果のほとんどを占めています。

内部使用であるためMixpanelを免除として扱う

これは最も一般的なミスです。データは個人データであり、クッキーは非必須であり、第三者への移転は、データが下流でどのように使用されるかに関係なく現実のものです。他のトラッカーと同様に、Mixpanelを分析同意の下でゲートしてください。

Autocaptureをデフォルトでオンのままにする

Autocaptureは送信される対象範囲を劇的に拡大します。すべてのクリック、すべての入力フィールドのインタラクション、すべてのページビューです。リスク表面はそれに応じて拡大します。ほとんどのSaaS導入では、明示的な計測がAutocaptureよりもクリーンなデータと小さな監査フットプリントを生成します。特定の理由がない限り、Autocaptureをオフにしてください。

遡及的なアイデンティティマージを忘れる

デフォルトの識別動作は、匿名イベントを現在識別されたユーザーに関連付けます。ユーザーがログインした瞬間にのみ分析同意を受け入れた場合、同意前の匿名閲覧の遡及的関連付けは文書化の問題を生じます。遡及的マージを無効にするか、同意後のイベントに明示的に制限してください。

EUレジデンシーの仮定をハードコーディングする

驚くほど多くのチームが、同意がレジデンシーの質問をカバーするという仮定の下で、すべてのトラフィックを米国レジデンシーのMixpanelプロジェクトにルーティングしています。それはカバーしません。同意とレジデンシーは独立したコンプライアンスの質問です。グローバルデフォルトではなく、検出された地域によってルーティングしてください。

監査チェックリスト

EU、UK、またはカリフォルニアのトラフィックに触れるあらゆるMixpanel導入について答えるべき6つの具体的な質問です。

• Mixpanelはオプトアウトで開始しますか？ SDKがopt_out_tracking_by_default: trueで初期化され、同意前にイベントが発火しないことを確認してください。
• オプトインは正しいCMPイベントで発火しますか？ 分析承認コールバックが、より許容的なイベントではなくopt_in_tracking()を呼び出すことを確認してください。
• Autocaptureは必要ですか？ オンになっている場合は、その理由を文書化してください。そうでない場合は、無効にしてください。
• 遡及的マージは無効になっていますか？ 識別呼び出しが同意前の匿名動作を新しく識別されたプロファイルに関連付けないことを確認してください。
• EUトラフィックはEUレジデンシープロジェクトにありますか？ ルーティングロジックがEU訪問者をEUプロジェクトトークンに送信することを確認してください。
• 削除リクエストは自動化されていますか？ DSARリクエストが手動チケットではなくMixpanelの削除APIをトリガーすることを確認してください。

同意ファーストスタックにおけるMixpanelの位置づけ

プロダクト分析プラットフォームは、プロダクトチームがしばしば抵抗する規制カテゴリを占めています。彼らはMixpanelを第三者トラッカーとしてではなく、内部インフラストラクチャとして考えたいのです。規制当局はその区別をしておらず、過去2年間の執行措置は、彼らがそうしないことを明確にしています。正しいアーキテクチャは、Mixpanelを他の第三者分析表面とまったく同じように扱います。同意の背後でゲートし、プラットフォームのネイティブなオプトインプリミティブを使用してゲートを強制し、EUトラフィックをEUレジデンシーインフラストラクチャにルーティングし、比例的な分析上の利益なしに監査表面を拡大する機能（Autocapture、遡及的識別マージ）を無効にします。正しく行われれば、プロダクトチームは必要なファネルおよびリテンションデータを保持し、法務チームは監査下で導入を擁護するために必要な文書を保持します。