Pendoによって収集されたすべてのデータは、機密データとして扱われます。お客様のデータに関するプライバシー、ポリシー、およびコンプライアンス要件をさらにサポートするために、Pendoはデータ収集を防止するさまざまな方法をご提供します。これらの方法を使用すると、アプリケーション全体または一連のユーザーの一般データの収集を防止したり、特定のデータ属性の収集を回避したりできます。
条件付きでPendoを初期化する
Pendoによるデータ収集を防止する最も一般的な方法は、特定の状況下でPendoの初期化を一切行わないことです。つまり、特定の条件が満たされた場合にのみPendoを初期化します。詳細については、条件付きでPendoを初期化するを参照してください。以下の疑似コードはその例です。
if ( condition ) {
}
else {
pendo.initialize(...)
}
処理禁止(DNP)オプション
「処理禁止」(DNP)オプションを使用して、Pendoのアナリティクス、ガイドおよびリプレイのキャプチャから特定の訪問者やアカウントをオプトアウトすることで、Pendoの特定の訪問者やアカウントに関するデータ収集を防止できます。ただしDNPオプションでは、履歴データは削除されません。
DNPオプションは通常、企業が一般データ保護規則(GDPR)の要件に準拠するため、およびエンドユーザーが個々のデータの権利を行使できるようにするために使用されます。お客様は、消去の権利といったデータの権利をエンドユーザーに代わって行使できます。その際は、Pendoの削除エンドポイントを使用してプログラム的に実施するか、またはPendoサポートに連絡することになります。
訪問者またはアカウントにDNPオプションを適用すると、Pendoエージェントは既存のデータを直ちに破棄し、該当する訪問者またはアカウントのその後のイベントに関するデータを収集しなくなります。訪問者またはアカウントは追跡されなくなり、ガイドも受信しません。
PendoにDNPオプションを設定する方法は次のように2通りあります。
- Pendo UIを介して手動で使用する。
- Pendoのエンドポイントをプログラムで使用する。
DNPの設定方法と、処理対象から除外された訪問者とアカウントを確認する方法については、DNPを使用して追跡からオプトアウトするを参照してください。
手動で処理禁止をオンにする
Pendo UIの個々の訪問者またはアカウントの詳細ページでDNPオプションをオンにできます。
- 左側のメニューから[ピープル(People)]に移動します。
- 必要に応じて、[訪問者(Visitors)]または[アカウント(Accounts)]を開きます。
- データ収集をオプトアウトしたい訪問者またはアカウントを見つけて選択します。
- 選択した訪問者またはアカウントの[Overview(概要)]タブで、[処理禁止(GDPR)(Do Not Process (GDPR))]チェックボックスを選択します。
Pendo UIに表示される訪問者またはアカウントは、すでに少なくとも1回は追跡されています。UIで[処理禁止(GDPR)]を手動で選択すると、追加のデータは追跡されなくなります。
プログラムで処理禁止をオンにする
Pendoオプトアウトエンドポイントを使用すると、DNPオプションをオンにできます。詳細については、DNPを使用して追跡からオプトアウトするおよびEngage APIドキュメントを参照してください。また、以下をプログラムで実施することもできます。
- Pendoの一括削除エンドポイントを使用して、大量の訪問者やアカウントを一括削除する
- Pendoのアグリゲーションエンドポイントを使用して既存のDNPレコードを取得する
IPアドレスと位置情報検出を無効にする
Pendoサーバー(ログとデータベースの両方)によって、IPアドレスなどのジオロケーション情報の収集を無効にするようリクエストできます。
現在、ジオロケーションはPendo UIでは使用されていませんが、このデータポイントに関連するフィーチャーが今後追加される可能性があります。その場合、IPアドレスとジオロケーションの記録が無効になっているサブスクリプションは、これらのフィーチャーを利用できなくなります。
ジオロケーションの記録を無効にするには、Pendoテクニカルサポートにお問合せください。
Cookieを無効にする
PendoはデフォルトでlocalStorageを使用し、特定の条件が満たされた場合にCookieにフォールバックします。詳細については、エージェントのCookieの記事を参照してください。
Cookieを無効にすると、以下のような影響が生じる可能性があります。
- 認識されていない訪問者を追跡することにより、一意の訪問者数よりも匿名の訪問者数の方が多くなる可能性があります。これは、認証の有無に関係なく、ページが読み込まれるたびに新しい訪問者IDが生成されるためです。認識されていない訪問者を追跡している場合は、Cookieを無効にすることはお勧めしません。
- Cookieが有効になっていない訪問者に対しては、ガイドのスロットリングが正しく機能しない可能性があります。
- ガイドが同じ訪問者に複数回表示される場合があります。
- [自分のみ(Only Me)]のセグメントは、認識されていないユーザーが再認識されるまで中断されます。
- 既存のすべてのCookieが有効期限が切れるまで保持されます。
Cookieの使用を無効にするには、以下に示すように、PendoのインストールスクリプトのinitializeメソッドでlocalStorageOnlyをtrueに設定します。
pendo.initialize({
localStorageOnly: true,
visitor: {
id: 'joe@acme.com'
},
account: {
id: 'Acme'
}
});
上記の例では、すべての訪問者に対してCookieを無効にします。条件付きロジックを使用すると、欧州連合内の訪問者やCookieをオプトアウトする訪問者など、特定の訪問者に対してCookieを無効にできます。
特定のHTML要素を無視する
要素にpendo-ignoreクラスを追加して、その要素に関するすべてのデータ収集を防止できます。たとえば、BODY要素にpendo-ignore追加すると、すべてのデータが収集されなくなります。詳細については、特定の要素の追跡を除外するを参照してください(データ収集におけるHTML属性の記事)。
特定のHTML属性を除外する
Pendoは、HTML属性を収集します。これについては、データ収集におけるHTML属性の記事で説明しています。たとえば、データ属性にPIIが表示されている場合などに特定のHTML属性の収集を防止するには、Pendoテクニカルサポートに依頼し、htmlAttributeBlacklistにそのHTML属性を追加する必要があります。これにより、Pendoは今後のすべてのクリックイベントやフォーカスイベントにおいて、指定した属性を収集しなくなります。
インナーテキストを除外する
Pendoは、要素に含まれるテキストを収集します。これについては、データ収集におけるHTML属性の記事で説明しています。たとえば、PIIが表示されている場合などに要素のinnerTextの収集を防止するには、以下に示すように、Pendoのインストールスクリプトの初期化方法でexcludeAllTextをtrueに設定します。
pendo.initialize({
excludeAllText: true,
visitor: {
id: 'joe@acme.com'
},
account: {
id: 'Acme'
}
});
excludeAllTextを有効にすると、allowedTextを使用して特定のテキスト文字列を許可リストに登録できます。詳細については、エージェントAPI資料のアナリティクスを参照してください。テクニカルサポートに問い合わせて、デフォルトでallowedText値を含めることもできます。
URLを変換する
ロケーションAPIを使用して、Pendoエージェントがアプリケーションから受け取るブラウザのURLを変更できます。実際のアプリケーション上では元のブラウザのURLがそのまま使用され、エンドユーザーに対してはブラウザのURLのみが表示されます。一方、Pendoエージェントはより詳細でサニタイズされたバージョンのURLを受け取り、その情報をアナリティクスやガイドのターゲット設定に活用します。
詳細については、テクニカルノート:ロケーションAPIを使用してPendoが収集したURLを変換する(ウェブのみ)を参照してください。
除外リスト
除外リストは、Pendo管理者が [設定(Settings)]>[除外リスト(Exclude lists)]で利用できるサブスクリプション全体の設定です。除外リストを使用してデータの収集を防止することはできませんが、Pendo UIからデータを削除できます。
Pendoはイベントを使用して指標を計算します。除外リストは、サーバーのホスト名またはドメイン、送信元IPアドレス、訪問者ID、アカウントIDのフィルター設定のうち少なくとも1つと一致し、[除外リストに含まれるアカウントと訪問者(Exclude lists Accounts and Visitors)]を除くすべてのセグメントの詳細と指標の計算からイベントを除外します。
詳細については、除外/包含リストを参照してください。
サインアウト時にユーザーメタデータを消去する
セッションの最後に、保存されているユーザーメタデータを消去することができます。これは、特に複数の匿名の訪問者が同じコンピューターを使用する場合に便利です。保存されたメタデータが消去されていない場合、新しい匿名の訪問者の行動は、以前に識別された訪問者のものとして認識されます。
この問題を解決するには、訪問者がサインアウトしたとき、またはログイン画面などで次の訪問者を識別する前に、アプリケーションでpendo.clearSession()を呼び出します。期限切れのCookieが検出されたときに読み込まれるログイン画面では、想定どおりにログアウトやタイムアウトせずにブラウザを閉じた時に終了したセッションを捕捉するため特に重要です。