Consent·Privacy·PII 거버넌스
GA4 Consent Mode, PII 금지, data redaction, 내부 트래픽과 광고 연동 책임을 설계 기준으로 정리
GA4 고급 설계에서 개인정보와 동의는 부록이 아니라 측정 아키텍처의 일부입니다. 이벤트 사전이 정확해도 URL, page title, search term, form field, campaign parameter에 개인 식별 정보가 들어가면 데이터 자체를 신뢰하기 어렵습니다.
Consent type 기준
Google Analytics Help는 consent mode에서 사용자가 각 consent type을 grant 또는 deny할 수 있다고 설명합니다. 웹/SaaS에서는 최소한 아래 consent state가 태그 발화, cookie storage, 광고 연동에 어떤 영향을 주는지 문서화해야 합니다.
| Consent type | 의미 | GA4 설계 판단 |
|---|---|---|
analytics_storage | 분석 목적 저장소 사용 | GA4 session/user 측정의 기본 동의 축 |
ad_storage | 광고 관련 저장소 사용 | Google Ads/remarketing 연동 시 별도 확인 |
ad_user_data | 광고 목적 사용자 데이터 전송 | enhanced conversions, tag-based conversion tracking 영향 |
ad_personalization | 개인화 광고 사용 | remarketing audience 사용 전 검토 |
functionality_storage | 기능성 저장소 | 언어/설정 등 서비스 기능과 분리 |
security_storage | 보안 목적 저장소 | 인증, fraud prevention 등 필수 기능과 분리 |
동의 상태별 QA
| 상태 | 확인할 것 |
|---|---|
| Analytics granted | GA4 이벤트와 필수 파라미터가 정상 수집 |
| Analytics denied | cookie/client ID 저장과 이벤트 처리 방식 확인 |
| Ads denied | remarketing/ad personalization audience 동작 확인 |
| 전체 denied | CMP, GTM consent state, 태그 발화 제한 확인 |
| 동의 변경 | deny → grant 전환 시 중복 발화와 session 해석 확인 |
PII 유입 경로
Google은 Analytics로 Google이 개인 식별 정보로 인식하거나 사용할 수 있는 데이터를 보내지 말라고 안내합니다. 특히 URL과 page title은 기본 tag가 수집하므로 가장 자주 새는 지점입니다.
| 경로 | 예시 | 대응 |
|---|---|---|
| URL path/query | /invite?email=a@example.com | URL 설계 수정, query redaction |
| Page title | 홍길동님의 결제 페이지 | title template 수정 |
| Form field | 검색창/문의폼에 입력된 이메일 | 전송 전 제거, form tracking 제한 |
| Campaign parameter | utm_content=user_email | UTM 생성 규칙 통제 |
| Custom dimension | customer_name, phone | 등록 금지, surrogate/hash 검토 |
| User ID | 이메일/전화번호 원문 | 내부 ID 또는 안전한 대체 식별자만 사용 |
| Geolocation | precise lat/lng | fine-grained location 전송 금지 |
Data redaction 운영
| 항목 | 운영 기준 |
|---|---|
| Email redaction | web stream의 data redaction 기능 확인 |
| Query parameter redaction | email, phone, name, token, invite 등 금지 후보 등록 |
| Form interaction | Enhanced Measurement form interactions 사용 전 PII QA |
| Site search | search term에 PII 입력 가능성이 있으면 별도 처리 |
| Debug sampling | DebugView 화면 캡처에도 PII가 없도록 확인 |
광고 연동 책임
| 연동 | 확인 |
|---|---|
| Google Ads link | key event와 audience가 광고 최적화에 쓰이는지 |
| Remarketing audience | ad_personalization consent와 정책 기준 |
| Enhanced conversions | ad_user_data consent와 hashing/전송 방식 |
| Search Console link | organic query와 landing behavior 해석 범위 |
| BigQuery Export | raw event data 접근 권한과 retention |
내부 거버넌스 체크리스트
| Check | Owner |
|---|---|
| 이벤트 사전에 privacy note가 있다 | Data owner |
| custom dimensions에 PII 후보가 없다 | Analytics admin |
| URL/query/page title redaction이 검토됐다 | Web owner |
| CMP와 GTM consent state가 QA됐다 | Marketing ops |
| BigQuery dataset 권한이 least privilege다 | Data platform |
| 광고 audience 사용 목적이 문서화됐다 | Growth/Legal |
법률 자문이 아님
이 장은 Google Analytics 공식 문서와 일반적인 데이터 거버넌스 기준을 제품 설계 언어로 정리한 것입니다. 국가별 개인정보보호법, 광고 동의, 위탁/제3자 제공 여부는 법무 검토와 함께 판단하세요.