2026年版 EUのベストURLショートナー（そしてそれが重要な理由）

「EU URLショートナー」という言葉はあいまいに使われることがあります。市場を概観する前に、2点を明確にしておく必要があります。EUに本社を置くベンダーが必ずしもEU内でデータを処理しているとは限りません。また、EUでデータを処理しているベンダーが、それを契約上の拘束力のある条項として明示しているとも限りません。購入者側の問い - 「EU域内のデータ主体に関する個人データがEEA内に留まることを書面で要求できるか？」 - これらの区別を包括し、イエス・ノーの回答を求めるものです。

この記事は、2026年においてどのURLショートナーがその基準を実際に満たしているか、その基盤インフラがどのようなものか、そして運用の実態に対してデータ居住地の主張をどう読み解くかについての実務的なコンプライアンスの考察です。公的なソース - 価格ページ、サブプロセッサーリスト、セキュリティページ、リクエストに応じて提供される標準DPA - から検証可能なものに主張を限定しています。ベンダーのスタンスが曖昧な場合は、その旨を明示しています。

Elidoも選択肢の一つです。代替案に対するトレードオフについては、具体的に述べます。

「EUショートナー」が実際に意味するもの#

3つの層があり、ベンダーはそのいずれかで「EU」を主張できます。これらは同等ではありません。

法人格。 企業がEU加盟国で設立されていること。これは最も検証しやすい主張（Companies House、現地の商業登記簿）であり、運用上の意味では最も重要度が低いものです。ベルリンに本社を置き、AWS US-Eastでホスティングしているベンダーは、企業的な意味ではEU内にありますが、データ処理という意味ではEU外にあります。

ホスティングリージョン。 データがEU/EEA内に位置するインフラで処理されること。これは運用上意味のある主張です。直接検証するのは難しく、サブプロセッサーリストを読んでハイパースケーラーのリージョンを特定する必要がありますが、DPOが実際に気にするのはこの主張です。

契約上のデータ居住地条項。 顧客契約またはDPAに、EU/EEAを離れないというデータに関する拘束力のあるコミットメントが含まれていること。これは調達部門が規制当局向けの義務を満たすために使用するものです。この条項がなければ、今日たまたまEU内でホスティングしているベンダーでも、来四半期には契約に違反することなく米国リージョンにルーティングを変更できます。

真剣なEUショートナーは3つすべてを満たします。最初または2番目のみを満たすベンダーが「EU対応」という婉曲表現で販売されるものです。

これらの区別が重要な理由の条文レベルの根拠については、URLショートナーのためのGDPRコーナーストーンで説明しています。この記事はベンダーの状況に焦点を当てています。

サブプロセッサーリストの読み方#

真剣なSaaSはすべてサブプロセッサーリストを公開しています。このリストはDPOが読む成果物であり、ベンダーがデータ居住地の問いに対してどのように考えているかの最も信頼できるシグナルでもあります。

チェックすべき点：

ハイパースケーラーのリージョン名が明記されているか。 「AWS」だけでは不十分です。「AWS eu-central-1」が使えます。GCP（europe-west1）やAzure（westeurope、germanywestcentral）も同様です。
CDNのリージョン動作。 CloudflareとFastlyはデフォルトでグローバルです。ベンダーはEUサブセットが適用されているかどうかを文書化すべきです（CloudflareのRegional Servicesはただひとつのデータプレーンオプションです）、またはCDNがデフォルトのグローバルルーティング状態のままかどうか。
メールおよび通知プロバイダー。 Postmark、SendGrid、Mailgun、Resend - ほとんどは米国でホスティングされています。サブプロセッサーリストに含まれている場合、トランザクションメールにはEU域内のデータ主体の識別子（受信者のメールアドレス）が含まれており、データ居住地の主張にはそれらのベンダーを含めるか、トランザクションメールを主張の対象範囲から除外する必要があります。
決済プロバイダー。 多くは米国でホスティングされています（Stripeが典型例）。B2B SaaSでは通常問題ありません - 共有されるデータは購入者の請求先連絡先であり、エンドユーザーのクリックデータではありません - しかし開示すべきです。
サブプロセッサーの数。 少ない方が読みやすいです。5つのリストは午後半日で監査できますが、40つのリストはベンダーが追加するたびにメンテナンスの負担になります。

リストはシグナルです。サブプロセッサーリストを見せようとしないベンダーは、この会話に加える価値がありません。

ショートリスト#

執筆時点でのEUホスティングセグメントの状況です。契約上の意味が異なるため、デプロイメントモデル別にグループ化しています。

Elido、Capsulink、Switchy、Bitly、Rebrandly、Short.ioのEUポジション評価マトリックス。EUデータ居住地条項、事前署名済みDPA、サブプロセッサー数、認証取得状況、ホスティングリージョンでスコア付けし、Elidoのをトップに強調表示

ホスティングSaaS、デフォルトでEUリージョン#

これらは、デフォルトでEU内の顧客データを処理し、契約上文書化されたデータ居住地のコミットメントを持つ商業的なショートナーです。

Elido。 デフォルトでEUリージョン。Business+顧客はトラフィックプロファイルに応じて米国東部またはアジア太平洋に固定できます。サブプロセッサーリストは合計5つで/trustに公開されています。DPAは標準顧客契約で事前署名済み。Article 28の義務は交渉なしで対応しています。ISO 27001認定取得済み。SOC 2 Type IIは審査中（目標：2026年H2）。データプレーンの完全制御を望む組織向けのApache 2.0セルフホスト版もあります。開示：筆者はElidoに勤務しています。

Capsulink（capsulink.com）。リトアニア・ビリニュス拠点。ホスティングリージョンはEUとして文書化されており、サブプロセッサーリストは適度に小さいです。確立された商業的なショートナーと比べて機能が限られており - スマートリンクルールの深みやサーバーサイドのコンバージョン転送は薄め - しかしデータ居住地のスタンスは、ブランドドメインを使った単純なリンク短縮が用途のチームにとってはクリーンです。

Switchy（switchy.io）。キプロス拠点、EUホスティング。マーケティング機能面が強い（CTAオーバーレイ、リターゲティングピクセル）。データ居住地条項は標準契約に含まれており、サブプロセッサーは公開ではなくリクエストに応じて文書化されています。

EU購入者にマーケティングするすべてのショートナーをリストアップしたわけではありません - ホスティングリージョンを個人的に検証し、契約でデータ居住地条項を確認したものだけに絞っています。他にも「EU対応」として自称しながら米国インフラを利用しているベンダーが複数あります。購入者側の調査プロセスには、最初の問い合わせでのサブプロセッサーに関する質問を必ず含めてください。

ホスティングSaaS、EUリージョン利用可の米国デフォルト#

主に米国で運営されているが、EUのポジションを持つ大手ショートナーです。

Bitlyは執筆時点では米国ホスティングです。公開されているサブプロセッサーページでは、US-Eastが主要とされています。エンタープライズ顧客はEUデータ居住地条項を交渉できますが、それは標準的な提供ではなくカスタム契約の交渉が必要です。実務的な意味：契約でEUデータ居住地を要求する購入者は、Bitly側で6〜8週間の調達サイクルを見込む必要があります。コスト面のトレードオフの詳細については、Elido vs Bitlyの記事をご覧ください。

Rebrandlyはイタリアに本社を置いていますが、米国とEUにまたがるリージョンのAWS上でホスティングされています。標準契約にはEUのみの条項は含まれていません。エンタープライズ顧客のリクエストに応じて提供されます。調達上の同様の注意事項があります。

Short.ioはエストニアに本社を置いています（EU加盟国から運営しているためGDPRネイティブという意味で重要なシグナル）が、標準契約での公開されたリージョン固定なしのAWS上でホスティングされています。データ居住地の交渉は開かれていますが、デフォルト契約はそれを拘束しません。

公開資料から検証可能なものを説明しています。調達段階にいる場合は、各ベンダーの営業チームに標準サブプロセッサーリストとデータ居住地条項の文言を直接求めてください。1営業日以内に両方を提供できないベンダーは、調達準備状況について何かを示唆しています。

セルフホスト#

自社VPC内にデータプレーンを置きたい組織 - 規制によるデータローカリゼーション要件のある金融サービス、公共部門の購入者、医療システム - にとって、セルフホスティングはデータ居住地の問いへの最もクリーンな答えです。

Elidoセルフホスト版。 Apache 2.0 Helmチャート。自前のKMS、データベース、分析ストア、キャッシュを持ち込みます。ホスティングサービスで動いているものと同じコードがセルフホストでも動きます。デプロイについてはセルフホスティングのプレイブックに、Helmチャートは公開リポジトリに文書化されています。

YOURLS（yourls.org）。老舗のセルフホストショートナーです。PHPベース、MySQLバックエンド。メンテナンスされていますが、コードベースは2009年の起源を反映しています - スマートリンクルーティングが限られており、ネイティブのサーバーサイドコンバージョン転送がなく、アナリティクス層は基礎的です。用途が「自社管理下の最小限のショートリンクインフラ」の場合に適しています。機能豊富なショートナーを求める場合には向いていません。

Shlink（shlink.io）。PHP/Symfonyで構築されたモダンなセルフホストショートナーです。積極的なメンテナンス、適切な機能面（スマートリンク、カスタムドメイン、REST API）、MITライセンス。チームはスペインに拠点を置いています。用途が中程度の機能のセルフホスティングで、運用できる体制がある場合の合理的な中間点です。

Kutt.it（kutt.it）。オープンソースのTypeScript/Nodeショートナーで、セルフホスト可能です。Shlinkより機能は少なく、ホスト版は存在しますが商業エンティティではなく個人によって運営されています。非常に小さなチームに適しています。

オープンソースの選択肢全体のトレードオフパターン：機能面は商業ホスティング版より実質的に劣ります。評価基準にスマートリンクルールの深み、サーバーサイドのコンバージョン転送、ブランドドメインのワイルドカード、SSO/SCIM、または事前署名済みDPAが含まれる場合、オープンソースの道ではそれらを自分で構築することになります。基準が純粋に「自社VPC内のショートリンクへの最小限のコントロール」であれば、堅実な選択肢です。

ベンダーに聞くべき質問#

ショートナーのデータ居住地スタンスを最も素早く把握する方法は、最初の問い合わせコールです。8つの質問、1営業日、書面での回答。

今日契約した新規顧客のホスティングリージョンは何ですか？ハイパースケーラーのリージョンを名指しで教えてください。
ホスティングリージョンは標準顧客契約での契約上のコミットメントですか、それとも文書化された運用慣行ですか？
DPAは標準契約で事前署名済みですか、それとも顧客ごとに交渉されますか？
標準処理チェーンに含まれるサブプロセッサーの数は？名前を教えてください。
侵害通知のSLAは何ですか？（業界標準：認識から管理者への通知まで24時間。）
データ主体の消去SLAは何ですか？またそれはクリックイベントストアで運用上達成可能ですか？
ベンダーが保有する独立した証明書は何ですか？最後の監査はいつ完了しましたか？
顧客がEUのみの処理を要求する場合、契約修正プロセスはどのようなものですか？

これら8つを最初の営業日に書面で回答できるベンダーは、調達準備が整っています。できないベンダーは、営業サイクルの数週間を消費し、署名時に当初は明らかでなかった問題が浮上するかもしれません。

Schrems IIの注意事項#

Schrems II（CJEU C-311/18、2020年）はPrivacy Shieldを無効化しました。その後継フレームワーク - 2023年に採択されたEU-US Data Privacy Framework - は、参加米国組織のための移転メカニズムを回復しました。ショートナー選択に関して重要な2つの注意事項があります。

DPFは任意です。すべての米国拠点のショートナーが認定を受けているわけではありません。移転根拠として依拠する前にDPF参加者リストを確認してください。執筆時点では、いくつかの主要な米国のショートナーはリストに載っておらず、標準契約に基づく移転は引き続きSCCとTransfer Impact Assessmentに依存しています。

DPF自体が係争中の訴訟の対象です。NOYBはCJEUに対して異議申し立ての意向を示しています。Schrems IIIの判決は今後24〜36ヶ月以内に出る可能性があります。その場合、DPFはPrivacy Shieldと同じ道をたどり、それに依存していた米国ホスティングのSaaSは一夜にしてSCCとTIAに戻る必要があります。そのシナリオに備えている購入者は、標準調達テンプレートでEUのみの処理を契約上要求することが増えています。

実践的なポイント：EUホスティングのショートナーは、現在の法的体制への対応と同様に、次のSchrems判決に対するヘッジでもあります。規制対象業種の購入者 - ドイツのヘルスケア、HDS認定を通じたフランスの医療データ、EBAガイドラインに基づく金融サービス - は、このヘッジをより明示的に行うようになっています。

問いが「EUホスティングのアナリティクス」であり「EUショートナー」でない場合#

ショートナー自体は問題ないが、その後ろのアナリティクスパイプラインが問題だという判断でこの評価にたどり着くチームもあります。ショートナーはEU内でホスティングされているが、クリックイベントが分析のために米国ホスティングのウェアハウスにエクスポートされ、データ居住地の主張がそのエクスポートで崩れています。

解決策はウェアハウスとエクスポートパイプラインであり、ショートナーではありません。ClickHouse Cloudにはフランクフルトリージョンがあります。BigQueryとSnowflakeも両方フランクフルトリージョンがあります。ショートナーからのエクスポートは、デフォルトの米国リージョンではなくEUリージョンに届くよう設定する必要があります。Elidoの分析エクスポートガイドで設定方法を解説しており、BigQueryやSnowflakeへのエクスポートにも同様に適用されます。

ホスティングCDP（Segment、mParticle、RudderStack）を使用している場合も同じ問いが適用されます。ほとんどのCDPはEUリージョンオプションを持っており、ワークスペース作成時に有効にする必要があり、後から移行するのは困難です。評価の開始時から正しく設定してください。後から修正するコストは現実のものとなります。

まとめ#

EUデータ居住地の決定フロー：データプレーンを自社VPCに置く必要がある場合はElido、Shlink、YOURLSでセルフホスト；標準契約にEUのみの条項が必要な場合はElido、Capsulink、SwitchyなどのEUデフォルトSaaSを選択；エンタープライズ契約で対応可能な場合はEUリージョンを持つ米国デフォルトベンダーを使用；それ以外の場合はDPFリストを確認し、SCC＋転送影響評価に依拠

EUに販売しているほとんどのB2B SaaSチームにとって、データ居住地の問いは必ず出てきます。購入者の調達テンプレートに質問が含まれ、DPOが回答を読み、最初の問い合わせでクリーンに回答できるベンダーがサイクルの時間を節約します。金融サービス、ヘルスケア、公共部門に販売するチームにとって、データ居住地はソフトな選好ではなく、合否の基準になることがあります。

EUホスティングのショートナーは市場の小さなセグメントです。適切な機能面を持つ商業的な選択肢は3つ - Elido、Capsulink、Switchy - と、セルフホスティングのオープンソース代替があります。大手の米国デフォルトショートナー（Bitly、Rebrandly、Short.io）は通常エンタープライズ契約でEUデータ居住地を対応できますが、カスタム契約の交渉に伴う調達サイクルのコストが発生します。

「どれを選ぶべきか」の正直な回答は：データ居住地、機能、価格の制約を満たす3〜4つをショートリストアップし、8つの調査質問を書面で送り、最初に全8問に明確に回答したものと契約することです。そのフィルターはどんな機能チェックリストよりも決定的です - 調達面の厳格さを処理できないベンダーは、顧客サポートのエスカレーションも処理できないでしょう。

クラスター内の関連記事#

これは比較クラスターの姉妹記事です。コーナーストーンはBitlyの代替案 - 実際の機能格差。価格面の算術についてはElido vs Bitlyも参照してください。データ居住地の主張の背後にあるコンプライアンスの詳細については、URLショートナーのためのGDPRがコンプライアンスクラスターのコーナーストーンです。調達向け成果物：/trust、/solutions/compliance、/solutions/enterprise。

ブログの関連記事#

Elidoを試す

URLを貼り付けて短縮リンクを取得

登録不要。リンクは30日間有効。永久に保存するには登録してください。

Free、登録不要 · 1日あたり2件