マーケティングツールのEUデータ所在地：DPOが実際に問うこと

「顧客データはEUでホストされていますか？ はい / いいえ」という同じチェックボックスで始まるセキュリティアンケートを数多く確認してきました。ベンダーははいと記入します。DPOはレビューにサインします。6か月後、同じDPOは、すべてのクリックイベントが米国ホストのMeta PixelとカリフォルニアのHubSpotインスタンスを通じてルーティングされており、ElidoのEUエッジがリクエストを見る前にユーザーのブラウザ内で両方が発火していることに気づきます。

チェックボックスは正直でした。答えはまた不完全でもありました。ベンダーのホームページの「EUホスト」はプラットフォーム自身のサーバーがある場所を説明します。それはそのプラットフォームに添付されたマーケティングレイヤーがデータをどう処理するか、どこに向かうか、どの法的根拠が転送をカバーするかについては何も言いません。それらがGDPR第3条とSchrems IIを読んだDPOが実際に問う質問です。

この記事はその会話のマーケター×DPO版です。リンクトラッキングとコンバージョン転送を実施する際に、EUデータ所在地はどこで始まりどこで終わりますか？クライアントサイドのピクセルからサーバーサイドのコンバージョンAPIに移行すると、法的に何が変わりますか？調達チェックリストには実際に何を記載すべきですか？

コンパニオンの記事--URLショートナーのGDPR--は条項レベルの義務を詳しくカバーしています。繰り返しを避け、関連する場所でクロスリファレンスします。

TL;DR#

• 「EUホスト」はベンダーのデータプレーンをカバーします。リダイレクトが発生する前にユーザーのブラウザで発火するクライアントサイドのマーケティングスクリプトはカバーしません。
• Schrems IIとGDAR第44〜49条は米国ホストの広告・アナリティクスプラットフォームに流れるデータに実際の要件を課します。サーバーサイドのコンバージョン転送は転送をサーバー間レイヤーに移動しますが、転送義務をなくすわけではありません。
• 第28条(2)は書面による副処理者リストを要求します。名前付きのリージョンを持つ5つの副処理者は監査可能です；曖昧なエントリーを持つ40個は責任を生みます。
• 以下の調達チェックリストは、1回のディスカバリーコールでDPOの主要な質問のほとんどを解決します。

平易な言葉での法的スタック#

4つの法律がここでの作業のほとんどを担います。法律の学位なしで引用できます；条項番号は短いです。

GDPR第3条--領土的適用範囲。 第3条(2)は、EU外に設立されたコントローラーまたはプロセッサーによるEUの主体のデータの処理が、EUの主体に対して商品やサービスを提供すること、またはその行動を監視することに関連する場合にGDPRを適用します。「行動を監視すること」はクリックトラッキングです。EU外のエンティティを持たない米国ホストのアナリティクスベンダーは、リンクがピクセルを発火させるたびにEUの主体の個人データを処理します。第3条はそのベンダーがどこにあるかに関わらず、GDPRがそのベンダーに適用されることを言います。所在地の質問は、処理義務がすでに発生した後にデータがどこに行くかについてです。

GDPR第28条--プロセッサーの義務。 第28条はコントローラーとチェーン内の各プロセッサー間の契約を規定します。リンク短縮プラットフォーム、アナリティクスツール、メールプロバイダー--それぞれが(a)から(h)の8つの義務をカバーするDPAに署名する必要があります。事前署名済みのDPAを提供しないベンダーは、あなたにそのコンプライアンスリスクを吸収させています。特に第2項は、副処理者を採用する前にコントローラーの認可を得ることをプロセッサーに要求し、契約によって同等の義務をその副処理者に課すことを要求します。

GDPR第44〜49条--第三国への転送。 GDPRの第V章は、リストされたメカニズムの1つが適用されない限り、第三国への個人データの転送を禁じています：十分性決定、標準契約条項（SCC）、拘束的企業規則、または第49条の例外。米国ホストのプラットフォームへの転送のデフォルトメカニズムは、2023年にEU-US DPFが採択されて以来、DPF認証で補完されたSCC--または米国の受信者が認定されている場合はEU-US Data Privacy Framework自体--です。どちらのメカニズムも転送要件をなくしません；それを満たす方法を説明します。

Schrems II--CJEU C-311/18。 Schrems II判決は2020年7月にプライバシーシールドを無効とし、SCCベースの転送が転送先国の監視法がEUの主体に有効な救済を否定するかどうかを評価する転送影響評価（TIA）を要求することを確立しました。TIA負担は現実であり、継続的です。2023年に欧州委員会の十分性決定によって採択されたEU-US Data Privacy Frameworkは、DPF認定の米国受信者への現在のメカニズムを提供しますが、係争中の訴訟の対象です--NOYBは異議申立の意図を示しており、EDPBの補完措置勧告（01/2020）は次のSchrems判決に対して強固な転送制度を求めるチームの関連ガイダンスとして残っています。規制セクターの購買者は、法的制度の変化に対する構造的なヘッジとして、EU専用の処理を契約で求めることが増えています。

マーケティングアナリティクスが典型的にEU所在地を漏らす場所#

「当社のURLショートナーはEUホストです」と「当社のデータはEU内に留まります」の間のギャップは、クライアントサイドのマーケティングレイヤーで開きます。6つの一般的な漏れポイント。

Meta Pixel（クライアントサイド）。 標準的なピクセル実装は、MetaのUS主体インフラが提供するCDNポイントであるconnect.facebook.netへのGETリクエストをユーザーのブラウザから発火します。そのリクエストにはUTMパラメーターを含む完全なURL、ユーザーのIP、クッキー識別子、ブラウザフィンガープリントが含まれています。それはサーバーがクリックを処理する前にユーザーのブラウザでEU領域を離れます。MetaはEU目的のためにアイルランドに設立されており、SCCの下での転送に法的根拠を主張しています。その主張は2つの重要なDPA決定（アイルランドDPAの2022年Facebook Ireland判決と2023年のSCC執行命令）の対象です。ピクセル自体はまだUS基礎サーバーにデータを送信しており；法的根拠は争われています。

Google Tag / GA4（クライアントサイド）。 gtag.jsスニペットはユーザーのブラウザからgoogle-analytics.comとanalytics.google.comに発火します。どちらもGA4のEUルーティングをdata_collection_endpointにregion1.google-analytics.comを指定して設定していない限り、US主体のGoogle基礎サーバーに解決します。EUエンドポイントがあっても、Googleは一部の処理がUS基礎で発生すると文書化しています。デフォルト実装は明確です：ブラウザサイド、USホスト。

Salesforce CRM。 Salesforce Marketing Cloudのデータ所在地はあなたのテナントがどのポッドにいるかによります。EUポッドのEU顧客は--明示的に設定した場合--EUでクリックイベントのアトリビューションデータを処理します。デフォルトのUSポッドはUSホストです。私がSMBからミッドマーケットで見るほとんどのチームはこの設定を行っていません；US主体の管理者によってUSポッドにプロビジョニングされ、それ以来ずっとEU主体のCRMデータを大西洋横断でルーティングし続けているSalesforceインスタンスを持っています。

HubSpot。 HubSpotのメールトラッキングピクセルはUSのHubSpotインフラから提供されます。EUデータ所在地はEnterprise顧客向けのアドオンとして利用可能です；デフォルトではありません。マーケティングメールを開封した連絡先が発火するトラッキングピクセルは、デフォルトの設定では、EU主体の識別子（ピクセルURLにエンコードされたメールアドレス）をUSエンドポイントに送信しています。

サードパーティのメール開封トラッキング。 HubSpot以外--Mailchimp、Brevo、Customer.io、ActiveCampaign--でも同じパターンが適用されます。トラッキングピクセルのURLはプロバイダーのCDNにホストされています；ほとんどのCDNはオリジントラフィックのUSポップをデフォルトにしています；EUユーザーのメールクライアントから発火するピクセルはUSインフラにルーティングされます。EU地域オプションが一部のプランに存在します；デフォルトではありません。

トランジットとしてのURLショートナー自体。 URLショートナーがEUホストでない場合、リダイレクトリクエストはEU外のインフラを通過します。クリックイベントはEEA外に記録されます。これは「EUホストURLショートナー」チェックボックスが実際に対処することを意図している所在地レイヤーです--そしてリダイレクトは典型的に2〜5msのイベントであり、クリックログがURLショートナーが作成する唯一の永続データであるため、6つの漏れの中で最小です。

標準的なツールを実行している中堅マーケティングチームの典型的な露出：上記の3〜5シナリオが同時にアクティブで、それらのいずれに対してもTIAが実施されておらず、転送をカバーするメカニズムを文書化せずに「Google Analytics、Meta Pixel」と名前を挙げた第30条処理活動記録（RoPA）エントリーがある状態。

サーバーサイドによる修正：法的に何が変わり、何が変わらないか#

サーバーサイドのコンバージョン転送--URLショートナーのEUエッジがユーザーのブラウザにピクセルを発火させる代わりに、クリックとコンバージョンイベントを広告プラットフォームのサーバーサイドAPIに転送する--は部分的な修正です。何が変わり、何が変わらないかを説明します。

変わること： ユーザーのブラウザはもはやUSエンドポイントに直接データを送信しません。リクエストパスは以下の通りです：

1. ユーザーが短縮リンクをクリック
2. ElidoのEUエッジ（EUリージョン）がリクエストを受け取り、クリックイベントをローカルに記録
3. ElidoのEUエッジがコンバージョンシグナルをサーバー間でMeta CAPI / GA4 Measurement Protocolに転送
4. 広告プラットフォームがUSサーバーでイベントを受信

Meta Conversions APIはMetaに対するこのパターンの標準的な実装です。GA4 Measurement ProtocolはGoogleに対応するものです。ユーザーのブラウザはElidoのEUエッジのみに接触します；USアナリティクスエンドポイントに直接接触することはありません。

変わらないこと： データはまだUSホストのプロセッサーに転送されています。ElidoのEUエッジがその転送を開始します。第44〜49条の下での転送義務はまだ適用されます--MetaまたはGoogleのチェーンのレッグのためにまだSCCまたはDPFカバレッジが必要です。変わるのは、コントローラーのその転送に対する実際のコントロールです：それはあなたが操作するサーバー、あなたが管理する認証情報、あなたが適用する識別子ハッシュ化（Meta CAPIが要求するメールアドレスのSHA-256）を使用して発生します。限定的な監査やコントロールしかできないブラウザスクリプトの中ではなく。

これはデータ最小化とセキュリティの観点から重要な改善です。転送制度からの完全な免除ではありません。DPOは調達レビューにサインする前にこの区別を明確にする必要があります。

サーバーサイド転送の法的な結果：「Meta CAPI」についての第30条RoPAエントリーは今や、EU基礎インフラを離れる前に識別子がハッシュ化された、あなたのコントロール下でのサーバー間転送を文書化します。それは「Meta Pixel--クライアントサイド、ブラウザ起源、転送根拠未定」よりも実質的にクリーンなエントリーです。ゼロ転送ではありません；文書化された、コントロールされた転送です。

第28条(2)：副処理者の数が重要な理由#

第28条(2)は、副処理者を採用する前にコントローラーの事前認可を得ることをプロセッサーに要求します；特定の（ベンダーごと）か一般の（異議申立権付き通知ベース）かのどちらかです。すべての重大なSaaS契約は30日間の通知ウィンドウ付きの一般的な事前認可を使用します。コントローラーがDPAに署名し；DPAには副処理者リストが含まれ；リストへの追加は通知と30日間の異議申立ウィンドウを引き起こします。

副処理者リストはDPOが実際に読むアーティファクトです。使用可能なリストに含まれるもの：

• 副処理者名
• データ処理の場所（ハイパースケーラーリージョン、国だけでなく）
• 処理チェーンでの役割
• 共有される個人データのカテゴリー
• 第三国転送の法的根拠
• 追加日
• 将来の追加の通知チャンネル

リストはまた、ベンダーが所在地についてどのように考えているかのシグナルでもあります。1つの文章で地域を名前で挙げられる5つの副処理者を持つベンダーはそのために設計しています。「様々なグローバルリージョン」というエントリーを持つ40の副処理者を持つベンダーはそうしていません。

Elidoの副処理者リストは5つのベンダーをカバーしています--EUのコンピュートとインフラ、EUのメール、決済、CDN--/legal/subprocessorsに公開されています。その数字は意図的に小さいです。すべての副処理者はコントローラーのプライバシープログラムの対象範囲に追加されます；すべての副処理者の追加は通知サイクルと潜在的な異議申立ウィンドウを引き起こします。5つの副処理者で本番グレードのURLショートナーを運営できるベンダーは、どのサードパーティ依存関係が正当化されるかについて明示的な選択をしています。

35〜40の副処理者を持つマーケティングアナリティクスプラットフォームと比較してください。リストは原則的に監査可能です；実際には、コントローラーのプライバシーオフィサーは40のDPAと40のTIAをレビューしており、その一部は欠けているでしょう。5ベンダーの数字はマーケティングの主張ではありません。コンプライアンスワークロードへの実際の結果を持つ運用上の選択です。

マーケターの調達チェックリスト#

8つの質問。書面による回答。ベンダーが最初のディスカバリーコールでこれらをすべて提供できれば、調達サイクルは数週間短縮されます。提供できなければ、それは何かを教えてくれます。

1. 新規顧客データの具体的なホスティングリージョンは何ですか？ハイパースケーラーリージョンレベルで名前を挙げてください。（期待される答え：名前の付いたEUリージョン--例えば「AWS eu-central-1」または同等のEUデータセンターリージョン、根拠のない主張としての「EU」ではなく。）
2. EUホスティングリージョンは標準的な顧客契約で契約上コミットされていますか？それとも通知なしに変更できる運用上の慣行ですか？（期待される答え：契約上拘束力があり、カスタムの追加条項なしに標準契約に具体的に記載されている。）
3. 標準契約には第28条の義務(a)から(h)をカバーする事前署名済みのDPAが含まれていますか？（期待される答え：はい、事前署名済み、販売コールが終わる前に入手可能。）
4. 標準処理チェーンにはいくつの副処理者がいますか？ベンダーはデータ処理リージョンとともにすべての副処理者の名前を挙げられますか？（期待される答え：完全なリスト、名前付き、リージョン付き、RoPAでリンクできるURLで公開されている。）
5. ベンダーは広告プラットフォームへのサーバーサイドのコンバージョン転送を使用していますか？それともコンバージョントラッキングはユーザーのブラウザでクライアントサイドですか？（プライバシー重視のベンダーへの期待される答え：サーバーサイド、データがEU基礎を離れる前に識別子のハッシュ化付き。）
6. クリックイベントログのデフォルトのIPトランケーションは何ですか？（期待される答え：永続化前のIPv4の/24トランケーション、IPv6の/48--つまり完全なIPは保存されない。）
7. データ主体の消去SLAは何ですか？それはクリックイベントストアで運用可能ですか？（期待される答え：30日以下、アナリティクスデータストアに伝播、webhookまたは証明書で確認。）
8. ベンダーはどの独立したコンプライアンス認証を持っており、最新の監査が完了したのはいつですか？（期待される答え：現在のISO 27001；完了またはターゲット日付付きで進行中のSOC 2 Type II；医療隣接のワークロードには関連プランでのBAA可用性。）

これらの8つの質問はディスカバリーの段階で法的レビューを必要とせずにDPOの主要な懸念をカバーします。8つすべてに同じ日に書面で答えるベンダーは調達の準備ができています。3番目の質問の前に法務にエスカレートするベンダーはそうではありません。

Elidoでのツール#

参考のために具体的な情報をお伝えします。

ワークスペースレベルのリージョン固定。 新しいワークスペースはデフォルトでEUリージョンです。BusinessおよびEnterpriseワークスペースはワークスペースごとに米国東部またはアジア太平洋に固定できます。固定はルーティングレイヤーで適用されます--これはワークスペースレベルの契約修正なしに設定変更でオーバーライドできるダッシュボードの設定ではありません。トラストページがインフラを文書化しています。

事前署名済みDPA。 第28条のDPAは標準的な顧客契約に含まれています。標準の第28条カバレッジが必要なEU購買者にカスタム交渉は不要です。追加の監査権、副処理者承認ウィンドウ、またはカスタム保持条件を持つEnterpriseはcontract契約は別途交渉されます。標準DPAは/legal/dpaで利用可能です。

副処理者リスト。 /legal/subprocessorsに公開されています。5つのベンダー。追加は30日前の通知メールとツールベースのモニタリングのためのRSSフィードを引き起こします。30日以内の異議申立権は管理上ではなく契約上です。

サーバーサイドのコンバージョン転送。 Meta CAPI、GA4 Measurement Protocol、Mixpanelの認証情報はワークスペースレベルで一度登録します。Elidoは発信POSTの前に識別子のSHA-256ハッシュ化、event_idフィールドによる重複排除、一時的なアップストリームエラーに対する再試行ロジックを処理します。転送はEUインフラからのサーバー間です；ユーザーのブラウザは広告プラットフォームに直接接触しません。

ISO 27001。 認証済み。SOC 2 Type IIは2026年下半期をターゲットに進行中。医療隣接のデプロイメントのためのBAAはBusinessプランで利用可能。

完全なコンプライアンス態勢については、/solutions/complianceが購買チーム向けの概要です。

我々が行わないと主張すること#

このセクションが存在するのは、「EUデータ所在地」がベンダーが曖昧に使うフレーズであり、私たちがそうすべきではないからです。

ElidoはリンクLayer（レイヤー）です。ElidoのEUエッジでルーティングされるクリックはElidoのレイヤーでEUインフラ内に留まります。クリックイベントはEUリージョンの当社の分析ストアに記録されます。Meta CAPIにサーバーサイドで転送されるコンバージョンシグナルはEUインフラを離れます--その転送はあなたの代わりに、あなたのコントローラー責任の下で発生し、RoPAに文書化し、適切な転送メカニズムでカバーする必要があります。

EUの主体に関するいかなる個人データも、広告プラットフォームのアトリビューションレッグを含め、いかなる状況でもEEAを離れてはならないという絶対的な要件がある組織では、答えは別のURLショートナーではありません。答えはUSホストの広告プラットフォームにコンバージョンイベントをまったく送信しないことです。それはテクノロジーの問題ではなく、ビジネスとマーケティングの決断です。

Elidoが提供するもの：デフォルトでEU主体のクリックデータをEUインフラで処理し、文書化された副処理者、事前署名済みDPA、IPトランケーション、識別子ハッシュ化付きのサーバーサイドのコンバージョン転送、午後の監査で足りる小さな副処理者数を持つリンクレイヤー。これはリンクレイヤーの所在地義務をクリーンにカバーします。

メールマーケティングプラットフォーム、CRM、広告プラットフォーム、アナリティクスウェアハウスはそれぞれ独自の所在地態勢を持っています。ElidoはそれらのAnswerではありません；リダイレクトとクリックアトリビューションレイヤーの答えであり、スコープを誇大に述べるつもりはありません。

URLショートナーのGDPRコーナーストーンは、上記の決断の背後にあるコンプライアンスの根拠が必要な場合、条項レベルでのプロセッサー義務の完全な状況をカバーしています。

コンプライアンスクラスターを読む#

この記事はコンプライアンスクラスターの所在地トラックのコーナーストーンです。姉妹記事：URLショートナーのGDPR（条項ごとのプロセッサー義務）、そして近日公開予定のSchrems IIとトラッキングピクセルの記事（実際のブラウザレイヤーのアトリビューションの結果）。トラストページと契約アーティファクトについて：/trust、/legal/dpa、/legal/subprocessors。ソリューション向けの概要については：/solutions/compliance。