私はサプライヤー側で4年間、フィンテック購買担当者の立場で1年間、SaaS のデータ処理契約(DPA)を精査してきました。誰もが心配する条項 — 保存時の暗号化、保持期間、侵害通知の SLA — は、真剣なショートナーなら通常問題ありません。調達を実際に左右するのは、より微妙な条項です。それは DPO が何度も読んで自分なりの見解を持つようになった条項であり、「GDPR 準拠」という汎用バッジでは対応できないものです。
この投稿は、EU データ主体のクリックデータを処理する URL ショートナーに対して GDPR が何を求めるかについての、実務的な DPO の見解です。条文番号を明示することで、主張を自分の顧問に持ち込んで検証できます。Elido の姿勢が保守的な箇所、業界標準の箇所、合理的な購買者がまだ付帯条項を求めるべき箇所を示します。
条文の参照は Regulation (EU) 2016/679 — EUR-Lex の GDPR 統合テキスト — に基づきます。監督機関のガイダンスを引用する場合はソース決定にリンクします。判例法を引用する場合は CJEU 判決に引用します。
なぜ URL ショートナーが適用範囲に入るのか#
URL ショートナーは、顧客に代わって識別可能な自然人のクリックデータを処理するとき、第4条(8)の下でプロセッサーになります。顧客はコントローラーです。データが収集される理由(キャンペーンアトリビューション)と根拠(第6条 — クリックレベル analytics には通常6(1)(f)の正当な利益、詳細なトラッキングが絡む場合は6(1)(a)の同意)を決定します。ショートナーはプロセッサーです。コントローラーから文書化された指示に基づいてのみデータを処理します。これが第28条の本質です。
2つのデータがこれを明確にします。すべてのリダイレクトは IP アドレスを記録します。CJEU は Breyer 事件(C-582/14、2016年)以降、動的 IP アドレスはコントローラーが利用できる情報と組み合わせることで個人データになり得ると判示しています。また、すべてのリダイレクトはユーザーエージェントも記録します。これは IP とタイムスタンプと組み合わせると、多くの高トラフィックパターンで個人を特定するのに十分です — EDPB は位置情報の使用に関するガイドライン04/2020でこれを指摘しており、原則は一般化されます。
つまり:URL ショートナーは、クリックイベント自体が一見匿名に見えても、EU データ主体の個人データを処理します。問いはそこから生じます。
第3条:域外適用#
第3条は EU 向けに販売する米国ベースのベンダーが最も誤読する条文です。
第3条(1)は EU 拠点の文脈での処理を対象とします。第3条(2)は、EU 外のコントローラーまたはプロセッサーによる EU データ主体のデータ処理が(a)EU データ主体への商品やサービスの提供、または(b)EU 内での行動の監視に関連する場合を対象とします。EU ユーザーのクリックトラッキングは監視です。GDPR はショートナーがどこにホストされているかに関係なく適用されます。
結論:「私たちは米国企業なので GDPR は適用されない」というのは間違いです。EU ユーザーのクリックを処理するすべてのショートナーは準拠しなければなりません。調達に関連する問いは GDPR が適用されるかどうかではなく — 適用されます — ベンダーが準拠をどのように実証し、居住地コミットメントが契約上どのように拘束力を持つかです。
第6条:適法根拠#
ショートナーを通じたクリックトラッキングは通常、3つの適法根拠のうちの1つに基づきます。
6(1)(a) — 同意。 コントローラーが処理についてデータ主体の同意を得ています。ショートナーレベルのクリックトラッキングでは、同意は通常、宛先ページのクッキーバナーやマーケティングオプトインフローに組み込まれます。同意に関する EDPB ガイドライン(ガイドライン05/2020、バージョン1.1、2020年)では、自由意志に基づく、特定の、情報に基づいた、明確な同意が求められます。
6(1)(b) — 契約履行に必要。 リダイレクト自体 — クリックを受け取り宛先にルーティングすること — は、ユーザーがリクエストしたサービスに必要です。最も明確な区分けは、ルーティングは契約履行であり、analytics レイヤー(クリックが遡及分析のために記録されるかどうか)は別の処理操作であり、異なる根拠が必要な場合があるということです。
6(1)(f) — 正当な利益。 ほとんどの B2B 顧客は、正当な利益評価(LIA)を実施した後、キャンペーンレベル analytics を正当な利益に基づかせます。LIA はマーケティング効果を測定するコントローラーの利益とデータ主体の利益とのバランスをとります。集計クリック数と標準アトリビューションについては、バランスは通常コントローラーに有利に傾きます。高解像度の行動プロファイリング — フィンガープリンティング、クロスサイトトラッキング、ユーザーレベルのリターゲティング — については LIA はより困難になります。
ショートナーはいずれの場合もプロセッサーです。コントローラーから文書化された指示に基づいてデータを処理します。適法根拠を選ぶのはコントローラーであり、ショートナーではありません。
第28条:プロセッサー契約#
第28条(3)は、コントローラーとプロセッサー間の契約に含めなければならない8つの義務を列挙しています。直接お読みください。サブパラグラフ(a)から(h)は短く具体的です。URL ショートナーのための実用的な DPA はそれぞれに対処しなければなりません。
これらの条項が実際にどのように見えるかを順に説明します。
(a) 文書化された指示に基づく処理のみ。 コントローラーの指示は、契約に加え、機能ごとのカスタマーの書面による指示(例:「これらのワークスペースのクリックイベントを処理し、X ヶ月間保持する」)です。ショートナーは、コントローラーの指示なしに自社目的でクリックデータを使用することはできません。実際には:オプトインなしに内部レコメンデーションモデルのトレーニングに顧客クリックデータを使用しない、通知なしに第三者と集計 analytics を共有しないことを意味します。Elido の標準 DPA はこの点について明示的です。現在のショートナーの DPA がそうでない場合は、その理由を尋ねてください。
(b) 機密保持。 データを処理する人々は機密保持義務に拘束されます。これはサプライヤー側で運用上の問題であり、ほとんど争われません。
(c) セキュリティ対策(第32条)。 以下の専用セクションで説明します。
(d) サブプロセッサーの関与。 プロセッサーは、コントローラーの承認を得た場合にのみサブプロセッサーを関与させることができ、サブプロセッサーは書面による契約の下で同等の義務を受け入れなければなりません。承認には2つの形式があります。特定の事前承認は、コントローラーが各新しいサブプロセッサーに同意することを要求します。一般的な事前承認は、異議申し立て権を付与した上で、事前通知のみを要求します。ほとんどの SaaS 契約は30日間の通知ウィンドウ付きの一般承認を使用します。どちらも第28条の下で問題ありません。重要なのは、契約がどちらを指定するかです。
(e) データ主体の権利支援。 プロセッサーは、第15条〜第22条の下でのデータ主体のリクエストへのコントローラーの対応を支援しなければなりません。ショートナーの場合、これはコントローラーが特定の識別子に紐付けられたクリックレコードのエクスポートを要求できることを意味します(稀ですが発生します)。そしてショートナーはそれを提供できなければなりません。Elido API にはこの目的のために GET /v1/clicks?subject_id= が含まれています。現在のショートナーにこれがない場合、アクセス主体のリクエストに手動で対応することになります。
(f) 第32条/第33条/第34条/第35条/第36条支援。 プロセッサーは、コントローラーがセキュリティ、侵害通知、DPIA の義務を果たすのを支援しなければなりません。「支援」とは、セキュリティ監査レポートの提供、SLA 内での侵害の通知、DPIA に必要な技術的詳細の提供という実務的なものです。
(g) サービス終了時の返還または削除。 契約終了時、プロセッサーは EU または加盟国法が保存を要求しない限り、すべての個人データを返還または削除します。Elido の標準条項は、終了後30日以内であり、要求に応じて文書化された削除証明書を提供します。
(h) 監査権。 プロセッサーは、準拠を実証するためのすべての情報を提供し、監査に応じなければなりません。SaaS 契約では、合理的な通知付きのオンサイト監査に加えて書面による監査アンケートに範囲を絞ります。制限のない完全な監査権はエンタープライズ契約以外ではまれです。
現在のショートナーの DPA が(a)〜(h)のいずれかについて欠けているか曖昧な場合、調達の会話を進めるべきではありません。第28条を満たす DPA は上限ではなく下限です。
第30条:処理記録#
第30条はプロセッサーに処理活動の記録(RoPA)の維持を要求します。プロセッサーの RoPA は、DPO がショートナーがデータで何をしているかを理解できるコントローラー向けの成果物です。
Elido は顧客ごとの RoPA テンプレートを発行しており、自社のものにマッピングできます。列はデータ主体のカテゴリー、個人データのカテゴリー、受信者、第三国への転送(デフォルトなし)、保持、セキュリティ対策です。標準的な内容ですが、調達チームはそれが具体的に記入されているのを見たいのです。DPO はプレースホルダーを望みません。ショートナーがこれを提供しない場合、ドキュメントからそれをまとめる負担があなたに落ちます。
第32条:処理のセキュリティ#
第32条は、リスクに見合ったセキュリティレベルを確保するための「適切な技術的および組織的対策」を要求します。条文は意図的に規定的ではありません。監督機関がガイダンスによってそれを肉付けします。
URL ショートナーについて、ほとんどの DPO が求める運用上の最低ライン:
- 転送中は TLS 1.3、TLS 1.0 または 1.1 へのフォールバックなし。
- クリックイベントストアの保存時暗号化、文書化されたキーローテーション付き。
- リダイレクトプレーンと analytics プレーン間のネットワーク分離。
- カスタマー向けサーフェスは SSO/SAML または OIDC による認証。サービス間は短命のクレデンシャルによる認証。
- ショートナー側の管理アクションの監査ログ、少なくとも12ヶ月保持。
- 文書化されたインシデント対応と定期的なテーブルトップ演習。
- ISO 27001 認証または同等の独立した証明。
Elido は ISO 27001 認証済みで、SOC 2 Type II は進行中です(目標:2026年下半期)。技術的管理サーフェスはトラストページに文書化されています。HIPAA 関連トラフィックには、Business プランで BAA を利用できます。
ここで条文レベルの文言が重要です:「リスクに見合った」は相対的な基準です。公開マーケティングサイトのキャンペーンクリックを処理するショートナーは、認証済みセッション URL を内部で共有するために使用されるものよりもリスクが低いです。DPO は実際に運用するリスクに見合った評価をすべきです。
第35条:DPIA#
第35条は、「自然人の権利および自由に対して高いリスクをもたらす可能性がある」処理について、特に(a)系統的かつ広範な評価、(b)特別カテゴリーデータ、(c)大規模な公開アクセス可能な場所の系統的監視に注意を払いながら、データ保護影響評価(DPIA)を要求します。
ほとんどのショートナーのユースケースでは、DPIA は厳密には必要ありません — マーケティングサイトのキャンペーンクリックトラッキングは、35条(3)(a)の意味における「系統的かつ広範な評価」ではありません。DPIA が推奨されるケース:
- 個人レベルでのクロスサイト行動プロファイリング。
- ショートナーデータと他の個人データ(CRM エンリッチメント、第三者データブローカー)を組み合わせて個人レベルのプロファイルを構築するトラッキング。
- クリックデータを使用してデータ主体に法的または同様に重大な影響を与える決定を下す(稀ですが、貸出や雇用のコンテキストでは想定できます)。
- 特別カテゴリーのコンテキスト(健康、宗教、政治的意見)からの大量トラフィック。
ショートナー関連の処理のために DPIA を委嘱する場合、WP29 ガイドライン(WP248 rev.01)が方法論的参照です。多くの監督機関が独自のテンプレートを公開しています。CNIL の PIA ソフトウェアもその例です。
第28条(2):サブプロセッサーの開示#
最も扱いやすい単一の GDPR の問いは「他に誰がデータに触れるか」です。第28条(2)は、プロセッサーが関与するサブプロセッサーを開示し、承認を得ることを要求します。実際には、すべての真剣な SaaS はサブプロセッサーリストと追加のための通知プロセスを公開しています。
良いリストの条件:
- サブプロセッサー名、処理場所、役割。
- 共有される個人データのカテゴリー。
- 転送の法的根拠(該当する場合)。
- サブプロセッサーが追加された日付。
- 追加の通知メカニズム(通常はメール + RSS/JSON フィード)。
- 異議申し立て権:通常は通知から30日。
Elido の公開サブプロセッサーリストには5つのベンダーが記載されています。この数は意図的に少なくしています — 新しいサブプロセッサーが増えるたびに、プライバシープログラムのサーフェスエリアが拡大します。現在のサービスと比較してください:30のサブプロセッサーがいて、どれがクリックイベントパス上にあるかわからない場合、それは重要な開示の問題です。
Schrems II:EU 居住地が契約上必要になるとき#
Schrems II(CJEU C-311/18、2020年)は EU-US プライバシーシールドを無効にし、SCC に基づく国際データ転送について、目的地国の監視体制が EU データ主体の効果的な権利保護を否定するかどうかを評価する転送影響評価(TIA)を要求しました。
後継フレームワーク — 委員会決定(EU)2023/1795 で採択された EU-US データプライバシーフレームワーク — は参加組織のプライバシーシールドに代わるものです。2つの重要な注意点:
- 参加は任意です。すべての米国 SaaS ベンダーが認証されているわけではありません。DPF 参加者リストを確認してください。
- フレームワーク自体が係争中の訴訟の対象です。NOYB は挑戦の意図を示しており、第三次 Schrems 判決は十分あり得ます。そのシナリオに備えるほど慎重な購買者は、契約上 EU のみの処理を要求することが増えています。
ショートナー選択への影響:購買者がデータ居住地を指摘しているか、セクター規制が EU のみの処理を要求している場合(社会データ保護法下のドイツの医療、HDS 認証経由のフランスの健康データ、EBA ガイドライン下の金融サービス)、EU ホストのショートナーは契約を簡素化します。居住地条項は具体的で、TIA は不要で、調達サイクルが短縮されます。
Elido はデフォルトでフランクフルトにホストされています。Business+ の顧客は、トラフィックプロファイルが必要とする場合、Ashburn またはシンガポールにピン留めできます。ピン留めはワークスペースごとで、契約上文書化され、運用上実施されています — マーケティング上の主張ではありません。
データ最小化:記録しなくてよいもの#
第5条(1)(c)は、処理が「処理される目的に関して適切、関連性があり、必要な範囲に限定される」ことを要求します。ショートナーにとって、これはクリックイベントスキーマに影響します。
ショートナーがリダイレクト時に収集できるシグナル:
- IP アドレス(完全、/24 切り詰め、またはハッシュ化)。
- ユーザーエージェント文字列(完全、またはフィンガープリントする稀なトークンなしでクライアント/OS に解析済み)。
- リファラー。
- タイムスタンプ。
- IP から導出したジオ情報(国、市区町村)。
- UA から導出したデバイス情報(モバイル/デスクトップ/タブレット、OS ファミリー)。
- クリック ID(イベントのショートナー自身の識別子)。
これらのうち、コントローラーの実際の目的は通常、解析済みデバイス、国、タイムスタンプ、クリック ID、そして場合によってはリファラーを必要とします。IP アドレス自体はリダイレクトの瞬間以降は必要ありません — ジオとデバイスの解析が完了したら、クリックストアに格納される前に IP を切り詰めまたはハッシュ化できます。UA も同様です:解析済みの device.type / device.os フィールドがアトリビューションが実際に使用するもので、完全な UA 文字列は破棄すべきフィンガープリンティングの餌です。
Elido はクリックイベントを保持する前に IP を /24(IPv4)または /48(IPv6)に切り詰めます。完全な UA は解析されて破棄されます。どちらの動作も文書化されており、特定のユースケースで高解像度データが必要な場合はワークスペースごとに設定可能です — しかしデフォルトは最小化であり、これは後付けではなく設計による第5条(1)(c)の姿勢です。
ショートナー層でのデータ主体の権利#
コントローラーがデータ主体の権利リクエストを処理します。プロセッサーは支援します。ショートナーでは2つのリクエストが発生します:
第15条 — アクセス権。 データ主体が個人データのコピーを要求します。ショートナーは、主体識別子に紐付けられたクリックイベントを取得できる必要があります。実際には、唯一の識別子が「この IP からリンク X をクリックした全員」である場合は困難です。実用的な答え:ショートナーはコントローラーが指定する IP/タイムフレームのクリックイベントをエクスポートし、コントローラーが関連する主体にフィルタリングします。
第17条 — 消去権。 データ主体が削除を要求します。ショートナーは、GDPR の「不当な遅延なく」の文言に基づいて、クリックイベントをオンデマンドで削除できる必要があります — デフォルトの運用 SLA は30日間です。複雑な点:クリックイベントは通常、追記のみの analytics データベース(ClickHouse、BigQuery、Snowflake)に保存されます。削除は現実的ですが、行レベルの編集ではなくパーティションに対する DELETE です。ショートナーの DPA が特定の消去 SLA をコミットし、基盤となるアーキテクチャがそれを満たせることを確認してください。
Elido は API を通じて両方をサポートしています:GET /v1/subjects/{id}/clicks と DELETE /v1/subjects/{id}。削除は24時間以内にクリックイベントストアに伝播し、ウェブフック経由で確認されます。
調達で何を確認すべきか#
調達の会話のための圧縮されたチェックリスト:
- ショートナーはどこにホストされているか?(一文の回答:ピン留めあるかどうか)
- DPA は事前署名か顧客ごとに交渉か?(事前署名の方が早い)
- サブプロセッサーは何社か?(少ない方が単純)
- 標準契約に EU のみの処理が含まれているか、それとも別の付帯条項か?
- クリックイベントの IP 切り詰めのデフォルトは何か?
- 第15条/第17条エンドポイントがあるか、それとも消去はサポート経由か?
- 侵害通知の SLA は何か?(認識から24時間が業界標準)
- 独立した証明:ISO 27001?SOC 2 Type II?最後の監査はいつか?
これら8つを発見コールで書面で回答できるベンダーは調達準備ができています。できないベンダーは販売サイクルに数週間を追加することになります。
コーナーストーンシリーズを読む#
これはコンプライアンスクラスターのコーナーストーンです。クラスター内の関連投稿:近日公開予定のマーケティング analytics の EU データ居住地(契約の詳細をより深く掘り下げ)、Schrems II とトラッキングピクセル(アトリビューションへの実際の影響)、Safari ITP 後のクリックアトリビューション(クッキーレス世界の運用上の結果)。調達向けの概要については、トラストページとsolutions/complianceがブックマークすべき2つの成果物です。居住地の主張の背後にあるアーキテクチャの詳細については、エッジリダイレクトアーキテクチャドキュメントでルーティング時に地域ピン留めがどのように実施されるかを説明しています。