Elido
ブログ
2分で読了コンプライアンス

GDPR フレンドリーな URL ショートナー - 2026年に確認すべきポイント

GDPR 下で URL ショートナーを評価するマーケターと調達チームのための実践的チェックリスト:EU データ居住地、IP 切り詰め、DPA の利用可否、サブプロセッサーの開示、消去権、そして人気の米国ベースツールの隠れた落とし穴。

Sasha Ehrlich
Compliance · EU residency
Ten-item GDPR checklist for URL shorteners mapped to GDPR articles: EU residency (Art. 44), IP truncation (Art. 5), no fingerprinting (Art. 6), DPA pre-signed (Art. 28), sub-processor list (Art. 28), right to erasure (Art. 17), breach notification SLA (Art. 33), independent attestation (Art. 32), privacy notice (Art. 13), cookieless analytics (Art. 6)

URL ショートナーを通じたすべてのリダイレクトはデータ処理イベントを生成します。クリックイベントには最低限、IP アドレス、タイムスタンプ、ユーザーエージェント文字列が含まれます。GDPR 第4条(1)の下では、その組み合わせが個人データを構成し得ます - CJEU は Breyer 事件(C-582/14、2016年)で、動的 IP アドレスは組織がその背後にある個人を識別する現実的な手段を持つ場合に個人データであると確認しています。あなたのショートナーはその手段を持っています:リダイレクトログを管理しているからです。

この投稿は、URL ショートナーが真に GDPR フレンドリーかどうかを評価するための実践的チェックリストです。規制が実際に何を要求するか、人気プロバイダーが何を欠いているか、準拠ツールで何を求めるべきか、そして関連するトレードオフを順に説明します。条文の参照は GDPR として修正された Regulation (EU) 2016/679 に基づきます。

GDPR が URL ショートナーに求めること#

URL ショートナーはキャンペーンと顧客の間のデータフローに位置します。誰かがショートリンクをクリックすると、ショートナーは宛先ページより前にクリックを確認します。これにより、ショートナーは第4条(8)の下でデータプロセッサーになります:あなたに代わって個人データを処理します。あなたはコントローラーです。トラッキングの目的と手段を決定します。ショートナーはあなたの指示の下で処理を実行します。

ショートリンクのクリックデータフロー:リダイレクトプレーンが完全な IP でジオ・ボット検査を行い、EU クリックイベントストアへの書き込み前に /24 に切り詰める。コントローラーであるあなたが適法根拠を選択する。

この分割により、ショートナーに満たしてもらう必要がある4つの具体的な義務が生じます:

1. 第28条(3)をカバーする書面による契約

第28条(3)は、プロセッサー契約に含めなければならない8つの要件を列挙しています:文書化された指示に基づく処理のみ、機密保持、適切なセキュリティ、サブプロセッサーの開示、データ主体の権利支援、セキュリティと DPIA 義務への支援、終了時の削除または返還、監査権。これらすべてに対処するデータ処理契約(DPA)のないショートナーは、EU デプロイメントの調達準備ができていません。

2. クリックトラッキング層の適法根拠

リダイレクト自体 - クリックを受け取り宛先にルーティングすること - はサービスのために必要といえます。そのリダイレクトの上に乗る analytics 層 - アトリビューション、キャンペーン測定、リターゲティングのためにクリックを記録すること - は、第6条の下で独自の適法根拠を必要とする別の処理操作です。ほとんどの B2B チームは第6条(1)(f)の正当な利益にキャンペーン analytics を基づかせています。ショートナーがリダイレクト時にサードパーティのリターゲティングピクセルを注入する場合、根拠は第6条(1)(a)の同意に移り、最初のクリック前に同意メカニズムが必要です。

3. データ最小化

第5条(1)(c)は、データ収集が「適切、関連性があり、必要な範囲に限定される」ことを要求します。ショートナーにとって、この原則はクリックイベントスキーマに直接適用されます。国レベルのジオ情報、デバイスカテゴリー、タイムスタンプ、クリック識別子が必要です。リダイレクトの瞬間を過ぎた完全な IP アドレスは必要ありません。完全なユーザーエージェント文字列もほぼ確実に不要です - 解析済みの device.type / device.os タプルはフィンガープリンティングベクターになることなくアトリビューションシグナルを運びます。

4. 国際転送コンプライアンス

ショートナーが EEA 外でクリックイベントを保存または処理する場合、第44条第46条が適用されます。米国への転送には標準契約条項(SCC)に加えて転送影響評価(TIA)か、または EU-US データプライバシーフレームワークへの参加が必要です。フレームワーク自体は係争中の訴訟の対象です。EU ホストのショートナーはこの問題を完全に回避できます。

人気ショートナーが欠いているもの#

Bitly#

Bitly のプライマリデータプレーンは米国にあります。公開ドキュメントによると、EEA からの国際データ転送は標準契約条項に依存しています。DPA は利用可能ですが、標準契約には事前署名されていません - エンタープライズ顧客が別途交渉し、調達リードタイムが追加されます。EU のみのデータ居住地は標準提供ではなく、カスタム契約の会話です。

2つのあまり議論されない問題:Bitly の analytics ダッシュボードはサードパーティのアトリビューションサービスと統合されており、一部のプランティアはリダイレクト層でリターゲティングピクセルの注入を有効にします。ユーザーが同意する前にリターゲティングピクセルが発火する場合、それはコントローラーとしてのあなたにとって第6条のコンプライアンス問題です。ショートナーはプロセッサーですが、コントローラーは正しい適法根拠を持つことについての主要な責任を負います。

Rebrandly#

Rebrandly はダブリンに本社を置いており、EU フレンドリーに聞こえますが、重要な問いは会社がどこに設立されているかではなく、データがどこで処理されるかです。同社の DPA(2026年5月参照)によると、EEA から米国へのデータ転送は SCC に依存しています。EU のみの処理はカスタム条件でエンタープライズ顧客に利用可能です。標準契約はデータを EU インフラに縛り付けません。既製品の契約上強制力ある居住地条項を必要とするチームには、Rebrandly はカスタム交渉を要します。

Rebrandly もほとんどのプランでサードパーティリターゲティングピクセルをネイティブサポートします。マーケティングの価値は現実的ですが、コンプライアンスの含意は、EU データ主体向けのリダイレクト時に発火するピクセルは、ほとんどの監督機関の解釈では広告のための行動プロファイリングが正当な利益の境界外にあるため、正当な利益ではなく同意の根拠が必要だということです。

TinyURL#

TinyURL はクリーンな無料プランを提供し、広く使われるコンシューマー向けショートナーです。サブプロセッサーリストを公開していません。標準条件には第28条(3)を満たす DPA が含まれていません。analytics 層は初歩的で米国にホストされています。EU データ主体をオーディエンスに持つ B2B またはマーケティングチームには、TinyURL は調達準備ができていません。

一般的な米国ホストのショートナー問題#

主に米国の顧客向けに運営する多くのプロバイダーは、GDPR コンプライアンスをアーキテクチャ上の制約ではなくチェックボックスとして扱います。注意すべきサイン:DPA へのリンクなしで料金ページに「GDPR 準拠」バッジ、地域を名指ししないサブプロセッサーリスト(地域なしのハイパースケーラー名のみ)、文書化された API エンドポイントではなくサポート経由の消去プロセス、IP 切り詰めやデータ最小化のデフォルトへの言及なし。

マーケティング主張としての「GDPR 準拠」は、第28条(3)にマッピングされる DPA、現在かつ地域固有のサブプロセッサーリスト、そしてデフォルトのデータ収集姿勢がオプトインを要求するのではなく最小化を適用するという証拠なしには意味がありません。

GDPR フレンドリーなショートナーチェックリスト#

以下は、EU データ主体のクリックデータを処理する URL ショートナーと契約を締結する前に書面で確認すべき10の問いです。

GDPR 条文にマッピングされた10項目のショートナーチェックリスト:居住地は第44条、DPA は第28条(3)、IP 切り詰めは第5条(1)(c)、消去は第17条、侵害 SLA は第33条など。

1. データはどこで処理され、それは契約上のコミットメントか?#

ハイパースケーラーの地域を聞いてください - クラウドプロバイダー名だけでなく。「AWS」は答えではありません。「AWS eu-central-1」のような名前付きEUリージョンが答えです。さらに重要なのは、その地域が標準契約の拘束力ある条項なのか、それともあなたの同意なしに変更できる運用慣行なのかを聞くことです。第44条の下では、EEA 外への転送には法的根拠が必要です。ベンダーがインフラを更新するたびに分析をやり直さなくても済むよう、居住地コミットメントを契約に盛り込みたいところです。

2. DPA は事前署名されており、第28条(3)を完全にカバーしているか?#

標準契約に事前署名で付属する DPA は、ベンダーが GDPR コンプライアンスを交渉ではなくベースラインとして扱っていることを示します。DPA を第28条(3)の8つのサブパラグラフと照らし合わせて読んでください。それぞれに対処されていなければなりません。特に段落(d) - サブプロセッサーの関与 - と段落(h) - 監査権 - に注意を払ってください。具体的な義務の代わりとしての「業界標準のセキュリティ慣行を使用します」のような汎用的な文言は危険なサインです。

3. サブプロセッサーは何社で、地域付きで名指しされているか?#

すべてのサブプロセッサーは転送チェーンの追加リンクです。名前付き地域(EUリージョンのEUコンピュートプロバイダー、米国東部のメールプロバイダーなど)を持つ短いリストは単一のレビューで監査可能です。曖昧なベンダー名の長いリストはメンテナンスの負担と居住地リスクです。第28条(2)の下では、各サブプロセッサーはプロセッサーと同じデータ保護義務を受け入れなければなりません。新しいサブプロセッサーの通知期間と異議申し立て権があるかどうかを確認してください。

4. ショートナーは IP アドレスを保存前に切り詰めまたはハッシュ化しているか?#

完全な IP アドレスの保存は、ショートナーがサポートする analytics ユースケースにはほとんど必要ありません。国レベルのジオロケーションとボット検出はリダイレクト時に完全な IP から実行でき、結果を保存した後に生の IP は破棄または切り詰めできます。第5条(1)(c)の下では、目的が要求する以上のデータを保存することはデータ最小化原則の違反です。IP 切り詰めまたはハッシュ化がデフォルトか、それともオプトインが必要かを確認してください。デフォルトの最小化が正しいアーキテクチャです。オプトインの最小化はコンプライアンスリスクをあなたに転嫁します。

5. リダイレクトはサードパーティのスクリプトやピクセルを注入するか?#

一部のショートナーはリターゲティングピクセル注入を機能として提供しています:訪問者がショートリンクをクリックすると、ショートナーはリダイレクト前または途中に Meta Pixel、Google タグ、または同様のサードパーティスクリプトをロードします。EU データ主体に対し、事前の同意なしにサードパーティの行動トラッキングスクリプトをロードすることは、第6条の違反であり、クッキーが設定されるかどうかによっては ePrivacy 指令の違反でもあります。ショートナーがピクセル注入を提供する場合、EU トラフィックに対してその機能は無効化するか同意でゲートする必要があります。ベンダーがデフォルトでリダイレクト時にサードパーティスクリプトがロードされないことを確認できない場合は、Network タブを開いて自分でテストしてください。

6. 消去権リクエストのための API エンドポイントがあるか?#

第17条は、特定の根拠が適用される場合に「不当な遅延なく」個人データを消去させる権利をデータ主体に与えます。ショートナーが保持するクリックデータに関する消去リクエストを受け取ったとき、それを実行するメカニズムが必要です。主体識別子を受け入れて関連するクリックイベントを削除する API エンドポイントが運用上正しい答えです。サポートチケットによる消去は、ほとんどの監督機関の解釈では「不当な遅延なく」ではなく、意味のあるクリック量ではスケーラブルなパターンでもありません。

複雑な点は、クリックイベントが追記のみのカラム型 analytics データベース(例えば BigQuery や Snowflake)に保存されることが多いことです。このようにクリックイベントを保存するベンダーは、削除が現実であること - 関連するパーティションに対する DELETE - を実証する必要があります。ソフトフラグではなく。ベンダーの第17条 SLA と背後にある技術的メカニズムを確認してください。

7. 侵害通知の SLA は何か?#

第33条は、コントローラーが個人データ侵害を「不当な遅延なく、可能な場合は認識してから72時間以内に」監督機関に通知することを要求します。その時計が機能するために、プロセッサーがあなたに大幅に早く通知する必要があります - 業界標準は認識からコントローラー通知まで24時間です。DPA はこの SLA を指定すべきです。「速やかに通知します」は数字ではありません。

8. ショートナーはデフォルトでクッキーレスのファーストパーティ analytics を使用するか?#

多くのショートナーは、米国ホストで永続的な識別子をクッキーまたはローカルストレージに設定する可能性があるサードパーティの製品 analytics ツール(Mixpanel、Amplitude、Segment)の上に独自の analytics ダッシュボードを構築しています。ショートナー自身の製品 analytics(ダッシュボードの使用状況のトラッキング)については、それは別の問題です。クリックトラッキングの関連する問いは、リダイレクトフローが同意なしに訪問者のブラウザにクッキーまたは永続的な識別子を設定するかどうかです。

クッキーレスのクリックイベント - クライアントサイドの状態を設定せずにリクエストヘッダーから国、デバイス、リファラーを導出するもの - は、データが正当な利益の下で処理されプライバシー通知がアクセス可能であれば、ほとんどの監督機関のガイダンスの下でファーストパーティ analytics の同意メカニズムを必要としません。永続的な識別子を設定するかサードパーティタグをロードするリダイレクトは同意ゲートを必要とします。ショートナーがどちらを使用するかを把握してください。

9. リンク受信者がアクセスできる透明性通知があるか?#

第13条は、例外が適用されない限り、データが収集された時点で収集対象の個人に処理について通知することを要求します。ショートリンクのクリックトラッキングの場合、実際的な問いは:リンクをクリックした人はクリックが追跡されていることをどのように知り、どこでそれについて読めるかです?

ほとんどのショートナーデプロイメントは、宛先ページのコントローラーのプライバシー通知または発信元キャンペーンページのクッキーバナーを通じてこれを満たしています。プロセッサーとしてのショートナーはクリッカーに独自の通知を表示する必要はありません - しかしコントローラーとしてのあなたは、リンクトラッキングの処理チェーンをカバーするプライバシー通知が必要です。ショートナーのプライバシーポリシーが処理を説明する唯一のドキュメントであり、それがコントローラーの視点ではなくベンダーの視点から書かれている場合、ギャップがあります。

10. サポートに連絡せずに自分のデータをダウンロードおよび削除できるか?#

これは、ベンダーがサポートを主張するデータ主体の権利を実際に運用化しているかどうかの実際的なテストです。以下ができるべきです:ワークスペースのすべてのクリックイベントをポータブルな形式でエクスポートする、個々のリンクとそれに関連するクリック履歴を削除する、すべての個人データの文書化された削除でアカウントを終了する。これらのいずれかがセルフサービス API やダッシュボードアクションではなくサポートリクエストを必要とする場合、SLA を確認し契約に盛り込んでください。

関連するトレードオフ#

GDPR フレンドリーなアーキテクチャには現実のトレードオフが伴います。コンプライアンスの制約にコストがないふりをするよりも、それについて正直であることの方が有用です。

より粗い analytics。 IP を /24 に切り詰めて完全なユーザーエージェント文字列を破棄するショートナーは、国、デバイスファミリー、OS を提供します - しかし市区町村レベルのターゲティング、個別のブラウザフィンガープリント、完全解像度データが可能にするクロスセッションのアイデンティティ解決は提供しません。ほとんどのキャンペーンアトリビューションのユースケースでは、この解像度で十分です。個人レベルのリターゲティングには、別のアプローチが必要です - 通常は、ユーザーがすでに共有したファーストパーティ識別子(メールアドレス、ログインユーザー ID)に対するサーバーサイドコンバージョン転送であり、ショートナーがリダイレクト層で個人を追跡する必要はありません。

より小さな機能サーフェス。 ショートナーの最も強力な機能の一部 - リターゲティングピクセル注入、クロスドメイントラッキング、サードパーティ広告プラットフォームとの深い統合 - は、データ最小化と調和させることが難しいデータ収集慣行の上に構築されています。GDPR フレンドリーなショートナーはリダイレクト層でより少ないことをするクリーンなリダイレクトを持つ傾向があり、コントローラーがユーザーとの直接的な関係を持ちトラッキングを同意に基づかせることができるコンバージョンイベント層により多くをルーティングします。

調達オーバーヘッド。 事前署名された DPA を持つ EU ホストのショートナーを選ぶことで、EU 居住地のためにカスタム契約を要求する米国ホストのベンダーと比較して調達サイクルが短縮されます。ただしサイクル自体はなくなりません。依然として DPA を確認し、サブプロセッサーリストを確認し、消去 SLA を検証し、IP 切り詰めとクッキーのデフォルトがプライバシー通知と一致することを確認する必要があります。GDPR フレンドリーなショートナーの調達作業は2〜4時間と見積もられます。EU 居住地にカスタム契約交渉が必要な米国ホストのベンダーでは2〜8週間です。

EU ホストのショートナー(契約上の居住地、事前署名 DPA、転送根拠不要、約2〜4時間)と米国ホストのショートナー(EU カスタム条件、SCC と TIA、約2〜8週間)の比較。

Elido のアプローチ#

このチェックリストに関連する部分として、Elido の標準デプロイメントがどのようなものかを示します。

データ居住地。 Elido はデフォルトで EU リージョンの EU インフラでクリックイベントを処理します。居住地は運用慣行ではなく、標準顧客契約の拘束力ある条項です。Business+ の顧客は他の地域にピン留めできます。デフォルトは EEA 外にデータを転送しません。

IP 切り詰め。 当社の分析ストアに保存されるクリックイベントには、完全な IP アドレスではなく /24(IPv4)または /48(IPv6)のネットワークプレフィックスが含まれています。ジオとボット検出はリダイレクト時に完全な IP で実行され、イベントが保存される前に完全な IP は破棄されます。これはデフォルトであり、設定する必要はありません。

リダイレクト時のサードパーティピクセル。 リダイレクトプレーンはサードパーティスクリプトをロードしません。サーバーサイドコンバージョン転送 - Meta CAPI、GA4 などへのアトリビューションデータの送信 - はオプションの個別設定機能であり、リダイレクト時に注入されるピクセルではなく、あなたが Elido API に POST するファーストパーティイベントデータを使用します。これらはアーキテクチャ上異なります:一方はリダイレクトから訪問者の知らないうちに発火し、もう一方は訪問者がすでにあなたと共有したデータに紐付けられたサーバー間呼び出しです。

DPA。 Elido の DPA は標準顧客契約に事前署名されています。第28条(3)の8つのサブパラグラフすべてに対処しています。サブプロセッサーは地域付きでトラストページに記載されています。legal/privacyページはリンク受信者に見えるの処理チェーンをカバーしています。

消去権。 第17条の消去リクエストは24時間以内にクリックイベントストアに伝播されます。削除はソフトフラグではなくパーティションレベルの操作です。

クッキーレス analytics。 リダイレクトプレーンはクッキーを設定しません。クリックイベントはサーバーサイドのみです。Elido が内部で使用する analytics ダッシュボードは、製品テレメトリのためにクッキーレスモードで Plausible を使用します。これはキャンペーンのクリックイベント記録とは別です。

Elido がまだ持っていないもの:SOC 2 Type II(進行中、2026年下半期目標)、顧客向けのセルフサービス DPIA テンプレート、より稀なアクセス権のシナリオのための完全自動化されたアクセス主体リクエスト API。現在の証明の詳細については、トラストページを参照してください。

非 EU ショートナーから切り替えるための移行チェックリスト#

現在米国ホストのショートナーを使用していて EU ホストのものに移行する必要がある場合、以下は圧縮された運用チェックリストです。

新しい契約に署名する前に:

  1. 新しいベンダーの DPA を第28条(3)と照らし合わせて読む。8つのポイントがすべて明示的にカバーされていることを確認する。
  2. サブプロセッサーリストを確認する。ホスティング地域が名指しされていること(クラウドプロバイダーだけでなく)を確認する。
  3. IP 切り詰めのデフォルトを確認する。製品ドキュメントにない場合は書面での確認を求める。
  4. 第17条 SLA と技術的メカニズムを確認する。
  5. リターゲティングピクセルがリダイレクト時に発火するかどうかを確認する。発火する場合、完全に無効化できるか同意でゲートできることを確認する。

移行中:

  1. 既存のショートリンクを CSV としてエクスポートする。DNS に触れる前に、カスタムスラッグが新しいプラットフォームで保持されることを確認する。
  2. CNAME を切り替える前に、同じカスタムドメインとスラッグで新しいプラットフォームにすべてのリンクをプロビジョニングする。
  3. CNAME 切り替え後の DNS 伝播のために24〜48時間待つ。スラッグが一致すれば、このウィンドウ中に両方のプラットフォームが有効なレスポンスを提供する。
  4. 古いプラットフォームからの過去のクリックデータを移行しない - 古いクリックイベントの管理の連鎖は、消去権を行使するまで古いプロセッサーに残る。

移行後:

  1. ワークスペースに関連するすべての個人データについて古いベンダーに消去リクエストを発行する。受領と削除タイムラインを確認する。
  2. 新しいプロセッサー、サブプロセッサー、新しいデータ居住地を反映するよう プライバシー通知を更新する。
  3. 古いショートナーのトラッキング機能を参照しているクッキーバナーや同意メカニズムを見直す。新しいプラットフォームのデフォルト収集が狭い場合はスコープを調整する。

Bitly からの移行プレイブックでは、リンクインポートと DNS の引き渡しの技術的な仕組みをより詳しく説明しています。

GDPR の主張を信頼する前に確認すること#

どんなショートナーでも料金ページに「GDPR 準拠」と書けます。この主張は規制されておらず、それだけでは法的効力がありません。効力を持つ成果物は:

  • 第28条(3)のサブパラグラフごとにマッピングされた DPA。
  • ベンダー、地域、共有されるデータカテゴリーを名指しするサブプロセッサーリスト。
  • 処理チェーンを説明するリンク受信者がアクセス可能なプライバシー通知 - これは第13条を満たします。
  • 保存前の切り詰めまたはハッシュ化を確認する文書化された IP 処理。
  • 名前付きの技術的メカニズムを持つ第17条消去 SLA。
  • 独立した証明(ISO 27001 が最低ライン。SOC 2 Type II は米国/国際調達に対して追加の保証を加えます)。

ベンダーが1営業日以内にこれらすべてを書面で提供できない場合、「GDPR 準拠」の主張は文書化されたコンプライアンス姿勢ではなくマーケティングコピーです。

このチェックリストの背後にある条文レベルの法律分析については、URL ショートナーの GDPR コーナーストーンが監督機関の引用付きで第3条、第6条、第28条、第30条、第32条、第35条を深く掘り下げています。調達向けの成果物:Elido のプライバシーポリシー利用規約料金 - DPA はすべての有料プランの標準契約にバンドルされています。

ブログ関連記事#

Elidoを試す

URLを貼り付けて短縮リンクを取得

登録不要。リンクは30日間有効。永久に保存するには登録してください。

Free、登録不要 · 1日あたり2件

Elidoを試す

EUホスティングのURL短縮サービス。カスタムドメイン、詳細な分析、オープンAPI付き。無料プラン - クレジットカード不要。

Elidoを無料で試す料金を見る
タグ
gdpr url shortener
gdpr friendly url shortener
url shortener data residency
link tracking gdpr
eu url shortener
dpa url shortener
gdpr checklist

続きを読む