1分で読了コンプライアンス

BitlyはGDPRに準拠しているか? DPOによる本音の回答

BitlyはDPA、標準契約条項、そしてData Privacy Framework認証を備えている。準拠しているのは事実だが、それはEU域内のみのデータ常駐とは異なる。

Sasha Ehrlich
Compliance · EU residency
BitlyはGDPRに準拠しているか: 法的移転手段のもとで米国へ渡るEUのクリックデータと、データがEU域内から出ないEU常駐型の経路との比較

はい。BitlyはGDPRに準拠しています。それは調達チェックリストにとって重要な意味においてです。すなわち、データ処理契約を公開し、標準契約条項のもとでデータを移転し、有効なEU-米国間Data Privacy Framework認証を保持し、ベルリンにEU法人を運営し、第15条から第21条に基づくデータ主体からの請求に対応しています。ベンダーフォームの欄に「GDPR準拠: はい/いいえ」とあるなら、正直な答えは「はい」です。

より難しい問題、つまりチェックリストの後にDPOが尋ねる問題は、実際にクリックデータがどこに存在するかということです。Bitlyの準拠は、EUの個人データを米国へ移し、その移転を法的手段でカバーすることに支えられています。それは今日では合法です。しかしそれはEUデータ常駐とは異なり、一部の購入者にとってはその2つの違いが契約を左右します。

これはコンプライアンスクラスタの記事であるため、条文番号を引用し、出典にリンクを付けています。ご自身の顧問弁護士に確認できるようにするためです。Bitlyに限らず、あらゆる短縮サービスにGDPRが何を求めているかという全体の枠組みについては、URL短縮サービスのためのGDPR基礎解説が第3条、第6条、第28条、第30条、第32条、第35条を一つずつ解説しています。

簡潔な回答と、その注意点

Bitlyは、真剣なベンダーに期待されるコンプライアンス対応をきちんと行っています。プライバシーポリシー(2026-07-17時点で確認)を読むと、その仕組みがすべて揃っていることが分かります。

  • 利用規約に組み込まれたデータ処理契約(DPA)。
  • EEA域外への移転に対応する標準契約条項(SCCs)。
  • 有効なEU-米国間Data Privacy Framework認証に加え、英国拡張版とスイス-米国間フレームワーク。
  • EU拠点: ベルリンのBitly Europe GmbHと、指名されたデータ保護責任者(DataCo GmbH)。
  • データ主体の権利対応プロセス。米国案件は[email protected]、EU案件は[email protected]に分かれており、アクセス、訂正、削除、制限、ポータビリティ、異議申立てをカバーしています。
  • 明記された保持ルール: 個人データは要求に応じて、またはデータ主体との最終接触から3年後のいずれか早い方で、削除または匿名化されます。

これらのいずれも異論の余地はありません。DPA、SCCs、フレームワーク認証、EUのDPOを備えたベンダーは「GDPRを無視している」わけではなく、そうではないと主張する記事があれば何か別の意図があるはずです。注意点はBitlyが準拠しているかどうかではありません。どのように準拠しているかであり、その仕組みが大西洋を越えるデータ移転だという点です。

Bitlyのデータが実際にどこへ行くのか

Bitly自身の組織構造が、これを最も明確に物語っています。Bitly Europe GmbH(ベルリン)とBitly Inc.(ニューヨーク)は、共同管理者契約に拘束される第26条に基づく共同管理者です。アカウントデータと、リンクを通じて流れるクリックデータは、この共同の枠組みの中にあり、その枠組みは設計上、大西洋をまたいでいます。

プライバシーポリシーには明確に記載されています。個人データは「米国を含むがこれに限定されない、欧州連合および欧州経済領域の域外へ移転される場合がある」と。すべてのリダイレクトはIPアドレスとユーザーエージェントを記録しますが、どちらも特定可能な個人に関する個人データになり得ます。したがって短縮サービスが記録するクリックストリームは対象範囲に含まれ、Bitlyの場合、そのストリームは米国中心の処理モデルへと送られます。

An EU user's click on a Bitly link recorded by joint controllers Bitly Europe GmbH in Berlin and Bitly Inc. in New York, with click data transferred to the United States under Standard Contractual Clauses and the Data Privacy Framework

これは合法です。しかし同時に、EUから米国への移転を支える法的手段への恒常的な依存でもあります。そしてそれらの手段には過去の経緯があります。

「Data Privacy Framework認証済み」がすべてではない理由

Bitlyが依拠する移転の保護措置は、欧州司法裁判所によって無効とされた後、これまでに2度作り直されています。セーフハーバーは2015年に無効になりました。プライバシーシールドはSchrems II判決(CJEU C-311/18、2020年)で無効になり、この判決はまた、移転ごとにTransfer Impact Assessment(移転影響評価)を要求することでSCCsの基準も引き上げました。2023年に欧州委員会が採択したEU-米国間Data Privacy Frameworkが現行の後継であり、Bitlyが認証を受けているのはこれです。

購入者にとって、そこから2つのことが導かれます。

第一に、認証はある時点での主張であって、恒久的な状態ではありません。認証は失効したり、取り消されたり、非準拠になったりします。Bitlyのフレームワークのステータスに依拠するのであれば、ポリシーページの記載を鵜呑みにするのではなく、公式のData Privacy Framework参加者リストで現在も有効かどうかを確認してください。

第二に、このフレームワーク自体が法的な圧力にさらされています。プライバシー擁護派はこれに異議を申し立てる意向を示しており、3度目のSchrems判決は、慎重な購入者が今や想定しておくべきシナリオです。GDPR第5章、すなわち国際移転に関する第44条から第49条は、規則の中で最も足場が定まっていない部分です。最も変わりやすいこの一章の上にマーケティングアトリビューションの基盤を築くことは、受け入れる組織もあれば受け入れない組織もあるリスクです。

「準拠」と「EU域内限定」は同じではない

実際に調達を左右するのは、この区別です。「GDPRに準拠している」と「データがEU域内にとどまる」は異なる主張であり、Bitlyは前者を満たしていますが、後者は満たしていません。

多くのチームにとって、それで問題ありません。公開キャンペーン向けにリンクを短縮し、クリック分析の根拠を正当な利益に置いているマーケティングチームであれば、準拠した移転ベースのベンダーで十分に対応できます。法的手段がそれをカバーします。

業界が要件として常駐を明記している場合、それでは済まなくなります。社会保障データ保護規則のもとでのドイツの公共部門・医療データ、HDS認証のもとでのフランスの医療データ、EBAガイダンスのもとでの金融サービスデータ、これらはEU域内限定処理へと向かわせます。そうしたケースでは、移転ベースの体制は単なるチェック項目ではなく、継続的な義務になります。Transfer Impact Assessmentを維持し、法的根拠が変わるたびに再実施し、EU域内に保持できたはずの個人データについてなぜ米国への移転が正当化されるのかを文書化する必要があります。EU域内常駐型の短縮サービスであれば、評価すべき移転自体が存在しないため、この作業が不要になります。

Two compliance paths compared: a transfer-based path where EU data moves to the US and requires a Transfer Impact Assessment, versus an EU-residency path where data stays in the EU region and no transfer assessment is needed

EUのクリックデータがEU域外に一切出ないことが要件であれば、ElidoはデフォルトでデータをEUリージョン内にとどめます。その常駐性は契約上のものであり、運用面でも実施されているものであって、パンフレットの一文ではありません。それが、「私たちは準拠していますか?」という問いに答えることと、移転分析を付けずに「データが一切出ていないと証明できますか?」という問いに答えることの違いです。

Bitlyに依拠する前に確認すべきこと

そのコンプライアンスステータスは本物ですが、有用な作業は、それがあなた自身の義務に適合するかどうかを絞り込むことです。書面で確認すべき5つの事項は次の通りです。

  1. 自社の要件は「準拠」なのか、それとも「常駐」なのか。もしステークホルダーの誰かが「EU域内限定」と言っているのであれば、フレームワーク認証ではそれを満たせません。代わりに常駐性のコミットメントが必要であり、それらは異なる条項です。
  2. デフォルトの保持期間を確認する。Bitlyの明記されたルールでは、最終接触から最長3年間データを保持するため、自社の管理者ポリシーがそれより短い場合は、想定に頼るのではなく設定する必要があります。
  3. サブプロセッサーのリストを求める。2つの大陸にまたがる共同管理者構造では、より多くの関係者がデータに触れる傾向があり、そのうちどれがクリックイベントの経路上にあるかを知っておきたいところです。
  4. フレームワーク認証がポリシーページに記載されているだけでなく、政府のリスト上で現在も有効であることを確認する。認証は失効することがあります。
  5. DPAを読む。それは利用規約に組み込まれているため、サブプロセッサー承認モデルと削除に関するSLAは、別途署名される文書ではなくその中に記載されています。第28条を満たすDPAは最低限の基準であって上限ではありません。基礎解説記事では第28条(3)の各条項が何を定めるべきかを詳しく解説しています。

誰がEU域内処理にコミットし、誰が域外移転を行っているかという市場全体の視点については、EUのベストURL短縮サービスのまとめ記事と、より詳しいマーケティングツールのEUデータ常駐の記事が代替案を扱っています。Bitlyのモデルそのものを検討しているのであれば、Elido対Bitlyが常駐性と価格を並べて比較しており、無料Bitlyリンクの広告インタースティシャルも、EUのチームが再検討している別の理由です。

結論

BitlyはGDPRに準拠しているか。はい。DPA、SCCs、Data Privacy Framework認証、EU法人、そしてデータ主体の権利対応の仕組みを備えています。Bitlyが全く準拠していないと主張する人がいれば、それは誤りです。

しかし「準拠」がすべての問いだったわけではありません。Bitlyの準拠は、EUの個人データを米国へ移転し、その移転をGDPR第5章が絶えず揺るがし続けている手段でカバーすることの上に成り立っています。公開キャンペーンを運営するマーケターであれば、それは合理的なトレードオフです。しかし、EUのクリックデータがEU域外に出てはならない、規制対象または主権を意識する立場にいるのであれば、「移転を介した準拠」では基準を満たせません。そして解決策はより良いDPAではなく、そもそも移転を行わない短縮サービスです。ツールを決める前に、自分がどちらの立場にいるかを決めてください。

基礎解説シリーズを読む

この記事はコンプライアンスクラスタに属しています。基礎解説記事はURL短縮サービスのためのGDPR: DPOが本当に見たいものであり、条文ごとの枠組みを知るにはまずそちらから始めてください。調達担当者向けのまとめとしては、トラストページsolutions/complianceの2つがブックマークすべき資料です。

ブログの関連記事

よくある質問

BitlyはGDPRに準拠していますか?

はい、形式的な意味では準拠しています。Bitlyはデータ処理契約(DPA)を公開し、標準契約条項(SCCs)のもとでデータを移転し、有効なEU-米国間Data Privacy Framework認証を保持し、ベルリンにEU法人を置き、第15条から第21条に基づくデータ主体からの請求に対応しています。ただし微妙な点として、その準拠はEUの個人データを米国へ移転することに依拠しており、それは合法ではあるものの、データをEU域内にとどめておくこととは異なります。

BitlyはクリックデータをEU域内に保存していますか?

デフォルトでは保存していません。Bitlyのプライバシーポリシーには、個人データが標準契約条項およびData Privacy Frameworkのもとで、米国を含むEUおよびEEA域外へ移転される場合があると記載されています。公開されている利用規約にはEU域内限定処理の標準的なコミットメントはないため、EU域内常駐が要件である場合は、個別に依頼する必要があります。

Bitlyはデータ処理契約を結んでいますか?

はい。BitlyのDPAは別文書として署名されるものではなく、利用規約に組み込まれており、Bitly Europe GmbHとBitly Inc.は管理するデータについて第26条に基づく共同管理者として行動します。依拠する前に、DPAの条項を直接確認し、サブプロセッサー承認モデルと削除に関するSLAを確かめてください。

BitlyはEU-米国間のData Privacy Frameworkの認証を受けていますか?

はい。BitlyはEU-米国間Data Privacy Framework原則、および英国拡張版とスイス-米国間フレームワークを遵守していると米国商務省に対して認証しています。認証は失効または取り消される可能性があるため、dataprivacyframework.govの公式参加者リストで現在も有効かどうかを確認できます。

GDPRのもとでEU企業がBitlyを利用しても安全ですか?

一般的なマーケティング用途であれば安全です。必要な法的手段は整っています。ただし、業界がEU域内限定処理を要求する場合(ドイツの社会保障データ、HDSのもとでのフランスの医療データ、金融サービスなど)は、より難しい問題になります。移転を前提とした体制では、Transfer Impact Assessment(移転影響評価)を継続的に負担することになりますが、EU域内常駐型の短縮サービスであればこれを完全に不要にできます。

Elidoを試す

URLを貼り付けて短縮リンクを取得

登録不要。リンクは30日間有効。永久に保存するには登録してください。

Free、登録不要 · 1日あたり2件

Elidoを試す

EUホスティングのURL短縮サービス。カスタムドメイン、詳細な分析、オープンAPI付き。無料プラン - クレジットカード不要。

タグ
is bitly gdpr compliant
bitly gdpr
bitly data processing agreement
bitly eu data residency
data privacy framework
url shortener gdpr

続きを読む