短縮URL作成ツールとGDPR — ニュースレターにリンクを貼る前に知っておくべきこと

短縮リンクを一度クリックするだけで、平均して4つのデータが密かに記録されます：IPアドレス、ブラウザ、OS、流入元。4つです。では、日曜日の朝にあなたのオファーへのリンクをクリックする、3000人のニュースレター購読者にこれを掛け合わせてみてください。突然、目にしたこともないような数千件のレコードのデータベースが出来上がります。

そして、これこそがまさに、URL短縮サービスとGDPRが弁護士にとっての理論的な法的問題ではなくなり、あなた自身の問題になり始める瞬間なのです。

EUにおけるIPアドレスは個人データです。「ほぼ」でも「一部のケースにおいて」でもありません。個人データです。もし会社のキャンペーンで短縮リンクを使用する場合、管理者として、そのリンクをクリックした人々のIPアドレスに何が起こるかに対して責任を負うことになります。

クリッカーがクリックしたとき、短縮ツールは実際に何を見ているのか

リストは見た目よりも短いですが、十分に密度があります：

• 訪問者の IP (つまり、上述の特定の個人)、
• user agent (ブラウザおよびシステム)、
• referer — どのページから流入したか、
• このIPから算出されたおおよその location (位置情報)。

これだけで、見栄えの良いクリック統計を作るには十分です。また、送信前に急いでリンクを貼り付ける際、ほとんどの人が考えもしないような義務に追われることにもなり得ます。

これらのデータはどこに保存されるのか（そして、なぜそれが統計そのものよりも重要なのか）

ここに本当の落とし穴があります。有名な短縮URLサービスの多くはヨーロッパ国外、主にアメリカの企業です。「短縮」をクリックしてニュースレターへのリンクを貼り付けると、誰が、いつ、どこからクリックしたかというデータが海を越えて送られていきます。

2つの問題、次から次へと。

第一：EU域外へのデータ移転には法的根拠が必要であり、その移転の根拠となる基盤自体が流動的である場合があります。規制はすでに数回変更されており、これが最後であることを示す兆候はありません。

第二に：データが別の法的管轄区域下に入ります。欧州の管理者として、あなたは単にそれを制御できなくなります。サーバーが物理的にどこにあるかは、もはやドキュメント上の退屈な詳細ではなくなります。それは、あなたがGDPRに準拠しているかどうかの決定事項となるのです。

何が実際にリスクを軽減するのか

3つのこと。魔法なしで。

EU内のサーバー。 クリックデータは欧州外に持ち出されないため、大西洋横断の転送に関する議論は完全に不要です。翻訳の手間も、管理の手間も少なくなります。

収集されるデータの削減。 ツールが保持するデータが少なければ少ないほど、管理の手間は軽減されます。IPアドレスがそのままの形式ではなくハッシュ化されていることは重要です。そうすることで、統計を確認しつつも、特定の個人の生の住所を保存せずに済みます。これはまさに cutty.dev に私たちが組み込んだ機能であり、これなしでは他のすべての機能が不完全なものになってしまいます。

サービス間でのトラッキングなし。 訪問者のプロファイルを紐付けず、データを第三者に転売しないブラウザは、リスト上の悩みが一つ減ることになります。

実践編、つまり月曜日の朝に何をすべきか

リンクを短縮することをやめることが目的ではありません。短縮してください。大切なのは、検索エンジンで最初に出てきたものを適当に選ぶのではなく、意識的にツールを選択することです。

1. サーバーがどこに設置されているか、そして誰が管理しているのかを確認してください。
2. 何を、どのくらいの期間保存しているかを確認してください。
3. 訪問者のデータを収集している場合は、プライバシーポリシーに短縮URLサービスに関する記述を追加してください。たったの一文です。本当に手間はかかりません。

以上です。これは法的助言ではありません（私はあなたの弁護士ではありません）。しかし、最初のクリックからデータが海を越えて流出してしまう状況よりも、コンプライアンスをより容易に構築するための基盤となります。

もし、これらの中でたった一つの文章を覚えておくとするならば：ニュースレターのリンクを貼る前に、読者のIPアドレスがどこに到達するかを確認してください。これは、後々のストレスを大幅に軽減してくれる、先を見据えた問いです。