GDPRのデータ越境移転は、アーキテクチャで丸ごと消せる唯一のコンプライアンスリスクだ

GDPRのリスクの大半は手続き的なものだ——書き直せる告知、短くできる保持期間、直せる同意フロー。国際的なデータ移転はそれとは違う。あなたが制御もパッチ当てもできない法的枠組みに依存しており、その枠組みは10年で二度も無効にされてきた。唯一の持続的な解決策はアーキテクチャ的なものだ。そもそもデータを移転しないことである。

移転メカニズムは崩れ続ける

GDPR Chapter V（第5章）は、有効な移転メカニズムを持たない限り、十分な保護水準を備えない国へ個人データを送ることを禁じている。EUから米国への流れについては、そのメカニズムには墓場がある。CJEUは2015年にSafe Harbourを（Schrems I）、2020年にPrivacy Shieldを（Schrems II）無効とした。いずれも、米国の監視法がEU市民に実効的な救済を一切与えていなかったことが理由だ。

現行の枠組みは2023年に採択された**EU・米国データプライバシーフレームワーク（DPF）**である。2025年9月3日、EU普通裁判所（General Court）は、Latombe v Commission（事件 T-553/23）でこれに対する最初の異議申立てを退け、欧州委員会の十分性決定を支持した。

だが、これで話が終わったわけではない。Latombeは2025年10月31日に**司法裁判所（Court of Justice）**へ上訴し、noyb——Max Schremsの組織——は、過去2つの枠組みを沈めたのと同じ監視を理由に、DPFに対するより広範な異議申立てを準備中だと示唆している。Safe HarbourとPrivacy Shieldを葬った裁判所が、もう一度この件を見ることになる。

なぜこれが特にアナリティクスに降りかかるのか

アナリティクスは、EUの小規模サイトが気づかないうちに米国への移転をしてしまう最も一般的な経路だ。ブラウザがイベントを送り、米国に本社を置くアナリティクス事業者が、訪問者のIPアドレスと行動データを米国のインフラ上で受け取る。これは個人データの移転であり、その日その日にDPFが持つ法的ステータスをそのまま引き継ぐ。

規制当局はDPFが存在する前から、これを違法と扱っていた。noybの協調的な苦情申立てを受け、オーストリアのDSBは2022年、Google Analytics経由のEUから米国への移転がChapter Vに違反すると判断し、フランス、イタリア、デンマーク、フィンランド、スウェーデン、ノルウェーのDPAも同じ論理で続いた。IPアドレスが米国サーバーに届くこと、それだけで十分だった。

もしCJEUがDPFを無効にすれば、これらの判断は、いまだにEU訪問者のデータを米国へ流しているあらゆるツールにとって、一夜にして再びテンプレートになる。

リスクをアーキテクチャで消し去る

あなたにDPFをより安定させることはできない。だが、そもそもChapter Vのエクスポージャーを持たないデータフローを構築することはできる。それを成り立たせる性質は二つだ。

エッジで、リージョン内で処理する。 CloudflareのData Localization Suiteを使えば、Workerは処理とログをEUのデータセンターに閉じ込められる。そのため、リクエストは発生したリージョンを決して離れない。データがどこで扱われるかという判断は、上訴に耐えてくれることを祈る法的枠組みではなく、インフラの設定になる。

識別につながる入力を決して永続化しない。 リクエストを「個人データ」たらしめる生のIPとUser-Agentは、日次の訪問者ハッシュを計算するのに必要な間だけメモリに存在し、その後は破棄される。

visitor_hash = SHA-256(IP | UA | SALT_SECRET | YYYY-MM-DD)

保存されるのはハッシュであって、入力ではない。ソルトは日次でローテーションし秘密に保たれるため、ハッシュを個人へ逆算することも、日をまたいで連結することもできない。プロファイルは存在せず、識別につながるものが国境を越えることもない。識別につながるものがそもそも一切保持されないからだ。

データフローの地理は、ワイヤー上で検証できる。ページビューのビーコンは、あなた自身が管理するファーストパーティのエンドポイントへの単一のリクエストにすぎない。

POST /collect HTTP/2
Host: api.monoid.website
Content-Type: application/json

{"site_id":"...","path":"/pricing","referrer":"..."}

api.monoid.website がEUのエッジノードに解決し、WorkerがストレージをEUにピン留めしていれば、経路に米国のプロセッサーは存在せず、頼るべき十分性決定もなく、開示すべき移転もない。訪問者の国はそれでも取得できる——IPを第三者へ送るのではなく、エッジ自身のジオロケーションから導かれるからだ。

これがもたらすコンプライアンスの姿勢

一度も行わない移転は、一度も弁護する必要のない移転だ。処理記録に引用すべきDPFはなく、維持すべき標準契約条項（SCC）もなく、法的根拠が変わるたびにやり直す移転影響評価（TIA）もなく、規制当局が2026年に監査している透明性ルールの下で開示すべき第三国のサブプロセッサーもない。

ほかのアナリティクスのコンプライアンス作業はどれも、やり続けるものだ。移転を消し去ることは、アーキテクチャの中で一度やれば、あとは考えなくてよくなるものだ——CJEUがその上訴をどう裁こうとも、である。

出典

• 欧州連合司法裁判所 — プレスリリース：普通裁判所が Latombe の訴えを退ける（事件 T-553/23）
• IAPP — 欧州普通裁判所が Latombe の異議を退け、EU・米国データプライバシーフレームワークを支持
• noyb — オーストリア DSB：EUから米国の Google Analytics へのデータ移転は違法
• noyb — さらに複数の EU DPA が Google Analytics の停止を命令
• Cloudflare — Data Localization Suite