マップAPIに対してEUベースのデータセンターを選択しました。サーバーはフランクフルトにあります。契約に「EUデータレジデンシー」と書かれています。GDPRコンプライアンスチェックリストを完了して、対象を確認します。
対象ではありません。
これはEU開発者とCTOが毎年不意をついて捕捉するコンプライアンスギャップであり、Schrems II裁定がPrivacy Shieldを無効にしてから、大西洋横断のデータフローに対する精査がより厳しくなっています。マップAPIがUS企業から提供されている場合、サーバーがどこにあっても、ユーザーの位置データはCLOUD Act下で米国政府がアクセスできる可能性があります。GDPRの下では、これは潜在的な違反です。DPA監査では、それは調査結果です。
このガイドではマップAPI使用の実際のGDPR要件、データレジデンシーだけでは十分ではない理由、CLOUD Actのリスクが実際に何を意味するのか、そして厳格なコンプライアンスチェックリストに対していかなるマップAPIベンダーを評価するかを説明しています。これはUS系マッピング企業が信頼できる方法で書くことができないガイドです。なぜなら、彼ら自身のチェックリストに合格できないからです。
位置データが深刻なGDPR注意を必要とする理由
位置データはGDPRの個人データと機密データの交差点に位置します(文脈によって異なります)。第4条(1)は個人データを、特定されたまたは特定可能な自然人に関する情報と定義します。すべてのマップタイルリクエストがAPIプロバイダーに送信するIPアドレスは個人データです。自宅の住所を含むジオコーディングクエリは個人データです。GPS座標が収集される場合、自宅の住所、職場、宗教的出席、医学的予約、および政治的活動を推測するために使用でき、第9条の下で機密データとして適格である可能性があります。
Webアプリケーションまたはモバイルアプリがマップを読み込む、ジオコーディング検索を実行する、またはルートを計算する場合、これらのデータポイントをマップAPIプロバイダーに送信します。ユーザーはサンフランシスコの企業と位置を共有することに同意しませんでした。彼らはあなたのプロダクトの使用に同意しました。データコントローラーとして、そのデータを処理するすべてのサブプロセッサーがGDPR要件を満たしていることを確認する責任があります。
マップAPIプロバイダーがコンプライアンステストに失敗した場合、あなたも失敗します。
CLOUDアクトの問題:US プロバイダーが完全なGDPR準拠を主張できない理由
2018年に米国議会によって可決された明確化海外データ使用法(CLOUD)は、データが物理的にどこに保存されているかに関わらず、US技術企業が合法的な米国政府のデータ提供命令に準拠することを要求します。フランクフルトにサーバーを持つUS企業は、依然としてUS企業です。US裁判所または連邦機関が有効なCLOUDアクト要求を発行する場合、企業は準拠する必要があります。
これはGDPRとの直接的な矛盾を作成します。GDPRの第48条は、EUの法律の下での適切な法的根拠なしに、個人データを外国当局または裁判所に転送することを禁止しています。欧州データ保護委員会は明確です。有効なEUの法的根拠がないまま、CLOUDアクト要求に準拠することは、GDPRの違反を構成します。
EU開発者にとっての実際の結果は明確です:
- Google LLC(US企業)が運営するGoogle Maps Platformは、ヨーロッパのデータセンターを通じてリクエストを処理している場合でも、CLOUD Actの義務に従います。
- 米国に組み込まれたMapboxは、同じ構造的な暴露に直面しています。
- 契約言語またはEU標準契約条項の量は、サービスを提供する企業の基盤となる法管轄を変えません。
これはこれらの企業があなたのデータを無責任に共有していることを意味しません。実際には、CLOUD Actの要求は法執行機関のユースケースを対象としており、定期的なビジネスデータではありません。しかし、法的な暴露は存在し、深刻なDPA監査がそれを特定するでしょう。規制対象の業界(医療、金融、法務サービス)はこの暴露を決して受け入れることができません。
データレジデンシーとデータソブリンティの違いを理解する
これらの用語は営業会話でしばしば互換的に使用されていますが、異なることを意味します:
データレジデンシーとは、データが特定の地理的位置に保存されることを意味します。「EUデータレジデンシー」を提供するUSプロバイダーは、アイルランドまたはドイツのサーバーにデータを保存します。物理的な位置はEUです。法的管轄はそうではありません。
データソブリンティとは、データが特定の管轄区域の法律に従うことを意味します。EUデータが真の主権を持つためには、USの親企業によってEUの土地に保存されるだけでなく、EUの法律に従う実体によって制御される必要があります。
マップAPIの真のGDPR準拠には、データレジデンシーだけでなくデータソブリンティが必要です。この区別は最も重要です:
- アプリケーションが医療患者、金融サービスユーザー、またはその他の規制対象カテゴリのデータを処理する場合
- 正式なDPA監査(銀行、保険、公共部門)に直面するセクターで運営している場合
- CISOまたは法務チームが実際の精査でサブプロセッサー契約をレビューする場合
- データサブジェクトアクセスリクエストまたは違反通知義務に直面する場合
ほとんどの消費者向けアプリケーションでは、CLOUD Actの要求の実際のリスクは低いです。しかし、コンプライアンスは確率計算ではありません。準拠しているか、していないかのいずれかです。
マップAPIベンダーを評価するための実践的なGDPRチェックリスト
マップAPIプロバイダーをGDPR準拠について評価する際に、このチェックリストを使用してください。
法人および管轄権
- APIプロバイダーはEUまたはEEAの法人として組み込まれていますか?
- 親企業(存在する場合)も、US組み込みの親がないEU管轄内にありますか?
- プロバイダーは、DPAに明示的にCLOUDアクト暴露がないことを確認していますか?
データ処理契約
- プロバイダーは、特定のGDPR条項を参照する包括的なDPAを提供していますか?
- DPAは処理される個人データのカテゴリー(IPアドレス、クエリ文字列、座標)を特定していますか?
- DPAはデータ保有期間と削除義務を指定していますか?
- サブプロセッサーがリストアップされており、EU管轄のエンティティでもありますか?
- DPAは違反通知のタイムラインに対応していますか(GDPRは72時間が必要です)?
データストレージと処理
- すべてのデータはEU内に保存および処理され、第三国への転送がないように文書化されていますか?
- サービス間のデータ転送(CDN、分析、サポートツール)は文書化されており、GDPR準拠ですか?
- プロバイダーはアカウントレベルでのデータレジデンシー選択を提供していますか?
セキュリティ認証
- プロバイダーはISO 27001認定されていますか(情報セキュリティ管理の国際標準)?
- プロバイダーは定期的なサードパーティのセキュリティ監査を受けていますか?
- 文書化された脆弱性開示とパッチ管理プロセスがありますか?
ユーザー権利とコントロール
- APIを設定してデータ収集を最小化できますか(例:匿名化されたIP、分析追跡なし)?
- プロバイダーはデータサブジェクトアクセスリクエストと削除リクエストをサポートしていますか?
- EU DPAsからの規制上の問い合わせに対応するための文書化されたプロセスはありますか?
MapAtlas:初日からEUデータソブリンティのために構築
MapAtlasはEU組み込み企業であるMapMetricsが運営するヨーロッパのマッピングAPIプラットフォームです。インフラはEU管轄内で実行され、US親企業はなく、CLOUDアクト暴露もありません。ISO 27001認定が実施されており、DPAは特定のデータカテゴリー、保有ポリシー、およびサブプロセッサーのコミットメントを文書化しています。
これはEUデータセンターオプションを追加したUS企業ではありません。EU準拠がアドオンではなくデフォルトアーキテクチャであるEU企業です。
マップ可視化とスタイリングAPIはEUインフラ経由でタイルリクエストを処理します。ジオコーディングクエリ、ルート計算、その他のすべてのAPI呼び出しは、アプリケーションを離れた時点からEU管轄内にとどまります。DPAはこれを反映しており、US法律テンプレートから適応されたボイラープレートではありません。
規制対象のセクターでアプリケーションを構築している開発者、またはパフォーマンス準拠ではなく本当の準拠を望むEUのビジネスにとって、この区別は重要です。
Comparing Map API Providers on GDPR Compliance
| Criteria | Google Maps | Mapbox | MapAtlas |
|---|---|---|---|
| EU legal entity | No (Google LLC) | No (US corp) | Yes |
| CLOUD Act exposure | Yes | Yes | No |
| EU data processing | Partial | Partial | Full |
| ISO 27001 | Yes | Yes | Yes |
| DPA quality | Comprehensive | Comprehensive | Comprehensive |
| Default data minimisation | Limited | Limited | Configurable |
For a full pricing and feature comparison, see our breakdowns of MapAtlas vs. Google Maps and Mapbox vs. MapAtlas. If cost is also a concern, see Google Maps API pricing in 2026, the compliance gap comes on top of significant price differences.
EU開発者向けの実践的なステップ
現在、US マップAPIプロバイダーを使用しており、すぐに切り替えることができない場合、ここに暴露を減らすための暫定的なステップがあります:
1. IPアドレスを送信元を離れる前に匿名化します。 一部のマップAPIでは、リクエストを独自のサーバーを通じて渡し、サードパーティAPIに到達する前にIPアドレスを削除またはハッシュ化することができます。これはCLOUDアクトの問題を完全に解決しませんが、個人データのサーフェスを減らします。
2. マップAPIが実際に収集するものを監査します。 プロバイダーのプライバシーポリシーとDPAを注意深く読んでください。ユーザーから受け取る個人データのすべてのカテゴリーを特定します。これを独自のデータマッピングレジスターに文書化します。
3. プライバシー通知を更新します。 プライバシー通知は、個人データを受け取るサブプロセッサーを開示する必要があります。Google Mapsを使用する場合、Google LLCはサブプロセッサーです。ユーザーはこれを知る権利があります。
4. ユースケースのリスクレベルを評価します。 静的なオフィスの位置マップを表示するマーケティングWebサイトは、患者をクリニックにルーティングするヘルスケアアプリケーションとは非常に異なるリスクプロファイルを持っています。それに応じて緊急性を調整してください。
5. 移行コストを現実的に評価します。 マップAPIの切り替えは、ビジネスを変革するプロジェクトではなく、技術的なタスクです。ほとんどの移行はスプリント1、2で完了します。価格ページにはコスト比較が表示され、ドキュメントはGoogle MapsおよびMapboxからの技術移行パスをカバーしています。
EUのデータ保護フレームワークは世界で最も包括的であり、積極的に実施されており、2023年だけで13億ユーロのGDPR罰金が発行されました。位置データは個人データです。マップAPIは位置データを処理します。コンプライアンスチェーンはユーザーからAPIプロバイダーまで直接実行されます。その鎖のすべてのリンクを検証します。そして、リンクが上記のチェックリストに合格できない場合は、できるもので置き換えてください。
