GitLab で EU データ法に対応する
重要なお知らせ
この概要に含まれる情報は、特定の EU データ法関連事項の概観と概要を提供することを目的としており、法的アドバイスを提供するものではなく、そのように解釈または使用されるべきではありません。また、この文書は GitLab とその顧客との間のいかなる合意、表明、保証またはその他の義務の一部を形成し、作成し、または修正するものでもありません。顧客は EU データ法関連事項について独立した法的アドバイスのみを求め、それに依拠するよう助言されます。GitLab はこの概要のコンテンツの誤り、誤述または漏れから生じるいかなる責任も負いません。
規制の背景
EU データ法は2024年1月11日に発効し、デジタル転換を推進するというデジタルの10年の目標に大きく貢献する欧州データ戦略の重要な柱です。新しいルールのほとんどは2025年9月12日から適用されます。
データ法は EU 全体のデータへの公正なアクセスと使用に関する調和のとれたルールを確立し、欧州データ経済内でのデータへのアクセスと使用の明確なルールを確立することでデータからの価値の公正な分配を実現することを主な目標としています。
データ法は GitLab のようなデータ処理サービスプロバイダーに対して、ユーザーのデータアクセスを促進し、公正な共有条件を確保し、(商業的、技術的、契約的、組織的な)切り替え障壁を排除し、公共部門のデータ要求に対応し、顧客の他のプロバイダーへの移行を可能にすることを要求します。これらの義務は、EU 顧客にサービスを提供するプロバイダーに対して、その所在地に関わらず適用されます。
GitLab のアプローチ
この文書は、顧客が GitLab が EU データ法コンプライアンス要件にどのように備え、対処しているかを理解するのを支援し、データサービスプロバイダーが契約フレームワークとデータガバナンス戦略を適応させるにあたって私たちのアプローチへの透明性を提供します。
この文書の情報は2025年8月時点で最新のものです。
GitLab が EU データ法の主要要件に対処する方法
| 要件 | 説明 | データ法の参照条項 | GitLab の対応 |
|---|---|---|---|
| 不正なデータ使用または開示に対する技術的保護措置 | Art. 11 | GitLab は EU のクラウドインフラで保持されるデータを保護するための業界標準のセーフガードを実装しており、その単一の統合されたトラストセンターは顧客に包括的なセキュリティおよびプライバシーの資料とインタラクティブなナレッジベースへのアクセスを提供しています。 | |
| データ処理サービスプロバイダー間の切り替えの促進、透明性および契約前情報に関する規定 | Art. 23 & 25 | GitLab は顧客の移行に対する商業的、技術的、契約的または組織的な障壁がないことを確保し、機械読み取り可能なフォーマットでの標準化されたデータエクスポートを可能にし、GitLab のサブスクリプション契約にはそのような移行を支援する適切な措置が含まれています。 プライバシーステートメント、ドキュメントおよびデータ処理補足契約を通じて、GitLab はデータ処理アクティビティについて透明な情報を提供しており、処理するデータの内容、その保管方法、および顧客がデータにアクセスして管理する方法が含まれています。 | |
| 切り替えおよびポーティングの方法とフォーマットに関する情報、並びにエクスポート可能なデータのデータ構造、データフォーマット、関連する標準および開放的な相互運用性仕様の詳細 | Art. 26 | GitLab は当社サービスのデータポーティング手続きに関する現在の情報を提供しており、利用可能な方法とフォーマットが含まれています。ユーザーはプロジェクトインポート/エクスポートドキュメントおよびAPI ドキュメントを通じて包括的なポーティング手続きにアクセスできます。エクスポート機能は開発ドキュメントに詳細が記載された構造化フォーマットでデータを提供します。 データ構造とフォーマットは、すべてのエクスポート可能なデータに対して機械読み取り可能な仕様を提供する REST API および GraphQL API ドキュメントを通じて文書化されています。データポータビリティの権利と手続きに関する追加情報はプライバシーステートメントでも確認できます。 GitLab の営業秘密漏洩リスクによるエクスポート可能なデータの免除はなく、すべての顧客データは常に顧客によって所有されます。 | |
| 移行期間の終了後の、顧客が直接生成した、または顧客に直接関連するすべてのエクスポート可能なデータおよびデジタルアセットの消去の確認 | Art. 25 | SaaS デプロイメント: 有料機能へのサブスクリプション終了後、顧客は自分のインスタンスと無料版ソフトウェアのすべての顧客データへのアクセスを維持し、それを完全に裁量で維持するか、関連するドキュメントに規定されているとおりに希望する場合はネームスペースを完全に削除することができます。顧客のグループ削除後、顧客が直接生成した、または顧客に直接関連するすべてのエクスポート可能なデータとデジタルアセットは、当該削除後に削除・消去されます。 セルフマネージドデプロイメント: GitLab はセルフマネージドデプロイメントにおいて顧客のためにデータをホストまたは保管しません。すべての顧客コンテンツは顧客の環境に残り、顧客の完全な管理下に置かれます。エクスポート可能なデータとデジタルアセットの消去は顧客が自身のインフラ内で完全に管理します。 GitLab Dedicated: GitLab はDedicated サブスクリプション期限後30日間、顧客にデータを取得する機会を提供し、その後、期限後15日以内に保存が要求されない限り、すべての顧客コンテンツは永久に削除されます。 | |
| 個別サービスのデータ処理のためにデプロイされた ICT インフラが従う管轄区域 | Art. 28 | GitLab は当社個別サービスのデータ処理のためにデプロイされた ICT インフラが従う管轄区域に関する現在の情報をウェブサイトで公開しており、https://about.gitlab.com/privacy/subprocessors/ で確認できます。 | |
| 非個人データへの国際的な政府のアクセスまたは移転を防ぐための組織的および契約的措置の詳細 | Art. 28 & 32 | GitLab は EU で保有される非個人データへの違法な国際的および第三国政府によるアクセスと移転を防ぐために、GitLab 顧客向け移転影響ガイドのパート2とパート3に記載されているすべての技術的、法的および組織的措置を個人データと非個人データの間で同等に適用しています。 | |
| 切り替えサービスの公正かつ合理的な価格設定 | Art. 29 | GitLab は顧客に切り替え手数料を課しません。 | |
| 相互運用性 | Art. 30 | GitLab はソフトウェア業界で広く普及し一般的に使用されている API を使用しており、欧州委員会によって公表される可能性のある相互運用性に関する適用可能な相互運用性仕様または調和された標準に準拠しています。 |
さらなる支援
より具体的で詳細な支援を必要とする顧客、または GitLab の移行サービスの利用に興味がある顧客には、アカウントエグゼクティブに連絡してご要件を調整し、価格について話し合い、ニーズに合った適切な作業指示書を締結することをお勧めします。
このページで公開されている情報に関するご質問または GitLab の立場と EU データ法準拠についての説明が必要な場合は、担当のアカウントエグゼクティブにご連絡ください。
実装タイムライン
データ法の条項は2025年9月12日から適用され、特定の実装マイルストーンがあります:
- 2025年9月12日: ほとんどのデータ法義務が適用開始
- 2026年9月12日: 市場に投入された接続製品に対する義務
- 2027年1月12日: 無償切り替えサービス要件が発効
- 継続中: 模範的契約条項(MCT)および標準契約条項(SCC)は2025年9月12日前に欧州委員会によって公表される予定
追加リソース
GitLab のセキュリティ実践とコンプライアンス文書の詳細については、以下をご覧ください:
この文書は2025年8月に最終更新され、EU データ法要件に対する GitLab の現在の理解と実装を反映しています。
