2σ Guide

データ処理契約(DPA)の
法務・実務体系

GDPR、日本法、越境移転、クラウド、AI時代の契約設計まで、企業法務で確認すべきDPAの要点を体系的に整理します。

28条 GDPR型DPAの中核
72h GDPR当局報告の目安
11領域 レビュー項目を体系化
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

データ処理契約(DPA)の 法務・実務体系

GDPR、日本法、越境移転、クラウド、AI時代の契約設計まで、企業法務で確認すべきDPAの要点を体系的に整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
データ処理契約(DPA)の 法務・実務体系
GDPR、日本法、越境移転、クラウド、AI時代の契約設計まで、企業法務で確認すべきDPAの要点を体系的に整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • データ処理契約(DPA)の 法務・実務体系
  • GDPR、日本法、越境移転、クラウド、AI時代の契約設計まで、企業法務で確認すべきDPAの要点を体系的に整理します。

POINT 1

  • データ処理契約(DPA)の全体像をつかむ
  • DPAの定義、役割、実務上の重要性を最初に確認します。
  • DPAはデータガバナンスの中核文書です
  • 次の重要ポイントは、DPAがどのような機能を持つかをまとめたものです。
  • 読者にとって重要なのは、DPAが契約書の一部にとどまらず、平時の委託先管理と有事の説明責任を支える文書だと読み取れる点です。

POINT 2

  • データ処理契約(DPA)の定義と法的背景
  • GDPR、日本法、基本用語、類似文書との違いを整理します。
  • GDPRと日本法ではDPAの位置づけが異なります
  • データ処理契約(DPA)で最初に押さえる用語
  • 個人データ・個人情報

POINT 3

  • データ処理契約(DPA)の前に行う役割判定
  • 1. 処理目的を誰が決めるか:自社が顧客管理、採用、給与計算などの目的を決めているかを確認します。
  • 2. 相手方が独自目的で使うか:サービス改善、広告、AI学習、統計公開など、自社の指示を超える利用があるかを確認します。
  • 3. 処理手段の本質部分を誰が決めるか:保存期間、提供先、閲覧範囲、再委託先、保管国を相手方が自由に決めるかを確認します。
  • 4. 契約類型を選びます:管理者・処理者、共同管理者、独立管理者、委託、第三者提供のどれに近いかを整理します。

POINT 4

  • データ処理契約(DPA)の必須条項と日本法対応
  • GDPR第28条型の構成と、日本法実務で入れるべき条項を確認します。
  • 処理内容の別紙は抽象的にしないことが重要です
  • 日本法では名称より中身が問われます
  • GDPR第28条型DPAでは、処理関係が契約又はその他の法的行為で規律され、処理者の行動を具体的に縛る必要があります。

POINT 5

  • データ処理契約(DPA)と越境移転の設計
  • SCC、十分性認定、日本法の外国第三者提供、グループ会社アクセスを接続します。
  • GDPRの第三国移転とSCC
  • 日本法の外国第三者提供とグループ会社アクセス
  • DPAでは、どのデータがどの国に移るかを具体的に確認します。

POINT 6

  • データ処理契約(DPA)のAI・セキュリティ・再委託条項
  • 1. 再委託の可否を決めます:高リスクデータでは個別承認、標準SaaSでは一般承認が現実的な場合があります。
  • 2. 一覧と変更通知を確認します:所在地、処理内容、保管地域、発効までの期間、異議申立ての可否を確認します。
  • 3. 同等義務と責任を確認します:再処理者に同等のデータ保護義務を課し、初期処理者が履行について責任を負うかを確認します。
  • 4. 事故時の経路を決めます:再委託先事故の通知、調査協力、ログ保全、越境移転対応をDPAに接続します。

POINT 7

  • データ処理契約(DPA)の監査・事故対応・責任分担
  • 1. 認識後できる限り速やかに通知します
  • 2. 判明した情報を段階的に提供します:ログ、原因分析、影響範囲、サブプロセッサからの情報、追加措置を更新します。
  • 3. 原因と再発防止策を整理します:フォレンジック結果、本人通知・当局報告支援、再発防止、費用負担、契約上の是正措置を記録します。

POINT 8

  • データ処理契約(DPA)レビューのチェックリスト
  • 基本情報、処理内容、セキュリティ、再委託、越境移転、終了時処理を点検します。
  • 条項別チェックリストは、DPAレビュー時に抜け漏れを防ぐための実務道具です。
  • チェックリストは、低リスクSaaSから高リスクBPOまで同じ強度で使うものではありません。
  • データ分類、業種、規制、取引規模、サブプロセッサの数、AI利用、越境移転の有無に応じて、重点確認項目を変えます。

まとめ

  • データ処理契約(DPA)の 法務・実務体系
  • データ処理契約(DPA)の全体像をつかむ:DPAの定義、役割、実務上の重要性を最初に確認します。
  • データ処理契約(DPA)の定義と法的背景:GDPR、日本法、基本用語、類似文書との違いを整理します。
  • データ処理契約(DPA)の前に行う役割判定:管理者、処理者、再処理者、共同管理者の整理が条項設計の土台になります。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

データ処理契約(DPA)の全体像をつかむ

DPAの定義、役割、実務上の重要性を最初に確認します。

データ処理契約(DPA)は、個人データを外部の事業者、クラウド、SaaS、グループ会社、AI基盤などに処理させる場面で、目的、範囲、安全管理、再委託、漏えい時の通知、返還・削除、越境移転、責任分担を定める契約又は契約条項です。

このページでは、GDPR第28条型のDPA、日本の個人情報保護法上の委託先監督、SCCを含む越境移転、AI・クラウド実務、監査、インシデント、責任制限、M&A・紛争対応までを、企業法務の実務で確認しやすい順番に整理します。

次の重要ポイントは、DPAがどのような機能を持つかをまとめたものです。読者にとって重要なのは、DPAが契約書の一部にとどまらず、平時の委託先管理と有事の説明責任を支える文書だと読み取れる点です。

DPAはデータガバナンスの中核文書です

DPAは、個人データを誰が、誰のために、どの目的で、どこまで処理できるかを決めます。さらに、漏えい、再委託、越境移転、監査、削除、責任分担が問題になったときの証跡にもなります。

特にSaaS利用、クラウド、BPO、開発・保守、データ分析、グループ会社共有、M&A、AIサービスでは、個人データの所在やアクセス権限が複雑になりやすいため、DPAの設計が取引開始前のリスク選別にもつながります。

Section 01

データ処理契約(DPA)の定義と法的背景

GDPR、日本法、基本用語、類似文書との違いを整理します。

データ処理契約(DPA)の理解では、どの場面でDPAが必要になりやすいかを先に押さえることが重要です。次の比較表は、処理の現場ごとに確認すべき論点を示しており、自社の利用形態と照らして優先順位を読み取れます。

場面典型例DPAで確認する論点
SaaS利用CRM、MA、HR、会計、チャット、電子契約処理目的、保管地域、再委託、ログ、削除、監査
クラウド利用IaaS、PaaS、ストレージ、バックアップアクセス可能性、責任分界、暗号化、越境移転
BPOコールセンター、給与計算、採用代行、配送、請求代行委託先監督、従業者管理、再委託、事故報告
開発・保守システム開発、運用保守、障害調査本番データ利用、アクセス権、ログ取得、保守端末
データ分析・AI顧客分析、広告効果測定、生成AI、画像解析目的外利用、匿名化、学習利用、プロファイリング
M&A・調査顧客データ、従業員データ、データルーム、ログ解析開示範囲、目的制限、証拠保全、消去

GDPRと日本法ではDPAの位置づけが異なります

GDPRでは、管理者が処理者を使う場合に、第28条に基づく契約又は法的行為で処理を規律する必要があります。日本法ではDPAという名称の契約が直接義務づけられるわけではありませんが、個人データの取扱いを委託する場合、委託元は必要かつ適切な監督を行う必要があります。

次の比較表は、GDPR型DPAと日本法上の委託契約・委託先監督の違いを整理したものです。国際SaaSや海外グループ会社が関係する取引では、どちらの発想で条項を点検するかが重要になります。

項目GDPR型DPA日本法上の委託契約・委託先監督
中核概念controller と processor の関係を契約で規律します。個人情報取扱事業者と委託先の関係を監督義務から整理します。
契約義務GDPR第28条が契約又は法的行為に含める事項を詳しく定めます。DPAという名称は必須ではありませんが、委託契約、安全管理、取扱状況の把握が重要です。
再委託事前の個別又は一般的承認、同等義務、初期処理者の責任を確認します。再委託の事前承認又は通知、再委託先監督、事故時の報告経路を確認します。
漏えい対応処理者から管理者への迅速通知と、管理者の72時間報告に間に合う協力が論点です。委託元の当局報告・本人通知を可能にする初報、続報、最終報告が論点です。
越境移転GDPR第5章、SCC、十分性認定、移転影響評価との接続が必要です。外国第三者提供、同等措置、本人同意、委託の整理を確認します。

データ処理契約(DPA)で最初に押さえる用語

次の一覧は、DPAで頻出する基本概念をまとめたものです。役割や処理範囲の言葉を取り違えると、契約名は合っていても実態に合わない条項になりやすいため、各用語がどの責任分担を示すかを確認します。

Personal Data

個人データ・個人情報

GDPRでは識別された又は識別可能な自然人に関する情報を広く扱います。日本法では個人情報、個人データ、保有個人データなどの区別も確認します。

Processing

処理

収集、記録、保存、参照、利用、開示、送信、削除、破壊などを広く含みます。保管、バックアップ、ログ取得、サポート閲覧も対象になり得ます。

Controller

管理者

処理の目的と手段を決める立場です。DPA上は処理者の選定、契約締結、監督、本人対応、当局対応の起点になります。

Processor

処理者

管理者に代わって処理する立場です。独自目的での利用を避け、文書化された指示とDPAの範囲内で処理する必要があります。

Sub-processor

再処理者・再委託先

処理者がさらに処理を委託する先です。事故や越境移転はここで発生しやすいため、一覧、変更通知、同等義務を確認します。

Joint Controllers

共同管理者

複数の者が処理目的と手段を共同で決める関係です。単純なDPAだけでは足りず、共同利用、第三者提供、本人説明との整合が必要です。

DPAと類似文書の違い

DPAはNDA、MSA、SCC、プライバシーポリシー、情報セキュリティ覚書と重なりますが、代替関係ではありません。次の比較表では、どの文書が何を担い、どの部分をDPAで補うべきかを読み取れます。

文書主目的DPAとの差分
NDA秘密情報の開示、利用、管理、返還、破棄を定めます。処理目的、役割分担、再委託、本人請求、漏えい通知、越境移転までは通常カバーしきれません。
MSAサービス、料金、保証、責任制限、解除、準拠法など取引全体を定めます。DPAはMSAに付属し、個人データ処理の統制骨格を担います。責任制限との優先関係も整理します。
SCCEU/EEAから第三国への個人データ移転の適法化手段として機能します。SCCは移転手段であり、処理目的、サポート、監査、削除、AI利用、責任制限はDPA側で補います。
プライバシーポリシー本人や利用者に個人情報の取扱いを説明します。DPAは企業間契約です。本人向け説明とDPAの再委託、海外移転、AI利用が矛盾しないようにします。
情報セキュリティ覚書アクセス管理、暗号化、ログ、脆弱性対応などを定めます。DPAはセキュリティに加え、処理目的、役割、再委託、本人対応、削除、責任まで扱います。
Section 02

データ処理契約(DPA)の前に行う役割判定

管理者、処理者、再処理者、共同管理者の整理が条項設計の土台になります。

DPAの出発点は、当事者が管理者と処理者の関係にあるかを判定することです。相手方が独自目的で個人データを使うなら、処理者としてDPAを締結するだけでは目的外利用や第三者提供の問題を解決できません。

次の判断の流れは、役割判定で確認する順番を表します。なぜ重要かというと、役割の誤りは本人説明、越境移転、再委託、責任分担の全体に影響するためです。目的、手段、独自利用の有無を順に読み取ります。

DPAの役割判定で見る順番

処理目的を誰が決めるか

自社が顧客管理、採用、給与計算などの目的を決めているかを確認します。

相手方が独自目的で使うか

サービス改善、広告、AI学習、統計公開など、自社の指示を超える利用があるかを確認します。

処理手段の本質部分を誰が決めるか

保存期間、提供先、閲覧範囲、再委託先、保管国を相手方が自由に決めるかを確認します。

契約類型を選びます

管理者・処理者、共同管理者、独立管理者、委託、第三者提供のどれに近いかを整理します。

次の比較表は、代表的な取引類型ごとの典型整理を示します。名称だけで決めず、実際に誰が目的を決め、誰がデータを再利用し、契約終了後も保持するかを読み取ることが重要です。

取引類型典型的な整理注意点
会社がCRMを利用します会社が管理者、SaaSが処理者となることが多いです。SaaS側が分析や広告に使う場合は、独自目的の有無を再確認します。
給与計算を委託します会社が管理者、給与計算会社が処理者となることが多いです。社労士業務、法定保存、独自義務がある場合は切り分けます。
医療機関と検査会社が連携します事案により共同管理、独立管理、委託が分かれます。診療情報、検査結果、研究利用の目的を細かく確認します。
広告プラットフォームを使います共同管理又は独立管理の可能性があります。タグ、Cookie、広告ID、プロファイリングの説明が重要です。
決済サービスを導入します独立管理者となる可能性があります。AML、決済法令、本人確認など独自の処理目的に注意します。
AI APIを使います処理者型、独立管理者型、混合型に分かれます。入力保持、学習利用、ログ利用、サブプロセッサが核心です。

契約書に「処理者」と書いていても、相手方が独自に目的を決めてデータを利用していれば、独立管理者又は共同管理者と評価される可能性があります。逆に、契約書に別の呼び方があっても、実態として指示に従うだけなら処理者としての義務が問題になります。

Section 03

データ処理契約(DPA)の必須条項と日本法対応

GDPR第28条型の構成と、日本法実務で入れるべき条項を確認します。

GDPR第28条型DPAでは、処理関係が契約又はその他の法的行為で規律され、処理者の行動を具体的に縛る必要があります。次の比較表は必須構成を示しており、別紙に何を書くべきか、どの条項が有事に効くかを読み取れます。

条項確認する内容実務上の読み方
処理の対象・期間・性質・目的対象データ、処理期間、処理の性質、利用目的を別紙で具体化します。「業務遂行に必要な範囲」だけでは足りず、サービス、保守、障害対応、バックアップまで分けます。
データ種類とデータ主体氏名、メール、ID、ログ、健康情報、従業員情報などを列挙します。特別カテゴリーデータ、要配慮個人情報、子どものデータは強度を上げます。
文書化された指示DPA、注文書、仕様書、管理画面設定、サポート依頼、API設定を含めます。違法又は危険な指示を受けた場合の通知や拒否の扱いも設計します。
秘密保持従業員、役員、派遣社員、業務委託者、再委託先に義務を及ぼします。退職後の義務、教育、アクセス権限の最小化も見ます。
技術的・組織的安全管理措置暗号化、権限管理、ログ、脆弱性管理、バックアップ、教育、再委託管理を別紙化します。抽象的な「適切な管理」ではなく、リスクに応じて測れる項目にします。
再処理者・再委託先個別承認か一般承認か、一覧、変更通知、異議申立て、同等義務を定めます。サブプロセッサの所在国と処理内容が越境移転にも関係します。
本人請求への協力アクセス、訂正、削除、処理制限、ポータビリティ、異議申立てへの支援を定めます。処理者が本人から直接請求を受けた場合の通知期限も決めます。
漏えい等対応初報、続報、最終報告、ログ保全、調査協力、当局報告支援を定めます。管理者側の報告期限に間に合うよう、通知期限を具体化します。
返還・削除返還形式、削除期限、バックアップ、ログ、法令保存、削除証明を決めます。契約終了時ではなく、締結時に出口を設計します。
監査・情報提供質問票、認証、監査報告書、オンライン監査、現地監査を段階化します。セキュリティや他顧客情報とのバランスも取ります。

処理内容の別紙は抽象的にしないことが重要です

「業務遂行に必要な範囲で処理する」という記載だけでは、処理の目的、期間、データ類型、データ主体、サポート時の閲覧、ログ、バックアップ、AI利用の範囲が分かりません。DPAでは、サービス提供、保守、障害対応、セキュリティ監視、バックアップ、サポートのように目的を分けて記載します。

個人データの種類には、氏名、住所、電話番号、メールアドレス、顧客ID、従業員番号、IPアドレス、Cookie ID、端末識別子、位置情報、購買履歴、問い合わせ内容、契約履歴、決済関連情報、健康情報、生体情報、本人確認書類、ログデータ、音声データ、画像・動画データなどが含まれ得ます。

データ主体の類型には、顧客、見込み顧客、利用者、取引先担当者、従業員、役員、応募者、退職者、株主、患者、会員、子ども、苦情申立者、通報者などが含まれます。どの類型が含まれるかによって、DPIA、本人対応、セキュリティ、責任制限の強度が変わります。

日本法では名称より中身が問われます

日本企業間では、DPAという表題ではなく、個人情報取扱委託契約、個人データ取扱覚書、情報セキュリティ条項、業務委託契約の個人情報条項として整備されることもあります。重要なのは、委託先監督と安全管理措置を実効的に満たすことです。

次の比較表は、日本法対応のDPA又は委託契約で入れるべき事項をまとめたものです。読者にとって重要なのは、法令名ではなく、委託先を選び、契約し、取扱状況を把握するための運用項目を読み取れる点です。

日本法実務の項目DPA又は委託契約で定める内容
取扱目的委託業務の範囲内に限定します。
取扱範囲対象データ、データ主体、処理内容を具体化します。
目的外利用禁止委託先の独自利用を禁止又は明示的に制限します。
第三者提供禁止無断提供を禁止し、必要な場合の承認手続を定めます。
再委託事前承認又は事前通知、再委託先監督、同等義務を定めます。
従業者監督秘密保持、教育、アクセス制限、退職時の権限停止を定めます。
漏えい等通知通知期限、調査協力、報告内容、証跡保全を定めます。
返還・削除契約終了時の措置、バックアップ、削除証明を定めます。
外国移転保管国、アクセス国、外国第三者提供対応を確認します。
契約違反時の解除重大違反、是正要求、解除権を定めます。

クラウドサービスでは、事業者が個人データを取り扱うこととなっているかが問題になります。契約上取扱いを禁止し、アクセス制御が適切な場合は委託や第三者提供に当たらない整理もありますが、SaaS、サポートアクセス、ログ利用、海外アクセス、再委託がある場合は、DPA又は同等条項を確認する必要があります。

Section 04

データ処理契約(DPA)と越境移転の設計

SCC、十分性認定、日本法の外国第三者提供、グループ会社アクセスを接続します。

クラウド、SaaS、サポート、開発、監視、サブプロセッサ、グループ会社、AI基盤、バックアップ、ログ解析では、国境を越えたアクセスや保管が発生しやすくなります。DPAでは、どのデータがどの国に移るかを具体的に確認します。

次の比較表は、越境移転で確認する要素を整理したものです。読者にとって重要なのは、保管国だけでなく、アクセス国、再委託先、ログ、政府アクセスリスクまで含めて読み取ることです。

越境要素DPAで確認する事項
データ保管国本番環境、バックアップ、ログ、分析基盤の所在を確認します。
サポートアクセス国サポート、開発、保守、監視の拠点からのアクセスを確認します。
再処理者の所在国クラウド、メール配信、監視、AI基盤、アノテーション業者を確認します。
政府アクセスリスク法執行機関要請、通知可否、異議申立て、透明性報告を確認します。
移転手段十分性認定、SCC、BCR、認証、例外的移転根拠を確認します。
日本法対応本人同意、同等措置、外国制度の情報提供、再移転の有無を確認します。

GDPRの第三国移転とSCC

GDPRでは、EU/EEA域内から第三国又は国際機関へ個人データを移転する場合、第5章の要件を満たす必要があります。十分性認定、SCC、拘束的企業準則、認証、行動規範、例外的移転根拠などを検討します。

日本はEUからの個人データ移転について十分性認定を受けていますが、日本からさらに第三国へ移転する場合や、対象外となる処理がある場合は別途の確認が必要です。

次の比較表は、SCCをDPAと組み合わせるときに確認する項目を示します。DPA本文、処理説明、技術的措置、サブプロセッサ一覧、移転影響評価が食い違わないかを読み取ります。

SCCとDPAを組み合わせるポイント実務上の確認
優先順位DPA本文とSCCが矛盾した場合の優先関係を明確にします。
モジュール選択管理者対管理者、管理者対処理者、処理者対処理者などの役割に合わせます。
Annex I処理説明、データ類型、データ主体、移転先をDPA別紙と整合させます。
Annex II技術的・組織的措置を具体化し、空欄や抽象表現を避けます。
Annex IIIサブプロセッサ一覧を最新化し、変更通知と連動させます。
TIA移転影響評価を実施し、補完措置と証跡を保存します。

日本法の外国第三者提供とグループ会社アクセス

日本法でも、外国にある第三者への個人データ提供には規律があります。DPAでは、相手方が外国にある第三者に当たるか、委託、共同利用、第三者提供のどの整理か、本人同意又は同等措置が必要かを確認します。

海外親会社、地域統括会社、シェアードサービスセンター、海外IT部門がアクセスする場合も、グループ会社だから自由に移転できるわけではありません。管理者、処理者、共同管理者、独立管理者のどれか、アクセス目的、アクセス国、ログやバックアップの移転、本人への通知・同意・公表事項を整理します。

Section 05

データ処理契約(DPA)のAI・セキュリティ・再委託条項

AI学習、ログ利用、TOMs、認証、サブプロセッサ管理を具体化します。

生成AI、機械学習、音声認識、画像認識、レコメンド、異常検知、ログ分析では、処理者がサービス改善や学習利用を希望することがあります。DPAで明確にしないまま利用されると、目的外利用、説明不足、営業秘密漏えい、競争上の不利益につながります。

次の比較表は、AI・データ分析で確認する事項を整理したものです。なぜ重要かというと、入力、出力、ログ、メタデータが処理範囲に含まれるかで、本人説明、削除、監査、再委託の結論が変わるためです。

AI・分析の論点確認すべき質問
学習利用入力データ、アップロードデータ、ログをモデル学習に使うかを確認します。
オプトアウト学習利用やサービス改善利用を拒否できるかを確認します。
データ保持入力、出力、ログ、メタデータの保存期間を確認します。
人手レビューベンダー従業員又は外部委託者が内容を閲覧するかを確認します。
サブプロセッサAI基盤、クラウド、アノテーション業者、監視ツールを確認します。
出力管理出力に個人データや機密情報が含まれる可能性の扱いを確認します。
モデル分離テナント分離、微調整モデル、顧客別分離の扱いを確認します。
削除学習済みモデル、ログ、バックアップからの削除可否を確認します。
匿名化匿名化、仮名化、集計化の水準と再識別禁止を確認します。

匿名化又は集計化したデータを自由に利用できるという条項も慎重に扱います。匿名化の法的意味は国ごとに異なり、再識別リスク、営業秘密、統計データの帰属、顧客との約束が残るため、再識別禁止、競合分析制限、秘密情報除外、監査・説明要求への対応を条件にします。

情報セキュリティ条項は抽象表現だけでは足りません

次の比較表は、DPAで具体化する技術的・組織的安全管理措置を示します。読者にとって重要なのは、認証の有無だけで判断せず、対象サービス、拠点、除外事項、有効期限、サブプロセッサまで読み取ることです。

技術的・組織的措置具体例
アクセス管理多要素認証、SSO、ロールベース制御、特権ID管理、定期的なアクセスレビューを確認します。
暗号化・鍵管理通信経路、保存データ、鍵管理、バックアップの暗号化を確認します。
ログ・監視ログ取得、改ざん防止、異常検知、SIEM、EDR、DLPを確認します。
脆弱性管理脆弱性スキャン、侵入テスト、パッチ適用、セキュアAPI、WAFを確認します。
復旧性バックアップ、復旧テスト、事業継続、災害復旧を確認します。
組織体制責任者、教育、入退社時権限管理、委託先審査、規程、内部監査を確認します。
認証・報告書ISO/IEC 27001、ISO/IEC 27701、SOC 2、ISMAP、プライバシーマーク、PCI DSSの対象範囲を確認します。

再委託・サブプロセッサ管理

再委託先は直接契約関係にないため、管理者から見えにくい領域です。次の判断の流れは、再委託の承認方法、一覧、同等義務、責任、事故時の経路を整理するものです。順番に確認することで、再委託先事故や越境移転のリスクを読み取れます。

再委託管理で確認する順番

再委託の可否を決めます

高リスクデータでは個別承認、標準SaaSでは一般承認が現実的な場合があります。

一覧と変更通知を確認します

所在地、処理内容、保管地域、発効までの期間、異議申立ての可否を確認します。

同等義務と責任を確認します

再処理者に同等のデータ保護義務を課し、初期処理者が履行について責任を負うかを確認します。

事故時の経路を決めます

再委託先事故の通知、調査協力、ログ保全、越境移転対応をDPAに接続します。

Section 06

データ処理契約(DPA)の監査・事故対応・責任分担

監査、漏えい通知、費用負担、責任制限、返還・削除を有事目線で整理します。

監査権は、管理者が処理者を監督するための手段です。ただし、いつでも自由に施設へ立ち入れる権利ではなく、セキュリティ、他顧客情報、営業秘密、業務負担とのバランスが必要です。

監査条項では、頻度、事前通知、範囲、監査人の資格、第三者監査人、秘密保持、他顧客情報へのアクセス禁止、費用、是正措置、重大事故時の例外を定めます。SaaS・クラウドでは、SOC 2報告書、ISO認証、セキュリティ資料、質問票、オンライン監査会議を段階的に使うことが現実的です。

インシデントと漏えい対応条項

次の比較表は、セキュリティ上の事象を段階化したものです。なぜ重要かというと、すべての軽微な事象を同じ通知対象にするとノイズが増え、重大な個人データ侵害への対応が遅れる可能性があるためです。

区分DPAでの対応
セキュリティイベント攻撃試行、ブロック済み通信通常は定期報告又は対象外として整理します。
セキュリティインシデント不正アクセス疑い、マルウェア検知重要度に応じて通知し、影響範囲を確認します。
個人データ侵害漏えい、滅失、毀損、不正開示直ちに通知し、調査協力、当局報告支援、本人通知支援につなげます。
重大インシデント大規模漏えい、機微データ、認証情報緊急対応、経営報告、フォレンジック、再発防止を含めます。

次の時系列は、個人データ侵害が疑われる場面での通知と調査協力の流れを表します。初報、続報、最終報告を分けることで、未確定情報を扱いながら当局報告や本人通知に必要な情報を読み取れます。

初報

認識後できる限り速やかに通知します

事故の概要、発見日時、影響がある可能性のあるサービス、データ類型、データ主体数、現時点の原因、封じ込め措置を共有します。

続報

判明した情報を段階的に提供します

ログ、原因分析、影響範囲、サブプロセッサからの情報、追加措置を更新します。

最終報告

原因と再発防止策を整理します

フォレンジック結果、本人通知・当局報告支援、再発防止、費用負担、契約上の是正措置を記録します。

責任制限・補償・保険

次の比較表は、DPA上の個人データ侵害とMSAの責任制限をどう接続するかを整理したものです。処理者の予見可能性と管理者の損害規模の双方を踏まえ、どのモデルが合うかを読み取ります。

モデル内容向いている場面
一般上限内すべてMSAの責任上限内で処理します。低リスクデータ、小規模取引に向きます。
別枠上限個人データ侵害は通常上限の2倍、3倍など別枠にします。中リスクSaaS、標準的B2Bに向きます。
上限除外秘密保持違反、故意・重過失、法令違反を上限から外します。高リスク案件や交渉力の強い管理者側で検討します。
費用項目別本人通知費用、フォレンジック費用などを別扱いにします。実務的な落としどころとして使われます。
保険連動サイバー保険限度額と責任上限を連動させます。大規模委託、専門処理者で検討します。

補償条項では、目的外利用、無断再委託、無断越境移転、セキュリティ義務違反、漏えい通知義務違反、削除義務違反、サブプロセッサ事故、法令違反による第三者請求を対象にするかを検討します。高リスク案件では、サイバー保険の対象事故、第三者賠償、フォレンジック費用、国外事故、免責事項も確認します。

契約終了時の返還・削除・移行

次の比較表は、契約終了時に決めるべき出口の論点を示します。読者にとって重要なのは、終了時に初めて確認するのではなく、締結時に返還、削除、バックアップ、移行を読み取れる形にしておくことです。

終了時の論点定める内容
返還返還請求者、期限、形式、API、暗号化、費用、大容量データ、返還後の削除を定めます。
削除本番環境、バックアップ、ログ、アーカイブ、サブプロセッサ、削除証明、保存例外を定めます。
バックアップ通常の保持期間満了による上書き・削除、復元時の再削除、利用制限を定めます。
データ移行エクスポート形式、移行支援、移行期間、移行費用、API、データ辞書を定めます。
Section 07

データ処理契約(DPA)レビューのチェックリスト

基本情報、処理内容、セキュリティ、再委託、越境移転、終了時処理を点検します。

条項別チェックリストは、DPAレビュー時に抜け漏れを防ぐための実務道具です。次の比較表は、基本情報から責任・補償までを並べたもので、どの領域に空欄、抽象表現、運用不能な条項が残っているかを読み取れます。

領域確認項目
基本情報契約当事者、管理者・処理者・再処理者、グループ会社、対象サービス、優先順位、発効日、適用期間を確認します。
処理内容処理目的、性質、期間、データ類型、データ主体、要配慮個人情報、子どものデータ、認証情報、金融情報を確認します。
指示・目的外利用文書化された指示、独自利用禁止、サービス改善、AI学習、匿名化・集計化、法令上必要な処理の通知を確認します。
セキュリティTOMs別紙、暗号化、アクセス制御、ログ、脆弱性管理、バックアップ、従業者教育、物理的安全管理、認証・監査報告書を確認します。
再委託再委託の可否、事前承認又は一般承認、一覧、変更通知、異議申立て、同等義務、責任、再々委託を確認します。
越境移転保管国、アクセス国、再処理者の所在国、SCC、モジュール、TIA、日本法上の外国第三者提供、本人同意、同等措置、十分性認定を確認します。
データ主体対応本人請求を受けた場合の通知期限、検索・抽出・削除協力、費用、直接回答の可否を確認します。
インシデント定義、通知期限、初報内容、続報、調査協力、ログ保全、サブプロセッサ事故、当局報告・本人通知支援、費用負担を確認します。
監査情報提供、監査権、頻度、認証・報告書による代替、重大事故時の追加監査、是正措置を確認します。
終了時処理返還又は削除の選択、削除期限、バックアップ、削除証明、サブプロセッサへの削除指示、法令保存例外を確認します。
責任・補償DPA違反と責任制限、別枠上限、故意・重過失、秘密保持違反、サブプロセッサ事故、サイバー保険を確認します。

チェックリストは、低リスクSaaSから高リスクBPOまで同じ強度で使うものではありません。データ分類、業種、規制、取引規模、サブプロセッサの数、AI利用、越境移転の有無に応じて、重点確認項目を変えます。

Section 08

データ処理契約(DPA)の交渉戦略とレビュー手順

管理者側、処理者側、スタートアップ、大企業で異なる実務対応を整理します。

DPA交渉では、管理者側と処理者側で重視する点が異なります。次の一覧は立場別の戦略を示しており、どの条項を強く求めるか、どの条項を標準運用に寄せるかを読み取れます。

管理者側

統制と証跡を重視します

処理目的の限定、目的外利用禁止、AI学習・広告利用の明示承認、再委託先の透明性、漏えい時の迅速通知、TOMs、監査、削除証明、越境移転の適法性、責任制限の適正化を確認します。

処理者側

運用可能性を重視します

標準DPAの一貫性、サービス仕様外義務の回避、一般承認方式、監査の合理的制限、責任上限、過度なセキュリティ情報開示の防止、追加作業費用を整理します。

中小企業・スタートアップ

標準資料を先に整えます

標準DPA、サブプロセッサ一覧、セキュリティ別紙、データ処理説明書、インシデント連絡体制、削除・返還手順、SCC方針、AI・ログ利用ポリシーを整えます。

大企業・規制業種

台帳と年次管理に接続します

委託先台帳、重要委託先分類、データ分類、DPA締結状況、契約更新時レビュー、年次評価、漏えい訓練、監査計画、経営報告を運用します。

DPAモデル条項の考え方

次の比較表は、モデル条項をそのまま貼るのではなく、条項ごとの機能を整理したものです。実際の契約では、適用法、対象データ、サービス内容、交渉力、責任制限、業種規制に合わせて修正する必要があります。

モデル条項の領域規定の要点
処理目的・範囲サービス提供、保守、サポート、セキュリティ、障害対応、バックアップなど、許された目的だけに処理を限定します。
文書化された指示DPA、注文書、仕様書、管理画面設定、電子的指示を含め、法令違反と考えられる指示は通知する設計にします。
秘密保持個人データにアクセスする者へ契約上又は法令上の秘密保持義務を課し、アクセスを必要最小限にします。
安全管理措置リスク、技術水準、実施費用を考慮し、別紙の技術的・組織的措置を維持します。
再処理者一般承認又は個別承認、変更通知、異議申立て、同等義務、初期処理者の責任を定めます。
インシデント通知認識後できる限り速やかに初報し、判明情報を続報し、調査協力を行う設計にします。
データ主体請求本人からの請求、苦情、照会を受けた場合は管理者に通知し、指示なく実質回答しない設計にします。
返還・削除契約終了後に返還又は削除を選べるようにし、バックアップや法令保存例外も整理します。
監査必要情報の提供、年次監査、代替資料、重大事故時の追加情報提供を段階的に定めます。

DPAレビューの実務手順

次の判断の流れは、取引概要の把握から更新管理までの手順を表します。読者にとって重要なのは、契約書だけを読むのではなく、事業部、情報システム、セキュリティ、プロダクト担当から実態を集める順番を読み取ることです。

DPAレビューの実務手順

取引概要を把握します

サービス内容、当事者、データの流れ、利用者、アクセス者、保存国、サブプロセッサ、AI利用、終了時処理を確認します。

データを分類します

取引先担当者情報、顧客履歴、従業員情報、認証情報、医療・子ども・位置情報など、リスクに応じてレビュー強度を変えます。

役割と契約パッケージを確認します

DPA単体ではなく、MSA、注文書、利用規約、SCC、サブプロセッサ一覧、セキュリティ別紙、SLA、プライバシーポリシーを一体で見ます。

ギャップ分析と更新管理につなげます

自社基準との差分を交渉、代替措置、社内承認、利用制限に分け、締結後は契約管理システムで更新します。

Section 09

データ処理契約(DPA)の業種別論点と有事対応

金融、医療、人事、EC、教育、AI・SaaS、M&A、紛争対応での重点を整理します。

業種ごとに、DPAで重点確認すべきデータ類型と規制上の要求は異なります。次の比較表は、金融、医療、人事、EC、教育、AI・SaaSの重点論点を示しており、自社の業種で強化すべき条項を読み取れます。

業種・場面重点論点
金融顧客金融情報、外部委託管理、当局検査、障害時の業務継続、保管国、暗号化、鍵管理、ログ保全、サイバー保険を確認します。
医療・ヘルスケア健康情報、診療情報、遺伝情報、医療画像、アクセス制御、研究利用、匿名化、同意、倫理審査を確認します。
人事・労務従業員番号、給与、評価、健康、休職情報、応募者、海外親会社アクセス、退職者保持、AI評価分析を確認します。
EC・小売顧客情報、購買履歴、決済、配送、問い合わせ、広告ID、配送委託、決済代行、広告タグ、CRMを確認します。
教育児童・生徒・学生の情報、成績、学習履歴、保護者情報、広告利用禁止、AI学習制限、学校・自治体との責任分担を確認します。
AI・SaaS事業者標準DPA、サブプロセッサ一覧、TOMs、SCC、AI学習利用方針、削除手順を提供できる体制を整えます。

M&A・紛争・当局対応におけるDPA

次の比較表は、M&A、表明保証、紛争、当局対応でDPAがどのように証拠となるかを整理したものです。DPAが存在するだけでなく、実際にDPAどおり運用されていたかを読み取れる証跡が重要です。

M&A・紛争場面確認する資料・事項
M&Aの法務DD・IT DD個人情報保護方針、プライバシーポリシー、データマップ、委託先台帳、DPA締結状況、サブプロセッサ一覧、SCC、越境移転一覧を確認します。
表明保証・補償必要なDPA締結、法令適合、重大漏えい事故の有無、越境移転措置、目的外利用の有無、サブプロセッサ管理を確認します。
証拠保全DPA本体、MSA、注文書、サブプロセッサ一覧、セキュリティ別紙、アクセスログ、管理画面設定、監査報告書、事故報告書を保全します。
当局対応委託先選定、契約による規律、安全管理措置、再委託先把握、通知時刻、影響範囲調査、本人通知、再発防止を説明できるようにします。

実務者別の視点

次の一覧は、DPAを扱う部門ごとの視点をまとめたものです。読者にとって重要なのは、DPAが法務だけで完結せず、プライバシー、セキュリティ、監査、経営、営業の共同作業になる点を読み取ることです。

法務担当

契約とデータガバナンスを接続します

事業部、情報システム、セキュリティ、購買、内部監査、経営層をつなぎ、リスクに応じた判断基準を作ります。

外部専門家

適用法と紛争リスクを確認します

GDPR、日本法、英国法、米国州法、アジア法制が交錯する案件では、現地専門家との連携も検討します。

プライバシー担当

本人説明と運用証跡をつなぎます

プライバシーポリシー、データマップ、同意管理、本人対応、漏えい対応、PIA/DPIAとDPAを接続します。

セキュリティ担当

TOMsと技術実態を確認します

監査資料、認証、脆弱性管理、インシデント対応、ログ、アクセス制御を技術面から確認します。

内部監査担当

委託先管理を点検します

DPA締結状況、再委託先管理、契約終了時削除、事故対応訓練、是正措置を監査します。

経営・営業

信頼と取引速度を高めます

重要顧客の審査に備え、標準DPA、セキュリティ資料、サブプロセッサ一覧、SCC、認証情報を迅速に提供します。

Section 10

データ処理契約(DPA)の失敗例と将来課題

空欄別紙、AI条項不足、通知期限の曖昧さ、継続監視の必要性を確認します。

よくある失敗例は、DPAを締結していること自体に安心し、別紙や運用を確認しないところから生じます。次の注意点一覧は、どの不備が事故、規制違反、契約違反、顧客説明の失敗につながるかを読み取るためのものです。

処理内容が空欄です

DPAテンプレートを締結していても、処理内容、データ類型、データ主体、サブプロセッサ、TOMsが空欄又は抽象的なら実効性が低くなります。

サブプロセッサ一覧を確認していません

サポートツール、ログ解析、メール配信、クラウド基盤、AI APIなど、見落とされやすい再委託先があります。

AI利用条項がありません

AI学習、プロンプト保存、ログレビュー、サービス改善利用が明確でない場合、DPA更新が必要になる可能性があります。

漏えい通知期限が曖昧です

「速やかに」だけでは、24時間、72時間、1週間のどれかが分かりません。初報期限と続報義務を具体化します。

削除できないデータを即時削除対象にしています

バックアップ、ログ、法定保存データ、監査証跡は、技術的又は法的に即時削除できない場合があります。

DPAと本人向け説明が矛盾しています

海外サブプロセッサやAI改善利用をDPAで認めるなら、プライバシーポリシー等の説明との整合を確認します。

標準DPAは便利ですが、自社の規制業種、データ種類、顧客契約、内部規程に合うとは限りません。標準DPAの受入可否は、リスク評価、代替措置、社内承認、利用制限とセットで判断します。

DPAの将来課題

次の比較表は、AI、データローカライゼーション、標準化、自動化、継続的モニタリングの観点から、今後DPAで見直すべき課題を整理したものです。DPAが締結時点の文書ではなく、継続的に更新される管理対象だと読み取れます。

将来課題DPAで継続的に見る点
AIガバナンスとの統合学習データ、モデル、出力、説明可能性、バイアス、監査、ログ、プロンプト、権利侵害、著作権、営業秘密を一体で確認します。
データローカライゼーション保管国、アクセス国、政府要請対応、移転影響評価、サブプロセッサ変更を継続管理します。
標準化と自動化契約管理、ベンダーリスク管理、質問票自動化、AI契約レビューを使いながら、専門判断が必要な論点を残します。
継続的モニタリングサブプロセッサ変更、クラウドリージョン変更、AI機能追加、法改正、事故、M&A、事業変更に合わせて見直します。

結論

データ処理契約(DPA)は、海外法対応文書でも、SaaSベンダーが提示する定型書式でもありません。個人データを外部に預け、処理させ、保管し、分析し、サポートし、越境移転し、再委託し、事故時に対応するための企業法務インフラです。

DPAを適切に設計するには、役割判定、処理目的、データ類型、処理期間、保管国、アクセス国、秘密保持、セキュリティ、再委託、漏えい通知、監査、返還・削除、越境移転、AI利用、継続的な台帳管理を一体で扱います。良いDPAは顧客からの信頼を高め、エンタープライズ取引を可能にし、監査対応を容易にし、事故時の混乱を減らします。

Section 11

データ処理契約(DPA)のよくある質問

締結要否、NDA・SCCとの関係、クラウド、AI、再委託、締結後運用を確認します。

以下の質問と回答は、一般的な制度説明と実務上の考え方をまとめたものです。具体的な契約、適用法、データ類型、取引構造によって結論が変わる可能性があるため、個別の対応方針は弁護士等の専門家へ相談する必要があります。

Q1. データ処理契約(DPA)は締結が必要ですか。

一般的には、GDPRの管理者・処理者関係では、第28条に基づき一定事項を含む契約又は法的行為が必要とされています。日本法ではDPAという名称が常に必須とは限りませんが、個人データの取扱いを委託する場合は、委託先監督のために契約で必要事項を定めることが実務上重要です。具体的な要否は、適用法、データ類型、取引構造によって変わるため、専門家へ相談する必要があります。

Q2. NDAがあればDPAは不要ですか。

一般的には、NDAだけでDPAの機能を満たすとは限りません。NDAは秘密保持を目的としますが、DPAは処理目的、役割分担、再委託、本人請求、漏えい通知、越境移転、削除、監査を扱います。個別の契約で足りるかは、対象データと処理内容によって変わります。

Q3. クラウドサービスを使うだけでもDPAが必要ですか。

一般的には、クラウド事業者が個人データを取り扱わない契約・設計であれば、委託又は第三者提供に当たらない整理もあります。ただし、SaaS、サポートアクセス、ログ利用、海外アクセス、再委託がある場合は、DPA又は同等条項を確認する必要があります。

Q4. SCCを締結すればDPAは不要ですか。

一般的には、SCCは主にEU域外移転の適法化手段であり、DPAは管理者・処理者関係の処理統制を担います。両者は重なる部分もありますが、処理内容、サブプロセッサ、TOMs、監査、削除、責任の整合を別途確認する必要があります。

Q5. 海外SaaSの標準DPAをそのまま受け入れてよいですか。

一般的には、低リスクデータであれば標準DPAを受け入れることもあります。ただし、機微データ、大規模顧客データ、金融・医療・公共、重要システムでは、サブプロセッサ、保管国、漏えい通知、監査、責任制限、AI利用を確認する必要があります。

Q6. AIサービスのDPAで最も注意すべき点は何ですか。

一般的には、入力データ、出力、ログ、メタデータがAI学習やサービス改善に利用されるかが重要です。利用される場合、管理者の目的を超える可能性があるため、明示的な合意、本人説明、オプトアウト、匿名化水準、削除可否を確認する必要があります。

Q7. 再委託先をすべて個別承認にすべきですか。

一般的には、高リスク案件では個別承認が望ましい場合があります。一方で、グローバルSaaSでは一般承認方式が現実的なこともあります。その場合でも、一覧、変更通知、異議申立て、同等義務、責任を確保する必要があります。

Q8. DPAは誰がレビューすべきですか。

一般的には、法務担当だけでなく、個人情報保護担当、情報セキュリティ担当、事業部、システム担当、内部監査、必要に応じて外部専門家が連携してレビューします。DPAは法務文書であると同時に、技術・運用文書でもあります。

Q9. DPAを締結した後に何をすればよいですか。

一般的には、契約管理システムに保管し、委託先台帳と紐づけ、サブプロセッサ変更通知を受け取り、年次レビューを行い、事故時連絡先を更新し、契約終了時の削除・返還を確認します。締結後の運用が重要です。

Q10. DPAの最重要条項を一つだけ挙げるなら何ですか。

一般的には、処理者が管理者の文書化された指示に従ってのみ個人データを処理し、独自目的で利用しないという条項が中核になります。この前提が崩れると、役割判定、本人説明、目的外利用、AI利用、再利用、責任分担に影響します。

Guide

データ処理契約(DPA)で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を8件表示しています。

Reference

データ処理契約(DPA)の参考資料

公的機関・監督機関・準公的資料を中心に整理します。

  • EUR-Lex ― Regulation (EU) 2016/679 consolidated text
  • European Commission ― Standard Contractual Clauses (SCC)
  • European Commission ― Standard contractual clauses for controllers and processors in the EU/EEA
  • European Data Protection Board ― Guidelines 07/2020 on the concepts of controller and processor in the GDPR
  • European Data Protection Board ― Recommendations 01/2020 on measures that supplement transfer tools
  • UK Information Commissioner's Office ― What needs to be included in the contract?
  • 個人情報保護委員会 ― 個人情報の保護に関する法律についてのガイドライン(通則編)
  • 個人情報保護委員会 ― 委託先の監督に関するガイドライン解説
  • 個人情報保護委員会 ― クラウドサービス利用に関するFAQ
  • 個人情報保護委員会 ― 漏えい等の対応とお役立ち資料
  • 個人情報保護委員会 ― 外国にある第三者への提供に関するガイドライン
  • European Commission ― Adequacy decisions
  • Personal Information Protection Commission, Japan ― Mutual adequacy arrangement between Japan and the European Union
  • California Code of Regulations, Title 11, § 7051 ― Contract Requirements for Service Providers and Contractors