2σ Guide

DPA(Data Processing Agreement)の
基本構造

DPAは、個人データ処理の目的・範囲・安全管理・再委託・越境移転・監査・終了時削除を、契約として固定する企業法務の中核文書です。

15基本構成要素
7主要な別紙設計
72hGDPR漏えい通知の目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

DPA(Data Processing Agreement)の 基本構造

DPAは、個人データ処理の目的・範囲・安全管理・再委託・越境移転・監査・終了時削除を、契約として固定する 企業法務の中核文書です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
DPA(Data Processing Agreemen
t)の 基本構造
DPAは、個人データ処理の目的・範囲・安全管理・再委託・越境移転・監査・終了時削除を、契約として固定する 企業法務の中核文書です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • DPA(Data Processing Agreement)の 基本構造
  • DPAは、個人データ処理の目的・範囲・安全管理・再委託・越境移転・監査・終了時削除を、契約として固定する 企業法務の中核文書です。

POINT 1

  • DPA(Data Processing Agreement)の基本構造を最初につかむ
  • 個人データを外部サービスや委託先に扱わせるとき、DPAはデータ処理の支配権と責任連鎖を見える形にする文書です。
  • DPAの中核
  • 処理条件を固定します
  • リスクを可視化します

POINT 2

  • DPAとは何か ― 類似文書と基礎用語の違い
  • 1. 個人データに外部事業者が関与します:保存、閲覧、検索、保守、ログ取得、バックアップ、分析の可能性を確認します。
  • 2. 外部事業者は顧客のためだけに処理しますか:独自目的の広告、AI学習、ベンチマーク、サービス改善利用がないかを確認します。
  • 3. データ共有・共同管理も検討します:DPAだけで足りるか慎重に整理します。
  • 4. DPAで処理条件を固定します:処理別紙、安全管理、再委託、削除、監査を定めます。

POINT 3

  • DPAの法的根拠 ― GDPR、日本法、UK GDPR、CCPA/CPRAの位置づけ
  • 1. EU域内の管理者が処理者へ委託します:まずGDPR第28条DPAで処理条件を規律します。
  • 2. EU/EEA外への移転またはアクセスがありますか:保存国だけでなく、サポートアクセス国、再処理者所在国、バックアップ国も見ます。
  • 3. 移転SCCと補完的措置を検討します:2021/914、移転影響評価、政府アクセス、暗号鍵管理を確認します。
  • 4. 第28条DPAを中心に設計します:2021/915のArticle 28 SCCsも参考構造になります。

POINT 4

  • DPA条項レビュー ― 各条項で確認する実務ポイント
  • 目的決定
  • ベンダーが処理目的を独自に決める場合、処理者ではなく管理者性が問題になります。
  • 手段決定
  • 処理方法、保存場所、分析方法、再委託先を誰が実質的に決めるかを確認します。

POINT 5

  • DPA別紙の設計 ― 処理内容、安全管理、再処理者、越境移転、削除
  • 良いDPAは本文だけでなく、運用に耐える別紙を持っています。別紙は、監査と変更管理の実務台帳になります。
  • 処理内容一覧
  • TOMs
  • 再処理者一覧

POINT 6

  • DPAレビューの実務手順 ― データ把握から締結後監督まで
  • 1. 法務が契約構造を確認します:役割、指示、再委託、責任、終了時処理、優先順位を確認します。
  • 2. プライバシー担当がデータと本人対応を確認します:データ項目、データ主体、本人請求、越境移転、通知内容を確認します。
  • 3. セキュリティ・ITがTOMsを確認します:暗号化、MFA、ログ、脆弱性、バックアップ、監査資料を確認します。
  • 4. 調達・事業部・内部監査が運用を確認します:締結後監督、通知確認、更新、削除証跡、経営報告につなげます。

POINT 7

  • DPA交渉とユースケース ― 管理者側と処理者側の着地点
  • DPA交渉では、管理者側の監督要求と処理者側の標準運用・責任制限を、実行可能な形で接続します。
  • 左右の立場の違いだけでなく、実際に運用できる中間案を読み取ることで、条項が形だけになるリスクを下げられます。
  • 給与、税、社会保険、健康、休職、評価、懲戒、マイナンバー等を含む可能性があるため、アクセス権限とログ、帳票廃棄を重視します。
  • 広告配信、プロファイリング、オーディエンス拡張、ベンチマーク、モデル改善が独自目的利用にならないかを確認します。

POINT 8

  • DPAでよくある失敗と最終チェックリスト
  • NDAだけで済ませます
  • NDAでは再委託、本人権利、漏えい通知、削除、監査、越境移転まで通常カバーしません。
  • 処理別紙が空欄です
  • 処理の主題・期間・目的・データ種類・データ主体が空欄では、監査にも事故対応にも使えません。

まとめ

  • DPA(Data Processing Agreemen
  • DPA(Data Processing Agreement)の基本構造を最初につかむ:個人データを外部サービスや委託先に扱わせるとき、DPAはデータ処理の支配権と責任連鎖を見える形にする文書です。
  • DPAとは何か ― 類似文書と基礎用語の違い:DPAは独立契約にも主契約の付属書にもなり得ますが、機能は個人データ処理を契約的に統制する点で共通します。
  • DPAの法的根拠 ― GDPR、日本法、UK GDPR、CCPA/CPRAの位置づけ:名称は国ごとに異なっても、外部委託・ベンダー利用・サプライチェーン上のデータ処理を契約で統制する発想は共通しています。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

DPA(Data Processing Agreement)の基本構造を最初につかむ

個人データを外部サービスや委託先に扱わせるとき、DPAはデータ処理の支配権と責任連鎖を見える形にする文書です。

DPA(Data Processing Agreement)とは、個人データ、個人情報、個人関連情報、PIIなどのデータを他社に処理・保管・分析・運用させる場面で、誰が何を決め、誰がどの範囲で扱い、どの安全管理措置を講じ、事故時に誰がいつ何を通知し、契約終了時にデータをどう返却・削除するかを定める契約上の枠組みです。

DPAは単なる個人情報保護条項ではありません。プライバシーポリシー、NDA、業務委託契約、SaaS利用規約、情報セキュリティ基準、監査権限、越境移転条項、再委託条項、データ削除条項、責任制限条項を接続する、データ取扱いの中核文書です。

注意このページは一般的な情報提供です。実際の契約締結、越境移転、再委託、漏えい等対応、規制当局対応では、対象国、業種、データ種別、取引構造に応じて専門家へ確認する必要があります。

次の重要ポイントは、DPAの機能を一文で表すものです。DPAが何を固定する文書なのかを理解すると、細かな条項を読むときにも、目的、手段、範囲、安全管理、監督可能性のどこに関わる規定かを読み取りやすくなります。

DPAの中核

DPAは、データ処理の目的・手段・範囲・安全管理・監督可能性を契約上固定し、委託元・委託先・再委託先の責任連鎖を可視化するための文書です。

次の3つの項目は、DPAが企業法務で果たす主な役割を整理したものです。単なる文書名ではなく、権限、リスク、証跡という観点で読むことが重要であり、各項目からDPAがどの業務統制につながるかを確認できます。

Authority

処理条件を固定します

処理者が何をしてよいか、何をしてはいけないかを、文書化された指示、目的外利用禁止、処理内容別紙で定めます。

Risk

リスクを可視化します

データ種類、データ主体、処理場所、保存期間、再処理者、越境移転を明らかにし、漏えい・監査・本人対応の起点にします。

Evidence

説明責任の証跡を残します

安全管理、監査資料、事故報告、削除証明、再委託管理を、後から確認できる契約運用に落とし込みます。

次の一覧は、DPAが問題になりやすい業務場面を示しています。読者にとって重要なのは、データを直接渡す場合だけでなく、閲覧可能性、ログ保存、サポートアクセス、バックアップ復元のような場面でも処理が生じ得る点を読み取ることです。

SaaS

SaaS・クラウド利用

顧客、従業員、会員、取引先担当者のデータをホスティングし、保守や障害対応でアクセス可能性が生じます。

保存再処理者
HR

給与・人事・採用委託

給与、評価、家族、税、社会保険、健康、マイナンバー関連情報など機微性の高いデータを扱う場合があります。

従業員情報厳格管理
AI

AI・分析基盤

入力データ、プロンプト、出力、ログ、評価データ、モデル改善利用の範囲を区別して制限する必要があります。

二次利用学習利用
M&A

M&A・外部アドバイザー共有

データルーム、翻訳、会計、法務、eディスカバリ等にデータが流れるため、委託、第三者提供、共同利用の整理が必要です。

共有役割分類
Section 01

DPAとは何か ― 類似文書と基礎用語の違い

DPAは独立契約にも主契約の付属書にもなり得ますが、機能は個人データ処理を契約的に統制する点で共通します。

DPAは、ある当事者が他の当事者のために個人データを処理する場合に、その処理条件を定める契約または契約付属書です。独立したData Processing Agreementとして締結される場合も、SaaS利用規約、業務委託契約、ライセンス契約、MSAなどに添付されるData Processing Addendumとして使われる場合もあります。

いずれの形式でも、DPAはデータ処理の範囲を定義し、処理者の裁量を制限し、安全管理措置を義務づけ、再委託を統制し、監査・証跡・インシデント対応・終了時処理を契約化します。

次の比較表は、DPAと混同されやすい文書の機能差を示しています。どの文書が本人への説明、秘密保持、業務条件、移転規律、処理義務のどこを担うのかを読み分けることが、契約漏れを防ぐうえで重要です。

文書主な機能DPAとの関係
NDA秘密情報の不正開示・目的外利用を防ぎます。個人データ処理に関する法令上の具体義務までは通常カバーしません。
プライバシーポリシー本人・消費者に取扱いを説明します。対外的説明文書であり、委託先との処理義務を直接構成しません。
業務委託契約業務内容、報酬、納期、成果物、責任を定めます。DPAはその中の個人データ処理部分を精密化します。
情報セキュリティ基準技術的・組織的安全管理措置を定めます。DPAの安全管理別紙として組み込まれることが多いです。
SCCEU域外移転等で使われる標準契約条項です。DPAと重なる部分はありますが、移転法制上の別目的を持ちます。
データ共有契約共同利用、共同管理、第三者提供、データライセンスを定めます。独立した利用主体がいる場合、DPAだけでは足りない場合があります。

次の用語一覧は、DPAレビューで最低限確認する概念を整理したものです。法域ごとに似た語が違う意味で使われるため、どの定義がどの義務につながるかを読み取ることが重要です。

用語意味と確認観点
個人データ・個人情報・PIIGDPR、日本法、米国実務、国際標準で範囲が異なります。Personal Data、Personal Information、Customer Data、Service Dataを混在させない設計が必要です。
処理・取扱い収集、記録、保存、検索、参照、送信、提供、結合、制限、消去、破壊などを広く含みます。画面閲覧、ログ保存、バックアップ復元も対象になり得ます。
管理者・処理者管理者は目的・手段を決定する者、処理者は管理者のために処理する者です。契約の表示だけでなく実質判断が必要です。
委託元・委託先日本実務で使われる整理です。GDPRのcontroller/processorと完全には一致しないため、法域ごとの検討が必要です。
再処理者・再委託先IaaS、CDN、ログ管理、メール配信、監視、サポート、翻訳、決済など、裏側のサプライチェーンを可視化する対象です。
TOMsTechnical and Organisational Measuresの略で、アクセス制御、認証、暗号化、ログ、脆弱性管理、バックアップ、教育、監査などを含みます。

次の判断の流れは、DPAが必要になりやすいかを初期確認するためのものです。読者にとって重要なのは、データを物理的に渡すかだけでなく、外部事業者がアクセスし得るか、独自目的で使うか、再委託先が関与するかという順番で確認する点です。

DPA要否の初期判断

個人データに外部事業者が関与します

保存、閲覧、検索、保守、ログ取得、バックアップ、分析の可能性を確認します。

外部事業者は顧客のためだけに処理しますか

独自目的の広告、AI学習、ベンチマーク、サービス改善利用がないかを確認します。

独自利用があります
データ共有・共同管理も検討します

DPAだけで足りるか慎重に整理します。

顧客指示内です
DPAで処理条件を固定します

処理別紙、安全管理、再委託、削除、監査を定めます。

Section 03

DPA(Data Processing Agreement)の基本構造 ― 15部品と優先順位

DPAは、本文で法的義務を定め、別紙で処理内容・安全管理・再処理者・移転・削除などの変動情報を扱う構成が実務的です。

DPAの基本構造は15の部品で構成されます。1つの長い契約書として書くこともできますが、本文と別紙に分けると、サービス変更、再処理者変更、保存国変更、監査資料の更新に対応しやすくなります。

次の表は、DPA本文に含めるべき15部品と、それぞれの目的を整理したものです。どの条項が権限統制、リスク可視化、本人対応、終了時処理、責任分配のどこを担うかを読み取ることが重要です。

番号構成要素目的
1前文・適用関係主契約との関係、適用範囲、優先順位を定めます。
2定義個人データ、処理、管理者、処理者、再処理者等を明確化します。
3当事者の役割誰が管理者・処理者・委託元・委託先かを整理します。
4処理の詳細主題、期間、性質、目的、データ種類、データ主体を記載します。
5文書化された指示処理者が指示外処理をしないことを定めます。
6秘密保持従業者・委託先・再委託先の守秘を義務づけます。
7安全管理措置技術的・組織的措置を別紙化します。
8再委託・再処理者承認、通知、異議、同等義務、責任を定めます。
9本人権利対応支援開示、削除、訂正、利用停止、異議等への支援を定めます。
10インシデント・漏えい等対応通知期限、調査、原因究明、再発防止を定めます。
11DPIA・当局対応支援影響評価、事前協議、監督機関対応を定めます。
12越境移転SCC、移転影響評価、保存国、政府アクセス対応を定めます。
13監査・証跡情報提供、監査、第三者認証、報告書、是正措置を定めます。
14終了時処理返却、削除、バックアップ、証明書、保存義務を定めます。
15責任・補償・優先順位損害賠償、責任制限、補償、条項間矛盾処理を定めます。

次の表は、DPA、主契約、別紙、標準契約条項、注文書の優先関係を整理する例です。優先順位が曖昧なままだと、事故時や終了時にどの文書が支配するかで紛争になりやすいため、どの文書が強い効力を持つかを読み取ることが重要です。

優先順位文書読み方
1強行法規・規制当局が承認した標準契約条項SCCなど変更不可部分を実質的に弱めないようにします。
2DPA本文個人データ処理に関する法的義務・手続・責任を優先させます。
3DPA別紙処理内容、安全管理、再処理者、移転情報などを具体化します。
4主契約本文業務条件、報酬、一般責任、契約期間を定めます。
5注文書・SOW個別サービスや業務範囲を定めます。
6一般利用規約・ポリシー標準条件を補足しますが、DPAと矛盾する場合の扱いを確認します。

次の3つの項目は、DPAを本文・別紙・主契約に分けて管理する考え方を示しています。どの情報が固定的で、どの情報が更新されやすいかを分けると、締結後の監督と変更管理がしやすくなります。

Body

DPA本文

指示、秘密保持、安全管理義務、再処理者管理、監査、終了時処理、責任など、法的な中核義務を置きます。

Annex

DPA別紙

処理内容、TOMs、再処理者一覧、移転情報、監査資料、削除スケジュールなど更新されやすい情報を置きます。

Main

主契約・注文書

サービス範囲、費用、SLA、成果物、一般責任を扱い、個人データ処理部分はDPAと接続します。

Section 04

DPA条項レビュー ― 各条項で確認する実務ポイント

条項レビューでは、処理者の裁量、再委託、越境移転、事故対応、終了時削除、責任上限をつなげて確認します。

前文・適用範囲・主契約との関係

DPAの冒頭では、どの主契約、注文書、サービス、業務範囲に適用されるか、個人データ処理に関してDPAが主契約に優先するか、SCCなど法定標準条項と矛盾する場合の処理、主契約終了後の存続、サービス仕様変更時の適用を定めます。

定義条項

Personal Data、日本法の個人情報・個人データ、CCPAのPersonal Information、契約上のCustomer Dataを同一に扱ってよいかを確認します。国内案件では包括型、多国籍SaaS、広告、HRテック、ヘルスケア、金融、AI、越境移転を含む案件では法域別型が有効です。

当事者の役割・処理主体の分類

誰が処理目的を決め、誰が処理手段を決めるか、ベンダーが顧客の指示だけで処理するか、サービス改善、広告、AI学習、統計分析、不正検知、ベンチマークに使うかを確認します。独自目的利用がある場合、処理者ではなく管理者または共同管理者として扱う必要が生じる可能性があります。

次の一覧は、役割分類で確認する質問をまとめたものです。どの質問も、DPAで処理者として固定できるか、またはデータ共有・共同管理に近い構造かを読み取るために重要です。

目的決定

ベンダーが処理目的を独自に決める場合、処理者ではなく管理者性が問題になります。

手段決定

処理方法、保存場所、分析方法、再委託先を誰が実質的に決めるかを確認します。

独自利用

広告、AI学習、ベンチマーク、サービス横断分析に使う場合は、DPAだけで足りるか慎重に見ます。

説明責任

データ主体への説明、本人請求、当局対応を誰が担うかを契約と運用で一致させます。

処理の詳細別紙

処理の詳細別紙は、監査・漏えい報告・本人対応・越境移転・削除の起点です。「顧客データをサービス提供のために処理する」という抽象表現だけでは、データ種類、データ主体、処理場所、保存期間、再処理者が分かりません。

次の表は、処理の詳細別紙に記載する項目と記載例を整理したものです。具体性が不足すると、事故時の影響範囲、本人対応、削除対象、移転根拠を判断しにくくなるため、各列から契約と運用の対応関係を読み取ることが重要です。

項目記載例
処理の主題CRMサービス提供、給与計算、本人確認、メール配信、クラウド保管
処理期間主契約期間中および終了後削除完了まで
処理の性質収集、保存、参照、検索、編集、送信、バックアップ、削除
処理目的サービス提供、保守、障害対応、セキュリティ監視、問い合わせ対応
データ種類氏名、住所、メール、電話、社員番号、購買履歴、ログ、IPアドレス
データ主体顧客、会員、従業員、応募者、取引先担当者、患者、利用者
特別カテゴリ等健康情報、金融情報、子どもの情報、要配慮個人情報等
処理場所日本、EU、米国、シンガポール、その他再処理者所在国
再処理者IaaS、CDN、メール配信、監視、サポート、分析基盤等
保存期間契約期間、ログ90日、バックアップ30日など

文書化された指示

処理者が管理者の文書化された指示に従ってのみ個人データを処理する条項は、DPAの核心です。主契約、注文書、DPA、管理画面設定、書面、メール、チケットを指示の範囲に含めるか、指示変更方法、違法指示への通知、指示外処理の禁止、緊急時処理、法令上の強制処理を整理します。

秘密保持・従業者管理

処理に関与する従業者、役員、派遣社員、業務委託者、サポート担当者、再委託先に守秘義務を課します。アクセス権限を職務上必要な者に限定し、付与・変更・削除を記録し、退職者・異動者の権限削除、サポートアクセス時の承認・ログ、教育、退職後の存続、再委託先への同等義務を接続します。

安全管理措置・TOMs

安全管理措置は、DPAの実務上の中心です。ISO/IEC 27001:2022、ISO/IEC 27701:2025、NIST Cybersecurity Framework 2.0などの外部基準は参考になりますが、認証範囲、対象サービス、対象拠点、除外事項、監査報告書、補完ユーザー管理策を確認する必要があります。

次の表は、安全管理別紙で具体化する領域と典型的な記載事項を整理したものです。抽象的な「業界標準」だけでは運用確認が難しいため、どの領域でどの証跡を取得できるかを読み取ることが重要です。

領域典型的な記載事項
ガバナンスセキュリティ責任者、ポリシー、リスク評価、教育、内部監査
アクセス制御最小権限、MFA、ID管理、職務分掌、特権ID管理
暗号化通信時暗号化、保存時暗号化、鍵管理、暗号スイート
ログ・監視アクセスログ、管理者操作ログ、保管期間、改ざん防止、監視
脆弱性管理パッチ管理、脆弱性スキャン、ペネトレーションテスト、修正期限
ネットワークファイアウォール、WAF、セグメンテーション、DDoS対策
データ分離テナント分離、環境分離、本番・検証データ分離
バックアップ頻度、暗号化、復元テスト、保管期間、ランサムウェア対策
物理的安全データセンター管理、入退室、監視、媒体管理
従業者管理採用時確認、教育、守秘、懲戒、退職時権限削除
インシデント対応検知、初動、エスカレーション、証拠保全、通知、再発防止
委託先管理再処理者選定、契約、監査、評価、終了時処理
削除・返却削除方式、バックアップ削除、削除証明、媒体廃棄

再委託・再処理者

再委託条項では、事前個別承認か包括承認か、再処理者一覧の提供方法、新規追加・変更時の通知、異議申立期間、代替措置・解約権、同等義務、再処理者の不履行責任、再々委託、保存国・アクセス国の変更管理を定めます。

本人権利対応支援

データ主体・本人からの開示、訂正、削除、利用停止、異議、データポータビリティ、オプトアウト、消費者請求への支援を定めます。管理画面で対応できる範囲だけでなく、ログ、バックアップ、サポートチケット、AI評価用データ、再処理者側データが残る可能性も確認します。

インシデント・漏えい等対応

GDPRでは管理者の監督機関通知が可能な場合には認識後72時間以内に求められるため、処理者から管理者への通知は法定期限より短く設定する必要があります。実務では24時間、48時間、または認識後直ちに初報を出す設計が検討されます。

次の表は、インシデント条項で定める主な事項を整理したものです。疑い段階の初報、継続報告、最終報告を分けると、法定報告期限、本人通知、広報対応を進めやすくなる点を読み取れます。

確認事項条項で定める内容
定義漏えい、滅失、毀損、不正アクセス、権限外開示、合理的疑いを含めるかを定めます。
通知期限24時間、48時間、遅滞ない初報など、管理者の期限管理に合う水準を検討します。
初回通知項目発生日、認識日、影響サービス、データ種類、人数概算、暫定原因、初動措置、調査予定を含めます。
継続報告追加判明事項、原因究明、影響範囲、再発防止策を段階的に報告します。
役割分担当局報告、本人通知、広報、プレス発表、フォレンジック調査の協力を定めます。

DPIA・当局対応・法令要請

DPIA、監督機関への事前協議、規制当局からの照会、裁判所・行政機関からの開示要請への支援も定めます。外国当局からデータ開示要請を受けた場合、法令で禁止される場合を除き、事前通知、範囲最小化、異議申立、開示記録を求める設計が重要です。

越境移転条項

越境移転では、保存国だけでなく、サポートアクセス国、再処理者所在国、ログ保存国、バックアップ保存国を確認します。SCC、十分性認定、同意、基準適合体制、移転影響評価、政府アクセス要請、暗号化、鍵管理、再移転、保存国変更時の通知・承認を定めます。

監査・情報提供・証跡

監査条項の目的は、委託元が説明責任を果たすために、委託先の管理状況を合理的に把握できるようにすることです。大規模クラウドで個別現地監査が難しい場合でも、SOC 2、ISO認証、透明性レポート、セキュリティホワイトペーパー、標準質問票、監査ポータルなどで代替できるかを検討します。

終了時の返却・削除

契約終了時には、管理者の選択に従って個人データを返却または削除し、法令保存義務がある場合を除いて既存コピーを削除する設計が重要です。バックアップは即時削除が難しい場合があるため、通常利用から隔離し、復元時に再削除し、一定サイクルで上書き・期限削除する運用を定めます。

責任・補償・責任制限

個人データ漏えいは、規制当局対応、本人通知、信用毀損、調査費用、フォレンジック費用、システム復旧費用、顧客補償、集団訴訟、行政制裁につながり得ます。DPA違反が主契約の責任制限に服するか、漏えい・守秘義務違反・指示外利用を上限から除外するか、特別上限、二重上限、保険金額連動を検討します。

Section 05

DPA別紙の設計 ― 処理内容、安全管理、再処理者、越境移転、削除

良いDPAは本文だけでなく、運用に耐える別紙を持っています。別紙は、監査と変更管理の実務台帳になります。

DPA本文が法的義務を定めるのに対し、別紙は運用の詳細を担います。処理内容、安全管理、再処理者、越境移転、インシデント、監査、削除を別紙化すると、サービス単位・業務単位・データの流れ単位で更新しやすくなります。

次の一覧は、DPAで設計する主要な別紙A〜Gを整理したものです。どの別紙が処理内容、安全管理、移転、事故対応、削除のどこを担うかを読み取ると、本文と運用資料の接続が見えやすくなります。

Annex A

処理内容一覧

サービス名、処理目的、処理操作、データ種類、データ主体、機微性、処理場所、保存期間、削除方法を記載します。

Annex B

TOMs

必須措置、リスク連動措置、証跡措置に分けて、安全管理措置を具体化します。

Annex C

再処理者一覧

再処理者名、提供サービス、処理目的、所在国、保存・アクセス国、データ種類、認証、通知日を記載します。

Annex D

越境移転・SCC

移転元、移転先、データ種類、データ主体、移転目的、SCCモジュール、補完的措置を記載します。

Annex E

インシデント対応

連絡先、通知期限、初回通知項目、継続報告、証拠保全、当局・本人通知の役割分担を記載します。

Annex F

監査・報告資料

ISO 27001認証書、SOC 2 Type II、ペネトレーションテスト概要、脆弱性管理、DRテスト概要などを列挙します。

Annex G

保存・削除スケジュール

データ種別ごとの保存期間、削除方法、例外保存、バックアップ削除を定めます。

次の表は、保存・削除スケジュールの例を示しています。保存期間の列はデータごとの期限の違い、削除方法の列は本番データ・ログ・バックアップ・チケット・請求情報の扱いの違いを読むために重要です。

データ保存期間削除方法例外
顧客マスタ契約期間中管理画面削除・DB削除法令保存、紛争対応
操作ログ90〜365日ローテーション削除セキュリティ調査
バックアップ30〜180日上書き・期限削除復旧時再削除
サポートチケット1〜3年チケット削除紛争・監査対応
請求情報法定保存期間会計規程に従います税務保存

次の重要ポイントは、別紙Bの安全管理措置を3段階で設計する考え方です。すべての取引に同じ重さの義務を課すのではなく、必須措置、リスクに応じた追加措置、実施を示す証跡を分けて読むことが重要です。

安全管理別紙は3段階で設計します

必須措置としてMFA、暗号化、アクセスログ、脆弱性対応、バックアップ、教育を置き、機微情報・大量データ・越境移転・AI利用では追加措置を置き、SOC 2やISO認証、教育記録、アクセスレビュー記録で証跡を残します。

Section 06

DPAレビューの実務手順 ― データ把握から締結後監督まで

DPAは法務部だけで完結せず、プライバシー、セキュリティ、IT、調達、事業部、内部監査、広報まで関わります。

DPAレビューは、データの流れ、当事者の役割、リスクランク、本文と別紙の整合、交渉論点、締結後監督の順に進めます。契約文言が整っていても、データがどこに保存され、誰がアクセスし、いつ削除されるかが分からなければ、実際のリスクを制御できません。

次の時系列は、DPAレビューの6段階を示しています。順番に意味があり、データ把握を飛ばして条項交渉に入ると、役割分類や越境移転、再委託、削除条件の見落としが起きやすい点を読み取ってください。

Step 1

データの流れを把握します

取得元、データ主体、データ項目、入力システム、アクセス者、保存国、再委託先、削除時期を確認します。

Step 2

当事者の役割を分類します

controller/processor、business/service provider、委託元/委託先、共同利用、第三者提供、共同管理者を整理します。

Step 3

リスクランクを決めます

要配慮個人情報、大量データ、金融・医療、子ども、AI学習、越境移転の有無で審査水準を変えます。

Step 4

DPA本文と別紙を照合します

処理内容別紙、TOMs、再処理者一覧、越境移転別紙、削除スケジュールの空欄を確認します。

Step 5

交渉論点を整理します

必須事項、希望事項、内部承認事項に分けて、交渉で譲れない点と受け入れ得る点を分けます。

Step 6

締結後の監督を設計します

再処理者変更通知、年次監査資料、認証期限、連絡先、保存国変更、削除証跡を管理します。

次の表は、リスクランクごとの審査水準を整理したものです。すべてのDPAを同じ深さで見るのではなく、データの機微性、量、利用目的、越境性に応じて審査体制を変えることが重要です。

ランク審査水準
要配慮個人情報、大量顧客データ、金融・医療、子ども、AI学習、越境移転法務・セキュリティ・プライバシー合同審査、個別交渉、監査資料確認を行います。
従業員情報、CRM、マーケティング、通常SaaS標準DPA審査、セキュリティ質問票、再委託確認を行います。
限定的な取引先担当者情報、少量データ標準条項、簡易審査、基本的安全管理確認を行います。

次の判断の流れは、レビュー時にどの部門を巻き込むかを示しています。法務だけで判断せず、データの性質、技術的措置、国外処理、広報リスクの順に必要な確認先を読み取ることが重要です。

関係部門の確認順

法務が契約構造を確認します

役割、指示、再委託、責任、終了時処理、優先順位を確認します。

プライバシー担当がデータと本人対応を確認します

データ項目、データ主体、本人請求、越境移転、通知内容を確認します。

セキュリティ・ITがTOMsを確認します

暗号化、MFA、ログ、脆弱性、バックアップ、監査資料を確認します。

調達・事業部・内部監査が運用を確認します

締結後監督、通知確認、更新、削除証跡、経営報告につなげます。

Section 07

DPA交渉とユースケース ― 管理者側と処理者側の着地点

DPA交渉では、管理者側の監督要求と処理者側の標準運用・責任制限を、実行可能な形で接続します。

管理者・委託元は、指示外利用禁止、再委託先把握、国外移転管理、迅速なインシデント通知、本人請求対応支援、監査権、終了時削除、漏えい時の費用回収を重視します。一方、処理者・委託先は、顧客ごとに異なる過度な義務、再処理者の個別承認運用、セキュリティ情報の過度な開示、個別監査、確定前通知、無制限責任、顧客設定ミスへの責任、技術的に不可能なバックアップ即時削除を避けたいと考えます。

次の表は、DPA交渉で典型的に争点になる項目と妥協案を整理したものです。左右の立場の違いだけでなく、実際に運用できる中間案を読み取ることで、条項が形だけになるリスクを下げられます。

論点管理者側要求処理者側反論妥協案
再処理者承認個別事前承認SaaSでは運用が難しい一覧公開、事前通知、異議権を組み合わせます。
監査現地監査を自由に行いたいセキュリティ・他顧客保護が必要第三者報告書を基本にし、重大時の個別監査を残します。
通知期限24時間以内確定前通知は難しい疑い段階の初報と段階的な追加報告に分けます。
責任上限無制限責任商業上受け入れにくい通常上限とデータ事故特別上限を分けます。
削除即時完全削除バックアップ即時削除は難しい本番即時削除とバックアップ期限削除を分けます。
TOMs詳細固定技術更新に追随しにくい最低基準を固定し、同等以上の変更を認めます。

次の一覧は、ユースケースごとにDPAで重点確認する論点を示しています。業務の種類によって、同じDPAでも重視する条項が変わるため、データの性質と利用目的から確認すべき箇所を読み取ることが重要です。

SaaS

SaaS利用

再処理者、保存国、サポートアクセス国、インシデント通知、管理者設定責任、削除方法、監査代替資料、AI学習利用の有無を確認します。

標準DPA再処理者
HR

給与計算・人事労務委託

給与、税、社会保険、健康、休職、評価、懲戒、マイナンバー等を含む可能性があるため、アクセス権限とログ、帳票廃棄を重視します。

従業員情報要注意
Ad

マーケティング・広告・分析

広告配信、プロファイリング、オーディエンス拡張、ベンチマーク、モデル改善が独自目的利用にならないかを確認します。

広告同意管理
AI

生成AI・AI分析

入力、プロンプト、出力、ログ、人間レビュー、再処理者、学習済みモデルからの削除可否、匿名化・仮名化の水準を区別します。

AI利用ログ保存
Ops

クラウドインフラ・保守運用

平時に閲覧しない場合でも、障害対応、復旧、バックアップ、セキュリティ調査でアクセス可能性がある前提で設計します。

特権ID鍵管理
DD

M&A・デューデリジェンス

データルーム、外部アドバイザー、翻訳業者、eディスカバリ業者への共有を、委託、第三者提供、共同利用のどれで整理するか確認します。

データルーム共有管理
Section 08

DPAでよくある失敗と最終チェックリスト

DPAレビューでは、空欄別紙、再処理者不明、通知期限の遅さ、削除曖昧、AI学習利用の見落としが典型的な落とし穴です。

DPAの失敗は、条項がない場合だけでなく、条項はあるのに実際のデータ、システム、再処理者、削除運用、責任範囲とつながっていない場合にも起きます。特にSaaSやAI利用では、標準文言の中に二次利用やバックアップ例外が隠れていないかを確認する必要があります。

次の一覧は、DPAでよくある10の失敗を整理したものです。それぞれがどのリスクにつながるかを読むことで、契約レビュー時に優先して潰すべき弱点を把握できます。

NDAだけで済ませます

NDAでは再委託、本人権利、漏えい通知、削除、監査、越境移転まで通常カバーしません。

処理別紙が空欄です

処理の主題・期間・目的・データ種類・データ主体が空欄では、監査にも事故対応にも使えません。

再処理者を把握しません

一覧、変更通知、所在国、再委託契約が不明なままだと、サプライチェーンの説明ができません。

安全管理が抽象的です

「業界標準」だけでは曖昧です。主要なTOMsと証跡確認を別紙化します。

通知期限が遅すぎます

「合理的期間内」や「確定後」だけでは、法定報告期限に間に合わない可能性があります。

終了時削除が曖昧です

バックアップ、ログ、サポートチケット、再処理者環境にデータが残る可能性を確認します。

保存国だけで判断します

サポートアクセス国、再処理者所在国、ログ保存国、バックアップ保存国も確認します。

AI学習利用を見落とします

品質向上、不正検知、モデル改善、ベンチマークの文言に二次利用が含まれる場合があります。

監査権が実行できません

現実的に取得できる第三者報告書、認証、監査ポータル、重大時監査を設計します。

低い責任上限に埋もれます

重大なDPA違反に特別上限や上限除外を置くかを検討します。

次の表は、DPAレビュー時に最低限確認するチェック項目をまとめたものです。役割、処理制限、安全管理、再委託・越境、本人対応・インシデント、監査・終了・責任の6区分で、抜け漏れの場所を読み取れます。

区分確認事項
役割・範囲管理者・処理者、委託元・委託先、処理目的、処理の主題・期間・性質・目的・データ種類・データ主体、対象サービス、主契約との関係が明確です。
処理制限文書化された指示、目的外利用禁止、AI学習・広告・ベンチマーク・サービス改善利用、匿名化・統計化データの扱いが明確です。
安全管理技術的・組織的措置、アクセス制御、暗号化、ログ、脆弱性管理、バックアップ、従業者管理、教育、認証・監査報告書が定められています。
再委託・越境再処理者一覧、追加・変更通知、異議権、同等義務、保存国、アクセス国、SCC、十分性認定、その他移転根拠が整備されています。
本人対応・インシデント本人権利対応支援、漏えい等通知期限、疑い段階の初報、継続報告、最終報告、当局報告・本人通知・広報対応の協力義務があります。
監査・終了・責任監査権または代替証跡、返却・削除・証明・バックアップ、DPA違反時の責任上限、主契約・DPA・SCCの優先順位が明確です。
Section 09

DPAを企業ガバナンスに組み込む ― 契約によるデータ統治

DPAは契約書管理の問題であると同時に、データガバナンス、内部統制、経営リスク管理の問題です。

現代企業は、顧客管理、広告、採用、給与、決済、物流、問い合わせ対応、AI分析、セキュリティ監視、バックアップ、会計、M&A内部通報まで、ほぼすべての業務で外部サービスを利用しています。個人データは、クラウド、再処理者、国外拠点、API、ログ基盤、AIモデル、データウェアハウスを経由して移動します。

この環境では、社内規程だけでは不十分です。外部委託先に対して、目的外利用の禁止、安全管理措置、再委託管理、監査可能性、インシデント時協力を契約上義務づける必要があります。

次の一覧は、DPAを企業ガバナンスに組み込む管理プロセスを示しています。契約締結前から締結後の監督、内部監査、経営報告までつなげて読むことで、DPAを単発の契約作業にしないことが重要です。

Procurement

調達プロセス

新規SaaS・外部委託・クラウド利用前に、個人データ処理の有無を確認し、処理がある場合はDPAレビューを必須化します。

CLM

契約管理システム

DPA有無、対象サービス、データ種類、データ主体、保存国、再処理者、通知期限、監査資料、削除条件、責任上限を登録します。

Security

セキュリティ審査

法務が安全管理措置を要求し、セキュリティ部門が技術的妥当性と証跡を確認します。

Audit

内部監査

DPA締結状況、委託先評価、再委託先管理、削除証跡、訓練、監査資料取得状況を点検します。

Board

経営層への報告

大量データ、機微情報、重要委託先、国外移転、重大インシデント、未締結の高リスク委託先を報告します。

次の重要ポイントは、DPAの本質を4つの観点で整理したものです。権限、リスク、証跡、責任連鎖のどこが弱いかを読むと、契約条項だけでなく運用統制の改善点も見えます。

DPAの本質は契約によるデータ統治です

DPAは、処理者が何をしてよいかを定め、データ種類・処理場所・再処理者・保存期間を明らかにし、安全管理・監査・通知・削除の証拠を残し、委託元、委託先、再委託先の責任を接続します。

次の3つの項目は、結論としてDPAをどう位置づけるかを整理したものです。DPAは長ければよい文書ではなく、データの流れとリスクに対応し、当事者が実際に守れる義務を定め、監督・証跡・是正の仕組みを持つ文書であることを読み取ってください。

Compliance

法令遵守文書

GDPR第28条、日本の委託先監督義務、UK GDPR、CCPA/CPRAなど、各法域の契約規律を満たすための文書です。

Operation

業務運用文書

インシデント通知、本人対応、削除、監査、再委託変更通知など、日々の運用に直結する文書です。

Management

経営リスク管理文書

データ漏えい、規制違反、信用毀損、事業停止、AI利用リスク、サプライチェーンリスクを管理する基盤です。

Reference

参考文献・一次情報

EU・英国・米国関連

  • EUR-Lex, Regulation (EU) 2016/679, Article 4 Definitions
  • EUR-Lex, Regulation (EU) 2016/679, Article 28 Processor
  • EUR-Lex, Regulation (EU) 2016/679, Article 32 Security of processing
  • EUR-Lex, Regulation (EU) 2016/679, Article 33 Notification of a personal data breach to the supervisory authority
  • EUR-Lex, Commission Implementing Decision (EU) 2021/915 on standard contractual clauses between controllers and processors under Article 28(7) GDPR
  • EUR-Lex, Commission Implementing Decision (EU) 2021/914 on standard contractual clauses for the transfer of personal data to third countries
  • European Commission, Standard Contractual Clauses
  • European Data Protection Board, Guidelines 07/2020 on the concepts of controller and processor in the GDPR
  • European Data Protection Board, Recommendations 01/2020 on measures that supplement transfer tools
  • Information Commissioner's Office, What needs to be included in the contract?
  • Information Commissioner's Office, Contracts and liabilities between controllers and processors
  • Cornell Legal Information Institute, Cal. Code Regs. tit. 11, §7051, Contract Requirements for Service Providers and Contractors

日本法・国際標準関連

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会FAQ「本人の同意に基づいて外国にある第三者に個人データを提供する場合の留意点」
  • 個人情報保護委員会「個人情報の保護に関する法律等の一部を改正する法律案」の閣議決定について
  • 内閣法制局「個人情報の保護に関する法律等の一部を改正する法律案」
  • ISO, ISO/IEC 27001:2022 Information security management systems
  • ISO, ISO/IEC 27701:2025 Privacy information management systems ― Requirements and guidance
  • National Institute of Standards and Technology, Cybersecurity Framework 2.0 Resource Center