データ処理契約、主契約、SCCが衝突する場面を、GDPR第28条、日本の委託先監督、責任制限、条項設計から整理します。
データ処理契約、主契約、SCCが衝突する場面を、GDPR第28条、日本の委託先監督、責任制限、条項設計から整理します。
個人データ処理ではDPAを機能させつつ、商務条項は主契約に残すという基本線を確認します。
このページは、企業法務、個人情報保護、プライバシー、SaaS契約、システム開発契約、業務委託契約、国際データ移転、M&A、内部統制、監査、リスクマネジメントに関わる方向けの一般的な情報提供です。個別案件では、適用法、準拠法、裁判管轄、事業者の立場、データ主体の所在地、データの種類、再委託構造、越境移転、規制業種、既存契約の締結順序によって結論が変わります。
最初に見るべき優先順位の全体像を整理したものです。どの文書が何を支配するかを分けることは、DPAで確保した個人データ保護を失わせないために重要です。上位の行ほど契約で下げにくく、下位の行ほど商務運用や個別発注の調整に使われると読み取ります。
| 順位 | 文書・規範 | 主に支配する領域 | 読み取り方 |
|---|---|---|---|
| 1 | 強行法規・規制当局が求める最低基準 | 当局報告、本人権利、越境移転、委託先監督 | 当事者間の合意で水準を下げにくい領域です。 |
| 2 | EU SCC、UK Addendum、IDTAなど | データ移転、第三者受益者権、移転先義務 | SCC自体に優先条項がある場合は最初に確認します。 |
| 3 | DPA、Data Processing Agreement、データ処理契約 | 個人データ処理、保護、再委託、監査、返却・削除 | 個人データ処理の特則として主契約を補充します。 |
| 4 | 主契約、MSA、SaaS契約、業務委託契約 | 料金、支払、サービス範囲、責任制限、準拠法 | DPAが明示的に変えない商務条件はここに残します。 |
| 5 | 注文書、SOW、サービス仕様書、セキュリティ文書 | 数量、価格、運用条件、技術仕様 | DPAの保護水準を下げる変更に使わない設計が必要です。 |
DPAと主契約の優先関係について、このページの結論を強調して示します。先に結論を押さえることで、後続の条項例やレビュー手順を読む際に、どこが交渉上の焦点になるかを見失いにくくなります。重要なのは、DPAの優先範囲と主契約に残す範囲を同時に読むことです。
DPAは、個人データの処理、保護、セキュリティ、再委託、漏えい通知、監査、国際移転、返却・削除について主契約に優先させます。一方で、料金、支払、一般的なサービス範囲、通常の契約期間、秘密保持、責任制限、損害賠償、準拠法・管轄は、DPAが明示的に変更しない限り主契約で規律する設計が安定します。
DPAは個人データ処理の特則であり、主契約は取引全体の商務条件を支える契約です。
DPAは、Data Processing Agreement又はData Processing Addendumの略称として使われ、個人データ又は個人情報の取扱いを委託する場面で、委託元・管理者・controllerと、委託先・処理者・processorとの間のデータ保護上の権利義務を定める契約又は契約添付書類を指します。
欧州GDPR第28条は、処理の対象、期間、性質、目的、個人データの種類、データ主体の類型、管理者の権利義務などを契約又は他の法的行為で定めることを求めます。さらに、文書化された指示、秘密保持、セキュリティ、再処理者、データ主体の権利対応、終了時の返却・削除、監査協力なども契約に含める必要があります。
日本の個人情報保護法にはDPAという用語自体はありません。ただし、個人データの取扱いの全部又は一部を委託する場合、委託先に対する必要かつ適切な監督義務があり、個人情報保護委員会のガイドラインも、適切な委託先の選定、委託契約の締結、委託先における取扱状況の把握を重要な措置として整理しています。
主契約とは、DPAが付随する基礎契約です。主契約とDPAの違いを並べて確認すると、個人データ保護の論点がどの取引類型で出やすいかを把握できます。この整理は、DPAを単なる別紙ではなく、主契約のどの領域を補充する文書かを判断するために重要です。
| 主契約の種類 | 典型例 | DPAが問題になる場面 |
|---|---|---|
| SaaS利用契約 | CRM、HR、MA、クラウドストレージ、生成AIツール | 顧客データ、従業員データ、ログ、サポートデータの処理です。 |
| 業務委託契約 | コールセンター、BPO、給与計算、発送代行 | 委託元の顧客・従業員データを委託先が処理する場面です。 |
| システム開発・保守契約 | 開発、運用、監視、障害対応 | 本番データ、テストデータ、ログ、バックアップへのアクセスです。 |
| 共同研究・データ利活用契約 | 医療、AI、マーケティング、研究開発 | 匿名加工、仮名加工、統計分析、モデル学習、二次利用です。 |
| 販売代理店・再販契約 | 海外SaaS再販、SIer経由販売 | エンドユーザー情報、サポート情報、再委託構造です。 |
| M&A・DD契約 | 秘密保持、データルーム、PMI | 従業員・顧客・取引先情報の開示と引継ぎです。 |
セキュリティ、通知期限、再委託、削除、監査、責任制限は、優先関係の設計で特に争点になりやすい領域です。
DPAと主契約は、同じ取引を別の角度から規律します。主契約はサービス提供のための契約であり、DPAはそのサービスに伴う個人データ処理を適法かつ安全に行うための契約です。両者のズレを早く見つけることは、契約締結後の事故対応や監査対応を安定させるために重要です。
次の一覧は、衝突しやすい論点と、優先させるべき方向をまとめたものです。左から主契約で見かける一般条項、DPAで見かける特則、実務上の読み方を確認します。個人データ処理に直接関係するほど、DPAの特則を優先又は補充として読む必要が高まります。
| 論点 | 主契約で起きるズレ | DPAで求められる整理 | 実務上の方向性 |
|---|---|---|---|
| セキュリティ水準 | 合理的なセキュリティ措置とだけ定めます。 | 暗号化、アクセス制御、ログ管理、バックアップ、脆弱性管理、委託先管理を具体化します。 | 個人データ処理ではDPAの具体的措置を優先します。 |
| 漏えい通知期限 | 重大事故を合理的期間内に通知すると定めます。 | 個人データ侵害を知った後、遅滞なく又は24時間以内に通知します。 | 管理者の当局報告や本人通知に間に合うようDPAを優先します。 |
| 再委託 | 受託者が自己の裁量で再委託できると定めます。 | 事前承認、一般承認、変更通知、異議申立て、同等義務を定めます。 | 個人データにアクセスする再委託はDPAを優先します。 |
| 返却・削除 | 記録保存、請求紛争対応、サービス改善のため保持できると定めます。 | 管理者の選択により返却又は削除し、法令保存の例外を調整します。 | Personal Dataとその他データを分けて整理します。 |
| 監査協力 | 受託者のセキュリティ監査を認めないと定めます。 | 情報提供、監査・検査の許容、第三者報告書による代替を定めます。 | 無制限の立入ではなく、段階的な監査手段で整合させます。 |
| 責任制限・補償 | 過去12か月の支払額を上限とし、間接損害を免責します。 | 漏えい、データ保護法違反、第三者請求、当局制裁の扱いを定めます。 | DPA優先条項に任せず、責任制限を別条項で明示します。 |
衝突論点を重要度で見ると、実務では6つの領域に注意が集まります。これらは、管理者側の法定期限、委託先監督、サブプロセッサ管理、事故時費用、データ主体対応に直結するため重要です。各項目を、単なる文言の違いではなく、運用で失敗しやすいリスクとして読み取ります。
初期通知の起点、段階的な情報提供、当局・本人への通知主体を分けておかないと、管理者側の報告期限に影響します。
事前承認、一般承認、変更通知、異議申立て、同等義務の適用範囲を定めないと、再委託連鎖が見えにくくなります。
SOC 2、ISO/IEC 27001、質問票、証跡提供、重大事象時の追加監査を組み合わせると、監督義務とセキュリティを両立しやすくなります。
通常のDPA違反、重大な個人データ侵害、故意・重過失、SCC違反、第三者請求を同じ上限で扱うと紛争化しやすくなります。
強行法規、SCC、DPAの特則性、矛盾と補充の区別を順番に確認します。
契約当事者は契約内容を自由に定められますが、個人情報保護法、GDPR、UK GDPR、CCPA/CPRA、金融・医療・通信などの業法、労働法、消費者保護法、営業秘密法制などの強行的な規制に反する合意は、規制当局やデータ主体に対抗できない場合があります。
したがって、優先条項を読む前に、適用されるデータ保護法、管理者・処理者の役割、当局報告、本人通知、データ主体の権利対応、越境移転、再委託、セキュリティ措置について、契約で下げられない最低基準を確認します。
EU域外移転を伴う場合、2021年のEU移転SCCがDPAに組み込まれることがあります。EU移転SCCは、関連契約との矛盾がある場合にSCCが優先する旨を定めています。GDPR第28条7項に基づく管理者・処理者間の標準契約条項であるDecision 2021/915も、関連契約との矛盾がある場合に標準契約条項が優先する旨を定めています。
次の判断の順番は、EU関連DPAでどこから読むべきかを示しています。上の段階ほど下位文書で変更しにくいため重要です。矢印の順に、SCCの優先性をDPAと主契約の内部順位より先に確認すると読み取ります。
GDPR、UK GDPR、日本の個人情報保護法などを確認します。
移転条項自体に優先規定があるかを確認します。
処理、保護、セキュリティ、再委託、監査、返却・削除を読みます。
料金、支払、サービス範囲、責任制限などの商務条件を残します。
DPAを優先させる場合でも、範囲を限定します。個人データの処理、保護、セキュリティ、再委託、データ主体の権利、漏えい等の通知、監査、返却・削除、データ保護法遵守に関する事項ではDPAを優先させます。一方で、料金、支払、一般的なサービス内容、知的財産、通常の秘密保持、責任制限、補償、準拠法、裁判管轄は、DPAが明示的に変更する場合を除き主契約を適用します。
DPAと主契約の記載が異なるだけで、直ちに矛盾とは限りません。次の比較表は、矛盾、補充、対象範囲の違い、商務条項、責任制限を分けて読むためのものです。どの行に当たるかを見極めることで、DPAを優先させるべき場面と主契約を維持すべき場面を読み取ります。
| 状況 | 例 | 解釈の方向性 |
|---|---|---|
| 明確な矛盾 | 主契約は通知期限10営業日、DPAは24時間です。 | 個人データ侵害通知についてはDPAを優先します。 |
| 補充 | 主契約は合理的セキュリティ、DPAは詳細な管理策です。 | DPAが主契約を補充します。 |
| 対象範囲の違い | 主契約はCustomer Data全般、DPAはPersonal Dataです。 | Personal Data部分はDPA、それ以外は主契約で整理します。 |
| 商務条項 | 主契約は支払遅延利息、DPAは記載なしです。 | 主契約をそのまま適用します。 |
| 責任制限 | DPAが補償を定めるが上限が不明です。 | 明示条項を置かないと紛争化しやすくなります。 |
GDPR第28条、欧州委員会標準契約条項、日本の委託先監督、EDPBの姿勢をつなげて読みます。
GDPR第28条は、DPAの中心的な参照規範です。管理者は、GDPRの要件を満たしデータ主体の権利を保護できる十分な保証を提供する処理者だけを利用することが求められます。処理者は、管理者の事前の個別又は一般的な書面承認なしに他の処理者を利用できず、再処理者にも同等のデータ保護義務を課す必要があります。
GDPR第28条で契約に含めるべき事項を整理した一覧です。これらはDPAが主契約より具体的に機能すべき領域を示すため重要です。各項目が、DPA優先条項の対象範囲に入っているかを確認して読み取ります。
対象、期間、性質、目的、データ類型、データ主体類型、管理者の権利義務を定めます。
処理者は、管理者の文書化された指示に従って個人データを処理します。
秘密保持、技術的・組織的安全管理措置、アクセス制御、監査証跡を定めます。
承認、同等義務の適用、再処理者が履行しない場合の処理者責任を定めます。
データ主体の権利対応、管理者の報告義務支援、必要情報の提供を定めます。
終了時の返却・削除、法令保存例外、監査・検査への協力を定めます。
欧州委員会の標準契約条項は、より広い契約に組み込めますが、標準条項と直接又は間接に矛盾する追加条項や、データ主体の基本的権利・自由を害する追加条項は避ける必要があります。EU移転SCCは第三国移転の保護措置として機能し、関連契約と矛盾する場合にはSCCが優先します。
日本法では、利用目的の達成に必要な範囲で個人データの取扱いを委託する場合、提供先は一定の第三者提供規制との関係で第三者に該当しないものと扱われます。ただし、委託先に自由な利用を認める趣旨ではありません。委託された業務の範囲内で、本人との関係において委託元と一体のものとして扱うことに合理性があるためです。
委託元には、委託先に対する必要かつ適切な監督義務があります。委託契約には、個人データの取扱いに関する安全管理措置として当事者が同意した内容と、委託先における取扱状況を委託元が合理的に把握できる内容を盛り込むことが望ましいとされています。
EDPBは2024年10月、管理者が処理者・再処理者に依拠する場合の義務に関する意見を採択しています。実務的には、サブプロセッサの名称、所在地、連絡先、処理内容、再委託の階層、越境移転の有無をDPA又は別紙で管理する重要性が高まっています。
標準モデルを置き、DPA全面優先と主契約全面優先の危険を避けます。
標準的な優先順位は、法令、SCC、DPA、主契約、注文書・SOW、オンラインポリシーの6段階で設計します。この表は、どの文書がどの範囲で優先するかを一目で確認するために重要です。順位だけでなく、各文書が支配する範囲と注意点をセットで読み取ります。
| 優先順位 | 文書・規範 | 優先する範囲 | 注意点 |
|---|---|---|---|
| 1 | 適用法・強行法規 | 法令上の最低基準、当局報告、本人権利、越境移転、監督義務 | 契約で水準を下げられない領域です。 |
| 2 | SCC、UK Addendum、IDTA等 | データ移転、第三者受益者権、移転先義務、関連契約との矛盾 | 変更不能性と優先条項を確認します。 |
| 3 | DPA | 個人データ処理、指示、セキュリティ、再委託、監査、漏えい、返却削除 | 責任制限への影響は別途明記します。 |
| 4 | 主契約 | サービス内容、料金、支払、期間、解除、通常SLA、知財、一般秘密保持、責任制限 | DPAにより限定的に上書きされます。 |
| 5 | 注文書・SOW | 個別サービス、数量、価格、運用条件 | 個人データ保護水準を下げる変更を禁止します。 |
| 6 | オンラインポリシー・ヘルプページ | 運用情報、サブプロセッサ一覧、セキュリティ説明 | 一方的変更条項との整合性に注意します。 |
「DPAと主契約が矛盾する場合はDPAが優先する」とだけ定めると、DPA内の責任制限、補償、準拠法、管轄、契約終了、監査費用、サービス停止、再委託、データ使用権、返却費用が主契約の商務条項を広く上書きする可能性があります。
DPA全面優先で紛争化しやすい領域を整理したものです。これらは金銭負担、事業運用、責任配分に直結するため重要です。DPA優先条項で一括処理せず、どの項目を主契約に残すかを読み取ります。
過去12か月の支払額上限や間接損害免責を、DPAが意図せず上書きする可能性があります。
当局制裁金、通知費用、フォレンジック費用、信用モニタリング費用を誰が負担するかが争点になります。
サービス改善、AI学習、統計分析、バックアップ保管、匿名化済みデータの利用範囲が不明確になります。
主契約が全ての別紙、添付、ポリシー、DPAに優先すると定める場合、DPA上の監査、再委託、通知、返却・削除、指示遵守、国際移転、セキュリティ措置が主契約の一般条項に負ける可能性があります。GDPR第28条や日本の委託先監督の観点から、DPAが形式的に存在しても、実質的な統制が弱まります。
優先順位条項、英文条項、責任制限条項を分けて設計します。
条項化するときは、順位表だけでなく、DPAが主契約に優先する範囲と、主契約に残す商務条項を明示します。この一覧は、条項に入れる要素を分解したものです。各行を契約書の段落として置き、責任制限だけは別条項で処理するのが読み取りのポイントです。
| 条項要素 | 入れる趣旨 | 実務上の書き方 |
|---|---|---|
| 矛盾する範囲の限定 | 全ての違いを矛盾扱いしないためです。 | 矛盾又は抵触する範囲に限って順位を適用します。 |
| 最上位の法令・SCC | 強行法規とSCCの優先性を害しないためです。 | 適用法、SCC、UK Addendum、IDTAを上位に置きます。 |
| DPAの限定優先 | 個人データ保護に必要な範囲だけ主契約を上書きするためです。 | 処理、保護、セキュリティ、再委託、権利対応、通知、監査、移転、返却・削除を列挙します。 |
| 商務条項の維持 | 主契約の料金や責任制限を不用意に壊さないためです。 | 料金、支払、サービス範囲、知財、秘密保持、責任制限、補償、準拠法、管轄は主契約に残します。 |
| 下位文書による低下禁止 | 注文書やオンラインポリシーで保護水準を下げないためです。 | SOW、注文書、参照文書はDPA上の義務を低減しないと定めます。 |
| 第三者権利の留保 | データ主体や監督機関の権利を制限しないためです。 | 当事者間の順位であり、SCCや適用法上の第三者権利を制限しないと明記します。 |
英文条項では、Order of Precedence、conflict or inconsistency、solely to the extent、Data Protection Laws、Standard Contractual Clauses、processing and protection of Personal Dataといった語を使い、DPAの優先範囲を限定します。英文契約でも、費用、支払、サービス範囲、知的財産、秘密保持、責任制限、補償、準拠法、裁判地は主契約に残す旨を明記します。
英文条項で確認すべき文言を用途別にまとめたものです。交渉時に英文全体を一気に直すより、各文言が何を防ぐかを見ながら差し替えることが重要です。左の語を見つけ、中央の役割どおりに機能しているかを読み取ります。
| 英文で使う語 | 役割 | 確認ポイント |
|---|---|---|
| solely to the extent | 矛盾する範囲に限定します。 | DPA全面優先になっていないかを確認します。 |
| applicable Data Protection Laws | 法令上の最低基準を上位に置きます。 | 主契約で法定義務を下げていないかを確認します。 |
| Standard Contractual Clauses | SCCの優先性を確保します。 | SCCが関連契約に優先する範囲を残します。 |
| processing, protection, security | DPAの優先対象を示します。 | 再委託、通知、監査、返却・削除も含めます。 |
| unless this DPA expressly states otherwise | 商務条項を主契約に残します。 | 責任制限や補償が暗黙に上書きされないようにします。 |
責任制限は、DPA優先条項とは別に明示するのが安全です。通常のDPA違反は主契約の責任制限内に置きつつ、個人データの不正利用、故意又は重過失、秘密保持義務違反、データ保護法違反、SCC違反、第三者請求、行政制裁金について、別段の上限又は除外を置くかを明記します。
責任制限の整理は、どの費用が通常上限内で、どの費用が特別枠かを分けるために重要です。次の表では、リスクの重さに応じて交渉の置き場所を分けています。上限内、上限引上げ、個別検討のどこに置くかを読み取ります。
| 責任類型 | 整理の方向 | 補足 |
|---|---|---|
| 通常のDPA違反 | 主契約の責任制限内に置くことが多いです。 | 軽微な手続違反まで無制限にしないためです。 |
| 重大な個人データ侵害 | 上限引上げ又は除外を検討します。 | 通知費用、復旧費用、調査費用との関係を確認します。 |
| 故意・重過失、不正利用、秘密保持違反 | 責任制限から除外するか、別上限を置きます。 | 情報の性質と事業影響を見て調整します。 |
| SCC違反、第三者受益者請求、当局制裁金 | 法域ごとに個別検討します。 | 契約上の上限が外部権利を当然に制限するわけではありません。 |
| フォレンジック、通知、信用モニタリング | 直接費用として上限内又は特別枠に置きます。 | 事故対応費用の範囲を明確にします。 |
漏えい通知、再委託、監査、二次利用、準拠法・管轄を個別に調整します。
典型論点は、結論だけでなく、条項に落とす粒度まで確認する必要があります。次の一覧は、衝突する論点ごとに、何を決めれば実務運用に移せるかを示しています。各項目では、DPAを優先させる範囲と主契約に残す範囲を読み分けます。
主契約の合理的期間より、個人データ侵害についてはDPAの24時間通知を優先します。認識時点、初期通知、追加情報、誤検知、当局・本人への通知主体を分けます。
24時間段階通知個人データにアクセスするサブプロセッサについて、初期承認済み一覧、新規通知期間、異議申立て、同等義務、再々委託以降の情報提供を定めます。
承認異議無制限の立入ではなく、SOC 2、ISO/IEC 27001、ISMAP、監査報告書、質問票、リモート確認、重大事象時の追加監査を段階化します。
年1回重大事故Personal Data、Customer Data、Aggregated Data、Anonymized Data、Usage Data、Telemetry Dataを分け、AI学習、統計分析、サービス改善の範囲を明確にします。
目的制限AI利用SCCに基づく事項はSCCの準拠法・管轄に従わせ、その他の商務紛争は主契約の日本法・東京地裁などに残す設計が可能です。
SCC事項商務紛争主契約が合理的期間内通知、DPAが24時間通知を定める場合、個人データ侵害に関する通知はDPAを優先させます。ただし、処理者が認識した時点、通知内容の段階的提供、法的評価前の暫定通知、誤検知時の扱いを明確にします。
主契約が再委託自由を定め、DPAがサブプロセッサの事前承認又は一般承認・変更通知を求める場合、個人データ処理を伴う再委託についてはDPAを優先させます。個人データにアクセスしない設備提供、汎用通信、配送などをどう扱うかは定義で整理します。
DPAは個人データの返却・削除を扱いますが、主契約上の会計記録、請求履歴、契約管理記録、監査ログ、バックアップ、匿名化済み統計データは別の扱いが必要です。DPAと主契約の境界を明確にし、バックアップ削除サイクルと法令保存例外を定めます。
委託元、委託先、企業内の各部門で確認すべき事項を分けます。
委託元側は、DPAが個人データ処理に関する特則として主契約に優先することを重視します。再委託自由条項がサブプロセッサ承認・通知を無効化しないこと、漏えい通知期限、監査協力、返却・削除、データ主体対応が主契約の一般条項に負けないことを確認します。
SCCが入る場合は、SCCの優先順位、準拠法、管轄、第三者受益者権を阻害しないことも確認します。オンラインポリシーの一方的変更によってDPAの保護水準が下がらないか、責任制限で漏えい、秘密保持、不正利用、故意・重過失、SCC違反、行政制裁金をどう扱うかも交渉対象です。
委託先側は、DPAの優先を認めるとしても過度な無限定化を避けます。DPAの優先範囲を個人データ処理に限定し、商務条項、料金、知的財産、通常の責任制限は主契約に残します。監査は合理的範囲に限定し、第三者監査報告書などで代替可能にします。
漏えい通知はセキュリティインシデント全般ではなく、個人データ侵害又は通知対象事象に限定します。返却・削除ではバックアップ、法令保存、係争対応、セキュリティログを明確にし、サブプロセッサ変更への異議がサービス提供不能につながる場合の解除・代替措置も定めます。
DPAと主契約の優先関係は、法務だけで完結しません。次の役割分担は、どの部門が何を確認すべきかを示すものです。複数部門が同じ条項を違う観点から見るため、契約上の優先順位と実運用の責任者を同時に読み取ることが重要です。
| 役割 | 主な確認事項 |
|---|---|
| 契約法務担当 | 優先順位条項、責任制限、補償、準拠法、解除、契約体系です。 |
| プライバシー担当 | データ分類、処理目的、法的根拠、委託先監督、本人対応、越境移転です。 |
| 情報セキュリティ担当 | 技術的・組織的安全管理措置、監査、インシデント対応です。 |
| 事業部門 | サービス内容、運用実態、データ利用、顧客説明です。 |
| 内部監査・内部統制 | 委託先管理、証跡、監査計画、リスク評価です。 |
| 外部専門家 | 法域横断、交渉難航、当局対応、事故対応、訴訟リスクです。 |
| 経営層 | 高リスク取引、責任上限、事業継続、レピュテーションリスクです。 |
契約文書の棚卸し、優先条項の抽出、矛盾マップ作成、SCC確認まで順番に進めます。
まず、主契約、DPA又は個人情報保護覚書、SCC、UK Addendum、IDTA、注文書、SOW、利用規約、サービス仕様書、SLA、セキュリティ別紙、サブプロセッサ一覧、プライバシーポリシー、データ保持・削除ポリシー、サポート規約、AI利用規約、既存NDA、共同利用契約、M&A関連契約を集めます。
conflict、inconsistency、precedence、prevail、order of precedence、notwithstanding、supersede、entire agreement、amendment、addendum、附属書、別紙、優先、矛盾、抵触、かかわらず、完全合意、変更、上書きといった語を検索します。主契約とDPAの双方が自己優先を主張していないかを確認します。
矛盾マップは、論点ごとに主契約、DPA、SCC、判断を並べる作業です。論点の横比較を行うことで、どの条項が単なる補充で、どの条項が本当に衝突しているかを見分けやすくなります。判断列では、DPA又はSCCを優先するのか、明示交渉が必要かを読み取ります。
| 論点 | 主契約 | DPA | SCC | 判断 |
|---|---|---|---|---|
| 漏えい通知 | 合理的期間 | 24時間 | 遅滞なく支援 | DPA又はSCCを優先します。 |
| 再委託 | 自由 | 事前承認・通知 | 同等義務 | DPA又はSCCを優先します。 |
| 監査 | 不可 | 監査協力 | 監査協力 | DPA又はSCCを優先します。 |
| 責任制限 | 12か月料金 | 無制限補償 | 第三者権利あり | 明示交渉が必要です。 |
| 準拠法 | 日本法 | 日本法 | EU加盟国法 | SCC事項のみSCC法にします。 |
| 削除 | 90日内 | 管理者選択 | 終了時削除返却 | DPA又はSCCを優先し、バックアップ例外を調整します。 |
個人データの処理目的、管理者の指示、技術的・組織的安全管理措置、再委託、データ主体又は本人からの請求対応、漏えい等の通知、監査・情報提供、国際移転、個人データの返却・削除、データ保護法遵守を列挙します。そのうえで、商務条項は主契約が維持される旨を明記します。
GDPR第28条対応DPAは管理者・処理者間の処理委託を規律し、EU移転SCCはEEA域外などへの個人データ移転を規律します。DPAにSCCを添付する場合は、SCCのAnnexに記載する処理内容、移転内容、技術的・組織的措置が、DPAの別紙や主契約のサービス仕様と矛盾しないかを確認します。
完全合意、オンライン変更、注文書優先、データ定義、責任制限のあいまいさを防ぎます。
失敗例は、契約文書のどこか一か所だけを直しても解消しにくい論点です。次の一覧は、失敗パターンごとに、何が危険で、どの文書を修正すべきかを整理したものです。左の失敗を見つけたら、右の対策を契約体系全体に反映する必要があります。
| 失敗例 | 危険な理由 | 対策 |
|---|---|---|
| 完全合意条項でDPAを消してしまう | 主契約が従前又は同時の合意を置き換えると、DPAの位置づけが不明になります。 | 主契約にDPAとその別紙を含め、DPAは主契約と一体を成すと明記します。 |
| オンラインDPAの一方的変更を許してしまう | サブプロセッサ一覧やセキュリティ措置が一方的に変わる可能性があります。 | 重要変更、実質的低下、追加・変更について通知、異議、解除、代替措置を定めます。 |
| 注文書でDPAを下げてしまう | 営業現場の注文書がDPAの安全管理措置や再委託制限を上書きする危険があります。 | 注文書やSOWは価格、数量、納期、個別範囲に限って優先させます。 |
| Customer DataとPersonal Dataを混同する | 顧客データには個人データ、機密情報、ログ、統計情報、非個人データが混在します。 | Personal Dataに該当する部分はDPA、非個人データの利用権は主契約で整理します。 |
| 責任制限の例外が曖昧です | 軽微なDPA違反まで無制限になったり、大規模漏えいでも低い上限になったりします。 | 通常違反、重大侵害、故意・重過失、SCC違反、事故対応費用を層別化します。 |
レッドフラッグをまとめたものです。これらの表現は、契約締結時には短く見えても、事故、監査、再委託、AI利用、国際移転の場面で大きな差になります。見つけたら、DPAの優先範囲や変更手続を読み直します。
漏えい通知が30日以内など長すぎると、管理者の当局報告に間に合わない可能性があります。
委託元が取扱状況を合理的に把握できず、委託先監督の実効性が弱まります。
主契約でサービス改善やAI学習を広く認める一方、DPAで目的制限があると矛盾しやすくなります。
オンラインDPAやサブプロセッサ一覧が変更されても、顧客側が保護水準の低下に気づきにくくなります。
海外SaaS、日本の業務委託、後付けDPA、NDA衝突を実務対応に落とします。
ケーススタディでは、同じ優先順位ルールでも、契約類型や締結時期によって見る場所が変わります。次の比較は、どの文書を最初に確認し、どの対応を優先するかを示しています。自社の取引に近い行を選び、確認順を読み取ります。
| ケース | 分析の中心 | 実務対応 |
|---|---|---|
| 海外SaaSのDPAが主契約より優先すると書かれている | 個人データ処理はDPA、EEAからの移転がある場合はSCCが関連契約に優先する可能性があります。 | 優先順位、SCCモジュール、Annex、準拠法、管轄、データ所在地、サブプロセッサ、AI学習の有無を確認します。 |
| 日本の業務委託契約で個人情報条項が本文にある | DPAという別文書でなくてもよく、委託先選定、委託契約、取扱状況の把握、再委託管理が実効的かが重要です。 | 個人情報条項を別紙化し、再委託、監査、漏えい通知、返却削除、教育、アクセス管理を具体化します。 |
| MSA締結後にDPAを後付けする | 後付けDPAが主契約をどの範囲で修正するか、完全合意、変更条項、発効日、過去データ適用を確認します。 | 発効日以降の処理に適用しつつ、既存個人データにも安全管理、返却削除、通知、再委託管理を適用する移行条項を検討します。 |
| DPAとNDAが衝突する | 個人データが秘密情報でもある場合、返却・削除はDPA、秘密保持義務は存続という整理が一般的です。 | 法令保存、訴訟対応、監査証跡、バックアップ、アーカイブの削除サイクルを定めます。 |
各ケースの検討順を時系列で整理したものです。契約の締結前、締結時、運用中、終了時で見るポイントが変わるため重要です。上から下へ進めることで、DPA優先条項だけでなく、運用証跡まで確認する必要があると読み取ります。
Personal Data、Customer Data、匿名化済み統計データ、管理者・処理者、委託元・委託先を確認します。
法令、SCC、DPA、主契約、注文書、オンラインポリシーの順序と、責任上限の例外を分けます。
サブプロセッサ変更、セキュリティ水準の実質的低下、監査報告書、質問票、事故訓練を継続確認します。
個人データの返却・削除、90日内削除、バックアップ、法令保存、係争対応、監査ログを分けて処理します。
個人情報と個人データ、委託先監督、海外DPA、より保護的な条項、後契約優先を検討します。
日本の個人情報保護法では、個人情報、個人データ、保有個人データなどの概念が分かれます。委託先監督義務は個人データの取扱いの委託に関して問題になります。英語版DPAがPersonal Data、Personal Information、Customer Personal Dataを使い分けている場合、日本法上の個人情報・個人データとの対応を確認します。
利用目的の達成に必要な範囲内で個人データの取扱いを委託する場合、提供先は第三者に該当しないと整理されます。ただし、委託された業務以外にその個人データを取り扱えるわけではありません。主契約に、受託者が受領データをサービス改善、マーケティング、第三者提供に利用できる広い条項がある場合、DPA又は個人情報条項で制限します。
DPAを締結しただけでは、委託先監督を果たしたことにはなりません。取扱状況の把握、定期的監査、委託契約に盛り込んだ内容の実施状況の調査、委託内容の見直し、証跡保管、インシデント訓練まで含めて運用します。
海外ベンダーのDPAは、GDPR、UK GDPR、CCPA/CPRAを前提に設計されていることが多く、日本の委託先監督、第三者提供、外国にある第三者への提供、共同利用、仮名加工情報、匿名加工情報、要配慮個人情報との整合性が十分でない場合があります。
日本企業が海外DPAをレビューする観点を整理したものです。海外DPAは一見詳細でも、日本法や社内運用に必要な情報が抜けることがあります。各項目について、契約上の記載と実際の運用情報がそろっているかを読み取ります。
| 確認事項 | 見るポイント |
|---|---|
| 日本法上の対象データ | 日本法上の個人データがDPAの対象に含まれるかを確認します。 |
| 委託先監督 | 監査、情報提供、取扱状況の把握に必要な手段があるかを確認します。 |
| 再委託連鎖 | 再委託先、再々委託先、所在地、処理内容の可視化が可能かを確認します。 |
| 外国提供との関係 | サポートアクセス国、ログ保管国、バックアップ国が開示されているかを確認します。 |
| 本人通知との整合 | 日本語のプライバシーポリシー、本人通知、社内説明と矛盾しないかを確認します。 |
「個人データにより高い保護を与える条項が優先する」という条項は、一見すると有用です。しかし、何がより保護的かは、セキュリティ、監査、データ最小化、可用性、削除、権利対応、費用負担で評価が分かれます。削除を早めることが常に望ましいとは限らず、不正調査や復旧のため一定期間の保管が必要な場合もあります。
後の注文書がDPAを下げる可能性、後の主契約改定がSCCと矛盾する可能性、オンライン規約の自動更新が署名済みDPAを上書きする可能性、グループ会社間で締結主体が異なり効力が及ばない可能性があります。DPAの変更は、当事者の署名又はDPAで認めた手続による明示的な修正によってのみ行うと定めます。
DPAと主契約の優先関係は、基本的には当事者間の契約解釈の問題です。ただし、個人データ保護では規制当局、データ主体、本人、顧客、消費者、従業員、株主、監査人、取引先など第三者的な利害関係者が関わります。契約でベンダーの責任を100万円上限と定めても、それが当局の処分、本人の権利行使、SCC上の第三者受益者権を当然に制限するわけではありません。
法令・SCC、DPA、主契約の三層に分けると、保護水準と商務条件を両立しやすくなります。
実務的でバランスのよい設計は、法令・SCC、DPA、主契約の三層構造です。この整理は、個人データ保護の最低基準を確保しながら、主契約の商務条件を不用意に破壊しないために重要です。上位から順に、何を優先し、何を残すかを読み取ります。
適用されるデータ保護法とSCCその他の標準契約条項が関連契約に優先する場合、その法令又は標準契約条項を優先します。
処理、保護、セキュリティ、再委託、データ主体対応、漏えい通知、監査、国際移転、返却・削除、遵守事項ではDPAを優先します。
料金、支払、サービス範囲、知的財産、秘密保持、責任制限、補償、準拠法、管轄は、DPAが明示的に変更しない限り主契約に従います。
三層構造の効用をまとめたものです。単に順位を置くだけでなく、注文書やオンラインポリシーによる保護水準低下を防ぎ、責任制限の交渉ポイントを明確にすることが重要です。各行を自社のDPAテンプレートやレビュー項目に反映できるかを読み取ります。
| 効用 | 具体的な意味 |
|---|---|
| 最低基準の確保 | 個人データ保護の法定水準を、主契約や注文書で下げにくくします。 |
| SCCの優先性維持 | 変更不能性や第三者受益者権を害さない設計にできます。 |
| 商務条件の安定 | 料金、知的財産、通常の責任制限などを主契約に残せます。 |
| 下位文書による低下防止 | SOW、注文書、オンラインポリシーがDPAの保護水準を下げる事態を防ぎます。 |
| 責任制限の明確化 | DPA優先条項に任せず、通常違反、重大侵害、SCC違反を分けて交渉できます。 |