GDPR第28条は、管理者が処理者へ個人データ処理を委託する場面を統制する中核条文です。DPAの必須条項だけでなく、十分な保証、サブプロセッサ管理、監査、安全管理、越境移転、終了時処理までを一体で確認します。
GDPR第28条は、管理者が処理者へ個人データ処理を委託する場面を統制する中核条文です。
DPAのひな形確認だけで終わらせず、委託先管理の運用まで捉えます。
GDPR第28条が要求する内容を一文で整理すると、管理者はGDPRを満たすための十分な保証を提供する処理者だけを選定し、その処理者との関係を、書面または電子形式を含む拘束力ある契約その他の法的行為で統制することです。さらに、処理者がサブプロセッサを使う場合は、事前承認、変更通知、異議申立ての機会、同等義務の流し込み、初期処理者の責任維持まで確認します。
このページは一般的な情報提供です。個別の契約交渉、監督機関対応、DPIA、越境移転評価、訴訟対応では、対象国、事業内容、処理の実態、委託先の技術構成、業法規制などにより判断が変わります。具体的な対応方針は、資料を整理したうえで弁護士等の専門家やプライバシー・情報セキュリティ担当へ確認する必要があります。
次の重要ポイント一覧は、第28条が実務上どの役割を持つかを示します。法務だけでなく、プライバシー、セキュリティ、内部監査、調達、経営層が同じ見取り図を持つことが重要で、各項目から自社の委託先管理で不足しやすい統制を読み取れます。
十分な技術的・組織的措置を実装できる処理者だけを使うという入口管理です。
処理者による処理を、契約または法的行為で管理者に対して拘束します。
文書化された指示、秘密保持、安全管理、権利対応支援、削除・返還、監査協力を定めます。
サブプロセッサには同等のデータ保護義務を課し、初期処理者の責任を維持します。
契約締結だけでなく、評価、監査、変更管理、終了時処理を証拠として残します。
個人データ、処理、管理者、処理者の意味を、契約上の肩書きではなく処理単位で確認します。
第28条を理解する前提として、「個人データ」「処理」「管理者」「処理者」を押さえることが重要です。個人データは、識別された、または識別可能な自然人に関する情報です。氏名、メールアドレス、顧客ID、従業員番号、位置情報、オンライン識別子、端末識別子、購買履歴、ログ、健康情報などが典型例です。
処理は、取得、記録、整理、保存、変更、検索、参照、利用、送信による開示、配布、結合、制限、削除、破壊など、個人データに対する広い操作を含みます。システムへ保存するだけでも処理に該当する可能性があります。
管理者は、処理の目的および手段を単独または共同で決定する者です。処理者は、管理者のために、管理者に代わって個人データを処理する者です。給与計算会社、クラウドホスティング事業者、CRMベンダー、メール配信サービス、コールセンター委託先、データ入力業者、BPO事業者などが典型例になります。
次の比較表は、外部事業者を処理者と見られるかを判断するための確認軸を整理したものです。契約書の名称だけで判定すると実態とずれるため、列ごとの問いから、誰が目的・本質的手段・事故対応を担うかを確認することが重要です。
| 確認項目 | 実務上の問い | 読み取り方 |
|---|---|---|
| 目的決定 | その個人データを何のために処理するかを誰が決めますか | 目的を決める主体は管理者側に近づきます。 |
| 本質的手段 | データ種類、対象者、保存期間、開示先、処理場所を誰が決めますか | 本質的手段の決定権は役割判定の中心です。 |
| 非本質的手段 | サーバ構成、バックアップ方式、暗号化方式などを誰が選びますか | 技術的裁量だけでは直ちに管理者化しません。 |
| 利益帰属 | 処理結果から独自の利益を得る者は誰ですか | 自己目的利用がある場合は独立管理者化に注意します。 |
| 指示関係 | 一方が他方の文書化された指示に従っていますか | 処理者関係では管理者の指示が軸になります。 |
| 権利・事故対応 | 開示、削除、訂正、漏えい通知の責任を誰が負いますか | 責任分担の実装可能性を確認します。 |
次の判断の流れは、ベンダー、受託者、委託先という日本の契約実務上の呼び方と、GDPR上の役割が一致するかを確認するための順番を表します。上から順に見ることで、DPAが必要な処理者関係か、独立管理者・共同管理者の問題かを切り分けられます。
サービス全体ではなく、個人データの利用目的ごとに見ます。
目的決定者は管理者、指示に従う者は処理者に近づきます。
広告利用、AI学習、第三者提供などは慎重に分けます。
第28条3項の必須事項とサブプロセッサ管理を契約化します。
EDPBは、管理者・処理者の概念を形式的な呼称ではなく、実際の役割に基づく機能的概念として整理しています。契約書に処理者と書いていても、実態として目的や本質的手段を自ら決める場合は、管理者と評価される余地があります。
第28条は、選定、契約、再委託、証跡、書面性、処理者の逸脱防止を一体で規律します。
GDPR第28条は全10項から成ります。次の表は、各項の規律対象と実務上の意味を対応させたものです。条文番号ごとに要求事項を分けて読むことで、DPAに何を書くかだけでなく、契約前後に何を証跡化するかを確認できます。
| 条項 | 規律対象 | 実務上の意味 |
|---|---|---|
| 第28条1項 | 処理者選定 | 十分な保証を提供する処理者だけを使います。 |
| 第28条2項 | 再委託承認 | 事前の個別または一般的な書面承認なくサブプロセッサを使えません。 |
| 第28条3項 | 処理者契約 | 処理内容と処理者義務を契約または法的行為で定めます。 |
| 第28条4項 | 同等義務 | サブプロセッサに同等義務を課し、初期処理者が責任を維持します。 |
| 第28条5項 | 行動規範・認証 | 十分な保証を示す要素として使えますが、万能ではありません。 |
| 第28条6項 | 標準契約条項 | 第28条用の標準契約条項に基づく設計が可能です。 |
| 第28条7項 | 欧州委員会SCC | 欧州委員会が第28条用の標準契約条項を定め得ます。 |
| 第28条8項 | 監督機関SCC | 監督機関も標準契約条項を採択し得ます。 |
| 第28条9項 | 書面性 | 電子形式を含む書面で契約または法的行為を残します。 |
| 第28条10項 | 処理者の管理者化 | 処理者が目的・手段を決定すると、その処理について管理者とみなされ得ます。 |
この構造から分かるように、第28条が要求する内容は「DPAに八つの条項を入れること」だけではありません。選定、契約、再委託、監査、説明責任、終了時処理、処理者の逸脱防止を含む委託ライフサイクル全体の統制です。
第28条1項は、処理者を使う前と使った後の両方で、十分な保証を確認することを求めます。
第28条1項は、GDPRの要求を満たしデータ主体の権利を保護するため、適切な技術的・組織的措置を実装できる処理者だけを利用することを管理者に求めます。ここでいう十分な保証は、営業資料、プライバシーポリシー、ISO認証の有無だけでは判断できません。
次の表は、十分な保証を評価する際の主要領域を示します。左列は審査の切り口、右列は確認すべき事項です。自社の処理リスクが高いほど、表の各領域について深い技術審査、契約交渉、監査、DPIAへの協力確認が重要になります。
| 評価領域 | 確認すべき事項 |
|---|---|
| 法令遵守体制 | GDPR、各国データ保護法、業法、契約上のデータ保護義務を理解し運用しているかを確認します。 |
| セキュリティ | 暗号化、アクセス制御、多要素認証、ログ管理、脆弱性管理、インシデント対応、バックアップ、DR体制を確認します。 |
| 人的管理 | 従業者の秘密保持、教育、権限管理、退職者アクセス削除を確認します。 |
| 組織体制 | DPOまたはプライバシー責任者、セキュリティ責任者、エスカレーション体制を確認します。 |
| 処理記録 | 処理活動記録、データフロー、サブプロセッサ一覧、保存期間、削除手順を確認します。 |
| 監査可能性 | SOC報告書、ISO認証、第三者監査、ペネトレーションテスト結果の要約、自己点検資料を確認します。 |
| 事故対応 | 漏えい検知、封じ込め、原因調査、報告、再発防止、管理者通知の手順を確認します。 |
| 再委託管理 | サブプロセッサの選定、契約、監査、変更通知、異議対応を確認します。 |
| 越境移転 | 処理場所、サポートアクセス国、サブプロセッサ所在地、移転根拠、補完的措置を確認します。 |
| 終了時処理 | 返還、削除、バックアップ削除、削除証明、移行支援を確認します。 |
次の時系列は、委託先評価が契約締結前だけで終わらないことを表します。順番を見ることで、導入前の審査から終了時の削除証跡まで、どの段階でどの資料を残すべきかを確認できます。
処理の性質、データ類型、処理場所、TOM、認証、事故対応、サブプロセッサを確認します。
注文書、サービス仕様、管理画面設定、処理別紙、連絡先をひも付けます。
サブプロセッサ変更、重大インシデント、処理場所変更、機能追加をレビューします。
バックアップ削除サイクル、削除完了通知、サブプロセッサ側の削除確認も対象にします。
弁護士や契約法務担当がDPA条項を整備しても、プライバシー担当や情報セキュリティ担当が実態を確認していなければ、十分な保証を確認したとは言いにくくなります。逆に、セキュリティ審査が優れていても、契約上の監査権、再委託管理、漏えい通知、削除・返還、権利対応が欠けると、第28条対応として不十分になり得ます。
第28条2項・4項では、再委託の入口、変更通知、異議機会、責任維持を確認します。
第28条2項は、処理者がサブプロセッサを利用するには、管理者の事前の個別または一般的な書面承認が必要と定めます。一般承認の場合でも、サブプロセッサの追加または変更を管理者に通知し、管理者が異議を述べる機会を与えることが求められます。
次の比較表は、個別承認と一般承認の使い分けを示します。処理リスク、データの機微性、サポートアクセス国、代替手段の有無を見ながら、どちらの方式が実務に合うかを読み取ります。
| 方式 | 向く場面 | 必要な運用 |
|---|---|---|
| 個別承認 | 高リスク処理、医療データ、金融データ、子どものデータ、大規模な従業員監視、機微性の高い人事データ、特定国へのアクセスを伴う処理です。 | サブプロセッサごとに名称、所在地、処理内容、データ類型、移転先国を確認します。 |
| 一般承認 | 大規模SaaS、クラウドサービス、グローバルBPOなど、多数の基盤事業者を使う標準サービスです。 | 最新一覧、合理的な事前通知、異議手続、代替措置、解除権、同等義務を整えます。 |
次の注意点一覧は、サブプロセッサ一覧をWebページに掲載する方式で特に確認すべき点をまとめたものです。掲載形式だけでなく、管理者が実質的に検知・評価・異議対応できるかが重要で、各項目から通知や異議手続の弱点を読み取れます。
メール、管理画面、RSS、契約上の通知先など、実際に検知できる方法かを確認します。
変更前に十分な期間があり、形式的な事後連絡にとどまらないかを確認します。
名称、所在地、処理内容、データ類型、移転先国が分かるかを確認します。
期限、理由、協議、代替措置、該当処理停止、解除、移行支援を確認します。
通知、承認、異議、協議、代替措置の記録が残る仕組みを確認します。
第28条4項は、サブプロセッサに対し、管理者と処理者の契約と同じデータ保護義務を契約その他の法的行為で課すことを求めます。サブプロセッサが義務を履行しない場合、初期処理者は管理者に対して全面的な責任を維持します。つまり、処理者は「再委託先の問題なので責任を負わない」とは整理できません。
サブプロセッサ契約には、管理者の文書化された指示、秘密保持、第32条相当の安全管理措置、再々委託条件、データ主体権利対応支援、漏えい・DPIA・事前協議への支援、終了時削除・返還、情報提供・監査協力、越境移転条件、違法な指示への通知を流し込むことが重要です。
第28条3項の基礎情報と八つの処理者義務を、契約レビューの軸として整理します。
第28条3項は、処理者による処理が、EU法または加盟国法に基づく契約その他の法的行為によって規律され、その法的行為が処理者を管理者に対して拘束することを求めます。契約には、少なくとも処理の対象事項、期間、性質、目的、個人データの種類、データ主体のカテゴリー、管理者の義務と権利を定めます。
次の表は、DPAの処理内容別紙に入れる基礎情報を示します。列ごとに内容を具体化することで、指示範囲、越境移転、削除・返還、安全管理、監査の前提を明確にできます。
| 項目 | 記載内容の例 |
|---|---|
| サービス名 | CRM、給与計算、クラウドホスティング、メール配信などです。 |
| 処理目的 | 顧客管理、給与支払、問い合わせ対応、システム運用などです。 |
| 処理の性質 | 保存、参照、編集、送信、削除、バックアップ、サポートアクセスなどです。 |
| 処理期間 | 契約期間中、終了後30日間、バックアップ90日などです。 |
| 個人データ類型 | 氏名、連絡先、従業員ID、給与情報、ログ、IPアドレスなどです。 |
| データ主体カテゴリー | 顧客、従業員、取引先担当者、応募者、利用者などです。 |
| 処理場所 | EU、日本、米国、シンガポール、サポート拠点などです。 |
| サブプロセッサ | クラウド基盤、監視ツール、サポートツールなどです。 |
| 削除・返還 | 終了時の手順、期限、バックアップ削除、証明方法です。 |
次の一覧は、第28条3項(a)から(h)までの中核義務を実務条項に置き換えたものです。各項目はDPAの条項漏れを点検するために重要で、処理者が何を支援し、どこまで証跡を提供するかを読み取れます。
処理者は、管理者の文書化された指示に基づいてのみ個人データを処理します。DPA、注文書、仕様書、管理画面設定、API設定、チケット、メール、運用手順書を指示の範囲として整理します。
指示処理権限を持つ従業員、役員、契約社員、派遣スタッフ、業務委託者、サポート担当者などに秘密保持義務を及ぼします。教育、権限削除、特権ID管理も確認します。
人的管理第32条に基づき、リスクに応じた技術的・組織的措置を講じます。暗号化、アクセス制御、ログ、脆弱性管理、復旧能力、定期テストをTOM別紙に落とし込みます。
TOM事前承認、変更通知、異議手続、同等義務、初期処理者の責任、サブプロセッサ一覧、越境移転、監査協力を定めます。
再委託アクセス、訂正、削除、処理制限、ポータビリティ、異議、自動化された意思決定に関する権利への対応を支援します。直接請求を受けた場合の転送義務も定めます。
権利対応処理の安全性、監督機関通知、本人通知、DPIA、事前協議について、処理の性質と利用できる情報に応じて管理者を支援します。
DPIA処理サービス終了後、管理者の選択に従い、個人データを削除または返還し、既存コピーを削除します。法令保存が必要な場合は範囲を明確にします。
終了時第28条上の義務遵守を証明するために必要な情報を提供し、管理者または委任監査人による監査・検査に協力します。
監査次の表は、第32条から第36条までの支援内容を条文ごとに整理します。漏えい時の72時間対応やDPIAでは、管理者だけで必要情報を集められないことが多いため、処理者から何をいつ受け取るかを読み取ることが重要です。
| 条文 | 内容 | 処理者の支援例 |
|---|---|---|
| 第32条 | 処理の安全性 | TOM提供、セキュリティ説明、脆弱性対応、アクセス制御です。 |
| 第33条 | 監督機関への漏えい通知 | インシデント検知後の管理者通知、事実調査、影響範囲情報提供です。 |
| 第34条 | データ主体への漏えい通知 | 影響対象者、データ種類、リスク、対策に関する情報提供です。 |
| 第35条 | DPIA | 処理の流れ、技術構成、リスク、軽減策に関する情報提供です。 |
| 第36条 | 事前協議 | 監督機関への説明に必要な資料提供です。 |
第33条との関係では、処理者は個人データ侵害を認識した後、不当な遅滞なく管理者へ通知します。他方、管理者は、リスクがある場合、認識から原則72時間以内に監督機関へ通知する必要があります。そのためDPAでは、早期の初報と段階的な追加報告を組み合わせ、例えば認識後24時間以内の初報を設定する例があります。
TOM別紙、監査権、漏えい対応、削除・返還を、運用できる粒度で確認します。
第32条に基づく安全管理措置では、技術水準、実装費用、処理の性質・範囲・文脈・目的、自然人の権利自由へのリスクを踏まえ、リスクに応じたセキュリティ水準を確保します。DPAのTOM別紙では、抽象的な「適切な措置」だけでなく、実装領域ごとの説明が重要です。
次の表は、TOM別紙に記載すべき代表的なセキュリティ領域を示します。各行は契約条項と情報セキュリティ審査をつなぐために重要で、処理者が標準サービスを提供する場合でも、管理者が確認すべき根拠資料を読み取れます。
| セキュリティ領域 | 記載例 |
|---|---|
| アクセス制御 | ロールベースアクセス制御、多要素認証、最小権限、定期的権限棚卸しです。 |
| 暗号化 | 通信時TLS、保存時暗号化、鍵管理、鍵アクセス制限です。 |
| ログ管理 | 管理者操作ログ、アクセスログ、保管期間、改ざん防止、監視です。 |
| 脆弱性管理 | パッチ適用、脆弱性診断、ペネトレーションテスト、依存ライブラリ管理です。 |
| データ分離 | テナント分離、環境分離、本番データの開発利用制限です。 |
| バックアップ | バックアップ頻度、暗号化、復元テスト、保存期間です。 |
| インシデント対応 | 検知、封じ込め、調査、通知、再発防止、連絡体制です。 |
| 物理的安全 | データセンター管理、入退室管理、設備冗長化です。 |
| 従業者管理 | 教育、秘密保持、背景確認、権限削除です。 |
| 監査 | 第三者監査、内部監査、証跡提供、是正措置です。 |
次の表は、監査方法をリスクに応じて段階化したものです。監査範囲、頻度、事前通知、守秘義務、費用負担を定めることは合理的ですが、監査を実質的に不可能にする条項は第28条3項(h)の趣旨に反するリスクがあります。
| 監査方法 | 内容 | 適する場面 |
|---|---|---|
| 文書監査 | セキュリティ質問票、TOM、ポリシー、証明書、監査報告書を確認します。 | 標準的SaaS、低・中リスク処理です。 |
| 第三者報告書 | SOC 2、ISO認証、外部監査報告を確認します。 | 大規模クラウド、複数顧客利用サービスです。 |
| リモート監査 | オンライン会議、証跡レビュー、是正状況確認を行います。 | 中リスク以上、更新時審査です。 |
| 現地監査 | データセンター、処理拠点、BPO拠点を確認します。 | 高リスク処理、専用委託、重大事故後です。 |
| 共同監査 | 複数管理者が共同で確認します。 | 多数顧客を持つ処理者です。 |
| 重大事故時監査 | 漏えい・重大違反後に追加で確認します。 | インシデント対応と是正確認です。 |
次の時系列は、漏えい対応と契約終了時処理を実務で動かす順番を表します。期限や順番を事前に合意しておくことで、72時間ルール、データ主体通知、削除・返還証跡の取りこぼしを減らせます。
処理者から管理者へ、影響範囲が未確定でも初期情報を提供します。
段階報告により、管理者の監督機関通知と本人通知の判断を支援します。
エクスポート方法、返還期限、アクセス停止、サブプロセッサ削除を確認します。
バックアップ隔離、上書きサイクル、復元時の再削除、法令保存範囲を証跡化します。
終了時処理は、SaaS移行、ベンダー変更、M&A後の統合、サービス終了、紛争時解除、データローカライゼーション変更、セキュリティ事故後の停止で特に重要です。処理者がバックアップをすぐ削除できない場合でも、隔離、上書きサイクル、復元時の再削除、アクセス制限、保存期間を明確にします。
第28条用SCCと越境移転用SCCを混同しないことが、国際契約レビューの重要点です。
第28条5項は、承認済み行動規範または承認済み認証メカニズムの遵守を、十分な保証を証明する要素として使えると定めます。ただし、認証は万能ではありません。ISO/IEC 27001、ISO/IEC 27701、SOC 2報告書、クラウドセキュリティ認証などを確認する場合も、対象範囲、対象拠点、対象サービス、更新日、除外事項、是正事項を見ます。
次の表は、第28条用SCCと越境移転用SCCの違いを整理します。どちらも標準契約条項と呼ばれますが、目的が異なるため、表の列から「処理者契約要件」と「第三国移転要件」を分けて確認します。
| 種類 | 主な目的 | 実務上の注意 |
|---|---|---|
| 第28条用SCC | 管理者・処理者関係に必要な契約要件を満たすための標準条項です。 | これだけで第三国移転の適法化根拠になるわけではありません。 |
| 越境移転用SCC | GDPR第5章の第三国移転を支えるための標準条項です。 | モジュールによっては第28条3項・4項の要件を併せて満たす場合があります。 |
次の比較表は、典型的な委託・移転場面ごとに必要な検討を示します。処理場所、サポートアクセス国、サブプロセッサ所在地により対応が変わるため、自社のデータの流れを当てはめて読み取ります。
| 状況 | 必要になる検討 |
|---|---|
| EU域内の管理者がEU域内の処理者に委託します | 第28条DPAが必要です。通常、GDPR第5章の移転対応は不要です。 |
| EU域内の管理者が日本の処理者に委託します | 第28条DPAが必要です。さらに移転根拠と日本の十分性認定の範囲を確認します。 |
| EU域内の処理者が第三国サブプロセッサを使います | 再委託承認・同等義務に加え、初回移転と onward transfer を検討します。 |
| 日本の処理者が米国・アジア拠点にサポートアクセスさせます | サブプロセッサ、サポートアクセス、第三国移転、管理者指示、補完的措置を確認します。 |
| Article 28 SCCだけを締結します | 処理者契約としては有用ですが、国際移転根拠は別途確認します。 |
第28条9項は、契約またはその他の法的行為が、電子形式を含む書面でなければならないと定めます。電子署名、電子契約、オンライン約款、クリックラップ、注文書、DPA別紙も、適切に証跡化されていれば書面性を満たし得ます。
次の表は、電子形式のDPAで確保すべき証跡を示します。契約管理システムやベンダー管理システムで追えるようにすると、最新版、適用範囲、別紙、改定履歴を説明しやすくなります。
| 証跡 | 確認内容 |
|---|---|
| DPAバージョン | どの版に同意したかを確認します。 |
| 効力発生日 | 同意日、効力発生日、署名者または承認者を確認します。 |
| 適用範囲 | サービス、注文書、アカウント、リージョンを確認します。 |
| 別紙類 | TOM、サブプロセッサ一覧、処理内容別紙の版を確認します。 |
| 改定履歴 | 改定通知、同意、異議、適用開始時期を確認します。 |
| 終了時証跡 | 返還、削除、アクセス停止、削除完了通知を確認します。 |
自己目的利用、責任制限、制裁金、損害賠償を契約上どう位置づけるかを確認します。
第28条10項は、処理者がGDPRに違反して処理の目的および手段を決定した場合、その処理に関して管理者とみなされ得ると定めます。これは、処理者が管理者の指示を超えて個人データを自己目的で利用することへの強い牽制です。
次の注意点一覧は、処理者が管理者化し得る典型的な危険例を示します。サービス改善、AI学習、ログ分析、統計作成などの名目でも、自己目的利用になっていないかを読み取ることが重要です。
顧客データを管理者の指示範囲外で製品改善、広告、第三者提供、AIモデル学習に使う場合です。
管理者の指示なく、データを別サービスや外部データと結合する場合です。
処理者が保存期間を自ら決め、管理者の削除指示に従わない場合です。
処理者が独自目的でデータ主体へ直接マーケティングを行う場合です。
管理者の承認なく第三国移転や分析結果の第三者提供を行う場合です。
次の強調表示は、第28条違反が行政制裁金だけでなく、契約責任、本人請求、調査対応、取引停止に広がることを示します。金額上限はリスク評価の出発点にすぎず、実務では是正命令や事業影響も合わせて読む必要があります。
第28条を含む管理者・処理者義務の違反は、第83条4項の上限が問題になり得ます。基本原則、データ主体の権利、第三国移転に波及すると、最大2,000万ユーロまたは全世界年間売上高4%の上限も問題になり得ます。
GDPR第82条は、GDPR違反により物質的または非物質的損害を受けた者が、管理者または処理者から損害賠償を受ける権利を認めています。処理者は、処理者に直接向けられたGDPR上の義務に違反した場合、または管理者の適法な指示の範囲外もしくは指示に反して行動した場合に責任を負い得ます。
責任制限条項では、規制当局対応費用、本人通知費用、コールセンター費用、フォレンジック調査費用、弁護士費用、信用監視サービス費用、データ復旧費用、業務停止損害、第三者請求、制裁金の負担可能性、故意・重過失、秘密保持違反、データ保護違反、サブプロセッサ違反のキャップ除外を検討します。ただし、契約上の責任制限は、監督機関の制裁権限やデータ主体の権利を消滅させるものではありません。
AI・機械学習・サービス改善利用では、管理者のための処理最適化、サービス提供に必要なセキュリティ監視、匿名統計作成、自社AIモデル学習、第三者提供・広告利用を区別します。包括的な「サービス改善」条項は、匿名化前の個人データ処理、透明性、法的根拠、自己目的利用の有無を確認します。
日本法人でも、EU企業やEEA拠点から個人データ処理を受託する場合は第28条対応を求められます。
日本企業であっても、EU顧客向けSaaS、EU企業の日本子会社が利用する人事・給与・勤怠システム、EU企業の顧客サポートを日本で受託するBPO、EU域内利用者データの分析、クラウド運用保守、ログ監視などでは、契約上、第28条準拠のDPAを求められることがあります。
日本の十分性認定は、GDPR第28条の処理者契約義務を消すものではありません。EU管理者が日本の処理者に処理を委託する場合、移転根拠が十分性認定で整理される場合でも、管理者・処理者関係がある限り、第28条DPAを確認します。日本の処理者がさらに米国、インド、シンガポール等のサブプロセッサを使う場合は、再委託承認、同等義務、onward transfer、補完的措置を別途確認します。
次の時系列は、第28条対応を社内で進める標準的な順番を表します。上から順に進めることで、役割判定、リスク分類、DPA、越境移転、運用監視、終了時処理までを一つの管理プロセスとして読み取れます。
どの個人データを誰がどこで処理するかを整理します。
管理者、処理者、共同管理者、独立管理者を処理単位で判定します。
データ類型、規模、対象者、国、技術、目的、機微性、TOM、認証、監査、サブプロセッサを確認します。
第28条3項の必須事項、変更通知、異議手続、同等義務を契約化します。
十分性認定、SCC、BCR、補完的措置、アクセス権限、設定、ログ、削除、通知先を確認します。
監査報告、認証更新、重大変更、事故、契約更新、再評価、返還、削除、証明、アクセス停止を追跡します。
次の一覧は、専門職ごとの役割を整理したものです。第28条対応は法務だけで完結しないため、誰がどの論点を持つかを読み取り、契約審査と運用管理をつなげることが重要です。
役割判定、DPA条項、責任制限、補償、準拠法、管轄、サブプロセッサ、越境移転、監査、解除、紛争時証拠化を確認します。
契約構造マスター契約、DPA、注文書、SLA、セキュリティ別紙、サブプロセッサ一覧、移転SCC、TOM、終了時手順の整合性を確認します。
整合性処理活動記録、DPIA、権利対応、漏えい対応、保存期間、データマッピング、プライバシーノーティス、越境移転台帳を管理します。
台帳TOMの実効性、暗号化、アクセス制御、ログ、脆弱性管理、バックアップ、インシデント対応、クラウド設定を評価します。
TOMDPA締結率、委託先評価、再委託承認、監査証跡、漏えい訓練、削除証明、例外承認を監査します。
証跡高リスク委託について、採用可否、代替ベンダー、地域分散、保険、監査予算、契約交渉方針を経営リスクとして扱います。
判断次のチェックリストは、DPAレビューで落としやすい項目を領域ごとに整理したものです。左列から順に、確認領域、見るべき項目、不十分な例を読むことで、契約条項と運用証跡の不足を早期に発見できます。
| 領域 | チェック項目 | 不十分な例 |
|---|---|---|
| 役割判定 | 管理者、処理者、共同管理者、独立管理者を処理単位で判定しましたか。 | 契約全体を一律に処理者として扱っています。 |
| 処理別紙 | 対象事項、期間、性質、目的、データ種類、データ主体カテゴリーを記載しましたか。 | 本サービス提供に必要な処理とだけ記載しています。 |
| 指示 | 文書化された指示の範囲、変更方法、違法指示時の通知を定めましたか。 | 管理者指示の概念がありません。 |
| 越境移転指示 | 第三国移転、サポートアクセス、処理場所を管理できますか。 | 処理者が自由に移転先を変更できます。 |
| 秘密保持 | 権限者の秘密保持、教育、アクセス削除を確認しましたか。 | 従業者管理が抽象的です。 |
| 安全管理 | TOM別紙が具体的でリスクに応じていますか。 | 業界標準の措置とだけ記載しています。 |
| サブプロセッサ | 事前承認、変更通知、異議手続、同等義務、責任維持がありますか。 | 一覧だけで通知・異議手続がありません。 |
| データ主体権利 | アクセス、削除、訂正、制限、ポータビリティ等への支援を定めましたか。 | 処理者の支援義務がありません。 |
| 漏えい対応 | 初報期限、情報項目、段階報告、連絡窓口を定めましたか。 | 処理者の通知期限が曖昧です。 |
| DPIA支援 | 高リスク処理でDPIAに必要な資料提供を定めましたか。 | DPIA協力義務がありません。 |
| 削除・返還 | 終了時の選択権、形式、期限、バックアップ削除、証明を定めましたか。 | 終了後合理的に削除とだけ記載しています。 |
| 監査 | 情報提供、第三者報告書、現地監査、重大事故時監査を設計しましたか。 | 監査を完全排除しています。 |
| 標準契約条項 | 第28条用SCCと移転用SCCを区別しましたか。 | Article 28 SCCだけで越境移転対応済みと誤解しています。 |
| 証跡 | 契約版、別紙、承認、変更通知、監査結果を保管していますか。 | 契約締結後の運用証跡がありません。 |
次の重要ポイントは、チェックリストを使った後に経営判断へつなげる問いをまとめたものです。各問いはDPAの条項だけでなく、委託先の実態、設定、証跡、事業継続まで読むために重要です。
ベンダーの役割、処理内容、十分な保証、サブプロセッサ、TOM、漏えい時連絡、権利対応、終了時証跡、SCCの区別、運用記録を説明できる状態にすることが、企業法務における第28条対応の実質です。
一般的な制度理解として、DPA、認証、再委託、越境移転、責任の誤解を整理します。
一般的には、DPAは重要な出発点ですが、それだけで十分とは限らないとされています。第28条は、処理者選定、サブプロセッサ管理、監査、削除・返還、データ主体権利対応、漏えい対応、証跡管理まで含みます。具体的な対応範囲は処理の実態やリスクで変わるため、関係部門と専門家に確認する必要があります。
一般的には、認証は有力な証明要素になり得ますが、それだけで十分とは限らないとされています。対象範囲、処理リスク、サブプロセッサ、処理場所、除外事項、是正事項によって評価が変わります。具体的には、認証範囲と委託処理の範囲を照合する必要があります。
一般的には、ベンダーという呼び方だけで処理者とは判断できないとされています。ベンダーが自己目的で個人データを処理する場合、独立管理者または共同管理者になる可能性があります。処理単位で目的と手段の決定者を確認する必要があります。
一般的には、一覧掲載だけで自由な再委託が認められるとは限らないとされています。一般承認の場合でも、変更通知と異議機会が必要です。サブプロセッサには同等義務を課し、初期処理者は管理者に対する責任を維持する必要があります。
一般的には、処理者契約の要件と国際移転の要件は区別して確認するとされています。越境移転用SCCのモジュールによって第28条要件を満たす場合はありますが、常に十分とは限りません。処理内容、サブプロセッサ、移転経路、補完的措置を確認する必要があります。
一般的には、交渉余地が限られる場合でも、管理者の選定・評価・採否判断・設定・利用範囲・証跡化の責任は残るとされています。代替サービス、利用制限、追加設定、リスク受容の承認など、処理の実態に応じた対応を検討する必要があります。
GDPR第28条、管理者・処理者、再委託、標準契約条項、十分性認定に関する主要資料です。