GDPRデータ処理契約(DPA):第28条を徹底解説(2026年版)

データ処理契約(DPA)とは、GDPR第28条により、処理者が管理者に代わって個人データを取り扱う前に、あらゆる処理者との間で管理者が締結することを義務付けられている拘束力のある契約である。準拠したDPAがない場合、両当事者は第83条(4)に基づき、最大2,000万ユーロまたは全世界年間売上高の4%のいずれか高い方の制裁金に直面する。
GDPRデータ処理契約とは何か
GDPRデータ処理契約とは、規則(EU)2016/679第28条(3)が、個人データの取り扱いのために関与させるあらゆる処理者との間で管理者が整備することを義務付けている契約である。この契約には、処理の対象事項、期間、性質および目的、関係する個人データの種類、データ主体のカテゴリー、ならびに管理者の義務および権利が定められなければならない。第28条(9)が定めるとおり、契約は電子的形式を含む書面によるものでなければならない。
第28条(1)は、管理者に対し、適切な技術的および組織的措置を実施するための十分な保証を提供する処理者のみを使用することを義務付けている。DPAは、管理者がこれらの保証を確保し、文書化するための主要な手段であり、アカウンタビリティと責任の交差点に位置する。第82条に基づき、管理者と処理者はいずれも、GDPR違反によって生じた損害について民事責任を負う。処理者の責任は、処理者に特に向けられた義務を遵守しなかった場合、または管理者の適法な指示の範囲外で行動した場合に限定される。適切に作成されたDPAはこれらの指示を正確に定義しており、これは執行および責任の配分の両方において重要である。
2021年9月7日に最終版として採択されたEDPBガイドライン07/2020(管理者および処理者の概念に関する)は、書面によるDPAが存在しないこと自体が、データ主体が実際に損害を被ったかどうかにかかわらず、第28条違反となることを強調している。規制当局は、処理契約の欠如または不備を理由に制裁金を科した例がある。GDPRの枠組み全体については、GDPRとは何かを参照されたい。
管理者と処理者:この区別が重要な理由
第4条(7)は、管理者を「単独で、または他者と共同で、個人データの処理の目的および方法を決定する自然人、法人、公的機関、その他の団体」と定義している。第4条(8)は、処理者を「管理者に代わって個人データを処理する自然人、法人、公的機関、その他の団体」と定義している。
管理者は、処理の「なぜ」と「どのように」を決定する。すなわち、どのデータを、どのような目的で、どの法的根拠に基づき、どのくらいの期間収集するかである。処理者はそのパラメーターの範囲内で活動する。処理者はデータに対して技術的または組織的な作業を行うが、独自に目的を設定したり、管理者の指示を超えてデータを保持したり、自己の利益のためにデータを使用したりすることはない。
EDPBガイドライン07/2020は、この区分が契約上のものではなく、機能的かつ事実に基づくものであることを明確にしている。契約上ある主体を「処理者」と呼んだとしても、実際には処理の目的または方法について独自の判断を行使している場合、それは処理者とはならない。指示に基づく処理から目的設定へと逸脱した主体は管理者となり、当事者間でその関係をどのように呼んでいたかにかかわらず、管理者としての義務を負う。
この区別には3つの実務上の帰結がある。第一に、第6条に基づく処理の適法な根拠を有するのは管理者のみであり、処理者は指示の範囲内で活動している限り、別個の根拠を必要としない。第二に、管理者は、処理の内容について監督機関に対する主要な説明責任を負う。第三に、監査、協力、支援の義務は、DPAを通じて管理者に還元される。
一般的な処理者との関係には、管理者に代わってデータをホスティングするクラウドストレージプロバイダー、通信を送信するメールサービスプロバイダー、雇用主の指示に基づき従業員データを処理する給与計算代行業者、ウェブサイト運営者の条件に基づきウェブサイト訪問者データを処理する分析プラットフォーム、定められたスクリプトとデータベースに基づいて業務を行う外部委託カスタマーサポートプロバイダーなどが含まれる。
個人データに触れるすべての第三者が処理者であるわけではない。共同管理者(第26条)、適法な開示を受けて情報を受け取る受領者、および自己の目的のために独立してデータを処理する主体は、処理者ではない。文書化された顧客の指示に基づいてのみデータを処理するクラウドインフラプロバイダーは、明確な処理者である。複数の顧客からデータを集約し、独自の分析を導き出し、その分析結果を第三者に販売するマーケティング分析企業は、その独立した処理に関する限り、それ自体が管理者である。
DPAはいつ必要となるか
DPAは、処理者が管理者に代わって個人データを処理する場合には常に必要となる。第28条(1)は、業種、組織の規模、契約金額、処理量、データの機微性による区別なく、管理者にこの義務を課している。メールニュースレターをマーケティングオートメーションプラットフォームに委託する個人事業主の写真家であっても、そのプラットフォームとの間でDPAを締結しなければならない。この義務は、いかなる処理が開始される前にも生じる。事前の書面によるDPAなしに処理者にデータを移転する管理者は、データが移動した瞬間から違反状態にある。
DPAがしばしば見落とされがちだが明らかに必要とされる状況がいくつかある。
SaaSプロバイダー。 事業者がSaaSプラットフォームを利用し、そのプラットフォームがサービス提供の一環として事業者の顧客または従業員のデータを処理する場合、そのSaaSベンダーは処理者であり、DPAが義務付けられる。大手ベンダーの多くは標準的なDPAを公開しているが、それらの文書が第28条(3)を完全に満たしているかを確認する責任は管理者に残る。
IT保守・サポート契約業者。 個人データを含むインフラの保守を行うために一時的なシステムアクセスを付与された契約業者は、たとえそのデータを読み取ったり使用したりすることが想定されていなくても、管理者に代わってそのデータを処理していることになる。アクセスそのものが第4条(2)における処理を構成する。
アナリティクスおよび広告技術。 管理者のウェブサイトにトラッキング技術を配置し、管理者の設定に従って訪問者データを処理するプラットフォームは、そのプラットフォームが同時に自社の広告目的のために別個の管理者としてデータを処理している場合であっても、その活動については処理者として行動している。
外部委託の人事・給与計算。 外部の給与計算代行業者は、雇用主の給与に関する義務を履行するためにのみ、厳密に従業員の個人データを処理する。その処理の目的を決定するのは業者ではない。
クラウドインフラプロバイダー。 事業者が第三者のクラウドインフラ上で自社のアプリケーションを運用している場合、クラウドプロバイダーは事業者に代わって個人データを処理している。大手プロバイダーは標準的なDPAを提供しているが、管理者はベンダーの公開のみに依拠することはできず、能動的な承諾が必要である。
2つの組織がそれぞれ独立した独自の目的のために個人データを処理し、それぞれが管理者として行動している場合、DPAは不要である。共同管理者の場合もDPAは不要であるが、第26条により両者間の別個の取り決めが必要とされる。
8つの必須条項:第28条(3)の全文解説
第28条(3)は、DPAの最低限の内容を8つのアルファベット付き号で規定している。いずれも任意ではなく、これら8つの要素のいずれかを省略または実質的に弱めるDPAは第28条を満たさない。
| 条項 | 要求内容 |
|---|---|
| 第28条(3)(a) | 処理者は、第三国または国際機関への移転に関するものを含め、管理者からの文書化された指示に基づいてのみ個人データを処理する。ただし、連合法または加盟国法により処理が求められる場合はこの限りでなく、その場合、処理者は、当該法律が重要な公共の利益の理由により当該情報提供を禁じていない限り、処理を行う前に管理者に通知しなければならない。 |
| 第28条(3)(b) | 処理者は、個人データの処理を許可された者が秘密保持を約束していること、または適切な法定の秘密保持義務を負っていることを確保する。 |
| 第28条(3)(c) | 処理者は、第32条に基づき要求されるすべての措置、すなわちリスクに比例した適切な技術的および組織的セキュリティ措置を講じる。 |
| 第28条(3)(d) | 処理者は、別の処理者(副処理者)を関与させる場合、第28条(2)および(4)で言及されている条件、すなわち管理者からの事前の承認を得ること、および副処理者に同等の義務を課すことを遵守する。 |
| 第28条(3)(e) | 処理者は、可能な限り、適切な技術的および組織的措置により、第15条から第22条に基づくデータ主体の権利行使の要求に応答するという管理者の義務の履行を支援する。 |
| 第28条(3)(f) | 処理者は、処理の性質および処理者が入手できる情報を考慮しつつ、第32条に基づくセキュリティ義務、第33条および第34条に基づくデータ侵害通知、第35条に基づくデータ保護影響評価、ならびに第36条に基づく事前協議の遵守を確保するにあたり、管理者を支援する。 |
| 第28条(3)(g) | 処理者は、管理者の選択に応じて、処理に関するサービス提供終了後、すべての個人データを削除または管理者に返還し、連合法または加盟国法が個人データの保管を義務付けていない限り、既存のコピーを削除する。 |
| 第28条(3)(h) | 処理者は、第28条に定める義務の遵守を証明するために必要なすべての情報を管理者が利用できるようにし、管理者または管理者が委任した別の監査人が実施する検査を含む監査を許可し、これに協力する。処理者は、指示が本規則またはその他の連合法もしくは加盟国のデータ保護規定に違反すると判断した場合、直ちに管理者に通知しなければならない。 |
8つの必須条項に加え、第28条(3)は、処理の対象事項および期間、処理の性質および目的、個人データの種類、データ主体のカテゴリー、ならびに管理者の義務および権利を契約に明記することも要求している。これらのパラメーターは、処理者が適法に活動できる外側の境界を定めるものである。
条項(a):指示のみ
第28条(3)(a)の文書化された指示の要件は、処理者関係における基礎的な統制メカニズムである。「文書化」とは、書面によるもの、またはその他の方法で記録されたものを意味し、処理の範囲にとって重要な指示について口頭による指示は不十分である。
DPA自体が主要な指示(データのカテゴリー、許容される処理業務、保有期間)を定め、サービス契約がそれを運用上の詳細で補完する。当初の範囲を超える臨時の指示は文書化されなければならない。処理者がGDPR違反と考える指示を指摘する義務(第28条(3)の最終文に定められている)は、この条項を補完する。すなわち、違法な指示に従いながらそれを指摘しない処理者は、指示遵守が提供する第82条(3)の責任保護を失うリスクを負う。
処理者またはその副処理者がEEA域外でインフラを運用する場合、DPAはこれらの移転を明示的に許可し、GDPR第V章に基づく移転メカニズムを特定しなければならない。詳細はGDPR国際データ移転ガイドを参照されたい。
条項(c):第32条のセキュリティ
第28条(3)(c)は、第32条の義務を処理者に直接課している。第32条(1)は、これらのセキュリティ措置が対処すべき事項を具体的に定めている。すなわち、仮名化および暗号化、処理システムの継続的な機密性、完全性、可用性および回復力を確保する能力、物理的または技術的なインシデント発生後に個人データの可用性およびアクセスを適時に回復する能力、ならびに技術的および組織的措置の有効性を定期的に試験し評価するプロセスである。
適切な措置は、最新の技術水準、実施費用、処理の性質、範囲、状況および目的、ならびに自然人の権利および自由に対するリスクを考慮しなければならない。匿名化されたアナリティクスを扱う処理者に適切な措置は、健康データや財務記録に求められる措置とは異なる。処理される特定のデータカテゴリーについて処理者に期待されるセキュリティ基準を明記していないDPAは不十分である。
条項(f):侵害通知およびDPIAへの協力
第28条(3)(f)は、時間的制約のある協力義務を課している。第33条(1)に基づき、管理者は個人データ侵害を、不当な遅滞なく、かつ可能な場合は72時間以内に監督機関に通知しなければならない。管理者がこの期限を満たせるのは、処理者が侵害を検知し、文書化し、管理者に迅速に通知する体制を整えている場合に限られる。
DPAには、処理者が潜在的なデータ侵害の可能性を、定められた期間内(多くのDPAでは24時間から48時間としている)に管理者に通知する義務、および第33条(3)の情報、すなわち侵害の性質、影響を受けるデータ主体のカテゴリーおよびおおよその数、関係する記録のカテゴリーおよびおおよその数、想定される結果、ならびに講じられたまたは提案された措置を提供する義務を明記すべきである。第33条への漠然とした一般的な言及だけでは不十分である。
DPIAへの協力義務も実務上重要である。第35条に基づき、管理者はデータ主体に高いリスクをもたらす可能性のある処理を行う前に、データ保護影響評価を実施しなければならない。処理者はしばしばリスク評価の完了に必要な技術情報を保有しており、DPAは処理者の協力義務を明記すべきである。
条項(h):監査権
処理者は、管理者にシステムおよび記録への直接的なアクセスを認める代わりに、第三者による監査認証(ISO 27001またはSOC 2 Type II)によって第28条(3)(h)を満たすことを提案することが多い。EDPBガイドライン07/2020は、第三者認証が遵守の証拠となり得ることを認めているが、管理者が特定の遵守上の懸念を有する場合に自ら監査を実施する権利を排除することはできないことを確認している。監査権を認証への言及に完全に置き換えるDPA条項は第28条(3)(h)を満たさず、監督機関から批判されている。
副処理者と義務の連鎖
副処理者とは、処理者が管理者に代わって特定の処理活動を実施するために関与させる第三者である。第28条(2)は、処理者に対し、いかなる副処理者を関与させる前にも、管理者からの事前の個別または一般的な書面による承認を得ることを義務付けている。
管理者が一般的な承認を与える場合、第28条(2)は、処理者に対し、副処理者の追加または交代に関する意図された変更を管理者に通知し、管理者に異議を申し立てる機会を与えることを義務付けている。DPAは、管理者がこの権利を行使するのに十分な通知期間を組み込まなければならず、多くのDPAでは30日前の事前通知を定めている。
第28条(4)は連鎖義務の規則を定めている。処理者が副処理者を関与させる場合、管理者・処理者間の契約に定められているものと同一のデータ保護義務を副処理者に課さなければならない。副処理者がその義務を履行しない場合、当初の処理者は管理者に対して完全な責任を負い続ける。
処理連鎖のすべての節点は、第28条に準拠した契約によって拘束されなければならない。責任は処理者に完全に還元されるため、処理者は下流の副処理者との契約において十分な契約上の保護を確保しなければならない。
複雑なベンダー連鎖を管理する管理者は、処理活動記録(第30条)の一環として、自らの処理者と各処理者が申告した副処理者をマッピングすべきである。多くの処理者は副処理者リストを公開し、変更の事前通知を提供することを約束している。
欧州委員会の第28条標準契約条項
GDPRは、DPAの全部または一部を、欧州委員会または監督機関が採択した標準契約条項に基づかせることを認めている(第28条(6)および(7))。
2021年6月7日に官報L 199/31に公表された委員会実施決定(EU)2021/914は、国際データ移転のためのSCCを採択した。この決定には、処理がEEA域外への移転を伴う場合の第V章上の移転義務を規律する、モジュール2(管理者から処理者へ)およびモジュール3(処理者から処理者へ)を含む4つのモジュールが含まれている。これらの国際移転SCCは、第28条SCCとは別個のものであるが、両立可能である。詳細な説明についてはGDPR国際データ移転ガイドを参照されたい。
同じく2021年6月4日に公表された委員会実施決定(EU)2021/915は、EUおよびEEA域内の管理者・処理者契約に特化した独立の標準契約条項(「第28条SCC」)を採択した。修正なしにこれを採用する当事者は、これらの条項に関する委員会の適格性判断に依拠することができる。これらは、明確に示された任意規定と、当事者が処理パラメーター(データカテゴリー、目的、セキュリティ措置、副処理者リスト)を記入する付属書とともに、モジュール式で適応可能な構造となっている。
当事者は、第28条SCCに加えて、必須条項に反したりデータ主体の保護を低下させたりしない限り、追加の商業条件を付加することができる。当事者が第28条SCCと第V章の移転用SCCの両方を単一の契約に組み込むことを望む場合、委員会のガイダンスは2つの条項セットを組み合わせることができることを確認している。
DPAと国際データ移転
DPAに基づく処理がEEA域外へのデータ移転を伴う場合は常に、DPAは第V章の遵守に対応しなければならない。第28条(3)(a)は既に、第三国へのデータ移転に関するあらゆる指示をDPAが対象とすることを要求している。
処理関係全体がEEA域内にある場合、第28条SCCがその関係を完全にカバーする。処理者がEEA域外でインフラを運用しているが、移転先の国がEUの十分性認定を受けている場合(例えば英国、日本、またはDPF認証を受けた米国の組織)、DPAはその十分性認定を移転根拠として特定し、処理者およびデータを受け取る副処理者がそれによってカバーされていることを確認しなければならない。十分性認定が適用されない場合、DPAは適用可能な第V章のメカニズムを組み込まなければならない。管理者から処理者への国境を越えた関係については、2021年の国際移転SCCのモジュール2であり、これは第14条に基づく移転影響評価も義務付けている。
米国のクラウドプロバイダーと第28条に準拠したDPAを締結していても、国際移転SCCのモジュール2を別途組み込んでいない管理者は、部分的にしか遵守していない。すなわち、処理関係は規律されているが、移転自体には有効な法的根拠がない。GDPRコンプライアンスチェックリストは、この両方の層に対応するために必要な手順をカバーしている。
DPAを作成するのは誰か
GDPRは、DPAが整備されていることを確保する義務を管理者に課している。実務上は、大規模な処理者(SaaSベンダーやクラウドプロバイダー)が、数百から数千の管理者と取引するため個別に契約交渉ができないことから、標準書式のDPAを作成することが一般的である。
管理者の観点からは、これは作成義務ではなくデューデリジェンス義務を生じさせる。内容を確認せずに処理者のDPAに副署する管理者は、そのDPAがたまたま準拠していたとしても、第5条(2)に基づくアカウンタビリティ義務を果たしたことにはならない。処理者の標準DPAが不十分な場合、管理者は修正を交渉するか、準拠した契約を提供する処理者を探すべきである。
独自の標準DPAを提供しない小規模なサービスプロバイダーを関与させる管理者は、自ら契約書を作成するか、欧州委員会の第28条SCCをベースとして使用しなければならない。第28条SCCは委員会のウェブサイトで一般公開されており、無償で使用できる。
第26条に基づく共同管理者の取り決めにおいては、第28条上の義務は共同管理者間には適用されない。第26条は、DPAとは異なる規則の下で運用される、それぞれの責任を規律する別個の透明な取り決めを要求している。
DPAを欠くことの帰結
準拠したDPAを欠くことは、独立したGDPR違反である。第83条(4)は、第28条を、違反した場合に最大1,000万ユーロまたは全世界年間総売上高の2%のいずれか高い方の行政制裁金の対象となる規定として列挙している。DPAの欠如がより広範なアカウンタビリティの失敗の兆候である場合、監督機関は第5条および第25条に基づき、より高い第83条(5)の階層を適用してきた。
監督機関はまた、第58条(2)に基づく是正権限、すなわち警告、戒告および遵守命令の発出、処理の一時的または恒久的な制限もしくは禁止、処理者へのデータフローの停止命令を行使することができる。処理者が事業運営に不可欠なインフラを提供している場合、一時的な処理禁止は、制裁金よりも業務上大きな打撃となり得る。
第82条に基づく民事責任は別のリスクである。DPAが処理者の範囲および義務を定めていなかった場合、管理者は処理が適法であったことを立証するのに苦労する可能性がある。執行決定は公開されており、企業がDPAなしにサービスプロバイダーを通じて個人データを処理していたという判断は、体系的なガバナンスの失敗を示唆し、より広範な精査を招く傾向がある。
文書化された執行事例には、ベンダーとの間で適切な処理契約を欠いていたことを理由に管理者に制裁金を科したスウェーデンのデータ保護庁(IMY)、および大手テック企業の調査において処理者・管理者間の契約上の取り決めが不十分であったと判断したアイルランドのデータ保護委員会が含まれる。
管理者にとっての実務上の重要ステップ
処理者をマッピングする。 管理者に代わって個人データを処理するすべての第三者を特定する。第30条に基づき要求される処理活動記録は、この作業の自然な手段である。特定された各処理者にデータを移転する前に、準拠した書面によるDPAが整備されていなければならない。
適合性を評価する。 第28条(1)は、各処理者の技術的・組織的セキュリティ措置、副処理者の取り決め、侵害通知手続、監査協力の姿勢、およびデータ主体の権利要求への支援能力についてのデューデリジェンスを求めている。デューデリジェンスには、第三者監査認証の確認、ベンダーセキュリティ質問票の完了、処理者のプライバシー文書の確認が含まれ得る。
準拠したDPAを締結する。 委員会の第28条SCCを使用することが、必須条項を満たす最も簡潔な方法である。処理が国際移転を伴う場合、委員会の国際移転SCCのモジュール2も組み込むか、別途締結しなければならない。
副処理者の変更を管理する。 DPAが副処理者に対する一般的な承認を定めている場合、副処理者の変更通知を受領・確認し、提案された副処理者が遵守上の懸念を生じさせる場合に異議申し立て権を行使するプロセスを確立する。
DPAを維持する。 処理者はサービスを更新し、副処理者を追加し、データセンターを変更し、セキュリティ措置を見直す。対象となる処理活動に重要な変更が生じるたびに、DPAを見直すべきである。
DPAが広範なGDPRコンプライアンスプログラムにどのように組み込まれるかについては、GDPRコンプライアンスチェックリストを参照されたい。
適用管轄区域の範囲: 本記事は、欧州連合および欧州経済領域内で適用される規則(EU)2016/679(GDPR)に基づくデータ処理契約の要件について解説するものであり、第3条に基づくGDPRの域外適用の対象となるEU/EEA域外に設立された処理者および管理者への適用も含む。本記事は、英国GDPR(ブレグジット後も同等の第28条要件を維持している)を別個に扱うものではなく、また規則(EU)2018/1725に基づく連合機関のデータ保護規則に基づく分野別の処理契約についても扱っていない。
免責事項: 本記事は、2026年6月時点でのGDPR第28条およびデータ処理契約に関する一般的な法律情報を提供するものである。これは法的助言を構成するものではなく、そのようなものとして依拠されるべきではない。ここに記載されている法的要件は、公表時点でのGDPRおよび欧州委員会・EDPBの公式ガイダンスを反映している。法律およびガイダンスは変更される可能性がある。貴組織の状況に特化した助言については、貴管轄区域で有資格の弁護士に相談されたい。
Frequently Asked Questions
GDPRにおけるデータ処理契約とは何か?
データ処理契約(DPA)とは、処理者が管理者に代わって個人データを取り扱う前に、GDPR第28条が管理者に義務付ける書面による契約である。DPAには、処理の対象事項、期間、性質および目的を定めなければならず、第28条(3)に列挙されている8つのカテゴリーの必須義務、すなわち文書化された指示のみに従う義務、秘密保持の維持、セキュリティ措置の実施、副処理者の管理、データ主体の権利行使への協力、侵害通知およびDPIAへの協力、関係終了時のデータの削除または返還、監査への協力を含まなければならない。
GDPRのDPAはいつ必要か?
処理者が管理者に代わって個人データを処理するたびにDPAが必要となる。この義務は、業種、組織の規模、契約金額、関係するデータの機微性にかかわらず適用される。いかなる処理が開始される前にも適用される。DPAが必要となる一般的な例には、管理者のデータをホスティングするクラウドストレージプロバイダー、顧客記録を処理するSaaSプラットフォーム、従業員データを処理する給与計算代行業者、ウェブサイト訪問者データを処理する分析プロバイダー、個人データを含むシステムにアクセスするITサポート契約業者が含まれる。共同管理者間(第26条に基づく別個の義務がある)、または第三者が完全に独立して自己の目的のためにデータを処理する場合には、DPAは不要である。
GDPRのDPAには何を含めなければならないか?
第28条(3)は、8つのカテゴリーの必須条項を規定している。(a)管理者からの文書化された指示のみに基づいて処理すること、(b)許可された職員が秘密保持義務を負っていることを確保すること、(c)第32条のセキュリティ措置を実施すること、(d)副処理者の承認および義務連鎖の要件を遵守すること、(e)データ主体の権利行使要求への対応を管理者に協力すること、(f)第33条および第34条に基づく侵害通知、第35条に基づくDPIA、第36条に基づく事前協議への協力、(g)サービス終了後にすべての個人データを削除または返還すること、(h)監査および検査のための情報を提供し、GDPRに違反すると思われる指示があれば直ちに管理者に通知すること、である。これらの条項に加え、DPAは処理の対象事項、期間、性質、目的、データの種類、データ主体のカテゴリーも明記しなければならない。
DPAを提供するのは管理者か処理者か?
DPAを整備することを確保する法的義務は、第28条(1)に基づき管理者にある。実務上は、大規模な処理者(クラウドプロバイダーおよびSaaSベンダー)が標準的なDPAを作成・公開し、管理者はそれを承諾するよう求められることが一般的である。管理者は、内容を確認せずにDPAに副署することで、その法的義務を処理者に委譲することはできない。管理者は、処理者が提供するDPAが第28条(3)の8要素すべてを満たしていることを確認しなければならない。処理者が標準的なDPAを提供しない場合、管理者は自ら作成するか、委員会の第28条標準契約条項(実施決定(EU)2021/915)をベースとして使用しなければならない。
GDPRにおける管理者と処理者の違いは何か?
第4条(7)は、管理者を個人データの処理の目的および方法を決定する主体、すなわちデータがなぜ、どのように処理されるかを決定する主体と定義している。第4条(8)は、処理者を管理者に代わって個人データを処理し、処理の目的を独自に決定せずに管理者の指示に従う主体と定義している。EDPBガイドライン07/2020は、この区別が機能的かつ事実に基づくものであることを確認している。すなわち、契約上ある当事者を処理者と呼んでも、その当事者が目的について独自の統制を行使している場合、それは処理者とはならない。自ら処理の目的を決定し始めた処理者は、第28条(10)に基づき管理者となり、管理者としての完全な責任を負う。
欧州委員会の標準契約条項をDPAとして使用できるか?
できる。2021年6月4日の委員会実施決定(EU)2021/915は、第28条に基づく管理者・処理者関係に特化した標準契約条項を採択した。これらの第28条SCCは、修正なしに使用された場合、第28条(3)の必須条項要件を自動的に満たす事前承認済みのひな形を提供する。当事者は、付属書に特定の処理パラメーター(データカテゴリー、目的、セキュリティ措置、副処理者リスト)を記入する。第28条SCCは、決定(EU)2021/914に基づく2021年の国際移転SCCとは別個のものである。国際移転も関係する場合は、両方の条項セットが必要となることがある。
DPAを欠くことの結果は何か?
準拠したDPAを欠くことは、第83条(4)に基づき最大1,000万ユーロまたは全世界年間総売上高の2%のいずれか高い方の行政制裁金の対象となる独立したGDPR違反である。DPAの欠如がより広範なアカウンタビリティの失敗の一部である場合、第83条(5)に基づくより高額な制裁金が科されることもある。制裁金に加え、監督機関は第58条(2)に基づき処理禁止命令を発することができ、これは事業運営を停止させる可能性がある。管理者はまた、損害を被ったデータ主体から第82条に基づく民事責任を問われる可能性もある。処理契約の不存在または不備を認定した執行決定は、スウェーデンのIMYやアイルランドのデータ保護委員会を含む複数のEU監督機関から出されている。
副処理者とは何か、第28条はどのようにこれを規律しているか?
副処理者とは、処理者が管理者に代わって特定の処理活動を実施するために関与させる第三者である。第28条(2)は、処理者に対し、いかなる副処理者を関与させる前にも、管理者からの事前の個別または一般的な書面による承認を得ることを義務付けている。一般的な承認が与えられた場合、処理者は副処理者の変更を管理者に通知し、管理者に異議申し立ての機会を与えなければならない。第28条(4)に基づき、処理者はすべての副処理者に対し、管理者・処理者間のDPAに定められているものと同一のデータ保護義務を課さなければならず、副処理者が履行しない場合、処理者は管理者に対して完全な責任を負い続ける。
DPAは国際データ移転に対応する必要があるか?
処理者またはその副処理者がEEA域外に個人データを移転する場合、DPAは第V章の遵守に対応しなければならない。第28条(3)(a)は、第三国へのデータ移転に関するあらゆる指示をDPAが対象とすることを要求している。移転先が有効な十分性認定の対象である場合、DPAはそれを特定すべきである。十分性認定が適用されない場合、DPAは関連する第V章のメカニズムを組み込まなければならず、管理者から処理者への移転の場合、通常は委員会実施決定(EU)2021/914に基づく2021年標準契約条項のモジュール2である。第28条SCCと国際移転SCCは単一の契約に組み合わせることができる。
GDPRのDPAにおける「文書化された指示」とは何を意味するか?
第28条(3)(a)は、処理者に対し、管理者からの文書化された指示のみに基づいて個人データを処理することを義務付けている。「文書化」とは、書面によるもの、またはその他の方法で記録されたものを意味する。DPA自体が主要な指示群を構成し、許容される処理業務、データカテゴリー、目的、保有期間を明記する。サービス関係の過程で与えられる臨時の指示も、有効であるためには文書化されなければならない。第28条(3)の最終文は、処理者に対し、いかなる指示もGDPRまたはその他の適用される[データ保護法](/us-laws/data-privacy-laws)に違反すると考える場合、直ちに管理者に通知する義務を課している。違法であると知りながらその問題を指摘せずに指示に従う処理者は、文書化された指示の遵守が第82条(3)に基づき提供する責任保護を失うリスクを負う。
Sources and References
- GDPR規則(EU)2016/679、第4条、第28条、第32条、第33条、第35条、第82条および第83条(eur-lex.europa.eu)
- 委員会実施決定(EU)2021/914、国際移転のための標準契約条項(eur-lex.europa.eu)
- 委員会実施決定(EU)2021/915、管理者・処理者間の標準契約条項(eur-lex.europa.eu)
- EDPBガイドライン07/2020、GDPRにおける管理者および処理者の概念について(edpb.europa.eu)
- 欧州委員会、データ移転のための標準契約条項(commission.europa.eu)