処理の目的・性質・対象データの特定が曖昧

DPAには処理の目的・性質・個人データの種類・データ主体のカテゴリを具体的に記載することがGDPRの要件です。「業務に必要な個人情報」などの曖昧な記載では，委託範囲を超えたデータ処理が行われた際に責任の所在が不明確になり，自社が連帯責任を問われるリスクがあります。

サブプロセッサー（再委託）の管理が手薄

データ処理の委託先が業務をさらに第三者（サブプロセッサー）に再委託する場合，委託元（自社）の事前承認を要件としないと，知らない間に無審査の第三者にデータが流れます。サブプロセッサーのリスト管理・変更通知・同等の義務を課す仕組みが必要です。

データ侵害通知期限（72時間ルール）の条件

GDPRでは個人データの侵害を認知してから72時間以内に監督当局へ通知する義務があります。DPAで委託先からの通知期限・通知内容・対応フローが不明確だと，委託先の遅延対応が原因で自社が期限を守れなくなります。委託先の通知義務は「認知後24時間以内」など，より短く設定することが実務上の安全策です。

監査権・立入検査権の範囲と費用負担

GDPR準拠の確認のため，委託元には委託先への監査権が必要です。しかし，相手方が提示するDPAでは「年1回・費用は委託元負担・現地立入不可」などの制限が課されていることがあります。逆に，自社が委託先になる場合は過剰な監査要求が自社運営に支障をきたすリスクがあります。

データ主体の権利対応義務の押し付け

GDPRはデータ主体（個人）に対し，アクセス・訂正・削除・ポータビリティ等の権利を付与します。DPAでこれらへの対応義務が委託先（自社）に一方的に課されると，データ管理者でない立場でも直接問い合わせ対応・費用負担・期限遵守が求められることになります。役割・費用・対応期限の明確化が必要です。

契約終了後のデータ削除・返還義務

DPAが終了した後も委託先がデータを保持し続けることはGDPR違反です。しかし，削除・返還の具体的な方法・期限・証明書の発行・バックアップへの適用が明記されていないと，実際に削除が行われたか確認できません。削除証明書の提出義務を契約に盛り込むことが重要です。

Standard Contractual Clauses（SCCs）の組み込み

日本はEUの「十分性認定国」ですが，認定の対象は個人情報保護委員会の枠組みに限られます。DPAにEU標準契約条項（SCCs）が適切に組み込まれていないと，EU域内からのデータ受領自体が違法となるリスクがあります。2021年改定版SCCsへの対応が完了しているかの確認も必要です。

責任制限条項とGDPR制裁金の関係

DPAに「損害賠償の上限は契約金額の○倍」という責任制限条項があっても，GDPRの制裁金（最大2,000万ユーロまたは全世界売上の4%）は規制当局が科すものであり，契約上の責任制限条項では免れることができません。制裁金リスクを分担する条項設計が必要です。

クラウドサービス・SaaS利用時のDPA

AWS・Google Cloud・Salesforceなどのクラウドサービスを利用してEU居住者のデータを処理する場合，各サービスとのDPAが必要です。クラウドベンダーが提示する標準DPAは自社に不利な条件を含む場合があり，特に監査権・サブプロセッサー管理・通知期限の条項は精査が必要です。

UK GDPR・その他データ保護法への対応

ブレグジット後の英国にはEU GDPRと並行してUK GDPRが適用されます。また，米国カリフォルニア州CCPA，中国の個人情報保護法（PIPL）など，取引相手国によって適用されるデータ保護法が異なります。複数の規制に対応したDPAの設計は，専門家なしには困難です。

弁護士 菊地正登

DPA・GDPR対応の英文契約書　作成・リーガルチェック　全国対応
当日または翌営業日中に見積回答。正式ご依頼まで料金不要。