データ処理契約 (DPA)
データ処理契約 (DPA) とは何ですか?
データ処理契約 (DPA)管理者の代理で個人データが処理される場合に、GDPR 第 28 条が要求する管理者と処理者の拘束力ある契約。
データ処理契約 (DPA) は、EU 一般データ保護規則 (規則 2016/679) 第 28 条が要求する書面契約であり、管理者が自身の代理で個人データを処理する処理者を起用する場合に締結します。DPA には、処理の主題・期間・性質・目的、データおよびデータ主体の種別、管理者の指示を明記しなければなりません。処理者には、文書化された指示にのみ基づく処理、機密保持、適切な安全管理措置 (第 32 条) の実装、データ主体の権利行使と侵害通知への支援、監査への協力、再委託の管理、契約終了時のデータの返却または削除を義務付けます。英国 GDPR や EU 域外の多くの法令 (LGPD、CPRA、PIPEDA) にも同様の義務が存在します。
● 例
- 01
管理者がクラウド事業者にカスタマーデータを保存する前に DPA を締結する事例。
- 02
SaaS 事業者が、国際移転向けに 2021 年 EU 標準契約条項を参照した標準 DPA テンプレートを公開する事例。
● よくある質問
データ処理契約 (DPA) とは何ですか?
管理者の代理で個人データが処理される場合に、GDPR 第 28 条が要求する管理者と処理者の拘束力ある契約。 サイバーセキュリティの コンプライアンスとフレームワーク カテゴリに属します。
データ処理契約 (DPA) とはどういう意味ですか?
管理者の代理で個人データが処理される場合に、GDPR 第 28 条が要求する管理者と処理者の拘束力ある契約。
データ処理契約 (DPA) はどのように機能しますか?
データ処理契約 (DPA) は、EU 一般データ保護規則 (規則 2016/679) 第 28 条が要求する書面契約であり、管理者が自身の代理で個人データを処理する処理者を起用する場合に締結します。DPA には、処理の主題・期間・性質・目的、データおよびデータ主体の種別、管理者の指示を明記しなければなりません。処理者には、文書化された指示にのみ基づく処理、機密保持、適切な安全管理措置 (第 32 条) の実装、データ主体の権利行使と侵害通知への支援、監査への協力、再委託の管理、契約終了時のデータの返却または削除を義務付けます。英国 GDPR や EU 域外の多くの法令 (LGPD、CPRA、PIPEDA) にも同様の義務が存在します。
データ処理契約 (DPA) からどのように防御しますか?
データ処理契約 (DPA) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
データ処理契約 (DPA) の別名は何ですか?
一般的な別名: データ処理付属書, 第 28 条契約, 処理委託契約。
● 関連用語
- compliance№ 440
GDPR
EU 域内および EEA に所在する個人の個人データ処理を規律する欧州連合の一般データ保護規則。
- compliance№ 974
SCC
EU 委員会が承認した契約モデルである標準契約条項。EEA 外への個人データ移転に対し、GDPR 準拠の保護措置を提供する。
- compliance№ 357
DPF
プライバシーシールドに代わり、大西洋を越える個人データ移転に用いられる EU-米国データプライバシーフレームワーク (2023 年 7 月成立)。
- privacy№ 856
プライバシー・バイ・デザイン
システム・プロセス・初期設定に対し、設計の最初期段階からプライバシー観点を組み込む工学・ガバナンスのアプローチ。
● 関連項目
- № 228CPRA