( SCCs/DPA - RoPA/DSR )
SCCs/DPA契約支援・RoPA/DSR対応
データの「契約」と「記録」を、欧州基準で整える
外部委託やデータ移転に必要な契約書類(SCCs/DPA)の整備と、処理活動の記録(RoPA)・データ主体からの権利行使要求(DSR)への対応体制の構築。GDPR対応の「ドキュメントと業務フロー」を、欧州の法律家とともに実務レベルで整えます。ノウハウがあれば国内でも対応可能な領域ですが、欧州基準の品質・効率・監査耐性を担保するために専門家を活用することで、対応のスピードと確実性が格段に変わります。
こんなお困り事はありませんか?
・
複数の外部ベンダーにデータ処理を委託しているが、DPA締結状況がまちまちで全体像が把握できない。取引先からSCCs付きDPAを求められても、妥当性を判断できる人材がいない。
・
RoPAを作成したことがなく、どの部署のどのデータ処理を記録すべきかもわからない。
・
欧州ユーザーからデータ削除要求が届いたが、社内フローが整っておらず、対応が属人化している。
主なご支援内容
SCCs/DPA契約支援
外部委託やEU域外へのデータ移転に必要な契約書類を、欧州の法律家とともに整備します。「ひな型の流用」ではなく、貴社のビジネスモデル・データフローに即した実効性のある契約を、現地の法的要件と実務慣行を熟知した専門家が主導して策定。2021年改定版SCCsへの対応はもちろん、EU-日本間の十分性認定の活用も含め、最適な移転スキームを選定・設計します。
SCCs/DPAとは?
DPAは「誰にデータを預けるか」のルール、SCCsは「どこにデータを持ち出すか」のルールです。両者はセットで必要になるケースが多く、実務上はDPAの中にSCCsを組み込む形で締結されることが一般的です。
DPA(Data Processing Agreement/データ処理契約)
個人データの処理を外部に委託する際に、委託元と委託先の間でデータの取り扱いルールを定める契約です。GDPRは、個人データの処理を第三者に委託する場合、DPAの締結を義務づけています(GDPR第28条)。
SCCs(Standard Contractual Clauses/標準契約条項)
EU域内の個人データをEU域外(日本を含む)に移転する際に、移転先でも十分なデータ保護水準を確保するために欧州委員会が策定した標準契約のひな型です。2021年に改定された現行版への対応が求められています。
RoPA/DSR対応支援
GDPRが義務づけるRoPA(処理活動の記録)の作成・整備と、欧州ユーザーからの権利行使要求(DSR)に法定期限内で確実に対応できる業務フローを構築します。一度作って終わりではなく、サービスの変化や新たなデータ処理の追加に合わせて継続的に更新できる仕組みまで設計します。
RoPA/DSRとは?
RoPAは「自社がデータをどう扱っているかの地図」、DSR対応は「ユーザーからの問い合わせに確実に応える仕組み」です。いずれも一度作って終わりではなく、サービスの変化や新たなデータ処理の追加に合わせて継続的に更新する必要があります。
RoPA(Records of Processing Activities/処理活動の記録)
どのような個人データを、どの目的で、どの法的根拠に基づいて処理しているかを整理した一覧です。GDPR第30条により、管理者・処理者いずれにも作成・維持が義務づけられています。監督機関の調査や監査において最初に確認される書類であり、GDPRの説明責任原則(第5条2項)を果たすうえでの基盤となります。
DSR(Data Subject Request/データ主体の権利行使要求)
欧州ユーザーが自身の個人データについて行使できる権利──アクセス(開示)、削除(忘れられる権利)、訂正、データポータビリティ、処理の制限など──に基づく要求です。企業はこれらの要求に対し、原則として1か月以内に対応する法的義務があります。
対応が必要なケース・不要なケース
対応が必要なケース
対応不要なケース
SCCs/DPAが必要なケース
・欧州の顧客・ユーザーの個人データを、日本やその他のEU域外で処理・保管している
・クラウドサービス(AWS、Google Cloud、Salesforce等)を利用しており、データがEU域外のサーバーで処理される可能性がある
・外部ベンダーにEU居住者の個人データの処理を委託している
・欧州の取引先・親会社からDPA/SCCsの締結を要求されている
・グループ会社間で欧州拠点と日本本社の間でデータをやりとりしている・EU居住者の個人データを一切取り扱っていない(顧客・従業員ともに非EU圏のみ)
・データの処理がすべてEU域内で完結しており、域外への移転が発生しない
※ 十分性認定があればSCCsが不要になるケースはありますが、外部委託が伴う場合はDPAは引き続き必要です。自社の状況がどちらに該当するか判断が難しい場合は、お気軽にご相談ください。
RoPA/DSR対応が必要なケース
・GDPRが義務付けるRoPAを整備できていない、または一度作ったまま更新されていない
・欧州ユーザーからのDSR(開示・削除・訂正等の要求)への対応フローが確立していない
・監督機関の調査・監査に備え、説明責任を果たせる記録を整えたい
・RoPA・DSR対応が属人化しており、継続的に維持できる体制を構築したい
対応プロセス
Step 1
データ処理の棚卸しと契約状況の把握
データ処理に関わる外部委託先を網羅的に把握し、既存契約の収集・照合・ギャップ分析を実施。あわせて各部署でのデータ処理活動をヒアリングし、収集・処理するデータ項目、目的、共有先・移転先、法的根拠を洗い出します。
アウトプット例:委託先管理台帳、契約ギャップリスト、データライフサイクル図、処理活動リスト
Step 2
DPA・SCCsの起案・整備
欧州の法律家がDPAを起案・レビューし、2021年改定版SCCsの選定・カスタマイズ、EU-日本間の十分性認定を活用した移転スキームの設計、各ベンダーへの契約締結対応サポートを行います。
アウトプット例:DPAテンプレート、SCCs実装パッケージ
Step 3
RoPAの作成・更新ルール策定
GDPRが定める記載要件を満たしたRoPA(GDPR第30条対応)を作成・整備。各処理活動の法的根拠・保存期間・移転先等を記載し、社内レビューとアップデートルールを策定します。
アウトプット例:RoPA完成版、RoPA更新・管理ガイドライン
Step 4
DSR対応体制の構築
対応すべき権利の種類(アクセス・削除・訂正・移転等)の整理、受付から対応完了までの社内フロー設計、本人確認プロセスの設計、対応記録の管理方法の整備を行います。
アウトプット例:DSR対応フローチャート、対応テンプレート一式、対応記録管理フォーマット
Step 5
定着・継続運用支
担当者向けトレーニング・マニュアル作成、委託先管理プロセスの設計、定期的なRoPA見直しフロー、契約更新トリガーの設定、規制動向に応じたアップデートを行い、仕組みを組織に根付かせます。
アウトプット例:担当者向けDSR対応マニュアル、委託先管理フロー、RoPA定期見直しチェックリスト
一般的な契約支援と当社のアプローチの違い
項目
一般的な契約支援
プライバシーテックのアプローチ
起案体制
日本の法務担当がひな型を翻訳・流用
欧州の法律家がビジネスモデルに即して直接起案
対応範囲
DPA単体の作成
SCCs・十分性認定・TIA(移転影響評価)を含む移転フレームワーク全体を設計
管理範囲
契約締結で完了
ベンダーリスト整理からサプライチェーン全体の継続管理まで
当社の強み
欧州の法律家が直接起案
監督機関が実際の監査でどこを見るか・どのような記録や契約が求められるかを熟知した欧州パートナーとともに、ひな型の流用ではない、実効性のある契約書・記録を整備します。
現場が迷わず動ける業務フローに落とし込む
法的要件の充足だけでなく、マーケティング・エンジニアリング・法務など複数部署が関わるDSR対応や委託先管理を、実際の担当者が迷わず動ける手順に整理します。
「作って終わり」にしない体制構築
RoPA・DSR・契約管理いずれも、一度整備すれば完了というものではありません。サービスの変化や法改正に合わせて継続的に更新できる仕組み(PDCAサイクル)の導入まで伴走します。
導入メリット
法的リスクの最小化
GDPR違反・データ漏洩時の責任範囲が契約上明確になり、制裁金・損害賠償リスクを低減できる。
データ移転の適法性確保
移転スキームが整備されることで、EU域外でのデータ処理を安心して継続できる。
契約交渉における信頼性の向上
欧州基準で整備された契約書類により、欧州企業との取引において対等な交渉が可能になる。
よくあるご質問
Q. 自社で対応できないのでしょうか?
A. テンプレートを用いた対応は可能ですが、SCCs/DPAは「締結すれば終わり」ではなく、自社のデータフロー・委託内容に合わせたカスタマイズと、移転影響評価(TIA)等の補足措置が求められます。また、相手方(欧州企業やグローバルベンダー)から提示される契約書のレビューには、現地の法的要件や監督機関の最新動向に関する知見が不可欠です。形式的に締結しただけでは、有事の際に「適切な措置を講じた」と認められない可能性があります。
Q. 対応しないとどうなりますか?
A. GDPRに基づく制裁金は、最大で全世界年間売上高の4%または2,000万ユーロのいずれか高い方が上限です。ただし、制裁金だけが問題ではありません。DPA未締結のまま委託を続けた場合、データ漏洩時に責任の所在が不明確になり、欧州の取引先からの信頼喪失や契約打ち切りにつながるリスクがあります。また、欧州の監督機関は近年、SCCsの不備を理由としたデータ移転の差し止め命令を出した事例もあり、事業継続そのものに影響が及ぶ可能性があります。
Q. 今すぐ対応する必要がありますか?
A. すでにEU居住者の個人データを取り扱っている場合は、GDPRの義務はリアルタイムで適用されており、「いつかやる」ではなく「すでに必要」な状態です。特に、欧州企業との新規取引や、既存取引先からの契約更新のタイミングでDPA/SCCsの整備を求められるケースが増えています。取引先から要請が来てから慌てて対応するよりも、事前に整備しておくことで、契約交渉を有利かつスムーズに進めることができます。
パートナー
本サービスは以下のパートナーとの共同で提供させていただくことがあります。
principledrive株式会社
2023年設立。データ・AI領域のプライバシー・ガバナンスを中核に、リーガル的視点から企業の持続的な価値向上を支援するプロフェッショナルファーム。代表の渡邊満久弁護士はPwC弁護士法人等を経て同社を創設。個人データ保護やAIガバナンスの「実質化」──マクロな概念を各企業の事業や意思決定の文脈で判断軸に落とし込むこと──を手法の中核に据え、経営層のパートナーとして事業組成からガバナンス構築までを一貫して支援しています。
Prighter Group(オーストリア)
2018年GDPR施行をきっかけに設立。母体であるオーストリアの法律事務所iuro Rechtsanwälte GmbHの100%子会社として、法的専門知識と先進的テクノロジーを融合したコンプライアンスソリューションを提供。EU/UK/スイス/トルコに代理人拠点を持ち、DuckDuckGo、vevo、The Japan Times等のグローバル企業にサービスを提供しています。
ご注意事項 本サービスは、法令に基づく法律事務(法律相談・法的判断・法的文書の作成等)を提供するものではありません。法的判断が必要な事項については、提携する弁護士・法律事務所と連携のうえ対応いたします。また、本サービスの成果物は、実施施策の適法性を証明するものではございません。法的要件への準拠の最終確認は、お客様ご自身の責任において行っていただきますようお願いいたします。
お問い合わせ・資料ダウンロード
人手不足のガバナンス業務をAIで自動化する。
プライバシーテックは、人手不足のガバナンス業務をAIで自動化します。最新のデータ利活用時におけるプライバシー保護技術に関して、資料ダウンロードも可能です。是非ご覧ください。
過去の支援実績
支援実績
最新資料
PrivacyTech GRoW-VA
散在する情報を、複利を育むIntelligenceに変え、AI・データガバナンスの実行を支援・自動化。AIとデータガバナンス領域の専門性を深いレベルで統合し、顧客ごとにカスタマイズされた出力をスピーディーに実現できるプラットフォームです。
PlayBook開発支援サービス
AI・データ活用の原理原則・ルールをまとめた、PlayBook(プレイブック)は急速に進化する技術を乗りこなしていくため、現場の従業員が課題を発見し、対策を導くための手順・戦略・ノウハウをまとめた指南書です。
PIAとはなにか? (策定と運用)
Privacy Impact Assessment (Data Protection Impact Assessment)プライバシー影響評価(データ保護影響評価)に関する概要説明、及びプライバシーへの配慮を前提とした開発モデル「プライバシー・バイ・デザイン(PbD)」について記載しております。
プライバシーポリシー改定の進め方
AIや3rdParty、Cookieレスへの対応など、従来の個人情報管理だけではない、利用者への説明責任や選択機会の提供の対応が求められています。そういった環境変化に対応するための戦略的プライバシーポリシー改定の方法を記載しております。
プライバシーセンター新規開設の進め方
Webサイトやアプリのアクセス時に突如出現する「同意取得バナー」や、難解で大量の文字で埋め尽くされた規約で、生活者(ユーザー)から同意取得をすればよいという対応は、既に形骸化しており、もはや時代にそぐわないものになっています。生活者との信頼の醸成に繋がるプライバシーの同意取得の方法・考え方を記載しております。
改正電気通信事業法 外部送信規律の対応事例
2023年6月16日から改正電気通信事業法が施行されることになり、「外部送信規律」が新たに追加されました。これは、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを義務化する法律です。この対応を怠ると、行政指導や業務改善命令、従わない場合は200万円以下の罰金が課されるため、他社事例を元にこの規律を学んでいただける資料を作成しております。
