DPAチェックリスト

データ処理契約（DPA）は、ベンダー（処理者）が顧客（管理者）に代わって個人データをどのように取り扱うかを規定する契約の補足書類です。GDPR第28条、英国データ保護法の同等の義務、CCPA/CPRA、ブラジルのLGPD、その他ほとんどの近代的なプライバシー制度により要求されます。DPAは取引チームが気にするドキュメントではありませんが、ベンダー侵害時に顧客データが露出するかどうかを決める文書です。

DPAが必要な場合

以下のいずれかに該当するベンダーにはDPAが必要です。

• お客様に代わって個人データを保存するベンダー（CRM、サポートデスク、マーケティングオートメーション、アナリティクス）
• お客様に代わって個人データを処理するベンダー（エンリッチメントベンダー、データブローカー、AIサービス）
• 下請処理者関係を通じて個人データにアクセスするベンダー（クラウドインフラ、サブベンダー）

個人データに触れないベンダー（自社の従業員・ビジネスデータのみを処理するほとんどの社内ツールベンダー）にはDPAは不要です——ただし従業員データ自体が個人データですので、ほとんどのB2Bベンダーは結局DPAが必要になります。

ベンダーが標準MSAと「リクエストに応じてDPAを提供可能」の両方を提供している場合はリクエストしてください。DPAがない場合、それはプライバシー成熟度に関する警告サインです。

12項目のDPAチェックリスト

署名するすべてのDPAは以下をカバーしている必要があります。

ベンダーのテンプレートは通常、下請処理者の通知（事前警告なし、異議申し立て権なし）、国際的な移転（古い移転メカニズムへの依存）、侵害通知（曖昧なタイミング、曖昧なチャネル）で失敗します。

運用化の方法

1. すべてのMSAに添付する標準DPAテンプレート。 ベンダーのDPAから交渉しないでください——自社の標準DPAをデフォルトとして提示してください。ほとんどのベンダーはそれを受け入れます。
2. ベンダーが管理する下請処理者リスト。 下請処理者変更通知を購読します。ベンダー管理カレンダーにレビュー用として追加します。
3. 越境移転監査。 年に1回、どのベンダーがEEA外でEU/UKの個人データを処理しているかを監査し、移転メカニズムが最新であることを確認します（シュレムスII/データプライバシーフレームワークの変更後は特に）。
4. 侵害通知訓練。 年に1回、ベンダー侵害通知をシミュレートし、チームの対応プロセスを確認します——誰が誰に通知するか、どの時間枠で、どのような規制上の影響があるか。
5. AIベンダーDPAの精査。 顧客データで学習するAIベンダーは特別なケースです——DPAがトレーニング利用を明示的に除外していること、またはオプトアウト/非学習モードが契約上保証されていることを確認してください。

よくある落とし穴

• 交渉なしにベンダーのDPAを受け入れる。 ベンダーのDPAはベンダーの利益のために書かれています。標準的な顧客譲歩は定型文に隠れています。
• 下請処理者のフローダウンを無視する。 ベンダーの下請処理者があなたのデータを処理します——フローダウン義務が重要です。
• 古い移転メカニズム。 標準契約条項は2021年に改定されました。一部のレガシーDPAはまだ無効になった古いSCCを参照しています。
• AIトレーニングの文言。 多くのAIベンダーDPAはデフォルトで「サービス改善のために顧客データを使用する場合があります」となっています。明示的な非学習に交渉するか、購入しているのが非学習エンタープライズティアであることを確認してください。
• 署名したDPAの監査ログがない。 規制上の照会で「ベンダーXはデータ主体Yの情報を処理していますか？」と聞かれたとき、数ヶ月ではなく数日で回答できる必要があります。

関連

• MSA赤線ルーブリック — DPAが添付される親契約
• ベンダーデューデリジェンスワークフロー — より広いベンダーオンボーディングプロセス
• 契約レビューSOP — DPAレビューティアを管理するプロセス