GDPR関連資格をとろう！QAで学ぶGDPRとCookie規制(72): 処理の外部委託(Outsourcing)
2023/01/15   情報セキュリティ, 個人情報保護法, 外国法

今回は, 本シリーズの最終回で, 個人データの処理の外部委託(Outsourcing)について解説します。2020年2月1日から毎月2回記事を公開してきた本シリーズも, 3年をかけ, ついに, 今回の第72回で無事に完結させることができました。本シリーズは, そのタイトルにもある「GDPR関連資格」(具体的にはCIPP/E)取得を目指す方々やGDPR・ePrivacy指令に関心のある方々を主な想定読者として執筆してきましたが, これらの方々のために少しでもお役に立てたなら幸いです。また, 本シリーズの記事を一度でもご覧いただいた方々に感謝いたします。

【目　　次】 (各箇所をクリックすると該当箇所にジャンプします) Q1:処理の外部委託(Outsourcing)とは? Q2:処理の外部委託(Outsourcing)の当事者間の関係は? Q3:GDPR上の処理者の義務は? Q4: 委託先が管理者とみなされる場合がある? Q5: 処理の外部委託(Outsourcing)に関するGDPRの規定内容は? Q6: GDPR第28条に基づく個人データの処理委託用のSCCは?

Q1:処理の外部委託(Outsourcing)とは?

A1: 個人データの処理を第三者に外部委託することです。

【解　説】

欧州において, 初期の個人データ保護法は, コンピュータを利用したデータ処理の増大に伴い制定されました。

その後, 自らはコンピュータを利用したデータ処理のリソース・能力がない企業のニーズに応えるため, サービスビューロー(service bureau)等と呼ばれるサービスの提供者が登場し, 現在では, 多くの企業が個人データを含むデータの処理を外部に委託しています。

GDPRにおいては, このような, 企業がその個人データの処理を外部に委託する場合においても個人データの保護を図るため, 以下に解説するような様々な規定を置いています。

page top

Q2:処理の外部委託(Outsourcing)の当事者間の関係は?

A2: 個人データの処理の外部委託においては, 原則的には, その委託元が管理者に, その委託を受けるデータ処理サービスの提供者が処理者に該当します。

【解　説】

GDPR上, 「管理者」(controller)とは, 単独でまたは他と共同して, 個人データの処理の目的および手段(means)を決定する者を意味し(4(7)), 「処理者」(processor)とは, 管理者のためまたは管理者に代わり(on behalf of)個人データを処理する者を意味します(4(8))。

この区別は重要です。何故なら, GDPR上, 個人データ保護の責任を第一に負うのは, 処理者ではなく, 管理者だからです。

個人データの処理の外部委託においては, 原則的には, その委託元が管理者に, その委託を受けるデータ処理サービスの提供者が処理者に該当します。

page top

Q3:GDPR上の処理者の義務は?

A3: GDPR第28条では, 管理者が個人データの処理を外部委託する場合にその委託先である処理者との間で所定の契約を締結すべきことを義務付けていますが, 処理者は, 管理者との処理委託契約上の義務の他, GDPR上, 次のような義務を負います。

(a)EU域内における代理人の指名

処理者は, EU域内で設立されていない(本社等がない)場合でも, 処理者による個人データの処理が, 第3条第2項によりGDPRの域外適用を受ける場合には, EU域内において処理者のGDPR上の義務に関し処理者を代理する者(representative)を指定しなければならない(27,4(17))。

(b)処理の記録

処理者(およびそのEU域内代理人)は, 管理者に代わり行う個人データの処理について所定の事項に関し記録を書面(電子的形態を含む)で作成しこれを維持しなければならない(30(2),(3))。

処理者(およびそのEU域内代理人)は, 監督機関の要求に応じ記録を提出しなければならない(30(4))。

(c)監督機関への協力義務

処理者(およびそのEU域内代理人)は, 監督機関の職務遂行に関し, その要求に応じ, 協力しなければならない(31)。

(d)個人データのセキュリティーに関する義務

管理者だけでなく, 処理者も, リスクに応じ, 技術水準等を考慮し, 適切な技術的・組織的措置を講じなければならない(32(1),(2))。

(e)個人データ侵害通知義務

処理者は, 個人データ侵害認識後, 不当に遅滞することなく管理者にその内容を通知しなければならない(33(2))。

(f)DPO選任義務

管理者だけでなく, 処理者も, 所定の場合, データ保護監督者 (data protection officer：DPO) を選任しなければならない(37(1))。

また, DPOを選任した場合は, その連絡先の公表・監督機関への通知(37(7))およびDPOの地位・権限等に関する所定の義務を履行しなければならない (38(1)～(5))

(g)域外移転に関する義務

処理者は, 個人データのEU域外への移転に関し, GDPR第5章に定める域外移転規制を遵守しなければならない。

(h)GDPR違反に関する責任

管理者だけでなく, 処理者も, 自身のGDPR違反に関し, 第82条(GDPR違反に対する損害賠償責任), 第83条(行政制裁金)および第84条(行政制裁金以外の加盟国による制裁)の規定に基づく責任を負う。

page top

Q4: 委託先が管理者とみなされる場合がある?

A4: 個人データの処理の委託先が本来の処理者としての役割を超えて, 個人データの処理の目的, または, 処理の手段の本質的手段を決定する場合には, その処理に関し管理者とみなされる場合があります。

【解　説】

個人データの処理の外部委託では, 委託先がデータ処理に関し委託元よりも優れた専門知識・能力を有していることが通常なので, 委託先がその処理内容の決定上積極的な役割を果たすことが一般的です。

これに関連し, WP29は, データ保護指令に関するものですが, 管理者と処理者の概念に関する意見書^[1]を公表しています(同指令とGDPRにおける両者の定義は基本的に同じ)。

同意見書によれば, 処理の「目的」を決定する者は常に管理者に該当するが, 処理の「手段」(処理の技術的方法に限らない)についてはその本質的要素(essential elements of the means)(例：処理対象データ・処理期間・データにアクセス可能な者等)を決定する場合に管理者に該当するとされています(III, 1(b))。

従って, 個人データの処理の委託先が本来の処理者としての役割を超えて, 個人データの処理の目的, または, 処理の手段の本質的手段を決定する場合には, その処理に関し管理者とみなされることになります。

page top

Q5: 処理の外部委託(Outsourcing)に関するGDPRの規定内容は?

A5: 既に第40回のQ3で解説した通り, GDPR上, 以下のような規定があります。

(1) 委託先(処理者)選定の条件

管理者は, GDPRの遵守について「十分な保証」(sufficient guarantees)をすることができる者(処理者)でなければ個人データの処理を委託してはなりません(28(1))。

(2) 再委託の制限

処理者は, 管理者の書面による事前承諾なく, 第三者に処理を再委託してはなりません。

処理者は, [再委託について]管理者から書面による包括的承諾(general written authorization)を得た場合であっても, 再委託先の追加・変更については, 事前に管理者に通知しかつこれを拒否する機会を与えなければなりません(28(2))。

(3) 委託の法的形式と内容

処理者による個人データの処理の内容および条件は, 書面(電子的形態を含む)による契約(またはEUもしくは加盟国の法令に基づく他の法律行為)で定めなければなりません。この契約等においては, 以下の事項を定めなければなりません(28(3),(9))。

(a)以下の委託の基本的内容

①処理の対象・期間

②処理の内容・目的

③個人データとデータ主体のカテゴリー

③管理者の権利および義務

(b)以下に定める処理者の義務

①管理者からの書面による指示にのみ基づいて個人データの処理(EU域外への移転を含む)を行うこと。

②処理に従事する従業員等が秘密保持に合意している(かまたは法律上当該義務を負うようにする)こと。

③処理のセキュリティーに関しGDPR上義務付けられている全ての措置(32)を講じること。

④処理者から第三者への再委託に関しては上記の事前承諾および後記の再委託契約の条件を遵守すること。

⑤管理者による以下のGDPR上の義務履行に関し, 管理者に協力すること。

・データ主体の権利行使への対応(12～22)

・処理のセキュリティー(32)

・個人データ侵害通知(33,34)

・データ保護影響評価(35)

・監督機関との事前協議(36) 。

⑥委託終了後, 全ての個人データおよびそのコピーを管理者の選択により消去または返却すること。

⑦上記義務を遵守していること証明するため, 管理者に必要情報を提供し, 管理者(または管理者が任命した監査人)による監査(audits)を受入れこれに協力すること。

⑧管理者からの指示がGDPRまたは EU もしくは加盟国の法令に違反すると判断した場合, 直ちに管理者にその旨通知すること。

(4) 再委託の法的形式と内容

再委託の法的形式と内容は, 管理者と処理者間の委託契約等と同様としなければなりません(28(4))。

(5) 「十分な保証」の証明

管理者が個人データの処理を委託しようとする者が, GDPRの遵守について「十分な保証」をすることができる者であるか否かについては, 処理者による行動規範(40)／データ保護認証・シールおよびマーク認定制度(42)の遵守を, 「十分な保証」を証明する一要素として考慮することができます(28(5))。

(6) 委託(再委託)の標準契約条項(SCC)

欧州委員会および監督機関は, 個人データの処理の委託または再委託の標準契約条項(SCC)を定めることができます(28(7),(8))。

(7) 無断処理の禁止

処理者, および, 管理者または処理者の下で業務を行う者であって個人データへのアクセス権限を有する者は, 管理者からの指示によらず当該個人データを処理してはならないと定められています。但し, EUまたは加盟国の法令により別段の定めがある場合を除きます(以上29)。

page top

Q6: GDPR第28条に基づく個人データの処理委託用のSCCは?

A6: 上記Q5(6)のGDPR第28条に基づく処理委託用のSCCが, 2021年6月4日に欧州委員会から公表されました。また, EU域内の管理者がEU域外の処理者に個人データの処理を委託する場合は, 同日に公表された, 個人データのEU域外への移転用SCCを使うことができます。

いずれのSCCについても, 筆者が作成した, 原文併記の和訳があり, こちらから入手できます。

page top

本シリーズは, 以上で終了です。

 

「GDPR関連資格をとろう！ Q&Aで学ぶGDPRとCookie規制」シリーズ：過去の回

 

^[2]

 

【注】　　　　　　　　　　　　　　　　　　　　　　　　　　　　　

 

^[1] 【WP29管理者と処理者の概念に関する意見書】 Opinion 1/2010 on the concepts of "controller" and "processor" Adopted on 16 February 2010　- I.1.a)

[2]

＝＝＝＝＝＝＝＝＝＝

【免責条項】

本コラムは筆者の経験にもとづく私見を含むものです。本コラムに関連し発生し得る一切の損害などについて当社および筆者は責任を負いません。実際の業務においては,自己責任の下,必要に応じ適宜弁護士のアドバイスを仰ぐなどしてご対応ください。

 

【筆者プロフィール】 浅井 敏雄  (あさい としお) 企業法務関連の研究を行うUniLaw企業法務研究所代表／一般社団法人GBL研究所理事 1978年東北大学法学部卒業。1978年から2017年8月まで企業法務に従事。法務・知的財産部門の責任者を米系(コンピュータ関連)・日本(データ関連)・仏系(ブランド関連)の三社で歴任。元弁理士(現在は非登録)。2003年Temple University Law School (東京校) Certificate of American Law Study取得。GBL研究所理事, 国際商事研究学会会員, 国際取引法学会会員, IAPP (International Association of Privacy Professionals) 会員, CIPP/E  (Certified Information Privacy Professional/Europe) 【発表論文・書籍一覧】 https://www.theunilaw2.com/