個人データの処理委託契約の仏監督機関(CNIL)の案

EUの一般データ保護規則（GDPR）第28条によれば、GDPRの適用を受ける事業者(「管理者」)は、個人データの処理を第三者に委託する場合、十分なGDPR遵守能力がある者のみ委託先(「処理者」)として選定し、かつ同条に定める条件を満たす処理委託契約を締結しなければなりません (28(1), (2), (9)) 。この処理委託契約の公式のひな型はまだありませんが、2017年9月にフランスのデータ保護機関であるCNILが公表した案があります。従って、当面は、この案を用いるのが適当と思われます。そこで、参考までにこの案の日本語訳（私訳）をこのページの末尾に掲載致しましたので自由にご利用下さい (但し、訳の正確性については併記されている原文を参照して下さい)。

なお、例えば、EU域内の日本企業の子会社が日本の親会社に個人データの処理を委託するような場合は、EU域内からEU域外への個人データ移転を伴うため、従来は、欧州委員会が指定する標準契約条項(Standard Contractual Clauses)(SCC)(対処理者用)が締結されることが一般的でした (GDPR44～46)。しかし、日本とEUの間では、2019年1月、相互に個人データの保護の十分性認定がなされました。このため、SCCの締結は義務ではなくなりましたが、この十分性認定は、企業がGDPR第28条に定めるデータ処理委託契約を締結する義務を免除するものではありません。このことは、例えば以下のURLで指摘されています。また、EU域内の管理者がEU域内の処理者に個人データの処理を委託する場合は当然に同条により処理委託契約が必要であるのに、十分性認定を得たとはいえ、EU域外である日本の処理者に委託する場合は処理委託契約が免除されることは不合理であることから当然であると思われます。

従って、今後EU域内の企業からEU域外の企業に個人データの処理を委託する場合には主に次の二つの選択肢があることになり、2.を選択する場合は、このCNIL案が参考になります。但し、CNIL案はEU域内の管理者からEU域内の処理者への委託を前提に作成されているため、その部分(例えばIV-2)については適宜修正が必要です。

1. 従来通り、SCC（対処理者用）を締結する。
2. SCCに代え、独自に作成する処理委託契約を締結する。

（＊）なお、上記と反対に、日本の企業がEU域内の企業に個人データを、その処理委託のため移転する場合も、日本の個人情報保護法第22条の委託先監督義務を果たすためには個人データ処理委託契約の締結は最低限必要なことであり、これは日欧相互十分性認定後でも変わりませんから、依然として同契約の締結または維持が必要と思われます。

<CNIL処理委託契約案>

以下の”General Data Protection Regulation - GUIDE FOR PROCESSORS (SEPTEMBER 2017 EDITION)”に含まれています。https://www.cnil.fr/en/general-data-protection-regulation-guide-assist-processors

（参考）<十分性認定後のGDPR第28条データ処理契約締結の必要性>

DLA Piper (世界最大級の法律事務所とされています) - Patrick Van Eecke and Anne-Gabrielle Haie "EU & JAPAN: Free flow of personal data from EU to Japan soon possible" July 18 2018 https://www.technologyslegaledge.com/2018/07/eu-japan-free-flow-of-personal-data-from-eu-to-japan-soon-possible/

末尾のCNIL案の訳は、以下の書籍からの抜粋です。CNIL案のより詳しい説明、SCCの和訳、GDPR全般などについては以下の書籍をご覧ください。

仏CNIL処理委託契約条項案

（原文および和訳）

Example of sub-contracting contractual clauses

処理委託契約条項の例

[The example of sub-contracting clauses below is provided pending the adoption of standard contractual clauses in the meaning of Article 28.8 of the GDPR. These examples of clauses can be inserted into your contracts. They must be tailored and specified according to the sub-contracting service concerned. Please note that they do not constitute a subcontract in themselves. 以下の処理委託契約条項例は、GDPR第28条第8項[監督機関は、処理委託契約または再委託契約について、第63条の一貫性制度(Consistency mechanism)に従い標準契約条項を採択することができる]に定める標準契約条項の採択手続係属中のものである。これら条項は、管理者および処理者間の処理委託等に関する契約の一部として挿入することができる。但し、以下の条項例は、関係する委託業務の内容に応じて必要な修正がなされなければならない。なお、これらの条項のみでは委託は成立しない。]

[…], located in […] and represented by […] (hereinafter, "the controller")

of the one part,

AND

[…], located in […] and represented by […]

(hereinafter, "the processor")

of the other part,

[ ]に所在する[ ]（以下「管理者」という）および[ ]に所在する[ ]（以下「処理者」という）は、次の通り契約する。

I. Purpose 目 的

The purpose of these clauses is to define the conditions in which the processor undertakes to carry out, on the controller's behalf, the personal data processing operations defined below. 本契約（注：直訳は「本契約条項」であるが以下単に「本契約」とする）は、処理者が管理者に代り以下に定義する個人データの処理業務を行う条件を定めることを目的とする。

As part of their contractual relations, the parties shall undertake to comply with the applicable regulations on personal data processing and, in particular, Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 which is applicable from 25 May 2018 (hereinafter "the General Data Protection Regulation"). 両当事者は、本契約履行上、各当事者に適用される個人データ保護法令、特に、General Data Protection Regulation（以下「GDPR」という）に従うものとする。

II. Description of the processing being subcontracted out 委託される処理の内容

The processor is authorised to process, on behalf of the controller, the necessary personal data for providing the following service(s) [...]. 処理者は、管理者に代わり、以下のサービスを提供するために必要な個人データを処理する権限を与えられる。

[ ]

The nature of operations carried out on the data is […] . 個人データ処理業務の内容は以下の通りとする。

[ ]

The purpose(s) of the processing is(are) [...]. 処理の目的（以下「処理目的」という）は以下の通りとする。

[ ]

The personal data processed are […] . 処理されるべき個人データは以下の通りとする。

[ ]

The categories of data subjects are […]. 対象となるデータ主体のカテゴリーは以下の通りとする。

[ ]

To perform the service covered herein, the controller shall provide the processor with the following necessary information […]. 本契約に定める業務遂行のため、管理者は、以下の必要情報を提供しなければならない。

[ ]

III. Duration of the contract 契約期間

This contract enters into force on […] for a duration of […] . 本契約は[ ]に締結され[ ]の期間中有効とする。

IV. Processor's obligations with respect to the controller 処理者の管理者に対する義務

The processor shall undertake to: 処理者は、以下の義務を負う。

1. process the data solely for the purpose(s) subject to the sub-contracting 委託に従い、処理目的のためにのみ個人データを処理すること。

2. process the data in accordance with the documented instructions from the controller appended hereto. 本契約別紙に記載されている管理者の書面による指示に従い個人データを処理すること。

Where the processor considers that an instruction infringes the Genera Data Protection Regulation or of any other legal provision of the Union or of Member States bearing on data protection, it shall immediately inform the controller thereof. 処理者は、当該指示がGDPRまたはEUもしくはEU加盟国の個人データ保護関連法令に違反すると判断した場合、直ちにその旨管理者に知らせるものとする。

Moreover, where the processor is obliged to transfer personal data to a third country or an international organisation, under Union law or Member State law to which the processor is subject, the processor shall inform the controller of that legal requirement before processing, unless that law prohibits such information on important grounds of public interest 更に、処理者は、処理者に適用があるEUまたはEU加盟国の法令に基づき、個人データを第三国または国際機関に移転する義務を負う場合、個人データの処理を行う前に、当該義務内容を管理者に知らせなければならない。但し、当該法令が公益上の重要な根拠に基づきこれを禁じている場合を除く。

3. guarantee the confidentiality of personal data processed hereunder 本契約に基づき処理される個人データの秘密保持を保証すること。

4. ensure that the persons authorised to process the personal data hereunder: 処理者が本契約に基づき個人データを処理する権限を与える者が以下の条件を満たさすようにすること。

・ have committed themselves to confidentiality or are under an appropriate statutory obligation of confidentiality秘密保持義務に合意しているかまたは法律上適切な内容の秘密保持義務を負っていること

・ receive the appropriate personal data protection training 個人データ保護に関する適切な研修を受けていること

5. take into consideration, in terms of its tools, products, applications or services, the principles of data protection by design and by default 処理者が管理者に提供するツール、製品またはサービスに関し、企画・設計段階からの・標準設定でのデータ保護原則を考慮すること

6. Sub-contracting 再委託

Choose one of the following two options 以下のいずれかを選択すること

【Option A (general authorisation) オプションA（再委託の包括承認）】

The processor may engage another processor (hereinafter "the sub-processor") to conduct specific processing activities. 処理者は、処理業務の特定の一部を他の者（以下「再処理者」という）に再委託することができるものとする。

In this case, the processor shall inform the controller, in writing beforehand, of any intended changes concerning the addition or replacement of other processors. この場合、処理者は、再処理者の追加または交替に関し、書面で事前に管理者に通知しなければならない。

This information must clearly indicate which processing activities are being subcontracted out, the name and contact details of the sub-processor and the dates of the subcontract. この通知においては、再委託する処理業務、再委託予定者の名称および連絡先の詳細ならびに再委託予定日を明示しなければならない。

The controller has a minimum timeframe of […] from the date on which it receives said information to object thereto. 管理者は、処理者からの通知受領後最低限[ ]以上の期間、当該再委託に対し反対する権利を与えられるものとする。

Such sub-contracting is only possible where the controller has not objected thereto within the agreed timeframe. この再委託は、上記期間中に管理者が反対しなかった場合のみ行うことができるものとする。

【Option B (specific authorisation) オプションB（再委託の個別承認）】

The processor is authorised to engage the entity […] (hereinafter the "sub-processor") to carry out the following processing activities: [… ] 処理者は、[ ]（以下「再処理者」という）に以下の処理業務を再委託できるものとする。

[ ]

Where the processor recruits other sub-processors, it must obtain the prior, specific, written authorisation of the controller. 処理者は、上記以外の者に処理を再委託する場合、管理者から事前かつ個別に書面による承認を得なければならない。

【Irrespective of the option (general or specific authorisation) 上記両オプションに共通の条項】

The sub-processor is obliged to comply with the obligations hereunder on behalf of and on instructions from the controller. 再処理者は、管理者に代わりかつ管理者からの指示に基づき、本契約に定める義務を遵守する義務を負う。

It is the initial processor's responsibility to ensure that the sub-processor provides the same sufficient guarantees to implement appropriate technical and organisational measures in such a manner that processing meets the requirements of the General Data Protection Regulation. 処理者は、再処理者がGDPRに定める義務を遵守するための適切な技術上および組織上の措置を講じていることを、処理者と同様に十分に（確実に）保証させなければならない。

Where the sub-processor fails to fulfil its data protection obligations, the initial processor remains fully liable with regard to the controller for the sub-processor's performance of its obligations. 処理者は、再処理者が個人データ保護に関する義務に違反した場合、管理者に対し全ての責任を負うものとする。

7. Data subjects' right to information データ主体の情報請求権

Choose one of the following two options 以下のいずれかを選択すること

【Option A オプションA】

It is the controller's responsibility to inform the data subjects concerned by the processing operations at the time data are being collected. 個人データ取得の際におけるデータ主体に対する情報提供は、管理者の責任において行うものとする。

【Option B オプションB】

At the time data are being collected, the processor must provide the data subjects concerned by the processing operations with information about the data processing it carries out. 処理者は、個人データ取得の際、データ主体に対し、処理者が行う個人データの処理について、必要な情報を提供しなければならない。

The wording and format of the information must be agreed with the controller prior to collecting the data. 当該情報の記述方法およびフォーマットについては、個人データ取得前に、両当事者間で合意するものとする。

8. Exercise of data subjects' rights データ主体による権利行使

The processor shall assist the controller, insofar as this is possible, for the fulfilment of its obligation to respond to requests for exercising the data subject's rights: right of access, to rectification, erasure and to object, right to restriction of processing, right to data portability, right not to be subject to an automated individual decision (including profiling). 処理者は、次の、データ主体の権利行使への対応に関し、管理者が当該対応義務を履行できるよう、可能な範囲で協力するものとする： アクセス請求権、訂正請求権、消去請求権、異議申立権、処理制限請求権、データ・ポータビリティーの権利、自動意思決定（プロファイリングを含む）に服しない権利

Choose one of the following two options 以下のいずれかを選択すること

【Option A オプションA】

Where the data subjects submit requests to the processor to exercise their rights, the processor must forward these requests as soon as they are received by email to […] (indicate a contact within the controller's establishment). 処理者は、データ主体が処理者に対し権利行使した場合、データ主体の請求を受領後可能な限り早期に、[ ]（管理者内の担当窓口を記載）に電子メールで通知するものとする。

【Option B オプション B】

The processor must respond, in the name and on behalf of the controller within the periods referred to by the General Data Protection Regulation, to data subjects' requests to exercise their rights, with regard to data covered by the sub-contracting provided for hereunder. 処理者は、処理者が本契約に基づき処理する個人データについて、データ主体から権利行使の請求を受けた場合、管理者の名義で管理者に代わり、GDPRに定める期間内にこれに対応するものとする。

9. Notification of personal data breaches 個人データ侵害通知

The processor shall notify the controller of any personal data breach not later than […] hours after having become aware of it and via the following means […]. 処理者は、全ての個人データ侵害を、当該侵害の認識後[ ]時間以内に次の通知手段で管理者に通知しなければならない。

[ ]

Said notification shall be sent along with any necessary documentation to enable the controller, where necessary, to notify this breach to the competent supervisory authority. 処理者は、当該通知とともに、必要な場合、管理者が管轄監督機関に当該侵害を通知することができるよう必要情報を管理者に提供しなければならない。

【Possible option 選択可能なオプション】

Once the controller has agreed, the processor shall notify the competent supervisory authority (the CNIL), in the name and on behalf of the controller, of the personal data breaches without undue delay and, where feasible, not later than 72 hours after having become aware of them, unless the breach in question is unlikely to result in a risk to the rights and freedoms of natural persons. 管理者が承認した場合、処理者は、管理者の名義で管理者に代り、個人データ侵害を、不当な遅滞なくかつ可能な場合には侵害認識後72時間以内に、管轄監督機関（CNIL）に通知するものとする。但し、当該侵害が個人の権利または自由に対するリスクを生じさせる可能性が低い場合を除く。

The notification shall at least: 上記の通知は、少なくとも以下の条件を満たさなければならない。

・ describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned; 個人データ侵害の内容（可能な範囲で、関係するデータ主体のカテゴリーおよびその概数ならびに関係する個人データのカテゴリーおよびその概数を含む）が記載されていること

・ communicate the name and contact details of the data protection officer or other contact point where more information can be obtained; 追加の情報が個人データ保護監督者(DPO)または他の担当窓口から得られる場合には、その氏名・名称および連絡先の詳細が記載されていること

・ describe the likely consequences of the personal data breach; 当該個人データ侵害により生ずると予想される影響（被害）が記載されていること

・ describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects. 個人データ侵害に対処するため、管理者により既にとられた措置または措置の提案（適切な場合、被害軽減策を含む）が記載されていること

Where, and in so far as, it is not possible to provide the information at the same time, the information may be provided in phases without undue further delay. 必要な情報を同時に提供することができない場合、その限りにおいて、情報は、遅滞なく段階的に提供することができる。

Once the controller has agreed, the processor shall communicate, in the name and on behalf of the controller, the personal data breach to the data subject without undue delay where said breach is likely to result in a high risk to the rights and freedoms of natural persons. 個人データ侵害により個人の権利または自由に対する高度のリスクが生ずる可能性がある場合、処理者は、管理者が同意したときは、管理者の名義で管理者に代わり、当該個人データ侵害をデータ主体に遅滞なく通知するものとする。

The communication to the data subject shall describe in clear and plain language the nature of the personal data breach and at least データ主体に対する個人データ侵害の通知は、明確かつ平易な言葉で侵害の内容を記載するものとし、少なくとも以下の条件を満たさなければならない。

・ describe the nature of the personal data breach including where possible, the categories and approximate number of data subjects concerned and the categories and approximate number of personal data records concerned; 個人データ侵害の内容（可能な範囲で、関係するデータ主体のカテゴリーおよびその概数ならびに関係する個人データのカテゴリーおよびその概数を含む）が記載されていること

・ communicate the name and contact details of the data protection officer or other contact point where more information can be obtained; 追加の情報が個人データ保護監督者(DPO)または他の担当窓口から得られる場合には、その氏名・名称および連絡先の詳細が記載されていること

・ describe the likely consequences of the personal data breach; 当該個人データ侵害により生ずると予想される影響（被害）が記載されていること

・ describe the measures taken or proposed to be taken by the controller to address the personal data breach, including, where appropriate, measures to mitigate its possible adverse effects. 個人データ侵害に対処するため、既にとられた措置または管理者が提案する措置（適切な場合、被害軽減策を含む）が記載されていること

10. Assistance lent by the processor to the controller regarding compliance with its obligations 管理者の義務遵守に対する処理者の協力

The processor assists the controller in carrying out data protection impact assessments. 処理者は、管理者によるデータ保護影響評価に協力するものとする。

The processor assists the controller with regard to prior consultation of the supervisory authority. 処理者は、管理者による監督機関との事前協議に協力するものとする。

11. Security measures セキュリティー措置

The processor undertakes to implement the following security measures: 処理者は、以下のセキュリティー措置を講じるものとする。

[Describe the appropriate technical and organisational measures to ensure a level of security appropriate to the risk, including inter alia 下の事項を含め、リスクに応じた適切なレベルのセキュリティーが確保されるよう適切な技術上および組織上の措置を記載すること

・ the pseudonymisation and encryption of personal data 個人データの仮名化および暗号化

・ the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services; 処理システムおよびサービスの秘密保持、完全性、可用性および回復可能性が継続して確保できること

・ the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident; 物理的または技術上の事件・事故が発生した場合でも、適時に個人データの利用およびアクセス可能性を回復することができること

・ a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing 処理のセキュリティー確保のための技術上および組織上の措置の有効性を定期的にテスト、評価および査定するためのプロセス]

The processor undertakes to implement the security measures set out in the [code of conduct, certification]. 処理者は、[承認された行動規範の名称]に定めるセキュリティー措置を講じるものとする。

[Insofar as Article 32 of the GDPR provides that the controller and processor are responsible for implementing the security measures, it is recommended to precisely determine the responsibilities of each of the parties in terms of the measures to be implemented. GDPR第32条により管理者および処理者がセキュリティー措置を講じる義務を負うことに関し、当該措置に関する各当事者の責任を的確・正確に定めておくことが推奨される]

12. Fate of data サービス終了時の措置

At the end of the service bearing on the processing of such data, the processor undertakes to:

At the parties' choosing: 個人データ処理に係る業務委託が終了した,場合、処理者は、両当事者が合意したところに従い、以下のいずれかの措置をとらなければならない。

・ destroy all personal data, or 全ての個人データの破棄・消去

・ return all personal data to the controller, or 管理者に対する個人データ返却

・ return the personal data to the processor designated by the controller 管理者が指定する委託先に対する個人データ返却

Together with said return, all existing copies in the processor's information systems must be destroyed.

上記の返却の他、処理者は、処理者の情報システムに保存されている個人データの全てのコピーを破棄・消去しなければならない。

Once destroyed, the processor must demonstrate, in writing, that this destruction has taken place.

処理者は、当該破棄・消去後、その完了を書面で証明しなければならない。

13. The Data Protection Officer 個人データ保護監督者(DPO)

The processor communicates to the controller the name and contact details of its data protection officer, if it has designated one in accordance with Article 37 of the GDPR. 処理者は、GDPR第37条に従い個人データ保護監督者(DPO)を選任している場合、その氏名および連絡先の詳細を管理者に通知しなければならない。

14. Record of categories of processing activities 処理業務の記録

The processor states that it maintains a written record of all categories of processing activities carried out on behalf of the controller, containing: 処理者は、管理者に代わり行う全ての処理業務について、以下の事項を含め、文書による記録を作成し維持しなければならない。

・ the name and contact details of the controller on behalf of which the processor is acting, any other processors and, where applicable, the data protection officer; 処理者がその処理を代わりに行っている管理者、他の処理者、および、個人データ保護監督者(DPO)を選任している場合は個人データ保護監督者(DPO)、それぞれの連絡先の詳細

・ the categories of processing carried out on behalf of the controller; 管理者の代わりに行う処理のカテゴリー

・ where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1) of the GDPR, the documentation of suitable safeguards; 個人データが第三国または国際機関に移転される場合、当該移転の内容（当該第三国または国際機関の名称等、および、GDPR第49条第1項第2文に定める管理者のやむを得ない正当利益に基づく移転において講じられるべき適切な保護措置に関する文書を含む）

・ where possible, a general description of the technical and organisational security measures, including inter alia: 以下の事項を含む技術上および組織上のセキュリティー措置の概要を記載できる場合には当該記載

- the pseudonymisation and encryption of personal data; 個人データの仮名化および暗号化

- the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services; 処理システムおよびサービスの秘密保持、完全性、可用性および回復可能性が継続して確保できること

- the ability to restore the availability and access to personal data in a timely manner in the event of a physical or technical incident; 物理的または技術上の事件・事故が発生した場合、適時に個人データの利用およびアクセス可能性を回復することができること

- a process for regularly testing, assessing and evaluating the effectiveness of technical and organisational measures for ensuring the security of the processing. 処理のセキュリティー確保のため技術上および組織上の措置の有効性を定期的にテスト、評価および査定するためのプロセス

15. Documentation 文書（ドキュメンテーション）

The processor provides the controller with the necessary documentation for demonstrating compliance with all of its obligations and for allowing the controller or any other auditor it has authorised to conduct audits, including inspections, and for contributing to such audits. 処理者は、自己の全ての義務の履行を証明するため、必要な文書を管理者に提出するとともに、管理者または管理者から監査権限を与えられた監査人による監査（検査を含む）を受け入れ、かつこれに協力するものとする。

V. Controller's obligations with respect to the processor 管理者の処理者に対する義務

The controller undertakes to: 管理者は以下の義務を負う。

1. provide the processor with the data mentioned in II hereof 本契約IIに定めるデータを処理者に提供すること

2. document, in writing, any instruction bearing on the processing of data by the processor 処理者による個人データの処理に関する全ての指示を書面で行うこと

3. ensure, before and throughout the processing, compliance with the obligations set out in the General Data Protection Regulation on the processor's part 処理前および処理の全過程において、処理者においてGDPRに定める義務が遵守されるようにすること

4. supervise the processing, including by conducting audits and inspections with the processor. 処理者に対する監査および検査の実施等により、処理者による処理を監督すること