top of page
検索

サードパーティ連携・契約管理(法務的側面)

  • 山崎行政書士事務所
  • 9月14日
  • 読了時間: 8分
ree

— GDPR / APPI / NIST(CSF, SP 800-53, 800-161)に整合する “契約 × 技術 × 証跡” の作り方 —本稿は一般的情報提供です。個別案件は事実関係・適用法・相手先の管轄により結論が変わります。

0. 目的と射程

サードパーティ(SaaS / PaaS / Marketplace アプリ / 再委託先)と安全に連携するには、契約条項の強度技術統制の強度を一致させ、運用証跡で継続的に証明する必要があります。本稿は、GDPR・APPI 等の必須条項と NIST CSF / SP 800-53 / SP 800-161の要求を“条文化・運用・証跡化”に落とすための実務テンプレです(Azure 以外でも応用可)。

1. 基本設計:役割の確定とスコープの固定

1-1. 役割判定(Controller / Processor / Joint)

  • Controller→Processor(委託):DPA(GDPR28条)必須。APPI では委託先監督秘密保持安全管理の合意が中核。

  • Controller↔Controller(共同利用・第三者提供):法的根拠・通知/同意・越境移転の適法化(SCC/十分性)・責任分界の明示が中核。

実務:データ目録(カテゴリ/目的/法的根拠/保存期間/越境の有無/処理場所)をRoPAに統合。**業務要件書(SOW)DPA 付属書(Appendix 1)**の内容を一致させます。

1-2. スコープ固定(最小化)

  • 取り扱い個人データの種類目的処理操作(収集/閲覧/保存/削除等)保持期間DPA 付属書で明記。

  • 不要フィールドは送らない(API/ETL でマスキング・トークナイズ)。技術仕様(APIM ポリシー/Data Factory マッピング)を契約添付として固定。

2. DPA(データ処理契約)の必須条項と条文化サンプル

NIST 対応の観点:SP 800-53の AC(アクセス制御)/ SC(通信保護)/ AU(監査)/ IR(インシデント)/ MP(媒体)/ CP(継続)/ SA(外部サービス)を要求水準として条項に埋め込む。

2-1. 目的限定・最小化・指示遵守

(目的限定・指示)
受託者は、別紙「処理目的・範囲」に定める目的の範囲でのみ個人データを処理し、委託者の書面又は電子的指示にのみ従う。
受託者は目的外利用・二次利用を行わない。

2-2. 安全管理(NIST参照の“要求水準”を明示)

(安全管理)
受託者は、ISO/IEC 27001 又は同等以上の管理体制を維持し、少なくとも以下の統制を実装する:
① アクセス制御(最小権限・多要素、NIST SP 800-53 AC)  
② 通信・保存時暗号化(TLS1.2+ / AES-256、SC)  
③ ログ取得・改ざん防止・90日以上の保管(AU)  
④ マルチテナンシー分離・脆弱性管理・月次パッチ(SI/CM)  
⑤ BCP/DR 計画・年1回以上のテスト(CP)  
⑥ 外部サービス利用時の同等統制確保(SA-9)

2-3. 再委託(Sub-processing)の統制

(再委託)
受託者は、委託者の事前書面承諾なく再委託してはならない。承諾時は再委託先の名称・所在地・処理内容・安全管理を開示し、受託者は再委託先の行為について連帯して責任を負う。再委託先との契約には本契約と同等の義務を継承させる。

2-4. 越境移転・SCC・補完的措置(BYOK 等)

(越境移転)
EU/EAA から第三国への移転が生じる場合、受託者は適用あるSCC(最新モジュール)を締結し、暗号化・鍵分離(BYOK/HSM)等の補完的措置を実装する。移転国・受領者・処理場所の変更は事前通知する。

2-5. データ侵害通知(GDPR33条に整合)

(個人データ侵害)
受託者は個人データ侵害を認識後、原則24時間以内(遅くとも72時間以内)に委託者へ通知し、少なくとも以下を提供する:事象概要、影響範囲、データ種別、暫定対処、再発防止案、監督機関・データ主体通知の必要性評価。

2-6. 監査権・証跡提供

(監査)
委託者は年1回を上限に、合理的範囲で受託者の施設・プロセスを監査できる。受託者はISO/SOC2レポート、ペネトレーションテスト結果の要約、是正計画を提供する。緊急時はこの限りでない。

2-7. 保持・返却・削除(終了時のデータ帰趨)

(返却・削除)
契約終了時、受託者は委託者の選択によりデータを返却又は安全に削除し、削除証明書を発行する。バックアップ媒体は定められたサイクルで不可逆消去する。

2-8. 責任・補償(Carve-outの原則)

(責任制限)
受託者の賠償責任上限は直近12か月の契約対価総額とする。ただし故意又は重過失、守秘義務違反、知財侵害、個人データ侵害に伴う監督機関制裁金・対処費用は上限の適用外とする。

3. 再委託階層(サプライチェーン)に対する NIST 一体統制

  • ID.SC(NIST CSF)/ SP 800-161に基づき、サブプロセッサ台帳を整備:名称/国・地域/処理目的/データ種別/第三国移転の有無/SCC有無/監査証跡。

  • 契約前デューデリ:SIG/CAIQ 等の質問票+SOC2 Type II脆弱性運用侵害時の通知 SLA

  • 運用:年次レビュー(台帳更新・監査レポート受領)/侵害時の連鎖通知(一次から二次へ)。

4. 越境移転(GDPR・APPI)と補完的措置

  • EU→日本:日本は十分性認定あり。再移転(例:Marketplace が米国で処理)の有無を確認、SCC or 契約特約。

  • EU→米国:SCC(最新版モジュール)+技術的補完策(強固な暗号化・鍵分離・透過的ログ)を要求。

  • APPI(日本)外国第三者提供時の事前通知・同意又は十分な体制に関する情報提供、委託時の監督義務

技術補完の推奨BYOK/HSM(鍵は自社保有)/エンドツーエンド暗号アクセスの相互認証(mTLS)透過的監査ログの自社保管

5. 秘密保持・目的外禁止・アクセス制御(NIST整合)

  • NDA/DPA での目的限定最小権限(RBAC)多要素(AC-2/AC-17)

  • 監査ログ(AU-2/AU-12):誰がいつどのデータにアクセスしたか。書換防止(WORM/不変ストレージ)と保持期間

  • セキュア開発・変更管理(CM/SA):Marketplace アプリの更新→脆弱性報告/重大変更の事前通知を契約で要求。

6. データ主体権利(DSR)支援の契約 SLA

  • 開示・訂正・削除・制限リクエストに対し、受託者の協力義務と**SLA(例:5営業日以内の技術対応)**を条文化。

  • 実務:削除 API / バッチの双方向テスト/**削除証跡(削除ID、タイムスタンプ、対象レコード数)**の提供。

7. 侵害時の実務:通知と連携(NIST IR × GDPR 72h)

  • 一次報(24h):事実認識・影響推定・初動封じ込め。

  • 続報(72h以内):原因、再発防止、監督機関/当事者通知要否評価。

  • 証跡タイムライン・コミュニケーションログ・技術ログを一体で保全。

  • 契約費用分担(フォレンジック・通知・クレジットモニタリング等)と保険(サイバー保険)の規定。

8. Azure/Marketplace 連携時に“契約で”要求すべき具体項目

  • Publisher の実在・所在・準拠法の特定(ID.AM)。

  • 処理場所(地域・クラウド基盤・再委託)・データ流(入出力項目・保存有無)の明示。

  • DPA/SLAの有無と監査レポート(ISO27001/SOC2)。

  • 侵害通知 SLA(24h/72h)と連鎖通知条項。

  • DSR 支援データ返却/削除終了時処理

  • ライフサイクル(保持期間・自動削除)・ログ提供(監査用エクスポート)。

  • 責任制限・免責の carve-out(個人データ侵害・守秘違反は上限除外)。

  • 越境の場合のSCC・補完策(BYOK / Pseudonymization)。

9. “契約前”に必ず行うデューデリ(チェックリスト)

  1. 役割判定(C/P/J)

  2. データ目録(カテゴリ・目的・保存・越境)

  3. 再委託有無台帳

  4. セキュリティ実装(認証・暗号・ログ・隔離)

  5. 監査レポート(ISO/SOC2 Type II)

  6. 侵害歴公表姿勢体制

  7. DSR 対応可否削除 API

  8. SLA(可用性・RTO/RPO・通知)

  9. 責任上限除外

  10. SCC/越境の適法化・補完策

判定:重要/高リスクは契約レビュー会議(法務・セキュリティ・事業)で承認ゲート。未充足は代替条件または採用見送り

10. ロールと運用(法務×ITのRACI)

  • 法務:DPA/SCC/SLA 交渉、RoPA・プライポリ整合、侵害時の監督機関・当事者通知。

  • セキュリティ:統制要求の定義(NIST準拠)、監査レポート評価、技術補完策(暗号・鍵管理)。

  • IT/データ:最小化実装(マスキング/トークン化)、ログ/削除API、監査用エクスポート。

  • 事業/調達:Vendor 管理台帳、SLA/KPI 監視、更新・解約管理。

KPI(四半期)

  • Vendor 年次レビュー実施率 100%

  • 侵害通知 SLA 準拠 100%

  • DSR 実施期限内対応率 100%

  • 台帳の整合(契約≒実装)乖離 0

11. 条項“交渉の型”(最低線/推奨/理想)

テーマ

最低線

推奨

理想

侵害通知

72h

24h初報+72h続報

直ちに(continuous)

責任上限

年間対価=1倍

1.5–2倍

重要 carve-out は無上限

監査

年1回書面

書面+リモート

重大時オンサイト

再委託

包括承諾

リスト公開+異議

個別承諾

DSR支援

ベストエフォート

SLA 5営業日

API連携

12. ひな形(実務でそのまま使える追補条項)

12-1. NIST 参照のセキュリティ水準条項(短縮版)

受託者はNIST Cybersecurity FrameworkおよびNIST SP 800-53に整合する管理策(AC, SC, AU, IR, CP, SA等)を継続的に維持する。
主要指標(MFA適用率、重大脆弱性是正所要日数、ログ完全性、BCPテスト実施)を四半期ごとに委託者へ報告する。

12-2. サブプロセッサ通知条項

受託者はサブプロセッサ一覧(氏名所在地・処理内容・所在国)を常時最新に保ち、変更前に30日前通知する。委託者は異議を述べることができ、協議により解決し得ない場合は無償解除できる。

12-3. DSR 協力条項

受託者はデータ主体の開示・訂正・削除等に関し、合理的に必要な範囲で協力し、5営業日以内に処理結果又は実施計画を報告する。

12-4. 終了時処理条項(返却/削除)

契約終了又は委託者の指示があったときは、30日以内に全データの返却又は削除を完了し、削除証明書を提供する。災害復旧用バックアップはライフサイクルに従い不可逆消去する。

13. 証跡化:監査・認証・取引先審査に“出せる”形

エビデンスパック(四半期更新):

  • DPA / SCC / 付属書(処理範囲・越境・再委託)

  • Vendor 監査レポート(ISO/SOC)・是正計画

  • アクセス・削除・侵害のイベントログ(要約+生ログ保全)

  • DSR ケース台帳(受付→完了 SLA)

  • Marketplace 導入審査票・Publisher 台帳

  • Azure 側の構成証跡(Policy 準拠率・KeyVault/BYOK・APIMフィルタ)

14. まとめ(運用のコア原則)

  1. 契約で縛る:DPA/SCC/再委託/侵害通知/監査/DSR/終了時処理/責任の七点セット

  2. 技術で落とす:最小化・暗号・鍵分離・ログ・削除API・DR テスト。

  3. 証跡で示す:台帳・ログ・監査レポート・KPI・エビデンスパック。

  4. NIST で揃える:CSF(ID/PR/DE/RS/RC)と SP 800-53/161 の語彙で社内・相手先と共通言語化。

15. 山崎行政書士事務所の提供価値(抜粋)

  • DPA / SCC / 再委託条項のドラフト・交渉支援(相手先の雛形に対する落としどころ提示)

  • Vendor デューデリ質問票/台帳/エビデンスパックの雛形提供

  • 技術チーム連携(暗号・BYOK・ログ・DSR API 実装要件の整理)

  • 監査前レビュー(ISO/SOC 対応、取引先監査の想定問答)

  • 運用 KPI 設計と四半期レビュー(乖離→是正まで伴走)

まずは 30 分オンライン相談:現状の契約/台帳/技術統制をクイック診断し、今期内に整えるべき差分を優先度付きで提示します。

免責

本稿は一般的な情報提供であり、個別の法的助言ではありません。紛争性・複数管轄・センシティブデータ等が関わる場合は、事案の事実確認の上、必要に応じて弁護士と共同対応します。

 
 
 

コメント

bottom of page