DPAとは何か（前編）？SaaS事業者が最初に押さえるべき基本

SaaSサービスを提供していると、顧客から「DPAを締結したい」と求められることがあります。特に海外企業や大企業との取引では、こうした要請が増えています。

しかし、「DPAとは何か」「利用規約やNDAとどう違うのか」といった基本的な疑問を持つ方も少なくありません。この記事では、SaaS事業者がDPAについて最初に押さえておくべき基本を解説します。

結論｜DPAは「個人データ処理」の役割分担を定める文書

先に結論をお伝えすると、DPAとは、SaaS事業者が顧客から預かる個人データについて、「誰が」「どのような責任で」「どう処理するか」を定める契約文書です。

利用規約やNDA、プライバシーポリシーとは役割が異なり、それぞれを補完する形で機能します。特に個人情報を含む顧客データを扱うSaaSでは、DPAの整備が重要になる場面が増えています。

DPAとは何か

DPA（Data Processing Agreement）の基本的な意味

DPAは「Data Processing Agreement」の略で、日本語では「データ処理契約」や「データ処理に関する覚書」などと訳されます。

もともとはEUのGDPR（一般データ保護規則）で、個人データを処理する際に「管理者（Controller）」と「処理者（Processor）」の間で締結が求められる契約を指します。管理者とは個人データの利用目的や方法を決定する者、処理者とは管理者の指示に基づいてデータを処理する者のことです。

SaaSの文脈では、顧客企業が管理者、SaaS事業者が処理者となるケースが一般的です。

なぜSaaS事業者にとって問題になるのか

SaaSでは、顧客企業のデータをクラウド上で預かることが多くあります。そのデータに従業員情報や顧客の顧客情報といった個人データが含まれていれば、SaaS事業者は「処理者」として個人データを扱う立場になります。

この場合、顧客企業からすれば、「預けたデータをどのように扱うのか」「セキュリティ対策は十分か」「漏えい時にどう対応するか」といった点を契約で明確にしておきたいと考えるのは自然なことです。DPAは、こうしたニーズに応える文書として位置づけられています。

どのような場面でDPAが必要になるのか

では、SaaSはどのような場面でDPAの締結が必要になるのでしょうか。典型例をみていきます。

個人情報を含む顧客データを扱う場合

SaaSが扱うデータの中に、氏名、メールアドレス、電話番号などの個人情報が含まれる場合、DPAの締結を求められる可能性があります。人事管理、顧客管理、営業支援などのSaaSでは、こうしたデータを扱うことが多いでしょう。

海外顧客や大企業との取引で求められる場合

EU域内に拠点を持つ企業や、GDPRを意識したコンプライアンス体制を敷いている大企業では、DPAの締結を取引の前提条件としていることがあります。日本国内向けのサービスであっても、海外展開や大企業との取引を見据える場合には、DPAへの対応が求められる場面が出てきます。

利用規約・NDA・プライバシーポリシーとの違い

SaaSが準備する書類には、利用規約・個別契約・NDA・プライバシーポリシーなどがあります。これらの各種書類とDPAの間には、どのような違いがあるのでしょうか。

利用規約との違い

利用規約は、サービスの利用条件全般を定める文書です。サービスの範囲、禁止事項、免責事項など、幅広い内容を含みます。DPAは、その中でも個人データの処理に特化した内容を定める点で異なります。利用規約の中にデータ処理に関する条項を含めることもありますが、詳細な規定はDPAとして別途整理するケースも多く見られます。

NDA内の個人情報保護規定との違い

NDA（秘密保持契約）は、開示される秘密情報の取扱いを定める契約です。個人情報も秘密情報に含まれることがありますが、NDAはあくまで「秘密として保持すること」に主眼があります。一方、DPAは個人データの処理に関する役割分担、セキュリティ要件、データ返却・削除の手続きなど、より具体的な内容を定めます。

プライバシーポリシーとの違い

プライバシーポリシーは、事業者が自社で収集する個人情報について、その取扱い方針を公表する文書です。主にエンドユーザー向けの説明を目的としています。DPAは、顧客企業との間で個人データの処理に関する責任関係を定める契約であり、対象も目的も異なります。

DPAを作る意義・メリット

SaaS事業者にとって、DPAを作成・締結することには、どのような意義やメリットがあるのでしょうか。

①顧客との役割分担が明確になる

DPAを整備することで、「どこまでがSaaS事業者の責任か」「顧客側でどのような管理が必要か」といった役割分担が明確になります。問題が生じた際の対応もスムーズになります。

②個人データの取扱いを契約上整理できる

セキュリティ対策の内容、データの保管場所、再委託の可否、データ削除の手続きなど、個人データに関する取扱いを契約上整理できます。社内の運用ルールを見直すきっかけにもなります。

③商談や契約交渉が進めやすくなる

DPAを事前に用意しておくことで、顧客からの要請にスムーズに対応でき、商談や契約交渉を円滑に進めやすくなります。相手方がDPAのドラフトを提示してきた場合、はたしてそれが自社に適合するかどうかの判断が難しいですが、事前に準備をしておけば、そのような心配もありません。

DPAを作らない場合のデメリット

逆に、DPAを作らなかった場合の主なデメリットをあげていきます。

①責任の所在が曖昧になる

DPAがないと、データ漏えいなどの問題が生じた際に、責任の所在が曖昧になりやすくなります。

②顧客からの信頼を失いやすい

データ保護への意識が高い顧客からは、DPAが整備されていないことが信頼性の低下につながることもあります。

③海外顧客・大企業との取引で不利になる

DPAを求める顧客との取引では、対応できないことが契約上の障壁となる場合があります。特にEUを商圏とする顧客との取引が制限される可能性が高まるおそれがあります。

よくある誤解

①プライバシーポリシーがあれば足りる？

プライバシーポリシーはエンドユーザー向けの説明文書であり、顧客企業との契約上の役割分担を定めるものではありません。

②NDAがあればDPAが不要になる？

NDAは秘密保持が目的であり、個人データの処理に関する詳細な取り決めには対応していないことがほとんどです。

③日本国内向けなら無関係？

日本国内向けのサービスであっても、顧客企業の方針や取引先の要請により、DPAの締結を求められることがあります。

まとめ｜DPAは「個人データ処理」を整理するための基本文書

DPAは、SaaS事業者が顧客から預かる個人データについて、処理の役割分担や責任関係を定める契約文書です。利用規約やNDA、プライバシーポリシーとは異なる役割を持ち、特に個人情報を含むデータを扱うSaaSでは整備を検討すべき文書といえます。

DPAの具体的な内容や作成方法については、事業の内容や顧客層によって検討すべき点が異なります。自社の状況に応じた整理が必要な場合には、専門家に相談することも一つの選択肢です。