IT・ベンチャーの企業法務

GDPRの域外適用を受ける企業を顧客とするBtoB SaaS企業が知るべきデータ処理契約（DPA）

2026.05.01

SaaS（Software as a Service）プラットフォームを提供する企業にとって、そのシステムを導入する顧客企業が、グローバルな事業展開を進めるケースが多くなっています。その中で、欧州連合（EU）の「一般データ保護規則（GDPR）」に関する法的問題が、日本のBtoB SaaS事業者にとっても他人事ではなくなっています。

「自社は日本国内の法人向けにのみサービスを提供しており、EU圏内に現地法人などの拠点もないため、GDPRは無関係である」と考えている事業者も少なくありません。しかし、例えばクライアント企業がEU圏内に子会社を持ち、そこで雇用する従業員のデータをSaaS上に保存する場合、事態は複雑になります。そうしたクライアント企業に対してサービスを提供するBtoB SaaS事業者は、GDPRの域外適用を直接的に受けなくても、クライアント企業に契約として求められる形で、間接的に適用を受けることになるからです。

本記事では、GDPRの域外適用を受ける企業をクライアントとするBtoB SaaS事業者が直面する「データ処理契約（DPA）」の必須性と、それに伴う法的・ビジネス上のリスクについて、詳細に解説します。

この記事の目次

BtoB SaaS事業者はGDPRの「域外適用」を直接受けるか

まず、前提として、BtoB SaaS事業者自身がGDPRの直接的な適用対象となるのかを検討する必要があります。GDPR第3条は、EU域外の企業に対する「域外適用（Extraterritorial Scope）」の要件として、主に以下の2つの基準を定めています。

拠点基準（第3条1項）：法的形態を問わず、EU域内に拠点（支店や子会社など）を有し、その拠点の活動の文脈において個人データの処理が行われている場合。
ターゲット基準（第3条2項）：EU域内に拠点を持たない企業であっても、EU域内のデータ主体（個人）に対して意図的に物品やサービスを提供している場合（第3条2項a）、またはEU域内の個人の行動を監視（モニタリング）している場合（第3条2項b）。

参考：Art. 3 GDPR – Territorial scope – General Data Protection Regulation (GDPR)

ただ、日本のBtoB SaaS事業者の多くは、EU域内に自社の拠点を有していません。また、提供しているのはあくまで「法人顧客に向けたシステム」であり、EU域内に所在する特定の個人を意図的に標的として直接サービスを提供しているわけではありません。

さらに、システムのセキュリティ目的等でアクセスログや操作履歴を保存していたとしても、それが従業員の行動を評価・予測するための「監視（モニタリング）」に該当しない限り、ターゲット基準も満たしません。したがって、顧客のEU従業員データ等を扱うBtoB SaaS等の提供事業者であっても、原則としてGDPRの域外適用を「直接」は受けないと解釈されるのが一般的です。

しかし、ここが多くの企業が陥りやすい最大の落とし穴です。「GDPRが直接適用されないのだから、GDPR対応は一切不要である」という認識は、ビジネス上、致命的な誤りとなり得ます。

直接適用外でも直面する「データ処理契約（DPA）」

GDPRの域外適用を受ける顧客企業（管理者）の厳格な法的義務

SaaSを提供するベンダー（BtoB事業者）がGDPRの適用対象外であっても、SaaSを導入する「顧客企業（データ管理者）」がGDPRの適用対象である場合、状況は一変します。

例えば、日本に本社を置く顧客企業が、EU圏内の子会社で雇用する従業員のデータを人事管理や業務効率化のためにSaaS上に登録する場合、当該顧客企業（およびそのEU子会社）はGDPRに基づく厳格なデータ保護義務を負います。GDPR第28条1項は、このようなデータ管理者に対し、「GDPRの要件を満たし、データ主体の権利保護を確保するような適切な技術的および組織的措置を講じる十分な保証（sufficient guarantees）を提供する処理者（ベンダー）のみを利用しなければならない」と厳格に義務付けています。

DPAを通じた間接的なGDPR要件の連鎖

このGDPR第28条の法的義務を果たすため、GDPRの域外適用を受ける日本の事業者は、BtoB SaaS等を導入するにあたり、サービスを提供するBtoB事業者に対して、「データ処理契約（DPA：Data Processing Agreement）」の締結を必須条件として求めることになります。

BtoB事業者の立場から見ると、自身がGDPRの直接的な適用要件（拠点基準やターゲティング基準など）を満たさない場合であっても、顧客との間で締結するこのDPAを通じて、強力なセキュリティ措置の実装や、データ主体の権利行使に対するシステム的な協力などを契約上で義務付けられることになります。つまり、法律の直接適用は回避できても、「顧客との契約」という形で実質的なGDPRコンプライアンスが連鎖的に強制されるのです。

要件に適合できない場合のビジネスリスク

もし、BtoB事業者が「当社のサービスは日本の法律にのみ準拠しており、GDPR要件には対応できない」「DPAの締結は拒否する」といった対応をとった場合、どうなるでしょうか。

このようなGDPR水準の要件に適合できないBtoB事業者のシステムを利用することは、顧客企業自身にとってGDPR第28条違反という深刻なコンプライアンス違反リスクに直結します。顧客企業としては、巨額の制裁金リスクを避けるため、当該SaaSの利用を断念せざるを得ません。

参考：Art. 28 GDPR – Processor – General Data Protection Regulation (GDPR)

したがって、GDPR水準の要件に適合できないことが、域外適用を受ける事業者を顧客とする取引において、サービス導入を見送られる決定的な要因（ディールブレーカー）となるという問題構造が存在します。グローバル企業をターゲットとするBtoB SaaS企業にとって、DPAへの対応は避けて通れない経営課題と言えます。

データ処理契約（DPA）においてBtoB SaaS事業者が負う義務

では、顧客企業から提示されるデータ処理契約（DPA）において、BtoB SaaS事業者（処理者）は具体的にどのような義務を負うことになるのでしょうか。GDPR第28条3項に基づき、DPAには主に以下のような条項が盛り込まれます。

顧客の文書による指示への厳格な服従

BtoB事業者は、データ管理者である顧客企業からの「文書による指示」にのみ従って個人データを処理する義務を負います。SaaS事業者が、システムの利便性向上や自社のAI機械学習モデルのトレーニング、あるいは独自のマーケティングなどの目的で、顧客の従業員データを自社の判断で流用・二次利用することは厳格に禁じられます。

高度なセキュリティ措置の実装と守秘義務

GDPR第32条に準拠し、リスクに応じた適切な技術的および組織的措置を講じることが要求されます。具体的には、保存データおよび通信中データの強力な暗号化、アクセス権限の厳格な制御（最小権限の原則）、システムの可用性確保などが含まれます。また、データにアクセスする従業員等に対する守秘義務の徹底や、万が一システムで情報漏洩（データ侵害）が発生した場合には不当な遅滞なく顧客企業に通知する義務も課されます。

復処理者（サブプロセッサー）の厳格な管理

SaaSの構築・提供にあたり、AWSやGCPといったクラウドインフラ、あるいは外部のカスタマーサポートツールなどを利用している場合、これらはGDPRにおける「復処理者（Sub-processor）」に該当します。BtoB事業者は、新たな復処理者を利用・変更する前に顧客企業の事前承認（一般的または個別の書面による承認）を得る必要があります。さらに、復処理者との間にも、DPAと同等のデータ保護義務を定めた契約を連鎖的に締結し、サプライチェーン全体でセキュリティ水準を担保する責任を負います。

データ主体の権利行使に対するシステム的な協力

GDPRはデータ主体（従業員等）に対して、データへのアクセス権、訂正権、消去権（忘れられる権利）、データポータビリティ権など、強力な権利を認めています。顧客企業が従業員からこれらの要求を受けた場合、法定の期限内に対応しなければなりません。そのため、BtoB事業者は、適切な技術的・組織的措置を通じて、顧客企業がこの義務を履行できるようシステム的に支援する義務を負います。実務的には、特定の個人のデータをJSONやCSV形式等で抽出できるAPIの提供や、データ復元が不可能な状態にする「完全な物理削除機能」の実装などが求められます。

監査および検査の受け入れ義務

BtoB事業者は、DPAに定められた義務が遵守されていることを証明するために必要なすべての情報を顧客企業に提供し、顧客企業または顧客企業が委託した独立監査人による監査および検査を受け入れる義務を負います。これには、セキュリティ体制に関する定期的なレポート提出や、内部統制に関する質問状への回答対応が含まれます。

まとめ：BtoB SaaS企業のデータ処理契約（DPA）対応は弁護士に相談を

グローバル化が進む現代において、BtoB SaaS事業者が「自社はEUに拠点がないからGDPRは無関係である」と考えるのは非常に危険な認識です。顧客企業がGDPRの域外適用を受けている場合、データ処理契約（DPA）を通じて、GDPRが求める厳格なセキュリティ要件や権利行使への協力義務が、契約上の義務としてSaaS事業者に課されることになります。

これらに対応できなければ、既存顧客からの解約リスクや、新規の大型エンタープライズ案件での失注リスクに直結します。自社のSaaSシステムがGDPRの求めるプライバシー・バイ・デザイン（Privacy by Design）の要件を満たしているか、また、提示されたDPAの内容が自社の運用実態と乖離していないかを精査することは、ビジネスの持続的な成長において不可欠です。

当事務所による対策のご案内

モノリス法律事務所は、IT・インターネット・ビジネスに特化した法律事務所です。近年、グローバル展開を進める企業やBtoB SaaS事業者において、GDPRをはじめとする各国の個人情報保護法制への対応の必要性が急速に高まっています。

当事務所では、GDPRに基づくデータ処理契約（DPA）のレビューやドラフティング、プライバシーポリシーの改定、さらにはシステム仕様が法的要件を満たしているかどうかのリーガルチェックなど、国際的なデータガバナンスに関する専門的なサポートを提供しております。詳細な情報の確認や、具体的な案件の相談については、ぜひ当事務所までお問い合わせください。