オランダ データ保護庁 サイバー攻撃発生時の堅牢な処理契約に関する3つの提言 (2025.11.11)

こんにちは、丸山満彦です。

オランダのデータ保護庁が「サイバー攻撃発生時の堅牢な処理契約に関する3つの提言」という記事を公表していますね...

サービスプロバイダーは攻撃の対象となりやすく、サービスプロバイダへのデータ侵害は複数の組織に影響を及ぼし、大量の個人データの漏えい等につながることになり、被害が大きくなる... （例えば、昨年イセトーがランサムウェア被害似合った事件もありましたしね...[pyolog]）

ということで、サービスプロバイダが将来的に大規模なデータ侵害の影響を受ける可能性は想定すべきですよね...そして、そのための事前の十分な準備が極めて重要...

● Autoriteit Persoonsgegevens

・2025.11.11 Drie aanbevelingen voor een sterke verwerkersovereenkomst bij een cyberaanval

 

Drie aanbevelingen voor een sterke verwerkersovereenkomst bij een cyberaanval	サイバー攻撃発生時の堅牢な処理契約に関する3つの提言
Goede verwerkersovereenkomsten tussen organisaties helpen cyberaanvallen adequaat af te handelen, en soms zelfs te voorkomen . Ze versterken zo de digitale weerbaarheid van slachtoffers van datalekken. Toch schort het nog vaak aan goede afspraken, ziet de Autoriteit Persoonsgegevens (AP). Op basis van onderzoek geeft de AP organisaties daarom drie aanbevelingen voor sterke verwerkersovereenkomsten.	組織間の適切な処理契約は、サイバー攻撃への適切な対応を可能にし、場合によっては攻撃そのものを防止することもあります。これにより、データ侵害被害者のデジタルレジリエンス（回復力）が強化されます。しかしながら、オランダ個人情報保護委員会（AP）は、適切な契約がしばしば欠如していることを確認しています。この調査結果に基づき、APは組織に対し、強固な処理契約を構築するための3つの提言を行います。
Organisaties die samenwerken met dienstverleners moeten een verwerkersovereenkomst sluiten over het delen en gebruiken van persoonsgegevens. Daarin leggen zij afspraken vast, bijvoorbeeld over beveiliging en de rollen en verantwoordelijkheden bij incidenten zoals datalekken.	サービスプロバイダーと提携する組織は、個人データの共有および利用に関する処理契約を締結する必要があります。この契約において、セキュリティ対策や、データ侵害などのインシデント発生時の役割・責任分担などに関する取り決めを明記します。
Dienstverleners zijn aantrekkelijk doelwit	サービスプロバイダーは攻撃の標的となりやすい
Dienstverleners zijn een aantrekkelijk doelwit voor cyberaanvallen. Een dienstverlener werkt vaak voor meerdere organisaties. Denk bijvoorbeeld aan een IT-bedrijf dat aan honderden partijen software levert. Een datalek bij een dienstverlener treft daardoor meerdere organisaties, en daarmee grote hoeveelheden persoonsgegevens. De schade van deze aanvallen is dus erg groot. Organisaties moeten ervan uitgaan dat zij of hun dienstverleners ooit getroffen gaan worden door een groot datalek. Een goede voorbereiding is daarom cruciaal.	サービスプロバイダーは、サイバー攻撃の標的となりやすい存在です。サービスプロバイダは複数の組織のために業務を行うことが多く、例えば数百の顧客にソフトウェアを提供するIT企業などが該当します。そのため、サービスプロバイダにおけるデータ侵害は複数の組織に影響を及ぼし、大量の個人データが関与することになります。こうした攻撃による被害は極めて重大です。組織は、自組織またはサービスプロバイダが将来的に大規模なデータ侵害の影響を受ける可能性を想定すべきであり、事前の十分な準備が極めて重要です。
Onderzoek	調査
De AP deed een onderzoek naar de rol van de verwerkersovereenkomst bij de afhandeling van vijf grote cyberaanvallen op dienstverleners. Deze cyberaanvallen troffen samen ruim 1250 organisaties in Nederland, en waarschijnlijk 10,5 miljoen mensen. De AP vermoedde dat het ontbreken van goede verwerkersovereenkomsten ervoor zorgde dat de betrokken organisaties weinig grip hadden op het voorkomen en afhandelen van de cyberaanval. Voor het onderzoek ging de AP in gesprek met de getroffen organisaties over hun ervaringen, en bestudeerde datalekmeldingen en verwerkersovereenkomsten.	AP（個人情報保護監督機関）は、プロバイダに対する5件の重大なサイバー攻撃の対応における処理契約の役割について調査を実施しました。これらのサイバー攻撃は、オランダ国内の1,250以上の組織、おそらく1,050万人以上に影響を及ぼしました。APは、適切な処理契約の欠如が、関係組織のサイバー攻撃の予防および対応に対する制御力を著しく低下させたと疑っています。調査のため、APは影響を受けた組織に経験について聞き取りを行い、データ侵害報告書および処理契約を精査しました。
Drie aanbevelingen	3つの提言
Op basis van dit onderzoek doet de AP aanbevelingen voor organisaties en dienstverleners om de schade van cyberaanvallen te beperken:	本調査に基づき、APはサイバー攻撃による被害を最小限に抑えるため、組織およびプロバイダに対し以下の提言を行います：
1. Maak afspraken zo concreet mogelijk	1. 契約内容を可能な限り具体的に定めること
Verwerkersovereenkomsten bieden houvast tijdens een cyberaanval, maar alleen als de afspraken duidelijk en concreet zijn. Afspraken moeten verder gaan dan het simpelweg herhalen van de vereisten uit de Algemene verordening gegevensbescherming (AVG). Ze moeten duidelijkheid bieden over de taakverdeling en wederzijdse verwachtingen bij een datalek. Zoals:	データ処理者契約はサイバー攻撃発生時の指針となりますが、その効果は契約内容が明確かつ具体的である場合にのみ発揮されます。契約は一般データ保護規則（GDPR）の要件を単に繰り返すだけでは不十分です。データ侵害発生時の業務分担や相互の期待事項について明確に規定する必要があります。例：
・Hoe, hoelang, waarvoor, welke en van wie persoonsgegevens worden verwerkt;	・どの個人データを、どのように、どの程度の期間、どのような目的で、誰から処理するのか
・Wat de contactpunten zijn bij een datalek en afspraken over bereikbaarheid;	・データ侵害発生時の連絡窓口とアクセスに関する合意事項
・Wanneer en met welke inhoud de dienstverlener de organisatie moet informeren over een datalek.	・サービスプロバイダがデータ侵害について組織に通知すべき時期と内容
2. Houd grip op de hele leveranciersketen	2. サプライチェーン全体の管理を維持する
Uw klanten moeten erop kunnen vertrouwen dat u goed omgaat met hun persoonsgegevens. Ook wanneer hier een hele leveranciersketen achter schuilt. Als organisatie bent en blijft u verantwoordelijk voor de persoonsgegevens van uw klanten, ook als u diensten uitbesteedt aan een of meerdere dienstverlener(s).	お客様は、貴社が個人データを適切に扱うことを信頼できなければなりません。その背後にサプライチェーン全体が存在する場合でも同様です。組織として、貴社はサービス提供者を1社または複数社に委託した場合でも、お客様の個人データに対する責任を負い、その責任は継続します。
3. Geef meer prioriteit aan het opstellen en bijhouden van verwerkersovereenkomsten	3. 処理契約の策定と維持を最優先事項とする
Alleen wanneer er genoeg aandacht is voor de verwerkersovereenkomst, biedt deze ondersteuning bij een cyberaanval. Onderhandel dus op tijd en zorgvuldig over afspraken. En herzie afspraken en bijlagen regelmatig, zodat deze blijven aansluiten op wat er in de praktijk gebeurt. Bewustzijn en kennis over de AVG bij werknemers speelt hierbij een essentiële rol.	処理契約に十分な注意を払って初めて、サイバー攻撃発生時にその契約が支援となります。したがって、契約は十分な時間をかけて慎重に交渉してください。また、契約と附属書は定期的に見直し、実務の現状に合致していることを確認してください。従業員のGDPRに関する認識と知識は、この点で極めて重要な役割を果たします。
Organisaties vinden op de website van de AP meer informatie over verwerkersovereenkomsten.	処理契約に関する詳細情報は、APのウェブサイトでご確認いただけます。

 

・2025.11.11 Aanbevelingen voor een sterke verwerkersovereenkomst

Aanbevelingen voor een sterke verwerkersovereenkomst	堅牢な処理契約に関する提言
Goede verwerkersovereenkomsten tussen organisaties helpen cyberaanvallen adequaat af te handelen, en soms zelfs te voorkomen. Ze versterken zo de digitale weerbaarheid van slachtoffers van datalekken.	組織間の堅牢な処理契約は、サイバー攻撃への効果的な対応を可能にし、時には攻撃そのものを防ぐこともある。これにより、データ侵害被害者のデジタルレジリエンシーが強化される。
Toch schort het nog vaak aan goede afspraken, ziet de Autoriteit Persoonsgegevens (AP). Op basis van onderzoek geeft de AP organisaties daarom aanbevelingen voor sterke verwerkersovereenkomsten:	しかしオランダ個人情報保護庁（AP）は、適切な契約がしばしば欠如していることを確認している。調査に基づき、APは組織に対し強固な処理契約のための提言を行う：
・Maak afspraken zo concreet mogelijk.	・契約内容は可能な限り具体的にする。
・Houd grip op de hele leveranciersketen.	・サプライチェーン全体を管理下に置くこと。
・Geef meer prioriteit aan het opstellen en bijhouden van verwerkersovereenkomsten.	・処理契約の作成と維持を優先順位の高い課題とすること。
U kunt het onderzoek inclusief aanbevelingen hieronder downloaden.	推奨事項を含む調査報告書は下記からダウンロードできる。
Lees verder: Drie aanbevelingen voor een sterke verwerkersovereenkomst bij een cyberaanval	詳細はこちら：サイバー攻撃発生時の堅牢な処理契約に関する3つの推奨事項

 

あなたとサービスプロバイダはサイバー攻撃に備えているか？

・[PDF] Zijn u en uw dienstverlener voorbereid op een cyberaanval?

 

 

 

参考...

処理者との契約...

・Thema’s - Basis AVG - AVG algemeen - Verwerkersovereenkomst

Verwerkersovereenkomst	処理契約
Maakt u gebruik van de diensten van een verwerker? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst. Dat heet een verwerkersovereenkomst.	処理業者のサービスを利用しているか？利用している場合、あなたと処理業者は書面による契約でいくつかの事項を定める必要がある。これを処理契約と呼ぶ。
Verplichte verwerkersovereenkomst	必須の処理契約
De Algemene verordening gegevensbescherming (AVG) eist van zowel verwerkingsverantwoordelijken als verwerkers dat er een verwerkersovereenkomst is (artikel 28, derde lid, van de AVG). Beide partijen zijn dus aansprakelijk als zo’n overeenkomst ontbreekt.	一般データ保護規則（GDPR）は、管理者および処理業者の双方に処理契約の締結を義務付けている（GDPR第28条第3項）。したがって、このような契約が存在しない場合、双方が責任を負うことになる。
U bent als verwerkingsverantwoordelijke in overtreding als u samenwerkt met een verwerker, maar hierover geen schriftelijke afspraken heeft gemaakt. U kunt dan niet aantonen dat u voldoende waarborgen heeft dat de verwerker de persoonsgegevens volgens de regels van de AVG beschermt.	管理者として、処理業者と業務提携しながら書面による契約を締結していない場合、法令違反となる。この場合、処理業者がGDPRの規則に従って個人データを保護する十分な保証があることを証明できない。
Ook als verwerker bent u verplicht om een verwerkersovereenkomst te hebben. U kunt zich anders niet beroepen op de grondslag van de verwerkingsverantwoordelijke. U heeft dan geen enkel recht om die persoonsgegevens te verwerken.	処理業者としても、処理契約の締結が義務付けられている。これを怠ると、管理者の法的根拠に依拠できなくなる。その結果、当該個人データを処理する一切の権利を失う。
Initiatief voor verwerkersovereenkomst	処理契約の主導権
In de praktijk neemt de verwerkingsverantwoordelijke vaak het initiatief voor het opstellen van een verwerkersovereenkomst. Van deze partij komt immers ook het initiatief om een verwerking uit te besteden. Maar het mag ook andersom.	実務上、処理契約の作成は管理者が主導することが多い。結局のところ、処理を外部委託する主導権はこの側にあるからだ。ただし逆の場合もあり得る。
Als verwerkingsverantwoordelijke blijft u altijd verantwoordelijk voor de verwerking. Ook als de verwerkersovereenkomst is opgesteld door de verwerker.	管理者として、処理契約が処理担当者によって作成された場合でも、処理に対する責任は常に管理者が負う。
Inhoud van verwerkersovereenkomst	処理契約の内容
In de verwerkersovereenkomst legt u deze onderwerpen vast:	処理契約には以下の項目を含めるべきである：
Algemene beschrijving. Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke.	一般的な説明。処理の対象事項、期間、性質、目的、個人データの種類、データ対象者のカテゴリー、およびデータ管理者としてのあなたの権利と義務についての説明である。
Instructies voor de verwerking. De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.	処理に関する指示原則として、処理は管理者の書面による指示に基づいてのみ行われる。処理者は個人データを自己の目的で使用してはならない。
Geheimhoudingsplicht. Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.	守秘義務処理者の従業員または業務委託者は守秘義務を負う。
Beveiliging. De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.	セキュリティ。処理業者は、処理の安全性を確保するため、適切な技術的・組織的措置を講じる。例：個人データの仮名化・暗号化、恒常的な情報セキュリティ、インシデント発生時のデータ可用性・アクセス回復、定期的なセキュリティテスト。
Subverwerkers. De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft.	下請け処理業者。処理業者は、あなたの事前の書面による同意なしに下請け処理業者を起用してはならない。処理業者は、下請け処理業者契約において、下請け処理業者に対し、処理業者があなたに対して負うのと同等の義務を課す。
In de overeenkomst kunt u ook direct afspreken dat de verwerker subverwerkers mag inschakelen en onder welke voorwaarden. Komt de subverwerker de verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (artikel 28, vierde lid, van de AVG).	契約において、処理者が下請け処理者を雇用できること及びその条件を直接合意することも可能である。下請け処理者が義務を履行しない場合、処理者は当該義務の履行について貴社に対し全責任を負う（GDPR第28条第4項）。
Privacyrechten. De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, verwijdering en dataportabiliteit).	プライバシー権。データ対象者がプライバシー権（アクセス権、訂正権、消去権、データポータビリティ権など）を行使する場合、処理者は貴社の義務遵守を支援する。
Andere verplichtingen. De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.	その他の義務。処理者は、データ侵害の報告、データ保護影響評価（DPIA）の実施、事前協議など、その他の義務の遵守についても貴社を支援する。
Gegevens verwijderen. Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt de verwerker de gegevens aan u terug, als u dat wilt. Ook verwijdert de verwerker kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren.	データの削除。処理サービス完了後、処理業者はデータを削除する。または、貴社の希望に応じてデータを返却する。処理業者は、法的保存義務がない限り、すべての複製も削除する。
Audits. De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of de verwerker zich houdt aan de hierboven genoemde verplichtingen (artikel 28 AVG).	監査。処理業者は、貴社またはサードパーティによる監査に協力する。また、上記義務（GDPR第28条）の遵守を確認するため、関連情報をすべて提供する。
Aandachtspunten verwerkersovereenkomst	処理契約における考慮事項
Stelt u een verwerkersovereenkomst op? Dan is het goed om op een aantal dingen te letten. U mag in de verwerkersovereenkomst geen afspraken opnemen die in strijd zijn met de AVG. Doet u dat wel? Of gaat u akkoord met afspraken die in strijd zijn met de AVG? Dan bent u mogelijk in overtreding. De AVG staat boven de verwerkersovereenkomst.	処理契約を作成しているか？ そうであれば、考慮すべき点がいくつかある。処理契約にGDPRと矛盾する合意を含めてはならない。そうした場合、またはGDPRと矛盾する合意に同意した場合、法律違反となる可能性がある。GDPRは処理契約に優先する。
De organisatie die daadwerkelijk het doel en de middelen van de verwerking bepaalt, is volgens de AVG de verwerkingsverantwoordelijke. Ongeacht wat er in de verwerkersovereenkomst staat. Bij de beoordeling van een verwerking kijkt de Autoriteit Persoonsgegevens altijd naar de feitelijke situatie.	GDPRによれば、処理の目的と手段を実際に決定する組織が管理者である。処理契約に何が記載されていようと関係ない。データ保護当局は処理業務を評価する際、常に実際の状況を見る。
Staat in de verwerkersovereenkomst bijvoorbeeld dat de andere partij verwerkingsverantwoordelijke is, maar bepaalt u waarvoor de persoonsgegevens worden verwerkt en hoe dat gebeurt? Dan bent u voor die verwerkingen verwerkingsverantwoordelijke. Ongeacht wat er in de in de overeenkomst staat. De feitelijke situatie is leidend.	例えば、処理契約では相手方が管理者であると記載されていても、個人データの処理目的や方法を決定しているのはあなたである場合、その処理業務における管理者はあなたである。契約書の記載内容に関わらず、実際の状況が決定的だ。
Let op: tekst toegevoegd (november 2025)	注記：追加テキスト（2025年11月）
Maak afspraken in de verwerkersovereenkomst zo concreet mogelijk. Deze afspraken moeten verduidelijken hoe u en uw verwerker zullen voldoen aan de verplichtingen van de AVG. Onderhandel hierover op tijd en zorgvuldig. Ook is het belangrijk dat jullie afspraken in de verwerkersovereenkomst regelmatig herzien, zodat deze blijven aansluiten op wat er in de praktijk gebeurt. Het kan namelijk zo zijn dat u later in de samenwerking meer diensten afneemt, of meer persoonsgegevens aanlevert dan initieel afgesproken. Het komt ook voor dat de afgesproken beveiligingsmaatregelen niet langer passen bij de huidige dreigingen en stand van de techniek.	処理契約における合意事項は可能な限り具体的に定めること。これらの契約では、あなたと委託先がGDPRの義務をどのように遵守するかを明確にしなければならない。契約は十分な時間をかけて慎重に交渉すること。また、委託契約の条項を定期的に見直し、実際の運用状況を反映させ続けることも重要である。協業の過程で、当初の合意以上にサービスを購入したり、個人データを提供したりする可能性もある。また、合意したセキュリティ対策が、現在の脅威や技術水準に合わなくなる可能性もある。
U kunt een organisatie natuurlijk niet dwingen om een overeenkomst te tekenen. Wordt u het samen niet eens over de inhoud? Dan kunt u ervoor kiezen om niet samen te werken. Wanneer u dat wel doet maar geen verwerkersovereenkomst heeft, bent u beiden in overtreding.	当然ながら、組織に契約の署名を強制することはできない。内容で合意できない場合、協力を断る選択肢もある。協力しながら処理契約を結んでいない場合、双方が法令違反となる。
Voorbeeld verwerkersovereenkomst	処理契約の例
Is uw organisatie aangesloten bij een branchevereniging? Dan biedt die wellicht een voorbeeld van een verwerkersovereenkomst. Ook online vindt u veel voorbeelden. Zorg er wel altijd voor dat u de overeenkomst vertaalt naar uw specifieke situatie. En leg de overeenkomst naast de eisen van de AVG.	貴組織は業界団体に加盟しているか？加盟している場合、処理契約の例を提供している可能性がある。オンライン上でも多くの例が見つかる。契約書は常に自組織の具体的な状況に合わせて修正すること。また、GDPRの要件と契約内容を照合すること。
Standaardcontractbepalingen	標準契約条項
De Europese Commissie heeft standaardcontractbepalingen voor in een verwerkersovereenkomst opgesteld. U kunt deze bepalingen opnemen in uw verwerkersovereenkomst voor doorgifte van persoonsgegevens binnen de EER.	欧州委員会は処理契約のための標準契約条項を作成している。EEA域内での個人データ移転に関する処理契約に、これらの条項を組み込むことができる。
Voor meer informatie, zie: Standard contractual clauses for controllers and processors in the EU/EEA op de website van de Europese Commissie.	詳細は欧州委員会のウェブサイト「EU/EEAにおける管理者および処理者向け標準契約条項」を参照のこと。