ソフトウェア業界には、GDPR コンプライアンスとオフショア開発が根本的に緊張関係にあるという通説が根強く残っています。つまり、インドやその他の非 EU 開発パートナーと協力して構築すると、埋められないコンプライアンスのギャップが生じるということです。この信念はただ間違っているだけではありません。これは、オフショアパートナーシップを不必要に回避したり、適切な法的および技術的構造が整備されていない状態でオフショアパートナーと関与したりすることになるため、これに基づいて行動する企業にとっては、高くつく間違いです。
GDPR への準拠は地理に関するものではありません。それはプロセス、契約構造、技術的管理、組織規律に関するものです。インドに拠点を置くオフショア開発パートナーは、エンゲージメントが初日から正しく構成されていれば、完全に GDPR に準拠したソフトウェアを構築できます。
このガイドでは、ソフトウェア開発の観点から GDPR が実際に要求するもの、オフショア パートナーへの国境を越えたデータ転送を管理する法的メカニズム、構築中に導入する必要がある技術的および組織的管理、および Atologist Infotech が EU の個人データを扱うすべてのプロジェクトでコンプライアンスを運用する方法など、知っておくべきすべてのことを説明します。
「GDPRは、開発者がどこに座るかを気にしません。開発者が構築するソフトウェアが個人データをどのように扱うか、そしてそれを証明するための契約的および技術的構造を持っているかどうかを気にします。」
2026 年にこれがこれまで以上に重要になる理由
GDPR は 2018 年 5 月から施行されています。しかし、2025 年から 2026 年の施行状況は初期とは大きく異なっているように見えます。規制当局はもはやオリエンテーションモードではなく、積極的に執行を進め、記録的な罰則を設定し、国際的なデータ転送取り決めを特に厳しく精査しています。
最も重要な GDPR 執行措置のパターンは顕著です。適切な保護手段のない国境を越えたデータ転送には、最も高額な罰則が科せられています。 Uber の 2 億 9,000 万ユーロの罰金は、米国のサーバーに送信される EU データに対する標準契約条項の実装を怠ったことが直接の原因でした。 TikTokの5億3000万ユーロの罰金は、EUのユーザーデータが適切な保護なしに中国からアクセスできたことが原因だった。 LinkedIn の 3 億 1,000 万ユーロの罰金には、データ処理の法的根拠の不履行が含まれていました。
これらの障害はすべてプロセス障害であり、技術的な事故ではありませんでした。そして、そのどれもが、オフショア パートナーとのソフトウェア開発契約をどのように構築するかに直接影響します。
⚠️ 実際の施行例
Uber の 2 億 9,000 万ユーロの罰金がソフトウェア チームに教えること
Uberの違反は、2021年に標準契約条項の使用を停止した後、EUの運転手データ(タクシー免許証、位置データ、支払い詳細、写真、場合によっては犯罪歴や医療記録を含む)が米国のサーバーに転送されることに集中していた。オランダDPAは、EUの個人データが、適切なGDPR相当の保護なしに米国政府のアクセスにさらされている可能性があると認定した。
オフショア ソフトウェア開発の教訓: EU の個人データがオフショア開発チームのインフラストラクチャを通過する、またはそこにアクセスできる場合、それは GDPR に基づく国境を越えたデータ転送となります。適切な法的メカニズムが整備されていない場合、データが悪用されたかどうかに関係なく、その転送は違反となります。
法的枠組み: オフショアで構築する場合に GDPR が要求するもの
GDPR は、EU の個人データを処理するソフトウェアを構築する組織に対して、階層化された一連の義務を設けます。オフショア開発パートナーが関与する場合、3 つの特定の法的枠組みが直接関連します。
データ処理契約 (DPA)
GDPR 第 28 条に基づき、お客様は、お客様に代わって個人データを処理する第三者との間で書面によるデータ処理契約を締結することが法的に義務付けられています。オフショア開発パートナーが開発プロセス中に EU データ主体に属する個人データにアクセス、保存、または処理する場合、データ処理者となります。これは任意ではなく、法定要件です。
準拠した DPA には以下が含まれている必要があります。
- 処理の主題、期間、性質、目的
- 関係する個人データの種類とデータ主体のカテゴリー
- データ管理者 (あなた) の義務と権利
- プロセッサーは文書化された指示にのみ動作するという要件
- データの処理を許可されたすべての人に対する機密保持義務
- データ主体の権利要求を支援するための要件
- 契約終了時のすべての個人データの削除または返却
- コンプライアンスを証明するために必要なすべての情報の提供
第 28 条 (3) GDPR: 処理者による処理は、連合法または加盟国の法律に基づく契約またはその他の法的行為に準拠するものとします。契約またはその他の法的行為は、管理者に関して処理者を拘束し、処理の主題と期間、処理の性質と目的、個人データの種類とデータ主体のカテゴリー、および管理者の義務と権利を規定します。
標準契約条項 (SCC)
インドは現在 EU の十分性に関する決定を行っていません。つまり、EU はインドのデータ保護法が GDPR と同等のレベルの保護を提供していると正式に決定していません。これは、EU の個人データがインドの開発パートナーに流れる場合、転送メカニズムが整備されている必要があることを意味します。
ほとんどのソフトウェア開発業務にとって最も実用的なメカニズムは、標準契約条項 (SCC) です。これは、インドの当事者を GDPR と同等のデータ保護基準に契約上拘束する、欧州委員会によって発行された事前承認された契約条項です。 EU の個人データを共有する前に、SCC をオフショア パートナーとの契約に組み込む必要があります。
2025 年の SCC アップデート後の主な要件は次のとおりです。
- データ主権条項: クラウド プロバイダーは、データが EU の管轄下に留まるようにし、必要に応じて第三国政府のアクセスに抵抗する必要があります。
- 強化された保護: ジオフェンシング要件 - メタデータとバックアップは、特定のデータ カテゴリについて EU の境界内に留まらなければなりません
- 監査権限: クライアントは、更新された SCC に基づいてベンダーに年 2 回のコンプライアンス レポートを要求できます。
- 移転影響評価 (TIA): 仕向国の法律が SCC の保護を損なうかどうかに関する文書化された評価
シュレムス II の背景: 2020 年のシュレムス II 判決 (CJEU 訴訟 C-311/18) は、EU-米国間のプライバシー シールドを無効にし、相手国の法律が政府による個人データへのアクセスを許可している場合には SCC だけでは不十分である可能性があることを確立しました。これが、インドの法的環境を評価する TIA が現在、SCC に基づく移転協定の必須要素となっている理由です。
設計およびデフォルトによるプライバシー
GDPR 第 25 条では、開発プロセスの最初からデータ保護をソフトウェアに設計することが求められており、事後的にレイヤーとして追加するのではありません。これは、プライバシー バイ デザインおよびバイ デフォルトの原則です。規制当局はこの条文を利用して多額の罰金を課している。2024年12月にMetaが課した2億5,100万ユーロの罰金では、主な違反として設計およびデフォルトによるプライバシーの実装不履行が明示的に挙げられている。
実際的に言えば、プライバシー バイ デザインとは、オフショア開発パートナーがすべてのアーキテクチャ上の決定に次の原則を組み込んで構築する必要があることを意味します。
- データの最小化: 指定された目的のために厳密に必要な個人データのみを収集します。投機的なデータ収集はありません。
- 目的の制限: ある目的で収集されたデータは、新たな同意または新たな法的根拠がない限り、別の目的で使用することはできません。
- ストレージ制限: 個人データは必要以上に長く保持してはなりません。自動削除または匿名化スケジュールを組み込みます。
- 誠実さと機密保持: 転送中 (TLS 1.3 以上) および保存中 (AES-256 標準) の暗号化。個人データを閲覧できるユーザーを制限するアクセス制御。
- ユーザー権利のアーキテクチャ: ユーザーが自分の個人データにアクセス、修正、エクスポート、削除できる技術的機能を、リリース後のパッチとしてではなく最初のスプリントから構築します。
組み込まれなければならない技術的制御
法的枠組みを超えて、GDPR 準拠のソフトウェアには、オフショア開発パートナーが実装する必要がある特定の技術的制御セットが必要です。これらはオプションの機能拡張ではなく、GDPR 準拠を実証できる製品とそうでない製品の違いです。
暗号化 — 交渉の余地のないベースライン
すべての個人データは、転送中も保存中も暗号化する必要があります。現在の業界標準は、転送中のデータには TLS 1.3、保存中のデータには AES-256 です。オフショア パートナーは、これらの標準が実装されていることを文書化でき、インフラストラクチャ構成でこれを実証できる必要があります。ユーザーのパスワードを平文で保存したことに対するMetaの2024年9月の9,100万ユーロの罰金は、外部からの侵害が発生していない場合でも、暗号化の失敗は重大なGDPR違反として扱われることをはっきりと思い出させるものである。
アクセス制御 - 役割ベース、監査済み、最小限
開発パートナーのチーム メンバーは、ビルドにおける特定の役割に厳密に必要な個人データのみにアクセスできるようにする必要があります。これは、職務に基づいてデータ アクセスを制限する技術的制御である役割ベースのアクセス制御 (RBAC) を通じて実装されます。アクセス ログは維持され、監査可能である必要があります。開発段階では、本番環境の個人データを開発環境やテスト環境で使用してはなりません。匿名化されたテスト データまたは合成テスト データがデフォルトである必要があります���
仮名化と匿名化
可能であれば、ソフトウェア アーキテクチャ内の個人データは仮名化する必要があります。つまり、直接識別する情報を、別のキーでのみ個人にリンクできる参照情報に置き換えます。これは、プライバシー バイ デザインと一致する技術的措置として、GDPR 第 25 条に明示的に記載されています。個人を特定する必要がなくなったデータについては、完全な匿名化により GDPR の範囲から完全に削除されます。
72時間の侵害通知機能
GDPR 第 33 条では、データ侵害を発見してから 72 時間以内に関連する監督当局に報告することが求められています。ソフトウェア アーキテクチャには、侵害を迅速に検出するための監視およびログ記録インフラストラクチャが含まれている必要があります。 2025 年のアップデートでは、違反通知期間を逃した場合の罰則が強化されました。2024 年にフランスの病院に対するランサムウェア攻撃では、特に 72 時間の通知期間を逃した場合に 320 万ユーロの罰金が科せられました。
データ主体の権利 — アーキテクチャに組み込まれています
GDPR は、EU のデータ主体に、データにアクセスする権利、修正する権利、消去する権利 (「忘れられる権利」)、データのポータビリティの権利、および特定の処理に異議を唱える権利という一連の強制可能な権利を与えます。これらの権利は手動プロセスだけでは有効化できません。技術的なインフラストラクチャが必要です。ユーザーがデータの削除を要求した場合、システムはすべてのデータベース、バックアップ、サードパーティ統合にわたって完全かつ監査可能な削除を実行できますか?そうでない場合、プライバシー ポリシーの内容に関係なく、製品は GDPR に準拠していません。
組織管理 — オフショアパートナーが整備しなければならないもの
技術的な制御だけでは十分ではありません。 GDPR では、ソフトウェアを構築する人々による個人データの取り扱い方法を管理する組織的な措置 (ポリシー、トレーニング、手続き上の規律) が必要です。オフショア パートナーの組織的な姿勢は、技術的な実装と同じくらい重要です。
構築を開始する前にオフショアパートナーに要求するもの
技術的な制御だけでは十分ではありません。 GDPR では、ソフトウェアを構築する人々による個人データの取り扱い方法を管理する組織的な措置 (ポリシー、トレーニング、手続き上の規律) が必要です。オフショア パートナーの組織的な姿勢は、技術的な実装と同じくらい重要です。
- GDPR 固有のデータ機密性条項を含む署名された NDA: 個人データにアクセスするすべてのチームメンバーは、GDPR 義務に明示的に言及する機密保持契約に署名する必要があります。
- 全スタッフを対象とした文書化された GDPR トレーニング: パートナーは、EU データ プロジェクトに取り組むエンジニア、QA、およびプロジェクト マネージャーが GDPR 認識トレーニングを受けていることを確認できる必要があります。トレーニング記録を求めてください。
- 開発環境またはテスト環境では本番環境の個人データは不要です。 開発およびテスト中に実際の個人データが使用されるのを防ぐ、書面によるポリシーと技術的強制。ここでの違反は、データ漏洩インシデントの一般的な原因です。
- インシデント対応手順: データ セキュリティ インシデントを特定、封じ込め、評価、報告するための文書化されたプロセス。これには、72 時間の通知期間を守るための、お客様 (データ管理者) へのエスカレーション パスが含まれます。
- サブプロセッサ管理: オフショア パートナーがプロジェクトの提供に使用するすべてのサードパーティ ツールとサービスのリスト (クラウド インフラストラクチャ、CI/CD ツール、ロギング サービスなど)。これらは GDPR の下でサブプロセッサーに該当するため、DPA で開示する必要があります。
- データ削除手順: GDPR 第 28 条 (3) (g) に基づいて義務付けられている、契約終了時にすべての個人データを削除または返却するための文書化されたプロセス。
GDPR オフショア コンプライアンス チェックリスト
EU の個人データが関係するオフショア ソフトウェア開発作業の前および作業中に、このチェックリストを使用してください。
✅ GDPRオフショア開発コンプライアンスチェックリスト
法的および契約 (署名前)
GDPR 第 28 条に基づいて署名された書面によるデータ処理契約 (DPA)
エンゲージメント契約に組み込まれた標準契約条項 (SCC)
インドを目的地とする移転影響評価(TIA)が完了
明示的な GDPR データ機密性条項を含む NDA — データ アクセス権を持つチーム メンバー全員が署名
DPA で確認および文書化された副処理者リスト
IP割り当て条項が確認されました: すべての成果物は作成時からクライアントに属します
技術的な制御 (ビルド中)
転送中のすべての個人データに対する TLS 1.3 暗号化 - 文書化され検証可能
保存されているすべての個人データに対する AES-256 暗号化
ロールベースのアクセス制御 (RBAC) を実装 - ロールごとに必要なアクセスのみ
技術的に可能な場合は仮名化が適用されます
開発およびテスト環境で使用される匿名化または合成データ
Sprint 1 から組み込まれたデータ主体の権利機能 (アクセス、修正、消去、移植性)
個人データへのすべてのアクセスに対する監査ログの実施
自動化されたデータ保持および削除スケジュールの実装
建築とデザイン
ディスカバリー段階からアーキテクチャ上の決定に組み込まれたプライバシー・バイ・デザイン
データ最小化原則の適用 - 必要なもののみを収集
データモデルレベルで適用される目的制限
正しく構築された同意メカニズム - きめ細かく、撤回可能で、文書化されている
eプライバシー指令要件(GDPRだけでなく)に従って実装されたCookie同意
組織的対策
リクエストに応じてパートナーの GDPR トレーニング記録を利用可能
実稼働用の個人データ ポリシーが作成され、技術的に適用されていない
インシデント対応手順を72時間の通知パスとともに文書化
エンゲージメント終了時のデータ削除/返却手順を文書化
インドのデジタル個人データ保護法 — オフショア契約にとっての意味
2025 年にインドのデジタル個人データ保護 (DPDP) 規則が発効し、インド独自のデータ保護フレームワークが確立されました。これは、インドのパートナーとのオフショア開発契約に直接影響します。
インドの DPDP 法は、国境を越えた転送に「ブラックリスト」モデルを使用しています。国または団体が特に制限されていない限り、個人データは国際的に流れる可能性があります。これにより、GDPR の十分性ベースのフレームワークよりも高い柔軟性が生まれます。ただし、インドの開発パートナー自身も現在、次のようなデータ保護義務の対象となっています。
- 処理されるすべての個人データに対するセキュリティ保護要件
- 違反通知義務 — 報告漏れに対しては最大 2,200 万米ドルの罰金が課せられます
- 72 時間の侵害通知ウィンドウ (GDPR を反映)
- 契約上の義務: データ処理者契約には、適切なセキュリティ条項が含まれている必要があります
これは、2026 年にインドの信頼できるソフトウェア開発パートナーが、規制の空白の中でではなく、独自の国内データ保護フレームワーク内で活動していることを意味します。 DPDP 法は、整合性のとれた一連のインセンティブを作成しました。EU に直面しているクライアントにサービスを提供したいインドの開発企業には、商業的および法的理由の両方で、GDPR に準拠した強力な慣行を維持する必要があります。
この GDPR 要件とインドの DPDP 法の融合により、EU データ処理プロジェクトにとって、十分に構造化されたインドのパートナーとのオフショア開発がますます実現可能で法的に一貫した選択肢となっています。
Atologist Infotech が GDPR コンプライアンスを交渉の余地のないものにする方法
GDPR への準拠は Atologist Infotech の機能リクエストではなく、設計上のデフォルトです。 EU の個人データを扱うすべてのプロジェクトは、最初のスプリントが開始される前に、完全なコンプライアンス フレームワークを備えた範囲でスコープ設定され、設計され、構築されます。実際の動作は次のとおりです。
DPA および SCC 対応
当社は、最新の EU 委員会の要件に準拠した標準データ処理契約および標準契約条項テンプレートを維持しています。これらは、EU の個人データが関与する前に確認され、署名されます。デフォルトとしてのプライバシーバイデザイン
当社の調査フェーズには、データ マッピングの演習が含まれます。つまり、製品が扱うあらゆる種類の個人データ、処理の法的根拠、および必要な技術的管理を特定します。これは、コードを記述する前にテクニカル アーキテクチャ ドキュメントに反映されます。暗号化標準
転送中の TLS 1.3 と保存中の AES-256 は、すべてのプロジェクトで交渉の余地のないデフォルトです。当社のセキュリティ アーキテクチャのレビューは導入前に実施され、文書化された証拠が利用可能になります。データ主体の権利が組み込まれている
アクセス、修正、消去、および移植性の機能は、元の PRD に含まれており、起動後のパッチとして追加されるものではありません。 Sprint 1から権利履行のための技術インフラを構築します。開発環境に実稼働データがない
書面によるポリシーと技術的強制: 開発環境やテスト環境では実際の個人データは使用されません。すべての EU データ プロジェクトに対して、匿名化されたテスト データまたは合成テスト データが生成および維持されます。GDPRの訓練を受けたチーム
EU データ プロジェクトのすべてのエンジニア、QA スペシャリスト、およびプロジェクト マネージャーは、GDPR 認識トレーニングを完了しています。トレーニング記録は保管されており、ご要望に応じて入手可能です。スタッフは GDPR 固有の機密保持契約に署名します。また、当社は 2025 年に施行されたインドのデジタル個人データ保護法にも完全に準拠しています。つまり、両方の枠組みに基づく当社の義務は満たされており、当社のクライアントは、堅牢な二重フレームワークのコンプライアンス体制内で運営されているパートナーから恩恵を受けることができます。
GDPR への準拠は単なる義務ではなく、競争上の利点です
GDPR への準拠を、法的オーバーヘッド、アーキテクチャの追加の複雑さ、文書化の負担などのコストとして捉える傾向があります。その枠組みでは、より重要な点が欠けています。
2026 年には、GDPR への準拠が商業的な差別化要因としてますます重要になります。企業バイヤーと規制産業の顧客は、ベンダー選択の標準的な部分としてデータ保護デューデリジェンスを実行します。製品が GDPR 基準に従って構築されていることを、単なる主張ではなく文書で証明できることは、販売上の資産となります。これにより、調達サイクルが短縮され、規制された業種への扉が開かれ、チャーンの低下につながるユーザーの信頼が構築されます。
次回の記録的なGDPR罰金を支払うことになる企業は、必ずしも規制に違反するつもりだった企業ではない。彼らは、コンプライアンスを技術上のデフォルトではなく法的な後付けとして扱った人たちです。適切なオフショアパートナーがいれば、この違いは完全に回避可能です。
ビルトインコンプライアンスはボルトオンコンプライアンスよりも安価です。また、ボルトオンでのコンプライアンスは GDPR の罰金よりも安価です。このシーケンスは、最初から正しく行うための根拠となります。

















