データプロセッサー（Data Processor）

データプロセッサーとは、ひとことで言えば、データコントローラー（管理者）の指示に基づいて個人データの処理を代行する外部の事業者や第三者のことです。たとえば、企業が給与計算を外部のBPO会社に委託した場合、そのBPO会社がデータプロセッサーとなります。GDPRでは、プロセッサーはコントローラーの指示を超えてデータを処理してはならず、適切な安全管理措置を講じる義務を負います。データプロセッサーが独自の目的でデータを利用した場合、法的にコントローラーとみなされ、直接的な法的責任を負うことになります。クラウドサービスの普及により、SaaSベンダーがプロセッサーとなるケースが増え、契約段階での責任範囲の明確化が不可欠です。