データ保護委員会、個人データ保護が十分な国から米国を除外、EU司法裁判決を受け

スイス連邦データ保護情報コミッショナー（FDPIC）は9月8日、米国への個人データの移転に関し、一定の条件の下で十分な保護が行なわれていると認定する国のリストから、米国を除外したことを発表した。米国とスイスは、一定の要件を満たし米国商務省のリストに登録された事業者について、十分な個人データ保護が図られているものとして、両国間でのデータ移転を円滑化する「プライバシー・シールド」制度に合意し、運用している。スイスはEUと整合的なデータ保護制度の運用を行っており、このリストからの除外の決定は、EU司法裁判所が7月17日にEUから米国へのデータ移転に関する「プライバシー・シールド」を無効とする判決を出した（2020年7月17日記事参照）ことを受けて、スイスから米国へ移転した個人データに対する保護が不十分となる可能性があるとの評価を示すものだ。

個人データについては、利用目的の明示や同意の取得、取得後の適切な管理や廃棄など事業者に厳格な取り扱いが課せられるが、グローバル企業にとって重要なのは個人データを越境移転する際の手続きだ。FDPICは今回、「プライバシー・シールド」の下であっても、スイスのデータ保護法に照らして米国の個人データ保護体制は十分ではないとの見解を示した。ただ、FDPICの評価に法的拘束力はなく、米国が同制度を無効としない限り、同制度に基づくデータ移転は引き続きできる。一方、スイス国外にデータを移転しようとする者に対しては、データ保護についてのリスクアセスメントを入念に行うよう推奨している。

なお、日本はEUとの間では、同等のデータ保護体制が取られている国・地域として相互に「十分性認定」を行っており、EU・日本間のデータ移転は可能だが、日本とスイスの間には同様の認定はないため、スイスから日本へのデータ移転は、認定を受けていない他国と同様の手続きを踏むことが必要となっている。

（注）EUのデータ保護については、ジェトロのウェブサイト「特集 EU一般データ保護規則（GDPR）について」を参照。

（和田恭、マリオ・マルケジニ）