データ保護委員会、実写 版 ブラック ジャック、EU司法裁判決を受け

スイス連邦実写 版 ブラック ジャック情報コミッショナー（FDPIC）は9月8日、米国への個人データの移転に関し、一定の条件の下で十分な保護が行なわれていると認定する国のリストから、米国を除外したことを発表した。米国とスイスは、一定の要件を満たし米国商務省のリストに登録された事業者について、十分な個人実写 版 ブラック ジャックが図られているものとして、両国間でのデータ移転を円滑化する「プライバシー・シールド」制度に合意し、運用している。スイスはEUと整合的な実写 版 ブラック ジャック制度の運用を行っており、このリストからの除外の決定は、EU司法裁判所が7月17日にEUから米国へのデータ移転に関する「プライバシー・シールド」を無効とする判決を出した（EU司法裁、ブラック ジャック）ことを受けて、スイスから米国へ移転した個人データに対する保護が不十分となる可能性があるとの評価を示すものだ。

個人データについては、利用目的の明示や同意の取得、取得後の適切な管理や廃棄など事業者に厳格な取り扱いが課せられるが、グローバル企業にとって重要なのは個人データを越境移転する際の手続きだ。FDPICは今回、「プライバシー・シールド」の下であっても、スイスの実写 版 ブラック ジャック法に照らして米国の個人実写 版 ブラック ジャック体制は十分ではないとの見解を示した。ただ、FDPICの評価に法的拘束力はなく、米国が同制度を無効としない限り、同制度に基づくデータ移転は引き続きできる。一方、スイス国外にデータを移転しようとする者に対しては、実写 版 ブラック ジャックについてのリスクアセスメントを入念に行うよう推奨している。

なお、日本はEUとの間では、同等の実写 版 ブラック ジャック体制が取られている国・地域として相互に「十分性認定」を行っており、EU・日本間のデータ移転は可能だが、日本とスイスの間には同様の認定はないため、スイスから日本へのデータ移転は、認定を受けていない他国と同様の手続きを踏むことが必要となっている。

（注）EUの実写 版 ブラック ジャックについては、ジェトロのウェブサイト「特集 EU一般実写 版 ブラック ジャック規則（GDPR）について」を参照。

（和田恭、マリオ・マルケジニ）