スイス政府は、スイスからの個人データの移転に関して、データ保護水準の十分性が認められる国のリストの案を作成しました。日本及び韓国は、現行のリストにも今般のリスト案にも掲載されておらず、これらの国における事業においては、スイスからの個人データ移転に関して一定の法的保護措置を遵守する必要があることになります。
個人データの越境移転を行うにあたっては、常に、移転元国及び移転先国双方のデータ移転に関する規制を遵守することが極めて重要です。
この点、EUは、個人データの越境移転に関し、「十分」なデータ保護水準を確保していると判断される国のリストを公表しています。このことは、EU加盟国から、リスト掲載国の移転先に対する個人データの移転は、特別の法的な保護措置なしで行うことができるということを意味します。スイスからのデータ移転に関する法的状況も同様ですが、全く同じではありません。
現行のEUの十分性認定国のリストには、アルゼンチン、カナダ(民間部分)、イスラエル、日本、ニュージーランド、韓国、スイス、英国、ウルグアイ、その他若干の小規模な国・地域が掲載されています。移転先国がこのリストに掲載されていない場合、EU域外へのデータ移転には、欧州委員会が承認した2021年標準的契約条項(SCCs)及びその付属書等の一定の法的保護措置が必要となります。
スイス政府(連邦内閣)は、2023年に施行される新たなスイス連邦データ保護法の第16条に基づくデータの越境移転に関して、データ保護水準の十分性が認められる国についての独自のリストを公表しました。このリストは、新たな連邦内閣令(連邦データ保護法に関する政令)の別紙に定められています。これについては、今後、スイス連邦議会による承認が必要です。
連邦データ保護法に関する政令は、スイスからの個人データ移転に関して、以下の国・地域について、保護水準の「十分性」を認めています。
|
アンドラ アルゼンチン オーストリア ベルギー ブルガリア カナダ(民間部分) クロアチア キプロス チェコ共和国 デンマーク エストニア フェロー諸島 フィンランド フランス ドイツ ジブラルタル ギリシャ ガーンジー ハンガリー アイスランド アイルランド |
マン島 イスラエル イタリア ジャージー ラトビア リヒテンシュタイン リトアニア ルクセンブルク マルタ モナコ オランダ ニュージーランド ノルウェー ポーランド ポルトガル ルーマニア スロバキア スロベニア スペイン スウェーデン 英国 ウルグアイ |
特にご留意いただきたい点は、スイスのリストには、日本及び韓国が掲載されていないことです。日本及び韓国は、スイスの現行リスト(2021年)にも掲載されていません。その結果、この結果、スイスでなくEUに拠点を置く企業は、日本又は韓国との間で、制約のないデータ・フローを実施することができますが、スイスから日本又は韓国へのデータ移転を行う企業は、スイスのSCCsが必要となります。
スイスのデータ保護当局は、オーストラリアを「一定の条件の下で十分な保護水準が確保され得る」国としてリストに掲載しています。
最新の連邦内閣のリストは、2023年9月1日から施行されますが、特に、米欧間の大西洋横断データ・プライバシー・フレームワークが実現し、スイスが参加決定をした場合には、施行前に調整される可能性があります。
本稿で取り上げた問題についてご質問等ございましたら、以下にご連絡ください。