改正データ保護法の施行開始

スイス連邦法務省は9月1日、改正した連邦データ保護法（FDPA）とそれに対応する条例の施行が開始されたと発表した。

今回の改正により、データ処理に関する透明性を向上させ、個人データの管理を強化し、プライバシーの保護を強化する。これには、データ管理者による通知義務とデータ主体の個人データへのアクセス権の両方が含まれる。データ処理について、データ主体者本人が認識して初めて法的権利を行使することができる。連邦データ保護・情報委員会（FDPIC）には、監督を確実にするためのより大きな権限が与えられた。また、データ保護違反に対する罰則規定が強化された（2021年1月5日付地域・分析レポート参照）。

新しいFDPAでは、今後のデータ処理を計画する際に、データ保護規制も考慮しなければならない。データ管理者は個人データ処理が最小限となるよう制限しなければならない。計画されたデータ処理がデータ主体の人格または基本的権利に高いリスクを伴う場合、データ管理者は事前にデータ保護影響評価（DPA）を実施しなければならない。特に宗教的・政治的信条に関する情報や医療データは機微な情報として慎重に取り扱うことが求められる。

また、国境を越えるデータの流通が増加していることから、個人データの越境移転に関する規定が改定された。連邦参事会（内閣）は今後、個人データ保護体制が十分な国を認定する（十分性認定）。十分性認定を行った国のリストはデータ保護条例の付属文書として公開され、データ管理者を法的に拘束することになる。今回の改正法の施行前までは、法的拘束力のないリストをFDPICが管理・公表していた（2020年9月11日記事参照）。

（竹上嗣郎）