閉じる

個人データ保護法改正のポイントとは（スイス）
EUのGDPRを受け、法制定以来の大改正

2021年1月5日

スイス連邦データ保護法（FADP）改正案が2020年9月25日、連邦議会で成立した。今回の法改正は、スイスと欧州経済領域（EEA：EU加盟国とノルウェー、アイスランド、リヒテンシュタイン）との間で、円滑にデータをやり取りすることを期すものだ。

EUでは、域内での個人情報保護の強化を目的として「一般データ保護規則（GDPR、注1）」の適用が2018年5月に開始された。2018年7月には、ノルウェー、アイスランド、リヒテンシュタインでも適用を開始。これに対応し、スイスでもGDPRと同等の個人データ保護制度の構築が求められていた。

FADP成立および改正までの経緯

スイスで連邦データ保護法（FADP）が成立したのは、1992年だ。2000年7月26日には「データ保護指令（95/46/EC）」に基づいて、スイスのFADPはEUと同等のレベルにあるという「十分性認定（後述）」をEU当局が行った。現在もこれが引き継がれている。その後、EUは2016年4月にGDPRを採択。GDPR下で十分性認定を維持するためにはスイス国内で整合的な法体系を整える必要があり、連邦参事会（内閣）は2017年9月15日、FADP改正案を連邦議会に提出した。

しかし、規制強化に対して国内で賛否が分かれ、議会での審議が遅れた。このため、GDPRの施行日（2018年5月25日）までに改正できなかった。議会は、シェンゲン協定への加盟維持上で必要な「犯罪捜査、司法手続きや人の自由な移動に関する個人データ保護指令」（2016/680、注2）に対応した国内法改正を優先させることを決定。2018年9月に改正法案を成立させた。

GDPRに対応する部分の法改正の審議が国民議会（注3）で開始されたのは、2019年9月になってからだ。主要な論点は、刑事罰の強化、より慎重な扱いが求められる「機微な情報」の定義、個人情報のプロファイリング利用の可否、報道の自由との関係などであった。2019年12月の冬会期に、全州議会司法委員会は「国民議会の改正法案は当初案より大幅に後退しており、EUからの十分性認定を受けるためには不適切」との意見を発表した。その後、両院の協議が続き、2020年の秋会期最終日の9月25日にようやく改正法案が両院で可決成立した。

連邦データ保護コミッショナー（FDPIC）は、詳細なFADPの改正概要を2021年1月14日の国民投票（レファレンダム）期間終了後に発表する予定だ。スイスでは、法案成立後一定期間内に異議のある者が必要な署名数（5万）を集めれば、直接投票でその可否を問うレファレンダムが提起できることになっている。すなわち、その期間を経過すれば、法案の施行が確定することになる。

FADPとGDPRとの主な相違点

現行のFADP（以下、「現行法」）は全39条にすぎない。しかし、改正後のFADP（以下、「新法」）は全74条にわたる。全面改正された新法は、条文構成や用語などについてGDPRを大幅に意識したものになっている。一方で、相違点もいくつか存在する。

ジェトロが2018年3月に発表した調査レポート『スイス連邦データ保護法改正案の内容およびEU「一般データ保護規則」との比較』の内容を基に、以下のとおり、主な相違点をまとめる。

1. 監督当局

スイスでは、連邦データ保護情報コミッショナー（FDPIC：Federal Data Protection and Information Commissioner）が個人データ保護の監督当局とされる。現行法では、行政機関や私人に対する勧奨権限が規定されている。しかし、勧奨に従わなかった場合には、各省への申し立てや連邦行政裁判所への提訴を行う必要があった（現行法第27条～第29条）。それが、法改正後はFDPICにデータ取得、立ち入り権限、違反が認められた場合のデータの変更・廃棄や国外での個人情報の取り扱いの一時停止および情報提供などの行政命令を発する権限が与えられる（新法第49条～第52条）。なおEUでは、監督および執行に関する権限は各加盟国の監督当局に委ねられている。例えば、GDPR第10条により、各国において必要な刑事罰を定めることができるとされている。

また、FDPIC長官の選出は、現行法で連邦参事会（内閣）が任命し、連邦議会が承認する手続きだった。しかし新法では、連邦議会が任命することに変わっている（第43条）。

2. 個人データ

現行法第2条では、規律の対象として「個人および法人のデータ」が規定されている。一方で新法第2条では、ここから「法人」が削除されている。新法とGDPRでの規律対象としての「個人データ」の定義は以下のとおり。例示の有無を除けば、両者の範囲はほぼ同じと考えられる。

新法第5条a：「識別されたまたは識別され得る自然人に関するすべての情報」
GDPR第4条第1号「識別されたまたは識別され得る自然人に関するすべての情報：識別され得る自然人とは、自然人の氏名、識別番号、位置データ、オンライン識別子、または物理的、生理学的、遺伝的、精神的、経済的、文化的または社会的なアイデンティティに関する特有の1つまたは複数の要素を参照することによって、直接的または間接的に識別され得る者」

また、慎重な取り扱いが求められる「機微な情報」範囲は、以下のとおり（新法第5条c）

宗教的、思想的、政治的または労働組合に関連する見解または活動に関するデータ
健康、親密な関係性（intimate sphere）、人種的または民族的素性に関するデータ
遺伝子データ
自然人を明確に識別する生体データ
起訴または行政罰および刑事罰に関する情報
社会的支援措置に関するデータ

これに対して、GDPRでは、特定の場合を除き、取り扱いが禁止される「特別カテゴリーのデータ」を以下のように定義している。（GDPR第9条第1項）

人種、民族的起源や、政治的、宗教的、思想的見解、労働組合加入に関するデータ
遺伝子データ
自然人を明確に識別するための生体データ
健康、性的生活または性的志向に関するデータ

起訴または行政罰および刑事罰に関する情報が、前述には含まれていないことになる。GDPRでは、これは第10条で別途に規制されている。

3. 適用範囲

新法第3条では、適用範囲が「スイスに影響を及ぼす範囲（国外におけるデータ処理を含む）」と規定されている。これは、GDPR第3条の記述（以下）にかなり近い。

GDPRは EEA内の管理者または処理者の事業所の活動に関連してなされる個人データの処理に適用される（この場合、その処理が EEA内または EEA外でなされるか否かについては問わない）。
GDPRは EEA内に拠点のない管理者または処理者による EEA内に所在するデータ主体の個人データの処理に適用される。ただし、処理活動が以下に記載する事項に関連しているものに限られる。
1. EEA内に所在するデータ主体に対する商品またはサービスの提供に関する処理（データ主体に支払いが要求されるか否かについては問わない）
2. EEA内で行われるデータ主体の行動の監視に関する処理

なお、新法第3条第2項で、刑罰および私法の適用については、引き続き刑罰およびスイスの国際私法に関する法律の規定に基づくとされている。

4. 情報漏えい発生時の当局への通報

新法には、高いリスクを伴う恐れのある情報漏えいが起こったときは、可能な限り早期にFDPICに通報するものと規定された。データ管理者から個人データの主体への通報は、データ保護上必要な場合あるいはFDPICの指示による場合に必要となる（第24条）。

一方、GDPRでは、リスクが低いと見込まれない限り、情報漏えいは72時間以内に各当局に通報するものと規定されている。データ管理者からデータ主体への通報は、高いリスクを伴う恐れのある情報漏えいが行われた場合に、遅滞なく行う必要がある（第33条、34条）。

5. 罰則

新法では、第19条で規定されている個人データ取得時のユーザーに対する情報提供義務などを怠った場合（第60条）や違法に個人データを移転した場合（第61条）にその個人に25万スイス・フラン（約2,875万円、CHF、1CHF＝約115円）以下の罰金が科されるとした。これらは行政上の制裁ではなく、個人の刑事責任を規定するものだ。そのため、一定の場合において、罰金が 5 万CHFを超えないときは、当局は対象となる個人の起訴を猶予し代わりに法人に対して罰金の支払いを命じることができる規定が設けられた（第64条）。

GDPRでは、データ管理者に対して1,000万ユーロ（約12億円、1ユーロ＝約122円）または全世界売上高の2％のうちの高い方の金額（違反行為により2,000万ユーロ、4％の組み合わせもある）以下の行政制裁金（GDPR第83条）が科されることになっている。

そのほか、データ主体の同意、データ主体の権利（データポータビリティ、削除権）、データ保護影響評価などついては、前掲の調査レポートを参照。

スイスとの越境移転を適法に行うための法的根拠とは

新法、GDPR双方とも、域外への個人データ移転を原則、違法とする。しかし、グローバルなデータ流通を図る上で個人データを適切に移転させることは重要だ。そのため、移転が認められる法的根拠がいくつか整備されている。ここでは、GDPRと新法を対比しながら述べる。

1. 十分性認定を行っている国への移転／新法第16条1項、GDPR第45条

EUが、個人データ保護体制が十分と認定している国に対しては、EEA内でデータ移転を行う際と同様の手続きで移転が可能とされる。スイスも同様だ。EUがスイスを十分性認定したのは2000年7月。これは、データ保護指令当時の認定に基づくものだ。しかしGDPR第45条第9項では、その認定結果を改訂または廃止しない限り、GDPR体制下でも有効とされた。もっとも、前掲の調査レポートの11ページでも指摘しているとおり、現行法では個人データに加えて法人データが保護法の対象とされる。そのため、法人データの扱いがEUにおいて問題となっていた。今般、新法の対象データがGDPRに整合化されたことで、スイスに対する十分性認定が見直しとなる可能性は低くなった。

なお、スイスが十分性認定を行っている国（622.45KB）は、EEA各国のほか、アルゼンチン、ウルグアイ、イスラエル、カナダ、ニュージーランドだ。2020年9月8日には、米国の十分性認定を取り下げた（後述）。日本も、「個人データ保護が不十分な国」に分類されている。十分性認定の判断は、連邦参事会が行う。

2. 個人情報の輸出者・輸入者間でセーフガード措置を取る場合／新法第16条第2項b、GDPR第46条

データ移転後もGDPRの適用を担保するため、GDPRで定められているルールをデータの輸出者・輸入者間の契約という形で輸入者に課す仕組みがある。これが、標準契約条項（SCC：Standard Contractual Clause）だ。個人情報についてSCCを輸出者・輸入者間で事前に締結しておけば、EEA域内に拠点がある場合、あるいは拠点がなくてもEEAの個人情報を直接取り扱う場合には、これが適用される。このため、個人情報の輸入者はGDPR適用外となる可能性がある。スイス側でも、SCCそのものは旧法の時点ですでに規定されていた。ただし、関連ガイドラインなどは現時点で出ていない。

3. グループ企業としてのデータ保護体制の認定（BCR）／新法16条第2項e、GDPR第47条

GDPRには、「グループ企業としてのデータ保護体制の認定（BCR：Binding Corporate Rules）」という仕組みが設けられている。これは、グループ企業として個人データ保護体制が十分という認定を当局から受け、グループ内の個人データの輸出入を可能とするものだ。

スイスでも、新法で新たに規定された。GDPRでは、個人データ保護当局の認定基準が第47条に規定されている。一方スイスでは、FDPICまたは保護体制が十分な国のデータ保護当局の事前承認が必要となる。

4. スイスと米国の間の個人データの越境移転の特例

米国は、連邦レベルで個人情報保護法を規定していない。しかし、EEAやスイスに所在する企業などとの間で個人データの受け渡しを円滑に行う必要がある。そのため、米国商務省への登録ベースで十分な個人データ保護水準を代替する措置（プライバシー・シールド制度）を運用している。米国は2016年に、EUとの間で同制度を設けた。またスイスとも2017年1月9日に、同制度に関して外交文書を交換している。

しかし、2020年7月16日、SNS大手フェイスブックのEU法人（在アイルランド）から米国への個人データの移転の適法性を争う訴訟に関連して、EU司法裁判所は「プライバシー・シールド」を無効とする判決を出した（2020年7月17日付ビジネス短信参照）。同判決を受けて、FDPICは9月8日、「個人データの移転に関し一定の条件下で十分な保護が行なわれている」とする認定国リストから米国を除外したと発表した。ただし、FDPICの評価に法的拘束力はない。米国が同制度を無効としない限り、同制度に基づくデータ移転は引き続き可能だ（2020年9月11日付ビジネス短信参照）。

5. データ主体の同意取得

域外移転を行うことを取り扱い条件の1つとしてあらかじめ（データ取得時に）データ主体の同意を得ておけば、国外移転は認められる（新法第17条a）。EEA内でもデータ主体の同意取得は、個人データの処理方法として法的に認められる根拠の1つとされる。

今後、スイス国内においてFADP改正法の解釈などが整備されていくことになる。なお、日本とスイスとの関係では、十分性認定が行われていない。このため、スイス国内で取得したスイスまたはEEA顧客の個人データを日本に移転する場合（日本のサーバーで管理しようとする場合を含む）、現状では前述の2、3、5のいずれかの対応を取らざるを得ない。この点、注意が必要である。

注1：: GDPRやSCCについては、ジェトロのウェブサイト「特集 EU一般データ保護規則（GDPR）について」を参照。
注2：: この指令は、GDPRと同時に採択された。
注3：: スイスの国会は、全州議会（各州の代表者46人）と国民議会（人口比例で選ばれた各地域の代表者200人）の2院制。