新スイス連邦データ保護法（nDSG）の基礎：進出前に準備すべき5つの項目

スイスをはじめとする欧州圏でビジネスを展開する日本企業にとって、現地のデータ保護法制を正確に理解し遵守することは、事業継続を左右する重要な経営課題です。2023年9月1日にスイスでは全面改正された新スイス連邦データ保護法が施行され、企業のデータ取り扱いに関する規制が大幅に強化されました。この新法は、欧州連合の一般データ保護規則と高い水準で調和を図りつつも、個人の刑事責任を直接問う独自のペナルティ制度を盛り込んでいる点に特徴があります。

本記事では、新スイス連邦データ保護法の基本コンセプトや日本の個人情報保護法との重大な相違点を詳細に解説するとともに、プライバシーポリシーの改訂やデータ処理記録の作成など、スイスでのビジネス展開を見据えて進出前から着手すべきコンプライアンスの5つの項目を提示します。

新スイス連邦データ保護法（nDSG）の基本コンセプトと域外適用

スイスの旧データ保護法は1992年に制定されたものであり、急速なデジタル化や越境データ流通の拡大に対応しきれなくなっていました。そのためスイス連邦議会は、データ主体の人格権および基本的権利の保護を現代の水準に引き上げ、同時に欧州連合の一般データ保護規則（GDPR）との同等性を確保することを目的として、法改正を行いました。この同等性の確保は、スイス企業やスイスで活動する外資系企業が、欧州圏内でのデータ移転を円滑に行うための必須条件でした。2023年9月に施行された新スイス連邦データ保護法（以下nDSGといいます）は、企業に対して明示的な移行猶予期間を設けることなく即時適用されており、適用対象となるすべての組織は、直ちに新しいコンプライアンス基準を満たすことが法的に義務付けられています。

nDSGの基本コンセプトの中で、日本企業が最も留意すべき事項の一つが明示的な域外適用の原則です。nDSGは、スイス国内に物理的な拠点を有しスイス国内で個人データを処理する企業に適用されるだけでなく、スイス国外に拠点を置く企業であっても、そのデータ処理活動がスイス国内に影響を及ぼす場合にも適用されます。具体的には、日本の事業者がスイス国内の個人に向けてインターネットを通じて商品やサービスを提供する場合や、スイス国内の個人のウェブサイト上での行動履歴やアプリケーションの利用状況を監視しプロファイリングを行う場合などが、この域外適用の対象となります。さらにnDSGでは、保護対象となる要配慮個人データの定義が拡大され、遺伝情報や生体認証データなども明示的に含まれるようになりました。この規定により、スイスに支店や現地法人を持たない日本企業であっても、スイスの顧客データを収集してクラウド上で管理するECサイトの運営者や、スイスのユーザーに対してデジタルマーケティング活動を展開するSaaS提供企業などは、nDSGの要件を完全に遵守する直接的な法的義務を負うことになります。

参考：fedlex（スイス連邦政府法令データベース）｜SR 235.1 連邦データ保護法

スイスのデータ保護と日本の個人情報保護法との重要な違い

nDSGは欧州のGDPRを強力なモデルとして法整備が進められましたが、完全に同一の枠組みではなく、スイス独自の法理に基づく決定的な違いが存在します。日本企業がスイスの顧客を対象とするビジネスを展開する際に最も注意すべき点は、個人の刑事責任を直接追及する厳格なペナルティ制度の存在です。

日本の個人情報保護法では、データ保護義務違反が発覚した場合、まずは個人情報保護委員会からの指導や助言が行われ、それに従わずに重大な権利侵害をもたらした場合に改善命令が下されるという、段階的なアプローチが取られています。刑事罰や罰金は、行政命令に違反した場合や、不正な利益を図る目的でデータベースを提供するなどの極めて悪質なケースに限られ、原則として法人に対する罰金（最高1億円）と行為者に対する処罰という両罰規定が適用されます。また欧州のGDPRにおいては、データ保護当局が違反企業たる法人に対して、最高で全世界年間売上高の4パーセントまたは2000万ユーロのいずれか高い方を上限とする巨額の行政制裁金を科す仕組みが採用されており、制裁の矛先は主に企業の財務に直接向けられます。

これらに対してスイスのnDSGは、スイスのデータ保護当局である連邦データ保護・情報特命官（FDPIC）に対して、企業に行政制裁金を科す権限を一切与えていません。その代わりnDSG第60条から第63条において、情報提供・開示義務違反（Art. 60）、越境移転・委託・安全対策義務違反（Art. 61）、職業上の守秘義務違反（Art. 62）、EDÖBの命令違反（Art. 63）に対する刑事罰を規定しており、この刑事罰は原則として、違反行為を意図的に行った自然人に対して直接科されます。経営陣やデータ保護責任者、あるいは実際のデータ処理プロセスを決定し実行したプロジェクトマネージャーなどの個人が、最高で25万スイスフランの罰金刑に処される個人的な刑事リスクを負うことになります。過失による違反は刑事処罰の対象外とされていますが、情報提供義務の不履行や虚偽情報の提供、当局の調査に対する非協力的な態度など故意による義務違反に対しては、個人の責任が厳格に追及される仕組みとなっています。

なおnDSG第64条第2項の規定により、想定される罰金が5万スイスフランを超えず、かつ責任を負う個人を特定するための捜査が不釣り合いな労力を要する場合には、例外として法人（Unternehmen）に対して罰金を科すことができるという規定も設けられています。しかしあくまでも原則として、データ処理を決定した自然人個人が刑事罰の標的となる点は、日本の個人情報保護法や欧州のGDPRとは根本的に異なるスイス独自の重大な法的リスク要因です。

比較項目	スイスnDSG	欧州GDPR	日本の個人情報保護法
制裁の性質	刑事罰（罰金刑）	行政制裁金	刑事罰および行政処分
主な処罰対象	自然人（経営陣や担当者等の個人）	法人（企業全体）	法人および行為者（両罰規定）
罰則の上限	個人に対し最高25万スイスフラン	企業に対し最高2000万ユーロまたは全世界売上の4%	法人に対し最高1億円
違反の適用要件	故意による特定の義務違反のみ	故意または過失による違反	措置命令違反や虚偽報告など
段階的措置	行政制裁金なしで直接刑事罰の対象	警告や是正命令を経て制裁金	指導や勧告を経て命令や罰則へ

参考：EDÖB（連邦データ保護・情報特命官）｜刑事罰規定の解説

スイス進出前に準備すべき5つの項目

スイスの厳格なデータ保護法制に対応し、担当者個人の罰金リスクや企業としてのレピュテーションリスクを回避するためには、スイスでビジネスを開始する前から、組織全体で網羅的なコンプライアンス体制を構築しておく必要があります。ここでは、nDSGの要件を満たすために不可欠な5つの準備項目について具体的に解説します。

プライバシーポリシーの策定と情報提供義務の徹底

nDSG第19条では、データ主体に対する透明性の確保と情報提供義務が定められています。日本企業は、自社のウェブサイトやアプリケーションに掲載するプライバシーポリシーを、日本の法律に基づくものからnDSGの要件に完全に適合するよう改訂しなければなりません。nDSGでは、データ管理者の身元や連絡先、データ処理の具体的な目的に加えて、データがスイス国外に移転される場合には、その移転先の国名および適切なデータ保護が保証されていることの法的な根拠を明示することが要求されています。

さらにnDSG第21条により、「完全に自動化された意思決定」への規制が新設されました。AI等で人に法的・重大な影響を与える決定を自動で行う場合、企業は本人への事前通知が必須です。また、本人から「異議申し立て」や「人間による再審査」を求められた際、スムーズに対応できる社内体制やシステム構築も義務化されます。故意の通知漏れや虚偽報告には、第60条に基づき個人への刑事罰が科されるため、プライバシーポリシーの厳密な策定と、実際のデータ処理プロセスの完全な一致は、企業にとって最優先課題です。

参考：EDÖB（連邦データ保護・情報特命官）｜情報提供義務の解説

データ処理記録（RoPA）の作成と継続的な維持

nDSG第12条では、データ管理者および委託先であるデータ処理者に対して、組織内で行われているすべてのデータ処理活動の記録を維持することを義務付けています。この記録には、データ管理者の身元と連絡先、データ処理の目的、処理される個人データのカテゴリー、データを受信する可能性のある受信者のカテゴリー、データの保存期間またはその期間を決定するための基準、そしてデータセキュリティを確保するために実装されている技術的および組織的措置の一般的な説明が含まれていなければなりません。越境データ移転を行う場合には、関係する国と適用される保護の保証措置についても詳細に記録に含める必要があります。

この要件はGDPR第30条に規定されている処理活動の記録義務と非常に類似していますが、スイスの法令に基づく独自の要件を満たすよう整備する必要があります。従業員数が250人未満の企業は原則として記録義務が免除されますが、（a）要配慮個人データを大規模に処理する場合または（b）高リスクなプロファイリングを行う場合には、この免除は適用されません。しかし、スイス市場に進出する企業の多くは、マーケティングのための詳細な行動データの収集や人事労務管理のための従業員データの処理を行うため、リスク評価の観点からも企業規模に関わらず網羅的なデータマップを作成し、データ処理記録を常に最新の状態に維持することが強く推奨されます。

スイス国内における代理人の選任

日本の個人情報保護法には一切存在しないnDSG独自の厳格な要件として、第14条に基づくスイス国内の代理人の選任義務が挙げられます。スイス国外に拠点を置く民間企業がスイス国内の個人のデータを処理する場合であっても、以下の4つの条件をすべて満たす場合に限り、スイス国内に連絡窓口となる代理人を物理的に配置し、その氏名と住所を公開しなければなりません。この代理人は、データ主体からの問い合わせや要求に対する窓口となるだけでなく、FDPICからの公式な文書の送達先や法的な接点として機能します。

スイス国内の代理人を選任しなければならない条件は、nDSG第14条第1項により明確に規定されています。以下の4つの条件をすべて満たすデータ処理活動を行う企業が対象となります。

代理人選任の必須要件	内容の詳細
処理の関連性	データ処理がスイス国内の個人に対する商品やサービスの提供またはスイス国内の個人の行動監視に関連していること。
大規模な処理	データ処理が孤立した小規模な事例ではなく大規模に実施されていること。
定期的な処理	データ処理が一時的または限定的な期間ではなく定期的かつ継続的な業務として行われていること。
高いリスク	データ処理の性質や範囲がデータ主体の人格権に対して高いリスクをもたらすものであること。

ここでいう高いリスクの判定においては、企業が講じている暗号化やアクセス制御などのセキュリティ対策やリスク軽減措置を考慮する前の、潜在的な初期リスクで評価を行う必要があります。健康情報などの要配慮個人データの処理、詳細なプロファイリングに基づくターゲティング広告の配信、信用情報の評価などを定期的に行う企業は、必然的にこの条件に該当する可能性が高くなります。代理人の要件を無視したままスイスの顧客を対象とした事業を展開することは重大なコンプライアンス違反であり、EDÖBによる是正命令の対象となりうるため、進出計画の初期段階で現地の法律事務所等と代理人契約を締結するなどの手配が必要です。

参考：EDÖB（連邦データ保護・情報特命官）｜スイス国内代理人制度

越境データ移転の適法化と標準データ保護条項の適用

グローバルにビジネスを展開する日本企業にとって、スイス国内の顧客データや従業員データを日本の本社システムに転送したり、米国などの他国にあるクラウドサーバーに保存したりするケースは業務上不可避です。nDSG第16条および第17条は、個人データの越境移転について厳格な制限を設けています。スイスのデータ保護法制において個人データを国外に移転するためには、移転先の国がスイスと同等の適切なデータ保護レベルを法律によって保証していることが大前提となります。スイス連邦内閣は、この適切なデータ保護レベルを保証している国や地域のリストを、データ保護令（DSV）第8条第1項に基づきAnhang 1において公式に定めて公開しています。

日本企業にとって重要な点は、日本がスイスのDSV Anhang 1（十分性認定国リスト）に掲載されていないことです。したがって、スイスから日本の本社システムへのデータ移転には、標準データ保護条項（Standarddatenschutzklauseln）の締結等、適切な保護措置を別途講じる必要があります。なお欧州委員会はGDPR上の十分性認定を日本に付与していますが（2019年）、スイスのDSV Anhang 1に基づく認定は別個のものであり、日本はこれに含まれていません。

ただし、日本企業が使うクラウドのデータセンターや運用委託先が、「十分性認定」のない国にある場合は注意が必要です。法律によるデータ保護が不十分な国へデータを移転する際は、スイスのデータ保護監督機関（FDPIC）が認める「標準データ保護条項（SCC）」の締結や、グループ内での「拘束的企業準則（BCR）」の導入など、契約上の安全措置が義務づけられます。なお、欧州委員会（EU）の標準契約条項を流用することは可能ですが、スイス法に対応するための修正（スイス付加条項の追加など）が不可欠です。これらの措置を怠って故意に国外へデータ移転を行うと、nDSG第61条に基づき個人に直接刑事罰が科されるため、データフローの正確な把握と適切な契約整備は極めて重要です。

参考：EDÖB（連邦データ保護・情報特命官）｜国外への個人データ提供

データ侵害時の迅速な通知プロセスの構築

サイバー攻撃による不正アクセス、システムの誤設定による情報漏洩、従業員の過失による端末の紛失などのデータ侵害インシデントが発生した場合、nDSG第24条はデータ管理者に対する厳格な通知義務を課しています。欧州のGDPRではデータ侵害を認識してから72時間以内という明確な時間制限が設けられていますが、nDSGでは、侵害がデータ主体の人格権や基本的人権に対して高いリスクをもたらす可能性がある場合、できるだけ早くFDPICに通知しなければならないと規定されています。

具体的な時間制限（◯◯時間以内など）がないからといって、報告を遅らせることは許されません。当局への通知には、侵害の状況やデータの種類・件数、予測される影響に加え、企業が講じる（または講じた）リスク軽減策をすべて盛り込む必要があります。また、本人の保護に必要な場合や、当局から指示があった場合は、影響を受けた個人への直接通知も必須です。そのため日本企業は、スイス関連のインシデント発生時に現地言語や法令で即座に対応できるよう、対応計画を事前に策定し、スイスの代理人や現地弁護士を交えた報告ルートをあらかじめ構築しておく必要があります。

スイス連邦最高裁判所の判例に基づくデータ主体の権利と実務的限界

nDSGでは、自己のデータをコントロールする権利の根幹として、データ主体に対して自身の個人データが処理されているか否かの確認や、処理されているデータのコピーを提供するよう企業に求めるアクセス権が保障されています。このアクセス権は、企業に対して強力な透明性を強いる手段となりますが、スイスの司法実務においては、権利の濫用に対して極めて厳格な法的制限が設けられています。データ保護法の遵守状況を評価し、過剰な要求から企業を防衛する上で、スイス連邦最高裁判所の判例を深く理解することは実務上極めて重要です。

データ保護法上のアクセス権の限界を示した最も重要な判例として2020年11月18日にスイス連邦最高裁判所が下した判決（BGer 4A_277/2020）があります。

この事件は、投資家である原告らが、被告である株式会社およびその取締役に対して、旧データ保護法第8条（現行nDSG第25条に相当）に基づく包括的な個人データのアクセスと提供を要求したものです。原告らは、自身の個人情報の保護や処理状況の確認というデータ保護法本来の目的ではなく、将来的に被告に対して提起する予定の損害賠償等の民事訴訟において、自らに有利となる内部証拠を収集する目的でこの強力なアクセス権を行使しました。

スイス連邦最高裁判所はこの判決において、旧データ保護法第8条（現行nDSG第25条に相当）に基づくアクセス権は無条件かつ無制限に行使できるものではなく、純粋に民事訴訟の証拠収集や相手方の情報探索のみを目的として行使された場合には、スイス民法第2条が禁ずる権利の濫用に該当するとして、連邦最高裁は当該申請を退けました。第一審裁判所は、このアクセス要求を不当な証拠探索目的であるとして棄却しましたが、第二審である上訴裁判所は、データ保護法上のアクセス権行使には必ずしもデータ保護上の利益は必要ではないとして、原告のアクセス要求を認めていました。しかし最高裁判所は第二審の法的判断を完全に覆し、情報提供要求が相手方の調査や民事訴訟のための証拠獲得のみに奉仕する場合には、情報自己決定権の保護というデータ保護法の立法趣旨に反する明白な権利の濫用であると断じ、原告の訴えを最終的に退けました。

この判決は公式判例集には収録されない非公式判決（BGer 4A_277/2020）ですが、スイスにおけるデータ保護法上のアクセス権の解釈に関して、法律実務の論稿において引用・参照されている判決です。日本企業がスイスで事業を行う際、顧客や元従業員、取引先から訴訟の準備を目的とした膨大なデータ開示要求を受けた場合には、要求の背景や目的を現地の法律専門家とともに慎重に精査する必要があります。データ主体のすべての要求に無批判に応じるのではなく、データ保護法本来の目的に反する要求に対しては、スイスの判例法理に基づき適切に開示を拒否または制限する対応が法的実務上認められうることを示しています。法令の文言のみならず、連邦最高裁判所の判例が示す解釈の限界を正確に理解し、法的リスクをコントロールする実務能力がスイス進出企業には求められます。

参考：BGer（スイス連邦最高裁判所）｜判決 BGer 4A_277/2020（2020年11月18日）

まとめ

2023年9月に施行された新スイス連邦データ保護法は、スイス国内の個人データを扱うあらゆる国際企業に対して、高度な透明性と厳密なデータ管理を即時に要求するものです。欧州の一般データ保護規則に類似した広範な域外適用やデータ主体の権利強化が行われている一方で、違反行為を行った担当者や経営陣といった個人に対して直接刑事罰を科すという、スイス独自の厳格なアプローチが採用されている点に特別な注意を払う必要があります。進出を計画する企業は、スイス国内での事業開始前に、プライバシーポリシーの抜本的な改訂、データ処理記録の作成と維持、必要な場合におけるスイス国内代理人の選任、適法な越境データ移転の仕組みの構築、そしてインシデント発生時の迅速な通知プロセスの確立という、5つのコンプライアンス基盤を完全に整備しておかなければなりません。また、スイス最高裁判所の判例が示すように、データ主体からの開示要求に対しては権利の濫用を防ぐための法的対応策をあわせて備えておくことが重要です。

こうした高度で専門的かつ現地の最新判例に基づいた対応を日本企業が単独で行うことには大きな法的リスクと限界が伴います。モノリス法律事務所はスイスの法律事務所Araucariaと提携しており、スイス現地法令の正確な解釈や現地の規制当局への適切な対応、要件を満たす代理人の選定から判例に基づく法務戦略の構築に至るまで、日本からスイスへのビジネス展開を包括的かつシームレスにサポートできる専門体制を整えています。現地の深い知見を持つ専門家との連携により、言語や法域の壁を越えたコンプライアンス体制の構築と、円滑な事業展開をサポートします。