スイスにおけるサイバー犯罪への法的対抗措置:不正アクセスとデータ漏洩

スイスにおけるサイバー犯罪への法的対抗措置:不正アクセスとデータ漏洩

欧州圏に進出する日本企業にとって、国境を越えたサイバー犯罪への対応は重要な経営課題です。とりわけ、欧州経済の中心地の一つであるスイスでビジネスを展開する際に、システム侵入やデータ漏洩が発生した場合には、スイスの法規制に基づいた適切な対応が必要です。サイバー犯罪に対する事後対応の成否は、高度なITフォレンジック技術を用いた証拠保全と、現地の刑事法および民事法に精通した法的手続きの連携にかかっています。

本記事では、不正アクセスの被害に遭った企業が取るべき刑事告発の手続きと、損害賠償請求に向けた民事上の対応策について、スイスの法令と判例を交えて解説します。日本の法制度との主な相違点も整理し、現地でのリスクマネジメントの指針を提示します。

スイス刑法典に基づくサイバー犯罪の定義と不正アクセスの対応

スイスでサイバー犯罪の被害に遭った場合、まず把握すべきなのは、スイス刑法典が不正アクセスやデータ漏洩をどのように定義し、処罰の対象としているかという点です。スイス刑法典は、デジタル空間における財産権やプライバシーの保護を目的として、複数のサイバー犯罪関連規定を設けています。とりわけ実務上頻繁に問題となるのが、データの不正取得を定めるスイス刑法典第143条、データ処理システムへの不正アクセスを定める第143条の2、およびデータの損壊を定める第144条の2です。

日本の不正アクセス行為の禁止等に関する法律が、識別符号の不正入力やセキュリティホールの攻撃を中核的な要件としているのに対し、スイス刑法典第143条の2は、アクセスを防ぐために特別に保護されている他人のデータ処理システムに対して、データ伝送設備を用いて不正に侵入する行為を広く処罰の対象としています。これは、技術的なハッキング手法の高度さに焦点を当てるのではなく、システム管理者が設定したアクセス制御の意思を侵害したかどうかが重視されることを意味しています。さらに同条第2項では、不正アクセスに使用されることを知り、または知るべき立場でありながら、パスワードやプログラムなどのデータを流通させたり、アクセス可能にしたりする行為自体も、独立した犯罪として処罰されます。

スイスの司法判断の厳格さを示す判例として、以下の事件があります。スイス連邦最高裁判所が2019年5月17日に下した判決(6B_1207/2018、BGE 145 IV 185として登載)において、別居中の夫の電子メールアカウントに対して、妻が不正アクセスを行った事件が審理されました。この事件において妻は、高度なハッキング技術を用いたわけではなく、かつての同居先の机に夫が偶然置き忘れていたパスワードが書かれたカードを発見し、それを用いて夫のパスワード保護された電子メールアカウントにログインしました。

妻側は、フィッシングやハッキングのような犯罪的エネルギーを伴う手法を用いておらず、偶然パスワードを入手したに過ぎないため、不正アクセスには該当しないと主張しました。しかしスイス連邦最高裁判所はこの主張を退け、アクセス保護メカニズムであるパスワードを入力して他人の保護されたシステムに侵入した以上、そのパスワードの入手経路にかかわらず、スイス刑法典第143条の2第1項の不正アクセス罪が成立すると判示しました。この判決は、スイスにおけるサイバー犯罪に対する対応において、システムへの不正アクセスという行為そのものが厳しく問われることを示しています。

参考:BGer(スイス連邦最高裁判所)|判例 BGE 145 IV 185(Art. 143bis StGB 不正侵入)

スイス新データ保護法と情報セキュリティ法に基づくデータ漏洩報告義務

スイス新データ保護法と情報セキュリティ法に基づくデータ漏洩報告義務

サイバー犯罪によって企業が保有する個人情報や機密データが漏洩した場合、被害企業は直ちにデータの管理者としての重い法的義務を負うことになります。スイスでは2023年9月1日に全面改正された新データ保護法(nDSG)が施行され、企業に対する規制がEUの一般データ保護規則(GDPR)に類似する方向で強化されました。ただしnDSGはGDPRの写しではなく、適用範囲や個別制度に相違があるため、GDPR対応をそのまま流用できない点に留意が必要です。

新データ保護法第24条は、データセキュリティの侵害が発生し、それがデータ主体の人格または基本的権利に対して高いリスクをもたらす可能性が高い場合、データ管理者は連邦データ保護・情報コミッショナー(EDÖB)に対して速やかにデータ漏洩の通知を行わなければならないと明確に規定しています。また、データ処理を委託された受託者は、データセキュリティの侵害を発見した場合、速やかに委託元である管理者に通知する義務を負います(nDSG第24条第3項)。委託元である管理者がEDÖBに行う通知には、侵害の種類、その影響、講じた/講じる予定の対策を最低限含める必要があります(同条第2項)。

日本の個人情報保護法においては、漏洩発生時の個人情報保護委員会への報告に関して、速やかな要報と一定期間内の確報という段階的な期限がガイドライン等で示されていますが、スイスのデータ保護法における「可能な限り速やかに」という要件は、事案の深刻さに応じて厳格に解釈される傾向にあります。もう一つ注意が必要な違いは、制裁の名宛人です。日本では義務違反に対して主に法人への罰金が課されるのに対し、スイスのデータ保護法では罰則は原則として責任を負う自然人(個人)に直接科され、法人が名宛人となるのは限定的な例外(第64条第2項)に限られます。情報・開示・協力義務に違反して故意に虚偽または不完全な情報を提供した場合などには、最大25万スイスフランの罰金が当該個人に科され得ます。これは、企業内でデータ保護を担当する個人の責任を重く見るスイス独自のアプローチです。

参考:fedlex(スイス連邦政府法令データベース)|SR 235.1 データ保護法(DSG)

さらに、スイスでビジネスを展開する上で重要インフラを運営する企業は、連邦情報セキュリティ法に基づく追加の義務を負う可能性があります。2025年4月1日に施行された改正情報セキュリティ法(ISG)により、重要インフラの運営者は、サイバー攻撃を発見してから24時間以内に連邦サイバーセキュリティ局(BACS)へ報告することが義務付けられました。この報告義務は単なるデータ漏洩にとどまらず、システムの機能を脅かす、情報の改竄・流出を招く、長期間未検知である、または恐喝・脅迫を伴う意図的なサイバー攻撃が対象となります(ISG第74d条)。なお報告義務を負うのは法律が列挙する重要インフラ運営者です(同第74b条)。

参考:BACS(連邦サイバーセキュリティ庁、旧NCSC)|サイバーインシデント報告ポータル

スイスにおける刑事告発とITフォレンジックを活用した客観的証拠の立証

不正アクセスやデータ漏洩の事実を認識した企業は、行政機関への報告と並行して、スイスの捜査機関に対する刑事告発を速やかに検討する必要があります。スイス刑事訴訟法第301条は、何人も犯罪の事実を警察または検察官に対して口頭または書面で申告することができると定めています。しかしサイバー犯罪の特性上、単にシステムに侵入されたという事実を申告するだけでは、スイスの捜査機関が効果的な捜査を開始することは困難です。

ここで重要になるのが、ITフォレンジックの専門的視点を取り入れた初動対応です。スイスの刑事手続きにおいては、刑事訴訟法第6条が定める職権探知主義により、検察官は有罪方向の事情と無罪方向の事情を同等の注意をもって調査する義務を負います。そのため被害を受けた企業は、社内ネットワークのログ、サーバーのアクセス記録、マルウェアの検体、通信のパケットデータなどを法的に有効な形で保全し、攻撃経路や情報流出の痕跡を論理的に証明できるフォレンジックレポートを作成して捜査機関に提出することが求められます。

スイス刑事訴訟法第31条・第32条は犯行地や被疑者の所在に基づく裁判籍(土地管轄)を定めます。サイバー犯罪では犯行地の特定が問題となりやすく、ITフォレンジックによる痕跡の解析がその判断材料となる場合があります。サイバー犯罪は国境を越えて行われることが多く、攻撃者のサーバーが第三国を経由しているケースが一般的です。犯罪の結果がスイス国内のサーバーやスイス法人の事業に発生していることを、技術的かつ客観的なデータによって立証することが、スイス当局の管轄権行使と国際捜査共助要請の基盤となります。

参考:fedlex(スイス連邦政府法令データベース)|SR 312.0 刑事訴訟法(StPO)

スイスでのデータ漏洩に伴う民事上の損害賠償請求と付帯私訴の活用

スイスでのデータ漏洩に伴う民事上の損害賠償請求と付帯私訴の活用

刑事手続きによる加害者の処罰に加えて、被害を受けた企業にとって事業の回復と経済的損失の補填を目的とした民事上の損害賠償請求は不可欠な対応です。スイスにおける不法行為に基づく損害賠償請求は、スイス債務法第41条を根拠とします。同条は、故意または過失によって他人に不法に損害を与えた者は、その損害を賠償する義務を負うと明記しています。

サイバー犯罪に対する民事責任の追及は、直接の攻撃者に対する請求だけにとどまりません。例えば、ITシステムの構築や保守を委託している外部ベンダーが、既知の致命的な脆弱性を放置していたり、契約で定められた適切なセキュリティ対策を怠っていたりした結果として不正アクセスを許した場合、その過失を理由として、委託先ベンダーに対して債務不履行または不法行為に基づく損害賠償を請求できる可能性があります。この際、前述のITフォレンジック調査によって明らかになった侵入の手口やシステムの脆弱性の状況が、相手方の過失を立証するための中核的な証拠となります。

スイスの法制度において日本企業が特に認識しておくべき強力な手続きとして、刑事手続きの中で民事上の損害賠償請求を併せて行うことができる付帯私訴の制度が存在します。スイス刑事訴訟法第122条等に基づくこの制度を活用することで、被害企業は刑事裁判に私訴原告として参加し、国家の強力な捜査権限によって収集された証拠を利用しながら、データ復旧にかかった費用や事業停止に伴う逸失利益などの民事的な賠償を求めることが可能になります。日本にも特定の重大犯罪を対象とした損害賠償命令制度が存在しますが、スイスの付帯私訴制度はサイバー犯罪を含む広範な財産犯に対してより一般的に活用されており、独立した民事訴訟を別途提起する時間とコストを大幅に削減できるという実務上の大きな利点があります。

参考:fedlex(スイス連邦政府法令データベース)|SR 220 債務法(OR)

以下の表は、日本とスイスにおけるサイバー犯罪発生時の法制度、および事後対応における主な違いを整理したものです。現地のコンプライアンス要件を遵守するためには、これらの制度的差異を正確に把握しておくことが不可欠です。

比較項目日本の法制度と実務スイスの法制度と実務
不正アクセスの要件識別符号の不正入力やセキュリティホールの攻撃など、技術的手段が要件となる。パスワード入力等によるシステムへの侵入自体が問われ、入手経路の偶然性は問われない。
データ漏洩の報告要件個人情報保護委員会への速やかな要報、および一定期間内の確報という段階的な報告が求められる。EDÖBへの可能な限り速やかな報告が求められ、深刻度に応じた厳格な対応が必要となる。
重要インフラの報告義務行政機関への報告努力義務や、ガイドラインに基づく対応が中心となる。情報セキュリティ法(ISG)に基づき、重要インフラ運営者は、サイバー攻撃発見後24時間以内の連邦サイバーセキュリティ局(BACS)への報告が法的義務となる。
義務違反に対する制裁主に法人に対する罰金や行政指導が行われる。データ保護法上の罰則は、原則として責任を負う個人に対し最大25万スイスフランの罰金が直接科され、法人が名宛人となるのは限定的な例外に限られる。
刑事裁判における損害賠償損害賠償命令制度の対象犯罪は限定的であり、多くの場合別途民事訴訟の提起が必要となる。付帯私訴制度が広く活用されており、刑事手続き内で国家の証拠を利用して民事上の損害賠償請求を効率的に行うことが可能である。

まとめ

スイスにおけるサイバー犯罪への事後対応には、攻撃の全容を解明するITフォレンジック技術と、スイス刑法典・刑事訴訟法・債務法・新データ保護法を横断する法的知見の両方が求められます。初期段階での証拠保全の失敗や連邦データ保護・情報コミッショナー(EDÖB)への報告の遅延は、後続の刑事告発や損害賠償請求の権利を事実上喪失させるだけでなく、企業や担当者個人に対する高額な罰金リスクも招くおそれがあります。したがって、現地の法規制に準拠した迅速な意思決定と実行が、被害企業には求められます。

このような高度な専門性が要求される事態に対し、モノリス法律事務所はITおよびインターネット法務とITフォレンジックの知見を活かし、被害の最小化と法的権利の保全に取り組みます。さらに、スイス国内での法的手続きをシームレスかつ確実に行うため、モノリス法律事務所はスイスのジュネーブに拠点を置く法律事務所Araucariaと強固な提携関係を築いています。Araucariaは知的財産権およびデータ保護分野において極めて高い専門性を有しており、同事務所を率いるAnca Draganescu-Pinawin弁護士は、IAPP認定のデータ保護専門家として、スイスの新データ保護法や欧州一般データ保護規則へのコンプライアンス対応、さらには現地の捜査機関や司法当局との折衝において豊富な実績を誇ります。

ITフォレンジックに基づく証拠抽出と現地法務専門家の実務対応を組み合わせることで、モノリス法律事務所とAraucariaの提携チームは、行政機関への通知から刑事告発、民事上の損害賠償請求まで、スイスでサイバー犯罪に直面した日本企業への包括的なサポートを提供します。現地での法的トラブルのご相談や、コンプライアンス体制の事前整備についてもお気軽にご連絡ください。

監修

河瀬 季

Toki Kawase

IT企業経営の経験を持つエンジニア出身の弁護士。東大院修了後、モノリス法律事務所を開設。上場企業からスタートアップまで顧問弁護士やCLOとして経営を支援する。特にスイス法務に精通し、専門チームを率いて現地法人設立から労務、知財戦略分野で日本企業のスイス進出を多角的にサポートしている。

Contact お問い合わせ

日本語でのご相談が可能です。
スイス進出前のご相談から、進出後の法務対応まで幅広く対応しています。

ご相談・お問い合わせはこちら