日本・スイス間の個人データ相互移転と十分性認定の活用実務
グローバルビジネスにおいて、データの国境を越えた移転は企業の成長とイノベーションを牽引する不可欠な要素です。スイスをはじめとする欧州圏でビジネスを展開する、あるいは市場参入を検討している日本企業にとって、個人データの適法な取り扱いは事業の継続性を左右する重要なコンプライアンス課題です。
本記事では、日本とスイスおよび欧州連合の間で構築されている十分性認定の枠組みに基づき、標準的契約条項などの追加の契約なしで個人データを移転するための条件と、学術研究などに適用される例外規定について詳しく解説します。さらに、最新の法整備の動向を踏まえ、欧州連合やスイスの現地拠点で取得した個人データを日本国内に集約し、安全かつ適法に集中管理するための実践的な法的スキームを提示します。
スイス連邦データ保護法の全面改正とデータ移転規制の基本構造
スイスは欧州の中心に位置しながら欧州連合の加盟国ではないため、EUの一般データ保護規則(GDPR)が直接適用されるわけではありません。その代わりとして、スイス国内では独自にスイス連邦データ保護法(DSG)が施行されています。この法律は近年の急速なデジタル化と欧州連合の法整備の進化に対応するため全面的に改正され、移行期間はほぼ設けられず2023年9月1日に施行されました(DSG Art. 74 Abs. 2)。ただし、それ以前から継続中の処理については、処理目的が変わらず新規データを取得しない範囲で一部条項(Art. 7・22・23)の適用が猶予される限定的な経過規定があります(Art. 69)。
改正された連邦データ保護法はGDPRと高い親和性を持ちつつも、スイス独自の規律を維持しています。たとえば、完全に自動化された個別決定について本人への情報提供と人による再審査を求める仕組み(Art. 21)やデータ保護顧問の任意制(Art. 10)など、GDPRとは異なるアプローチを取る規定も存在します。
最も重要な法理の一つとして、改正された連邦データ保護法は影響主義の原則に基づく域外適用を明文で定めています。これは、たとえデータ処理を行う企業がスイス国外に所在していたとしても、そのデータ処理がスイス国内にいる個人の行動を監視したり、スイス国内の個人に向けて商品やサービスを提供したりする結果としてスイス国内に影響を及ぼす場合には、スイスのデータ保護法が完全に適用されるという原則です。したがって、日本からオンラインでスイス市場にアプローチする場合や、スイスの顧客データを日本のサーバーで処理する場合にも、この法律の要件を遵守する法的義務が生じます。データの処理にあたっては、適法性、信義誠実の原則、そして処理の目的・性質・リスクに照らして比例的な範囲でデータを処理するという比例原則(DSG Art. 6 Abs. 1・2)を守らなければなりません。なお、データは特定の目的のためにのみ収集され、その目的に適合した形でのみ処理されなければなりません(目的拘束原則、同条Abs. 3)。
参考:fedlex(スイス連邦政府法令データベース)|DSG(SR 235.1)
日本とスイスにおける十分性認定の枠組みと非対称性の実務的解決

個人データを国境を越えて移転する場合、移転先の国や地域が十分なデータ保護水準を確保していることが法令上の要件となります。改正されたスイス連邦データ保護法のもとでは、移転先が適切な保護水準を満たしているかどうかの決定権限はスイス連邦内閣にあり、承認された国や地域のリストはデータ保護基本条例の附属書1に明記されています。
ここで実務上重要となるのが、日本とスイス間における十分性認定の「非対称性」です。日本と欧州連合の間では2019年1月に世界初となる相互の十分性認定が発効しており、追加の安全管理措置を講じることなく双方向での円滑なデータ移転が実現しています。また、欧州連合はスイスに対して十分性認定を付与しており(Commission Decision 2000/518/EC、GDPR下でも維持)、EU・EEA加盟国からスイスへのデータ移転は追加の安全管理措置なしに行うことができます。スイスから欧州連合への移転については、スイス連邦内閣がデータ保護基本条例(DSV)の附属書1においてEU・EEA諸国を十分性認定国として指定しており、同様に追加措置不要で移転が可能です。これら二つの認定は、それぞれ異なる法的根拠に基づく別個の枠組みです。さらに、日本の個人情報保護委員会はスイスを個人情報保護法第28条に基づく十分性認定国として指定しておらず、日本からスイスへ個人データを移転する場合は、本人の同意を取得するか、移転先が基準適合体制を整備していることを確認する必要があります。
しかしながら、スイス連邦内閣が定めるデータ保護基本条例の附属書1には、現時点において日本は含まれていません。すなわち、スイスから日本への直接的なデータ移転においては、十分性認定を根拠とすることができず、スイス連邦データ保護・情報コミッショナー(EDÖB)が承認する標準的契約条項を含む適切な保護措置の導入が求められます(DSG Art. 16 Abs. 2)。なお保護措置はSCCのみに限定されず、国際条約、個別契約上のデータ保護条項、または拘束的企業準則(BCR)なども選択可能です。
| データ移転の経路 | 十分性認定の有無 | 必要な法的対応 |
| 日本からスイスへ | なし(日本当局は未指定) | 本人同意または基準適合体制の整備が必要 |
| スイスから欧州連合へ | あり(スイス当局が認定) | 追加契約なしで移転可能 |
| 欧州連合から日本へ | あり(欧州当局が認定) | 追加契約なしで移転可能 |
| スイスから日本へ | なし(スイス当局未認定) | 標準的契約条項などの締結が必須 |
この法的現実を踏まえると、日本企業がスイスのデータを日本国内で集中管理するスキームを構築する際には、単にGDPRの十分性認定に依存するのではなく、スイス独自の法規制に適合したデータ移転契約を締結する実務対応が不可欠となります。
参考:fedlex(スイス連邦政府法令データベース)|DSV(SR 235.11)Anhang 1 十分性認定国リスト
欧州司法裁判所判例「Schrems II」がスイスのデータ移転に与える影響
標準的契約条項を活用してスイスから日本へデータを移転する際、単に契約書に署名するだけでは法的要件を満たしたことにはなりません。国境を越えるデータ移転の実務においては、移転先国の公権力によるデータアクセスの可能性を評価することが求められており、これは欧州司法裁判所の判決によって確立された原則です。
具体的には、欧州司法裁判所が2020年7月16日に下した判決(当事者:Data Protection Commissioner 対 Facebook Ireland Ltd および Maximillian Schrems、事件番号:C-311/18)では、米国へのデータ移転の枠組みであったプライバシーシールドが無効とされました。この判決は、標準的契約条項を用いる場合であっても、移転先国の法令や実務が個人データに対して欧州と同等の保護水準を実質的に保証しているかを検証する「移転影響評価」の実施を事業者に義務付けています。
スイスは欧州連合の加盟国ではありませんが、スイス連邦データ保護・情報コミッショナー(EDÖB)はこの判決の法理を事実上踏襲しており、スイスから十分性認定を受けていない第三国(日本を含む)へデータを移転する事業者に対し、移転先国の法制度における政府のデータアクセス権限やデータ主体の救済手段について厳格な評価を行うことを求めています。したがって、日本のサーバーでスイスのデータを管理する企業は、日本の電気通信事業法・刑事訴訟法などに基づく公権力のデータアクセス権限やデータ主体の救済手段といった法制度上のリスクを評価した上で、必要に応じてデータの暗号化(BYOKやBYOEの原則に基づく鍵管理を含む)などの補完的措置を講じていることを文書化して証明する体制を整えなければなりません。
参考:EDÖB(スイス連邦データ保護・情報コミッショナー)|十分なデータ保護レベルがない第三国への個人データ移転に関する公式見解(標準契約条項・モデル契約)
スイス法令におけるデータ移転の例外条件と学術研究の実務

標準的契約条項の締結が実務上困難な状況であっても、連邦データ保護法は特定の例外条件下において越境データ移転を許容しています。連邦データ保護法第17条によれば、データ主体が特定の移転について明示的な同意を与えた場合や、データ主体との契約の締結または履行に直接関連して移転が不可欠である場合には例外的にデータの越境移転が認められます。また、優越する公益を保護するためや、裁判所等で法的権利を主張または行使するために必要な場合にも例外規定の適用が可能です(DSG Art. 17 Abs. 1 lit. a–c)。なお、同意の有効要件としてArt. 6 Abs. 6は適切な情報提供後の自由な同意を求めています。
これに加えて、ビッグデータやAI開発が進むなかで重要となるのが、学術研究や統計を目的としたデータ処理の例外規定です。連邦データ保護法第31条では、研究、計画、統計といった特定の人格に関連しない目的で個人データを処理する場合、一定の条件のもとで人格権侵害の違法性が阻却されます(同条Abs. 2 lit. e)。ただしこの例外が適用されるためには、研究目的の達成が許す限り速やかにデータを匿名化すること(DSG Art. 31 Abs. 2 lit. e Ziff. 1)、機微データを第三者に開示する際は本人が特定不可能な形にすること、またはそれが不可能な場合は第三者が非個人目的でのみ処理することを担保すること(同Ziff. 2)、および結果を公表する際に本人が特定できない形にすること(同Ziff. 3)が求められます。匿名化が不可能または不均衡な労力を要する場合には、本人の特定を防ぐ適切な措置を講じることが代替要件とされています(同条同号Ziff. 1後段)。
完全に匿名化され、あらゆる合理的な手段を用いても個人の再識別が不可能な状態になれば、そのデータはもはや「特定可能な自然人」に関する情報(DSG Art. 5 lit. a)ではなくなり、データ保護法の適用対象外となります。ただし匿名化の判定は技術的・文脈的に相対的であり、実務上は慎重な評価が必要です。一方で、仮名化されたデータを用いて追跡調査を行う場合には、暗号化やコード化による厳格な技術的保護措置を講じることが必須です。さらに、研究結果をレポートとして公表する際には、特定の個人が識別されない形式で集計・抽象化することが求められます。
参考:EDÖB(スイス連邦データ保護・情報コミッショナー)|研究・統計目的のデータ処理に関するガイドライン
日本の個人情報保護法とスイス連邦データ保護法の重要な違い
スイスでビジネスを展開するにあたり、日本の個人情報保護法とスイス連邦データ保護法の間にある構造的な違いを正確に理解することは、コンプライアンス違反による重い制裁を防ぐために不可欠です。データ最小化の原則の適用において、スイス法はプライバシー・バイ・デザインおよびプライバシー・バイ・デフォルトの原則を明文で規定しており、システムや業務プロセスの設計段階からデータ保護措置を組み込むこと、そして初期設定の段階で目的達成に必要最小限のデータのみが処理されるよう技術的措置を講じることが法的義務となっています。
また、データ保護影響評価の実施義務に関しても顕著な違いが存在します。日本の実務でも事前のリスク評価は推奨されていますが、スイス連邦データ保護法では、大量の機微データの処理や個人の行動を広範囲に監視するシステマティックな処理など、データ主体の人格権または基本的権利に高いリスクをもたらす可能性のあるデータ処理を計画している場合、処理を開始する前にデータ保護影響評価を実施することが法的に強制されています(DSG Art. 22)。
さらに、データ漏洩などのインシデント発生時の当局への通知義務の厳格さも日本の実務とは大きく異なります。日本の制度では事案に応じた具体的な通知期限の目安が設定されていますが、スイス連邦データ保護法は、データ主体の人格権または基本的権利に高いリスクを及ぼす可能性のあるデータセキュリティ違反を発見した場合、「可能な限り速やかに」EDÖBに通知することを義務付けています(DSG Art. 24 Abs. 1)。
制裁金制度の設計思想における違いは、企業にとって最も留意すべき点です。日本の個人情報保護法では、重大な違反が生じた場合、法人に対しては最大1億円の罰金が科されます(第184条の両罰規定)。行為者個人に対しても、命令違反(第178条)や個人情報データベースの不正提供(第179条)に対して拘禁刑または罰金が科されます。これに対し、連邦データ保護法の下では、刑事罰の対象は原則として故意に違反を犯した私人であり、最大25万スイスフランの罰金が科されるリスクがあります(DSG Art. 60–63)。なお、50,000スイスフラン以下の罰金に相当する違反で責任者の特定に不均衡な捜査が必要な場合は、例外的に法人に罰金を科すことも可能です(Art. 64 Abs. 2)。コンプライアンス違反が個人の財産や経歴に直結するため、組織全体の意識改革と厳格な管理体制の構築が求められます。
| 比較項目 | 日本の個人情報保護法 | スイス連邦データ保護法 |
| 域外適用 | あり(日本国内の個人向けサービス等) | あり(スイス国内への影響主義に基づく) |
| 処理活動記録の作成 | 第三者提供記録などの義務はあるが包括的台帳は任意 | 包括的な処理活動記録の作成・維持が法的義務 |
| 漏洩時の報告期限 | 速やかに(実務上3~5日以内の速報等) | 可能な限り速やかに(具体的な日数猶予なし) |
| データ保護影響評価 | ガイドラインでの推奨 | ハイリスクな処理において法的に実施義務あり |
| 罰則の主な対象 | 法人に対する高額な罰金(最大1億円) | 違反に関与した個人の責任者(最大25万スイスフラン) |
スイスを含む欧州拠点の個人データを日本国内で集中管理するアプローチ

日本企業がスイスを含む欧州の現地法人や支店から個人データを収集し、日本国内のサーバーやクラウドシステムで集中管理する場合には、GDPRおよびスイス連邦データ保護法の双方の要求水準を満たす高度なデータガバナンス体制の構築が求められます。この法的スキームの土台となるのが、処理活動記録の作成と維持です。企業は、処理するデータの種類・目的・保持期間・スイスから日本への移転状況などを記録した処理活動記録を最新の状態に保つ義務があります(DSG Art. 12 Abs. 2)。ただし、従業員250人未満の企業であって、機微データの大規模処理も高リスクプロファイリングも行っていない場合は、この記録作成義務が免除されます(Art. 12 Abs. 5 委任に基づくDSV Art. 24)。スイスから日本への移転経路においては、前述の通り十分性認定が直接適用されないため、スイス当局が承認した標準的契約条項を締結した上で、移転影響評価を実施し、日本の法制度がスイス基準の保護を阻害しないことを文書化して証明しなければなりません。
さらに、日本企業がスイス国内に物理的な拠点を置いていない場合であっても、①スイス国内の個人に対して商品・サービスを提供しまたはその行動を観察する処理であり、②大規模かつ③継続的な処理で、④データ主体の人格権に高いリスクをもたらす可能性がある場合には、スイス国内に代理人を選任することが連邦データ保護法第14条により法的に義務付けられています(4要件すべての累積充足が必要)。この代理人は、EDÖBおよびデータ主体からの問い合わせに対する公式な窓口として機能します。日本本社で集中管理を行う体制においては、この現地代理人との迅速なコミュニケーションチャネルを確立し、情報開示請求やデータ削除要請、あるいはセキュリティインシデント発生時に即座に連携して対応できる業務フローを構築することが、適法性を担保するために必須です。
参考:fedlex(スイス連邦政府法令データベース)|DSG(SR 235.1)Art. 14(代理人選任義務)
まとめ
日本、スイス、そして欧州連合の間における個人データの越境移転は、十分性認定という制度に支えられつつも、スイスから日本への直接移転においては標準的契約条項の締結が必須となるなど、各国の法制度が織りなす複雑な規制の理解を前提として行われています。スイス連邦データ保護法の全面改正により、影響主義に基づく域外適用、ハイリスクな処理に対するデータ保護影響評価の義務化、そして可能な限り速やかな漏洩報告体制の構築など、日本企業が対応すべきコンプライアンス要件は一段と厳しくなっています。
これらに対応しつつ、欧州全域のデータを日本で安全に集中管理するためには、各国の法令の違いを正確に把握し、グローバル基準のデータガバナンス体制を組織全体に定着させることが不可欠です。また、法人ではなく個人の責任者に直接罰金が科されるスイス特有のリスクを管理するためにも、設計段階からのプライバシー保護を徹底しなければなりません。これらの高度な法的スキームを実務に落とし込み、欧州圏でのビジネスを安全かつ円滑に展開するためには、現地法令の解釈や当局の最新動向に精通した専門家による実践的なサポートが不可欠です。
モノリス法律事務所はスイスの法律事務所Araucariaと提携しており、現地法令や現地における各種手続きに直接対応できる強固な体制を整えています。複雑なデータ移転規制のクリアランスから、データ保護影響評価の実施支援、スイス現地代理人の選任手配、さらにはインシデント発生時のスイス当局への迅速な報告対応まで、包括的なリーガルサービスを通じて皆様のグローバルなデータ活用をサポートいたします。
河瀬 季
Toki Kawase
IT企業経営の経験を持つエンジニア出身の弁護士。東大院修了後、モノリス法律事務所を開設。上場企業からスタートアップまで顧問弁護士やCLOとして経営を支援する。特にスイス法務に精通し、専門チームを率いて現地法人設立から労務、知財戦略分野で日本企業のスイス進出を多角的にサポートしている。
Contact お問い合わせ
日本語でのご相談が可能です。
スイス進出前のご相談から、進出後の法務対応まで幅広く対応しています。