新スイス連邦データ保護法(nDSG)の深掘り:GDPR対応企業の追加対策

新スイス連邦データ保護法(nDSG)の深掘り:GDPR対応企業の追加対策

2023年9月1日に全面施行された新スイス連邦データ保護法(nDSG)は、スイス国内のデータプライバシー規制の新たな基準となる、重要な法改正です。既にGDPR(一般データ保護規則)に準拠している企業であっても、スイス市場で事業を展開する上では、スイス特有の厳格な規制に対する追加対策が不可避となります。最新の法令や判例動向を正確に把握し、自社に即したコンプライアンス体制を整える必要があります。

本記事では、個人情報の定義におけるスイス固有の微差や、新たに義務化されたデータ保護影響評価(DPIA)の運用要件について詳しく解説します。さらに、企業にとって最大の脅威となり得る「故意による違反に対する個人の刑事罰(最高25万スイスフラン)」という重大な法的リスクを回避するため、内部統制と従業員教育のあり方を提示します。

新スイス連邦データ保護法(nDSG)の全体像とGDPRとの比較

スイスの新しい連邦データ保護法(nDSG)は、技術的および社会的な変化や、国際法の要件に適応し、欧州とのデータ流通の自由を維持するために、1992年に制定された旧法を全面的に改訂したものです。この法改正により、スイス国内の自然人のデータを処理するすべての組織に対して、現代のデジタル社会に即した、透明性と説明責任が求められるようになりました。スイス国外に拠点を置く企業であっても、スイス居住者の個人情報を処理し、スイス市場に向けてサービスを提供する場合には、法的な域外適用を受けることになります。

GDPR(一般データ保護規則)の対応を完了している企業は、データ保護の基本的なフレームワークを既に構築しているため、多くの要件を満たしていますが、以下の表に示す通り、スイス固有の法的要件を見落とすと、重大な違反に繋がる恐れがあります。

比較項目スイス連邦データ保護法(nDSG)EU一般データ保護規則(GDPR)
施行日2023年9月1日2018年5月25日
保護対象スイス国内の自然人(法人は除外、域外適用あり)EEA域内の自然人(域外適用あり)
監督機関スイス連邦データ保護情報特命官(FDPIC)各加盟国のデータ保護当局(DPA)
制裁の種類と上限個人への刑事罰(故意違反時):最高25万フラン企業に対して最高2000万ユーロまたは全世界年間売上高の4%
高リスクプロファイリング私人が高リスクなプロファイリングを実施する際には、明示的な同意が必要(第6条第7項)自動化された意思決定に対して同意または契約上の必要性等が要求される
DPIAの要否高リスクな処理において事前の実施が原則として義務(第22条)。ただし、法令上の義務として処理を行う場合や、認証済みシステムを利用する場合などは除外規定が適用される。高リスクな処理において事前の実施が義務(第35条)

旧法から大きく変更された点として、法人のデータが保護対象から除外され、自然人のデータのみが保護されることになりました。これは、GDPRや日本の個人情報保護法と同様のアプローチであり、実務上の混乱は少ないと言えます。しかし、要配慮個人情報(機微データ)の定義には、特段の注意が必要です。スイスの法律では、宗教・思想・政治・組合活動に関するデータ、人種・民族や健康・私生活に関するデータ、遺伝情報、自然人を一意に識別する生体情報、行政上・刑事上の訴追または制裁に関するデータ、社会的扶助の措置に関するデータが、明示的に要配慮個人情報として定義されています。

日本の個人情報保護法では、犯罪の経歴などが要配慮個人情報として厳格に扱われますが、社会的扶助に関する情報が、独立して明記されている点はスイス特有の制度的背景を反映したものであり、留意すべき重要な違いです。企業が人事労務管理や採用時のバックグラウンドチェックなどで、スイス居住者のデータを扱う際にも、意図せず社会的扶助に関する情報が含まれる可能性があるため、データの取得範囲を最小限に留める設計が求められます。これらのデータを大規模に処理する場合や、国外へ移転する場合には、より厳格な安全管理措置と文書化の義務が発生します。

参考:fedlex(スイス連邦政府法令データベース)|SR 235.1 連邦データ保護法(DSG)

スイスにおけるデータ保護影響評価(DPIA)の義務化と注意点

スイスにおけるデータ保護影響評価(DPIA)の義務化と注意点

企業によるデータ処理が、データ主体の人格権や基本的人権に対して高いリスクをもたらす可能性が高い場合、第22条の規定により、データ保護影響評価(DPIA)の事前の実施が法律によって義務付けられています。新しい技術を利用する場合や、要配慮個人情報を大規模に処理する場合、さらに、公共の場所を大規模かつ体系的に監視する場合には、原則として高いリスクが存在するとみなされます。影響評価の過程では、予定されているデータ処理の性質や範囲を記述し、リスクを評価した上で、個人の権利を保護するための具体的な対策を記述する必要があります。

すでに進行中のデータ処理についても現状を点検し、計画されている処理との主要な違いを、影響評価書に明記することが求められます。日本法においては、現時点で民間企業に対するデータ保護影響評価の法的な実施義務は明文化されておらず、この点は、スイスや欧州の法令において、特に意識して対応すべき要件です。

企業がデータ保護影響評価を実施し、さまざまな対策を講じたにもかかわらず、依然として高いリスクが残存する場合、第23条の規定に基づき、スイス連邦データ保護情報特命官(FDPIC)への事前協議が義務付けられています。特命官は、原則として2ヶ月以内に異議の有無を通知します。複雑な処理の場合には、この期限が1ヶ月延長され、最大3ヶ月となる場合があります(第23条第2項)。

しかし、民間企業が、内部または外部に専門知識を持つnDSG第10条の要件(独立性・兼任不可・専門性・連絡先の公表)をすべて満たすデータ保護顧問を任命し、その顧問に事前に諮問していた場合には、第23条第4項に基づき当局への事前協議が免除されます。この免除規定を適用するためには、データ保護顧問が経営陣の指示に縛られず、独立して職務を遂行できる体制が確保されていなければならず、社内の情報システム管理や人事部門の実務責任者との兼任は、利益相反の観点から原則として認められません。

日本企業がスイスで事業を展開する際には、現地の法令に精通した独立性のあるデータ保護顧問を配置することで、当局との手続きによる遅延を回避し、迅速な事業展開を実現できます。

参考:FDPIC(スイス連邦データ保護情報特命官)|データ保護影響評価(DPIA)ガイダンス

スイス特有のデータ保護法違反と厳格な罰則体系

新しい法律において、最も画期的で企業への影響も大きい要素が、罰則規定の強化とその対象範囲です。GDPRでは、法人に対して巨額の行政制裁金が科される仕組みが採用されていますが、スイスの法制度では、企業という法人格そのものではなく、実際に違法な意思決定を行った自然人、すなわち、個人のみが処罰の対象となるという、根本的な違いが存在します。

故意による違反に対する個人の刑事罰(最高25万スイスフラン)

第60条から第63条の規定により、データ保護に関する特定の義務違反が発覚した場合、最高25万スイスフランの罰金が、個人の刑事罰として科される可能性があります。対象となるのは故意による違反に限られます(Art. 60–63)。義務の不作為(例:情報提供を意図的に行わない場合)も故意として問われ得ます(Art. 60 Abs. 1 lit. b)。データ処理の実務を統括するコンプライアンス責任者や、情報セキュリティ部門の長が、直接的に刑事責任を問われるリスクが生じます。

具体的な処罰対象行為は、①データ主体への情報提供義務の違反(Art. 60 Abs. 1、申告制)、②FDPIC調査における虚偽申告または協力拒否(Art. 60 Abs. 2、職権)、③無断の越境データ移転(Art. 61 lit. a)、④委託先への不適切な処理委託(Art. 61 lit. b)、⑤最低限のデータセキュリティ要件の不遵守(Art. 61 lit. c)、⑥職業上知得した機密個人情報の漏洩(Art. 62)、⑦FDPICまたは不服申立機関の命令への不服従(Art. 63)が含まれます。例外として、第64条第2項において、罰金が5万スイスフランを超えず、かつ責任ある個人を特定するための調査費用が科される刑罰に比して不均衡となる場合には、個人の追訴に代えて企業(事業体)に罰金を科すことができると規定されています。通常の役員賠償責任保険(D&O保険)では、刑事手続きの防衛費用が標準で除外されていることが多いため、個人の刑事罰に備えた、雇用契約上の補償条項や保険契約内容の見直しが必要となります。

情報提供義務とデータセキュリティ要件の厳格化

第19条に基づく情報提供義務では、データを収集する際に、管理者の身元や連絡先、および、処理の目的とデータの受領者を、データ主体に対して明確に通知しなければなりません。また、データセキュリティの観点から、データ保護令において、機密性・可用性・完全性を確保するための適切な技術的・組織的措置を講じることが義務付けられています。要配慮個人情報を大規模に自動処理する場合や高リスクプロファイリングを実施する場合で、かつ予防的措置によってはデータ保護が担保できないときは、少なくともデータの保存・変更・開示・削除・破棄およびアクセスの記録を作成し、システムから分離した状態で1年以上保存しなければなりません(DSV第4条)。

参考:fedlex(スイス連邦政府法令データベース)|SR 235.11 データ保護令(DSV)

スイスにおける高リスクプロファイリングとAIの法的規制

スイスにおけるデータ保護影響評価(DPIA)の義務化と注意点

デジタルマーケティングや、人工知能を活用したサービスにおいて、利用者の行動履歴や購買データを分析するプロファイリングの重要性が高まっています。スイスの法律では、単なるプロファイリングと、高リスクなプロファイリングを明確に区別しています。高リスクなプロファイリングとは、複数のデータを照合することによって、自然人の性格の重要な側面や健康状態、経済状況などを評価または予測できるような処理を指します。

GDPRでは、自動化された意思決定そのものに対して規制が設けられていますが、私人が高リスクなプロファイリングを行う場合、原則として、データ主体の明示的な同意が必要です(nDSG第6条第7項)。ただし、法令上の根拠がある場合など、同意以外の根拠によってプロファイリングが正当化される場合もあります。特命官が2025年10月に発表した更新版のCookieに関するガイドラインでは、位置情報データをCookie等を用いて継続的に収集し、詳細な移動プロファイルを作成するような行為は、高リスクなプロファイリングに該当し、事前の明示的な同意が不可欠であると明確化されました。

また、特命官は2025年5月8日に公表した文書において、新スイス連邦データ保護法は、人工知能を活用したデータ処理に対しても、直接適用されると明言しています。AIシステムが自動化された個別の意思決定(法的効果を伴うか、本人に重大な影響を与えるもの)を行う場合、データ主体にその旨を通知し、自己の見解を示す機会および自然人による見直しを要求する権利を与えなければなりません(nDSG第21条)。

参考:FDPIC(スイス連邦データ保護情報特命官)|AIとデータ保護

スイスのデータ保護における最新の判例と当局の執行状況

スイス連邦データ保護情報特命官(FDPIC)は、第49条第1項に基づき、データ保護規定に違反している十分な徴憑がある場合には、職権または告発を契機として調査を開始できます(同条第2項により、違反の重大性が低い場合は開始を見送ることもできます)。調査の結果として、FDPICは違反企業に対し、処理方法の是正から処理の全面的な禁止に至るまで、拘束力のある措置を命じることができます。実際に、こうした処分の適法性が裁判所で争われ、FDPICの判断が支持された事例も生じています。

Bürgerforum Schweizに対するスイス連邦行政裁判所判決の解説

スイス連邦行政裁判所は2025年10月6日、市民団体Bürgerforum Schweizが提起した控訴を棄却し、FDPICによる処理禁止命令(データ処理が比例原則に違反するとの認定)を支持しました(事件番号A-2941/2024)。この事件において、当該市民団体は、オンラインキャンペーンの一環として、聖職者らの連絡先を無断で収集し、アンケートを送付した上で、誰がどのような回答をしたかを、オンラインデータベースに記録して、一般に公開していました。市民団体側は、個人のデータの削除要請にも応じず、処理を継続していましたが、特命官は、単に質問票を送付されただけの個人のデータを、インターネット上に公開することは、比例原則に違反していると判断し、データの処理を禁止する処分を下しました。

裁判所は、この処分を支持し、アンケートの対象となっただけの個人の宗教的信条に関する情報を公開することは、調査の代表性を示すために必要ではなく、決して正当化されないとの見解を示しました。この判例は、企業や組織がデータを公開・共有する際に比例原則がいかに厳格に適用されるかを示す実例です。データ収集の目的に対して手段が過剰であってはならないという原則は、事業者が広く認識すべき重要な基準です。

参考:FDPIC(スイス連邦データ保護情報特命官)|プレスリリース:連邦行政裁判所がFDPICの実務を支持

Add Conti GmbHに対する刑事告発事例

当局の調査権限を軽視することが、いかに重大な結果を招くかを示す事例を紹介します。FDPICは2025年6月4日、複数の個人からの申告に基づき、マーケティング企業Add Conti GmbHに対する職権調査を開始しました。同社には、ドイツ居住者の個人情報を、本人の知らぬ間に収集し、広告目的で提供していた疑惑がありました。特命官は、義務違反が最高25万スイスフランの罰金につながる旨を警告した上で、正式通知により30日以内の回答を求めましたが、同社は猶予期間を経ても回答せず、意図的に協力を拒否し続けました。そのため特命官は2025年8月14日、nDSG第60条第2項に基づく調査協力義務違反として、管轄の法執行機関へ刑事告発を行いました。

この事例は、スイスにおけるデータ保護当局からの要求に対する、意図的な非協力が、直ちに刑事事件へと発展する、現実的なリスクを示しています。

参考:FDPIC(スイス連邦データ保護情報特命官)|Add Conti GmbHに対する刑事告発通知

スイスと日本の法律の違いと越境データ移転のコンプライアンス

スイスから国外へのデータ移転においても、厳格な要件が課されています。第16条の規定により、スイス連邦参事会が、移転先の国または国際機関において、適切なレベルのデータ保護が保証されていると判断した場合にのみ、事前の手続きなしに個人データを移転することが可能です。

日本はEUとの間では相互の十分性認定を得ていますが、スイスは独自の適切性評価リスト(DSV付属書1)を維持しており、日本は現時点でこのリストに収載されていません(2025年12月1日現在)。したがって、スイスから日本へ個人データを移転する際には、FDPICが承認した標準データ保護条項(SCC。FDPICは2021年のEU SCCsを承認済み)や拘束的企業規則(BCR)の導入といった追加的な保護措置に加え、移転先国の法制度の評価(TIA)を実施しなければなりません。

まとめ

本稿で詳述した通り、新スイス連邦データ保護法(nDSG)は、GDPRと高い互換性を持ちながらも、故意による違反に対する個人の刑事罰という制裁措置や、高リスクプロファイリングに関する厳格な同意要件など、企業に対して独自の厳格な対応を要求しています。日本の法律やEUの規則とは異なる判断基準が存在するため、欧州全域でのビジネス展開を見据える企業は、表面的な法令遵守にとどまらず、データ保護影響評価(DPIA)の適切な実施や、越境データ移転における標準データ保護条項の整備など、包括的かつ実効性のあるコンプライアンス体制を構築しなければなりません。

技術の急速な進化に伴い、人工知能を用いた自動化された意思決定や、ウェブサイトにおけるクッキーを通じた位置情報の追跡など、データプライバシーを取り巻く環境は日々変化しています。これに対して、スイス連邦データ保護情報特命官(FDPIC)も、継続的にガイドラインを改訂し、法執行の姿勢を強化しているため、企業は一度体制を構築して終わりではなく、常に最新の規制動向に即した、運用ルールの見直しを迫られます。

このような高度かつ複雑な法的要件に対応し、スイスおよび欧州圏でのビジネスを安全に推進するため、モノリス法律事務所は、スイスの法律事務所Araucariaと緊密に提携し、現地の法令や手続きに精通した、専門的な法的サポートを提供しています。複雑化するデータ保護規制に対して、最新の法改正や判例動向を的確に踏まえた、実践的なアドバイスを行い、当局との円滑な事前協議のサポートから、社内規定の策定、ならびに従業員教育の実施まで、一貫して支援します。両事務所の緊密な連携により、企業の皆様の海外展開における不測の法的リスクを最小化し、グローバル市場での持続的かつ安全なビジネスの成長を後押しいたします。

監修

河瀬 季

Toki Kawase

IT企業経営の経験を持つエンジニア出身の弁護士。東大院修了後、モノリス法律事務所を開設。上場企業からスタートアップまで顧問弁護士やCLOとして経営を支援する。特にスイス法務に精通し、専門チームを率いて現地法人設立から労務、知財戦略分野で日本企業のスイス進出を多角的にサポートしている。

海外監修

Anca Draganescu Pinawin

Araucariaの創設者。商標弁護士として企業の知的財産権保護や戦略立案に豊富な経験を持ち、大手NovagraafのシニアIPカウンセルも務めた。データ保護の専門資格を有し、GDPR準拠も支援。WTR1000に毎年選出され、メディアや広報の経歴も持つ。

Contact お問い合わせ

日本語でのご相談が可能です。
スイス進出前のご相談から、進出後の法務対応まで幅広く対応しています。

ご相談・お問い合わせはこちら