【特別寄稿】スイス連邦データ保護法(FADP)とは?GDPR対応だけでは不十分な理由
この度、モノリス法律事務所は、スイス・ジュネーブを拠点に欧州の先端法務をリードする「Araucaria」との業務提携を開始いたしました。
IT・インターネット分野や知財戦略に強みを持つ当事務所と、欧州のデータ保護(GDPR)や国際商標、テクノロジー法において約20年の豊富な実績を誇るAraucariaが手を取り合うことで、より強固なグローバルサポート体制を実現。現地のリアルタイムな法的知見と直結したワンストップ対応により、日本企業のクロスボーダー取引や複雑な国際規制対応を、これまで以上に力強く、多角的にバックアップしてまいります。
この記事では、Araucariaの創設者であり代表弁護士であるAnca Draganescu-Pinawin氏にご寄稿いただいたスイス連邦データ保護法(FADP)についての解説をご紹介します。
この記事の目次
GDPR対応だけではスイスまでカバーできない
国際的に事業を行う日本企業では、「GDPR(欧州一般データ保護規則)に対応していれば、欧州全域のデータ保護対策は自動的にカバーできる」と考えられがちです。しかし、スイスはEU加盟国ではなく、独自のデータ保護法である「スイス連邦データ保護法(Federal Act on Data Protection、FADP)」を施行しています。FADPは独自の適用範囲や文書化要件、そして独自の執行制度を有しているため、GDPR対応をしただけではスイスまでカバーすることはできません。
スイスFADPの適用範囲と日本企業における3つの典型例
スイスFADP対応を進めるにあたり、まず確認すべきことは、自社のデータ処理活動にFADPが適用されるかどうかです。データ処理がスイス国外(日本など)から発動された場合であっても、その処理がスイス国内に影響(効果)を及ぼす場合には、FADPが適用される可能性があります。
日本企業がFADP適用対象となり得る典型的な例としては、以下が挙げられます。
- スイスの顧客に対して積極的に商品またはサービスを販売する日本のECプラットフォーム
- スイスの事業者ユーザーを受け入れたり、スイス企業の従業員をオンボーディング(アカウント登録等)したりしているSaaS事業者
- アナリティクスによる分析、プロファイリング、あるいはターゲティング広告などを通じて、スイス所在の個人の行動をモニタリングするデジタルサービス
スイスFADPが適用される場合の3つの注意点
FADPが適用される場合、企業はスイス特有の要件に注意する必要があります。
第一に、外国の管理者は、FADP第14条の要件を満たす場合、スイス国内に代理人を選任する義務が生じることがあります。これには、スイスにおける商品・サービスの提供、または個人のモニタリングに関連して、定期的・大規模・高リスクなデータ処理を行う場合が含まれます。
第二に、国際データ移転に関する文書の確認が必要です。GDPR向けに作成された移転条項(SCCなど)をそのまま流用するだけでは必ずしも十分ではなく、スイス特有の法的参照、保護措置、および適切な文言の追加が必要となる場合があります。
第三に、プライバシー通知(個人情報保護方針)の内容もスイス法に対応させる必要があります。通知には、データ管理者に関する情報、処理目的、受領者(共有先)、移転先となる国、および適用される保護措置など、スイス法上必要とされる情報を明確に記載しなければなりません。
また、組織のデータ保護ガバナンスにおいても、スイスの規制を実務レベル(オペレーション)に組み込む必要があります。特に、スイスのデータ主体からのアクセス・開示請求への対応や、データ侵害(インシデント)が発生した際の手続については、FADPが定める独自の対応期限や判断基準(閾値)、そしてスイス連邦データ保護・情報コミッショナー(FODPIC)への通知可能性を踏まえた運用フローを構築しておく必要があります。
最大25万スイスフランの刑事罰も:経営陣や管理職が負う個人リスク
ここまで述べたとおり、FADPへの対応は、GDPR対応に対する単なる「スイス向けの追加対応」として扱うべきではありません。FADPがもたらすリスクの性質はGDPRとは異なり、ある側面においては、より個人的なリスクを伴うものだからです。
GDPRとは決定的に異なる点として、FADPにおける一定の重大な違反行為に対しては、主として責任を負う「個人」に対し、最大25万スイスフランの刑事罰(罰金)が科される可能性があります。これは、企業の創業者、取締役、あるいは上級管理職にとって、スイスのデータ保護リスクが単なる法人としてのコンプライアンス問題にとどまらず、経営陣個人の刑事責任リスクになり得ることを意味しています。
見落とされやすいコンプライアンスの盲点
実際のビジネスの現場において、FADPコンプライアンスの不備(ギャップ)は見落とされやすい傾向にあります。例えば、EU(GDPR)向けにしか作成されていないプライバシー通知、スイスに関する言及がない国際データ移転条項、法的義務があるにもかかわらずスイス代理人を選任していない状態、あるいはスイスのデータ主体からの請求やデータ侵害評価を適切にルート(処理)できない社内手続などがその典型例です。
これらは事前の体制整備によって十分に回避可能な問題ですが、放置していると重大な結果を招きかねません。ユーザーや顧客からの苦情・申し立て、取引先によるデューデリジェンス(審査)の要求、投資家による法的レビュー、あるいはデータ漏洩などのインシデントの発生を契機として、スイスに関連するデータ処理がクローズアップされた場合、これらの不備は急速に重大な法的問題へと発展するリスクがあります。
もっとも、スイス法へのコンプライアンス対応は、早期に適切なアセスメントを行い、計画的に取り組めば通常は十分に管理・コントロールが可能です。
したがって、スイス国内に相当数のユーザー、顧客、あるいは従業員を抱えている日本企業や、スイス所在の個人に対する行動モニタリング活動を行っている日本企業は、FADP対応をGDPRの付随業務として片付けるのではなく、独立したコンプライアンス対応項目として位置づけるべきです。そして、必要に応じてスイスのデータ保護法に詳しい専門家に相談し、早期にグローバルなデータ保護体制をアップデートすることを推奨します。
当事務所による対策のご案内
モノリス法律事務所は、IT・インターネット・ビジネスに特化した法律事務所です。近年、グローバル展開を進める日本企業において、GDPRのみならずスイスFADPをはじめとする各国独自の個人情報保護法制への対応が急務となっています。当事務所では、現地の法律事務所と提携して、GDPR対応をベースとしたスイス特有の要件への適応をはじめ、プライバシーポリシーの改定、国際データ移転契約(SCC等)へのスイス条項の反映、スイス代理人選任のアセスメント、社内ガバナンス体制の構築など、経営陣の刑事罰リスクをも見据えた実務的なサポートを提供しております。具体的なご相談は、お気軽に当事務所までお問い合わせください。
カテゴリー: IT・ベンチャーの企業法務
