スイスのデータ保護法とプライバシー規制を解説

2023年9月1日に改正連邦データ保護法（FADP：Federal Act on Data Protection）が発効し、スイスのデータ保護法制はEUのGDPR（一般データ保護規則）に匹敵する、高度な水準へと大幅に刷新されました。この改正の主要な目的は、スイスがEU/EEAのメンバーではないにもかかわらず、安全で継続的なデータフローを確保し、スイス企業の国際競争力を維持することにあります。

しかし、FADPはEUのGDPRとは決定的に異なる法的哲学を採用しています。それは、データ保護違反に対する罰則が、原則として違反を犯した個人に課される刑事罰である点です。この個人への罰金は最大25万スイスフラン（CHF）に達し、日本の経営者や法務部員が慣れ親しんだ組織罰主体のAPPI（個人情報保護法）やGDPRとは全く異なるリスク構造を提示します。

特に日本の経営層が認識すべきは、この刑事罰の適用には「意図的な違反」（Vorsatz）が要件となりますが、スイス刑法においては、リスクを認識しながら放置し結果を容認した「条件付きの故意」（Eventualvorsatz）も含まれるという点です。さらに、この罰金は会社による肩代わりや保険による填補が原則として法的に制限される可能性が高く、スイスでの事業展開において経営層が直接負う重大な個人責任となります。FADPは、企業の域外適用性、データ処理活動の記録（RoPA）、データ保護影響評価（DPIA）、そして外国企業に対する国内代理人設置義務を強化しており、日本企業はこれらの新たなコンプライアンス要求と、個人責任という特異な罰則体系への対応が急務となっています。

本記事では、改正FADPの全体像とGDPRとの互換性、日本企業に求められる具体的なコンプライアンス義務、そして特に重大なリスクとなる個人への刑事罰と「条件付きの故意」の概念について、日本の法律との異同を踏まえて詳細に解説します。

スイスの改正FADPが目指すもの：GDPR互換性と強化された適用範囲

データ保護法制の刷新とEU・EEAとのデータフロー確保

改正連邦データ保護法（FADP：Federal Act on Data Protection）は、2020年9月25日に制定され、データ保護規則（DPO）と共に入り、2023年9月1日に発効しました。この法律の基本的な目的は、個人データが処理される際の自然人の人格と基本的人権を保護することです。

この改正の背景には、欧州連合（EU）のGDPR（一般データ保護規則）施行があり、スイスがEU域外の国として、GDPRと同等のデータ保護水準を確保することが国際的なデータ流通にとって不可欠とされました。FADPはGDPRと高い互換性を持つように設計されており、これによりEUからのデータ移転の「十分性認定」を維持し、経済活動におけるデータフローの継続的な安全性を確保することを狙っています。

保護対象の変更と域外適用範囲（Art. 3 FADP）

改正FADPにおける重要な変更点の一つは、保護対象の範囲です。旧FADPは法人に関するデータも保護対象としていましたが、改正FADPでは、保護対象を自然人の個人データのみに限定しました。この変更により、FADPの保護対象はGDPRと同一となり、EU法とのさらなる調和が図られました。

また、FADPはGDPRと同様に域外適用性を明確に規定しています（Art. 3 FADP）。すなわち、スイス国外に拠点を置く組織（データ管理者または処理者）であっても、そのデータ処理が「スイス国内で効果を有する状況」に該当する場合、FADPの要件を遵守する義務が生じます。

これは、日本に拠点を置く企業が、スイス居住者に対して商品やサービスを提供する場合や、スイス居住者の行動を監視する目的でデータを処理する場合に、FADPが適用されることを意味します。日本の個人情報保護法（APPI）も域外適用範囲を持ちますが、FADPはEUのGDPRと高い互換性を持つ構造を採用しており、スイス市場向けに事業を展開する日本企業にとっては、GDPR対応とほぼ同等のコンプライアンス体制が求められることになります。

スイスにおける規制対応義務の強化：予防措置と外国企業への要件

改正FADPは、データ処理活動に関する透明性と説明責任を大幅に強化するため、GDPRと類似した多くの予防的な義務を企業に課しています。

処理活動の記録（RoPA）とデータ保護影響評価（DPIA）の義務

データ管理者（Controller）は、処理活動の内容を詳細に記録する義務（Records of Processing Activities, RoPA）を負います。ただし、中小企業（SME）については、個人データの処理がデータ主体の権利に与えるリスクが小さい場合に限り、この義務が免除される可能性があります ⁹。

さらに、データ処理が個人の権利や基本的人権に潜在的に高いリスクをもたらす場合、データ管理者にはデータ保護影響評価（DPIA：Data Protection Impact Assessment, Art. 22 FADP）の実施が必須となります。DPIAでは、計画されているデータ処理の説明、リスク評価、そしてリスクを軽減するための具体的な保護措置を示す必要があります。

このDPIA要求は、GDPRにも見られる概念であり、データ処理の企画段階からプライバシー保護を組み込む「プライバシー・バイ・デザイン」（Privacy by Design）の原則を具体化するものです。これは、日本のAPPIにおけるリスクアセスメントと比べ、より厳格で予防的な体制構築を事前に要求している点で、規制の強制力が強いと言えます。

また、データセキュリティ侵害が発生した場合、データ管理者は連邦データ保護情報コミッショナー（FDPIC）に速やかに通知する義務を負います（Art. 24 FADP）。

外国所在のデータ管理者等に対するスイス国内代理人設置義務

GDPRが要求するEU域内代理人の設置義務と同様に、FADPも、スイス国外に登記または住所を有するデータ管理者に対し、特定の条件を満たす場合にスイス国内に代理人（Representative）を指名することを義務付けています（Art. 14 FADP）。

代理人の設置が義務付けられるのは、以下の4つの要件をすべて満たす場合です。

1. 処理がスイス国内の個人データ処理に関連し、商品またはサービスの提供、またはスイス国内の人の行動監視と関連している。
2. 処理が大規模に行われている。
3. 処理が定期的に行われている。
4. 処理がデータ主体の人格に高いリスクをもたらす。

日本企業がスイス市場向けに大規模な消費者データを用いたプロファイリングやターゲティング広告を行う場合など、これらの要件に合致する可能性が高く、FADPを遵守するためには、スイス国内の代理人を指名し、FDPICからの連絡窓口として機能させる必要があります。

この代理人設置義務の適用基準は、GDPRが多くの大規模処理に対して一律に要求するのに対し、FADPが「大規模」「定期的」「高リスク」という条件を重ねることで、リスクベースのアプローチを取っていることが示されます。これは、国際的なデータ保護水準を満たしつつ、コンプライアンス負担をリスクに応じて調整しようとするスイス法独特の意図が見て取れます。

「機密性の高い個人データ」の定義拡大

FADPは「機密性の高い個人データ」（Sensitive Data）の定義を拡大し、これらのデータについては、より厳格な処理要件が適用されます。

FADPによって拡大された機密性の高い個人データには、従来の健康データ、宗教的信念、政治的意見等に加え、遺伝データ、生体認証データ（個人を一意に識別するもの）が新たに含まれます。

さらに、行政・刑事手続きや制裁に関するデータ、社会保障措置に関するデータも含まれます。特にこの行政・刑事手続きに関するデータを含める点は、日本のAPPIの「要配慮個人情報」よりも広範であり、金融機関や人事管理、コンプライアンス調査を行う企業にとっては、APPI以上に広範囲なデータに対して厳格な取り扱いが求められることになります。

スイス罰則制度の根本的な哲学：組織罰から個人責任への転換

改正FADPが、日本の経営層にとって最も重大なリスクをもたらすのが、その罰則体系の哲学です。FADPは、データ保護義務違反に対して、原則として組織ではなく、責任を負う個人に刑事罰を科します。

GDPR・APPIの組織罰とFADPの個人刑事罰

EUのGDPRは、違反行為に対して行政罰を課し、その主体は組織（法人）であり、罰金額は全世界年間売上高の最大4%に上ります。

一方、FADPは、罰則を行政罰ではなく刑事罰として設定し、その適用対象を主に私的な者（Private persons）、すなわち組織内の取締役、マネージャー、またはデータ処理を直接指揮した担当者などの自然人としています。

FADPの下で個人に課される罰金は、最大25万スイスフラン（CHF）に達します。この罰金は、情報提供義務の違反（Art. 60 FADP）や、国外移転に関する注意義務の違反（Art. 61 FADP）など、データ保護に関する重要な義務の故意の違反に対して適用されます。

日本のAPPIの罰則と比較すると、APPIの組織罰は最大1億円ですが、個人に対する刑事罰は、特定のケースで最大100万円程度に設定されています。FADPの個人罰は、APPIの個人罰と比較して金額が遥かに高額であることに加え、その性質が「刑事罰」であるため、有罪判決は前科という重大な影響を伴う点が決定的に異なります。

組織罰の例外：加害者特定が困難な場合の補完措置

FADPは個人罰を原則としますが、組織（事業体）に対して罰金が適用される例外規定も存在します。連邦行政刑法（ACLA）Art. 7の準用により、検討されている罰金が5万スイスフランを超えない場合で、かつ、加害者である個人を特定するための調査措置が、潜在的な罰金に照らして不均衡に大きいと判断された場合に限り、組織に対して罰金が科されます。この組織罰の上限は5万スイスフランです。

この構造は、組織罰が個人特定が困難な場合の補完的な措置であることを示しています。企業が適切な内部統制を整備し、データ保護に関する責任者を明確に特定できる状況であれば、刑事責任は個人に直接追及され、組織罰は適用されません。これは、組織に対して、コンプライアンス責任を明確にし、内部ガバナンスを徹底するよう促す強い圧力として機能します。

スイスがGDPRと同等のデータ保護水準を目指しつつも、組織罰主体のGDPRとは対照的に、個人罰を優先したのは、スイスの伝統的な法体系が行政罰よりも刑罰を重視し、個人の法的責任を厳格に追及する哲学を反映しているからです。これにより、FADPは国際的な要件を満たしつつ、国内の法的伝統を維持するという、主権国家としての明確な意思を示していると言えます。

スイス法制における罰則適用の要件：「意図的な」違反とEventualvorsatz

FADPの刑事罰が適用されるための前提条件は、違反が意図的（wilfully / vorsätzlich）であることです。過失による違反には刑事罰は適用されず、この点は日本企業にとって一見すると安心材料のように見えます。しかし、スイス刑法における「意図的」の解釈は広く、日本の経営者が慣れ親しんだ「故意」の定義よりも広い範囲をカバーする可能性があります。

スイス刑法における「条件付きの故意」（Eventualvorsatz）の解釈

スイスの法慣習において、故意（Vorsatz）には、最も重い「意図」（Absicht）や「直接の故意」（dolus directus）だけでなく、Eventualvorsatz（条件付きの故意、または未必の故意）が含まれます。Eventualvorsatzは、結果発生の可能性を認識しながらも、その結果が発生しても構わない、あるいは、結果の実現を受け入れたと見なされる場合に成立します。

この概念の実務的な影響は極めて重大です。例えば、法務部やデータ保護担当者から、特定のデータ処理活動（例：国外への大規模データ移転）がFADPに違反し、データ主体の権利に重大なリスクをもたらす可能性がある旨の警告が経営層に対して明確に行われていたとします。それにもかかわらず、経営層がコストや迅速なビジネス展開を優先し、意図的に是正措置を取らなかった場合、これは「危険を認識しながら放置し、結果を受け入れた消極的な意思決定」と判断され、Eventualvorsatzに該当する可能性があります。

このように、Eventualvorsatzの導入は、FADPの刑事制裁が単に積極的な違法行為だけでなく、リスク管理体制の不備や、コンプライアンス警告を軽視する経営判断そのものを処罰対象とする意図があることを示しています。これにより、データ保護オフィサー（DPO）や法務部門の警告を無視することは、現地駐在員や日本の経営層自身の刑事責任に直結するリスクを高めます。

FADPが刑事罰の対象とする具体的な義務

FADPは、特にコンプライアンスの核となる以下の義務違反を刑事罰の対象として定めています（Art. 60 FADP以下）。

1. 情報提供義務、情報開示請求権および協力義務の違反（Art. 60 FADP）:
   • データ主体への情報提供義務（Art. 19, 21 FADP）を故意に怠る行為。
   • FDPICの調査において、故意に虚偽の情報提供や協力拒否をする行為。
2. 注意義務の違反（Art. 61 FADP）:
   • 個人データの国外移転（Art. 16 FADP）に関する義務を故意に違反する行為。
   • データ処理の委託（Art. 9 FADP）に関する注意義務を故意に違反する行為。
   • データセキュリティの確保（Art. 8 FADP）に関する注意義務を故意に違反する行為。

これらの義務は、すべて組織のガバナンスと密接に関わっており、組織がこれらの義務を果たすための適切な体制を整えていない場合、結果的に責任を負う個人が摘発される可能性が高くなります。

罰金の肩代わりと保険の適用：スイスにおける個人責任の徹底

個人に最大25万CHFの罰金が課されるという事実は、日本の経営層にとって、会社がその罰金を補償（Indemnification）できるか、またはD&O（取締役・役員賠償責任）保険でカバーできるかという点が最大の関心事となります。

会社による個人罰金の補償の原則的禁止

スイスの法解釈においては、会社が取締役や役員（D&O）に対して、行政罰や刑事罰の罰金を填補・補償することは、原則として法的に有効ではなく、強制力を持たないと考えられています。

スイス法は、故意または重過失による善管注意義務違反に対する補償を、法定責任の枠組みを回避するものとして禁止するという法学説が有力であり、これは個人に対する刑事罰についても適用される可能性が極めて高いです。

したがって、FADPに基づいて個人に課された刑事罰は、会社が肩代わりすることは原則としてできず、違反を犯した個人が直接責任を負うことになります。日本の親会社が海外子会社の役員に対して一般的なD&O補償契約を結んでいたとしても、スイス法が適用される罰金については無効となる可能性が高いことを認識すべきです。これにより、スイス法におけるコーポレートガバナンスと個人責任の分離が極めて厳格であることが示されています。

ただし、役員が訴訟対応のために要した弁護費用（Defense costs）については、会社の支配的な利益に繋がる場合に限り、会社が負担することが認められる場合があります。

FADPとGDPR・APPIの法的罰則制度比較

FADPの特異な罰則構造をより深く理解するため、GDPRおよび日本のAPPIとの比較を表にまとめます。

FADPとGDPR・APPIの法的罰則制度比較（抜粋）

民事責任のリスク

刑事責任に加えて、FADP違反は民事責任も伴います。データ主体は、FADPによって保護されている人格権の侵害に基づき、民事上の差止請求や損害賠償請求を行うことができます。

民事責任の場合、刑事罰のような罰金の上限（25万CHF）は適用されません。また、民事責任の追及は、刑事罰が限定される「意図的」な違反に限定されず、過失による違反であっても訴訟対象となり得るため、組織全体としての損害賠償リスクは引き続き存在します。

まとめ： FADP対応の重要性と当事務所によるサポート

スイスの改正データ保護法（FADP）は、単に欧州のGDPRと互換性を持たせるだけでなく、その罰則体系において極めて厳格な個人責任追及の哲学を導入しています。

日本企業がスイス市場での事業展開を計画する際、このFADPが持つ「個人への刑事罰（最大25万CHF）」のリスクを過小評価することはできません。特に、故意（Vorsatz）の解釈には、リスクを認識しながら放置し結果を容認した「条件付きの故意」（Eventualvorsatz）が含まれるため、組織的なコンプライアンス体制の不備が、現地駐在員や日本の経営層自身の刑事責任に直結する可能性が高いと言えます。さらに、この個人罰は、D&O保険や会社による補償が原則として適用されないため、極めて直接的かつ個人的な財産リスクとなります。

FADPの遵守は、単なる法務部門の課題ではなく、最高経営層の最重要リスク管理課題として位置づける必要があります。具体的には、データ処理活動の記録（RoPA）や影響評価（DPIA）の導入、スイス国内代理人の指名、そして最も重要な「意図的違反」を避けるための明確な内部統制と意思決定プロセスの確立が急務です。

弊所は、このような国際的なデータプライバシー法制の複雑な要求事項に対応し、日本の経営陣がスイス特有のリスクを正確に理解した上で、適切な体制構築を進めるためのサポートをいたします。