スイスは、「1992年の情報保護に関する連邦法」に代わりEUのGDPRや米国との個人情報の移動ルール、さらには欧州司法裁判所判決等を受け、市民のデータをより適切に保護するための2019年の新しい改正連邦データ保護法(Bundesgesetz über den Datenschutz (DSG); Federal Act on Data Protection (FADP)(以下、本稿では「nDSG」という)を2023年9月1日施行する。(注1)
”nDSG”は、個人データの処理を改善し、一般データ保護規則(GPDR)や英国のGDPRなどの他の包括的なデータ保護法と一致する新しい権利をスイス市民に付与する。この重要な法改正には、スイスで事業を行う企業等に対する多くの義務の増加も伴う。この法律は2023年9月1日に発効するため、企業は”nDSG”要件を迅速に把握する必要がある。企業は、GDPRおよび英国のGDPRへの準拠が”nDSG”に基づくコンプライアンスと同等であると想定すべきではない。この改正法はGDPRと多くの類似点があるが、企業が知っておくべきいくつかの大きな違いがある。
今回のブログは、ジョーダン・ジェニングス(Jordan Jennings)氏のレポート「Nothing Neutral about the New Swiss Federal Act on Data Protection」およびSecuritiの解説ブログ「The Revised Swiss Federal Act on Data Protection」から抜粋、仮訳した。
Jordan Jennings氏
なお、問題は“Bundesgesetz über den Datenschutz” (nDSG)の原文(ドイツ語)がスイス連邦法プラットフォームで閲覧できないことである。やっと探し出したURLは連邦議会サイトであった。さらに上記レポートやブログは残念ながら”nSDG”の条文とのリンクがほとんどなされていない。ロ―・レポートでは必須であることから、筆者の責任と判断であえてリンクを張った。
〇企業が知っておくべきことの主な内訳は次のとおりである。
(1)コンプライアンス猶予期間はない:データ保護法の最近の変更とは異なり、”nDSG”は企業がスピードを上げるための猶予期間を提供していない。したがって、スイス国民のデータを処理する企業は、準拠するまでにこれから約8か月強の猶予期間がある。
(2)罰則:”nDSG”第60条は、事業者に民事罰を課さない。ただし、この法律の意図的な違反は、事業体ではなく個人(潜在的にDPO(Data Protection Officer)および経営幹部)に対して最大250,000スイスフラン(CHF)(約3,575万円)の刑事制裁につながる可能性がある。(注2)スイス連邦情報保護及び情報自由化委員(Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB; FDPIC)には、刑事告発を行う権利はない。
他方、法執行機関や検察当局は、従来どおり刑事制裁を執行する責任がある。個人は”nDSG”の下で罰金に直面するが、企業または組織内の罰せられる自然人を決定するための調査が不釣り合いな努力を伴う場合は、企業は最高50,000スイスフラン(約715万円)の罰金を科される可能性があるが、”nDSG”は個人の責任を問うことに焦点を当てており、当局は責任者を懸命に探す必要はない。”nDSG”に基づく制裁は、個人ではなく企業に違反に対してのみ罰金を科すGDPRとは極めて対照的である。
(3)機密データの定義を拡張:”nDSG”第5条は、「機密性の高い個人データ」のカテゴリに分類されるデータのリストを拡張した。新しいリストには、自然人を明確に識別する遺伝的および生体認証データが含まれる。機密性の高い個人データを処理する場合は、データ主体の明示的な同意が必要である。
次のカテゴリの個人データは機密と見なされる。
・宗教的、イデオロギー的、政治的、または労働組合関連の見解または活動に関する個人データ、
・個人の健康、親密な領域、または人種的出身に関する個人データ、
・社会保障対策に関する個人データ
・行政または刑事訴訟および制裁に関する個人データ。
上記のカテゴリを保持しながら、”nDSG”は2つのカテゴリを追加した。
・遺伝子データ、
・個人を一意に識別する生体認証データ。
(4) データ主体の権利
1992年の法律(DSG)では、データ主体につき次の権利を定める。
・処理に関する情報を受け取る権利、
・アクセス権、
・修正および削除の権利、
・個人データのコピーを受け取る権利、
・個人データを別の管理者に転送する権利、
・個人データの処理に異議を唱える権利、
・スイス連邦データ保護情報委員会 (EDÖB; FDPIC)に苦情を申し立てる権利
前述のデータ主体の権利に加えて、”nDSG”では、次の2つの新しい権利が導入された。
・データポータビリティの権利:データ主体が一般的に使用される読み取り可能な電子形式でデータを送受信できるようにする。これは、データ主体の同意を得て、または契約に従って直接行う必要がある この権利は、データ主体の要求を満たすために管理者による不釣り合いな努力を必要とする場合を除き、無料である。(”nSDG”第28条)
・自動化された意思決定の場合に介入する権利:データ主体が自動化された意思決定の対象とならないことを選択できるように、データ管理者は、自動処理のみに基づいており、データ主体に法的影響を与える、またはデータ主体に大きな影響を与える決定をデータ主体に通知する必要がある。(”nDSG”第19条)
(6)プロファイリングに対処した:GDPRと同様に、nDSG第21条には、以前のFADPには含まれていなかったEUのGDPRに対応する「プロファイリング」の法的定義(注3)が含まれた。個人データのリスクの高いプロファイリング(パーソナリティ・プロファイルなど)には、データ主体の明示的な同意が必要である。
(5)「独立した」DPO任命の重要性を強調:DPOはGDPRおよびDSGの下で民間企業にとってオプションであるが、スイス連邦情報保護委員(EDÖB ;FDPIC)は、独立したDPO(Data Protection Officer )の重要性を強く強調している。 したがって、社内の立場や外部の弁護士を利用することは、DPOの独立性要件を満たさない可能性がある。民間企業の場合、DPOの任命は任意であるが、連邦機関の場合は必須である。さらに、EDÖB ;FDPICは、スイスのデータ主体と効果的にコミュニケーションをとるために、DPOがスイスの少なくとも1つの言語(フランス語、ドイツ語、イタリア語、ロマンシュ語など)を話すことを推奨している。特に、英語はスイス連邦の公用語ではない点に留意すべきである。
(6)重大な攻撃のみの違反通知+明確な通知時間枠なし:”nDSG”の第24条に基づき、データ管理者は特定の重大な個人データ侵害についてEDÖB (FDPIC)に「できるだけ早く」通知する必要がある。「できるだけ早く」の意味がGDPRに基づく72時間の要件よりも速いか遅いかは、なお不明である。
またFDPICは、違反の通知は、データ主体に「差し迫った危険」をもたらす場合にのみ行われるべきであることを強調している。したがって、”nDSG”の下ではコントローラーは失敗したサイバー攻撃等についてEDÖB (FDPI)Cに通知することは必要ない。
(7)データ転送:スイスのみの転送には、スイス固有の標準契約条項(SCC)を使用することが期待されている。ただし、EDÖB (FDPIC)はまだスイスのみの転送メカニズムを発行していない。さらに、 EDÖB (FDPIC)は十分性認定を発表していないが、データ転送に適した国は欧州委員会の決定を反映することを前提としている。すなわち、シュレムスII事件における欧州連合司法裁判所の決定に続いて、FDPICは米国を「特定の状況下での適切なレベルの保護」のリストから削除し、米国ではデータ保護が不十分であると宣言した。その結果、スイス-米国間のプライバシー・シールドは、国境を越えたデータ転送に信頼できなくなった。適切な国のリストに含まれない国への国境を越えたデータ転送は、国際条約、データ保護条項、拘束力のある企業規則など、他の手段によって適切なデータ保護が保証されている場合にのみ実行できる。
なお、暫定的には、EU標準契約条項(EU SCC)および承認された拘束的企業準則(Binding Corporate Rules:BCR)が、スイスとの間で個人データを転送するための適切なメカニズムといえる。
(8)プライバシー・ポリシーに関する考慮事項:nDSG第25条には、データ管理者がデータ主体に開示しなければならない最小限の情報の拡張リストが含まれている。プライバシー・ポリシーは、次の情報を反映するように更新する必要がある。
①管理者の身元と連絡先の詳細。
②データ処理の目的
③データの受信者の身元および第三者へのデータ転送の場合のデータ受信者のカテゴリ-。
④データが転送される管轄区域。
⑤国境を越えたデータ転送の場合に実施される必要な保護手段。そして
⑥上記のように、プライベートデータ管理者は、直接的または間接的に、時間的制約のあるデータまたはプロファイリング用のデータが収集されるたびに、事前にデータ主体に通知する必要がある。
(9)データ保護影響評価 (DPIA) が必須:データ保護影響評価はスイスのデータ保護法では目新しいものではなく、連邦機関はすでにDPIAを実施することが義務付けられている。”nDSG”第22条の下では、計画された処理がデータ主体のプライバシーまたは基本的権利に対する高いリスクを伴う可能性がある場合、民間部門のデータ管理者もDPIAを実施する必要がある。機密データのプロファイリングまたは広範な処理が計画されている場合、処理はリスクが高いと見なされる。
(10)一定規模以上ではスイスのデータ処理活動の記録が必要:nDSG 第12条では、データ管理者とデータ処理者の両方がすべてのデータ処理アクティビティのリストを保持する必要がある。このリストは、EU SCCsで見つかった附属書I.B.の処理の詳細を反映している。またリストは常に最新の状態に保つ必要がある。”nDSG”は、従業員が250人未満で、データ処理がデータ主体のプライバシー侵害のリスクが低い企業に対して、この要件の免除を定めている。
(11)関係業界などによる自主規制の支援の効果:
行動規範の専門家、業界、およびビジネス団体は、”nDSG”第11条によって独自の行動規範を作成し、FDPICによるレビューのために提出し、後で公開することが奨励されている。これにより、組織は新しいFADPの実装に関する独自のサポートとガイドラインを作成する必要がなくなる。このタイプの自主規制の利点は、データ管理者が、古いがなお適用可能なDPIAに基づいており、個人情報と基本的権利の保護手段を含み、FDPICによって承認された行動規範を遵守している場合は、独自のデータ保護影響評価 DPIAを実行する必要がないことになる。
(12) スイス国内での代表者の設置義務:
”nDSG”の下では、スイス国外に設立されたすべての組織・団体等は、データ処理が、(1)スイスでの商品またはサービスの提供またはその行動の監視に関連し、(2)広範囲に及ぶ、(3)スイスで定期的に行われ、(4)データ主体の人格に高いリスクをもたらす可能性がある場合、スイスに代表者を置く必要がある。1992年DSGでは、スイスの代表者を任命するそのような義務は存在しなかった。
(13) EDÖB; FDPICの権限と決定:
”nDSG”第52条により、 EDÖB (FDPIC)は行政手続法に基づく手続きを行うことができるようになった。これにより、EDÖB (FDPIC)は、連邦機関または民間のデータ処理者および管理者に対して正式に判決を下し、連邦行政裁判所に判決/決定を上訴することができる。さらに、EDÖB (FDPIC)は、データ処理の全部または一部を調整し、データ処理を停止または停止し、コンプライアンス違反の場合に個人データを消去または削除することもできることとなった。
*********************************************************************************
(注1) スイス連邦情報保護及び情報自由化委員(Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB; FDPIC)は改正連邦データ保護法の解釈などにつきガイダンスを公表している。
(注2) スイス連邦情報保護委員(EDÖB ;FDPIC))は2021年3月5日の nSDGが発効するまで、民間部門と連邦当局は、個人データの処理を新しい規定に適合させる必要がある。EDÖB は、考慮する必要がある最も重要な変更を以下の概説の中から「制裁」部分を抜粋、仮訳する。
”nSDG”第50条は、個人に対して最高25万スイスフラン(約3575万円)の罰金を定めている。故意の作為または不作為のみが犯罪であり、過失の場合は責任は問われない。情報の提供と報告の義務違反、および職業上の機密保持の違反は、苦情のみで起訴できる。ただし、EDÖB の決定に従わなかった場合は、職権で起訴される。
原則として、責任ある自然人のみが罰金を科される。ただし、法人の場合、企業または組織内の実際の責任者を特定するための調査が不釣り合いな努力を伴う場合は、最高50,000スイス・フラン(約715万円)の罰金を科される可能性もある。欧州データ保護監察官(European Data Protection Supervisor: EDPS)とは対照的に、EDÖB には新しい保護法の下で制裁を課す権限が割り当てられていない。一方、違反者は国の検察当局から罰金を科される。EDÖB は犯罪を報告し、手続きにおいて民間の請求者の地位を享受することができるが、刑事告発を行う権利はない。
”nSDG”とは異なり、EUのGDPRに基づく行政処分は法人にのみ適用される。EUのデータ保護当局(EDPS)は、違反企業に対して最大1000万ユーロ(約14億2000万円)または同企業の全世界の年間売上高の4%の罰金を科すことができる(GDPR第83条(4)項)。
(注3)EU一般データ保護規則(GDPR)(General Data Protection Regulation)(以下、「同規則」)は、プロファイリングを次のように定義している(同規則4条4項)。
「『プロファイリング』とは、自然人と関連する一定の個人的側面を評価するための、特に、当該自然人の業務遂行能力、経済状態、健康、個人的嗜好、興味関心、信頼性、行動、位置及び移動に関する側面を分析又は予測するための、個人データの利用によって構成される、あらゆる形式の、個人データの自動的な取扱いを意味する。」(日本の個人情報保護委員会の和訳より。)
プロファイリングは、個人データを様々な角度から分析または予測するためのプロセッシング(取扱い)の一つであり、その取扱いが人間による手を経ない「自動的な取扱い」(automated processing)であるところに特徴がある。(弁護士 坂田 均「プロファイリングと欧州における一般データ保護規則(GDPR)」から一部抜粋)
****************************************************************
Copyright © 2006-2023 芦田勝(Masaru Ashida).All Rights Reserved.You may reproduce materials available at this site for your own personal use and for non-commercial distribution.
コメント
コメントを投稿