FADP – データ保護に関するスイス連邦法 2022年半ばに予想される変更点|CookieFirstブログ | 株式会社クローバーテック

FADP – データ保護に関するスイス連邦法 2022年半ばに予想される変更点|CookieFirstブログ

スイスのデータ保護に関する連邦法(FADP)は、GDPRとの整合性を高めるために、今年いくつかの改正が行われる予定です。この改正は2022年初頭に発効するため、組織はプライバシーとデータ収集のプロセスを新しい要件に合わせて調整する必要があります。

FADPの改正が2022年のスイスのビジネスにどのような影響を与えるか、引き続きご覧ください。

スイスの FADP | データ保護に関する連邦法

FADPの改定について説明する前に、まずはFADPとは何かという基本的なことから始めましょう。

データ保護に関する連邦法とは、スイスのデータプライバシー法です。データ収集、第三者による追跡、その他のプライバシーに関する懸念について、市民の権利を保護するための枠組みを作成しました。しかし、当初の法律は、ヨーロッパの標準であるGDPRと同等ではなくなりました。

そのため、スイスの規制当局は、GDPRに合わせて法律を改正しています。この法律には、元の概念が残っており、特定の分野で若干の逸脱がありますが、EUの他の地域と同様のプライバシーとセキュリティの基準を支持する考えです。

この変更により、データプライバシーに関するユーザーへの通知に関する義務が拡大され、遵守しない組織に対する制裁措置の強化が可能になります。

今回の改正は広範囲に及ぶため、スイスのほぼすべての企業に影響が及ぶと思われます。同様に、移行期間を設けることはないようです。その代わり、早ければ2022年夏から新しい変更を施行するとのことです。

ほとんどの国がGDPRに適合する法律の制定に取り組んでいるため、これは必ずしも驚きではないかもしれませんが、企業がコンプライアンスを維持するために、できるだけ早くプロセスを調整する必要があることを意味します。

今年後半に期待される変化を紹介します。

プライバシー・バイ・デザイン

改訂されたFADPは、プライバシー・バイ・デザインを導入し、個人情報を保管しているデータ処理業者や組織に対するデューデリジェンス要件を強化します。企業がプロセスを設計した後にプライバシーを考慮することは、もはや許されません。その代わりに、コンプライアンスを念頭に置いて作成する必要があります。

これはGDPRの主要原則の1つであり、FADPが改訂にこれを取り入れたことは理にかなっています。この法律では、プライバシー・バイ・デフォルト、つまり、企業はデータ処理を事業目的を達成するために必要な最小限の範囲に制限すべきであるという事実も扱われています。

組織がプライバシー・バイ・デザインを実現する方法の1つに、偽名化があります。このプロセスでは、暗号化を追加したり、個人データを人工的な識別子で置き換えたりして、アクセスを許可されたユーザーだけに制限します。

情報開示の必要性

スイスのデータ保護に関する連邦法のもう一つの改正点は、情報開示義務の強化です。この改正以前から、企業はユーザーに情報を提供することが義務付けられていましたが、その義務は機密性の高い個人データにのみ限定されていました。

データ保護法により、企業は個人情報を取得するたびにユーザーに通知することが義務づけられました。この法律にはいくつかの例外が挙げられていますが、それほど多くはありません。そのため、組織は2022年末までにこの要件を満たすよう準備する必要があります。

少なくとも、データ対象者には、データ処理の目的、情報を受け取る人に関する情報、このプロセスの責任者の連絡先などの詳細を伝えなければなりません。

ITへの取り組み

開示要件の強化は、ITにも大きな影響を及ぼします。収集したデータを送信・保存するための明確なプロセスがない場合、このFADPの改訂を満たすことはできません。

構造化されていないデータプロセスを使用している場合、データ対象者に自分の情報の行き先や管理者について知らせることはできません。

また、改正FADPは、データ処理活動のリストをディレクターに保管するよう組織に求めています。このルールはGDPRの一部ですが、スイス当局はリスクの低いデータを処理し、従業員数が250人以下の企業には例外を設けています。

この要件はIT戦略にも影響します。ディレクトリを作成し、状況の変化に応じて継続的に更新するためのシステムを用意する必要があるからです。ディレクトリには、情報の処理方法、情報収集の理由、どのようなデータを調査しているかなどを記載する必要があります。同様に、データの開示先も記載する必要があります。

また、FADPはデータ管理者に対し、特にデータ対象者が高い危険にさらされることになる場合、データ侵害をできるだけ早く報告するよう求めています。GDPRはこの報告を72時間以内に行うよう求めているため、スイスの規制当局もこの時間枠に合わせることが予想されます。

明確に定義された制裁措置

また、FADPの新しい変更点の展開に伴い、より厳格な制裁を受けることが予想されます。改正法では、FDPIC(連邦データ保護・情報コミッショナー)の権限が拡大され、規制を適切に執行できるようになりました。

今回の改正では、より厳格な制裁が可能になっただけでなく、その定義もより明確になっています。例えば、故意の不作為や行為はFADPの下で処罰の対象となりますが、過失は処罰の対象とはなりません。データ対象者への通知義務に違反した者、または協力しなかった者は、最高25万スイスフランの罰金を科されることになります。

この罰則は、注意義務に違反した者、機密保持に違反した者、委員会の特定の命令を無視した者にも適用されます。

同意について

FADPの改訂で、同意がトピックのひとつに含まれていないことにお気づきでしょうか。GDPRでは、データ収集のための同意は、自由意志に基づき、十分な情報を与えられたものでなければなりません。つまり、個人情報の収集や開示は、ユーザーが明示的に同意した場合にのみ正当化できるのです。

改訂されたFADPは、同意が有効であるためには、具体的で、自由に与えられ、かつ情報を与えられたものである必要があるという事実を確立していますが、同意を得るための要件を拡大するものではありません。同意とその意味をめぐって多くの国会審議が行われましたが、同意のための要件は追加されていません。

言い換えれば、FADPは、組織が公正な処理の原則に沿わない高リスクのプロファイリングを正当化する必要がある場合にのみ、同意を要求しているのです。法的義務や優先的利益は、ここでも有効な正当化理由となり得ます。

FADPは、高リスクのプロファイリングについて同意を得る一般的な義務を導入するものではないということです。

ー CookieFirst ブログより引用

一覧へ戻る

関連する記事