FADP – データ保護に関するスイス連邦法 2022年半ばに予想される変更点｜CookieFirstブログ

スイスの FADP | データ保護に関する連邦法

FADPの改定について説明する前に、まずはFADPとは何かという基本的なことから始めましょう。

データ保護に関する連邦法とは、スイスのデータプライバシー法です。データ収集、第三者による追跡、その他のプライバシーに関する懸念について、市民の権利を保護するための枠組みを作成しました。しかし、当初の法律は、ヨーロッパの標準であるGDPRと同等ではなくなりました。

そのため、スイスの規制当局は、GDPRに合わせて法律を改正しています。この法律には、元の概念が残っており、特定の分野で若干の逸脱がありますが、EUの他の地域と同様のプライバシーとセキュリティの基準を支持する考えです。

この変更により、データプライバシーに関するユーザーへの通知に関する義務が拡大され、遵守しない組織に対する制裁措置の強化が可能になります。

今回の改正は広範囲に及ぶため、スイスのほぼすべての企業に影響が及ぶと思われます。同様に、移行期間を設けることはないようです。その代わり、早ければ2022年夏から新しい変更を施行するとのことです。

ほとんどの国がGDPRに適合する法律の制定に取り組んでいるため、これは必ずしも驚きではないかもしれませんが、企業がコンプライアンスを維持するために、できるだけ早くプロセスを調整する必要があることを意味します。

今年後半に期待される変化を紹介します。

プライバシー・バイ・デザイン

改訂されたFADPは、プライバシー・バイ・デザインを導入し、個人情報を保管しているデータ処理業者や組織に対するデューデリジェンス要件を強化します。企業がプロセスを設計した後にプライバシーを考慮することは、もはや許されません。その代わりに、コンプライアンスを念頭に置いて作成する必要があります。

これはGDPRの主要原則の1つであり、FADPが改訂にこれを取り入れたことは理にかなっています。この法律では、プライバシー・バイ・デフォルト、つまり、企業はデータ処理を事業目的を達成するために必要な最小限の範囲に制限すべきであるという事実も扱われています。

組織がプライバシー・バイ・デザインを実現する方法の1つに、偽名化があります。このプロセスでは、暗号化を追加したり、個人データを人工的な識別子で置き換えたりして、アクセスを許可されたユーザーだけに制限します。

情報開示の必要性

スイスのデータ保護に関する連邦法のもう一つの改正点は、情報開示義務の強化です。この改正以前から、企業はユーザーに情報を提供することが義務付けられていましたが、その義務は機密性の高い個人データにのみ限定されていました。

データ保護法により、企業は個人情報を取得するたびにユーザーに通知することが義務づけられました。この法律にはいくつかの例外が挙げられていますが、それほど多くはありません。そのため、組織は2022年末までにこの要件を満たすよう準備する必要があります。

少なくとも、データ対象者には、データ処理の目的、情報を受け取る人に関する情報、このプロセスの責任者の連絡先などの詳細を伝えなければなりません。

ITへの取り組み

開示要件の強化は、ITにも大きな影響を及ぼします。収集したデータを送信・保存するための明確なプロセスがない場合、このFADPの改訂を満たすことはできません。

構造化されていないデータプロセスを使用している場合、データ対象者に自分の情報の行き先や管理者について知らせることはできません。

また、改正FADPは、データ処理活動のリストをディレクターに保管するよう組織に求めています。このルールはGDPRの一部ですが、スイス当局はリスクの低いデータを処理し、従業員数が250人以下の企業には例外を設けています。

この要件はIT戦略にも影響します。ディレクトリを作成し、状況の変化に応じて継続的に更新するためのシステムを用意する必要があるからです。ディレクトリには、情報の処理方法、情報収集の理由、どのようなデータを調査しているかなどを記載する必要があります。同様に、データの開示先も記載する必要があります。

また、FADPはデータ管理者に対し、特にデータ対象者が高い危険にさらされることになる場合、データ侵害をできるだけ早く報告するよう求めています。GDPRはこの報告を72時間以内に行うよう求めているため、スイスの規制当局もこの時間枠に合わせることが予想されます。