篠原 翼†
1. はじめに
コロナウイルスの影響により,パソコンやスマートフォン等の電子機器によってインターネット回線に接続することによって行う在宅勤務を行うことを余儀なくされ,インターネット利用に関する個人情報保護に対する関心が非常に高まっている。スイスでは,欧州連合(European Union, EU)の加盟国ではないため,独自の個人データ保護法制を整備している。[1]。すなわち,データ保護に関する連邦法(Loi fédérale sur la protection des données, LPD)[2]やこれに付随するオルドナンス(Ordonnance relative à la loi fédérale sur la protection des données, OLPD)[3],さらにその他の連邦法によって,個人情報保護に関する法制度が構成されている[4]。
2016年にEU一般データ保護規則(General Data Protection Regulation, GDPR)[5]が作成され,それを参考にしながら,LPDの「補強」(renforcement)を目的とした全面改訂作業を2012年から開始しており,すでに改正草案やその報告書もスイス連邦政府のウェブサイトに掲載されている[6]。また,すでに日本貿易振興機構(Japanese External Trade Organization, JETRO)によって,スイス国内法制度の改正について取り上げられ,GDPRとの相違点等について分析されている[7]。しかし,JETROによる分析は,すでに発効している個人データ保護法制に精通している者に向けられて執筆されており,初学者,特にこの法分野に関する知識がなくこれから勉強しようとする者にとっては,非常に難解である。
以上から,本ブログでは,できる限り初学者でも理解しやすいように,簡単かつ簡素に,スイスにおける個人データ保護法制について紹介していくことにしたい。
2. 基本的人権としての人格権
まず初めに,スイス連邦憲法によって個人情報保護に関する基本権が保障されている。スイス連邦憲法第13条は,以下のように規定する。
「1. 何人もその私生活及び家族生活,住居,信者並びに電気通信に関するプライバシーの権利を有する。
2. 何人も,その個人情報の乱用から保護される権利を有する。」[8]
また,スイス民法典28条は,以下のように規定する。
「1. 人格権を違法に侵害された者は,それに参加するすべての者に対して保護を訴えることができる。
2. 人格権に対する侵害は,被害者の同意,優先的な私益又は公益,又は法律によって,正当化されない限り,違法とする。」
言い換えれば,スイス憲法第13条によって,プライバシーの権利に関する基本権が保障され,スイス民法典第28条によって,私人間関係における人格権(personnalité)が保障されている[9]。スイスにおけるデータ保護に関する法律は,これら人格権およびプライバシーの権利に関する基本権を保護するために制定された法律である。
注意すべき点は,第13条で保障される基本権は,スイス連邦憲法第36条によって制限され得る。スイス連邦憲法第36条は,以下のように規定する。
「1. 基本権の制限には,法律上の根拠を必要とする。重大な制限は,法律自体にこれを規定しなければならない。ただし,重大,直接かつ差し迫った危険がある場合は,この限りではない。
2. 基本権の制限は,公益又は第三者の基本権の保護のために正当化できるものでなければならない。
3. 基本権の制限は,目的に照らして比例原則に反しないものでなければならない。
4. 基本権の本質的内容は,不可侵である。」[10]
言い換えれば,スイス憲法上保障される基本権は,①法律上の根拠,②公益又は第三者の基本権の保護の存在,③比例原則の遵守を証明しなければ,制限されることはない。この基準は,ヨーロッパ人権条約第8条2項が定める要件である,①正当な理由,②民主主義社会に対する必要性,③比例原則の遵守に沿ったものであると言えるだろう[11]。したがって,個人情報の保護に違反したことによって生じる個人の人格権への侵害の場合には,当然にデータ保護に関する法律に定められる正当化事由や例外措置等に当てはまるか否かを検討する必要があるが,それに加えて,第36条に定められる基本権に対する制限も検討する必要があると言えるだろう。
3. データ保護に関する連邦法の基本構造
まず,現在のデータ保護に関する連邦法(以下LPD)は,以下のような構造となっている。
第1節 目的,適用範囲,定義
第2節 データ保護に関する一般規定
第3節 私人による個人データの取扱い
第4節 連邦機関による個人データの取扱い
第5節 データ保護及び透明性に関する連邦職員(PFPDT)
第6節 法的救済
第7節 罰則
第8節 最終規定
LPDは,全39条から構成され,これらの条文の実務上での運用を知りたい場合には,LPDに関するオルドナス(以下,OLPD)を参照する必要がある[12]。
「個人データ」(données personnelles)とは,LPD第3条a号で「識別された者,又は識別可能な者に関係するすべての情報」と定義されている。例えば,氏名,電話番号,IPアドレス,郵便住所,登録番号,銀行口座等が,個人データとみなされている。
この中でも,特に,「注意を要するデータ」(données sensibles)につき,①「宗教,哲学,政治,又は労働組合に関する意見又は活動」,②「健康,私空間,又は人種への帰属」,③「生活保護措置」,④「刑事上又は行政上の訴追又は制裁措置」が注意を要するデータとして,一般の個人データと区別されている(LPD第3条c号)。個人データの該当者(personne concernée)は,自然人又は法人とされるが(LPD第3条b号),改正法案では,法人は含まれなくなっていることに注意を要する(P-LPD第5条b号)。
より重要な点は,「取扱い」(traitement)の定義である。LPD第3条e号によれば,「取扱い」とは,「用いられた手段や方法にかかわらず,個人データに関連するすべての処理(特に,データの収集又は記録,保存,使用,修正,伝達,保管,削除,廃棄)」と定義されている。これに基づき,個人データの取扱いは,以下の4つの段階に区別することができる。すなわち,①計画(planification),②収集(collecte),③活用(exploitation),④削除(suppression)である。これらのうち,②〜④の過程が「取扱い」として考えることができる。
現行法では,個人データを取り扱う主体は,私人(personne privée)又は連邦機関(organe fédéraux)であるが,改正法案では,取扱責任者(responsable du traitement)という用語を新しく用いることによって,誰が個人データを取り扱うのかをよりわかりやすくしている。しかし,「私的な取扱責任者」と「連邦機関の取扱責任者」という用語を用いているため,実際には,大きな違いは存在しないだろう。
改正法案(P-LPD)は,以下のような構造を有する。
第1章 目的,適用範囲,監視連邦機関
第2章 一般規定
第1節 定義及び一般原則
第2節 外国に本部又は居住地を有する私的な取扱責任者による個人データの保護
第3節 外国への個人データの伝達
第3章 取扱責任者および下請人(データプロセッサー)の義務
第4章 該当者の権利
第5章 私人による個人データの取扱いのための特別規定
第6章 連邦機関による個人データ取扱いのための特別規定
第7章 データ保護および透明性に関する連邦職員
第1節 構造
第2節 データ保護規定の違反に関する調査
第3節 行政補助
第4節 法定報酬
第8章 罰則
第9章 国際条約の締結
第10章 最終規定
筆者の個人的な見解では,現行法と改正法案の最も重要な違いは,改正法案において,個人データ保護に関する影響評価(l’analyse d’impact relative à la protection des données personnelles)を明確に導入した点であり,これは,EU一般データ保護規則第3節第35条以下の規定をスイス法制度内で採用したものと考えられる(P-LDP第22条)。この規定は,取扱責任者及び下請人(データプロセッサー)(sous-traitant, data processor)に個人データの取扱いをする際に生じるリスク管理を徹底するために,個人データを取り扱うことによって生じる影響を事前に評価する義務を課している。例えば,新しいアプリを開発した際に,そのアプリが位置情報や個人の氏名,クレジットカード番号等を必要とする場合には,このアプリによる個人データの収集やその活用が,スイス憲法又はスイス民法典で保障される個人データ該当者の人格権又は基本権に対してどれほどの影響を及ぼすかについて評価しなければならない。
4. むすびに
本稿では,簡単かつ簡素に,スイスのデータ保護法制について紹介した。簡単かつ簡素にするために,多くの説明を省いたことで,明確でなくなってしまった点もあると思われるが,その点については,本ブログにおける別稿,又はJETROのウェブサイトを参照してほしい。別稿では,現行法と改正法案の比較検討を段階的に簡単かつ簡素な方法で行うことにしたい。
† 明治大学修士課程修了(LL.M),ローザンヌ大学修士課程修了(LL.M),ローザンヌ大学博士課程在籍(PhD)。
[1] 日本の個人情報保護法は,以下を参照せよ。https://elaws.e-gov.go.jp/document?lawid=415AC0000000057. 比較法研究については,別稿で検討することにしたい。
[2] RS 235.1
[3] RS 235.11.
[4] 他には,シュンゲンデータ保護法(loi fédérale sur la protection des données personnes dans le cadre de l’application de l’acquis de Schengeen dans le domaine penal, LPDS)や政府機構及び行政機構に関する法律(loi sur l’organisation du gouvernement et lde l’administration, LOGA)などが関連法規である。
[5] この点につき,JETROが詳細な日本語訳やハンドブックを公開している。https://www.jetro.go.jp/world/europe/eu/gdpr/.
[6] https://www.bj.admin.ch/bj/fr/home/staat/gesetzgebung/datenschutzstaerkung.html。
[7] 和田 恭・マリオ・マルケジニ,『個人データ保護法改正のポイントとは(スイス)』 JETRO,2021年1月5日掲載(https://www.jetro.go.jp/biz/areareports/2021/cb807fdf72d1a4a4.html).
[8] ワルター・ハラー原著,平松毅・辻雄一郎・寺澤比奈子訳,『スイス憲法―比較法的研究―』成文堂(2014年),207頁。
[9] ATF 130 III 28, consid. 4.2.(私人間においては,民法典第28条は,各人が限定されたその他と共有する事象を含む,私的空間の遵守への権利を保障する。電子メッセージによって転送された個人情報は,その権利の対象となる。私的空間における第三者の介入,特に情報を収集のための介入は,人格権に対する侵害となる。当該侵害は,秘密領域に関わるだけ一層重大である。)
[10] ワルター・ハラー原著,平松毅・辻雄一郎・寺澤比奈子訳,『スイス憲法―比較法的研究―』成文堂(2014年),210頁。
[11] ヨーロッパ人権条約の日本語訳は,以下を参照せよ。https://www.echr.coe.int/Documents/Convention_JPN.pdf.
[12] 2021年6月23日,スイス連邦評議会は,オルドナンスの改正案に関する議論を開始した。改正法案については,以下を参照せよ(https://www.bj.admin.ch/bj/fr/home/aktuell/mm.msg-id-84103.html)。
Leave a Reply