法律の専門用語なしのガイド

スイスにおけるAIとLPD/nLPD:何を意味するか

新しいデータ保護法が御社のAIプロジェクトに何をもたらすか、そしてデータの所在を尊重しながらどう構築するかを、わかりやすく整理します。重要:当社は法的助言を提供しません。

欧州ホスティングオープンソーストレーサブル

14'036+ 過去30日間に作成されたサイト

actif
🇪🇺 Europe
Falkenstein
Helsinki
Nürnberg

Hetzner · Europe

US cloud
欧州ホスティング
オープンソース
トレーサブル

2023年9月1日より、スイスで新しい連邦データ保護法(nLPD)が施行されています。この法律は人工知能を名指しで言及していませんが、それは意図的なものです。法律は技術中立の原則に基づいて策定されています。その直接的な結果として、自然人の個人データを処理するあらゆるAIシステムはnLPDの適用対象となります。本ガイドでは、内部チャットボット、自動化された採用ツール、レコメンデーションエンジン、顧客分析ソリューションなど、AIツールを導入している、または導入を検討しているスイス企業にとって、これが具体的に何を意味するかを説明します。

14'036+
過去30日間に作成されたサイト
16
言語対応
100%
EUホスティング
0
US cloud

知っておくべき要点

本質を、シンプルに説明します。

データの所在

御社のデータがどこに保存・処理されるかが重要です。当社は欧州ホスティングとオープンソースモデルで構築します。

データ最小化

必要なデータのみを処理する:リスクを減らすシンプルな原則です。

透明性とトレーサビリティ

ログ化・監査可能な処理で、AIが御社のデータをどう扱うかを把握。

委託先

御社のデータを管理されていない第三者クラウドにさらさない事業者を選びます。

nLPDとAI:技術中立の原則

連邦データ保護・情報公開委員(PFPDT)は2023年11月に見解を確認しています。現行のデータ保護法はAIに直接適用されるというものです。スイスには欧州連合のAI法のような人工知能専用の法律はありません。スイスの立法者は意識的に技術中立のアプローチを選択しており、既存の規則(nLPD、債務法、FADP)はAIを含むあらゆる技術に適用されます。つまり、AIを活用したCRMプロバイダー、予測分析ツール、内部会話型アシスタントはいずれも、識別可能な人物に関するデータを処理する時点でnLPDの適用範囲に入ります。

  • スイスにはAI専用法なし:nLPDが主要な枠組みとして機能
  • 技術中立:法文はAIを明示しないが、完全に適用される
  • PFPDTは2023年11月にこの解釈を公式に確認
  • 欧州評議会のAIに関する枠組み条約(スイスは2025年3月27日に署名)により2026~2027年にかけてこの枠組みが強化される
  • 欧州のAI法は、EUの居住者のデータを処理するスイス企業に間接的に適用される可能性がある

AI利用に際する5つの基本義務

導入するAIシステムの性質に関わらず、nLPDの5つの原則が処理責任者である企業に課せられます。

  • 透明性:AIシステムがデータを処理していること、その目的、根拠について当事者が知る必要があります。意図的な不透明さは違反となります。
  • 目的の特定:特定の目的のために収集されたデータは、別の法的根拠なしにAIモデルの学習や改善のために自由に再利用することはできません。
  • 最小化:AIシステムは追求する目的に厳密に必要なデータのみを処理すべきです。念のためにデータを集約することはこの原則の違反となります。
  • 正確性:AIシステムに入力されるデータは最新の状態に保つ必要があります。古いデータに基づく自動化された決定は企業の責任を問われる可能性があります。
  • セキュリティと追跡可能性:AI処理はログに記録され、アクセスが管理される必要があります。データ侵害が発生した場合、nLPDは不当な遅滞なく当局への通知を義務付けています(RGPD/GDPRの72時間と比較して)。

自動化された意思決定と異議申し立て権:ユーザーが要求できること

nLPDは、自動化された処理のみに基づいてなされ、当事者に法的または類似の重大な影響を与える決定に対して、当事者に異議申し立て権を付与しています。具体的には、AIツールが自動的に応募者を拒否したり、保険料を設定したり、人間の介入なしに信用を拒否したりする場合、当事者は決定の再審査を自然人に求めることができます。PFPDTはこれを高度なデジタル自己決定権という観点から表現しており、企業は当事者が自動化された決定を理解し、必要に応じて異議を申し立てられる手段を提供しなければなりません。この異議申し立て権は任意ではなく、システムの導入前に運用可能な状態になければなりません。

  • 法的または重大な影響を持つ自動化された意思決定に対する異議申し立て権
  • 要求に応じた人間による再審査メカニズムの設置義務
  • アルゴリズムの機能に関する透明性がこの権利の前提条件
  • 特に影響を受けるセクター:人事(応募者スクリーニング)、保険(料率設定)、銀行(信用スコアリング)、eコマース(差別的パーソナライゼーション)

データ保護影響評価(DPIA)が義務付けられるのはいつか?

nLPDは、当事者の基本的権利と自由に高いリスクをもたらす可能性のある処理を行う前に、データ保護影響評価(DPIA)の実施を義務付けています。AIシステムにとっては、高リスクの閾値はすぐに達します。DPIAが必要となるのは特に、大規模な機微データ(健康、政治的意見、生体データ)の処理、人物の広範なプロファイリング、重大な法的または経済的影響を持つ自動化された意思決定、または公共空間の体系的な監視が行われる場合です。DPIAは導入前に実施し、文書化し、システムが変化した場合は更新する必要があります。残存リスクが高くなった場合はPFPDTに相談できます。

  • 大規模な機微データの処理:DPIA必須
  • 広範なプロファイリングまたは自動スコアリング:DPIA必須
  • 法的または経済的に重大な影響を持つ自動化された意思決定:DPIA必須
  • 公共空間の体系的な監視:DPIA必須
  • DPIAは導入前に実施すべきであり、インシデント後ではない
  • 高い残存リスクが残る場合はPFPDTに相談可能

nLPDが禁止するAI慣行

nLPDは禁止されるAI使用の網羅的なリストを定めていませんが、PFPDTの見解と同様に、いくつかの慣行は明らかに保護された基本的権利と相容れません。

  • 公共空間での大規模なリアルタイム顔認識:nLPDおよび基本的権利と相容れない
  • 個人の全行動を体系的に評価するソーシャルスコアリングシステム:LPDが保護する情報的自己決定と相容れない
  • 確固たる法的根拠なく、正当かつ文書化された目的なしに生体データを収集・処理すること
  • 別の法的根拠なしに、本来の目的から転用された個人データでAIモデルを学習させること
  • 明示的な同意または他の認められた法的根拠なしに機微データ(健康、人種的出自、政治的意見)を処理すること

内部データでAIモデルを学習させる:nLPDが定めること

企業において最も頻繁なケースの一つとして、内部データ(メール、人事ファイル、顧客履歴、契約書)を使ってAIモデルを学習または微調整することがあります。nLPDはいくつかのセーフガードを設けています。まず目的について:顧客契約管理のために収集されたデータは、別の法的根拠なしにAIモデルの学習に再利用することはできません。次に所在地について:モデルがスイス外またはEEA外のプロバイダーでホスティングされている場合、国際的なデータ移転が発生し、nLPDの適切な保障措置が適用されます。最後にモデルの不透明性について:一度学習されると、個人データが抽出または推定される可能性がないことを保証することは困難です。欧州のインフラまたは自社サーバー上に展開されたモデルを使用する主権的なアーキテクチャが、この問題に対する最も堅固な対応策です。

  • AIのために内部データを再利用する前に法的根拠を確認する
  • 学習の目的を文書化し、当初の収集との適合性を確保する
  • 国際的な移転が発生するかどうかを特定する(米国プロバイダー、EEA外のクラウド)し、適切な保障措置を講じる
  • どのデータがモデルを供給できるかを決定する前に、データを分類する(公開、内部、機密、機微)
  • 外部性を回避するため欧州インフラ上に展開されたオープンソースモデルを優先する
  • アーキテクチャ上の決定を処理記録に文書化する

nLPDの制裁:個人責任と金額

しばしば過小評価されている点として、RGPDが企業を制裁対象とするのとは異なり、nLPDはまず第一に自然人を制裁対象とします。経営者、IT責任者、一部の従業員が訴追され、個人的な罰金を科せられる可能性があります。最大額は違反1件につき250'000 CHFです。最もリスクが高い違反は、情報提供義務の不履行、権限のある当局へのデータ侵害通知の欠如、または自動化された個人決定に関する義務の違反です。制裁は自動的ではなく、訴追には告訴が必要です。しかし、公開手続きの場合の評判リスクは、罰金そのものよりも大きい場合があります。

  • 最大制裁額:違反1件につき250'000 CHF(企業ではなく個人への罰金)
  • 対象者:経営者、IT責任者、DPO、関与した従業員
  • 最も頻繁に制裁される違反:情報提供の欠如、侵害通知の欠如、自動化された決定に関する規則の違反
  • 自動的な罰金なし:告訴が必要(RGPDと異なる)
  • 評判リスクは罰金そのものより潜在的に高い

LPD対RGPD:AIプロジェクトにとっての主な違い

多くのスイス企業はEU居住者のデータも処理しているため、nLPDと並行してRGPDの適用も受けます。両フレームワークは基本的に類似していますが、いくつかの重要な点で異なります。以下はAIプロジェクトにとって最も重要な違いです。

  • 制裁:RGPDは企業を対象(世界売上高の最大4%)、nLPDは自然人を対象(最大250'000 CHF)
  • DPO:RGPDでは特定のケースで義務的、nLPDでは推奨されるが義務的ではない
  • 侵害通知:RGPDでは72時間、nLPDでは不当な遅滞なく(より柔軟だが曖昧でもある)
  • 同意:nLPDはRGPDのように唯一の中心的な法的根拠として明示的な同意を要求しない
  • 域外適用:RGPDはEU居住者が関係する場合、企業がスイスにあっても適用される
  • EU AI法:スイスには直接適用されないが、EUで販売するスイス企業には適用される可能性がある

2025~2027年の規制動向:来たるべきもの

AIに関するスイスの法的枠組みは変化しています。AIシステムを展開する企業が予期すべきいくつかの発展があります。

  • 欧州評議会のAIに関する条約(CETS 225):スイスは2025年3月27日に署名。批准により、特に高リスクAIシステムや当局による監督に関して追加的な義務が生じる
  • EU AI法は2026年まで段階的に施行:EUの市場で事業を行うスイス企業、特に高リスクAIシステム(人事、信用、健康、重要インフラ)には関係する可能性がある
  • nLPDの潜在的な改正:連邦参事会は欧州の動向を注視しており、2026~2027年に向けた適応が考えられる
  • 行政でのAI利用に関する連邦条例:協議中であり、民間の部門別基準に影響を与える可能性がある
  • PFPDTの影響力の増大:特定のAI用途(チャットボット、プロファイリング、生成AI)に関するセクター別の見解の増加

チェックリスト:nLPD準拠AIのための10の具体的アクション

これはAIツールを展開している、または展開を検討している企業のための運用上の出発点です。このリストは法的アドバイスではありません。具体的な状況については専門の弁護士に相談してください。

  • 1. マッピング:組織内で使用されているすべてのAIツールをリストアップし、どれが個人データを処理しているかを特定する
  • 2. データの分類:どのデータがモデルを供給できるかを決定する前に、公開、内部、機密、機微データを区別する
  • 3. 目的の文書化:各AI処理について、処理活動記録に正確な目的を文書化する
  • 4. リスク評価:処理にDPIAが必要かどうかを判断する(機微データ、プロファイリング、影響を与える自動化された意思決定)
  • 5. 情報提供:情報通知(プライバシーポリシー、処理通知)がAIの使用を明示的にカバーしていることを確認する
  • 6. 異議申し立ての準備:重大な自動化された決定に対して、機能的な人間の救済メカニズムを設ける
  • 7. 下請業者の管理:AIプロバイダーが提供する保証を確認する(所在地、移転、認証)
  • 8. チームの研修:AI文脈でのnLPD義務について従業員を意識させる。特に人事、マーケティング、ITチームに対して
  • 9. テストと監査:コンプライアンスと差別的バイアスの欠如を確認するため、AIシステムの定期的な監査を計画する
  • 10. 活きた記録の維持:AIシステムまたは規制が変化するたびに文書を更新する

nLPD対RGPD:AIプロジェクトにとっての本質的な違い

ほとんどのスイス企業は両方の枠組みを扱う必要があります。以下はAIプロジェクトを構築するために知っておくべき最も重要な違いです。

基準nLPD(スイス)RGPD(EU)
施行日2023年9月1日2018年5月25日
制裁最大250'000 CHF、個人への罰金世界売上高の最大4%、企業への罰金
DPO(データ保護責任者)推奨、中小企業には義務的でない特定のケースで義務的
侵害通知の期限不当な遅滞なく(より柔軟)最大72時間
法的根拠としての同意複数の根拠のうちの一つ(より柔軟)中心的だが制限されている
DPIA義務高リスク処理の場合、義務的高リスク処理の場合、義務的
域外適用スイスの人々のデータを処理する場合に適用EU居住者が関係する場合に適用
AI専用法なし(技術中立)AI法が2026年まで段階的に施行

当社の役割

御社のデータを尊重して構築します

当社は法律業務は行いませんが、御社のデータの所在と機密性を尊重する形でAIを構築します。

欧州ホスティング

欧州(Hetzner)のインフラ、米国クラウドは使いません。

オープンソース

当社インフラ上のオープンソースモデル。御社のデータがモデル学習に使われることはありません。

トレーサブル

ログ化・監査可能な処理。

swissIa.lpdNlpdSuisse.localContextTitle

スイスには専任の独立機関があります。連邦データ保護・情報公開委員(PFPDT)はベルンに拠点を置き、勧告を発し、予備調査を開始できます。
ヴォー州、Genève、フリブール州、ヌーシャテル州には、州の公的機関に適用される独自の州データ保護法があります。民間企業には連邦nLPDが優先されます。
スイスロマンド(フランス語圏スイス)にはnLPDとAIのコンプライアンスに特化した複数の専門家がいます。Genève、Lausanneを中心とした専門法律事務所、データ保護コンサルタント、設計段階からコンプライアンスを組み込む技術サービスプロバイダーです。
スイスの金融セクター(銀行、保険、資産管理)は、処理されるデータの機微な性質と頻繁な自動化された意思決定(スコアリング、詐欺検知、自動化されたアドバイス)を考慮すると、AI文脈でのnLPD義務に特にさらされています。
欧州評議会のAIに関する枠組み条約(スイスは2025年3月27日に署名)は、AIに関する最初の法的拘束力を持つ国際条約です。スイス議会による批准により、追加の正式な義務が生じます。

よくある質問

LPDは企業で使用されるChatGPTやCopilotなどのAIツールに適用されますか?

はい。これらのツールが識別可能な自然人の個人データ(名前、メール、従業員や顧客の情報)を処理する限り、nLPDが適用されます。これらのツールを使用する企業が処理の責任者となります。目的が文書化されていること、当事者が通知されていること、データがプロバイダーが想定していない目的に再利用されないことを確保しなければなりません。特にデータの所在地とモデル学習のための再利用に関して、プロバイダーの契約条件の確認が不可欠です。

AIを使用するために会社はデータ保護責任者(DPO)を任命しなければなりませんか?

nLPDはRGPDと同じ条件でDPOを義務的とはしていません。しかし、大規模に個人データや機微データを処理するAIシステムを展開している場合は、データ保護責任者を任命または委任することが強く推奨されます。この責任者は内部または外部(法律顧問、専門コンサルタント)のいずれかとなります。その役割は、コンプライアンスの監督、DPIAの実施、当事者からの要求の管理、必要に応じてPFPDTとの連絡です。

DPIAとは何ですか?AIプロジェクトではどのような場合に義務的ですか?

データ保護影響評価(DPIA)は、データ処理が当事者の権利と自由に与えるリスクについての文書化された評価です。nLPDの下では、処理が高いリスクをもたらす可能性がある場合に義務的です。大規模な機微データの処理、広範なプロファイリング、重大な影響を持つ自動化された意思決定、体系的な監視が該当します。企業における大半の野心的なAIプロジェクト(AI人事、顧客スコアリング、行動分析)にはDPIAが必要です。導入前に実施する必要があります。

会社の顧客データや従業員データでAIモデルを学習させることはできますか?

条件付きで可能です。まず、この新しい処理のための有効な法的根拠が必要です(データの当初の収集が異なる目的だった場合、それだけでは不十分です)。当事者はこの使用について通知される必要があります。データが機微な場合は、明示的な同意またはその他の強力な法的根拠が必要です。モデルの所在地が決定的です。スイス外またはEEA外のサーバーでホスティングされているモデルは国際的なデータ移転を意味し、追加の保障措置が必要です。処理記録にこれらの決定を文書化することが不可欠です。

nLPDが禁止するAI慣行はどのようなものですか?

nLPDは網羅的なリストを定めていませんが、PFPDTは特定の用途が保護する基本的権利と相容れないと明確にしています。公共空間での大規模なリアルタイム顔認識、個人の行動を体系的に評価するソーシャルスコアリングシステム、確固たる法的根拠なしに生体データや機微データを収集または処理することです。EUのAI法は、これらの慣行の一部を明示的に禁止しており、EU居住者のデータを処理するスイス企業に間接的に適用される可能性があります。

AI文脈でnLPDを違反した場合の制裁はどのようなものですか?

nLPDは自然人を制裁対象とし、企業を直接対象としません。罰金は違反1件につき250'000 CHFに達する可能性があります。経営者、IT責任者、関与した従業員が個人的に対象となります。最も制裁されやすい違反は、当事者への通知の欠如、データ侵害の通知の欠如、または自動化された個人決定に関する規則の違反です。手続きを開始するには告訴が必要です。評判リスクは多くの場合、罰金そのものよりも懸念されます。

nLPDとRGPDは私のスイス企業に同時に適用されますか?

それはあなたの活動によります。EUの居住者(顧客、パートナー、見込み客)のデータを処理する場合、RGPDはこれらの処理に適用されます。企業がスイスにあるかどうかに関係なく。nLPDはスイスの人々のすべてのデータ処理に適用されます。実際には、多くのスイス企業が両方の枠組みを遵守する必要があります。良いニュースとして、両者は大部分で整合しており、よく構築されたコンプライアンスポリシーは制裁、DPO、通知期限のいくつかの違いを考慮した上で両方をカバーできます。

EU AI法はスイスを拠点とする企業に関係しますか?

EU AI法はEUのメンバーでないスイスには直接適用されません。しかし、AIシステムを欧州市場に提供する場合、またはシステムがEUの人々に影響を与える場合は、AI法の規則が適用される可能性があります。また、スイスは欧州評議会のAIに関する条約(2025年3月)に署名しており、批准により追加の義務が生じます。特に高リスクAIシステムに関してです。

nLPDに準拠したAIプロバイダーを選択するにはどうすればよいですか?

3つの主要基準があります。データの所在地(国際的な規制されていない移転を避けるためスイスまたはEU/EEAのサーバーを優先)、データの再利用ポリシー(プロバイダーはモデル学習にあなたのデータを使用しますか?もしそうなら、どのような法的根拠で?)、そして契約上の透明性(プロバイダーは下請業者記録、DPA、文書化されたセキュリティ保証を提供できますか?)。自社インフラまたは欧州インフラ上に展開されたオープンソースモデルは、一般的にこれら3つの基準に対して最良の対応を提供します。

nLPDは内部展開されたオープンソースAIモデルに適用されますか?

はい。nLPDは処理責任者、つまりモデルの性質(オープンソースか専有か、内部ホスティングかサードパーティか)に関わらず企業に適用されます。内部展開されたオープンソースモデルが個人データを処理する場合、nLPDのすべての義務が適用されます。情報提供、最小化、セキュリティ、高リスクの場合はDPIAなど。内部展開されたオープンソースの利点は、データを完全に管理し、第三者への意図しない移転のリスクを排除できる点にあります。

データを尊重するAIプロジェクトをお考えですか?

御社のケースについてお話ししましょう。データの所在を尊重して構築します。

カスタムデモをリクエスト

チームについてお聞かせください。24時間以内にご連絡いたします。

お客様の情報を第三者と共有することはありません。24時間以内に返信いたします。

スイスにおけるAIとLPD/nLPD | 何を意味するか(ガイド)