2026年のスイス改正FADP:クッキー同意、FDPIC執行、スイス・EU間データフローに関するパブリッシャーと広告主向けガイド
スイスの改正連邦データ保護法—revFADP、フランス語やドイツ語の資料ではnFADPと呼ばれることもある—は他の法域が与えたような複数年の猶予期間なしに2023年9月1日に施行され、最初の18か月を連邦データ保護・情報委員(FDPIC)が公式に観察期間と説明した段階で過ごしました。その期間は終わりました。2025年を通じてFDPICはスイスおよび外国の管理者に対して目に見える一連の正式調査を開始し、改正法に基づく最初の公表決定を下し、ほとんどの点でGDPRと運用ガイダンスを整合させながらも、特定の問題—とりわけ米国への越境移転、非必須クッキーに対する同意の役割、行政制度に並行して存在する刑事責任の仕組み—についてはスイス独自の立場を維持しました。2026年の始まりにおいてrevFADPはもはや、パブリッシャーがEUプログラムの端数誤差として扱えるようなGDPRの静かな姉妹法ではありません。スイスの個人のデータを処理するパブリッシャー、広告主、プラットフォームのいずれにとっても—スイスに拠点を置くかどうかにかかわらず—2026年はrevFADPが独自の監査を必要とする独立した遵守義務となる年です。本ガイドは、2026年時点のrevFADPの状況、スイス法の下でクッキー同意が実際に何を要求するか、2024年の適切性再整合後に越境移転がどのように機能するか、そしてFDPICの初期執行テーマが2026年の優先事項について何を示しているかを解説します。
2026年のrevFADPの構造
revFADPはスイスの1992年データ保護制度を、ほとんどの運用面でGDPRに密接に沿いながらもいくつかのスイス固有の立場を保持したフレームワークに置き換えました。revFADPと並行して施行されている改正データ保護令(rev-OPDP)およびデータ保護認証令が運用上の詳細を補完しています。
改正が変えたこと
この改正は次の内容を導入しました:FDPICへの義務的な侵害通知、ほとんどの管理者に対する処理記録の要件、高リスク処理に対するデータ保護影響評価、GDPRの第3条(2)に類似した真の域外適用、強化されたデータ主体の権利、および組織だけでなく個人にも適用される刑事責任の仕組み。個人データの定義、適法処理の根拠、データ主体の権利の構造はいずれもGDPRと密接に整合しており、すでにGDPRプログラムを実施しているパブリッシャーのスイス遵守を大幅に簡略化しますが、それを不要にするわけではありません。
規制対象者
revFADPはスイス国内でのデータ処理およびスイス国外での処理でスイスの個人に影響を与えるものに適用されます。ローカライズされたサイト、.chドメイン、スイスの視聴者向けに調整されたドイツ語・フランス語・イタリア語・ロマンシュ語コンテンツ、またはスイスのIPに対して購入したプログラマティック広告在庫を通じてスイスのトラフィックを提供する外国のパブリッシャーは通常、適用範囲内にあり、FDPICは2025年のガイダンス更新で域外適用の解釈を確認しています。
行政制裁と刑事責任の仕組み
revFADPのGDPRからの最も議論される差異は、その制裁の枠組みが主に行政的ではなく刑事的であることです。個人への制裁—通常は取締役、データ保護責任者、コンプライアンス担当者などの責任ある自然人に対して—故意の違反1件につき最大25万CHFに達することができ、最も深刻な行為については並行した刑事責任があります。上限額は絶対値としてはGDPRの売上高の4%という上限より低いですが、責任の向かう先—組織だけでなく名指しの個人へ—は実際のリスク計算を変えます。複数のパブリッシャーが2025年にリスク配分のために内部の承認ワークフローを再構築しています。
revFADPにおける個人データとは
revFADPの個人データの定義はGDPRに密接に沿っています。個人データとは識別された又は識別可能な人物に関する情報であり、FDPICはクッキー、広告識別子、IPアドレス、デバイスフィンガープリント、行動プロファイルが直接またはその他の情報との組み合わせにより個人に結びつけられる場合、これらを一貫して個人データとして扱ってきました。
特にセンシティブな個人データ
revFADPはGDPRの特別カテゴリーよりも幾分広い特にセンシティブな個人データと呼ばれるカテゴリーを指定しています。これには次のものが含まれます:宗教的・哲学的・政治的・労働組合的な見解と活動に関するデータ、健康データ、プライベートな領域や人種・民族的出自に関するデータ、人物を一意に識別する遺伝・生体認証データ、行政上および刑事上の手続きや制裁に関するデータ、社会的援助措置に関するデータ。特にセンシティブな個人データの処理は、より高い同意・透明性要件を引き起こします。
クッキーにとってこれが重要な理由
通常の広告識別子を保存するクッキーは通常の個人データです。特にセンシティブなリスト—健康上の関心、政治的傾向、宗教的所属—に触れる視聴者セグメントにデータを提供するクッキーは特にセンシティブな個人データの処理であり、一般的な広告同意フローとは別に明示的な同意を必要とします。このリストと重複するスイス語による視聴者ターゲティングは、GDPRの特別カテゴリーの境界線とは若干異なる線引きがされているその境界に対して具体的に監査される必要があります。
2026年のrevFADPにおけるクッキー同意
revFADPは処理のいくつかの適法根拠を認めており、EU加盟国で適用されているePrivacy指令とは異なり、スイス法は非必須クッキーに対する法定の同意のみを基線として課していません。しかし実際には、FDPICの2024年および2025年のガイダンスと最新の執行決定が、広告、分析、クロスコンテキストプロファイリングに結びついたクッキーについてEUの基線に非常に近い立場に収束しています。
FDPICの運用上の立場
FDPICが公表した立場は、非必須クッキー—広告、リターゲティング、クロスサイト分析、パーソナライゼーションを含む—はクッキーが起動する前に取得された事前の、十分な情報に基づく、自由に与えられた、特定の同意を必要とするというものです。厳密に必要なクッキーとユーザーが明示的に要求したサービスをサポートするクッキーは正当な利益または契約履行を根拠として事前の同意プロンプトなしに設定できますが、クッキーを厳密に必要と分類する負担は管理者にあり、2025年の複数の苦情でこれが問われています。
有効な同意の要素
revFADPに基づく同意は次の要件を満たす必要があります:
- 自由に与えられた—強制、必須サービス提供との抱き合わせ、または非必須クッキーの受け入れを条件とするコアコンテンツへのアクセスを制限するクッキーウォールなしに
- 十分な情報に基づく—データ主体がどのデータが誰によってどのような目的でどの受領者と処理されるかを理解している
- 特定の—包括的な同意ではなく明確に識別された処理目的に結びついた
- 明確な—スクロール、継続的な閲覧、または不作為から推論されるのではなく、明確な積極的な行為によって表明された
- 特にセンシティブな個人データを含む場合は明示的—センシティブな処理に対する別個の同意を伴う
スイスのトラフィックに対するコンプライアントなCMPの外観
2026年にスイス向けに設定されたCMPは以下を提示すべきです:
- 非必須クッキーが起動する前にユーザーの言語—ドイツ語、フランス語、イタリア語、またはロマンシュ語—で表示されるバナー。言語選択は英語をデフォルトとするのではなく.chサイトのローカライゼーションと一致させること
- 承諾、拒否、設定のアクションに対する視覚的に均等な表示—FDPICの2025年ガイダンスは拒否が承諾に比べて視覚的に目立たないバナーデザインを明示的に批判している
- 目的ごとの詳細なトグル:分析、広告、パーソナライゼーション、越境移転、特にセンシティブなカテゴリー
- 特にセンシティブな個人データの処理については一般的な同意にまとめるのではなく独自のアクションの後ろに置いた別個の同意フロー
- 最初の選択後に同意を撤回するための持続的で容易に見つけられる仕組み、同意を与えることと同等の煩わしさで
- 管理者の身元、処理者、目的、受領者、保存期間、移転メカニズム、データ主体の権利行使経路を開示するスイス語の完全なプライバシー通知
同意記録
管理者は同意の証拠—誰が、いつ、どの特定の目的に対して、どのインターフェースを通じて同意したか—を維持しなければなりません。不十分な同意記録は2025年の複数のFDPIC調査書簡で取り上げられており、適用される時効期間保存されたタイムスタンプ付きのエクスポート可能なログが基本的な期待値です。
2024年の適切性再整合後の越境移転
越境データ移転はrevFADPの領域の中でスイスの立場がEUの立場から最も明確に離れ、若干遅れている部分です。EUによるEU-米国データプライバシーフレームワークの採択に続く2024年の再整合は、並行するスイス・米国データプライバシーフレームワークを生み出しましたが、その範囲と条件は同一ではありません。
認められた移転メカニズム
revFADPとrev-OPDPはいくつかの経路を認めています:
- 適切な保護を提供していると評価された国に対するスイス連邦評議会による適切性決定—現在のリストにはEEA、英国、その他いくつかの法域が含まれる
- 2024年後にスイス・米国プライバシーシールドに代わったスイス・米国データプライバシーフレームワーク—フレームワークの下で自己認証した米国の組織への移転用
- FDPICが公表したスイス附属書付きのEU SCCを含む、FDPICが認める標準契約条項
- FDPICが承認した拘束的企業準則
- 適切な開示を伴う明示的な同意、契約上の必要性、重大な利益、実質的な公共の利益を含む特定の例外
実務上のスイス・米国DPF
スイス・米国DPFは自己認証し認証を維持している米国の組織への移転を対象としています。パブリッシャーは各米国の広告テクノロジーまたは分析ベンダーのDPFリストでのアクティブな認証状況を一度だけ確認して依存するのではなく定期的に確認する必要があります。期限切れの認証は過去の移転を遡及的に無効にしませんが、継続中のフローについては直ちに是正措置が必要です。ベンダーがDPF認証を持っていない場合、FDPICのスイス附属書付きのEU SCCが実用的な代替手段として残ります。
実際的な2026年のアプローチ
ほとんどのパブリッシャーにとって、実用的なアプローチは、スイスのトラフィックからの各越境データフローを宛先国と仕組みにマッピングし、DPF認証がベンダーをカバーしない場合は適切なスイス附属書付きSCCを実行し、スイス語のプライバシー通知に仕組みを文書化し、構造化された仕組みが処理に完全に適合しない場合にのみ同意ベースの承認で補完することです。
revFADPに基づくデータ主体の権利
revFADPはGDPRに密接に沿った権利のセットを付与しており、いくつかのスイス固有の輪郭があります:
- 管理者が保有する個人データへのアクセス権、年1回の無料最初のアクセスと追加または大規模リクエストの費用回収上限付き
- 不正確または不完全なデータの訂正権
- 消去権
- 処理の制限権
- 同意または契約に基づく自動化された手段による処理データの移転可能性の権利
- 処理に対する異議申立権
- 同意の撤回権
- 法的または同様に重要な影響をもたらす自動化された個別意思決定の対象とならない権利、手動レビューのための保護措置付き
- FDPICへの苦情申立または民事手続の提起権
応答期限
管理者は一般的なフレームワークの下でデータ主体のリクエストに30日以内に応答しなければならず、複雑なケースでは理由を付した通知により延長できます。この期間に対する運用上の準備—ドイツ語、フランス語、イタリア語にわたるスイス語のツールとランブック—は、プログラムを単一のヨーロッパ言語に合わせた外国のパブリッシャーにとって一般的なギャップです。
2026年の罰則と執行姿勢
FDPICの執行活動は2024年および2025年を通じて意味のある規模で拡大し、2026年は横ばいではなく軌跡を継続しています。
制裁の構造
制裁は主に刑事的性質であり、名指しの個人—取締役、DPO、コンプライアンス担当者—に向けられており、故意の違反1件につき最大25万CHFという上限があります。2025年の執行で最もよく引用されたカテゴリーは:データ主体への不十分な情報提供、越境移転における注意義務違反、要求される期間内にFDPICにデータ侵害を通知する義務の不履行、およびFDPICの決定や命令への不遵守。
刑事責任の仕組み
GDPRとは異なり、revFADPの刑事責任の経路は法人だけでなく責任ある自然人に対して向けられており、これは2025年に承認ワークフローの内部再構築を大幅に促しました。実際的な効果は、コンプライアンス証明書と監査証跡が組織の露出だけでなく個人の露出にとっても重要であるということです—特にDPOはこれを反映するために文書化の慣行を調整しています。
執行テーマ
FDPICの2025年および2026年初頭の行動は次のテーマに集中しています:拒否アクションを視覚的に目立たなくさせたり事前にチェックボックスをオンにしたりするクッキーバナー、ユーザーのスイス国語でプライバシー通知が利用できないこと、DPF認証を持たず代替メカニズムもない米国ベンダーへの越境移転、30日以内のデータ主体のリクエストへの応答の失敗、遅延または欠落した侵害通知。外国のパブリッシャーは5つのカテゴリーすべてで引用されており、バナーデザインと越境移転のカテゴリーが案件の多くを占めています。
2026年のスイスのトラフィックに対する監査チェックリスト
- CMPバナーはユーザーのスイス国語(DE、FR、IT、またはRM)で提供され、承諾、拒否、設定が視覚的に同等の目立ち方をしている
- 同意目的は詳細であり、特にセンシティブな処理は独自の同意フローの後ろに分けられている
- プライバシー通知は各関連するスイス語で利用可能で、管理者、処理者、目的、保存、権利、FDPIC苦情経路についての完全な開示がある
- スイスのトラフィックからの各越境フローはその宛先と仕組みにマッピングされている—適切性、スイス・米国DPF認証、FDPICスイス附属書付きSCC、BCR、または文書化された例外
- 米国ベンダーのDPF認証状況は一度確認して忘れるのではなく公表リストで再確認されている
- 同意ログはタイムスタンプ付きでエクスポート可能であり、適用される時効期間保存されている
- データ主体リクエストワークフローはドイツ語、フランス語、イタリア語で端から端まで30日以内に応答できる
- 侵害通知のランブックはrevFADPのタイムラインに合わせて調整され、内部のインシデント対応プロセスと統合されている
- 承認ワークフローは個人への刑事責任の仕組みを反映しており、名指しの承認者と文書化の証跡がある
- 特にセンシティブなカテゴリーの視聴者セグメントは明示的に別途取得された同意の後ろに置かれている
- クッキー分類はFDPICのガイダンスに基づいて実際に厳密に必要と認定されるクッキーに対して批判的な目で見直されている
2026年の見通し
スイスのデータ保護制度は、尊重されていたがひっそりした古い法律から、EUプログラムに単に乗るのではなく独自にコンプライアンスの優先事項を形成するための運用上の特殊性、執行能力、刑事責任の仕組みを持つ実用的な手段へと成熟しました。2024年の適切性再整合は米国への移転を巡る最も重大な構造的ギャップを閉じ、FDPICの拡大する2025年の執行姿勢は一回限りのキャンペーンではなく持続的な規模拡大を行っている規制当局と一致しています。GDPRグレードの同意スタックをすでに稼働しているパブリッシャーにとって、revFADP遵守へのギャップは他のいかなる非EU法域へのギャップよりも狭い—しかしそれは現実であり、細部に宿っています:スイス語のバナーと通知、各米国ベンダーのDPF対SCC マッピング、特にセンシティブなカテゴリーのわずかに異なる線、3〜4言語での30日応答リズム、個人の承認文書化をあると便利なものではなく一流のコンプライアンス成果物にする刑事責任の仕組み。ギャップは優先順位付けさえすれば数週間で埋められ、スイスのパブリッシャーのCPMはその優先順位付けを経済的に明快にします。2024年まで静かにスイスをGDPRのパススルーとして扱っていたパブリッシャーは2026年を著しくより要求の高いものとして感じており、傾向は明確です。