EUデータ保護指令 95/46/EC

EUデータ保護指令（Directive 95/46/EC）は、1995年に採択されたEUの画期的なデータ保護法であり、2018年に一般データ保護規則（GDPR）が施行されるまで、その中核をなしていました。主な目的は、個人データの処理に関する個人の基本的権利と自由（特にプライバシー権）を保護し、加盟国間のデータ保護法を統一してデータの自由な流通を促進することでした。目的の特定、データ品質、データ主体の権利など、現代のプライバシー法の基礎となる重要原則を確立しました。GDPRが直接適用される「規則」であるのに対し、これは「指令」であり、加盟国が国内法に置き換える必要がありました。

廃止されたものの、指令95/46/ECの原則は、特にレガシーデータの管理やコンプライアンス義務の変遷を理解する上で、企業リスク管理において依然として重要です。具体的な応用例は以下の通りです。 1. **レガシーシステムの監査**：指令の規則に基づき2018年以前に構築された情報システムやデータベースを監査する必要があります。当時取得した同意が、より厳格なGDPRの基準を満たしているかを確認し、リスクを低減します。 2. **DPIAの基礎**：指令が定める「必要性」「比例性」の原則は、GDPR第35条が義務付けるデータ保護影響評価（DPIA）の概念的な基礎です。リスク管理者はこれらの基本概念を用いて新規プロジェクトのプライバシーリスクを評価します。 3. **ベンダー契約の修正**：多くの長期的なデータ処理契約は元々この指令に基づいていました。これらの契約を見直し、GDPR第28条の厳格な管理・処理者義務に整合させることは、サプライチェーンのコンプライアンスを確保する上で重要なリスク管理活動です。

指令95/46/ECの遺産とGDPRへの移行に取り組む台湾企業は、いくつかの主要な課題に直面しました。 1. **法制度の断片化**：指令は加盟国ごとに異なる形で国内法化されたため、欧州全域で事業を展開する台湾企業は複雑な法規制のパッチワークに直面し、コンプライアンスコストが増大しました。解決策は、統一されたGDPR基準を中心にコンプライアンス活動を一元化することでした。 2. **同意基準のギャップ**：指令の緩やかな同意基準（例：オプトアウト）は、GDPRの厳格なオプトイン要件への移行における大きな障害でした。これにより、企業は既存のEU顧客データに対して、コストとリスクの高い「再同意」キャンペーンを実施する必要がありました。 3. **リスク認識の低さ**：指令下の罰金はGDPRに比べてはるかに低かったため、多くの企業でデータ保護の優先順位が低くなりがちでした。これを克服するには、プライバシーを役員レベルの懸案事項に引き上げ、ISO/IEC 27701などの基準に沿った堅牢なデータガバナンス体制を構築するための大幅なリソースを割り当てるという、組織文化の変革が必要でした。

積穗科研は台湾企業のDirective no. 46/95/ECに特化し、100社以上の支援実績を持ち、90日以内に国際標準の管理体制構築を支援します。無料診断申込：https://winners.com.tw/contact