ベトナム個人情報保護政令の概要と実務対応
国際取引・海外進出 更新ベトナムで取得した個人情報を取り扱う場合、どのような法令に注意すればよいでしょうか。どのような内容の情報が個人情報として保護され、当該情報を取り扱う事業者がどのような義務を負うのかを教えてください。
ベトナムでは従前、サイバー情報セキュリティ法等の様々な法令が断片的に個人情報保護に関する規定を定めていましたが、2023年7月1日、同国初めての包括的な個人情報保護法令である「個人情報保護に関する政令(Decree No. 13/2023/ND-CP)」が施行されました。
本政令は、保護される個人情報として、「電子的環境における記号、文字、数字、画像、音声またはこれらに準ずるものの形で、特定の個人に関連するまたは特定の個人の識別に寄与する情報」を規定しています。また、データ主体からの同意取得やデータ主体への通知、データ処理影響評価実施や評価書類の当局提出等の様々な義務を規定しており、広範囲の事業者に適用されます。
本政令に違反した場合には行政処分や刑事罰の対象となり得るほか、データ主体に違反に基づく損害賠償請求権も認められています。
解説
目次
個人情報保護に関する政令の概要
個人情報の定義
「個人情報保護に関する政令(Decree No. 13/2023/ND-CP)」(以下「本政令」といいます)において、個人情報は、「電子的環境における記号、文字、数字、画像、音声またはこれらに準ずるものの形で、特定の個人に関連するまたは特定の個人の識別に寄与する情報」と広く定義されており、死亡した人の情報も含まれます。
個人情報は「基礎個人情報」と「センシティブ個人情報」に区分されます。
基礎個人情報とは、たとえば以下のような情報をいいます。
- 氏名、別名
- 生年月日、死亡日
- 性別
- 出生地、住所地、所在地、連絡先等
- 国籍
- 個人の画像
- 電話番号、身分証明番号、個人番号、パスポート番号、市民識別番号、運転免許証番号、ナンバープレート番号、個人納税番号、社会保険番号、医療保険カード番号
- 婚姻状況
- 家族関係に関する情報
- 電子アカウントに関する情報、インターネットでの活動または活動履歴を反映した情報
- 特定の人物に関連付けられているまたは特定の個人を識別することに資するその他の情報
センシティブ個人情報は、人種・信条・病歴・犯罪歴・性的志向等の情報を含む、プライバシーに関連付けられる個人情報であり、侵害されるとその個人の権利および合法的利益に直接的に影響するものと定義されています。
- 政治的見解、宗教的見解
- 血液型情報以外の健康状態
- 人種的起源、民族的起源に係る情報
- 個人の遺伝的または後天的な遺伝的特徴に関する情報
- 個人の物理的および生物学的特性に関する情報
- 性生活、性的指向に関する情報
- 法執行機関によって収集され保存された犯罪または犯罪行為に関する情報
- 金融機関、外国銀行支店、決済代行会社、その他の許可された機関の顧客情報であり、以下を含むもの:法令によって規定された顧客識別情報、口座に係る情報、預金に係る情報、預かった資産に係る情報、取引に係る情報、銀行の支店、決済代行会社における保証人または担保の設定人に係る情報
- GPSサービスによる個人の位置情報
- 法令が特別に定める個人情報
なお、本政令上、事業者がセンシティブ個人情報を処理する場合には、データ主体に対してセンシティブ個人情報を処理する旨を通知し、個人情報保護を担当する部署および担当者を選任して公安省の担当部局(以下「A05」といいます)に通知する必要があります。
適用対象・域外適用
本政令は以下の4つに対して適用されます。
- ベトナムの団体・組織・個人
- ベトナムに所在する外国の団体・組織・個人
- ベトナム国外で活動するベトナムの団体・組織・個人
- ベトナムにおける個人データの処理に直接関与しまたは関連する外国の団体・組織・個人
上記③および④は域外適用について定める規定です。日系企業に関連するのは主に④だと思われますが、どのような基準で「ベトナムにおける個人データの処理に直接関与しまたは関連する」と判断されるのかは、法令文言上不明確です。もっとも、2023年6月に公安省が開催した説明会では、公安省が域外適用の範囲を非常に広く考えていることが示唆されています。
管理者と処理者
本政令は、EUのGDPRと同じく、個人情報処理の目的・手段の決定権限等を基準に「管理者」と「処理者」を分け、自らは決定権限を有さず管理者のために個人情報を処理する処理者に対しては、限定的な義務を課しています。
また、本政令上、処理者は、管理者との間で契約書または合意書を締結したうえでそれらに従って個人情報を処理し、処理が終了した場合は個人情報を削除または返却すると定められています。そのため、管理者は処理者との間で契約書等を締結し、個人情報の処理方法等について規定する必要があると考えられます。
もっとも、本政令は、GDPRと異なり、管理者と処理者との契約書等に規定することが必要な項目について具体的に定めていません。
罰則等
本政令は、事業者が本政令に違反した場合に行政処分や刑事罰の対象となり得る旨を定め、データ主体に違反に基づく損害賠償請求権を認めていますが、行政処分や刑事罰の内容については具的に定めていません。本政令違反に対して科される罰則等は別の政令により定められることが予定されていますが、2024年6月時点では当該政令は検討中であり未制定です。
データ主体に関する実務対応
データ主体からの同意取得
本政令上、管理者は、個人情報を処理する場合、収集、利用、開示等のすべての処理過程について、原則としてデータ主体から同意を取得する必要があります。そして、当該同意は、データ対象者が、以下の事項について十分に認識したうえで、自発的に行われなければならないとされています。
- 処理されるデータの種類
- 処理の目的
- 個人情報を処理する組織・個人
- データ主体の権利・義務
特に、マーケティングおよび広告活動のためのデータ処理については、マーケティングおよび広告活動の内容、方法、形式および頻度について顧客が十分に認識したうえでの同意が必要とされています。また、データ主体は同意を撤回できる旨や、沈黙または非回答は有効な同意とはならない旨も明記されているほか、管理者が複数の目的で個人情報を処理する場合、データ主体がそれぞれの目的ごとに同意・不同意を判断できる形で目的がリストアップされる必要があるとされています。
なお、同意取得を不要とする例外は、データ主体との契約履行のために必要な場合や法令に基づく場合に限定されており、GDPRでは認められている正当な利益に基づく処理は認められていません。
データ主体への通知
本政令上、管理者は、個人情報の処理を開始する場合には、以下の事項をデータ主体に対して通知する必要があります。
- 処理の目的
- 処理される個人情報の種類
- 処理の方法
- 処理に関連する他の組織や個人の情報
- 発生し得る予期せぬ結果および損害
- 処理の開始時期および終了時期等
当該通知は、電子的方法またはその他の検証可能な方法を含む、印刷可能な形式または書面でコピー可能な形式で行われる必要があります。
データ主体の権利
本政令は、データ主体に対して、以下のようなGDPRと類似した権利を認めています。
- アクセス権
- 訂正権
- 削除権
- データポータビリティ権
- 処理を制限する権利
- 異議を述べる権利
- 同意撤回権 等
本政令は、データ主体がこれらの権利を行使するための要件や手続等も定めており、一定の権利はデータ主体が権利を行使してから72時間以内での対応が義務とされているため、留意が必要です。
公安省に関する実務対応
データ処理影響評価
本政令上、個人情報の管理者または処理者は、個人情報の処理を開始する場合には、データ処理影響評価を実施したうえで、所定の様式で評価書類を作成・保存し、様々な添付書類とともに処理開始から60日以内にA05に提出する必要があります。
EUのGDPR等、類似の評価義務を導入する国は増えてきていますが、ベトナムでは、多くの国と異なり、従業員の個人情報を少量処理しているだけの事業者であっても当該義務を負い、事実上ベトナムで事業を行っているほぼすべての事業者が評価義務を負うと解されることに留意が必要です。
域外移転規制
本政令上、管理者または処理者は、ベトナム人の個人情報をベトナム域外に移転する場合は、データ移転影響評価を実施したうえで、所定の様式で評価書類を作成・保存し、様々な添付書類とともに域外移転開始から60日以内にA05に提出する必要があります。
提出書類の中には、評価書類だけでなく、データ主体から取得した同意書や、移転先および移転元の間で締結されたデータ処理に関する双方の責任を定める書面(契約等)も含まれていることに留意が必要です。
安全管理体制構築
本政令上、管理者および処理者は、個人情報保護に関する社内規程を策定し、管理面や技術面の安全管理措置(個人データを処理するITシステム等の検査等)を実施する義務を負います。また、一般的なデータ保護責任者選任義務は定められていませんが、データ処理影響評価の書式に、個人情報保護を担当する部署および担当者を記入してA05に提出する必要があります。
個人情報漏えい等の報告
本政令上、管理者は、個人情報漏えい等のデータブリーチ(侵害)が発生した場合、侵害発生から72時間以内にA05にデータブリーチの内容等の所定の事項を報告する必要があり、報告が遅延した場合はその理由も報告する必要があります。また、処理者はデータブリーチを認識した場合、可能な限り早期に管理者に報告する必要があります。
このような72時間以内の当局報告という建付はGDPRと類似していますが、本政令では、GDPRと異なり、データ主体にリスクをもたらさない場合は当局報告が免除される旨の規定や、データブリーチ発生時のデータ主体への通知義務については、少なくとも法令文言上は規定されていません。

西村あさひ法律事務所・外国法共同事業
- コーポレート・M&A
- 国際取引・海外進出

西村あさひ法律事務所・外国法共同事業

西村あさひ法律事務所・外国法共同事業