ベトナムの個人情報保護について定めた法令と保護される個人情報の内容

国際取引・海外進出
村田 知信弁護士 西村あさひ法律事務所

 ベトナムで取得した個人情報を取り扱う場合、どのような法令に注意すれば良いでしょうか。個人情報保護に関して定める法令が存在する場合、どのような内容の情報が個人情報として保護されているのでしょうか。

 ベトナムには、現時点では、日本の個人情報保護法やEUのGDPR(一般データ保護規則)のような包括的な個人情報保護法令は存在せず、サイバー情報セキュリティ法等の個別の法令がそれぞれ個人情報やプライバシーの保護に関する規定を定めています。もっとも、いずれの規定も詳細なものではなく、保護される個人情報の範囲は必ずしも明確ではありません。ただし、現在、GDPRのコンセプトを取り入れた包括的な個人情報保護に関する政令の制定が検討されているため、今後の動向に留意する必要があります。

解説

目次

  1. 個人情報保護について定めた法令
  2. 保護される個人情報の内容
  3. 包括的な個人情報保護法令制定の動き

個人情報保護について定めた法令

 ベトナムにおいて個人情報に関する規定を有する主な法令としては、以下があげられます。

法令 適用対象
① サイバー情報セキュリティ法 ベトナムにおいてサイバー情報セキュリティに直接従事または関与する個人および団体
② 情報技術法 ベトナムにおいて情報技術の利用・開発に従事する個人および団体
③ 消費者権利保護法 ベトナムにおいて、商品・サービスを販売・提供する組織・個人(営利を目的とする市場において、商品の製造から販売またはサービスの提供までの投資行為の1つ、複数またはすべてを行う組織・個人)および消費者権利保護活動に関する機関・組織・個人
④ 電子商取引に関する政令52号 ベトナムの領土内で、電子商取引活動(商業的な宣伝や商品またはサービスの販売を提供するウェブサイトを開設すること等)に従事する個人および団体
⑤ サイバーセキュリティ法 ベトナムにおいて電気通信ネットワークやインターネット上のサービスおよびサイバー空間上の付加価値サービスを提供する国内外企業

 上記の他にも、民法がプライバシー保護に関する規定を定めていたり、金融等の分野では個別の業法が個人情報に関する規定を定めていたりします。

保護される個人情報の内容

 上記各法令において保護される情報の内容は以下のとおりですが、いずれも詳細な定義ではなく、かつ法令によって内容が異なっており、解釈を明確にまたは統一するためのガイドラインや裁判例等も存在しません。

 そのため、その保護の外延は一義的に明確ではありません。たとえば、近年問題とされることが多い、IPアドレスやクッキー等のオンライン識別子が個人情報に含まれるのかについては不明確です。

 また、GDPRにおけるセンシティブデータのように、人種に関する情報等の特にセンシティブな扱いが必要な一定の類型の個人情報について、より厳格な規制を定めている法令は存在しません。

法令 保護される情報
① サイバー情報セキュリティ法 個人情報(「特定個人の識別に関する情報」と定義されている)
② 情報技術法 個人情報(同法に定義は存在しないが、同法に基づく政令で「氏名、年齢、住所、ID番号、電話番号、Eメールアドレスおよび法によって定められるその他の情報を含む、個人の識別及び個人的詳細に関する情報」と定義されている)
③ 消費者権利保護法 消費者情報(同法に定義は存在しない)
④ 電子商取引に関する政令52号 個人情報(「氏名、年齢、住所、電話番号、医療情報、口座番号、私的な支払情報および個人が秘密にしたいと望むその他の情報を含む、特定個人の識別に寄与する情報」と定義されている)
⑤ サイバーセキュリティ法 個人情報に関するデータ、サービス利用者に関するデータおよびサービス利用者の作成したデータ

包括的な個人情報保護法令制定の動き

 近年、GDPRや米国カリフォルニア州のCCPA(カリフォルニア消費者プライバシー法)等のデータ保護法制が次々と各国で制定され、外国に拠点を置く日本企業にとって各国法制への対応は重要な課題となっています。それは東南アジア地域も例外ではありません。

 2010年代初めに統一的な個人情報保護法を制定したシンガポール、マレーシアおよびフィリピンに加え、2019年5月にはタイがGDPRに非常に類似した個人情報保護法を制定し、インドネシアでもGDPRのコンセプトを取り入れた個人情報保護法案が検討されています。

 このような流れを受けて、現在、ベトナムにおいても、より厳格かつ包括的な個人情報保護を定める法改正の動きがあることに留意が必要です。具体的には、2019年12月に、個人情報保護の強化を目的とした個人情報保護に関する政令案がパブリックコメントのために公表されました。当該政令案は、詳細は今後定めるとされている点が多いものの、処理者・管理者の定義、センシティブデータに対する規制、データ国外移転規制等、GDPRの概念を取り入れており、タイと同じように、今後GDPRと類似した厳しい個人情報保護規制が導入される可能性を感じさせるものとなっています。

 当該政令は本稿作成日現在まだ制定されていませんが、その内容によっては、GDPR対応のような法令対応が今後ベトナムでも必要とされる可能性がありますので、日系企業のベトナム拠点においても、個人情報保護に対する意識を高めていくことが必要です。

この実務Q&Aを見ている人はこちらも見ています

無料会員登録で
リサーチ業務を効率化

1分で登録完了

無料で会員登録する