ベトナムで取得した個人情報の安全管理、保管期間、保管場所その他の取り扱いについて留意すべき点

個人情報の安全管理および漏えい時の対応

　ベトナムにおいても、日本と同様、個人情報を取り扱う事業者は、適切な情報セキュリティ体制を構築して個人情報を安全管理する義務を負い、ベトナムにおいて自らのシステムを構築する事業者は一定の具体的安全管理措置を実施する必要があります。

　個人情報漏えい等の事態が発生した場合の対応としては、電子商取引に関する政令52号が、「電子商取引活動を行う事業者の情報システムが攻撃され、当該活動の過程で取得した顧客情報の漏えいリスクが発生した場合、当該事業者は、事件が発覚してから24時間以内に管轄当局に報告を行う必要がある」と定めています。

　また、サイバー情報セキュリティ法は、「サイバーサービスを利用しているユーザーにサイバーセキュリティの妨害行為や事故が発生した場合、当該ユーザーは、早急にサービスプロバイダーまたは事故対応専門機関に通知する必要がある」と定めています。

　電子商取引活動を行っていない事業者には当局に対する報告義務は課せられていませんが、実務上は、情報漏えいの態様、深刻度等に応じて（特にベトナム人消費者の重要なデータが大量に漏えいした場合等は）ベトナムコンピュータ危機対応チーム（Vietnam Computer Emergency Response Team (VNCERT) ）、国家サイバーセキュリティセンター（National Cyber Security Center (NCSC) ）等への報告を検討することが望ましいと思われます。

個人情報の保管期間

　サイバー情報セキュリティ法においては、利用目的が完了または保管期間が満了となり次第、保管された個人情報を削除する義務が定められています（18条3項）。また、情報技術法においても、取得した個人情報は適切な目的のために利用し、法律または当事者の合意によって定められた保管期間のみ保管する義務が定められています（21条2項）。

　もっとも、いかなる保管期間を設定すべきかを定める法令は存在しないため、基本的には、個人情報の主体の同意を得た期間保管でき、個人情報の主体の同意がない場合は利用目的が完了するまで保管できると考えられます。

個人情報の保管場所

　ベトナムには、個人情報を外国または外国の第三者に移転することを禁止または制約する法令は存在しません（ただし国家機密に該当する情報については、外国の第三者に提供するために当局の許可等が必要となります）。

　もっとも、情報技術法は情報を利用等する場所も本人に通知する必要があると規定しているため、ベトナムで取得した個人情報を外国で管理する場合は、本人にその旨通知し同意を取得しておくことが望ましいと思われます。

　また、個人情報を外国に移転して保管することは可能だとしても、その場合に、同じデータをベトナム国内のサーバー等にも保存する義務（いわゆるローカライゼーション義務）を負わないか、という点には留意が必要です。

　すなわち、ベトナムでは、従前、SNSサービス、オンラインゲームサービス等の一定のオンラインサービスについてのみ、政令72号（Decree/2013/ND-CP）によって限定的なローカライゼーション義務が課されていました。

　ところが、2019年1月に施行されたサイバーセキュリティ法は、包括的なローカライゼーション義務を新たに規定しました。具体的には、「ベトナムにおいて電気通信ネットワークやインターネット上のサービスおよびサイバー空間上の付加価値サービスを提供する国内外企業」が、「ベトナムにおける個人情報に関するデータ、サービス利用者の関係に関するデータまたはサービス利用者の作成したデータの収集、利用、分析または加工を行う場合」、「ベトナム政府の定める一定期間中そのデータをベトナムで保管しなければならない」とされています。

　また、当該要件を満たすベトナム国外企業に対して、ベトナムに支店または駐在員事務所を設けることが義務付けられています。

　もっとも、同法は、当該義務の詳細を定める施行規則が政令で定められると規定していますが、本稿作成日時点で当該政令が未制定であるため、当該義務の適用対象は現時点では不明確です。

　パブリックコメントのために公開されていた当該政令の草案の内容を見る限り、適用対象が限定的なものに留まる可能性もありますが、今後の動向を注視する必要があります。

　当該政令の内容次第ではありますが、当該義務の適用対象となる企業が、ベトナム国内向けにサービスを提供して個人情報を取得する場合、当該個人情報はベトナム国内にも保管される必要がある（ベトナム国外のサーバーで提供されるクラウドサービス等を用いて国外｢のみ｣に保管することが禁止される）ので、留意が必要です。

個人情報を取り扱う委託先の管理

　ベトナムには、日本の個人情報保護法が規定しているような委託者の受託者に対する個人情報管理に関する監督義務や、GDPRのように委託契約に規定すべき詳細な内容を定めた法令は存在しません。

　しかし、電子商取引活動の過程で取得した個人情報については、電子商取引に関する政令52号が関連する規定を置いています。すなわち、同政令は、個人情報の取り扱いを委託する場合、契約において個人情報保護や法令遵守に関する委託者及び受託者の責任を明確にする必要がある旨定めています（68条2項）。そして、当該規定に違反し、契約においてかかる責任を明確にしていなかった場合、電子商取引活動を行う委託者が、法令違反の責任を負うとされています。

　したがって、委託者としては、受託先に自らが取得した個人情報を取り扱わせる場合、受託者が不適切な管理をして自らが責任を問われることがないよう、受託者との契約において、受託者の法令遵守責任を含む安全管理義務などを定めておくことが望ましいと思われます。