ベトナムのサイバーセキュリティ法に基づくデータローカライゼーション義務の内容と実務対応のポイント
IT・情報セキュリティベトナムではサイバーセキュリティ法という法令に基づき個人情報等のデータを国内に保存する義務があると聞きました。どのような事業者に適用されるどのような義務なのか教えてください。
ベトナムでは、2022年8月15日、サイバーセキュリティ法の施行規則を定める政令53号/2022/ND-CP(以下「政令53号」といいます)が制定され、これまで義務の内容が不明確であるため実質的には施行されていないに等しかったデータローカライゼーション義務(ベトナムで取得した個人情報等のデータについてベトナム国内で保存することを求める義務)の範囲・詳細が明らかになりました。
当該義務は、2022年10月1日から施行され、外国企業のベトナム子会社を含むベトナムで設立されオンラインサービスを提供する事業者に対して無条件でかつ幅広く適用され得る内容になっているため、ベトナムにおいてオンラインサービスを提供している事業者は留意が必要です。
解説
目次
ベトナムのサイバーセキュリティ法とは
ベトナムには、2022年9月時点では、日本の個人情報保護法やEUのGDPR(一般データ保護規則)のような包括的な個人情報保護法令は存在せず、サイバー情報セキュリティ法等の個別の法令がそれぞれ個人情報やプライバシーの保護に関する規定を定めています(詳細は下記の関連記事を参照)。
2019年1月1日に施行されたサイバーセキュリティ法は、そのような個別法のうちの1つです。
同法は、ベトナムで電気通信ネットワーク上もしくはインターネット上のサービスまたはサイバースペース上の付加価値サービスを提供する国内外企業が、ベトナムにおける個人情報に関するデータ、サービス利用者の作成したデータまたはサービス利用者の関係性に関するデータの収集、利用、分析または加工を行う場合、ベトナム政府の定める一定期間中は、これらのデータをベトナムで保管しなければならないと規定しています(同法26条3項)。また、当該要件を満たすベトナム国外企業に対して、ベトナムに支店または駐在員事務所を設立することを義務付けています(同項)。
適用対象を定める政令53号の内容
上記義務は、法令の文言上は適用対象が非常に広く読み得るものの、サイバーセキュリティ法上、当該義務の詳細は政令で定めることとされています(同法26条4項)。そのため、当該政令によって適用対象が一定程度限定されることが期待されていました。
実際、2018年10月31日から2019年1月末までパブリックコメント募集のために公表されていた当該政令の草案では、当該義務が適用される場面は、事業者がサイバーセキュリティ法に違反した場合等に限定されていました(すべてのオンラインサービス事業者に無条件にデータローカライゼーション義務が適用されるような建付けにはなっていませんでした)。
しかし、当該政令は、サイバーセキュリティ法が施行された2019年1月から3年以上に渡って制定されませんでした。この間、多くの事業者は、同法に基づくローカライゼーション義務を、義務の内容が不明確であるため実質的には施行されていないに等しい規定として考えてきました。また、仮に政令が施行されたとしても、パブリックコメント時の内容と同内容であれば、オンラインサービス事業者すべてに対して無条件にデータローカライゼーション義務が適用されることはないだろうという予想も存在しました。そのような事情から、ベトナムでビジネスを行っているオンラインサービス事業者であっても、当該義務を意識して遵守していた事業者は少数でした。
ところが、政令53号は、そのような予想を裏切り、文言上、ベトナムにおいて設立されオンラインサービスを提供する事業者(国内事業者)に対して、無条件にかつ幅広くデータローカライゼーション義務を適用する建付けとなっています。以下その詳細を述べます。
データローカライゼーション義務の対象となるデータ
政令53号上、データローカライゼーション義務の対象となるデータ(以下「対象データ」といいます)は以下のとおりです。
| ベトナムのサービス利用者の 個人情報に関するデータ |
すべて |
|---|---|
| ベトナムのサービス利用者が 作成したデータ |
ユーザーアカウント名、タイムログ、クレジットカード情報、電子メールアドレス、ログインおよびログアウトに使用された最新のIPアドレス、登録およびアカウントまたはデータへのリンクに使用された電話番号 |
| ベトナムのサービス利用者の 関係性に関するデータ |
ユーザーが接続または交流する友人またはグループ |
国内事業者に適用されるデータローカライゼーション義務
国内事業者(ベトナムの法律に従って設立または登録されベトナムに本店を置く事業者)は、以下の2つの要件を満たす場合、対象データをベトナム国内に保存しなければなりません。
- ベトナムにおいて、電気通信ネットワーク上のサービス、インターネット上のサービスまたはサイバースペース上の付加価値サービスのいずれかを含むサービスを提供すること
- ベトナムのサービス利用者の個人情報に関するデータ、ベトナムのサービス利用者が作成したデータまたはサービス利用者の関係性に関するデータの収集、利用、分析または加工のいずれかを含む活動を行うこと
重要な点は、外国投資企業(日本企業等の外国企業によって設立されたベトナム子会社等)についても、当該義務の対象となる国内事業者に含まれることです。また、適用対象とされる上記①のサービスについては、法令文言を読む限り、いわゆるオンラインサービスは幅広く適用対象になると解釈される可能性が高いです。
したがって、たとえば、日本企業のベトナム子会社や日本人が出資したベトナム国内のスタートアップ企業がベトナムにおいてEコマース等のオンラインサービスを提供する場合、2022年10月1日以降、日本の親会社が日本で構築したシステムのみを利用したり、AWS等のサーバーがベトナム国内に所在しないクラウドサービス(IaaS・PaaSサービス等)を用いて構築したシステムのみを利用したりする(外国においてのみ対象データを保存する)ことは、少なくとも法令文言上は、上記義務に違反する可能性が高いです。
外国事業者に適用されるデータローカライゼーション義務
外国事業者(外国の法律に基づいて設立または登録された事業者)が、外国から、ベトナムのサービス利用者に対してオンラインサービスを提供する場合、上記4の国内事業者に対する義務よりも限定的な義務が適用されます。具体的には、外国事業者は、以下の要件を満たす場合に限って、対象データをベトナム国内に保存し、ベトナムに支店または駐在員事務所を開設する必要があります。
- ベトナムにおいて以下のいずれかの分野で事業活動を行うこと
電気通信、サイバースペース上のデータ共有・保存、ベトナム国内のサービス利用者に対する国内外のドメイン名の提供、電子商取引、オンライン決済サービス、仲介決済サービス、オンライン交通接続サービス(ライドシェアサービス等を意味すると思われる)、ソーシャルネットワーク・コミュニケーション、オンラインゲーム、テキストメッセージ、音声通話、ビデオ通話、電子メール、オンラインゲームの形でサイバースペース上のその他の情報を提供、管理または運用するサービス - 上記①のサービスがサイバーセキュリティ法の違反行為に利用されたこと
- 公安省の下のサイバーセキュリティ・ハイテク犯罪防止警察が、上記①の違反行為を外国事業者に対して通知し、協力、防止、調査および当該違反行為の処理を書面にて要請したこと
- 外国事業者が上記③の要請に応じなかったこと、または、サイバーセキュリティ専門家が実施したサイバーセキュリティ措置を阻止、制限、無効化もしくは無力化したこと
外国事業者が上記の要件をすべて満たす場合、公安省は、当該事業者に対してデータローカライゼーション義務の遵守を要求する決定を下すことができます。その場合、当該決定の日から12か月以内に、対象となる外国事業者は、当該義務の遵守を完了しなければなりません。
この場合にベトナム国内に対象データを保存すべき期間は、外国事業者が保存の要請を受けた日から、当該要請にて指定された終了時期までですが、当該期間は24か月を下回ることはありません。また、ベトナムに支店または駐在員事務所を維持すべき期間は、外国事業者が設立の要請を受けた日から、当該事業者がベトナムにおける事業実施またはサービス提供を終了した時点までとなります。
上記の外国事業者に対する義務は、パブリックコメント募集時の草案の規定に類似しており、ベトナムの利用者向けにオンラインサービスを提供する外国事業者に対して無条件に適用される建付けにはなっていません。
そのため、外国事業者については、たとえば、自社が提供するオンラインサービスがベトナム法に違反する行為のために利用され(ソーシャルネットワークサービスが名誉毀損や脱税取引等に利用される事態等)、ベトナム当局からコンテンツ削除や捜査のための情報提供等の要請を受ける等の事態が発生しない限り、上記義務が適用されることはありません。また、仮にそのような要請を受けたとしても、当該要請に従うことが可能であれば、上記義務の適用を回避し得ます。
したがって、外国事業者に対する義務は、国内事業者に対する義務に比べてオンラインサービス事業に与えるインパクトは小さいと考えられます。
データローカライゼーション義務に違反した場合の罰則
政令53号は、データローカライゼーション義務を遵守しない事業者は、違反の性質と重大性に応じて法令に従って処理される旨規定しています。もっとも、サイバーセキュリティ法および政令53号は、当該義務に違反した場合の具体的な罰則は規定していません。
しかし、現在ベトナム政府は、当該義務違反を含むサイバーセキュリティ法違反等に対する罰則を定める政令を検討しています。以前、当該政令の草案がパブリックコメント募集のために公表されていた際には、一定の悪質な違反についてはベトナム国内の収益の5%という罰金が規定されていました。当該政令の今後の動向に注意が必要です。
どのように対応すべきか
上記4で述べたとおり、政令53号に規定されたデータローカライゼーション義務は、特にベトナムでオンラインサービスを提供する国内事業者にとってインパクトが大きく、どのように対応すべきかが問題となります。
この点、政令53号は、ベトナム国内にどのように対象データを保存すべきかの方法等を具体的に規定していません。もっとも、法令の文言および趣旨から考えると、当該義務は、ベトナム国外に対象データを保存することを禁止するものではなく、(ベトナム当局による取り締まりの便宜等のために)国内に対象データを保存することを義務付けるものだと考えられます。そのため、対象データが国内に保存されてさえいれば、同じデータを国外に保存することは可能だと考えられます。したがって、当該義務を遵守するために、現在利用しているベトナム国外のシステムの利用を中止することは必須ではなく、対象データのコピーをベトナム国内にも保存できるようなシステムを構築できればそれで足りると考えられます。
もっとも、そのようなシステムを構築するためには費用がかかり運用も煩雑になると思われるため、そのような対応がベトナムでオンラインサービスを提供する国内事業者にとって負担となることが危惧されます。そのような負担のために本来であれば機能やコストの点でメリットがある外国のクラウドサービス等の利用が難しくなり、ベトナム国内にサーバーが所在するサービスの利用を強制させられることになれば、そのような縛りが存在しない外国事業者に比べて競争上不利となり得るでしょう。
また、政令53号には、国内事業者が負う義務について上記4に記載した以上の詳細は規定されておらず、義務の内容が不明確な部分も少なくありません。たとえば、政令53号27条1項は、ベトナム国内に対象データを保存すべき期間について、事業者がデータ保存の要請を受けた日から開始される旨規定しています。しかし、上記4で述べたとおり、国内事業者に適用されるデータローカライゼーション義務は、少なくとも法令文言上、当局からの要請の有無を問わず適用されると読むことができます。そのため当該27条1項が国内事業者にも適用されるのか、適用されるとしたらどのように適用されるのか等は不明確です。
このように義務の内容に不明確な点が残っていることおよび罰則を定める政令が未制定であることから、2022年10月1日以降、ベトナム当局が上記義務の範囲についてどのような解釈をとり違反に対してどこまで積極的に取り締まるのか(違反した場合のリスクの程度)については、未知数の部分が大きいのが現状です。ただし、少なくとも罰則に関する政令が施行されるまでは、ベトナム当局が当該義務違反に対して罰則を科す可能性は低いと思われます。
西村あさひ法律事務所 東京事務所
- コーポレート・M&A
- 国際取引・海外進出
西村あさひ法律事務所