2023.05.31
ベトナム【ベトナム】森・濱田松本法律事務所 アジアニュース/第91回「個人情報保護に関する政令の公布」- 【ベトナム】森・濱田松本法律事務所 アジアニュース/第91回「個人情報保護に関する政令の公布」
-
◇ベトナム: 個人情報保護に関する政令の公布
ベトナムでは、2023年4月17日、個人情報保護に関する政令(Decree No.13/2023/ND-CP:「本政令」)が公布され、2023年7月1日より施行されます。MHM Asian Legal Insights第122号(2021年3月号)※1及び第138号(2022年5月号)※2等でご紹介したとおり、従前、ベトナムには複数の法令に個人情報保護に関する規定が散在するのみであり、政府は、かねてより個人情報保護に関する包括的な法令の制定を目指してきました。本政令はベトナムにおいて初めての包括的な個人情報保護に関する法令となります。
本政令には、旧法制下にはない様々な規制が盛り込まれているほか、過去にパブリックコメント募集のために公表されていた政令案(上記MHM Asian Legal Insights第122号(2021年3月号)※1ご参照)の内容とも相当程度異なっています。上記のとおり、本政令の施行(2023年7月1日)が目前に迫っており、適用のある事業者においては本政令への対応が急務となります。本稿ではその主要な内容についてご紹介します。
(1) 本政令の適用範囲
本政令の適用範囲は以下のとおりとされています。
(a)ベトナムの団体・組織・個人
(b)ベトナムに所在する外国の団体・組織・個人
(c)国外で活動を行うベトナムの団体・組織・個人
(d)ベトナムにおける個人情報の処理に直接関与し又は関連する外国の団体・組織・個人
上記(d)によれば、親会社・本社である日本企業あるいはベトナムに拠点を有しない日本企業であっても、その活動が「ベトナムにおける個人情報の処理に直接関与し又は関連する」ものと評価される限り、本政令の適用対象になり得ると考えられます。もっとも、本政令上、この要件の具体的な解釈は示されておらず、今後の実務を注視する必要があります。
(2) 個人情報の定義
本政令では、個人情報とは、「電子的環境における記号、文字、数字、画像、音声又はこれらに類する形態であって、特定の個人に関連づけられる又は特定の個人の識別に寄与する情報」と定義されています。
旧法制下では、個人情報がセンシティブな情報か否かに着目した規制はありませんでしたが、本政令では、個人情報が「基礎個人情報」と「センシティブ個人情報」に分類され、センシティブ個人情報とは、「個人のプライバシーに関わる個人情報であって、侵害された場合に個人の法的権利や利益に直接影響を与えるもの」と定義されています。基礎個人情報とセンシティブ個人情報に該当するものとして、それぞれ以下のような情報が例示列挙されています。
下表のとおり、金融機関・外国銀行支店・支払仲介業者の保有する顧客情報は広くセンシティブ個人情報に含まれるところ、下記(5)のとおり、センシティブ個人情報の処理については規制が加重されているため、留意が必要です。
(3) 個人情報の管理者・処理者
本政令では、規制の対象となる当事者が以下のとおり分類されています。
· 管理者
(Personal Data Controller)… 個人情報の処理の目的及び方法を決定する組織又は個人 · 処理者
(Personal Data Processor)… 管理者との契約又は合意により、管理者に代わって個人情報の処理を行う組織又は個人 · 管理者兼処理者
(Personal Data Controller
cum Processor)… 個人情報の処理の目的及び方法を決定し、個人情報を直接処理する組織又は個人
このように個人情報を取り扱う主体を管理者と処理者に分類して規制する建付けは、EUのGDPRにおけるそれと類似しています。本政令においても、管理者は、個人情報の処理が個人情報保護に関する法令に基づいて行われていることを証明するために適切な措置を講じ、また本人の有する権利を保障する責任を負う主体として位置づけられているのに対し、処理者は、管理者から個人情報の提供を受け、管理者との合意に従って個人情報を処理する主体として位置づけられています。
なお、本政令ではGDPRと異なり、管理者及び処理者双方の責任を負う主体として「管理者兼処理者」の概念が設けられています。これは、本政令ではGDPRと異なり、「管理者」が自ら個人情報を処理する主体としては位置づけられていないためと考えられます。
(4) 個人情報の処理に関して必要となる対応
旧法制下においても、個人情報の取扱いに関して必要となる対応については、本人からの同意取得を含めて一定の規制が存在していましたが、必ずしも法令間でその内容は統一されていませんでした。
本政令は、まず、個人情報の処理(Personal Data Processing)を「個人情報の収集、記録、分析、保存、変更、公表、結合、アクセス、検索、回復、暗号化、復号、コピー、共有、送信、提供、転送、削除、破壊又はその他の関連行為を含む、個人情報に影響を及ぼす一つ又は複数の行為」と広汎に定義し、あらゆる形態での個人情報の取扱いが「個人情報の処理」として規制の対象になることを明らかにしています。
そして、個人情報の処理にあたっては、以下の各対応をとることが義務づけられます。
(a)本人からの同意取得
管理者・管理者兼処理者は、(緊急時に本人の生命・健康を保護する必要がある場合等、一定の例外事由に該当する場合を除き)原則として、個人情報の処理について本人から同意を取得することが義務づけられています。
さらに、本人からの同意取得は以下の①~④の条件を全て満たす態様で行われなければならないとされています。旧法制下においても、一部の法令では個人情報の取扱いにあたり本人から同意を取得することが義務づけられていましたが、同意の取得方法について必ずしも具体的な規制は置かれていませんでした。そのため、現状では、このような厳格な態様での同意取得は行っていない事業者も相当数存在すると推測されます。本政令の施行に伴い、適用ある事業者においては、既存のオペレーションを点検し(必要に応じて)見直しを進める必要があります。
①同意は、本人が、(i) 処理される個人情報の種類、(ii) 処理の目的、(iii) 個人情報を処理する組織・個人、(iv) 本人の権利・義務について十分に認識したうえで、自発的に行われなければならない。
②同意は、書面・音声・同意欄へのチェック・メッセージを通じた同意・技術的設定における同意の選択その他の行動により、明示的に示されなければならず、(電子的形式又はその他の検証可能な形式を含め)印刷又は書面への複写が可能な形式でなされなければならない。
③沈黙又は無回答は同意とみなされない。
④使用目的が複数ある場合には、本人が一つ又は複数の目的を特定して同意することができるように目的を列挙しなければならない。
(b)本人に対する個人情報の処理の通知
管理者・管理者兼処理者は、個人情報の処理を開始する前に、本人に対し、所定の事項(①処理の目的、②①の目的に関連して処理される個人情報の種類、③個人情報の処理の方法、④①の目的に関連する他の組織・個人に関する情報、⑤起こり得る結果と予期せぬ損害、⑥処理の開始時期及び終了時期)を通知することが義務づけられています。
(c)個人情報処理影響評価の実施
管理者・管理者兼処理者及び処理者は、個人情報の処理を開始したときから個人情報処理影響評価(Data Processing Impact Assessment)を実施し、その記録を保存する必要があります。当該記録には、以下の内容を含むこととされています。
同記録は、個人情報の処理を開始してから60日以内に、公安省サイバーセキュリティ・ハイテク犯罪対策部(通称「A05」)に提出し、記録の内容に変更が生じるたびに更新する必要があります。
個人情報処理影響評価の実施は旧法制下には存在しなかった新たな義務であるところ、本政令上、例外なく全ての管理者・管理者兼処理者・処理者がこの義務の対象とされており、事業者にとって相応の負担となることが予想されます。
(5) センシティブ個人情報の処理
処理する個人情報がセンシティブ個人情報である場合、管理者・管理者兼処理者及び処理者は、個人情報保護を担当する部署及び責任者を定め、A05に通知する必要があります。なお、本政令上、当該部門や責任者に関する要件は特に定められていません。
また、本人に対し、処理される個人情報がセンシティブ個人情報であることを伝える必要があります。
(6) 個人情報の越境移転
管理者・管理者兼処理者及び処理者は、ベトナム人の個人情報をベトナム外に移転する場合、個人情報移転影響評価(Cross-border Data Transfer Impact Assessment)を実施してその記録を保存する必要があります。当該記録には以下の内容を含むこととされています。
①移転元の情報・連絡先
②個人情報の移転を担当する部署・従業員の名称・氏名と連絡先
③移転後における当該個人情報の処理の目的
④移転される個人情報の種類
⑤本政令の遵守状況に関する説明、個人情報の保護措置の詳細
⑥個人情報の移転の影響の評価、起こり得る結果・予期せぬ損書・当該結果及び損害を軽減又は除去するための措置
⑦個人情報の処理に関する本人の同意
⑧個人情報の処理に関する移転元と移転先との間の義務や責任を定めた書面
同記録は、個人情報の越境移転を開始してから60日以内に、A05に提出し、記録の内容に変更が生じるたびに更新する必要があります。さらに、移転者は、個人情報の越境移転が行われた後、個人情報の移転を担当する部署及び責任者の情報及び連絡先をA05に通知する必要があります。
旧法制下では、個人情報をベトナム外に移転する場面に着目した規制は特段置かれていなかったため、該当する事業者においては新たに対応を進める必要があります。この点、本政令上、個人情報の越境移転は、「サイバースペース、電子機器、設備、その他の形態を使用して、ベトナム人の個人情報をベトナムの領域外に移転する行為、又はベトナムの領域外の場所を使用してベトナム人の個人情報を処理する行為」と広汎に定義されているため、例えば、クラウドサービスを使用して個人情報を保存・管理しているといった場合にもこの適用対象となり得ると考えられる点に留意が必要です。
なお、本政令によれば、公安省は、(具体的な状況に応じて)個人情報の越境移転に関する検査を少なくとも1年に1回実施し、さらに、移転された個人情報がベトナムの利益や安全保障を侵害する活動に使用されていることが判明した場合等、一定の場合には、移転者に対して個人情報の越境移転の停止要請を決定できるとされています。
以上のほか、本政令では、個人情報の安全保護措置、個人情報の漏えい等、個人情報保護規制への違反が発見された場合の当局への通知義務、本人の有する権利の行使方法やこれに対する事業者の義務内容についても規定されています。ただし、本政令への違反に対する罰則等についてはいまだ整備されていません。なお、中小企業及びスタートアップ企業については、個人情報の保護を担当する部署の設置及び当該担当者の選任義務について、2年間の猶予期間が設けられています。
このように、本政令の施行に伴い対応が必要となる事項は多岐に亘るため、ベトナムにおいて事業を営む事業者においては、まずは自社における個人情報の取扱いの実態を把握したうえで、本政令の下で自社においてどのような対応が必要となるかを分析・整理し、優先順位を決めて順次対応を進めていくことが肝要となります。
(ご参考)
※1 MHM Asian Legal Insights第122号(2021年3月号)
3. ベトナム:個人情報保護に関する政令案の公表
https://www.mhmjapan.com/content/files/00047694/20210322-124724.pdf
※2 MHM Asian Legal Insights第138号(2022年5月号)
2. ベトナム:個人情報保護法制の最新動向
https://www.mhmjapan.com/content/files/00064627/20220520-114800.pdf
本記事掲載URL
20230522-013702.pdf (mhmjapan.com)
(直近記事)
○第88回【マレーシア】「労働組合法の改正の動き」
○第89回【シンガポール】「シンガポールにおけるクリプト関連規制の最新動向」
○第90回【タイ】「在宅等勤務に関する労働保護法改正について」
- 【掲載元情報】
- 森・濱田松本法律事務所アジアプラクティスグループ 制作
