2021.03.24
ベトナム【ベトナム】森・濱田松本法律事務所 アジアニュース/第65回『個人情報保護に関する政令案の公表』- 【ベトナム】森・濱田松本法律事務所 アジアニュース/第65回
-
このたび、森・濱田松本法律事務所アジアプラクティスグループでは、東南・南アジア各国のリーガルニュースを集めたニュースレター、MHM Asian Legal Insights第122号(2021年3月号)を作成いたしました。今後の皆様の東南・南アジアにおける業務展開の一助となれば幸いに存じます。
◇ベトナム:個人情報保護に関する政令案の公表
ベトナムでは、現在、個人情報保護に関する包括的な法令は存在せず、民法や情報テクノロジー法、サイバー情報セキュリティ法、サイバーセキュリティ法等の様々な法令に個人情報保護に関する規定が点在している状況です。このような中、ベトナム政府は個人情報保護に関する包括的な法令の制定を目指しており、2021年2月9日、個人情報保護に関する政令案(Draft Decree on Personal Data Protection:「本政令案」)が公表されました。本政令案は同年4月9日までパブリックコメントに付されており、同年12月1日の施行が予定されています。
本政令案では個人情報保護に関する重要な規制が多岐にわたり定められていますが、特に実務に影響を及ぼし得る規制として、センシティブ個人情報処理に関する登録義務(下記(2))、及びベトナム人の個人情報の域外移転に関する規制(下記(3))を紹介します。
(1) 個人情報の分類
前提として、現在のベトナムにおける個人情報保護に関する法令では、規制対象となる個人情報がセンシティブな情報か否かで特段区別されていませんが、本政令案では、規制対象となる「個人情報」(個人に関する情報又は特定の個人を識別し若しくは識別し得る情報)が「基礎個人情報」と「センシティブ個人情報」の2種類に分類され、その取扱いが異なっています。基礎個人情報とセンシティブ個人情報の定義は、概ね以下のように分類されています。
(2) センシティブ個人情報「処理」を行う場合の登録義務
本政令案では、センシティブ個人情報の処理を行う場合における当局への登録義務の導入が予定されています。
すなわち、本政令案上、ベトナム国内外を問わず、個人情報の「処理」を行う機関・個人(「個人情報処理者」)は、センシティブ個人情報の「処理」を行う場合、原則として、事前に政府直属機関として公安省内に設置される個人情報保護委員会(Personal Data Protection Commission)に登録することが義務付けられます。この個人情報の「処理」は幅広い概念として定義されており、個人情報の収集・記録・分析・保存・変更・開示・アクセスの付与・復旧・回収・暗号化・復号・複製・移転・削除・破壊その他の関連行為を含むと規定されているため、上記のいずれかの方法でセンシティブ個人情報を取り扱う際には、個人情報保護委員会への登録が必要となります。なお、例外として、センシティブ個人情報の処理が規制違反の防止・捜査・調査等のために行われる場合や裁判所による司法上の機能として行われる場合等、一定の場合には個人情報保護委員会への登録が不要となります。
センシティブ個人情報の処理を個人情報保護委員会に登録する場合、以下の書類を提出する必要があります。個人情報保護委員会は、不備のない以下の書類を受領してから20営業日以内に登録の処理を行うこととされています。
(a) センシティブ個人情報の登録申請書
(b) センシティブ個人情報処理に関する影響評価報告書(個人情報処理の具体的内容・目的、処理対象個人情報の特性、処理対象個人情報の主体に及び得る損害の評価、当該損害の管理・最小化・排除方法を内容とする。)
(c) 上記(a)・(b)の書類の内容に関連する各種資料
(3) 個人情報の域外移転に関する規制
本政令案においては、ベトナム人の個人情報(センシティブ個人情報に限られません。)をベトナム国外に移転するためには、原則として以下の全ての条件を満たす必要があることとされています。
(a) 個人情報の主体が域外移転に同意すること
(b) オリジナルデータがベトナムに保存されること
(c) 個人情報の受領国・地域又はその特定のエリアが本政令案と同程度又はそれ以上の個人情報保護に関する法規制を有することについて証明する書類を得られていること
(d) 個人情報保護委員会の書面による承認があること
上記(a)の個人情報の主体による同意については、本政令案上、沈黙や不回答による黙示の同意は認められず、また書面により印刷・複製可能な形式で得ることが求められています。
ただし、ベトナム人の個人情報の域外移転について、本政令案では、以下の条件を満たせば、上記(a)~(d)の条件を満たさなくとも域外移転を行うことが可能とされています。もっとも、下記①及び②の条件は上記(a)及び(d)の条件と重複しており、いずれにせよ、個人情報の域外適用には、個人情報の主体の同意と個人情報保護委員会の書面による承諾が必要となる点に留意を要します。
① 個人情報の主体が域外移転に同意すること
② 個人情報保護委員会の書面による承認があること
③ 個人情報処理者が個人情報を保護することを確約すること
④ 個人情報処理者が個人情報保護に関する法規制の違反行為の防止・捜査・調査に関する必要な措置を講じることを確約すること
個人情報の域外移転を行う個人情報処理者は、個人情報の域外移転の履歴を3年間保存するシステムを構築する必要があり、個人情報保護委員会は1年に一度、定期的に個人情報の域外移転を評価することとされています。
また、個人情報のうち、センシティブ個人情報の域外移転を行う場合には、個人情報の主体の同意取得等に加えて、上記(2)と同様、センシティブ個人情報の域外移転に関する登録申請書や影響評価報告書等の書類を提出し、個人情報保護委員会に登録しなければならない点にも注意が必要です。
以上のとおり、本政令案では、新たにセンシティブ個人情報の処理や個人情報の域外移転に関して、個人情報保護委員会への登録又は書面承諾の取得という新たな手続を導入することが提案されており、これらの手続への対応に相応の負担が必要となることも予想されます。本政令案はあくまでもドラフトであり、実務上の負担への懸念も考慮して更に内容が変更される可能性もあるため、引き続き、本政令案に関する議論の進捗・内容を注視することが重要と思われます。
(直近記事)
- 【掲載元情報】
- 森・濱田松本法律事務所アジアプラクティスグループ 制作
