2025.07.24
- 【ベトナム】森・濱田松本法律事務所 アジアニュース/第117回「個人データ保護法の制定」
- 【ベトナム】森・濱田松本法律事務所 アジアニュース/第117回「個人データ保護法の制定」
-
◇ベトナム
ベトナムでは、2025年6月26日、国会において個人データ保護法(Personal Data Protection Law:「PDPL」)が可決され、2026年1月1日より施行される予定です。ベトナムにおける個人データ保護規制としては、これまでは2023年7月1日に施行された(法律より下位の)個人データ保護政令(Decree No.13/2023/ND-CP:「PDPD」)が存在していましたが、PDPLの施行により、法律の形式で初めて個人データ保護が包括的に規制されることとなります。PDPLは、基本的にはPDPDの規制内容を踏襲しているものの、新たな規制の追加や規制の明確化等が図られており、以下、両法令の主な相違点について解説します。なお、PDPLが施行された場合にPDPDの適用関係がどうなるかは必ずしも明らかではありませんが、PDPDは今後PDPLのガイドラインのような位置付けとしてPDPLを補完する内容となるよう改正されるのではないかとの推測もあるところです。PDPDの規制の概要については、Asian Legal Insights第151号(2023年5月号)※1をご参照ください。
(1)適用範囲
PDPDとPDPLのそれぞれの適用範囲は以下のとおりです。両法令の適用範囲は基本的には異ならず、ベトナムに所在しない(すなわち拠点を有さない)外国の団体・組織・個人については、ベトナム国籍者・ベトナム居住の個人識別証明書を有するベトナム系無国籍者の個人データの処理に直接関与又は関連する場合にのみ適用されることが明らかとなりました。
【適用範囲】PDPD PDPL (a) ベトナムの団体・組織・個人
(b) ベトナムに所在する外国の団体・組織・個人
(c) 国外で活動を行うベトナムの団体・組織・個人
(d) ベトナムにおける個人データの処理に直接関与し又は関連する外国の団体・組織・個人(a) ベトナムの団体・組織・個人
(b) ベトナムに所在する外国の団体・組織・個人
(c) ベトナム国籍者及びベトナムに居住し、個人識別証明書を有するベトナム系無国籍者の個人データの処理に直接関与し又は関連する外国の団体・組織・個人
(2)個人データの定義
PDPLでは、個人データは「デジタルデータ又はその他の形態であって、特定の個人を識別する又は特定の個人の識別に寄与する情報であり、基礎個人データ及びセンシティブ個人データを含む」ものと定義されています。個人データの定義につき、PDPDでも、PDPLと同様に個人データを基礎個人データとセンシティブ個人データに区分した上で、それぞれの区分に含まれる具体的な個人データの種類が列挙されていましたが、PDPLでは各区分に該当する具体的な個人データの種類は列挙されておらず、どのような情報が各区分に属するかは別途政府が特定することとされています。これにより、今後、政府は新種の個人データの登場や機微性の変更等に応じて柔軟に各区分に属する個人データを整理することが可能となると考えられます。
また、PDPLでは、PDPDと異なり、匿名加工処理が施された後の個人データはPDPL上の「個人データ」には該当しないことも明確化されました。
(3)個人データの処理に関する同意取得の例外
PDPL・PDPL上、個人データの処理についてデータ主体から同意を取得する必要があるところ、それぞれ、データ主体の同意なく個人データを処理できる場合が規定されています。具体的には以下のとおりであり、両法令上の同意取得の例外が認められる場合は基本的には共通するものの、PDPLでは、正当な権利・利益について侵害行為から保護する場合も例外として加えられ、また、別途法令で定めることで同意取得が不要な場合をより柔軟に加えることが可能とされています。
【同意取得の例外】PDPD PDPL (a) 緊急時にデータ主体又は他者の生命・健康を保護する必要がある場合
(b) 法令に基づき個人データを開示する場合
(c) 当局による個人データの処理であって、(i) 国防、国家安全、社会秩序・安全、大規模災害、重大な疫病等の場合、(ii) 国防・国家安全に対する脅威が存在するものの、緊急事態宣言には至っていない場合、又は(iii) 暴動、テロ、犯罪や法令違反について法令に基づき防止・排除する場合
(d) 関連する機関・組織・個人に関するデータ主体の契約上の義務を法令に基づき履行する場合
(e) 専門法に規定された国家機関の活動に使用する場合(a) (i) 緊急の場合において、データ主体又は他者の生命・健康・名誉・尊厳・権利及び正当な利益を保護する場合、又は(ii) 自己・他者・国家・機関・組織の正当な権利・利益を、当該利益を侵害する行為から必要な方法で保護する場合
(b) 緊急事態の解決、国家安全保障への脅威(緊急事態宣言を要するほどではない場合)、暴動やテロの防止・対策、犯罪及び法令違反の防止・対策の場合
(c) 法令の定めに従い、国家機関の活動及び国家管理活動に資する場合
(d) データ主体と関連する機関・組織・個人との契約を法令に基づき履行する場合
(e) その他、法令で定められる場合
(4)個人データ移転影響評価の免除
PDPL上、PDPDと同様、ベトナムの域外に個人データを移転する場合、域外移転の初日から60日以内に、個人データ移転影響評価(Data Transfer Impact Assessment)を行い、報告書を当局に提出する必要があります。もっとも、PDPDでは個人データ移転影響評価の実施・報告を免除する規定は存在しなかったのに対して、PDPLでは、以下の場合にはこれを免除することを規定しています。
①権限を有する国家機関によるデータの域外移転の場合
②団体・組織が従業員のデータをクラウドサービスに保存する場合
③データ主体が自身の個人データを自ら域外移転する場合
④その他政府が定める場合
PDPDにおいても、データ主体が自身の個人データを自ら域外移転する場合(例えば、ベトナム国内のデータ主体がベトナム国外のサービスプロバイダーに対して自身の個人データを直接提供する場合)に、個人データ移転影響評価の対象になるか否かの議論があったところですが、上記③の規定により、PDPLでは、この場合には個人データ移転影響評価が不要であることが明確となりました。
(5)特定分野・範囲の個人データに関する規制
PDPLにおいては、以下の分野・範囲に属する個人データにつき、データ主体の保護・管理者等に対する規制の強化等(同意等の要件の厳格化、セキュリティ措置の整備等)が図られています。そのため、これらの分野・範囲の個人データを処理する場合には、一般的な規制に加えて、各分野・範囲特有の規制も遵守しなければならない点に留意が必要です。
①児童、民法上の行為能力を喪失又は制限されている者、及び自己の行為を認識又は制御することに困難を有する者
②従業員の採用、管理及び利用
③医療及び保険業務
④金融、銀行及び信用情報活動
⑤広告サービス業務
⑥ソーシャルネットワーク及びオンライン通信サービス
⑦ビッグデータ、人工知能(AI)、ブロックチェーン、仮想空間及びクラウドコンピューティング
⑧位置情報及び生体認証
⑨公共の場所・公共活動における音声・映像記録
(6)違反時の制裁措置及び罰金
PDPDでは、個人データ保護規制に違反した場合の罰則等は特段定められていませんでした。これに対して、PDPLでは、同法及びその他個人データの保護に関する関連法令の規定に違反した場合、違反の性質、程度及び結果に応じて行政処分(罰金)又は刑事訴追の対象となる旨が規定されました。PDPL上の行政処分(罰金)については、以下のとおり違反内容に応じて定められています。なお、以下の罰金額は違反者が組織の場合に適用される金額であり、違反者が個人の場合には罰金額の上限は2分の1の金額となります。
違反内容 罰金額 個人データの売買に関する違反 違法に得た利益の最大10倍(ただし、違法に得た利益が存在しない又は違法に得た利益の10倍が30億ベトナムドン(約1,690万円)未満である場合、最大30億ベトナムドン(約1,690万円)) 個人データの域外移転に関する違反 前事業年度の売上高の最大5%(ただし、前事業年度の売上高がない場合又は前事業年度の売上高の5%が30億ベトナムドン(約1,690万円)未満である場合、最大30億ベトナムドン(約1,690万円)) その他の個人データ規制の違反 最大30億ベトナムドン(約1,690万円)
(7)経過措置
PDPL上、小規模の企業(small enterprises)やスタートアップ企業(start-ups)は、PDPLの施行日から5年間は個人データ影響評価報告及び個人データ保護の担当部署・責任者の設置を行わなくてもよいことが規定されています。ただし、当該企業が個人データの処理サービスの提供、センシティブ個人データの直接処理、又は大量のデータ主体の個人データの処理を行う場合には、当該5年間の猶予期間が適用されないこととされている点に留意する必要があります。
(8)まとめ
PDPLは、ベトナム国内外の事業者に対し、PDPDと同様にグローバル水準の厳格な個人データ保護体制の構築を求めつつ、PDPDでは定められていなかった罰則を新たに導入するものであり、政府による規制の実効性の確保・強化の姿勢が窺われます。今後、政府によるPDPDの改正を含むガイドライン等の策定や実務動向を注視しつつ、これまでは必ずしも行われてこなかった個人データ保護規制違反の取締りの状況についても動向を見守る必要があります。
(ご参考)
※1 Asian Legal Insights第151号(2023年5月号)
1. ベトナム:個人情報保護に関する政令の公布
https://www.morihamada.com/ja/insights/newsletters/o67554
本記事掲載URL
https://www.morihamada.com/ja/insights/newsletters/121311
(直近記事)
○第114回【タイ】「カジノ合法化法案の進展と今後の展望」
○第115回【シンガポール】「マネー・ロンダリング防止関連法規の改正法の施行」
○第116回【マレーシア】「個人データの越境移転に関するガイドラインの制定」
- 【掲載元情報】
- 森・濱田松本法律事務所アジアプラクティスグループ 制作