ベトナムの個人情報保護に関する政令13/2023/ND-CPは昨年2023年7月に発効され、多くの企業に注目されていますが、明確にどのような対応が必要なのか実はよくわからないことも多いです。
今回のコラムでは、企業側の観点で、ベトナム個人情報保護の法令と対応実務を説明します。
個人情報保護の法令体系はどのようになっていますか。
現時点では、個人情報保護法(法律=Lawレベル)はまだありません。現行法令は主に民法やサイバーセキュリティ法等をベースにした「政令レベル」で、政令13/2023/ND-CP号(以下、政令13号)が最新のもので、この政令13号に基づき各種対応していくことになります。
ベトナムの法令は 法律(Law、国会承認)→政令(Decree、政府発行)→施行細則(Circular、担当省発行)→通達(Official Letter、関係当局発行)の順で、詳細化されます。
公安省の集計情報によると、個人情報に関する規定は個別法令にあり、その法令は69通にものぼります。69通と関連する法令数が多い一方で、それぞれの法令で個別に規定されていることから、実効性が不十分な部分もあります。また最新規定である政令13号も政令レベルで、現在より包括的に規定する個人情報保護法の草案が公安省主導で検討されており、2024年9月24日付に政府サイトで公表されて、2025年5月の国会(第9回)で提出された後、2025年10月(第10回)審議通過する予定です。【政府サイト】
政令13号はEU一般データ保護規則(GDPR)にかなり近いですが、大きく異なる点もいくつかあります。例えばベトナム国外に送付する情報の条件や、データ主体(従業員や個人顧客等)からの合意の取得方法、影響評価、合法的な根拠等は異なります。
この政令13号を遵守しないといけないのは誰ですか。
政令13号の適用対象者はベトナムの個人(従業員、顧客、仕入先等)の情報の処理に関係するベトナム国内外の全ての個人と組織です。
そのため現地法人や駐在員事務所はすべて政令13号の適用対象となり、対応を行う必要があります。
個人情報の範囲はどこまでですか。
個人情報と言ってもどこまで規定されるかがポイントになりますが、政令13号では、個人情報は「ある具体的な個人に紐づく情報(記号、文字、数字、画像、音声あるいは類似の電子形式)あるいは具体的な個人を特定できる情報」と広く定義されますので、ほぼ全ての個人情報が含まれると言えます。
また個人情報は「基本の個人情報」と「センシティブな個人情報」の2つに分類されています。
| 区分 | 対象情報 |
| 基本個人情報 | 氏名、生年月日、性別、住所、国籍、電話番号や各種登記書類番号、婚姻状況、家族関係、サイバー情報等 |
| センシティブな個人情報 | 政治宗教の信仰、健康状態、遺伝情報、犯罪履歴、銀行顧客情報、位置情報等 |
個人情報の処理についてはどのように規定されていますか。
政令13号では、個人情報の処理行為は収集、分析、保管、コピー、移転等を指します。
また個人情報の関係者は以下のように定義されます。
| 区分 | 対象例 |
| データ主体 | 従業員、個人顧客、等 |
| データ管理者 | 会社、等 |
| データ処理者 | 第三者(メンテナンス委託先、給与計算代行会社、等) |
| データ管理・処理者 |
企業はどのように対応すればよいですか。
個人情報の取り扱いは企業にとって重要事項になってきており、どのように対応していくかがポイントです。データ主体は大きく2つに分けられます。
| 区分 | 対象 |
| グループ① | 従業員の個人情報 |
| グループ② | 個人顧客の個人情報 |
全ての企業に従業員がいるはずですので、最低限グループ①の対応は必要です。また個人顧客(小売、メンテナンス等)の個人情報も取得した場合は、グループ②も対応する必要が出てきます。どちらのグループでも対応業務は同じですが、その複雑さは異なります。
一般的に以下の順番で対応していきます。
- 個人情報保護担当部門の設立
- 社内の個人情報とそれに関連する活動の確認・検討
- 個人情報保護に関する文書の作成
- 規定の通知・実施
また政令13号に基づき、企業には以下の義務があります。
| 義務 | 必要業務 |
| データ主体の同意取得 | 企業とデータ主体間の合意を取る(文書or保管可能な形式で) |
| データ主体への通知 | 通知書を作成の上、責任者が署名・捺印しデータ主体に送付 |
| 情報処理業務の 評価書類の作成 | 会社に保管、および公安省に一部を送付 |
| 海外送付情報に関する 影響評価書類の作成 | 上記同様 |
| 個人情報保護規定の通知 | 代表者が署名捺印し、会社で保管 |
| 担当責任者・部門の配置 | 担当部門および担当者の任命書を作成し、会社で保管 |
| 個人情報処理合意書の作成 | 第三者に個人情報処理を依頼した場合、 その第三者と合意書を締結(委託契約に含めるか、別途合意書を作成するか) |
当局に提出する書類はどのようなものですか。
これらの義務に基づき、以下に記載する提出書類を公安省サイバーセキュリティ・先端技術犯罪防止局(A05)に提出する必要があります。
★提出書類一覧
- 個人情報送付通知書
- 個人情報処理に関する影響評価書類(ひな形あり)
- 個人情報保護の関連費用リスト(空欄はNG)
- 個人情報処理規定
- 個人情報保護の担当責任者および担当部門の任命書
- 企業登録証明書:ERC(コピー)
- 情報保有者との合意書ひな形
- 第三者(情報処理者)の書類(情報処理合意書、業務委託契約書、担当者任命書等)※給与振込担当銀行、任意保険会社等
外国に送付される情報がある場合はどうしますか。
現地法人の従業員情報を業務管理上で本社に提供した場合、この規定に該当します。
その場合、公安省A05に提出する書類はには、海外送付情報に関する影響評価書類も含まれます。
対応不備による罰則規定はどのようになっていますか。
施行細則が不十分なため対応が難しかったり、遅れたりする企業も少なくなく、その罰則規定が気になるところですが、現時点(2024年9月)では草案の段階で、まだ正式には交付されていません。
罰則草案(実施しないことに対する罰則案)は以下の通りです。前述した企業の必要業務それぞれに対する罰則になります。
| 義務 | 罰則規定(草案) |
| データ主体の同意取得 | 20 – 40 mil VND |
| データ主体への通知 | 20 – 40 mil VND |
| 情報処理業務の評価書類の作成 | 140 – 200 mil VND |
| 海外送付情報に関する影響評価書類の作成 | 140 – 200 mil VND |
| 個人情報保護規定の通知 | 20 – 40 mil VND |
| 担当責任者・部門の配置 | 50 – 100 mil VND |
| 個人情報処理合意書の作成 | N/A |
当局(公安省)の最新審査状況はどうなっていますか。
ほぼ全ての企業が対応し書類を提出しないといけないことを背景に、当局の審査がどこまで追い付いているか気になる方も多いです。まずは大手企業(従業員数と個人顧客数が多い企業)から順に審査されるであろうことが予想されていますが、その一方で本コラムの執筆時点でも中小企業の提出に対して回答が返ってきています。また指摘事項の例も以下の通り、かなり詳細な項目もありますので、ご留意ください。
- 処理目的 データ主体と締結する契約の区分や該当処理目的を明記
- 処理プロセス 処理目的に基づく処理プロセスの明記
- 影響評価書 全体評価、個別評価について、合理的な評価を明記
- 海外送付情報に関する影響評価書 国内影響評価書と同様に目的・プロセス等を明記
