※無断で複製、転載、転用、改変等の二次利用をご遠慮いただきますようお願いいたします。
ベトナム政府は、2023年7月1日から施行する個人データ保護に関する政令第13/2023/ND-CP号(以下「政令13号」)を2023年4月17日に公表しました。この政令13号は、インターネットの発展とともに、インターネット環境における個人データの開示、売買、許可範囲外の使用などの不正行為によって、データ主体に対する侵害が増加する中、個人データを保護する必要性から制定されました。これに伴い、政令13号はデータ管理者や管理者兼処理者に、必要以上の対策や義務を課しているとも指摘されています。
具体的には、以下の通りです。
1. 政令No.13の概要
① 上記に記載した通りに、基本的に、ベトナム国内で個人データを処理するすべての企業・組織は、政令No.13の適用対象となります。
② 個人データには、基本データとセンシティブデータが含まれます。一般企業が従業員の個人データ(健康診断の情報を含まない)を取り扱う場合、それは基本個人データに該当します
③ 個人データ処理については、上記の通りに、かなり幅広い活動を定めています。一つの例を取り上げますと、例えば、X社がAさん、Bさん、Cさんを雇用する場合、入社時にAさん、Bさん、Cさんは「身分証明書、履歴書、電話番号、住所、口座情報など」を会社に提出する必要があります。この情報を受け取り(収集)、保存し、第三者(会計士事務所など)に給与計算や保険の手続きを依頼する場合、それらの行為はデータ処理に該当します。このデータ処理が開始されるタイミングは、データ主体から個人データを受け取った時点です。
④ 個人データ主体者とは、個人データを所有する者を指します。一般的には、以下のように分類できます。
i. 出資関係: 個人の株主、出資者など
ii. 雇用関係: 労働者、試用者、インターン、面接者
iii. 事業・ビジネス関係: 顧客、サプライヤー
iv. マーケティング関係: ウェブサイト利用者、アンケート協力者など
v. 一般管理関係: その他の第三者
2. 企業の法的な立場
個人データを処理する者の分類は、以下の4つの対象者に区分されます。
① 個人データ管理者
一般の事業者、組織、機関(駐在員事務所、NPO)
② 個人データ処理者
データ処理業者(広告事業者、IT会社、市場調査・マーケティング事業者、製品開発&研究事業者等)
③ 個人データ管理兼処理者
-
- 一般事業者であるが、自社でデータの分析を行う者
- データ処理業者であるが、自社の個人データを管理する者
④ 第三者
外部委託業者(会計士事務所、法律事務所)、サプライヤー、パートナー、その他協力者等
それぞれの対象者の義務については、以下の通りに規定されます。
|
個人データ管理者
|
|
|
個人データ処理者
|
|
|
個人データ管理兼処理者 |
個人データの管理者の義務及び処理者の義務の両方を実施しなければならない |
|
第三者 |
|
上記の通りに、政令No.13号は、かなり厳しいと言われています。EUの一般データ保護規定(GDPR)と比較してみますと、主には、以下のような違いがあります。
3. 企業による対応
政令No.13を遵守するため、企業はデータ管理者(または管理兼処理者)としてさまざまな対応が求められます。具体的には、以下の点が挙げられます。
4. 政令No.13を厳守する必要性
政令No.13号を現出する必要性については、以下の通りにまとめいたします。
現在制定予定の罰職に関する政令の概要については、次の通りになります
① 罰金 
② 違反結果の回復処置
-
- 違反したデータの廃棄、削除、取消
- 不正利益の返還、納付
- 謝罪
③ 補充罰
-
- データ処理が必要となる事業の活動許可証(ライセンス)の一時中止(1か月~3か月)
- データ処理活動の一時中止(1か月~3か月)
- 違反した個人を出国させる
5. 政令No.13を対応する際の注意点
① 個人データ主体者との間の関係:個人データの処理については、事前に処理目的を決め、データ主体者の同意を得る必要があります。しかし、どんな目的でも処理することができるわけではないです。そのため、決めた処理目的に関連する根拠法令の検討や、それを超えた場合の合理的な説明等の準備が必要です。
② 会社が設置する個人データ管理責任部門は、会社の労働組合のように、ある程度の独立性を確保する必要があります。
③ 公安への提出書類や影響評価は専門家の助言を受けることが推奨されます。
④ 公安への対応の真剣さや、様々な習慣等を事前に知っておいた方が良いと考えられます。
写真家 弁護士 レ・ヴァン・ホア