デジタル経済の拡大とともに、個人情報の不正利用や漏洩リスクが急増しているベトナムでは、2023年7月より個人データの保護を目的とした政令第13/2023/ND-CP号（以下「政令13号」）が全面施行されました。本政令は、EUのGDPRにも類似する厳格な規制であり、全ての企業・組織が何らかの形で影響を受ける内容となっています。

本稿では、政令13号の要点、対象となる個人データの範囲、企業の法的責任、想定される罰則、実務対応のポイントなどを、ベトナム法実務の視点から詳しく解説します。

◆ 主なポイント：

•       すべての企業・組織に適用（ベトナム国内で個人データを処理する全事業者が対象）
•       取り扱うデータは2種：
  　①  基本個人データ（氏名、住所、電話番号、銀行口座など）
  　②  機微（センシティブ）個人データ（健康情報、思想・信条、遺伝情報等）

◆ データ処理の具体例（イメージ）：

企業X社がAさん・Bさんを雇用する際に、氏名・履歴書・口座情報などを提出させ、これを社内で保管・処理、また第三者（会計事務所など）に共有する行為はすべてデータ処理に該当します。処理は「個人データを受け取った時点」から始まると定義されており、単なる受取や保管でも規制対象となる点が重要です。

◆ データ主体者について

個人データ主体者とは、個人データを所有する者を指します。一般的には、以下のように分類できます。

1. 1.                        出資関係: 個人の株主、出資者など
   2.                        雇用関係: 労働者、試用者、インターン、面接者
   3.                        事業・ビジネス関係: 顧客、サプライヤー
   4.                        マーケティング関係: ウェブサイト利用者、アンケート協力者など
   5.                         一般管理関係: その他の第三者

個人データを処理する者の分類は、以下の４つの対象者に区分されます。

①   個人データ管理者

一般の事業者、組織、機関（駐在員事務所、NPO）

②   個人データ処理者

データ処理業者（広告事業者、ＩＴ会社、市場調査・マーケティング事業者、製品開発＆研究事業者等）

③   個人データ管理兼処理者

• • • 一般事業者であるが、自社でデータの分析を行う者
    • データ処理業者であるが、自社の個人データを管理する者

④   第三者

外部委託業者（会計士事務所、法律事務所）、サプライヤー、パートナー、その他協力者等

　      　それぞれの対象者の義務については、以下の通りに規定されます。

上記の通りに、政令No.13号は、かなり厳しいと言われています。EUの一般データ保護規定（GDPR）と比較してみますと、主には、以下のような違いがあります。

政令No.13を遵守するため、企業はデータ管理者（または管理兼処理者）としてさまざまな対応が求められます。具体的には、以下の点が挙げられます。

政令No.13号を現出する必要性については、以下の通りにまとめいたします。

①  現時点でも法的リスクが存在する

個人データの処理に関する政令13号（2023年7月施行）は既に効力を有しており、たとえ現時点で行政罰の規定が未整備であっても、違反行為によりデータ主体（従業員、顧客など）や第三者とのトラブルが発生するリスクが常に存在しています。万が一のクレームや漏洩時に、適切な社内体制が整っていないと、企業の信頼と事業継続に重大な影響を及ぼすおそれがあります。

②  将来的な罰則導入に備える必要性

現在、個人データ保護に関する行政処分の政令が起草段階にありますが、遅かれ早かれ正式に施行される見込みです。この政令では、高額な制裁金（数十億VNDレベル）も検討されており、今のうちに体制を整備することで将来的な法的・財務的リスクの回避につながります。

③  法制化に向けた段階的対応の必要性

現在、ベトナムでは個人データ保護に関する正式な法律の制定作業も進められています。法律では、政令よりも厳格な要件が盛り込まれる可能性が高く、将来的な「経過措置（移行期間）」の適用を受けるためにも、今の段階で政令13号に基づく準備を進めておくことが得策です。

④  管轄当局が公安省であるという特殊性

個人データ保護に関する監督権限は、ベトナムでは公安省が有しています。公安省は、治安維持や犯罪対策を担う国家機関であり、個人データ違反をきっかけに、その他の事業活動に対する調査や監査が行われるリスクも否定できません。そのため、早期の対応と体制整備が、企業の防衛ラインとして極めて重要です。

現在制定予定の罰職に関する政令の概要については、次の通りになります。

①  罰金

②  違反結果の回復処置

• • •       違反したデータの廃棄、削除、取消
    •       不正利益の返還、納付
    •       謝罪

③  補充罰

• • •       データ処理が必要となる事業の活動許可証（ライセンス）の一時中止（１か月～３か月）
    •       データ処理活動の一時中止（１か月～３か月）
    •       違反した個人を出国させる

①  個人データ主体者との間の関係：個人データの処理については、事前に処理目的を決め、データ主体者の同意を得る必要があります。しかし、どんな目的でも処理することができるわけではないです。そのため、決めた処理目的に関連する根拠法令の検討や、それを超えた場合の合理的な説明等の準備が必要です。

②  会社が設置する個人データ管理責任部門は、会社の労働組合のように、ある程度の独立性を確保する必要があります。

③  公安への提出書類や影響評価は専門家の助言を受けることが推奨されます。

④  公安への対応の真剣さや、様々な習慣等を事前に知っておいた方が良いと考えられます。