2023年7月1日より施行された政令13/2023/NĐ-CP（以下、「政令13」といいます）は、ベトナムにおけるデジタル環境下の個人情報保護に関する包括的な法規制として、大きな転換点となっています。
本政令は、EUのGDPRに近い国際水準を目指すものとして評価される一方、在ベトナムの外国企業、特に日系企業にとっては、法的および財務的な大きな負担をもたらしています。

1.1.   政令13における主な義務と厳格な要件

政令13では、企業に対して以下のような厳格なデータ保護義務を課しております：

✅ 本人の明確かつ具体的な同意の取得が必須（従業員・顧客・取引先などすべてのデータ主体が対象）

✅ 個人データの分類（基本的個人データ／機微情報）と、それぞれに異なる保護基準の適用

✅ データの収集・処理・保存において「最小限、目的特定、安全確保」の原則に基づく体制整備

✅ 公安当局への影響評価書類提出・通知・登録義務

✅ コンプライアンス証明責任は企業側にある（立証責任の転換）

➡ これらの義務に違反した場合、多額の制裁金や業務停止命令などの行政処分のリスクも想定されます。

1.2.  政令13 と個人データ保護法の比較

政令13号が施行された後、企業実務や法律実務家の間では「過剰規制ではないか」とする批判の声が多く上がっています。多くの企業団体は、政府に対してより緩やかな規制への見直しを要請してきました。

しかしながら、現時点ではこれらの要望に対する正式な対応はなく、ベトナム政府はむしろ、今後の「個人情報保護法（正式な法律）」において、政令13よりもさらに厳格な内容を盛り込む方向性を示しております。具体的には、以下の通りになります。

政令13号の施行により、特に金融、保険、EC（電子商取引）、物流、カスタマーサービス、IT等の分野で活動する日系企業は、以下のような実務的影響を直接的に受けることになります。

✅ 既存のITインフラやデータ基盤の再設計・補強（新たな暗号化・監視・同意管理ツール等の導入）

✅ 社内業務フローの見直し（データ処理手順や内部規定の整備・明文化・従業員研修の実施）

✅ 運用コストの増加（セキュリティ強化、クラウド・バックアップ、暗号化対応の投資）

✅ 違反時の法的リスク（警告、罰金、データ処理の一時停止、強制削除命令等）

■コンプライアンス対応が中小企業の負担を超えている現状■

特に、中小規模の日系企業や、ベトナムに新規参入したばかりのFDI企業 にとっては、政令13への対応が現実的に困難な水準に達しているケースが多く見られます。

主な課題点：

❗ サイバーセキュリティやベトナム法務に詳しい社内人材の不足

❗ 政令13やそれに関連する法定様式などには日本語訳がなく、法的文言の解釈に齟齬が生じやすい

❗ 初期コストが高額である一方、投資対効果が不透明（例：BtoB業態など消費者データを直接扱わない事業）

❗ 一部のコンサルティング業者が、GDPR基準のDPIA（影響評価）、DPO（個人情報保護責任者）配置、ISO 27001導入など、過剰なパッケージ対応を一律に推奨する傾向があり、コストと対応範囲が膨張しやすい

現行の厳格な規制環境の中、日系企業が政令13号への対応を進めるにあたり、画一的な「コンプライアンス・パッケージ」を売るだけのコンサルタントではなく、企業の状況に即した柔軟な対応ができるパートナーの選定が重要です。

信頼できるリーガルパートナーには、以下のような能力と姿勢が求められます：

✅ 企業の事業内容に応じたデータリスクの分析・分類を行い、義務の優先順位を明確化

✅ 業種・規模・体制に応じた段階的かつ現実的なコンプライアンス対応スケジュールを設計（例：IT企業とコンサル会社では必要対応が異なる）

✅ 既存の業務フローに合わせて柔軟にカスタマイズ可能なテンプレート・手順書を提供し、高額なITシステム導入を不要とする

✅ 日本語またはバイリンガルでの簡潔な研修や社内説明のサポートを提供し、形式的な「サービス販売」に終わらせない

➡ 良いパートナーとは、「やるべきことを正確に、無駄なく、確実に」実行できるように支援する存在です。