2025年6月26日、ベトナム国会は新たに「個人データ保護法(Luật Bảo vệ Dữ liệu Cá nhân)」を可決しました。この法律は、2026年1月1日より正式に施行され、これまでの「政令第13号/2023年(Nghị định số 13)」に代わり、ベトナム国内における個人情報の収集・利用・管理・共有に関する包括的な法的枠組みとなります。
本記事では、新法と旧政令との違いを整理するとともに、特に外国投資企業が注意すべきポイントと実務対応の方向性について解説します。
|
|
01 - 法律の適用対象が国外にも拡大:外国企業・個人にも直接適用 |
2025年個人データ保護法では、ベトナム国内の機関・組織・個人だけでなく、国外の事業者や個人にも法律の適用が明記されました。これは、ベトナム国内でのデータ保護を強化する共に、国境を越えたデータ取引やクラウド利用が一般化する現代の実情に対応するための規定です。
対象となる国外組織・個人とは?
次のいずれかの条件に該当する外国の機関・企業・個人は、たとえベトナム国内に拠点を持たなくても、本法を適用されます。
- ベトナム国籍を有する個人の個人データ処理に直接関与している場合
(例:日本法人が、ベトナム国籍の従業員データを本社で処理している場合) - ベトナムに居住し、かつ国籍が未確定であるが、身分証明書を取得済みの「ベトナム出身者」に関する個人データの処理に関与している場合
|
|
02 - 「個人データ」の定義が拡大:電子情報に限定されない保護対象 |
2025年法では、「個人データ」は以下のように定義されています(第2条第1項)。
「特定の個人を識別する、または識別する手助けとなるデジタルデータ、またはそれ以外の形態の情報」
このように、単なるデジタル情報(電子ファイルやクラウドデータなど)だけでなく、紙資料・録音・映像・物理的媒体又は特定していない形態のデータなどに含まれる個人情報もすべて保護対象に含まれることが解釈されます。
|
|
03 - 個人データの越境移転:適用対象の拡大と例外規定の導入 |
1. 2025年個人データ保護法では、「国外への個人データ移転(Chuyển dữ liệu cá nhân ra nước ngoài)」という従来の表現に代わり、「個人データの越境移転(Chuyển dữ liệu cá nhân xuyên biên giới)」というより広範な概念が導入されました。
2. 政令第13号では、国外移転の対象を「ベトナム国民の個人データ」に限定しており、外国人のデータを国外に移転する行為には評価義務などの規制が及ばないとされていました。しかし、2025年個人データ保護法では「ベトナム国民」という文言が削除され、すべての「個人データ」が保護対象として規定されました(第20条第1項)。これにより、ベトナム国内に在住する外国人のデータを国外に送信する場合であっても、評価書の作成等の義務が生じることとなります。
たとえば、ベトナム現地法人が外国人従業員を雇用し、その個人情報を本社(外国)に送信する場合には、「越境移転」として評価書の提出が求められるということです。
3. 評価義務の例外規定(第20条第6項)
2025年個人データ保護法では、特定の条件に該当する場合、評価書の提出義務が免除されることが明文化されました。以下のようなケースがその代表です:
- 自社の従業員データをクラウドサービス(Google Cloud、Microsoft Azure、AWSなど)上に保存する場合
- データ主体本人が自己の意思で個人データを国外へ送信する場合
このような例外は、実務上よくあるケースへの配慮とされており、クラウド利用や自己送信によるデータ移転には、評価書作成の義務が発生しないことになります。
実務上の留意点
もっとも、例外規定の具体的な適用条件や実施手順については、今後発行される政令・通達によって詳細が定められる予定です。特に外国資本の企業やグローバル展開する日系企業においては、クラウド環境や親会社とのデータ連携が日常的に発生するため、引き続き法令の動向を注視する必要があります。
|
|
04 - 個人データ保護違反に対する罰則:行政処分・刑事責任・損害賠償までを網羅 |
政令第13号においては、個人データの保護違反に対して「懲戒処分、行政処分、刑事責任」などの処分形態は定められていたものの、具体的な違反行為や罰則水準は明示されていませんでした(第4条)。
2025年個人データ保護法では、この点が明確に整理され、以下の3つの処分形態が法文で明示されました:
① 行政処分(行政罰)
② 刑事責任(刑法による訴追)
③ 民事上の損害賠償責任(民法に基づく)
なお、各違反行為に対して適用される具体的な制裁内容については、今後公布される政令・通達で定められる予定です。
|
行政処分における罰金の上限・下限も明確化(第8条) |
|
特に注目すべきは、行政罰として科される罰金について、最小額と最大額が法律上で定められた点です。これにより、従来のような曖昧な運用が排除され、企業や個人に対するペナルティの透明性と予見可能性が向上すると期待されています。
たとえば:
これらの重大な違反には、一定金額以上の罰金が必ず科されることになります。 |
企業にとっては、「故意か過失かに関わらず、適切な管理体制が整っていないこと自体がリスクと見なされる時代」となったことを意味します。社内のルール整備や従業員教育は、単なる予防策ではなく、法令遵守の義務として再構築すべきタイミングです。
2025年個人データ保護法に基づき、個人データの保護違反に対しては、次の3つの法的手段によって処分が行われることが制度化されています:
① 刑事責任の追及
重大な違反行為に対しては、刑事訴追の対象となる可能性があります(例:意図的な情報売買、大規模な漏洩など)。
② 損害賠償
データ主体に損害が生じた場合には、民法上の責任に基づき金銭的な賠償責任が発生します。
③ 行政処分
違反行為の内容に応じて、以下のような罰金額が適用されます:
|
違反行為 |
罰金の範囲
|
|
個人データの売買 |
最低3,000,000,000 VND、最大で違法収益の10倍まで |
|
越境移転に関する違反 |
最低3,000,000,000 VND、最大で前年収益の5%まで |
|
その他の違反行為 |
最大で3,000,000,000 VNDまでの罰金 |
このように、違反の類型によって処分内容が明確に区分され、ベトナム法制度として過去に例のない強力な制裁構造が整備された点が特徴です。
|
|
05 - 個人データ処理および越境移転に関する影響評価書:作成義務と更新頻度の明確化 |
2025年個人データ保護法では、企業のデータ保護責任を明確にするために、「影響評価書(DPIA)」の作成・更新に関するルールが整備されました。
① 初回提出は1回限りでOK
② 第20条および第21条の規定により、以下の評価書は、企業の設立・事業開始時に一度だけ作成すれば足ります:
- 個人データ処理に関する影響評価書
- 個人データの越境移転に関する影響評価書
③ 半年に一度の更新義務が発生するケース
- 政令第13号では、評価書の更新や報告の頻度が不明確または運用困難な規定(例:10日以内の更新義務など)が存在しました。
- これに対し、新法(第22条)では、以下のような場合に、評価書の更新が義務付けられています:
-
- 6ヶ月ごとに定期的に更新(変更がある場合)
- 次のような重要な変化が発生した時点で即時更新:
- 企業の組織再編や合併・分割
- データ保護関連のサービスプロバイダーの変更
- 登録済み事業内容(業種・商品・サービス)に関連するデータ取扱範囲の変更
このように、評価書の更新は形式的な義務ではなく、実質的な体制整備・法令順守の一部として捉える必要があります。
|
実務的な留意点と違反リスク |
|
企業が上記の変更を見逃し、評価書の更新を怠った場合には、行政調査時に「評価書の未整備」とみなされ、罰金・指導・一時業務停止などの制裁対象となる可能性があります。 したがって、企業としては:
などの対策を通じて、計画的かつ継続的なデータ保護体制の整備が求められます。 |
|
|
06 - 労働関係における個人データの特別保護規定 |
2025年個人データ保護法(第25条)では、採用活動および労働契約の履行に関連する個人データの取扱いについて、初めて明確な規定が設けられました。本条文により、雇用主(法人・個人事業主)は、以下の点に注意する必要があります。
【主な義務内容】
- 収集できる情報は、採用の目的に必要な範囲に限定され、収集した情報は採用目的または同意された他の目的以外には使用できない
- 採用しなかった応募者の個人データは削除義務あり(明示的な同意がある場合を除く)
- 労働契約終了時には、労働者の個人データを削除する必要がある(別途同意または法令の保存義務がある場合を除く)
|
実務上よく見られる違反リスク |
|
現実の企業活動においては、以下のような行為がよく見受けられますが、これらは今後、法律違反と見なされる可能性が高いです:
これらの慣行は、本人の同意がない限り、個人データの目的外利用および保存に該当し、行政罰の対象になる可能性があります。 |
推奨される対策:内部体制の見直しと文書整備
企業がコンプライアンス体制を整備するためには、次のような措置を講じることが重要です。
- 採用・労務プロセス全体の見直し(募集、面接、雇用契約、退職)
- 応募者への個人情報取扱いに関する事前同意書の取得
- 雇用契約書におけるデータ保存・削除ルールの明文化
- 退職者データの取り扱いに関する社内規程(データ保存期間、削除手続など)の整備
このような整備を怠った場合、万が一データ漏洩が起きた際に、企業にとって重大な法的責任と reputational damage(評判リスク)につながる可能性があります。
|
|
07 - 健康情報に関する個人データ保護:同意取得と特別管理が必須に |
2025年個人データ保護法第26条では、健康情報に対する特別な保護規定が新たに設けられました。これは、旧政令第13号には存在しなかった新しいポイントです。
この規定により、個人の健康状態や診断記録、健康診断書などの情報を取り扱う場合には、以下の義務が発生します:
- 本人(データ主体)の明確な同意を取得することが必須
- かつ、当該情報が「センシティブ個人データ」に該当するため、一般的な個人データより厳格な保護措置を講じる必要があります
7.1. 外資系企業・一般企業の実務への影響とは?
本条文は、企業が従業員を採用・管理・評価する過程で行う、以下のような健康情報の取り扱いに大きく関係します。
① 採用時に提出を求める健康診断書
② 在籍中の定期健康診断結果
③ 産業医面談やメンタルヘルス関連の記録
これらの情報は、法的に「センシティブ情報」とみなされるため、企業は収集・保管・共有の全段階において厳密な管理体制を整備する必要があります。
7.2. 同意の取得方法と実務ポイント
労働者本人からの同意は、以下のいずれかの方法で取得することが推奨されます:
① 健康情報取り扱いに関する個別の同意書を作成し、署名を取得する
② または、労働契約書または試用契約書内に明示的に同意事項を盛り込む
いずれの場合も、情報の利用目的・保管期間・第三者提供の有無などを具体的に記載することが求められます。
7.3. 技術的・組織的安全管理措置の強化も不可欠
健康データは外部に漏洩した場合、重大なプライバシー侵害や企業の信頼失墜につながるリスクが高いため、企業には次のような高度な対策が求められます。
|
|
08 - 個人データ保護担当部門・人材の任命義務:すべての組織が対象に) |
政令第13号では、「センシティブデータを処理する場合」に限って、個人データ保護の担当者または部門の設置が求められていました。また、担当者に求められる資格や能力要件については具体的な記載がありませんでした(第28条、第30条)。
これに対して、2025年個人データ保護法(第33条第2項)では、すべての企業・組織に対して、個人データ保護の人材・部署の設置が義務付けられました。
具体的には:
「組織は、個人データ保護に十分な能力を持つ人材または部門を任命するか、もしくは外部の専門事業者に委託しなければならない。」
|
すべての組織が対象、データの種類に関わらず対応が必要 |
この条文により、基本的な個人データのみを取り扱う組織であっても、保護体制の構築が義務化されたことになります。 センシティブデータの有無にかかわらず、担当者または部門を社内任命するか、もしくは外部委託する必要があります。 |
|
「十分な能力」の具体要件は今後の政令で定められる予定 |
現時点では、任命されるべき人材の能力・経験・資格について、法律上の明確な定義は存在していません。このため、企業としては今後発行される通達や政令を注視しながら、以下のような選択肢を検討することが重要です。
|
外部委託を選ぶ場合の実務アドバイス
特に日系企業や外資系企業においては、社内にベトナム法制度に精通した人材を確保するのが難しいケースもあるため、次のような条件を満たす外部パートナーの活用が推奨されます:
- ベトナム国内での個人情報管理実績がある
- ITインフラと法務の両面に強い
- 監査・報告など行政対応のサポートが可能
この改正により、個人データ保護が「ITセキュリティ」や「総務」の一部ではなく、法的責任を伴う経営課題であることが明確に示されたと言えます。企業は、人的リソースの配置だけでなく、社内規程や対応フローの整備も並行して進める必要があります。
|
|
09 - 小規模企業・スタートアップに対する義務の免除・猶予制度(第38条) |
政令第13号では、「センシティブデータを処理する場合」に限って、個人データ保護の担当者または部門の設置が求められていました。また、担当者に求められる資格や能力要件については具体的な記載がありませんでした(第28条、第30条)。
2025年個人データ保護法では、一部の小規模企業やスタートアップ企業に対して、個人データ保護に関する特定の義務について免除または猶予の制度が導入されました(第38条)。
具体的には、法律施行日から5年間の一定期間に限り、以下の義務が免除・猶予される可能性があります:
- 個人データの処理に関する影響評価書の作成義務
- 越境移転に関する評価報告・通知義務
- データ保護責任者の任命義務
- 定期的な評価書の更新および当局への提出
このような規定は、新興企業・中小企業の法的負担を軽減し、コンプライアンス導入の移行期間を確保するための措置と考えられます。
ただし、対象企業の定義は未確定
現時点(2025年7月時点)では、「小規模企業」「超小規模企業」「スタートアップ」などの定義が法律本文では明記されておらず、また「大量のデータ主体」とは具体的にどの程度の規模かについても不明確です。
そのため、自社が免除または猶予の対象となるかどうかを正確に判断するためには、今後発行される政令や通達(ガイダンス文書)を注意深く確認する必要があります。
このように、第38条はベトナム国内のスタートアップや中小企業にとって「法的負担の緩和」と「段階的な法令対応」の両立を実現する重要な条文です。将来的な施行対象拡大に備えて、段階的かつ計画的に体制を整えていくことが肝要です。
|
|
10 - 特定業種における個人データ保護の特別規定:金融、SNS、AI、ブロックチェーン等(第27〜30条) |
2025年個人データ保護法では、すべての企業・組織に適用される一般規定とは別に、リスクが高いとされる特定の業界に対して、追加的・強化された義務が定められています。
対象となる分野は次のとおりです。
- 金融・銀行・信用分野(第27条)
- SNS・オンラインメディア・プラットフォーム事業者(第29条)
- ビッグデータ、人工知能(AI)、ブロックチェーン、クラウドコンピューティング等の技術分野(第30条)
業種別に求められる追加的義務の一例
これらの業界に共通して求められる主な要件は以下のとおりです。
- より高度なデータ暗号化・セキュリティ体制の整備(情報漏洩リスクが極めて高いため)
- AIによる処理に関しては、リスクレベルの分類と保護措置の段階的対応が義務付けられる
- Cookieやトラッキング情報に関して、ユーザーが明示的に拒否・管理できる機構の提供(Do-not-track、オプトアウト等)
- 利用者にとって分かりやすい形でのプライバシーポリシーの提示と、事故発生時の対応フローの公開
|
実務的な注意点と推奨対応 |
|
特に外資系企業やデジタルサービス企業にとっては、上記分野に該当するケースが多く、次のような準備が不可欠です:
特定業種に課された要件は、単なる推奨ではなく法的義務であり、これを怠った場合には通常の企業以上に高額な制裁や業務停止処分等の対象となる可能性があります。 |
企業は今後、AI・クラウド・フィンテック・SNS関連の事業領域において、個人データ保護を単なる「情報管理」ではなく、戦略的リスクマネジメントの中核として位置づける必要があります。
|
結論 2025年個人データ保護法は、企業にとって新たな法的責任と競争力の試金石 |
|
2025年に施行されるベトナム個人データ保護法は、デジタル経済における個人情報保護の法的枠組みを確立する上で、極めて重要なマイルストーンです。 詳細かつ厳格な規定と重い制裁措置を伴う本法により、すべての企業—特に外国投資企業(FDI)—は、より高度なコンプライアンス体制の構築が求められるようになります。
したがって、企業は次のような行動を今すぐ開始することが推奨されます:
準備の遅れは、行政罰や刑事責任リスクだけでなく、国際的な信頼・競争力の喪失につながる可能性があります。データ保護は企業価値と直結する時代です。今こそ、戦略的・法的視点からの本格的な対応が求められています。 |