公開 2024年09月04日  I 更新 2024年09月07日

1. ベトナム個人データ保護の規制について

※無断で複製、転載、転用、改変等の二次利用をご遠慮いただきますようお願いいたします。

目次

15. 個人情報保護 No.1

※無断で複製、転載、転用、改変等の二次利用をご遠慮いただきますようお願いいたします。

 

ベトナム政府は、202371日から施行する個人データ保護に関する政令第13/2023/ND-CP号(以下「政令13号」)を2023417日に公表しました。この政令13号は、インターネットの発展とともに、インターネット環境における個人データの開示、売買、許可範囲外の使用などの不正行為によって、データ主体に対する侵害が増加する中、個人データを保護する必要性から制定されました。これに伴い、政令13号はデータ管理者や管理者兼処理者に、必要以上の対策や義務を課しているとも指摘されています。

具体的には、以下の通りです。

 

 

1.   政令No.13の概要

 


 上記に記載した通りに、基本的に、ベトナム国内で個人データを処理するすべての企業・組織は、政令No.13の適用対象となります

 個人データには、基本データとセンシティブデータが含まれます。一般企業が従業員の個人データ(健康診断の情報を含まない)を取り扱う場合、それは基本個人データに該当します

個人データ処理については、上記の通りに、かなり幅広い活動を定めています。一つの例を取り上げますと、例えば、X社がAさん、Bさん、Cさんを雇用する場合、入社時にAさん、Bさん、Cさんは「身分証明書、履歴書、電話番号、住所、口座情報など」を会社に提出する必要があります。この情報を受け取り(収集)、保存し、第三者(会計士事務所など)に給与計算や保険の手続きを依頼する場合、それらの行為はデータ処理に該当します。このデータ処理が開始されるタイミングは、データ主体から個人データを受け取った時点です。

 個人データ主体者とは、個人データを所有する者を指します。一般的には、以下のように分類できます。

          i. 出資関係: 個人の株主、出資者など

          ii. 雇用関係: 労働者、試用者、インターン、面接者

          iii. 事業・ビジネス関係: 顧客、サプライヤー

          iv. マーケティング関係: ウェブサイト利用者、アンケート協力者など

          v.  一般管理関係: その他の第三者

 

 

2.   企業の法的な立場

 

個人データを処理する者の分類は、以下の4つの対象者に区分されます。

   ①  個人データ管理者

         一般の事業者、組織、機関(駐在員事務所、NPO

   ②  個人データ処理者

         データ処理業者(広告事業者、IT会社、市場調査・マーケティング事業者、製品開発&研究事業者等)

   ③  個人データ管理兼処理者

    • 一般事業者であるが、自社でデータの分析を行う者
    • データ処理業者であるが、自社の個人データを管理する者

   ④  第三者

         外部委託業者(会計士事務所、法律事務所)、サプライヤー、パートナー、その他協力者等

 

    それぞれの対象者の義務については、以下の通りに規定されます。

 

個人データ管理者

 

  •      個人データ保護対策の導入(組織的な対策、技術的な対策)
  •      個人データ処理のシステムログの記録・保存
  •      データ主体者の権利保護
  •      違反行為に関する通報
  •      個人データ処理影響評価書類等の作成・保管・提出
  •      適切データ処理業者の選定
  •      データ主体者の前に責任を負う
  •      管轄機関への協力

個人データ処理者

 

  •      個人データ管理者との契約の締結、実施、厳守
  •      個人データを安全に保守するための対策の実施
  •      データ処理を終了した後、当該データの削除、データ管理者への返還
  •      データ主体者の前に責任を負う
  •      管轄機関への協力

個人データ管理兼処理者

     個人データの管理者の義務及び処理者の義務の両方を実施しなければならない

第三者

  •      政令NO.13の厳守
  •      データ管理者等との間の契約の厳守

 

上記の通りに、政令No.13号は、かなり厳しいと言われています。EUの一般データ保護規定(GDPR)と比較してみますと、主には、以下のような違いがあります。


 

3.   企業による対応

 

 

政令No.13を遵守するため、企業はデータ管理者(または管理兼処理者)としてさまざまな対応が求められます。具体的には、以下の点が挙げられます。

 

 

4.   政令No.13を厳守する必要性

 

政令No.13号を現出する必要性については、以下の通りにまとめいたします。

現在制定予定の罰職に関する政令の概要については、次の通りになります

     ①  罰金     

     ②  違反結果の回復処置

    • 違反したデータの廃棄、削除、取消
    • 不正利益の返還、納付
    •      謝罪

       ③  補充罰

    • データ処理が必要となる事業の活動許可証(ライセンス)の一時中止(1か月~3か月)
    • データ処理活動の一時中止(1か月~3か月)
    • 違反した個人を出国させる

 

 

5.   政令No.13を対応する際の注意点

 


個人データ主体者との間の関係:個人データの処理については、事前に処理目的を決め、データ主体者の同意を得る必要があります。しかし、どんな目的でも処理することができるわけではないです。そのため、決めた処理目的に関連する根拠法令の検討や、それを超えた場合の合理的な説明等の準備が必要です。

 会社が設置する個人データ管理責任部門は、会社の労働組合のように、ある程度の独立性を確保する必要があります。

公安への提出書類や影響評価は専門家の助言を受けることが推奨されます。

 公安への対応の真剣さや、様々な習慣等を事前に知っておいた方が良いと考えられます。

 

 

写真家 弁護士 レ・ヴァン・ホア

【責任免除事項】

本ウェブサイトに投稿している記事は、記事作成時点に有効する法令等に基づいたものです。その後の法律や政策等の改正がある場合は、それに伴い、記載内容も変更する可能性があります。法の分析、実務運用のコメントの部分については、あくまで直作者の個人的な経験や知識等から申し上げたことで、一般共通認識や正式な解釈ではないことをご了承ください。

また、本ウェッブサイトに投稿している内容は、法的助言ではありません。個別相談がある場合には、必ず専門家にご相談ください。専門家の意見やアドバイスがなく、本ウェブサイトの記載内容をそのまま使用することにより、生じた直接的、間接的に発生した損害等については、一切責任を負いません。

duongbui@in-lc.net 0967 246 668