2021年度 電子情報利活用研究部レポート


ベトナム「個人データ保護に関する政令ドラフト」
に関するレポート

JIPDEC 電子情報利活用研究部 主席研究員 水島 九十九

1. はじめに

 ベトナムでは、個人データ保護に関する包括的な法令の制定を進めており、2021年12月1日の施行が予定されている。2019 年 12 月に、ベトナム初めての個人データ保護法令となる政令案の概要が公表された。そして、2021 年2月に個人データ保護に関する政令ドラフト(Draft Decree on Personal Data Protection)が公表され、2020年4月までパブリックコメントが募集された。
 ベトナムは社会主義市場において経済の活性化を進めており、経済活動の自由化を拡大している。またAPEC、WTOやTPPに加盟し、国際的なルールに基づき国際貿易やサービス分野での自由化・市場開放を進めている。ベトナムの経済成長率は約5%と安定的に上昇しており、ベトナム政府は外国からの投資を誘致するために様々な投資優遇策をとっている。また人件費の安さだけでなく、ベトナム人が勤勉で素直で器用であるという資質から、生産拠点を移す外国企業も増大している。全人口の平均年齢も29歳と若く、労働力と合わせて消費市場としても注目されている。
 このようなベトナム経済拡大の潮流が見られる中、個人データ保護に関する政令案は個人データに関する規制を見直し、厳格化するものとなっている。ベトナムに子会社がある日本企業や、ベトナムで事業拡大を計画している事業者に取っては、ビジネスモデルの見直しが迫られるなどカントリーリスクが高まることが懸念されている。

2. ベトナムの個人データ保護に関する政令案(概要)

 ベトナムには、日本の個人情報保護法やEUのGDPR(一般データ保護規則)などに相当する、包括的な個人データ保護に関する法令は存在しない。情報テクノロジー法、国家安全保障法や民法など様々な法令により、個人データ保護に関する義務等を規定している状況である。しかしながら、個別の法令により個人データ保護やプライバシーへの配慮について規定しているものの、詳細な規定ではなく、保護すべき個人データの範囲なども明確化されていない。
 今回2021年2月に、ベトナム公安省(Ministry of Public Security)はサイバーセキュリティ法等に基づく「個人データ保護に関する政令案、Draft Decree On Personal Data Protection」を公表した。法令案は、6章と30条で構成されており、用語の定義や義務等が規定されている。

■個人データ保護に関する政令案(ベトナム語のみ)

第1章  一般規定
第2章  個人データの取り扱い
第3章  個人データを保護するための措置
第4章  個人データ保護委員会
第5章  機関・組織・個人の責任
第6章  法令の発効と実施責任

 また合わせて、政府直属機関として公安省内に個人データ保護委員会(Personal Data Protection Commission)を設置することした。近年、アジア各国はEUのGDPRをなぞった形で、次々と個人データ保護法を制定・改訂している。ベトナムの政令案においても、本人同意をもとにした事業者の義務が規定されている。しかしながら、それ以上に政府による強い関与や、厳しい規制が盛り込まれている。

3. 政令案の主な特徴

 1)個人データの定義 【第2条】
 個人データの定義は、個人に関するデータ、または特定の個人の識別または識別可能なデータ、と規定されている。また個人データは、①基本個人データ、②センシティブ個人データの2つに区分されている。
 ②センシティブ個人データについては、データ利用前に個人データ保護委員会へ登録が必要となる(第20条)。下記の通り、②センシティブ個人データは幅広く定義されており、その取り扱いにおいて事業者が追加的に課せられる義務を適切に対処することが、大きなコスト負担となることが懸念される。

①基本個人データ
②センシティブ個人データ
(利用前に個人データ保護委員会へ登録)
a)氏名、ミドルネーム、出生名
b)生年月日または死亡日
c)血液型、性別
d)出生場所、出身地、永住権、連絡先、メールアドレス
e)学歴
f)民族性
g)国籍
h)電話番号
i)身分証明書の番号、パスポート番号、運転免許証の番号、社会保険番号など
j)配偶者の有無
k)インターネット上の活動履歴など
a)政治的、宗教的な個人データ
b)健康データ、医療データ
c)遺伝的、後天的な遺伝的な特徴データ
d)生体認証データ
e)性別ステータス
f)性的指向
g)犯罪歴など
h)金融関連データ
i)位置情報
j)社会的な関連データ
k)その他法律で特定される

 2) 個人データの域外移転に関する規制 【第21条】
 ベトナム人の個人データをベトナム国外に移転するには、原則として以下の4つ全ての条件を満たす必要があると規定されている。
  a) データ主体の明示的な同意(黙示の同意は認められず、書面または電磁的書面)
  b) 元データをベトナム内で保存・管理
  c) 移転先の国・地域が、ベトナム法令以上の個人データ保護に関する法規制を有していることの証明文書
  d) ベトナム個人データ保護委員会からの書面による承認

 個人データの域外移転に関する履歴を3年間保存するシステムを構築する必要がある。また、個人データ保護委員会が1年に一度、定期的に個人データの域外移転を評価することが規定されている。さらに、ベトナム国内にデータを保存する義務(データローカライゼーション)が課せられる。これは自由なデータ流通を阻害するものであり、ベトナムのデジタル経済の発展に悪影響を与えることが推測される。

 3) センシティブ個人データの登録義務 【第20条】
 機微性の高い個人データを処理する場合には、個人データ保護委員会への登録する義務が課せられる。センシティブ個人データを処理する前に、ベトナム国内外を問わず登録する必要が生じる。
 第2条にて個人データの「処理」は個人データに影響を与えるアクションとして幅広く定義されているため、センシティブ個人データの収集、記録、分析、保存、変更、開示、アクセス許可、取得、回復、暗号化/複合化、コピー、転送、削除、廃棄などの処理を行う際には、個人データ保護委員会への登録することが義務化されている。
 また登録義務の例外として、以下の5点が規定されている。
 ①法律違反の防止のため、②医療機能や自治体による社会保障のため、③裁判所の司法機能のため、④科学研究機関による研究等のため、⑤その他法律で規定されている活動のため

 4) 子供の個人データの取り扱い規制 【第14条】
 子供(15歳未満)は同意を与える法的能力を有しているとされていない。そのため個人データを処理する際には、事前に子供の年齢を確認し、親権者(親または保護者)の同意を得ることが義務化されている。また、子供や親権者からの要請や同意の撤回があった場合には、事業者は個人データの処理を中止しなければならない。
 米国やEUにおいて、児童のプライバシー保護の在り方が問題視され、これらをなぞった形でベトナムの政令案にも盛り込まれたものと推測する。米国では、2000年4月から児童オンラインプライバシー保護法(COPPA)が施行され、子供向けサイトに規制を課すことで子供のインターネット上の安全を守ることが義務化された。またEUではGDPRにおいて、オンライン上の児童のプライバシーを保護するための義務が盛り込まれている。

4. 日本企業にとっての懸念点

 1)法律違反時の罰則、行政違反 【第4条、第22条】
 法律違反の程度により、行政処分または刑事処理の対象となり、さらに追加の罰則が適用される。違反の対象はベトナム国内だけでなく、国外の企業や個人にも適用される。
 軽微な違反(データ主体の権利や同意などの違反)では5000万ドン~8000万ドン(約24万円~38万円)、また重大な違反(センシティブ個人データや越境データに関する違反など)では8000万ドン~1億ドン(約38万円~47万円)の罰金が科せられる。さらに、複数回の違反など悪質な違反が生じた場合には、総売上高の最大5%まで罰金が科せられ、最大3ケ月に渡ってデータ処理を中止しなければならない状況となる。
 EUのGDPRでは、全世界年間売上高の4%もしくは最大2000万ユーロの制裁金として高額な制裁金が科されるが、ベトナムの政令案においてはベトナム国内の総売上と規定されている。いずれにせよ厳しい罰則が設けられており、ベトナムでビジネスを行う企業において、幅広く影響が生じるものと推測される。

 2)個人データ処理における本人同意 【第8条】
 個人データを処理する際には、データ主体より自発的かつ明示的な本人同意が必要になる。また、データ主体はいつでも同意を取り消すことが可能であることが規定されている。
 ビジネスモデルによっては、データ主体から書面または電磁的書面により、明示的な同意を取得することが困難なケースも想定される。委託業務や共同利用、暗黙的許可を前提とした個人データの取得をしている既存ビジネスにおいては、実務上の障害となる可能性がある。EUのGDPRにおける正当な利益(legitimate interest)などの例外措置もないため、ビジネス上の大きな問題になることも懸念される。

 3) 個人データの域外移転に関する規制 【第21条】
 個人データを越境移転する際には法令対応の手続きにより、作業時間や人的リソースが増大し、コンプライアンスコストが増大することが推測される。具体的には、海外に個人データを移転する事業者においては、ベトナム国内にデータを保存する必要があり、追加的な作業やオーバーヘッドが発生することになる。また、個人データ保護委員会への承認手続きが必要になり、業務プロセスの
遅延が発生することが懸念される。さらに、海外のクラウドサービスを利用する際にも、どのような手続きが必要となるのか、データ・ローカライゼーションへの対応が必要となるのかを早期に検討することが重要になると考える。

 4)政府によるデータアクセス権限(ガバメントアクセス) 【第20条、第21条】
 センシティブ個人データの登録義務(第20条)、個人データの域外移転に関する規制(第21条)では、「個人データ保護委員会は登録申請書やファイル登録された個人データに物理的に閲覧する権限を有する」と規定されている。
 ガバメントアクセスとは、政府機関などの公的機関が強制力を持って、民間組織が保有する情報にアクセスすることを意味するものである。従来から、社会治安上の必要性や、刑事手続きにおける証拠収集などから、ガバナンスアクセスは一定量行われてきた。しかしながら、ICTの進展やインターネットの利用拡大により、個人データを大量に収集することが容易になってきたため、プライバシーの侵害等が大きく問題視されるようになってきた。ガバメントアクセスが濫用される危険性が、憲法上の人権保障に及ぶとして、国際関係の論点となってきている。
 イノベーションを創出するためには、自国だけではなく他国との連携により、データが生み出す経済的・社会的な価値を最大限に引き出すことが重要になる。しかしながら、個人データを相互に移転する相手国からは、ガバメントアクセスを理由として個人データの移転を制限されるリスクを生じることになる。具体的な事例として、日本でも中国企業への個人データ移転が大きな問題としてメディア報道されることが増えてきている。ベトナムの政令が施行された後に、日本企業がベトナムとのビジネスを継続・拡大する上で、大きな障害になることが懸念される。

5.JEITA個人データ保護専門委員会のパブリックコメント

 一般社団法人電子情報技術産業協会(JEITA)は、IT・エレクトロニクス分野において日本を代表する業界団体として、産業界と日本経済の発展に重要な役割を担っている団体である。その中の1つの委員会活動として「個人データ保護専門委員会」が設置されている。EUのGDPRのドラフトが公表された2012年の創成期より、小職もこの委員会に参画している。グローバルにおける個人データ保護規制やプライバシーへの対応について継続的に動向をフォローしている。また必要に応じて政府機関への意見交換を図り、パブコメなどの意見書や要望事項を提出している。現在は、約30社(約60名)で積極的に活動を推進している。

■「個人データ保護専門委員会」の役割

 今回、JEITAでは「個人データ保護に関する政令案」に対してパブリックコメントを提出している。ベトナムと取引を行っている日本企業、ベトナムに子会社がある日本の事業者にとっては、事業運営上の大きな課題と捉えており、産業界の意見として取りまとめベトナム政府に提言した。
 また、経済産業省も日本企業への影響が少なくないと捉えており、JEITAと意見交換が行われている。

■ベトナム 「個人情報保護に関する政令案」 に対する意見

全体意見
(1)用語の説明や規定内容が不明瞭であり、体系的に理解しやすい法制度にすることで、実効性のある法体系を構築すべき
(2)ベトナムのデータ主体や事業者に、よりわかりやすい政令とすべき
(3)グローバルでビジネスを展開している外国の事業者にとって、国をまたがるビジネスの円滑化の観点から、アジア各国の個人データ保護法やEUのGDPRなどとハーモナイズされた法規制とすべき
(4)法律における地理的適用範囲が不明瞭であり、対象となるデータ主体、企業や組織を明確化すべき

個別意見
(1)個人データの定義があいまいで、保護すべき対象をガイドラインなどで解説すべき
(2)法規制として他国の法律より厳しい義務があり、EUのGDPR等の他国の法令と合わせるべき
(3)個人データの利用において、データ主体の同意なしに企業等がデータ処理を行える例外規定(契約の履行、正当な利益等)が明示されておらず、同意撤回の場合など、実務上の支障が生じるため見直されるべき
(4)個人データの二次的利用については、他国の法令と合わせて許容されるべき
(5)統計情報についても義務が課されているが、個人データに限定すべき
(6)センシティブ個人データは個人データ保護委員会に登録することとされているが、実効性を考慮し、その基準を明確に規定すべき
(7)ガバメントアクセス(個人データ保護委員会が不必要に、個人データを物理的に検査)に関しては、ベトナムの事業者にとっても越境データ移転において不利益を被るため再考すべき
(8)個人データ保護委員会が書面にて承認を要請する制度は、事業者等の負担が大きいと考えられるため、承認不要とする例外を広範に認めるべき
(9)個人データ保護委員会が実施する手続きにおいて、不服申立や救済の手段があるかを明確にすべき
(10)インシデント発生時など個人データ保護委員会への通知義務については、事業者の実務上の負担が過大とならないようにガイドライン等で明確にすべき

6.まとめ

 ベトナム初めての包括的な個人データ保護法令の法案は、一部の規制内容において、EUのGDPRより厳しい義務が課せられる見込みである。ベトナム企業だけでなく、ベトナムと取引を行う日本企業やベトナムに子会社をもつ日本企業にとって影響は少なくない。ビジネスモデルによっては、今後カントリーリスクとして経営課題となることも推測される。コンプライアンスコストの増大にもつながる大きな問題と捉え、関連法規に詳しい現地の弁護士事務所と連携し、先んじて対処することが肝要であると考えている。
 法令施行に向けて、今後の動向に注視することが大変重要である。政令案はあくまでもドラフトであり、今後見直される可能性もあり、引き続き政令案に関する検討状況や改訂内容をフォローしていきたいと考えている。

一般財団法人日本情報経済社会推進協会(JIPDEC)
電子情報利活用研究部 主席研究員 水島 九十九

- プライバシー対応、個人データ保護法制等の国際動向調査
- ISO/PC317プライバシーバイデザイン国際標準化を進める日本国内審議委員会 事務局長
- APEC CBPR認証審査業務 グループリーダー
- 認定個人情報保護団体事務局メンバーなど

■協会外の主な活動
- OECD BIAC(経済産業諮問委員会)日本代表委員
- JEITA(電子情報技術産業協会)個人データ保護専門委員会 客員
- 経団連 デジタルエコノミー推進委員会メンバー
- CFIEC(国際経済連携推進センター)DX推進事業 タスクフォース2 委員
- JISA(情報サービス産業協会)国際連携部会 個人情報保護タスクフォース 委員