ベトナム個人情報保護に関する政令の概要について
ベトナム個人情報保護に関する政令の概要についてニュースレターを発行いたしました。 PDF版は以下からご確認ください。
<ベトナム個人情報保護に関する政令の概要>
2023年5月15日
1.概要
2023年4月17日、ベトナム政府は、個人情報保護に関するDecree No.13/2023/ND-CP(以下「PDPD」といいます)を公布しました。ベトナムで初となる、本格的な個人情報保護に関する法令となります。
PDPDは2023年7月1日に施行され、国内に所在しているか、国外に所在しているかを問わず、電子・インターネット環境においてベトナム人の個人情報を取り扱うすべての組織および個人に影響します。ただし、具体的にどのような対応を実施すればよいかが不明確な点が多いため、PDPDに関するガイドラインや当局の指示について注視が必要です。
2.PDPDのポイント
i) 個人情報の定義の明確化:
EUの一般データ保護規則(GDPR)同様に、基本データ(氏名、生年月日、性別、出生地、国籍など)とセンシティブデータ (政治的見解、医療記録に記載された健康状態、人種に関する情報、遺伝的特徴に関する情報、位置情報など)の2グループに分類されています(第2条3項、4項)。
ii) 「データ処理」の定義の明確化:
ベトナムで以下の活動を行う企業は、ベトナムに拠点があるかないかを問わず、PDPDに従う必要があります。
【第2条7項】
個人情報の処理とは、個人情報の収集、記録、分析、検証、保存、修正、公開、結合、アクセス、取得、取消、暗号化、復号化、コピー、共有、送信、提供、転送、削除、破棄あるいは関連するその他の活動など、個人情報に影響するひとつ或いは複数の活動をいう。
iii) データ処理にかかる対象者の分類:
データ処理における役割に応じて、PDPDは、次のように分類しています。
-個人情報管理者:個人情報を処理する目的と手段を決定する組織、個人(第2条9項)。 -個人情報処理者:契約を通じてデータ管理者に代わってデータを処理する組織、個人(第2条10項)。 -個人情報管理および処理者:目的、手段を決定し、同時に個人情報を直接処理する組織、個人(第2条11項)。
iv) データ主体の基本的な権利の明確化:
PDPDでは、自己の個人情報の取り扱いに関して知る権利、同意する権利、アクセスする権利、同意を撤回する権利、及びデータを削除する権利等を認め、それらの権利を保護するための規定を設けています(第9条)。これらは、従前の法令においても認められていたものであり、あらためてPDPDにおいて統一的に明確化された内容といえます。
v) 個人情報保護の担当政府機関:
個人情報保護を担当する政府機関は、公安省のサイバーセキュリティおよびハイテク犯罪予防管理局[1](以下「当局」といいます)となります(第29条1項)。なお、政府は、消費者からオンラインで苦情や侵害についての通報を受けるためのポータルサイト構築も進めることとされています(第29条2項)。
3.個人情報の管理者、処理者が実施しなければならない事項
i) 同意の取得
PDPDでは、データ主体の同意なしに個人情報を処理することを禁じています(第11条1項)。
2023年7月1日以降、データ主体の同意は以下の主な条件が満たされた場合にのみ有効とみなされます。
-個人情報主体が、同意する前に次の事項を明確に知っていること:処理されるデータの種類、処理の目的、処理する組織または個人情報主体の権利と義務
また、処理されるデータがセンシティブ個人情報の場合、データ主体に、処理されるデータがセンシティブ個人情報であることを知らせる必要があります(第11条2項、8項)。 -データ主体の同意が明確かつ具体的に表現されていること:データ主体の沈黙や無応答は、同意とはみなされません(第11条6項)。 -データ主体の同意は、電子形式または検証可能な形式を含め、書面で印刷、複製できる形式で示されなければなりません。なお、情報の取得目的が複数ある場合は、複数の目的を一覧化して同意を取得する必要があります(第11条4項、5項)。 -子供の個人情報の処理について、7歳以上の子供の場合は子供と保護者の同意が必要となります。保護者が同意を撤回した場合、子供の個人情報を復元できない形で削除しなければなりません(第20条2項、3項b))。
なお、PDPDには、施行日より前に個人情報が処理されている場合、施行日以降、PDPDに沿ってデータ主体の同意を取り直す必要があるかどうかに関する規定はありません。
ii) 個人情報保護対策の導入
PDPDでは、データ管理者、処理者に対し、(i) 管理対策を講じ、 (ii) データ処理プロセスの開始からプロセス全体を通じて、データを保護するための技術的措置を講じることを義務付けています(第26条1項、2項a、b)。センシティブ個人情報を収集する場合、個人情報保護を担当する部門や担当者を任命する必要があります(第28条2項)。
ただし、PDPDには、データ管理者、処理者が導入する管理対策が適切かどうかを評価するための基準や条件は規定されていないため、どのような部門を設ける必要があるのか、また、担当者に要求される条件は無いのか等、実務的にどのように対応を行えばよいのか不透明な状況です。
iii) 個人情報処理影響評価書の作成
PDPDでは、個人情報管理者、処理者に対し、個人情報の処理開始時から個人情報処理影響評価書を作成し、保管することを義務付けています(第24条)。
個人情報の処理を開始した日から60日以内に企業は、個人情報処理影響評価書を備えておく必要があります(第24条4項)。当局には、当該書類を検査し、内容が不十分である場合には、十分に整備するよう要求する権利を有します。
個人情報管理者、処理者の個人情報処理影響評価書には次のものを含む必要があります。
a) 個人情報管理者、処理者の情報、連絡先。 b) 個人情報保護業務を実施する組織、個人情報保護スタッフの氏名、連絡先。 c) 個人情報を処理する目的。 d) 処理される個人情報の種類。 dd) 個人情報を受け取る組織、個人(ベトナム領土外の組織、個人を含む)。 e) 個人情報を国外に移転する場合。 g) 個人情報を処理する時間、個人情報の削除または破棄を予定している時間(あれば)。 h) 導入した個人情報保護対策の説明。 i) 個人情報の処理による利益の評価。発生し得る被害、損害、そのリスクを低減、排除するための対策。 (第24条1項)
上記に従って個人情報処理影響評価書を用意したとしても、実務上当局から内容が十分であると認められるかどうかという点について不透明であるため、更なるガイドラインや実務の蓄積が待たれるところです。
4.個人情報の域外移転
PDPDでは、ベトナム国民の個人情報を国外に転送したり、ベトナム領土外に設置されたシステムを用いて、ベトナム国民の個人情報を処理したりすることを認めています(第2条14項)。しかしながら、ベトナム国民の個人情報を国外に移転するためには、次の基本条件を満たしている必要があります。
– 個人情報の処理を開始した時点から、個人情報の国外移転影響評価書を作成すること。 – 個人情報の処理を開始した日から60日以内に、個人情報の国外移転影響評価書を当局に提出すること。当局は、書類が不完全な場合、書類を十分に整備するよう求める権利がある。 – データの国外移転者は、当局に提出した書類の内容に変更があれば、更新、補足する必要がある。 (第25条1項、2項、3項、6項)
個人情報の国外移転影響評価書の内容は、基本的に個人情報処理影響評価書と同じです。当局は、個人情報の国外移転を年に一度検査し、規定の条件を満たしていない場合には、データの国外移転者に対し、個人情報の国外移転を停止させる権利があります(第25条7項)。
データの国外移転は正常に行われた後、データの移転と担当者の連絡先を書面で当局に通知する必要があります(第25条4項)。
個人情報処理影響評価書同様に、更なるガイドラインと実務の蓄積が必要な箇所であるといえます。
5.インターネット上でのマーケティングや商品の紹介(広告)
マーケティングや商品の紹介(広告)を実施する企業は、国内外を問わず、その事業活動を通じて収集した顧客の個人情報のみを、顧客の同意を得たうえで、マーケティングや商品の紹介(広告)に使用することができます(第21条1項)。当該企業は、商品紹介の内容、方法、形態、頻度等を顧客が把握していることを前提に、顧客の同意を得る必要があります(第21条2項)。
6.個人情報処理のシステムログの記録・保存
個人情報管理者は、個人情報の処理プロセスにシステムログを残す必要があります(第38条2項)。
PDPDは2023年7月1日から施行されるため、個人情報の処理に関連する活動を行う企業は、本政令で定める要件をできるだけ早く確認し、対応準備を進める必要があります。他方で、現時点では具体的な対応方法が不明な事項が多く、施行までに詳細なガイドラインが出される可能性があるため、注視が必要です。
[1] Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – Bộ Công an
