• Instgram
  • LinkeIn
  • Lexologoy
One Asia Lawyers > ニューズレター > ベトナム > ベトナム初の個人データ保護法の制定について

ベトナム初の個人データ保護法の制定について

2025年08月21日(木)

ベトナム初の個人データ保護法の制定についてのニュースレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。

<ベトナム初の個人データ保護法の制定について>

 

<ベトナム初の個人データ保護法の制定について>

2025年8月19日
One Asia法律事務所ベトナムオフィス

I. 概要

 2025年6月26日、ベトナム初の成文法による個人データ保護法(PDPL:Personal Data Protection Law)が国会で可決され、2026年1月1日より施行されます。この法律は、2023年に施行された個人データ保護に関する政令第13号(Decree 13/2023/ND-CP。以下「政令第13号」)の規制枠組みを引き継ぎつつ、国会制定の法律として、個人情報保護制度を強化したものです。
 PDPLは、憲法第21条(プライバシー権)やサイバーセキュリティ法(2018年施行)と整合する形で、個人および組織が個人データを適切に処理するための義務や責任を体系的に定めています。また、同法は、政令第13号に存在しなかった新たな禁止行為の明示、個人データ保護に関する違反行為に対する法的責任(行政・民事・刑事)の導入、さらには保険、金融、広告などの特定産業や、従業員に関する個人データの取り扱いについて、より厳格な管理規定を導入しています。これにより、実務的な個人情報保護の実効性が高まることが期待されます。

II. PDPLにより導入された新規定

1. 個人データの匿名化

 PDPL上、個人データの匿名化とは、個人データに関する情報を変更または削除して、個人を特定できない新たなデータを作成するプロセスと定義されています。匿名化された個人データは、個人データとはみなされません。また、匿名化された個人データを識別可能な状態に復元することも禁止されます[1]。このように、PDPLは、個人データの匿名化に関して新たな規定を導入しています[2]

2. 個人データ処理影響評価の定義

 PDPLは、政令13号では定義されていなかった「個人データ処理影響評価」を定義しています[3]。この定義によれば、個人データを保護するために、個人データ処理に伴い発生する可能性のあるリスクを分析・評価し、リスク軽減策を講じる一連の活動が「影響評価」とされています。
 ただし、PDPLではこの影響評価の具体的な実施手順や評価の時点・範囲などについては規定しておらず、今後、政府が政令等を通じて詳細な実施ルールが定められる見通しです。

3. 個人データの移転

 PDPLは、個人データの処理に関する新たな定義のひとつとして、「個人データの移転」を明確に規定しています[4]。また、PDPLは、以下のような場合における個人データの移転を合法として、無料・有償を問わず「個人データの売買とはみなさない」としています[5]

  • データ主体の明示的同意がある場合
  • 同一組織内の部門間で、既定の目的に沿ったデータ処理のために共有される場合
  • 組織の分割・合併・解散・民営化等に伴うデータ移転の場合
  • データ管理者または処理者が、合法的な処理のために他の処理者または第三者にデータを移転する場合
  • 国家機関からの法的要請に基づく場合
  • その他、PDPL第19条に定められた同意不要の事由に該当する場合(例:緊急の生命・健康保護、災害対応、法令遵守等)


 なお、これらの具体的な適用基準や手続については、今後、政令等で詳細に定められる予定です。

III. 禁止行為および違反に対する制裁に関する規定

 PDPLは、以下の行為を明確に禁止しています[6]。このうち、個人データの違法使用、個人データの売買、個人データの不正入手・漏洩・紛失がPDPLにより新たに追加されました。

  • 国家や公共秩序に対する脅威となる目的や方法で個人データを処理すること
  • 個人データ保護活動を妨害する行為
  • 個人データ保護を名目に違法行為を行うこと
  • 法令に反する形での個人データ処理
  • 他人のデータを違法に使用する、または自分のデータを他人に違法使用させる行為
  • 法令で特に認められていない限り、個人データを売買すること。個人データを不正に入手し、漏洩・紛失させること


 さらに、PDPLは個人データ保護に関する行政違反の取り扱いに関する規定も定めており、違反の重大性に応じて、違反者は行政処分または刑事責任を問われる可能性があります。特に、個人データの売買および個人データの違法な越境移転という2つの違反行為に対して、厳格な行政罰に関する一般規定を定めています。

  • 個人データの売買については、違反行為から得た収益の10が最大行政罰金となります[7]
  • 組織による個人データの不正な越境移転の場合、罰金は前年度の組織の売上の5に設定されています[8]
  • その他の違反行為に対する最大罰金は30VNDです[9]


 今後の政令で、各違反行為の種類および対応する罰則に関する具体的な規則が定められる予定です。

IV. 外資企業に関連する特定の分野における個人データ保護

1. 労働管理における個人データ保護

 PDPLは、労働者の募集、管理、利用における個人データの保護について詳細な規定を定めています。これにより、従業員の個人データをクラウドベースの電子サービスに越境移転して保管する場合には、組織は越境データ移転影響評価を実施する必要はありません[10]。採用プロセスにおいて、企業は以下の要件を遵守する必要があります[11]

  • 採用目的で必要な情報のみを請求すること
  • 提供された情報は、応募者の同意を得た場合のみ処理すること
  • 応募者が同意した場合を除き、不採用となった候補者から提供された情報を削除または破棄すること


 従業員の管理および利用においては、この法律、労働法、その他の関連する法的規定に準拠する必要があります。従業員の個人データは、法律で定められた期間[12]または合意された期間内で保管する必要があります。従業員の個人データは、雇用契約の終了時に削除または破棄する必要があります[13]

2. 特定の専門分野における個人データ保護
2.1. 医療・保険分野

 医療分野(病院、クリニックなど)の事業者は、個人データ保護の一般規定に準拠するほか、データ主体からの書面による請求がある場合、またはPDPL[14]に定める場合を除き、保険会社などの第三者に個人データを提供してはなりません。

2.2. 金融・銀行業

 個人データ保護に関する一般規定[15]に準拠するほか、(i) データ主体から同意を得ない限り、データ主体の信用情報をスコアリング、信用評価、または信用審査に利用してはなりません。(ii) 信用情報活動に必要な情報のみを収集しなければなりません。また、 (iii) データ漏洩または紛失が発生した場合、データ主体に通知しなければなりません。

2.3. 広告分野[16]

 広告主は、広告において個人データを使用する場合、以下の要件を遵守する必要があります:

データ使用の制限
広告主は、適法に取得した個人データ(契約に基づく場合または自社の事業活動から取得した場合)のみを使用し、データ主体の権利を尊重する必要があります。

適法なデータ移転
データ管理者および処理者は、法的規定に従って、広告主と個人データを共有する必要があります。

顧客の同意の必要性
個人データは、広告の内容、方法、頻度に関する詳細およびオプトアウトの方法を含む、顧客の明確かつ十分な同意を得た場合のみ、広告目的で使用できます。

広告法およびスパム防止法への準拠:
個人データを使用した広告は、スパムメッセージ、メール、電話、および一般的な広告に関する法律に準拠しなければなりません。

オプトアウト権:
データ主体は広告の停止を請求する権利を有し、広告主は適切な手段を提供し、これに従わなければなりません。

サービスの全面的な外部委託の禁止:
広告主は、個人データを使用した広告サービスの全体を第三者に委託することはできません。

責任の明確化
広告主は、データ利用が広告目的であることを証明し、本条項および関連する法令を遵守しなければなりません。

ターゲティング広告
(i)広告のための個人データは、データ主体の同意を得た場合のみトラッキング(ウェブサイト/アプリ)を通じて収集することができます。(ii)データ主体は、データ共有を拒否し、データの保存期間を決定し、必要なくなった場合に削除を請求する権利を有します。

V. 結論

 これまでは罰則がなかったために様子見をしていた企業も多いと思いますが、2026年1月1日に施行されるPDPLでは罰則が定められており、また、従業員や顧客の個人データを保護するための体制を強化する必要があることを強調しています。そのため、各企業は、匿名化、影響評価(DPIA: Data Protection Impact Assessment)、越境データ移転といった、PDPL上対応が必要とされる事項についての対応の準備をしておく必要があります。新たな規制枠組み下での法的リスクを最小限に抑え、責任を抑制するためにも、できるだけ早期の準備を行うことが推奨されます。

—–

[1] PDPL第14条6項
[2] PDPL第2条11項
[3] PDPL第2条12項
[4] PDPL第17条
[5] PDPL第17条2項
[6] PDPL第7条
[7] PDPL第8条3項
[8] PDPL第8条4項
[9] PDPL第8条5項
[10] PDPL第20条6項(b)
[11] PDPL第25条1項
[12] 2022年通達第10号/TT-BNVの別紙Iによると、従業員の原本プロファイルの保管期間は70年です; 職業災害に関する文書の保管期間は、重大なケースでは永久に、重大でないケースでは20年です。
[13] PDPL第25条2項(c)
[14] PDPL第26条2項
[15] PDPL第27条1項
[16] PDPL 第28条


  |