ベトナム:個人データ保護法(PDPL)の施行とDecree 356企業の実務対応と留意点
「ベトナム:個人データ保護法(PDPL)の施行とDecree 356企業の実務対応と留意点」についてニューズレターを発行いたしました。こちらの内容は以下よりご覧いただけます。
→個人データ保護法(PDPL)の施行とDecree 356企業の実務対応と留意点
個人データ保護法(PDPL)の施行とDecree 356企業の実務対応と留意点
2026年5月15日
One Asia Lawyers ベトナム事務所
I はじめに
2026年1月1日、個人データ保護法(Law No.91/2025/QH15、以下「PDPL」)および、その細則を定める政令(Decree No.356/2025/ND-CP、以下「Decree 356」)が施行されました。これらの法令は、従来の政令(Decree No.13/2023/ND-CP、(以下「PDPD」)に代わるものであり、その内容を拡充することで、原則ベースの体制から、より体系化され執行力を伴うコンプライアンス体制への移行を意味しています。2026年3月には、サイバーセキュリティおよび個人データ保護の分野における違反行為への制裁を定める政令案が、パブリックコメント募集のために公表されています。あわせて、PDPLおよびDecree 356に基づく変更に対応するかたちで、個人データ保護に関する手続の取扱いについて詳細な規則を定める決定(Decision No.778/QD-BCA、以下「Decision 778」)が公布されました。
本稿では、Decree 356が定めるガイドラインの内容とその実務上の影響を中心に解説します。PDPLについては、過去のニュースレター『 ベトナム初の個人データ保護法の制定について』を参照してください。
II Decree 356の施行に伴う実務上の主な変更点
1. 同意要件[2]
PDPLの下では、個人データの移転、採用応募者データの処理・保存、信用情報の利用、広告目的での利用、ウェブサイトやアプリ上の行動履歴の取得(広告配信のためのもの)等のさまざま場面において、データ主体の同意の取得が求められます。
Decree 356は、この同意について、明示的であることに加え、その取得を客観的に確認できる形で行うことを求めています。
したがって、多くの企業が採用してきたオプトアウト方式(本人が明示的に拒否しない限り同意したものとみなす、黙示的同意に依拠する仕組み)は、Decree 356の下では認められません。
また、同意は、後日その取得を証明できる以下のいずれかの方法により取得しなければなりません。
・書面による同意
・録音された通話による同意
・携帯電話のテキストメッセージによる同意
・電子メール、ウェブサイト、プラットフォーム、アプリケーション等による同意
・電子フォームその他、印刷または書面化して内容を確認できる方法による同意
実務上の対応としては、データ主体からの同意取得の方法が現行法に適合しているかを改めて確認することが推奨されます。
2. データ保護責任者(DPO)の指名義務と要件
PDPLは、個人データを取り扱う企業に対しデータ保護責任者(以下「DPO」)の指名を求める一方で、DPOやデータ保護部門の要件・責任については定めていませんでした。これに対し、Decree 356は、DPOの要件、責任および指名手続等を具体化しています。
例えば、DPOの指名にあたっては、その職務、権限その他の要件を明確にした、企業による正式な任命決定書の発行が必要となります。この任命決定書は、DPOの業務を第三者に委託する場合にも必要です。
また、DPOに指名される者は、以下の要件を満たさなければならないとされています。
(a) 短期大学卒業以上の学歴を有すること
(b) 法務、情報技術、サイバーセキュリティ、データセキュリティ、リスク管理、コンプライアンス管理、人事管理または組織運営のいずれかの分野を修了し、2年以上の実務経験を有すること
(c) 個人データ保護に関する法的知識および専門技能についての研修を受けていること
このうち(c)の要件については、これを満たす研修内容に関するガイドラインが現時点で存在しません。もっとも、所管当局であるサイバーセキュリティ・ハイテク犯罪防止局(以下「A05」)は、個人データ保護に関する研修を受講済みであることの認定資料として、修了証書の提出を求めています。そのため実務上は、DPOに指名される者が、A05と提携する研修機関またはA05が主催する研修に参加し、修了証書を取得しておくことが推奨されます。
以上を踏まえ、企業には、次の対応が求められます。
・上記の要件を満たす者をDPOに指名すること
・DPOの指名手続が適切に履踐されているかを確認し、不足がある場合には補完すること
3. データ主体の権利の行使[3]
データ主体から次の請求がなされた場合、データ管理者(Data Controller)またはデータ処理者(Data Processor)は、それぞれ所定の期限内に当該請求に対応しなければならないとされています。
(1) 処理の制限に関する請求、同意の撤回または異議申立てへの対応:請求または申立ての受領後15日以内
(2) アクセス、訂正またはデータ提供に関する請求:請求の受領後10日以内
(3) 個人データの削除に関する請求:請求の受領後20日以内
(4) 保護措置に関する請求:請求の受領後15日以内に、適切な保護措置を講じる
(5) その他の請求への対応:請求の受領後2営業日以内
なお、上記について対応期間の延長が必要な場合は、事前にデータ主体へ理由を通知することにより、上記(1)から(5)の各期間につき1回に限り延長することができます。
PDPLでは、すべての請求を一律に受領後72時間以内に処理することが求められており、期限はより厳格でした。Decree 356では請求の類型ごとに期限が細分化され、実務上、一定の柔軟性が認められています。
4. 小規模企業またはスタートアップ企業に対する免除[4]
PDPLは、中小企業およびスタートアップ企業がDPOの指名ならびに個人データ処理影響評価書(以下「DPIA」)の義務を免除されるための要件をいくつか定めていますが、Decree 356はこれらの企業に対する要件を補足しています。具体的には、Decree 356の下では、これらの企業が以下の3要件をすべて満たす場合に限り免除されるとされています。
・個人データの処理業務を行っていないこと
・機微な個人データを直接処理していないこと
・処理の対象となるデータ主体の累計数が10万人に達していないこと
企業に求められる対応として、DPOの指名およびDPIAの免除対象に該当するか否かを検討するにあたって、従来の資本金・売上高・従業員数に関する基準に加え、上記3要件への該当性についても個別に確認することが求められます。
5. 個人データの移転メカニズム[5]
Decree 356は、従来の政令のように関連規定を各所に分散させるのではなく、個人データの移転に関する規律を専用の条項(第7条)に集約しています。これにより、データ移転に関する要件がより明確かつ体系的に整理されています。
具体的には、データ移転にあたっては、主に以下の要件を満たす必要があります。
・所定の事項を網羅したデータ移転契約を締結すること
・機微な個人データを移転する際は、適切なセキュリティ対策を講じること
・グループ内での移転であっても、第三者への不正な開示を防止するため、内部統制手続および安全管理措置の対象とすること
・有償の移転や正当な利益に基づく移転については、追加の条件が適用されること
6. 越境移転影響評価(CTIA)および個人データ処理影響評価(DPIA)
Decree 356は、DPIAおよび越境移転影響評価書(以下「CTIA」)に関する報告書の提出について、大幅な変更を導入しており、主な変更点は以下のとおりです。
・15日間の審査期限:当局は、有効な申請書類を受領してから15日以内に、正式な適合決定を行わなければならない。
・30日間の是正期間:提出者は、不備のある書類を修正するために最大30日間の期間を付与されるが、これに従わない場合には行政処分の対象となり得る。
・新しい様式およびプロセスフローの要件:新しい様式では、特にプロセスフローの記載を含め、従来より多くの事項の記載が求められる。また、CTIA/DPIAの内容を更新するための手続も変更された。
III おわりに
執行や罰則に関して依然として不確実性が残りますが、本稿で紹介したDecree 365によって対応事項が明確化された内容について、外資系企業としては、コンプライアンス体制を強化するため、早期かつ積極的に対応を進めることが推奨されます。
規制環境が目まぐるしく変化するなかで、法務・業務の両面のリスクを軽減するため、また、自社のコンプライアンス対応を適時に見直し、潜在的なリスクを回避するためにも、今後の規制動向、とりわけ制裁および執行に関する規制の整備状況を引き続き注視が必要です。
[1] ベトナム初の個人データ保護法の制定について | One Asia Lawyers
[2] Decree 356第6条
[3] Decree 356第5条
[4] Decree 356第41条
[5] Decree 356第7条
