ベトナム:ベトナムのAI法
「ベトナムのAI法」についてのニューズレターを発行いたしました。こちらの内容は以下のPDFからもご覧いただけます。
→ベトナムのAI法
<ベトナムのAI法>
2026年6月11日
One Asia Lawyersベトナム事務所
I. はじめに
ベトナムにおいてもAIに関する法規制の整備が本格化しています。企業にとっても、AIツールの利用やサービスへの組込み、開発・運用の外部委託、データ・営業秘密の管理など、AI規制は、グループ全体のコンプライアンス体制にも関わる課題となりつつあります。
ベトナムでは、2026年3月1日にAIに関する法(Law No. 134/2025/QH15、以下「AI法」)が施行され、AIシステムの研究、開発、提供、導入及び利用に関する具体的な法的枠組みが整備されました。企業としては、今後、AI法を中心に関連規制を確認していく必要があります。
本ニューズレターでは、企業がベトナムでAIを利用・提供するうえで実務上重要となるAI法のポイントとして、AI法上の禁止行為、AIシステムのリスクに応じた3つの分類、各分類に応じたAIシステムごとの義務、開発者・提供者・利用者に課される義務、並びに違反と責任について概説します。
II. AI法の禁止する行為
AI法は、一定の行為を禁止しており、これらは大きく分けて以下の①から⑥に分類されます[1] 。
① AIシステムの不正利用・悪用、及びAIシステムを用いた違法行為や他者の権利侵害、本来の目的を逸脱したAIシステムの利用や、これを手段とする違法行為
② 欺瞞・支配・搾取を目的とする利用や、有害なディープフェイクコンテンツの作成・拡散等、あわせて、子供・高齢者・障害者など脆弱な立場にある者の脆弱性を利用し、本人又は第三者に損害を与える利用
③ データ保護法・個人データ保護法・知的財産法・サイバーセキュリティ法等に違反する形で、AI活動に必要なデータを収集・処理・利用すること
④ 人による監視・管理の仕組みへの干渉や、その無効化、AIシステムが人間の制御下に置かれることを妨げる行為
⑤ AIシステムに関する必須情報・表示・警告の隠蔽や偽造、利用者が必要な情報や警告を得られないようにする行為
⑥ 違法な目的でのAIの研究活動や、当該研究の悪用
これらの禁止行為は、悪意ある利用のみならず、AIの仕組みや学習データの扱いに対する管理が不十分な場合にも問題となり得ます。企業としては、自社が開発・提供し、又は業務に利用するAIシステムがこれらに該当しないことを確認するとともに、特にデータの取得・処理の場面では、個人データ保護法をはじめとする他の関連法令を遵守しているかという点に留意する必要があります。
III. AIシステムのリスク分類とリスクに応じた義務
AI法は、AIシステムをリスクの程度に応じて、高リスク、中リスク及び低リスクの三つに分類し、それぞれの分類に応じた義務を定めています。主な分類と義務は以下のとおりです。
また、医療や教育のように、人の生命・健康・権利や社会の安全に直接関わる「重要分野」でAIを使う場合には、上記の表のリスク分類(高・中・低)に応じた義務に加えて、その分野特有の、より厳格なリスク管理体制の整備が求められます。ここでいう「重要分野」は、高・中・低と並ぶ第4の区分ではなく、リスク分類とは別の切り口です。つまり重要分野のAIは、「リスク分類に応じた義務」に「分野ごとの追加の義務」が上乗せされる、いわば二段構えの規制になっているとイメージすると分かりやすいでしょう。
このように、AI法上の義務はリスク分類によって大きく異なるため、企業は、ベトナム現地法人やベトナム向けサービスで開発・提供・導入・利用しているAIシステムについて、まずリスク分類を確認し、自社が提供者・導入者・利用者のいずれの立場でどの義務を負うのかを整理することが重要です。
IV. AIシステムの関係者に課される義務とインシデント対応
1.AIシステムの開発者、提供者、利用者等の義務
AI法は、AIシステムの開発者、提供者、運用者及び利用者に対し、AIシステムのリスクに応じた義務を課しています。概要は、以下の表に取りまとめています。もっとも、現時点では詳細なガイドラインは未発行であり、具体的な手続や期限については今後の下位法令を確認する必要があります。
2.AIシステムに関するインシデント対応の義務
AIシステムに関するインシデント対応について、以下の表に記載する義務が定められています。
上記のうち、インシデント報告は、AI法上、所定のポータルを通じて行うことが予定されていますが、報告手順や期限はまだ具体化されていないため、今後制定される下位法令の確認が必要です。
V. 違反時の責任と企業に求められるリスク管理
AI法又は関連するAI規制に違反した場合、違反の内容や結果に応じて、行政罰又は刑事罰の対象となる可能性があります。また、AIシステムの利用により第三者に損害が生じた場合には、民事上の損害賠償責任も問題となります。
特に、高リスクAIシステムが第三者に損害を生じさせた場合、導入者は、当該システムを適切に管理・運用していた場合であっても、原則として損害賠償責任を負うものとされています。ただし、損害が被害者の故意、不可抗力又はやむを得ない事情に起因する場合には、導入者の責任が免除され得ます。
もっとも、導入者が提供者又は開発者との間で責任分担や補償に関する合意をしていれば、その合意に基づき償還を求めることができる可能性があります。また、第三者による不正な妨害又は操作があった場合でも、提供者又は導入者に管理上の過失が認められる場合には、責任を問われる可能性があります。
そのため、企業としては、AIシステムのリスク分類を確認するだけでなく、利用規約、開発委託契約、SaaS契約、ライセンス契約等において、責任範囲、補償、インシデント対応、ログ・データ管理、当局対応への協力義務等を明確にしておくことが重要です[2]。
VI. おわりに
以上のとおり、AI法は、AIシステムについて、リスクの程度に応じた義務を課す、リスクベースの包括的な規制枠組みを定めるものです。もっとも、AI法上の義務の詳細や具体的な手続・期限の多くは、今後公布される施行令等の下位法令によって明確化される見込みです。
企業としては、ベトナムで開発・提供・導入・利用するAIシステムについて、まずそのリスク分類と自社の立場(開発者・提供者・利用者等)を確認し、これに応じた管理体制を整備するとともに、今後の法令動向を継続的に注視することが求められます。
