2024年ベトナム個人データ保護法(PDPL)草案が公開:新規制の概要
2024年ベトナム個人データ保護法(PDPL)草案に関するニュースレターを発行いたしました。こちらの内容は、以下のリンクよりPDF版でもご覧いただけます。
→2024年ベトナム個人データ保護法(PDPL)草案が公開:新規制の概要
<2024年ベトナム個人データ保護法(PDPL)草案が公開:新規制の概要>
2024年10月15日
One Asia Lawyers ベトナム事務所
Ⅰ.はじめに
2023年7月1日、ベトナムで初めての個人情報に関する統一的な政令である個人データ保護に関する政令第13号/2023/ND-CP(以下「PDPD」といいます。なお、PDPDはPersonal Data Protection Decreeの略称です。)が施行されましたが、PDPDは罰則等を定めておらず、個人データ保護法が今後制定される予定であると、弊所ニュースレター(2024年3月6日付「ベトナムの個人データ保護政令に関する最新情報」)でお知らせいたしました。
2024年9月、公安省は、個人データ保護法の草案(以下「PDPL草案」といいます。なお、PDPLはPersonal Data Protection Lawの略称です。)を公開しました。
ベトナムにおける個人データ保護規制については多くの日系企業の方にとって関心が高い分野であるため、今回はPDPL草案の最新情報をご紹介いたします。
Ⅱ.PDPL草案の概要
1. さまざまな事業分野における個人データ保護義務の詳細を規定している
PDPDでは、特定の事業分野における個人データ保護義務について、マーケティング及び広告サービスの個人データ保護義務のみを記載していましたが[1] 、PDPL草案は当該義務[2]に加えて、他の事業分野における個人データ保護義務を追加しました[3]。以下では主な義務を記載します。なお、人工知能分野における個人データ保護義務(PDPL草案第24条)のみオプトアウト形式(個人データの収集・利用を原則許可するものとし、個人データの主体が拒絶した場合は収集・利用をしない形式)で、その他の事業分野における個人データ保護義務はオプトイン形式(個人データの収集・利用を原則せず、個人データの主体が同意した場合のみ収集・利用が可能な形式)となっています。
● クラウド・コンピューティング
- 例えばAWS(アマゾンウェブサービス)やGCP(グーグルクラウドプラットフォーム)など、クラウドコンピューティングサービスを提供する企業と個人データ処理に関連する契約等を締結する場合、当該契約書等において、PDPLの遵守、セキュリティ対策、個人データに影響を及ぼす変更の通知、損害補償、監査報告書の提供、データアクセス権の確保等に関する事項を記載する必要があります。
● 従業員の採用・管理
- ベトナムでベトナム人従業員の採用活動をするベトナム国外に所在する企業も、ベトナムのPDPLを遵守する等の義務を負います。
- 在ベトナム企業かベトナム国外に所在する企業かにかかわらず、企業は、従業員が監視について十分に認識した上で同意している場合に限り、従業員の業務中の行動に対して技術を用いた管理(モニタリング)をすることができます。
● 金融機関
- 金融機関等の間で信用情報を売買等することを禁止しています。
- 個人データの主体に対する信用情報の評価結果は、合格/不合格等の二者択一形式又は金融機関等が顧客から直接収集したデータに基づくスコアリング形式でなければなりません。
● 個人データの主体との契約
- 雇用契約を含む個人データの主体との契約においては、個人データ保護に関するPDPL草案に定める規定が含まれている必要があります。
● 位置情報
- 個人データの主体の明確な同意がある等でない限り、RFID(Radio Frequency Identification[4])タグ及びその他の技術による位置情報の追跡は行えません。
● ソーシャルメディア・OTT(Over-The-Top)サービス
- 海外のソーシャルメディア・プロバイダーとOTTサービス[5]・プロバイダーは、ベトナム市場に参入する際、ベトナム人の個人情報を保護しなければなりません。
- アカウント認証のために、ベトナム国民(市民)身分証明書(以下、「市民ID」といいます。)及びその写真情報を要求することはできません。
● その他にビッグデータ/人工知能/医療・保険/生体認証の各分野における個人データ保護義務がありますが、本稿では割愛いたします。
2. 個人データ保護担当部門の要件の明確化
PDPDでは、機微(センシティブ)個人データ保護を担当する部門・責任者(以下「個人データ保護担当部門及び責任者」といいます。)について漠然とした言及がありましたが、その詳細は不明でした[6]。
PDPL草案は、個人データ保護担当部門及び責任者の詳細を公開したため、以下の表で紹介いたします。なお、個人データ保護担当部門及び責任者のうち個人データ保護監督者及び個人データ保護機関は個人データ統括者、ベトナム人の個人データの受領者等によって指定されることとされています[7]。
|
|
個人データ保護担当部門及び責任者 |
||
|
個人データ保護責任者[8] |
個人データ保護機関[9] |
個人データ保護サービス 提供事業[10] |
|
|
要件 |
セキュリティ・情報安全・サイバーセキュリティの学位以上の取得、法律の学位以上の取得、個人データ保護に関する技術的・法的能力に関する認定コース修了のうち、指定された複数の要件を満たす必要がある。 |
1名以上の個人データ保護専門家が在籍している必要がある。 |
1名以上の個人データ保護専門家が在籍している必要がある。 かつ個人データ保護に関する当局による格付けに合格しなければならず、5年ごとに更新する必要がある。 |
3. PDPL草案への対応
PDPL草案では、ベトナム国内で外国人の個人データを収集等する場合もPDPL草案の適用対象になることが明文化されました[11]。その他、PDPDと比べて、個人データの国外移転に関する規定、個人データ処理影響評価書の更新に関する規定等、PDPDに定められている内容について、より詳細な規定が設けられている規定もあります[12]。
PDPL草案は2026年1月1日に発効する予定です[13]。新しいPDPL草案が発行されるかどうかを含めて、企業はPDPL草案の内容を理解・注視し、現地専門家とも相談したうえ、対応の準備をしていくことが推奨されます。
以上
—–
[1] 政令13号第21条
[2] PDPL草案第21条、第22条
[3] PDPL草案第23条ないし第32条
[4] 電波を用いてタグのデータを非接触で読み書きするシステムのことをいいます。
[5] 例えば動画配信(NetflixやYouTube)、音楽ストリーミング(Spotify)、メッセージングアプリ(WhatsAppやLINE)など、インターネットを通じて提供されるコンテンツやサービスをいいます。ユーザーが専用のインフラや契約を必要とせず、インターネットがあれば利用できる点が特徴です。
[6] PDPD第28条第2項
[7] PDPL草案第2条第15項、第17項
[8] PDPL草案第2条17項及び第38条
[9] PDPL草案第2条15項及び第36条
[10] PDPL草案第2条16項及び第37条
[11] PDPL草案第1条第2項等
[12] PDPL草案第45条、第46条
[13] PDPL草案第68条
