ベトナム - Business & Law(ビジネスアンドロー)

© Business & Law LLC.

はじめに

ベトナムにおいては、本稿執筆時点(2022年3月18日時点)において、包括的な個人情報保護法は存在せず、複数の法律に分かれて個人情報保護に関する規定が定められています。そのため、一般論としては個人情報の保護に関する法制度は存在するといえますが、個別の法令において定義が統一されていなかったり、情報の取扱いに関するルールが明確でなかったりする状況です。
このような状況ですので、データの越境移転を規制する法令もなく、ベトナムでビジネスを行う企業がデータの越境移転を検討する際には、現状、複数の法令に散りばめられた個人情報保護法制を参照することが必要となります。

しかしながら、EUのGDPRをはじめとする近年の世界的な個人情報保護規制の厳格化の潮流を受けて、ベトナム政府も包括的な個人情報保護法令の制定に向けて歩みを進めています。具体的には、ベトナム公安省は、2021年2月、パブリックコメントを募集するため、個人情報の保護に関する政令案(以下、「本政令案」といいます)を公表しました注1。本稿執筆時点において、パブリックコメントの結果を受けた本政令案の施行見込みは立っていませんが、制定されれば、ベトナムにおいて初めての包括的な個人情報の保護に関する法令となり、実務への影響は非常に大きいと考えられます。データの越境移転に関してもルール化されていますので、今後、ベトナムからのデータの越境移転を検討する際には、まずこの政令を参照することが求められるようになります。

そのため、本稿においては、現行の個人情報保護規制とそれに基づくデータの越境移転規制の概略を解説したうえで、本政令案において規定されることが予定されているデータの越境移転規制を解説します。また、併せて、本政令案において重要と考えられる点を何点かご紹介することとします。

現行の個人情報保護に関する法令の概要とデータの越境移転規制

個人情報に関する規定が含まれる現行の法令は多数存在しますが、代表的なものとしては、以下の三つを挙げることができます。

  • 2015年民法(Law No. 91/2015/QH13)注2(以下、「民法」といいます)
  • 情報技術法(Law No. 67/2006/QH11)注3(以下、「情報技術法」といいます)
  • サイバー情報安全法(Law No. 86/2015/QH13)注4(以下、「情報安全法」といいます)

民法

民法は、「個人の私的生活と関係を有する情報」が保護の対象になることを明らかにしたうえで(民法38条1項)、当該情報を、収集、保存または使用する場合は、その者の同意を取得しなければならないと規定しています(同条2項)。
しかしながら、それ以上の詳細な規定はなく、「使用」の範囲(情報の移転を含むのかなど)に関しても明確ではありません。

情報技術法

情報技術法においては、ベトナムにおいて情報技術を利用し開発する個人または法人に対して適用されるとされています(情報技術法2条)。
ネットワーク環境において、他人の個人情報の収集、加工および使用する場合は、

・ 情報主体に対して、収集・加工・使用の形態、範囲、場所および目的を通知する(同法21条2項(a))。

・ 法律に別段の定めのない限り、情報主体の同意を取得する(同条1項)。

の双方を満たさなければならないとされています。また、法律に別段の定めのない限り、他人の個人情報を第三者に提供する場合についても、情報主体の同意が必要とされています(同法22条2項)。
ただし、対象となる個人情報の定義はありません。

情報安全法

情報安全法には、「個人情報」の定義があり、「特定の個人の識別に関連する情報」がこれに当たるとされています(情報安全法3条15項)。
情報安全法も、「サイバー情報セキュリティ法」という法令の名称が示すとおり、ネットワーク環境下における情報の取扱いについて定める法律です(同法1条)。
同法においては、商業目的で、個人情報の収集を行う場合、取得した個人情報を当初の目的とは異なる目的のための個人情報の使用を行う場合、第三者への提供・共有・頒布を行う場合などは、国家機関の要求がある場合を除き、情報の主体の同意を取得しなければならないとされています(同法17条1項)。

その他の下位法令

上記の法律レベルの規制に加えて、「Eコマース事業に関する政令」(Decree No. 52/2013/ND-CP)注5や、「インターネットサービスおよびネットワーク上の情報の管理、提供、使用に関する政令」(Decree No. 72/2013/ND-CP)注6といった個別の法令においても、個人情報の適切な取扱義務を定めた規制が存在します。

データの越境移転規制

冒頭で述べたとおり、ベトナムでは、上記のほかにデータの越境移転について規定する特別な法令はありません。そのため、越境移転に際しては、上記の個人情報保護法令のうち、関連するものの適否を検討することになります。

情報技術法や情報安全法においては、上記のとおり、ネットワーク環境下で個人情報を第三者に提供する場合には、原則として、情報主体の同意が必要とされています。そのため、「ベトナム子会社が親会社にデータを送信する」といった場面においては、第三者への提供に該当しますので、ベトナム子会社は、あらかじめ情報主体から移転に関しての包括同意を得ていない限り、あらためて情報主体から同意を取得することが必要になります。
他方、オフショアからベトナムで事業を行う企業が、自らベトナムで収集した個人情報を本国で管理しようとする場合には、第三者は介在しないため、第三者提供行為としての情報主体の同意は不要と整理できます。しかしながら、情報技術法においては、「個人情報の収集・加工・使用の場面において、その形態・範囲・場所および目的を情報主体に通知したうえで承諾を得なければならない」とされています。したがって、本国での管理(国外への情報送信)に関しても、その旨を情報主体に通知したうえでの同意を取得する必要があります。また、現行法下においては、「使用」の範囲も明確ではありませんので、目的によっては、越境移転が「使用」の一形態であるとみなされる可能性もあります。

上記のような情報主体からの同意取得が必要となる以外には、ベトナムからのデータの越境移転に関する規制は定められていません。

COLUMN

サイバーセキュリティ法

日本では考えられないことではありますが、ベトナムにおいては、法律が先行して施行され、当該法律の施行令に当たる細則が数か月~数年にわたって制定されなかったり、法律上存在しているはずの政府機関が実際には存在していなかったりといった事態が頻繁に見られます。

サイバーセキュリティ法(Law No. 24/2018/QH14)注7は、まさにそのような状態にあり、2019年から施行された比較的新しい法律ではありますが、法律の施行後3年以上にわたって細則が存在しないため、実務への影響を測りかねる状況にあります。

この法律は、インターネット上で、個人情報を収集し、分析し、処理し、または使用する

① 電気通信サービス

② インターネットサービス

③ 付加価値を提供するサービス

を提供するサービスプロバイダーは、政府が指定する一定期間内に、当該情報をベトナム国内に保管するとともに、ベトナム国内に駐在員事務所または支店を設置しなければならないと規定しています(同法26.3条)。データのローカライゼーションを要求するものですので、本稿の主たるテーマであるデータの越境移転規制にも関わります。実務への影響は大きいと考えられますが、本稿執筆時点において、同法の詳細を規定する政令が制定されていないため、これらの義務が適用される範囲は明確ではありません。

また、運用上も混乱が生じています。たとえば、当職らが2021年夏頃に関与したウェブ上の個人情報のハッカーによる不正アクセス・漏洩事案においては、サイバーセキュリティ法に従い、公安省傘下の「サイバーセキュリティフォース」なる部署への通報を行おうとしたところ、当該部署は実際には設立されていないことが判明し、担当部署の特定にも手間を要しました。

本政令案の概要

以上のとおり、現行法令においては、個人情報の保護に関する基本的な考え方は取り入れられているものの、それぞれの法令において、詳細な規定は存在せず、かつ複数の法令がそれぞれ独自の観点で規定を置いているため、規制の統一感のない状況にあるといえます。
本政令案は、以上のような現行法令の状況をふまえ、個人情報の保護を直接の目的として、包括的・統一的なルールを作成しようという試みといえます。

本政令案は、全30条からなり、以下のような構成になっています注8

第1章 一般条項

第2章 個人情報の取扱い

第3章 個人情報の保護のための措置

第4章 個人情報保護委員会

第5章 機関・組織・個人の責任

第6章 法令の発効と施行の責任

まず、本政令案は、対象となる「個人情報」について、個人に関する情報または特定の個人を識別可能な情報と定義しています(本政令案2条1項)。そして、個人情報を、

① 基本的個人情報

② センシティブ個人情報

に分けたうえで、図表1のように分類をしています。

図表1 「個人情報」の分類

基本的個人データ

センシティブ個人データ

① 氏名、ミドルネーム(もしあれば)

② 生年月日、死亡日または失踪日

③ 血液型、性別

④ 出生場所、出身地、居住地、連絡先、電子メールアドレス

⑤ 学歴

⑥ 民族性

⑦ 国籍

⑧ 電話番号

⑨ 身分証明書の番号、パスポート番号、運転免許証の番号、社会保険番号など

⑩ 配偶者の有無

⑪ インターネット上の活動履歴などのデータ

❶ 政治的、宗教的な個人データ

❷ 医療サービスを提供する過程で収集された健康データ、医療データ

❸ 遺伝的、後天的な遺伝的な特徴データ

❹ 生体認証データ

❺ 性別ステータスに関するデータ

❻ 性的指向

❼ 犯罪歴など

❽ 金融関連データ

❾ 個人の位置情報

➓ 社会的な関連データ

⓫ その他法律で特定されるデータ

また、適用範囲については、幅広く、ベトナムで事業を行う国内外のすべての事業者・個人に対して適用されると規定されていますので、本政令案をもって、個人情報保護に関する包括的な規制を行おうとする立法者の意図が見て取れます。

なお、従前は、個人情報の保護・管理を専門に担う機関は存在しませんでしたが、本政令案において、公安省のサイバーセキュリティおよびハイテク犯罪防止部直下に、「個人情報保護委員会」(Personal Data Protection Commission:PDPC)を設置することとされています(本政令案23条)。個人情報保護委員会が公安省の管轄下に置かれるとされている点が特徴的といえます。

しかしながら、本政令案には、以下に紹介するような懸念点があり、ベトナムにおいて事業を行う企業の実務に大きな影響を与えることが予想されるため、パブリックコメントに対しては、国内のみならず海外からも多くの批判的な意見が寄せられています。そのため、本政令案は、パブリックコメント募集時においては「2021年12月1日の施行を予定する」とされていましたが、2021年4月にパブリックコメントの募集が終了した後、本稿執筆時点である2022年3月18日現在においても、本政令案がどのように修正される予定なのか、施行予定日がいつになるのかなど、いずれも未定となっています注9

本政令案におけるデータの越境移転規制

データの越境移転の要件

本政令案においては、本稿のテーマでもある「データの越境移転規制」という概念が初めて明確に導入されました(図表2)。
個人情報をベトナム国外に移転するための原則的な要件として、以下の四つが規定されています(本政令案21条1項)。これらは、いずれかの条件を満たせばよいのではなく、四つすべてを満たす必要があるとされています。

① 個人情報の本人が同意すること

② 元の情報がベトナム国内で保存されること

③ 情報の移転先(国・地域)における個人情報保護規定の十分性の証明

④ 個人情報保護委員会の書面による承諾

加えて、個人情報を国外に移転する者は、移転履歴を3年間保存するシステムを構築する義務があり、個人情報保護委員会から域外個人情報移転の状況について定期的な評価を受ける必要があることも規定されています(本政令案21条4項および5項)。

国内保存義務について

上記1.の情報のベトナム国内保存が求められている点に関しては、ベトナムでビジネスを行う企業への実務上の影響が大きいと考えられます。
データサーバをベトナムに設置していない企業においては、新たに設置するための大きなコスト増につながります。
また、以下で詳述するとおり、本政令案は、広汎な域外適用がなされる可能性が指摘されています。すなわち、ベトナムには拠点を有しないオフショアの事業者に対しても本政令案に基づくデータの国内保存義務が適用される可能性があるのです。ところが、そのようなオフショアの事業者にとって、ベトナム国内にサーバーなどを設置することは非常に困難と思われます。

個人情報保護委員会による個別承諾について

さらに、上記1.の個人情報保護委員会による個別承諾については、最大20営業日の処理期間が規定されていますが、これが実務上ワークするのか疑問があります。ベトナムにおいては、法定の処理期間が規定されている場合でも、当局がさまざまな理由をつけて書類を受理せず、そのため法定の処理期間の起算がなかなか開始されないといった事態が頻繁に生じるからです。
それに加え、個人情報保護委員会による個別承認がどのようになされるのかに関する基準も不明確です。そのため、承認が長期間滞ることにより、事実上、情報の越境移転に支障が出る可能性があります。

小括

上記のとおり、本政令案におけるデータの越境移転規制に関しては、他国の個人情報保護規制と比較しても厳格であり、かつ規制内容が不明確であるなどと評されています。
パブリックコメントにおいても、上記のような点に関しては、批判的意見が集まった模様ですので、合理的な内容の修正案の公表が待たれるところです。

図表2 個人情報の越境移転規制に関するイメージ図

本政令案において懸念される点

最後に、本政令案は、ベトナムの個人情報保護法制を包括的・抜本的に改正するものであるため、データの越境移転規制以外にも多くの重要な点が含まれています。ここで本政令案の全体を解説することは困難ですので、懸念される問題点として代表的なものをいくつかご紹介します。

域外適用の範囲の不明確性

本政令案は、ベトナムで事業を営む国内外の事業者・個人に対して適用があるとされていますので(本政令案4条2項)、ベトナム国外の事業者に対する域外適用も想定していると考えられます。ただ、「ベトナムで事業を営む」のスコープは明確ではありません。
そのため、ベトナム国内に子会社や支店などの拠点を有する外国事業者に適用があることは明らかですが、上記のとおり、ベトナム国内に拠点は有していないが、オフショアからベトナム向けにサービスを提供する外国事業者に対してまで本政令案のスコープが及ぶのかは明らかではありません。

センシティブ個人情報取扱事業者による登録

上記のとおり分類された「個人情報」のうち、センシティブ個人情報については、当該情報を取り扱う者は、当該情報を処理する前に、個人情報保護委員会に登録する必要があるとされています(本政令案20条1項)。そして、かかる登録には、申請から最大で20営業日を要するとされています。
一部登録義務の例外規定もありますが、ベトナムにおいて法定の処理期間が必ずしも明確に機能していない現実をふまえると、上記の登録事務手続がスムーズに行われるのか、速やかな情報処理が必要な場面において実務上支障が生じないかといった点が懸念されています。

情報主体の同意に関する厳格な規制

越境移転規制にもかかわる点ですが、本政令案においても、個人情報の収集、保管、利用、開示、移転などに関しては、法律が例外として特に規定する場合を除き、情報主体の同意が必要とされています(本政令案3条4項)。
かかる情報主体の同意自体は現行の個人情報保護法令においても規定されていますが、本政令案は、同意は任意かつ明示的なものでなければならず、さらに、利用などの態様と同意の対象が合致していなければならないことを明確にしています。すなわち、黙示による同意擬制は不可能となります。
また、16歳未満の子供は同意を行う能力がないとされており、その保護者からの同意を得なければならないとされています(本政令案14条1項)。
情報主体からの明示的な同意を常に取得することは現実的でない場合も考えられますので、事業への影響が懸念されるところです注10

違反行為に関する重いサンクション

本政令案の違反に関しては、情報処理者に対して、最大1億ベトナムドン(約50万円)の罰金が科されることとされています。また、その違反を繰り返した場合など、違反が悪質な場合には、「ベトナム国内売上高の最大5%」という高い罰金が科される可能性があります(本政令案22条1項~3項)。さらに、個人情報の取扱いを最大3か月取り止めることを求められる可能性もあり(本政令案22条4項)、こちらは事業内容によっては事実上の業務停止処分に相当します。
悪質な違反に関して厳しいサンクションが科される可能性があることはやむをえませんが、その前提として、規制の内容が明確であることが必要です。

既存の個人情報保護法令との関係

本政令案は、既述のとおり、複数の法令に散りばめられた既存の個人情報保護に関する法令を包括的に整理し直すことを目的としたものですが、他方で、既存の民法、情報技術法、情報安全法などにおける個人情報保護規制を置き換えるものではないと解されます。そのため、仮に既存の個人情報保護法令と新しく制定される政令との間に齟齬が生じた場合には適用関係が問題になりえます注11

おわりに

多数の法令に散りばめられた現行の個人情報保護規制について、統一的かつ包括的な法令が制定されることは長らく待ち望まれてきました。現時点では、

  • パブリックコメントを受けた政令案がどのように修正されるのか
  • 上記のようなデータの越境移転規制に関する運用を含む、実務上の懸念点がどれほど解消されているのか
  • 設立される予定の個人情報保護委員会がどのように運営されるのか

といった懸念点が残りますが、ベトナムの個人情報保護法制を継続的に確認し、ベトナムにおいて事業活動を行っている日本企業のお役に立てればと考えている次第です。

→この連載を「まとめて読む」

[注]
  1. http://bocongan.gov.vn/vanban/Pages/van-ban-moi.aspx?ItemID=519[]
  2. https://vbpl.vn/tw/Pages/vbpq-van-ban-goc.aspx?dvid=13&ItemID=95942[]
  3. https://vbpl.vn/daknong/Pages/vbpq-toanvan.aspx?dvid=243&ItemID=15066[]
  4. https://vbpl.vn/bothongtin/Pages/vbpq-toanvan.aspx?ItemID=95908[]
  5. https://vbpl.vn/botuphap/Pages/vbpq-van-ban-goc.aspx?ItemID=30470[]
  6. https://vbpl.vn/TW/Pages/vbpq-van-ban-goc.aspx?ItemID=30673[]
  7. https://vbpl.vn/TW/Pages/vbpq-toanvan.aspx?ItemID=132957&Keyword=[]
  8. 本稿執筆時点において、本政令案(ベトナム語のみ)は、ベトナム公安省のウェブサイトから閲覧可能な状態にあります。[]
  9. なお、本稿執筆時点直前の2022年3月7日の報道によれば、ベトナムの副首相が政府としてパブリックコメントを受けた本政令案の修正版につき承認を行ったため、今後国会委員会における審議を経て正式に決定される見込みとのことです。ただし、パブリックコメントを受けて修正された政令の具体的な内容や、施行に向けた具体的な日程は明らかにはなっていません。[]
  10. 本稿の締切直前の報道によると、ベトナム政府は、パブリックコメントを受けて、情報主体の同意取得が不要となる例外事由を明記する方向で検討している模様です。[]
  11. なお、報道によれば、ベトナム政府は、本政令案とは別途、法律レベルにおいて、「個人情報保護法」の制定に向けた検討も行う模様であり、法令間の関係整理はかかる個人情報保護法の制定を待たなければならない可能性もあります。[]

三木 康史

アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士

2003年東京大学法学部卒業。2005年弁護士登録、アンダーソン・毛利・友常法律事務所入所。2012年米国UCLA卒業(LL.M.)、2013年ニューヨーク州弁護士登録。2012年から約3年間ホーチミン市のVILAF法律事務所にて執務。2015年~アンダーソン・毛利・友常法律事務所ホーチミンオフィス代表。

福田 一翔

アンダーソン・毛利・友常法律事務所外国法共同事業 パートナー弁護士

2008年慶應義塾大学法学部法律学科、2010年同法科大学院法務研究科卒業。2011年弁護士登録、アンダーソン・毛利・友常法律事務所入所。2016~2017年米国ニューヨークにおける大手総合商社勤務。2018年英国University College Londonロースクール卒業(LL.M.)。2018年よりベトナム・ホーチミン市に駐在し、幅広いベトナム関連法務を取り扱う。