【ベトナム】新しい個人データ保護法(PDPL)の草案について
- 2024.10.16
- コラム
- CastGlobal
2024年9月24日、ベトナム政府は新しい個人データ保護法(PDPL)の初稿を公表しました。この法案は、2023年に施行された個人データ保護政令(政令13号。第13/2023/ND-CP号(PDPD))よりも厳格な規定を含んでおり、その上位法として機能するものとなります。2026年1月1日から施行される予定です。以下に、この法案の主要なポイントを整理します。
この草案は2026年1月1日に発効する予定になっていますが、 草案は現在2024年11月24日までパブリックコメント募集中 であり、利害関係者は意見を述べることができる状況です。そのため、内容は大幅に変わる可能性もあります。
法案の目的と背景
公安省が作成したPDPL草案は、7章68条から構成されます。 PDPL草案は、昨年の個人データ保護に関する政令第13/2023/ND-CP号(PDPD)よりも包括的で、マーケティング・サービス、行動広告、ビッグデータ処理、AI、クラウド・コンピューティング、従業員の監視と採用、金融・信用データ、医療、保険など幅広い分野をカバーしています。
- 法的枠組みの強化: この法案は、個人データの保護に関する法律の基盤を強化し、国際基準に適合することを目指しています。
- 公的意見募集: 法案は2024年11月24日まで公的な意見募集が行われており、利害関係者からのフィードバックを受け付けています。
主な特徴
様々な分野について詳細の規定が設けられていますが、主な特徴は以下のとおりです。
- 適用範囲の拡大: 国内外のすべてのベトナム機関、組織、個人に加え、ベトナムでデータ処理を行う外国企業にも適用されます。
- 同意の厳格化: 個人データ処理には明示的かつ情報に基づいた同意が必要であり、特に健康情報や生体情報などの敏感なデータについては、黙認や無反応は同意とは見なされません。
- 新しい概念の導入: 個人データ保護に関する専門機関や専門家など、新たな概念が導入されています。これにより、データ保護活動がより専門的かつ体系的に行われることが期待されています。
- 特定のデータカテゴリへの規制: 健康データや子供のデータなど、特定のカテゴリの個人データにはより厳しい規制が設けられています。
- 従業員の個人情報に関する統制: 従業員のデータ処理や監視についても明確な同意が必要とされています。
個人データ影響処理評価
政令13号により求められる個人データの処理影響評価についてもより具体化されています。
PDPL草案では、個人データ処理影響評価の申請書類には、政令第13号で義務付けられている個人情報保護業務を担当する組織または個人の情報だけでなく、個人データ保護組織および個人データ保護専門家の情報を含める必要があります。 また、ベトナム国民の個人情報を海外に移転する際の申請書類にも同様の記載が必要です。
さらに、政令13号と比較すると、PDPLデータ処理影響評価の申請書類に2つの追加書類、すなわち、個人データ保護に関する法的規制の遵守状況の説明と評価、および個人データ保護に関する信用格付け書類を含めることを要求しています。
ビジネスへの影響
この新しい法案は、企業にとって新たなコンプライアンス課題をもたらす一方で、個人データ保護への取り組みを強化する機会でもあります。
特に、マーケティングサービスやビッグデータ処理に関する新たな規定が企業活動に影響を与えるでしょう。
- マーケティングサービスへの影響: 個人データを利用したターゲティング広告には、新たな同意要件が課されます。
- 中小企業の免除:零細企業、中小企業、新興企業は、最初の2年間だけデータ保護部門の要件が免除されます。 ただし、個人データ処理活動に直接従事する小規模企業、中小企業、新興企業は免除の対象ではありません。
- 信用評価機関の設立: データプライバシーに関する信用評価機関が設立される予定であり、企業はその評価を受ける必要があります。
パブリックコメントを経て大幅に変更になる可能性もある規定ではあるため、今回は簡易の整理となりますが、個人データ保護政令においては実務上まだあまり進んでいない規制も、本法の議論とともに実務上さらに徹底される可能性があり、注視が必要です。
なお、別途データ法についても公安省により草案が起草されています。新しい個人データ保護法とデータ法はそれぞれ独立した法律でありながらも、相互に関連し合う重要な役割を果たすことが期待されています。
関連記事:
【ベトナム】個人データ(個人情報)保護に関する政令No.13/2023/ND-CPの注目点(2023年7月1日施行):最新版