1. はじめに

ベトナムでは、急速なデジタル化に対応するため、2024年11月に「データ法（Law No. 60/2024/QH15）」が国会で可決されました。本法は2025年7月1日に施行予定であり、デジタルデータに関わる広範な事項について初めて包括的に規律するものです。
本稿では、データ法の制定背景、内容、企業に与える影響、今後の見通しについて整理し、最後に日本企業が取るべき実務対応を提案します。

2. データ法制定の背景と目的

本法制定の背景には、ベトナム政府の「デジタル経済・社会」構想があります。国家の基本方針として、「データは資源であり、国家はあらゆる資源を動員してデータを資産に発展させる」ことが謳われており、国家の競争力を高めるために、データの収集、管理、利用を国家戦略の一環としました。
また、近年のサイバー脅威増加や個人情報漏洩問題を受け、安全保障・プライバシー保護とデジタル経済推進の両立が強く求められるようになっています。このため、データに関する包括的な法制度の整備が不可欠と判断され、データ法の制定に至りました。

3. 適用対象と対象範囲

本法は、国内外を問わず、ベトナム領域内でデータ関連活動を行うすべての組織・個人に適用されます。日本に拠点を置く企業であっても、ベトナムに関連するデータを収集・処理する場合は本法の規制を念頭に置く必要があります。

対象となるデジタルデータは、「物体、現象、出来事に関する情報で、デジタル形式で表現されたもの」と広範に定義されています。個人データ、業務データ、IoTデータなどあらゆる形式のデータが含まれます。
また、海外からベトナムへのデータの持ち込み（越境インバウンド）に関しては原則自由になっていますが、ベトナムから海外へのデータ移転等（越境アウトバウンド）に関しては条件が付されています。
なお、個人データの詳細な保護規定は、個人データ保護政令（Decree No. 13/2023/ND-CP）に委ねられており、本法はデータ全般に関する基本的な枠組みを提供するという位置づけになっています。

4. データ分類と管理義務

本法は、データを重要度に応じて次の三つに分類します。

• 重要データ（Important Data）：国家の防衛・安全保障、外交、マクロ経済、社会の安定、国民の健康・安全に影響を及ぼし得るデータであり、首相が定めるリストに掲載されたもの。
• コアデータ（Core Data）：重要データのうち特にそれらに「直接的な影響を及ぼすデータ」で、同じく首相のリストに掲載されたもの。
• その他のデータ：それ以外の一般的なデータ

企業は、自社が保有するデータを上記の3区分に分類し、それぞれに応じた管理措置を講じることが義務付けられます。コアデータおよび重要データについては、アクセス制限、暗号化、バックアップ体制など高度な保護策が求められます。特にコアデータについては最も厳重な管理義務が課せられます。
どのデータがコアデータまたは重要データに該当するかは、今後首相がリスト化し発表する予定であり、企業はこれを踏まえた対応が必要です。

5. 越境データ移転に関する規制

データの越境移転について、本法は次のとおり規制します。

• 海外からベトナムへのデータ持ち込み（インバウンド移転）：原則自由
• ベトナムから海外へのデータ持ち出し（アウトバウンド移転）：規制対象

特にコアデータや重要データを国外に移転する場合には、国家安全保障や公共利益を害さないことの保証が求められ、場合によっては事前届出・許可が必要になります。
クラウドサーバー等を利用して海外にベトナム関連データを保存している場合は、今後規制対象となるリスクがあり、ローカル保存対応などの検討が必要です。

6. 国家データセンターおよびデータ取引所の創設

データ法では、国家データセンター（National Data Center）の整備も規定されています。
国家データセンターは、政府各機関が保有するデータを集約し、安全かつ効率的に管理するための中枢インフラとして、国際基準を満たす設計・運営が求められます。政府は2025年以内（現計画では8月）にセンターを稼働させる計画です。
また、データ取引所（Data Exchange）の設立も本法で規定されています。データ流通市場を形成するためのものですが、運営は基本的に公的機関または国有企業に限定され、民間企業の参入は原則認められていません。

7.監督機関

本法のもとでは、公安省（Ministry of Public Security/ Bộ Công an）がデータガバナンスの中心的な監督機関となります。国家全体で統一的にデータ管理を行う責任を負うとともに、企業から報告を受けたり、立入検査をしたり、制裁を実施する権限を担います。
また、情報通信省（Ministry of Information and Communications/Bộ Thông tin và Truyền thông）も、技術標準の策定やインフラ整備に関与します。国防省（Ministry of National Defence/Bộ Quốc phòng）も国防・暗号関連データについて関与します。

8. 民間企業に求められる義務

本法により、企業は次のような義務を負います。

• データを3区分（コア・重要・その他）に分類する
• 分類に応じた管理措置の策定・運用をする
• 定期的なデータ処理リスクの評価・低減措置を実施する
• リスク事象発生の際に是正・報告をする
• データ主体からの削除請求等へ対応する
• 緊急時に当局からのデータ提供要請に協力する
• データ仲介・分析サービス提供時登録する

特に重要データ・コアデータに関しては、公安省へのリスク評価報告義務が課されるなど、厳格な運用が求められます。

9. 他法令との関係と留意点（個人データ保護政令13号、サイバーセキュリティ法など）

データ法第4条では、本法と他の法令の適用関係が定められています。2025年7月1日の本法施行より前に公布された他の法律にデータの構築・管理・利用等に関する規定がある場合、それが本法の原則に反しない限り従前の法律の規定が優先して適用されると明記されています。
また、本法施行後に新たに制定される法律については、本法と異なる規定を設ける場合にどちらを適用除外とするかを明確に定めるよう求められています。この規定により、既存の個人データ保護政令13号や2018年サイバーセキュリティ法等の規定は原則維持され、本法がそれらを直接改廃するものではないことが確認されています。
データ法は個人データに固有の規定こそありませんが、重要データの越境移転規制（第23条）などは個人データ分野にも影響し得るため、将来的に両制度の調整・統合が図られる可能性があります。例えば大量の個人データが「重要データ」に該当すると位置付けられた場合、政令13号に基づく評価・報告義務と本法に基づく許可制等の双方が適用されることになり、企業の負担増も懸念されます。政府は本法と個人データ保護法制との整合性についても十分考慮するとみられますが、企業としては両方の規制動向を注視し、矛盾が生じた場合には専門家の助言を仰ぐことが重要です。
サイバーセキュリティ法制に関しても同様に注意が必要です。サイバーセキュリティ法制はデータ法と異なり、特定のサービス分野・データ種別にフォーカスした規制です。そのため、特定分野の企業についてはサイバーセキュリティ法に基づくデータの国内保管義務をまず遵守しつつ、その保管するデータが「重要データ」に当たる場合にはデータ法に基づく追加義務（リスク評価や移転制限等）も負う、といった多層的な規制となります

10. 今後の見通しと未確定事項

データ法は基本法的な性格を持つため、多くの詳細規定が政令や通達に委ねられています。
現在、重要データリスト、越境移転手続、リスク報告様式、違反時制裁内容などに関する細則が準備中です。特に越境移転に関する制限や制裁規定については、厳格な内容となる可能性も指摘されています。
施行後も状況は流動的であり、企業としては最新の動向を注視する必要があります。

【付録】日本企業に求められる実務対応チェックリスト

□自社保有データを「コア・重要・その他」に分類

□重要データ候補の洗い出しと優先管理体制の構築

□情報管理規程・委託契約・データ共有契約の見直し

□海外保存データのローカライズ検討（国内保存体制構築）

□緊急時対応マニュアル（当局提出対応手順等）の策定

□定期リスクアセスメント実施と公安省への報告体制整備

□データ主体からの削除・消去要求対応窓口の設置

□従業員向けデータ管理・法令遵守トレーニングの実施

□ベトナム政府から発表される重要データリスト等の継続ウォッチ

□必要に応じて現地法律事務所・専門家と連携