2022年8月15日、サイバーセキュリティ法（法律No. 24/2018/QH14号）の一部の条項を詳細に規定する政令No.53/2022/ND-CP号（以下、「本政令」といいます。）が公布されました。本政令は2022年10月1日から施行されます。

以下、本政令に規定されている特に注意すべき点について説明します。

1. 国家機関によって実施され得るサイバーセキュリティ保護措置

サイバーセキュリティを検査する措置（サイバーセキュリティ法第24条、本政令第16条）

サイバーセキュリティに関わる法律に違反し、国家の安全保障を侵害し、社会の秩序や安全に重大な損害を与える行為がある場合、または、情報システム管理者の要請がある場合、サイバーセキュリティ保護専門部隊は、サイバーセキュリティに関わる検査について以下の措置を実施することができます。

• サイバーセキュリティの保護、サイバースペースにおける国家機密の保護に関わる法律の規定の遵守を検査すること
• サイバーセキュリティの保護対策、サイバーセキュリティに関わる事故の対応、その修復に関する計画の有効性を検討、評価すること
• セキュリティの弱点等を検出・評価すること

なお、サイバーセキュリティを守る専門部隊とは、本政令第2条9項によれば、以下の機関を含むとされています。

• 公安省のサイバーセキュリティ・ハイテク犯罪防止局
• 国防省の軍事安全保護局

国家安全保障、社会秩序と安全、機関・組織・個人の適法な権利と利益を侵害するサイバースペースにおける違法または虚偽の情報の削除を請求する措置（本政令第19条）

公安省のサイバーセキュリティ・ハイテク犯罪防止局の局長と、情報通信省の管轄機関の長は、以下の内容を有する情報の削除を請求することができます。またテレコムネットワーク、インターネットにおけるサービスの提供企業、サイバースペースにおける付加価値サービスの提供企業、情報システムの管理者に対しては、情報削除請求書を送付することができます。

• 国家安全保障を侵害したり、ベトナム社会主義共和国に反対を宣伝したり、暴動を扇動したり、治安を乱したり、公の秩序を乱したりする情報と法令により判断される場合
• 侮辱又は中傷したり、経済管理の秩序に違反したり、捏造したり、情報を削除しなければならないほどに社会経済活動に深刻な損害を与える情報
• 歴史を歪曲したり、革命の成果を否定したり、国民全体の団結を弱体化させたり、宗教を侮辱したり、ジェンダーもしくは人種を差別する情報
• 売春、社会悪弊、人身売買、犯罪に関わる情報
• 国の慣習と伝統、社会的道徳、公衆衛生を損なう情報
• 他人に犯罪を行わせるように扇動・教唆する内容

サイバースペースにおける国家安全保障、社会秩序と安全、機関・組織・個人の適法な権利と利益を侵害する活動に関連する電子データを収集する措置（本政令第20条）

サイバースペースにおける国家安全保障、社会の秩序と安全、機関、組織、個人の適法な権利と利益を侵害する行為を調査し処分するために電子データを収集する必要がある場合、公安省のサイバーセキュリティ・ハイテク犯罪防止局の局長は、電子データを収集する措置を講じる権利を有します。 なお、電子データの収集に従事する者は、専任の幹部である必要があります。

情報システムを一時もしくは恒久的に停止し、またはドメインを没収する措置（本政令第21条）

情報システムの活動が国家安全保障、サイバーセキュリティに関わる法律に違反していることを証明するに足る根拠がある場合、または国家安全保障、社会の秩序と安全を侵害する目的で情報システムが使用されている場合、公安大臣は、当該情報システムを一時もしくは恒久的に停止し、当該ドメインを没収する権利を有します。

機関、組織、個人は、自己の責任と権限の範囲内で、上記のサイバーセキュリティ保護措置が実施されるために、管轄機関と協力し、その活動を支援するものとされています。

2. ベトナム国内企業の情報保存義務（本政令第26条第2項・第3項）

ベトナム国内企業（※）（本政令第2条第11項の国内企業の定義により、日系子会社を含めた外資系企業のベトナム現地法人も含まれます）は、以下の情報についてベトナム国内に保存されなければならないと規定されています（以下、下記の情報を総称して「保存すべき情報」という場合があります）。

• ベトナムにおけるサービス利用者の個人情報
• ベトナムのサービス利用者が作成するデータで、サービスアカウント名・サービス利用時間・クレジットカード情報・電子メールアドレス・最終ログイン・ログアウトのネットワークアドレス（IP）・アカウントまたはデータに関連付けられた登録済み電話番号を含む情報
• ベトナムにおけるサービスユーザーの関係に関わるデータであり、ユーザーの接続または交流する友人、グループを含む情報

（※）本政令には、ベトナム国内企業としか規定されていませんが、サイバーセキュリティ法の第26条第3項により、上記の国内企業とは、すべての国内企業ではなく、以下の二つの要件を満たす企業に限定されると考えられます。

• 通信ネットワークにおけるサービス、インターネットにおけるサービス、サイバースペースにおける付加価値サービスのいずれかを提供すること
• サービス利用者の個人情報に関するデータ、ベトナムのサービス利用者が作成したデータ、またはサービス利用者の関係性に関するデータを収集、利用、分析、処理を行っていること

3. 外国企業がベトナムにおいて保存すべきデータ（本政令第26条、第27条）

適用対象

外国企業（日本に所在する日本企業を含む）は以下全てに該当する場合、保存すべき情報をベトナムにおいて保存しなければなりません。

• 通信サービス、サイバースペースにおけるデータの保存と共有、ベトナムにおけるサービスユーザーに国内または国際ドメイン名の提供、eコマース、オンライン支払い、支払い仲介、ソーシャルネットワークとソーシャルメディア、オンラインゲーム、及びメッセージ・音声通話・ビデオ通話・電子メール・オンラインチャットの形式でサイバースペースにおけるその他の情報を提供、管理、運用するサービスを提供していること
• 上記のサービスがサイバーセキュリティに関わる法律に違反する行為を実施するために利用されていること
• 公安省のサイバーセキュリティ・ハイテク犯罪防止局から通知され、協力・防止・調査等を書面による請求されたが、管轄機関より行うサイバーセキュリティ保護措置を履行しない、履行が不十分である、当該措置を妨害する、または無効化をさせること

上記の要件を満たす外国企業は、公安大臣よりベトナムにおけるデータ保存請求決定書が発行された場合、当該決定書の発行日からの12か月以内に、ベトナムにおいてデータ保存を実施しなければなりません。

オンラインサービスを提供する外国企業にどの程度適用されるかについて、サイバーセキュリティ法上は不明確でしたが、本政令において一定の要件を満たす場合にのみ適用されることが明確化されました。

データの保存形式

定型のものがなく各企業の決定に従って行うとされています。

データ保存期間

データ保存請求を受け取った企業は、請求時点から、 最低でも 24 か月は当該データについて保存しなければなりません。

外国企業のベトナムにおける支店または駐在員事務所を置くこと（本政令第26条）

上記の適用対象となった外国企業は、公安大臣よりベトナムにおける支店又は駐在員事務所の設置請求決定書が発行される場合、決定書の発行日から12か月以内に、ベトナムにおいて支店または駐在員事務所を設置しなければなりません。

4. 本政令の意義

サイバーセキュリティ法については、ベトナムサーバーへのデータ保存について定めた規定があり（同法第26条第3項）、文言上は適用範囲が広範になる可能性があり、この点が懸念されていました。本政令上には、ベトナムの国内企業についてこれを特に限定する旨の規定がなく、インターネットを活用したベトナム国内企業については、それが例え外資系企業であっても、広くベトナムサーバーへのデータ保存義務が適用されることになります。この点で、日系企業含め注意が必要です。

また、外国企業であっても一定の要件を満たす場合には、上記のデータの保存義務や、支店等の拠点の設置義務が課されることが明示されました。これまでサイバーセキュリティ法では明確にされていなかった適用要件が規定され限定的な適用になったものの、当局の判断によって外国企業でも適用されることになります。

上記がその文言のとおり適用されるとかなり広範囲の企業に適用されるおそれがあり、今後のベトナム政府の運用については注視していく必要があります。