政府は、2023年4月17日に、個人データ（個人情報）_[1]保護に関する政令No.13/2023/ND-CP（以下、「本政令」という。）を公布しました。本政令は2023年7月1日より施行されます。本政令は、草案段階から多くの企業にとって影響力の大きい政令として注目がされており、施行される政令が可決されてからもどのような運用となるのか明確でない部分も多いです。

現時点において、本政令の規定について政府からの運用についての案内や、解釈についての公式的な見解は存在していません。そのため、本政令の解釈と運用については、将来的に発行される政令や通達、またはその他オフィシャルレター等の書面を通じて、明らかにある可能性があります。第3に記載のとおり、今後新たな解釈指針や文書のフォーマット、ポータルサイトが公表される可能性が高いですので、新しい情報には注意が必要です。

以下では、政令の内容や記事作成時点でわかっている情報に基づき、本政令の主要な内容について整理します。
※今後、本コラムは新しい情報等に基づいて随時アップデートしていきたいと思います。

第１　一般条項

1. 本政令の適用対象（本政令第1条2項）

本政令は、以下の対象に適用されます。

• ベトナムの機関・組織、ベトナム人
• ベトナムにある外国の機関・組織、所在する外国人
• 国外で活動するベトナムの機関・組織、ベトナム人
• ベトナムにおいて個人データの処理に直接関与する、または当該処理に関連する外国の機関・組織、ベトナムに所在する個人

2. 留意すべき定義

• 個人データ
  個人データとは、記号、文字、数字、画像、音声の態様または、電子媒体上で類似の表現をされるものであり、特定の個人に関連付けられるまたは特定の個人の確定に資するものをいう。（本政令第2条1項）
  本政令上、個人データは、名前や生年月日などを含む基本的な個人データ（本政令第2条3条）、と政治的見解や遺伝情報、犯罪歴などを含む機密性の高い個人データ_[2]（本政令第2条4項）とに分類されている。

• 個人データの処理
  個人データの処理とは、個人データの収集、記録、分析、検証、保管、修正、開示、結合、アクセス、追跡、回収、暗号化、復元、コピー、共有、送信、提供、移転、削除、廃棄またはその他の関連する活動など、個人データに影響を及ぼす1つまたは複数の活動をいう。（本政令第2条7項）

• 個人データ管理者
  個人データ管理者とは、個人データ処理の目的と手段を決定する組織または個人をいう。（本政令第2条9項）

• 個人データ処理者
  個人データ処理者とは、データ管理者との契約・合意を通じて、データ管理者に代わってデータ処理を行う組織または個人をいう。（本政令第2条10項）_[3]
• 第三者
  第三者とは、個人データの主体、個人データ管理者、個人データ処理者以外の者であり、個人データの処理を許可された組織または個人をいう。（本政令第2条12項）

上記の定義などにより、ベトナムにおいて活動している日系会社を含む外資企業も、顧客や従業員から収集、記録、保管などしている個人データの処理を直接に行い、またはこのデータの収集・記録・保管の目的と手段を自ら決定するなどしている場合、個人データ管理・処理者として本政令の条項の適用を受ける可能性があります。

第２　個人データ管理・処理者の重要な義務

1. 通知義務および、データ主体からの同意の取得

原則として個人データ管理・処理者は、個人データを処理する際、処理の目的、処理されるデータの種類などをデータ主体に通知して、関連する個人データ処理の許可に関する同意をこのデータ主体から取得しなければならないとされています（本政令第11条）。

個人の生命や健康を保護するために個人データを直ちに処理する必要がある場合、法律の規定に従う個人データを開示する場合、法律の規定に従って契約上の義務を履行する場合_[4]、国家安全保障や大規模災害などに関する緊急事態などの場合、同意の取得なしに個人データを処理できると規定されています（本政令第17条）。

データ主体への通知およびデータ主体からの同意は、電子形式等も含めた書面による方法でなされなければなりません（本政令第11条5項、第13条3項）。取得した同意や通知については、事後的に管轄当局からの提出を求められる場合に備えて、保管しておくことが推奨されます。

なお、失踪宣告を受けた者、死亡者、および子供の個人データなどの特別な場合の個人データ処理については別途の規定が存在するため、留意が必要です（本政令第19条、第20条）。

2. データ主体から要求がある場合の対応

データ主体は、自己のデータに対して知る権利、アクセス権、同意権、同意の撤回権、データの提供や削除を要求する権、データ処理に対して制限を課すまたは反対するなどの権利を有します（本政令第9条）。個人データ管理・処理者はデータ主体から当該権利の行使を受けた場合、その要求に対応しなければなりません。

上記の要求への対応については法定期限が定められているものも存在します。例えば、データ処理の制限・反対の要求 （本政令第9条6項、8項）、データの提供の要求（本政令第14条3項）、データの削除の要求（本政令第16条5項）などに対して、データ主体より要求を受けた後、原則として 72 時間以内に対応しなければならないと規定されています。

3. 違反の通報（本政令第23条1項）

本政令に対する違反行為を発見した場合、個人データ管理・処理者は、違反発生後72時間以内に公安省に通知しなければならないと規定されています。この場合の通知は、本政令のフォーム No. 03 に基づき実施することが要求されています。

4. 個人データ処理影響評価の書類の作成・保管（本政令第24条）

個人データ管理・処理者は、個人データの処理を開始した時点から個人データ処理影響評価の書類を作成し、保管しなければなりません。この点、国内で個人データを扱う企業について、広く適用される可能性があり、かつ、新しい手続であることから重要な手続となっています。

個人データ処理影響評価の書類は、以下の内容を記載しなければならないとされています（同1項）。

• 個人データ管理・処理者の情報・連絡先
• 個人データ保護の担当者（下記第7項を参照）の氏名・連絡先
• 個人データ処理の目的
• 処理される個人データの種類
• 個人データを受領する組織または個人（ベトナム国外の組織または個人を含む）
• ベトナム域外に個人データを移転する場合はその旨
• 個人データの処理期間、個人データを削除・廃棄する場合の予定期間（もしあれば）
• 適用される個人データ保護措置の説明
• 個人データ処理の影響程度の評価、発生する可能性がある結果・損害、そのような損害を軽減または排除するための対策

そして、個人データ処理日から60日間以内に当該作成した書面を公安省に送付しなければなりません。

なお、公安省に送付された書類の内容に変更があった場合、個人データ管理・処理者は、個人データ処理影響評価の書類を更新・補足し、当該書類を公安省に再送する必要があります。

5. 個人データの域外移転（本政令第25条）

ベトナムからベトナム域外への個人データ移転についても、これまでにない新しい手続が設定されました。
ベトナム国民の個人データをベトナム域外に移転する場合、個人データ管理・処理者は以下の手続（国外移転影響評価書類の作成）を実行しなければならなりません。

• 個人データの国外移転に関する影響評価の書類を本政令に規定されている様式に従って作成し、個人データの処理日から60日以内に公安省に送付すること。なお、公安省から要求がある場合は影響評価の書類を訂正しなければならない
• データ移転が完了した後、データ移転の情報と担当組織・個人の連絡先詳細を書面で公安省に通知すること
• 公安省に送付された書類の内容に変更があった場合、個人データの国外移転の影響評価の書類を更新・補足し、該当の書類を公安省に再送すること

6. 個人データ保護に関する規則の作成

個人データ管理・処理者は、個人データ保護に関する規則を作成し、発行しなければならないと規定されています（本政令第27条第2項）。個人データ保護に関する規則の内容や形式については、本政令において具体的に言及されていないため、個人データ管理・処理者は、自らの状況に合わせて社内の規則を作成すれば足りると解されます。もっとも今後、通達等により規則の内容が規定される可能性も排除できません。

7. 個人データ保護の担当者の指定（本政令第28条2項）

本政令第2条4項に規定されている機密性の高い個人データを処理する場合、個人データ管理・処理者は、個人データの保護の担当者を指定し、公安省に属するサイバーセキュリティ・ハイテク犯罪防止局にこの担当者の情報を送付すべきです。

第３　今後の運用等に関わる最新情報

現在、当局のセミナーでの発言情報や弊社での調査等により、上記以外に本政令の運用等に関わる以下の情報を入手しています。もっとも、下記はベトナム政府から公式に文書等で開示されたものではなく、記載内容について確定的な事項ではないため、その点はご留意ください。

• 本政令の適用対象は、本政令発効以前に収集された個人データにも及ぶが2023年7月1日以前に取得されたデータについては、改めてデータ主体の同意を得る必要はない。
• 公安省は、現在、個人データの保護に関する5つの新たな行政手続を発表する準備を進めている。それには、個人データ処理影響評価書類の作成・送付、および個人データ国外移転影響評価書類の作成・送付に関するものも含まれる。また、個人データ処理影響評価書類と個人データ国外移転影響評価書類は、それぞれ別の書式を用いた別の手続によって行われなければならない。公安省は、政令発効前に当該書類と書式の公開と、個人データ保護に関する国家ポータルサイトを開設する予定である。ポータルサイト上での入力も可能となる予定。
• 政令では、個人データ国外移転方式について規定しておらず、個人データ国外移転の影響評価書類を作成しなければならないとのみ定めているため、移転の方式に関わらず、同影響評価書類の作成が必要になる。
• 書類の作成は政令発効日（2023年7月1日）から60日以内に行わなければならない。
• 書類の書式はすべてベトナム語で作成されなければならない。国家ポータルサイトの書類書式に直接記入するか、書式をダウンロードする場合は、サイバーセキュリティ・ハイテク犯罪局に直接送付しなければならない。
• 法律に特別な規定がある場合を除き、個人データの売買、譲渡において利益を生み出すすべての行為が法律の規定に違反する。
• データの処理をベトナム国内で行うかどうかに関係なく、ベトナム国民のデータを収集する外国企業、ベトナム国民のデータを国外に移転する企業、ベトナム国民のデータを受けとる企業、これらのすべての企業が理論上は本政令の適用対象となる可能性がある。
• 2021年に公安省が公表した行政違反処罰の政令草案（個人情報保護に関わる措置の違反に対する処分などについて）によれば、本年12月1日から違反に関わる処罰が発効される予定とされている。しかし、現時点において、当該違反に対する処分についての政令の公布について、確定的な情報がない。そのため、本政令の施行日から一定期間の間は、罰則がない状況で本政令が運用される可能性が高いといえる。

上記に基づくと、これから発表されるポータルサイトや一部の書類のフォーマットも参照のうえ、2023年7月1日から60日以内に対応を進める企業が増えていくように思われます。それぞれの書類は準備に時間がかかる可能性もあるため、情報収集のうえ早めに対応することが推奨されます。

——————–

[1] 個人情報という表現が日本語の表現としては一般的と考えるが、本政令中原文においてベトナムで一般的に情報と訳される“thông tin”ではなくデータや資料と訳される“dữ liệu”が用いられているため、以下、「個人データ」という表現を統一して用いる。

[2] 原文は“dữ liệu cá nhân nhạy cảm”

[3] 個人データ管理者と処理者を包括した定義も存在し、本文中で「個人データ管理者・処理者」と記載している場合がある。

[4] 現時点において、契約上の義務を履行するため（原文：Để thực hiện nghĩa vụ theo hợp đồng）の範囲が明確に示されていない。そのため、当然に個人データが含まれる契約類型（労働契約、法人同士の売買契約等において署名書の個人データ）についても同意の取得に関わる規定が排除されない可能性があるため、注意が必要である。