ベトナム個人情報保護に関する政令について  (2023年 7月1日施行)

 2023年4月に公布されていた個人情報保護に関する政令13号(13/2023/ND-CP)が7月1日に施行となります。適用対象は以下の通り規定されています。

(1)ベトナムの機関、組織、個人

(2)ベトナムにある外国の機関、組織、個人

(3)国外で活動するベトナムの機関、組織、個人

(4)ベトナムでの個人情報の処理に直接従事、または関与する外国の機関、組織、個人

 ここでいう個人情報の処理とは、個人情報の収集、分析、保存、開示、複写、暗号化、提供、破棄などのことを言います。個人情報の処理には、原則として情報主体から同意を取得することが義務づけられます。同意の意思は書面や音声、同意欄へのチェックなどの形式で明確に表明される必要があり、情報主体からの回答がない場合は、同意とみなされません。情報主体からの同意の取得を不要とするのは、個人の生命や健康を保護するために関連する個人情報に直ちにアクセスする必要がある場合、その他、法律に基づく場合、国家安全保障や大規模災害などに関する緊急事態などに限定されています。

 また、情報主体には、同意を撤回する権利や、個人情報へのアクセス・修正・削除の権利、個人情報処理を制限する権利などが認められています。個人情報の処理を開始する場合には、処理による影響を評価の上、所定の様式で関係書類を作成し、処理開始日から60日以内に公安省担当部局に提出する必要があります。さらに、ベトナム国外にベトナム国民の個人情報を移転する場合は、個人情報の移転に関する影響を評価の上、関係書類を作成し、処理開始日から60日以内に公安省担当部局に提出する必要があります。移転完了後には、移転内容と担当組織・個人の連絡先の詳細を公安省担当部局に通知しなければなりません。

 個人情報は基礎的な個人情報と機微な個人情報に区分されます。基礎的な情報とは氏名、生年月日、性別、出生地などを言います。機微な個人情報は政治的・宗教的見解、健康状態、遺伝情報、金融情報、位置データなどのことを言います。機微な個人情報を扱う場合には、個人情報保護担当部署を設置し、責任者を任命の上、公安省担当部局に通知する必要があります。

 現状では違反した場合の罰則規定はありません。なお、2021年4月時点の政令案では、違反が複数回に及んで被害が大きい場合には、処理者のベトナムでの売り上げの最大5%の罰金が科されると記載されていました。処罰規定の設定には一定の時間をかけて判断しようとの意図があるものと思います。処罰規定が明確でない現状ではありますが、各企業では対応上の注意が必要になるものと思われます。処罰規定などは今後別の法令で定められるものと思われます。情報主体に対する通知や影響評価に関する書類の作成など、政令に定められた義務的措置に対応することは必要と思われますので、準備を進めておくべきでしょう。

以上