ベトナム法令ニュースのコーナーです。
最近よく聞くベトナムでの個人情報保護法、気になりますよね。居酒屋でも話題にあがると思います。
けど、ベトナムでは勝手に顔が入った写真をFBに写真をアップしちゃうとか給与明細をもSNSにアップしちゃうとかありますよね。会社の情報(ノウハウ)を持っていってしまって自分でビジネスを始めたり、転職で使うとかも聞いたことがあります。
要するに「個人情報」に関する意識が低いというのがベトナムの一つの特徴ではあります。
そんな背景があるベトナムなんですが、2023年4月17日、個人情報保護に関する政令13号(13/2023/ND-CP)を公布しました。同政令は7月1日に施行となっています。
今日はその政令を詳しく解説していきたいと思います。
以下の構成要素の順番で解説していきます。
- 誰が対象となるのか?(WHO)
- 個人情報の定義とは?(WHAT)
- いったい何をどのようにやるの?(HOW)
- 気になる罰則規定の実効性?
この記事のもくじ
1:この個人情報保護法は誰に対して?適用されるのか?【影響あり】
政令の13号の1項によれば以下に該当する場合だそうです。
- a) ベトナムの機関・組織・個人;
- b) ベトナム所在の機関・組織・個人;
- c) 外国で活動するベトナムの機関・組織・個人;
- d) ベトナムで個人情報を直接処理する、または処理に関与する外国の機関・組織・個人。
少しにわかりにくいですよね。具体的に説明するとa)はベトナムのローカル法人です。
b)は我々ベトナムに進出する日系の法人です。なので私たちに直接的に影響があります。
そしてd)がのところが論点となるでしょう。つまり、日本の親会社も「ベトナム個人情報」を取り扱う場合にこの法律が適用されるのか?という問題です。
この点「ベトナムで個人情報を直接処理する、または処理に関与する」の定義がまだはっきりしてないからどこまで含むの?という実務上の問題は残りますよね。
2:そもそも「個人データ」ってなに?定義を確認しよう!
次に「個人データ」の定義です。政令13号の2項によれば2つのカテゴリがあります。
- 一般的な個人情報
- 機微(センシティブ)な個人情報
この2つです。両者の違いはこの後に説明する「何をするの?」で差があるようです。後者の方がより厳しいみたいですね。センシティブだからです。
まずはこの定義を具体例を踏まえながら理解を深めましょう。
一般的な個人情報
これは以下のような情報が含まれるようです。
- a) 姓、ミドルネーム、名、その他の名前(ある場合);
- b) 生年月日、死亡または行方不明になった日付;
- c) 性別
- d) 出生地、本籍地、永住地、一時居住地、現在の居住地、出身地、連絡先住所;
- dd) 国籍
- e) 個人画像
- e) 電話番号、IDカード番号、個人識別番号、パスポート番号、運転免許証番号、ナンバープレート、納税者番号、社会保障番号、健康保険証番号
- h) 婚姻状況
- i) 個人の家族関係(両親、子供)に関する情報;
- k) デジタルアカウント情報:サイバースペースにおける活動および活動履歴を反映する個人データ;
う〜ん。個人の画像や性別、名前なんてばんばん会社のSNSで公開しちゃってますけどね。そして何の不利益もありません。誰も不幸になっている人が今の所いないというのが正直な感想です。なので意味があるの?って感じです。
センシティブな個人情報
政令13号の2項によれば以下の情報です。
- a) 政治的および宗教的意見
- b) 健康状態および健康記録に記載された個人情報(血液型に関する情報を除く);
- c) 人種的または民族的出身に関する情報
- d) 個人の先天的または後天的な遺伝的特徴に関連する遺伝データに関する情報
- dd) 個人自身のバイオメトリクスまたは生物学的特性に関する情報
- e) 個人の性生活または性的指向に関する情報
- g) 法執行機関により収集・保管された犯罪および犯罪行為に関するデータ;
- h) 信用機関、外国銀行支店、ペイメント・サービス・プロバイダー、その他認可を受けた機関の顧客に関する情報。これには、法律で定められた顧客の識別、信用機関、銀行支店、ペイメント・サービス・プロバイダーにおける口座、預金、預け入れ資産、取引、保証人となっている組織および個人が含まれる;
- i) 位置情報サービスにより特定される個人の位置情報
- k)その他法令に定める特別な保護が必要な個人情報
わかりやすいところでいうと健康診断の結果とかですかね。個人の位置情報などは彼女とか奥さんに必ず共有しているという話はよく聞きますが。
もし該当するのであれば誰が?何をするの?4つのステップ
次にもしこの政令の対象となったら「誰が」?「どんなことをするの?」というのをまとめていきます。
まず「誰が」の点ですが以下の3つです。
- 管理者(例:会社・社長)
- 処理者(例:管理者に代わってデータ処理をしている者)
- 管理者兼処理者(例:会社が上記2つを実施する場合)
要するにあなたがベトナムの企業の社長であればこの政令13号で要求されていることを実施する必要があります。なので私たちにとって影響が大きいということが予想されます。
どんなことを実施するのか?の部分です。以下のように整理するとわかりやすいでしょう。
事前
- 1:知らせる・同意をもらう
事後
- 2-1評価:個人データの処理の影響評価
- 2-2 評価:ベトナムを超える(越境)場合の影響評価
- 3 管理:個人データのための管理体制構築
この4つが必要です。
1:知らせる・同意をもらう
まず「個人データ」を使う場合にはそのデータの持ち主に知らせて・同意をもらう必要があります。目的、個人データの種類や処理方法などです。そしてこれは印刷(紙)か書面化可能である電子的なもの(検証可能なもの)でされる必要があります。
そして原則として「同意」を得る必要があります。例外(緊急で命に関わる時など)はあるものの基本「同意」を得なければいけません。
ここがポイントで以下の方法での「同意」が必要です。11項の3によればデータ対象者の同意は
- 書面
- 音声
- 同意欄へのチェックボックス
- ショートメッセージによる同意、同意設定の選択
- その他
により、明確かつ具体的に表明されるものとされます。そして11項の6.では「沈黙または無回答は、同意とはみなされない」と規定されています。ここが要注意でしょうね。
人材紹介会社、銀行などは多くの人から「同意」を得る必要があることでしょう。
2-1評価:個人データの処理の影響評価
続いて評価の部分です。24項によれば以下のことを提出する書類に記載する必要があります。「個人データの管理者と管理件処理者」と「個人データの処理者」と比較すると以下の通りです。
個人データ処理影響評価額(DPIA)に記載すべきことの比較
| 項目 | 個人データの管理者と管理・処理両方を行う者 | 個人データの処理者 |
|---|---|---|
| 連絡先詳細 | 有り(管理者と管理・処理者両方) | 有り |
| データ保護担当の名前・連絡先 | 有り | 有り |
| 処理目的 | 有り | 無し |
| 処理される個人データの種類 | 有り | 有り(管理者との契約に基づく内容) |
| データ受信者の情報(ベトナムの領域外にあるものを含む) | 有り(ベトナム外も含む) | 無し |
| 国外(越境移転)転送のケース | 有り | 有り |
| 処理期間・削除・廃棄の予定期間 | 有り | 有り |
| 個人データ保護の措置の説明 | 詳細に有り | 一般的な説明のみ |
| 影響評価と不望ましい結果・損害のリスクと対策 | 有り | 有り |
個人データ処理の影響評価に関する書類は、公安省が閲覧および評価できるように常備しなければならず、公安省(サイバーセキュリティ・ハイテク犯罪防止局)は、個人データ処理の日から60日以内に、本政令別表の様式第04号による正本を受領しなければなりません。
また個人データ管理者、個人データ管理者兼処理者及び個人データ処理者は、公安部(サイバーセキュリティ・ハイテク犯罪防止局)に提出した個人データ処理影響評価書の内容に変更があった場合、本政令別表の様式第05号により、更新・修正しなければなりません。
「個人データの管理者と管理件処理者」
- フォーム04a「個人データの管理者と管理件処理者
- フォーム05a「変更があった場合」
- フォームNo D24-DLCL-01(管理者)
- フォームNo D24-DLCL-02(処理者)
- フォームNo D24-DLCL-03(第3者
2-2 評価:ベトナムを超える(越境)場合の影響評価 フォームNo. 06
続いてベトナムを超えて個人情報が利用される場合です。25項によれば以下のようなことを求められています。
- ベトナム市民の個人データは、特定の手続きと評価のもとで国外に転送される。
- 転送時には、送信者と受信者の情報、転送データの内容、保護措置、潜在的なリスクおよびその対策などの詳細を含む資料を作成する必要がある。
- この資料は公安省の検査のために常に利用可能でなければならず、送信者は、個人データの処理日から60日以内に、この政令の付録のフォームNo. 06を使って公安省に提出する
- 個人データが転送された後、公安省に通知する。
- 公安省は、提出された資料の完全性や正確性を評価し、必要に応じて修正を求める。
- 資料に変更がある場合、送信者はこれを更新し、公安省に報告する。
- 公安省は、年に1回の国外転送の検査を実施することができる。
- 一定の違反が発見された場合、公安省は国外へのデータ転送を停止することを命じることができる
2の 国外転送の影響評価の資料には以下が含まれます。
- 送信者と受信者の連絡先と詳細
- 送信者に関連する組織または個人の氏名と連絡先
- 個人データが国外に転送された後の処理の目的の説明と説明
- 国外に転送される個人データの種類の説明と確認
- この政令の個人データ保護に関する規定の遵守、個人データ保護の具体的な措置に関する説明と説明
- 個人データ処理の影響評価;起こりうる不望ましい結果と損害、その結果と損害を減少または排除するための措置
- 問題や要求が発生した場合のフィードバックと苦情のメカニズムが通知された際のデータ主体の同意
- 送信者と受信者間の義務と責任を示す文書
- フォーム06a
- フォームNo D25-DLCL-04
3、個人データのための管理体制構築(内部統制)
管理者(あなたの会社)や処理者(ベンダーさん)はこの政令をきちんと実施するための管理体制を構築することが求められています。いわゆる内部統制というコントロールを構築してくださいという事です。
「内部的な規定」の作成が必要となるでしょう。
まだ罰則の規定は?2023年12月から?【準備しよう!】
政令13号では責任賠償については明文化されていますが、行政罰(罰金など)については明文化されていません。しかし、政令案では以下のように定められています。
| 内容 | 罰金の金額 |
| データ主体(例:スタッフ)への通知義務違反 | 1.2億〜1.6億ドン |
データ主体から同意義務違反 | 8,000万ドン〜1.2億ドン |
個人情報データ処理影響評価額・越境移転評価額の作成・保存・提出義務違反 | 1.6億ドン〜2億ドン |
大規模の個人情報(500万人以上)のデータで不備 | 前年度の売上の5% |
金額が大きい! 40万円から100万円超の金額です。これらは12月1日より施行される予定です(ただ決まっておりません)。気をつけないとですね!
