こんにちは。最近話題となってる個人情報保護法ですが、やっぱり実務からいろんな質問があるようです。
データ保護に関する政府指令13/2023/ND-CPの普及と指導に関する会議での個人データ保護に関する質問と回答について解説します。2023年4月17日付政府による回答の日本語バージョンです。
7月30日にオンランセミナーを実施します!下記リンク先から申し込み可能ですのでぜひ参加してください。
>>【2024年に罰金開始?】個人情報保護法対策セミナー【法務責任者も必見!】
この記事のもくじ
- 実際にあった個人情報保護法に関する質問、1000個も?
- Dragon Capital Vietnamからの質問
- Samsung からの質問
- KinderWorld Vietnam Joint Stock Companyからの質問
- Bank of Chinaの質問
- Manulife Vietnam Company Limitedの質問
- Trusting Socialの質問、データ管理者(会社)の権利
- Mobifone Telecommunications Corporationの質問、
- Vietnam Business Forum(VBF)の質問(言語はどうなの?)
- Baker Mackenzie Vietnam International Law Firmの質問、外国企業ってどこまで?
- Tokio Marine Vietnamの質問、代理店やブローカーの取り扱いって?
- Toyota Finance Vietnam
- SeABank
- まとめ
実際にあった個人情報保護法に関する質問、1000個も?
2023年4月17日、政府は個人データ保護に関する指令13/2023/ND-CPを発行しました。この指令が発行された後、多くの組織や企業は、指令の規定の実施および適用に関する質問や関連問題を引き続き提出し、指導を求めました。現在までに、約1,000の質問が起草機関に提出されました。ものすごい数ですね!(評判悪そう)
綿密な準備のもとで、実行委員会は質問を分類、選択し、個人データ処理に関する問題や領域に従って組織や個人の質問に回答する計画を立てました。回答は以下の通りです。それぞれ解説していきますね。
前提知識としてわかっていないといけないのが「データ主体」の意味です。これは個人データを持つ人です。例えば会社が従業員の情報を取り扱う場合(履歴書に載っている情報とか)、このデータの持ち主は従業員ですから、従業員が「データ主体」です。またSHOPEEであれば、お客様は購入する時にいろんな個人情報を提供しますよね。この情報の持ち主は買い手であり、そのお客様が「データ主体」となります。逆に「データ管理者」は、会社側です。上記の例で言えば、雇用した側やSHOPEE側ですね。
Dragon Capital Vietnamからの質問
- 法律が適用される前の個人情報は?
- 過去も含まれるけど同意を再取得しなくてもいいよ。
Dragon Capital Vietnam Fund Management Joint Stock Companyは、指令13の有効日以前に収集および処理された個人データが指令13の規定に従うかどうかについて質問しました。例えば、銀行口座、証券取引口座、またはファンド証明書取引口座を開設する際に顧客が情報を提供する場合、データ管理者および処理者(銀行、証券会社、ファンド管理会社)は、2023年7月1日以前に提供されたデータのために顧客/投資家の同意を再取得する必要があるかどうか?など。
この質問に対して、実行委員会は次のように回答しています:指令13/2023/ND-CPの有効日以前に収集された個人データは指令の範囲内にあります。しかし、この時点では、関連する組織や個人は、2023年7月1日以前に提供されたデータのためにデータ主体の同意を再取得する必要はありません。他の義務は指令の規定に従って引き続き実施されます。
Samsung からの質問
- 報告書まとめて作成してOK? 大量の情報がクラウドなどによって海外に転送されるんだからすべては無理でしょ?
- 変更のたびに調整して。変更なければ提出いらない。あと大量の場合、例外でもいいよ。
Samsung Electronics Vietnam Co., Ltd.は、国外での個人データ処理影響評価報告書および個人データ転送影響評価報告書を作成する義務について質問を送りました。以下の内容です:(1)同じ報告書に個人データ処理影響評価報告書と個人データ転送影響評価報告書を年に一度、データフィールド/データタイプに応じて作成することができるか。(2)データ処理活動において、従業員とデータ主体がデータを入力すると、そのデータはサーバーを介して国外のシステムに即座に転送されます。このような場合、大量の個人データが連続して自動的に転送される場合、国外でのデータ転送結果を報告することは非常に困難です。したがって、このような場合、データ転送結果の報告が例外と見なされるべきじゃないですか?
この質問に対して、実行委員会は次のように回答しています:3つに区分していますね。
まず、行政手続の実施に関して:公安省は個人データ保護に関連する新しい行政手続きを発表する準備をしています。これには、個人データ保護に関する規則違反の通知、個人データ処理影響評価書の準備と提出、個人データ転送影響評価書の準備と提出、個人データ転送影響評価書の内容の変更通知など、5つの新しい行政手続が含まれます。そのため、個人データ処理影響評価書と個人データ転送影響評価書は2つの異なる手続きで実施され、2つの異なる評価書フォームが存在します。公安省は、2023年7月1日までに組織や個人が実施するためのフォーム、評価書、全国情報ポータルを発表し、起動する予定です。要は、「きちんとしたガイダンス出すから待っててね」ということでしょう。
第二に、報告書の提出頻度に関して:影響評価書は、ベトナム市民の個人データを国外に送信する各ケースまたはタイプごとに一度実施され、変更があるまで続きます。タイプや契約の変更がある場合、組織や個人は評価書の形式に従って更新と補足を行います。例えば、Samsung Electronics Vietnam Co., Ltd.は、Samsungの電話からのデータ自動収集を通じてベトナム市民の個人データを国外に送信する影響を評価しています。評価書が完成したら、以前の評価書と変更がない限り、Samsung Electronics Vietnam Co., Ltd.はさらに宣言や影響評価を行う必要はありません。要は「変更があったら再提出してね」ってことでしょう。
第三に、自動化されたシステムを通じてデータを国外に転送する結果の報告に関して:この指令は、個人データを国外に転送する形式を具体的には規定していませんが、個人データを国外に転送する場合、影響評価書を提出する必要があると規定しています。したがって、手動または自動の転送は、会社のプロファイル構築に影響を与えません。要は「手動でも自動でもどっちでもええで」ってことでしょう。
KinderWorld Vietnam Joint Stock Companyからの質問
- 「個人データ処理の影響評価書」は、データ処理の開始からどのくらいの期間で公安省に提出するの?
- 60日以内だよ
KinderWorld Vietnam Joint Stock Companyは質問を送りました:「個人データ処理の影響を評価するための評価書は、公安省(サイバーセキュリティおよびハイテク犯罪防止局)に提出し、付録のフォームNo.04に従って1つのオリジナルコピーを送る必要がある」と指令には記載されています。そして、「個人データを国外に転送する当事者は、60日以内に付録のフォームNo.06に従って公安省に1つのオリジナルコピーを送る必要があります」。したがって、指令が発効する前に処理または転送されたデータについて、指令が発効した後、評価書を公安省に提出する必要があるまでの期間はどれくらいですか?
この質問に対して、実行委員会は次のように回答しています:指令が発効する日から60日以内に評価書が準備されます。ベトナムの公開データを指令の発効前に国外に転送した企業および個人は、ビジネス目的でデータを使用し続けることができます。
評価書の完成後、適格な当局が評価書を調査し、ベトナム市民の個人データの転送の法的遵守を判断します。
Bank of Chinaの質問
- データ主体からの要求に72時間以内で対応する必要があるって?具体的には?
- たしかに不明ですね。具体的なガイダンスを作ろうと思います。ただ72時間の時間枠は連続する時間を指し、労働時間ではありません。
Bank of Chinaは次のような質問を送りました:指令13/2023/ND-CPの第9条第8項(b)によると、データコントローラー、データコントローラーおよびプロセッサーは、法で別段の定めがある場合を除き、要求を受けてから72時間以内にデータ主体の要求を処理する義務があります。ここで理解を明確にしたい問題が2つあります。まず、データ主体の要求を処理するためにシステムに要求を送信する行為が、指令13による「実施」と見なされるのか、それとも全プロセスの完了が「実施」と見なされるのか。また、指令13の72時間の期間は、72営業時間か通常の時間か。
この質問について、組織委員会の回答は次のとおりです。私たちはこの質問を非常に注意深く検討し、これは個人データ処理に対する権利に関する具体的な状況に関する質問であると判断しました。中国銀行の質問が状況を示していないため、仮想の状況を説明する必要があります。顧客が中国銀行に来てクレジット取引を行い、銀行が顧客の個人データを処理することに同意し、銀行の条件に基づいてカードを開設または取引を行うことを認めた場合、その後、顧客が異議を申し立て、中国銀行が個人データを処理しないようにします。この場合には、次の2つの状況が考えられます。第一に、中国銀行が顧客のリクエストに同意し、署名された契約に基づいてサービスを提供しないことです。第二に、中国銀行が同意しない場合、この場合には法律が提供するケースを明確にする必要があります。ここで、Article 9のClause 8は、「データ主体は、法律により別段の定めがない限り、個人データコントローラー、個人データコントローラーおよびプロセッサーが個人データを処理することに反対する権利を有し、マーケティング目的のためにデータを防止または制限することができる」と明確に規定しています。
私たちはArticle 9のClause 8を慎重に検討しましたが、この条項の内容には「実施」という言葉が含まれていないことがわかりました。したがって、Bank of Chinaの意図する意味を完全には理解していません。さらなるコメントがある場合、銀行は情報受領部門に情報を送り、システムへのリクエスト送信行為が「実施」と見なされるか、またはリクエスト処理プロセス全体の完了が「実施」と見なされるかについて明確な回答を得ることができます。次の2つの問題について議論する必要があります。第一に、中国銀行はリクエストを送信してデータ主体のリクエストを処理するためのシステムをセットアップしていますか。第二に、データ主体のリクエストに応じて配分の目的と結果を計算する必要があります。データ主体の異議申立後、中国銀行がデータ処理を終了すると、データ主体に記録可能な形式で通知されます。
72時間の時間枠に関しては、Decree 13によると、データコントローラーおよびプロセッサーが遵守しなければならない時間枠は、リクエストの受領後72時間、すなわち連続する72時間であり、労働時間ではないことが明確にされています。
Manulife Vietnam Company Limitedの質問
- データ主体にデータの提供義務があるのか?ある場合、データ主体の編集権とかどうなの?
- データ主体はデータの編集、編集要求、および削除権を持ちますが、法的義務に従う必要ありますね。
Manulife Vietnam Company Limitedは、データ主体のアクセス権、同意撤回権、削除権に関連する質問を送りました:第9条の第3、4、5項の内容について、契約関係がある場合、データ提供義務があるかどうか。契約を履行するためにデータ主体が情報を提供する義務がある場合、編集権、要求編集権、および削除権が制限されるのか。通常、契約を履行するには、当事者は他の当事者が提供する情報を信頼する権利があります。そのため、契約の履行中にデータの編集や削除が契約に大きな影響を与える場合があります。
この質問に対して、実行委員会は次のように回答しています:民事訴訟法の規定に従って、契約に署名する際、当事者の権利、義務および責任が明確に定義されています。この時点で、データ主体がManulife Vietnam Company Limitedに提供する情報は、契約の権利と義務を履行するためのものです。顧客は、情報の変更が発生した場合などに、自身のデータを編集する権利を持っています。しかし、編集権、要求編集権、および削除権は法律によって制限されることはありません。
Trusting Socialの質問、データ管理者(会社)の権利
- データ主体の信用度を評価するためのデータ管理者の権利について教えて
- 権利あるけど、データの違法な取引は違反ですよ。
TRUSTING SOCIAL Companyは、データ主体の信用度を評価するためのデータ管理者の権利について質問を送りました。
この質問に対して、実行委員会は次のように回答しています。個人データが不正に購入、販売、拡散される現在の状況に照らして、公安省は、企業や個人がビジネスのために個人データを収集するための専門的な技術システムを確立していると評価しています。個人データがサービス提供の同意を得て使用される場合、法律の規定に従って処理されます。
個人データの売買、譲渡または取引の活動に関する情報: 3. 個人データは法で別段の定めがある場合を除き、いかなる形であれ、購入、販売または取引されてはなりません。 4. データ主体の同意なしに個人データを収集、転送、購入、または販売する活動は違法です。 5. 個人データの処理活動は、データ契約で述べられた目的に従って行われなければなりません。 (1) 購入、販売、譲渡、または取引するいかなる行為も、法の規定に違反しない限り、個人データの売買とみなされます。 (2) 法の規定に違反する場合、個人データの購入、販売、転送または取引は、データ主体の同意を得た場合にのみ許可されます
Mobifone Telecommunications Corporationの質問、
- 個人データの売買はどこまで禁止?
- 条件あるよ。同意を得て!
Mobifone Telecommunications Corporationは、次のような質問を送りました:第3.4条では、個人データは法で別段の定めがある場合を除き、いかなる形でも購入、販売、または取引されてはならないとされています。データ主体の同意なしに個人データを収集、転送、購入または販売する活動は違法です。データ主体の同意なしに個人データを売買することは完全に禁止されているのでしょうか?
この質問に対して、実行委員会は次のように回答しています:民法の規定に従って、資産を購入および販売する活動は、主に利益を生み出す目的で理解されます。購入および販売の主な目的はビジネス目的ですが、消費、贈与などの他の目的もあります。売買関係の主体は、法律の規定に従って行動する能力を持つ必要があります。データ主体の同意は、売買の許可を決定するための基準ではなく、この場合、法律だけが売買を許可される条件を規定します。
Vietnam Business Forum(VBF)の質問(言語はどうなの?)
- フォームは英語でOK?
- 英語もダメ。ベトナム語翻訳もダメ。直接フォームに記入して!
Vietnam Business Forum(VBF)は、第24条に関連する質問を送りました。個人データ処理影響評価に関して、具体的には:- フォームNo. 4「個人データ処理影響評価書の提出通知」とフォームNo. 5「評価書内容の変更通知」はベトナム語のみで記載されています。したがって、外国企業は通知を英語で提出できますか、またはベトナム語に翻訳する必要がありますか?ベトナム語に翻訳された場合、認証が必要ですか?
指令13は、個人データ保護に関する違反の通知を受け付ける全国情報ポータルの設立を規定しています。このポータルは他の多くの機能とともに、個人データ処理影響評価書の提出がオンラインで行われることを規定しています。しかし、この情報ポータルは指令No. 13の発効日が近づいているにもかかわらず、まだ運用準備ができていないようです。この質問に対して、実行委員会は次のように回答しています:(1)行政手続きを提供する規則に従って、すべての申請書はベトナム語で作成されます。会社は英語で提出することも、ベトナム語に翻訳された申請書を提出することもできませんが、全国ポータルサイトで直接申請書に記入するか、フォームをダウンロードして高等技術犯罪予防局に直接提出する必要があります。(2)個人データ保護の全国ポータルは、2023年7月1日からその効果を確実にするために使用されています。
Baker Mackenzie Vietnam International Law Firmの質問、外国企業ってどこまで?
- 外国企業の活動はこの政令に含まれるの?
- 含まれますよ
Baker Mackenzie Vietnam International Law Firmは、外国企業に対する超域的適用範囲についての質問を送りました:政令13の第1条は、「ベトナムでの個人データ処理活動に直接関連する外国の機関、組織、および個人」に適用されると規定しています。我々は、以下の点を明確にすることを提案します:(1)「ベトナムでの個人データ処理活動」は、ベトナム国内での活動のみを指し、個人データが国外に即座に転送される場合も含まれるか。例えば、外国企業がインターネット上で世界中のユーザーにサービスを提供する場合、ベトナムのユーザーはサービスを利用する際に個人情報ブックを提供する必要があります。この個人情報は国外のシステムに即座に転送されます。この場合、外国企業はPDPPの対象になりますか?
この質問に対して、実行委員会は次のように回答しています:指令の範囲は個人データの保護に関連しており、データ処理プロセス中の保護措置を含んでいます。データの国外転送は規制された内容の1つです。ベトナム市民のデータを収集する外国企業、国外に転送する企業、またはベトナム市民のデータを受け取る企業は、処理場所に関係なく規制の範囲内にあります。
Tokio Marine Vietnamの質問、代理店やブローカーの取り扱いって?
- 保険代理店やブローカーのデータ処理者に含まれる?
- 含まれますね
Tokio Marine Vietnam Co., Ltd.(TMIV)は、保険業界では、保険代理店(AIC)や保険ブローカー(BIC)が顧客と保険会社の間の契約締結の仲介者として機能することを指摘しました。これらのAICおよびBICは顧客データ情報を直接受け取り、収集された個人データを保険契約に従って保険会社に転送します。したがって、これらのAICおよびBICは、データ管理者またはデータ処理者として分類されますか?
この質問に対して、実行委員会は次のように回答しています:指令13/2023/ND-CPの第2条第9条および10条には、個人データ管理者および個人データ処理者が明確に規定されています。個人データ管理者は、個人データの処理の目的および手段を決定する組織または個人です。個人データ処理者は、契約またはデータ管理者との合意に基づいてデータを処理する組織または個人です。したがって、Tokio Marine Vietnam Co., Ltd.(TMIV)は、データ管理者であり、データ処理者でもあります。
Toyota Finance Vietnam
- ①海外のデータウェアハウスは、個人データの海外移転とみなされるか?、②データ保護法に基づき、クレジット機関が個人データを使用することは許可されるか?、③個人データの海外処理の影響評価書類の審査と承認にかかる時間は?
- ①海外のデータウェアハウスが個人データの処理に使用される場合、それは個人データの海外移転とみなされ、法令の範囲内です。②法令に基づいて、クレジット機関は特定の条件下で個人データを使用することが許可されています。③個人データの海外処理の影響評価書類は、公安省による審査と承認に適切な時間が必要です
Toyota Finance Vietnam One Member Co., Ltd.(TFSVN)は、次の内容の質問を送りました:
- 「1. データウェアハウスが国外にある場合、それは個人データの国外転送のケースに該当しますか?
- 2. 個人データ保護の原則では、個人データは法で別段の定めがある場合を除き、いかなる形でも購入、販売してはならないとされています。この規定により、信用機関はデータ処理、リースおよび関連活動に関連する事業登録を行っている組織が提供する個人データを使用することが許可されていますか(例:産業6311 – データ処理、リースおよび関連活動;6209 – 情報技術サービス活動;6312 – 情報ポータル;…)?
- 3. 個人データの国外処理の影響を評価するための評価書の形式およびプロセスは?公安省が評価書を審査および承認するのにどれくらいの時間がかかりますか?
この質問に対して、実行委員会は次のように回答しています:
海外のデータウェアハウスが個人データの海外移転とみなされるかどうかについて、組織委員会は、海外のデータウェアハウスがベトナム市民の個人データの処理に使用されているかどうかを判断する必要があると考えています。使用されている場合、それは法令の範囲内です。
法令13では具体的に規定されています:個人データプロセッサーとは、データコントローラーのためにデータを処理する契約または合意に基づいてデータを処理する組織または個人のことを指します。
第三者とは、データ主体、個人データコントローラー、個人データプロセッサー以外の個人または組織であり、個人データコントローラーおよびプロセッサーがデータを処理することを許可されている者を指します。上記の業務において、個人データコントローラーとデータ処理契約を締結している場合、個人データ処理の原則に従って、その活動範囲は次の原則に従います:
個人データは法律の規定に従って処理されます。データ主体は、法律で別段の定めがある場合を除き、個人データの処理活動について通知されます。個人データは、個人データコントローラー、個人データプロセッサー、個人データコントローラーおよびプロセッサー、第三者が宣言した目的および範囲に従ってのみ処理されます。収集された個人データは、適切かつ処理の目的と範囲に限定されるべきです。法律で別段の定めがある場合を除き、個人データは購入または販売することはできません。
個人データは処理の目的に従って更新および補足され、技術的手段を用いて処理中に個人データの保護とセキュリティを確保し、損失、破壊、損傷を防止するために保護されます。個人データは、処理の目的に適した期間のみ保存され、法律で別段の定めがある場合を除き、その後削除されます。
SeABank
- 顧客の個人データを処理する際、銀行は事前に通知する必要がある?。保存されたサービス記録に関連する顧客の個人データを削除する必要がある?。古い顧客データについては?
- 原則、開始する前に報告する義務があるけどデータ主体からの同意あれば必要ない。データ主体は削除を要求する権限あるで。
SeABankは次の内容の質問を送りました:「1. 第9条第1項によると、個人は個人データ処理活動について知る権利を持っています。顧客の個人データを処理する際、銀行は事前に通知する必要がありますか?それともデータ主体との事前合意がある場合、通知する必要はありませんか?2. 銀行規制に従って保存されたサービス記録に関連する顧客の個人データについて、データ主体が要求した場合、銀行はそれを削除する必要がありますか?3. 第4条第13項によると、個人データを処理する当事者は、データ収集前に同意がある場合、データ主体に通知する必要はありません。古い顧客データについて、銀行は通知しないことに同意できますか?それとも、個人データの収集前に顧客との合意がない場合、通知する義務がありますか?」
この質問に対して、実行委員会は次のように回答しています:
- (1)第9条第1項には、データ主体は個人データ処理活動について知る権利があると規定されています。個人データ処理の通知は、処理活動を開始する前に行われます。
- (2)個人データ処理についてデータ主体に通知される内容には、以下の項目が含まれます:a)処理の目的;b)処理目的に関連する個人データの種類;c)処理方法;
- (3)通知は、書面で、電子形式または検証可能な形式で行われなければなりません。個人データコントローラーおよび処理者は、以下の場合を除き、この条の第1項の規定に従う必要はありません:a)データ主体が第9条の規定に従ってデータ収集に同意している場合;b)個人データは、法の規定に従って国家機関の活動を遂行するために処理される場合;c)個人データは、法の規定に従って公開されている場合;d)個人データは、国家防衛、国家安全、社会秩序、安全、災害、危機の状況に関する緊急事態に対応するために処理される場合。データ主体の個人データが銀行規制に従って保存されたサービス記録に関連している場合、データ主体が要求したときに銀行はそれを削除する必要がありますか?この質問に対して、指令第13条第2項に従って、個人データ主体は、自分の個人データを削除または削除を要求する権利を持っています。
まとめ
まとめると以下のようになります。
会社名 | 質問の要約 | 回答 |
Dragon Capital Vietnam Fund Management Joint Stock Company | 個人データがDecree 13の有効日以前に収集・処理された場合、新たな同意が必要か? | 有効日以前に収集・処理されたデータについては新たな同意は不要。 |
Samsung Electronics Vietnam Co., Ltd. | 個人データ処理の影響評価報告書の提出頻度と方法について。 | 一度提出した影響評価報告書は、データの変更がない限り再提出不要。 |
KinderWorld Vietnam Joint Stock Company | 影響評価報告書の提出期限について。 | 法令発効日から60日以内に提出が必要。 |
Bank of China | データ主体のリクエスト処理における「実施」の意味と72時間の時間枠について。 | リクエストの処理開始が「実施」とされ、72時間は連続する時間を指す。 |
Manulife Vietnam Company Limited | データ主体のアクセス権、同意撤回権、削除権について。 | データ主体は特定の条件下でデータの編集、削除を要求できる。 |
TRUSTING SOCIAL Company | データ主体の信用度評価に関するデータ使用の許可について。 | データ主体の同意があれば使用可能だが、多くのシステムは違法にデータを収集しているため注意が必要。 |
Mobifone Telecommunications Corporation | 個人データの売買禁止について。 | 個人データの売買は法律で禁止されており、特定の条件下でのみ許可される。 |
Vietnam Business Forum (VBF) | 申請書類の翻訳と公証の必要性について。 | 申請書類はベトナム語で提出する必要があり、翻訳と公証は必要ない。 |
Baker Mackenzi Vietnam International Law Firm | 法令13の適用範囲について、外国企業がベトナム市民のデータを収集した場合。 | ベトナム市民のデータを収集する外国企業も法令の適用対象となる。 |
Tokio Marine Vietnam Co., Ltd. (TMIV) | 保険代理店やブローカーのデータ処理者としての分類について。 | 保険代理店やブローカーは、データコントローラーまたはデータプロセッサーとして分類される。 |
Toyota Finance Vietnam One Member Co., Ltd. (TFSVN) | 海外のデータウェアハウス、データ使用許可、影響評価書類の審査時間について。 | 海外のデータウェアハウスはデータの海外移転とみなされ、適切な評価と許可が必要。 |
SeABank | データ主体の通知権と削除権について。 | データ主体は通知を受ける権利があり、特定の条件下でデータの削除を要求できる。 |
お役にたてれば幸いです!
