こんにちはマナボックスの菅野です。本日はベトナム法令ニュースです。今日は2023年から話題になっている個人情報保護法に関する罰則の草案の解説です。具体的に言えば2024 年 4月15日に公安省が発行して、>>サイバーセキュリティ分野の違反に対する行政制裁に関する規則の解説です。
以下のリンクで個人情報保護に関する政令13/2023/ND-CPについて解説しています。
>>個人情報保護に関する政令13号(13/2023/ND-CP)の解説【12月から罰金が発生するの?】
この政令13号に定める義務等を実施しない場合には、行政罰の罰金が発生する可能性があります(現時点(2024年7月時点)では、公安省にて個人データ保護の規定に違反する場合の行政罰の政令を検討し、年内に成立する見込み、2024年ですね)政令案に規定する罰金額は、最大200,000,000VNDまで(法人の場合)+不正利益分となります。かなり大きいので日系企業でも話題になっています。
この草案の構成要素は以下の通りで1章から4章、全部で51条まであります。
- 第Ⅰ章 総則(1条から6条)
- 第II章 管理上の違反、罰則および救済措置(7条から41条)
- 第III章 行政違反の記録を作成し、行政罰を科す権限(42条から48条)
- 第Ⅳ章施行条件(49条から51条)
このうち第II章が重要でしょう。なぜならほぼこの章が大部分を占めるからです。そしてこのⅡ章は以下に細分化されます。
- 第1節 情報セキュリティ規程違反(7条から12条)
- 第2項 個人情報保護規定違反(13条から27条)
- 第3項 サイバー攻撃防止管理規程違反(28条から30条)
- 第4項 サイバーセキュリティ保護活動実施規定違反(31条から38条)
- 第5項 社会秩序および安全保障に関する法律に違反するために、口空間、情報技術および電子的手段を使用することの防止および対策に関する規則に違反する行為(39条から41条)
まず、第1章での総則で大事なところを説明し、第Ⅱ章での罰則の部分を解説していきますね。
この記事のもくじ
- この草案の前提をまず理解しよう!
- 個人情報保護政令違反をした場合の罰金について
- #1 保護措置および管理に関する違反(形式が強い)
- #2 同意および通知に関する違反について
- #3 データ主体の権利に関する違反
- #4 その他の違反
- まとめ
- 第2部 個人データ保護規定違反
- 第13条 個人データ保護の原則違反
- 第14条 データ主体の権利に関する違反
- 第15条 データ主体の同意に関する規定違反
- 第16条 同意撤回に関する規定違反
- 第17条 個人データ処理に関する通知の規定違反
- 第18条 個人データ提供に関する規定違反
- 第19条 個人データの編集に関する規定違反(続き)
- 第20条 個人データの保存、削除および破棄に関する規定違反
- 第21条 公共の場での録音・録画活動から収集された個人データの処理に関する規定違反
- 第22条 マーケティングサービスおよび広告製品紹介における個人データ保護に関する規定違反
- 第23条 個人データの違法な収集、移転、売買に関する規定違反
- 第24条 個人データ保護規定違反の通知に関する規定違反
- 第25条 個人データ処理の影響評価に関する規定違反(続き)
- 第26条 個人データの海外移転に関する規定違反
- 第27条 個人データ保護措置に関する規定違反
- 第2部 個人データ保護規定違反
この草案の前提をまず理解しよう!
前提条件になるのできちんと理解しておく必要があります。
- 誰が対象なの?
- 罰金の考え方
です。
誰が対象なのか?
この草案は、ベトナムの組織・個人、外国の組織・個人を対象に適用されるようです(第2条 適用対象)。そのため私たち外資系の日系企業にも適用されます。
罰金の考え方
この草案に記載される行政違反を犯したのが企業の場合と個人で分類されるようです(第5条)。企業の場合の罰金は個人の罰金の2倍となります。なお、本記事で記載している罰金額は、企業に対するものです。(2倍にしている)
個人情報保護政令違反をした場合の罰金について
私たち外資系企業である日系にとって一番気になるところですよね。ベトナムでの法律を検討する場合、以下に整理して考えています。
- 形式(ものという外観がある。規定、ポリシーを作成し、提出しなければいけないなど)
- 実質(個人情報が漏れてしまったときの対応など)
前者のところもかなりベトナムではかなり重要です。「これ法律で書類を作成しろって書いてあるよね。罰金についても書いてあるし」となり作成・提出していなかったことによる罰金は指摘しやすいんですよね。語弊があるかもしれませんが「中身」(実態が正しい)は気にせず、形式的に法律を守っておくということも場合に応じて判断する必要があるんです。
上記でも申し上げたとおり、「罰金」という意味では第2項 個人情報保護規定違反(13条から27条)が大事になっていきます。その上で大きくは形式と実質という視点を使って以下に整理して解説していこうと思います。
- 保護措置および管理に関する違反(形式や個人情報を取り扱う人)
- 同意および通知に関する違反(事前:個人データを収集・処理する際にデータ主体(本人)から必要な同意を得ず、またはデータの使用目的や方法を事前に通知しなかった場合の違反)
- データ主体の権利に関する違反(事後:データ主体が自分の個人データに対して持つ権利(アクセス、修正、削除など)を侵害する場合の違反
- その他違反
です。
なお「データ主体」とは個人情報保護の文脈において、自身の個人データが収集、処理、保存、利用される対象となる個人のことを指します。例えば、あなたが従業員であれがあなたは「データ主体」です。医療機関であれば病院やクリニックに通院する患者が「データ主体」です。具体例で理解するとわかりやすいですよね。
#1 保護措置および管理に関する違反(形式が強い)
まずはこれです。個人データを守るための対策を取らなかったり、社内ルールを作らなかった場合の違反、データ保護の基本ルールを作らなかったり、セキュリティチェックをしなかった場合の違反です。これに関連してデータ保護の担当者がその役割を果たさなかった場合の違反です。まとめると以下のようになります。
⭐️第27条 個人データ保護措置に関する違反
- 説明: データ保護の基本ルールを作らなかったり、データ処理の前にセキュリティチェックをしなかった場合の違反。また、敏感なデータを扱う担当者を決めなかった場合の違反
- 具体例: セキュリティ確認をせずデータを処理すること。
- 罰金額:20M VNDから100M VND
形式的という意味で留意すべきは27条でしょう。よく文言を見ると「基本ルール」とかありますよね。形式的(形としてのこる)です。ここが重要なポイントです。キーワードのところを引用しておきます。
第27条 個人データ保護措置に関する違反
以下の行為に対して10,000,000 VNDから20,000,000 VNDの罰金が科される:
a) 規定に従って個人データ保護措置を適用しないこと。
b) 個人データ保護の基本的な規定を作成・発行せず、必要な事項を明確に示さず、処理前にシステムやデバイスのネットワークセキュリティを確認せず、基本的な個人データを含むデバイスを回復不能な形で削除または破壊しないこと。
以下の行為に対して25,000,000 VNDから50,000,000 VNDの罰金が科される: a) 敏感な個人データを保護する部門を指定せず、敏感な個人データ保護の担当者を指定せず、敏感な個人データ保護担当部門および担当者に関する情報を個人データ保護専門機関と共有しないこと。 b) データ主体に対して、その敏感な個人データが処理されることを通知しないこと。ただし、政令第13/2023/NĐ-CPの第13条第4項、第17条、第18条に規定されている場合を除く。
引用元:草案
第24条 個人データ保護の管理者の責任違反
- 説明: データ保護の担当者がその役割を果たさなかった場合の違反。
- 具体例: データ保護の担当者が定期的なセキュリティチェックを行わなかったり、データ漏洩が発生した際に適切な対応をしなかった場合。
- 罰金額:40M VND – 60M VND
これらの違反は、企業や組織が個人データの保護に対して十分な対策を講じていないことを示します。具体的には、適切なセキュリティ対策の不足、内部ルールの未整備、担当者の不在などが含まれます。
#2 同意および通知に関する違反について
続いてこのカテゴリー。「事前」的な観点でデータ主体を保護する観点です。
第13条 個人データ保護原則の違反
- 説明: 個人データを処理する際に、データ主体に通知せず、同意を得なかった場合の違反。
- 具体例: データ主体に知らせずに個人データを収集・使用すること。
- 罰金額: 100M VND – 140M VND
第14条 データ主体の権利に関する違反
- 説明: データ主体の権利を侵害する行為に対する罰則。この条項は、データ主体が自身の個人データにアクセス、修正、削除を要求する権利や、同意の撤回に関する権利を保障しています。また、データ主体に通知せずに個人データを処理する行為や、データ主体の要求に応じない行為も含まれます。
- 具体例:
- データ主体が自身の個人データの処理について知らされないこと。
- データ主体が自身の個人データにアクセス、閲覧、編集、または修正を要求できないこと。
- データ主体が同意を撤回したにもかかわらず、個人データを収集および処理し続けること。
- データ主体の要求に応じて個人データを削除しない、または必要がなくなった場合に個人データを削除または破棄しないこと。
- データ主体の要求を受けてから48時間以内にデータを削除しないこと(休日、テト休日を除く)。
- データ主体の要求に応じて個人データの処理を制限しないこと。
- データ主体の要求に応じて個人データを提供しない、または48時間以内に提供を保証しないこと(休日、テト休日を除く)。
罰金額: 20M VND – 200M VND
第15条 個人データの保護措置違反
- 説明: 個人データを守るための適切な対策を取らなかったりすること
- 具体例: データを暗号化せず保存すること。
- 罰金額: 20M VND – 40M VND
第17条 個人データ処理の通知違反
- 説明: 個人データの処理についてデータ主体に通知しなかった場合の違反。処理方法や目的について事前に通知することが規定されています。
- 具体例: データがどのように使われるかを本人に伝えないこと。
- 罰金額: 20M VND – 40M VND
第22条 マーケティングサービスおよび広告商品の紹介に関する個人データ保護規定の違反
- 説明: マーケティングや広告のために個人データを使用する際に、データ主体に通知せず、同意を得なかった場合の違反。
- 具体例: 顧客の同意なしに個人データを使用してマーケティングメールを送信すること。
- 罰金額: 140M VND – 200M VND
です。
#3 データ主体の権利に関する違反
これは事後的な観点です。病院の例でいえば患者の情報を病院が入手した後にそれに対して患者に不利なことをしてしまったような場合です。
第16条 同意の撤回に関する規定違反
- 説明: データ主体が同意を撤回することを妨げたり、通知しなかった場合の違反。また、同意撤回後もデータを処理し続けた場合の違反。
- 具体例: データ主体が同意を撤回しようとする際にそれを妨げること、または同意撤回後にデータ処理を続けること。
- 罰金額: 20M VND – 100M VND
第18条 個人データの提供に関する違反
- 説明: 本人の同意なしに個人データを第三者に提供した場合の違反。
- 具体例: 本人に知らせずに情報を他の会社に売ること。
- 罰金額: 20M VND – 40M VND
第19条 個人データの保存および削除に関する違反
- 説明: 個人データを適切に保存および削除しなかった場合の違反。
- 具体例: 不要になった個人データを削除せずに保存し続けること。
- 罰金額: 50 VND – 100 VND
第20条 データ主体の権利侵害に関する違反
- 説明: データ主体が自分の個人データにアクセス、修正、削除する権利を侵害した場合の違反。
- 具体例: 本人が自分の情報を修正したいと言っても応じないこと。
- 罰金額: 50M VND – 100VND
#4 その他の違反
その他にカテゴリした違反の説明です。
第21条 公共の場所での録音および撮影活動により収集された個人データの処理に関する規定違反
- 説明: 公共の場所で録音または撮影し、収集された個人データを、被写体に通知せずに処理すること。
- 具体例: 公園や駅で人々の動画を撮影し、そのデータを被写体に通知せずにマーケティング目的で使用すること。
- 罰金額: 20M VND – 40M VND
第23条 個人データの不正収集、転送、購入および販売に関する規定違反
- 説明: 法律で許可されていない個人データの転送や、個人データの不正な売買を行うこと。
- 具体例: 顧客の個人データを違法に販売すること。
- 罰金額: 140M VND – 200M VND
第25条 個人データ処理の影響評価に関する規定違反
- 説明: 個人データの処理開始時に影響評価記録を作成および維持しないこと。
- 具体例: 個人データを処理する前に、セキュリティリスクの影響評価を行わないこと。
- 罰金額: 140M VND – 200M VND
第26条 個人データの国外移転に関する規定違反
- 説明: 個人データを国外に移転する際に、必要な手続きや通知を行わなかった場合の違反。
- 具体例: 公安省にデータ移転の影響評価プロファイルを提出せずにデータを国外に移転すること。
- 罰金額: 140M VND – 200M VND
まとめ
表でまとめると以下のようになるでしょう。
カテゴリ | 規定条項 | 要約説明 | 具体例 | 罰金(2倍の金額を記載しています) |
| #1 保護措置および管理に関する違反 | 第24条 | 個人データ保護規定違反の通知に関する違反 | 違反を発見した後に適切な通知を行わないこと | 20M VND – 40M VND |
| #1 保護措置および管理に関する違反 | 第27条 | 個人データ保護措置を適用しないことや、基本的な規定を作成しないこと | データ保護の基本ルールを作成しないこと | 20M VND – 100M VND |
| #2 同意および通知に関する違反 | 第13条 | 個人データを処理する際にデータ主体の同意を得ず、通知しなかった場合の違反 | データ主体に知らせずに個人データを処理すること | 100M VND – 140M VND |
| #2 同意および通知に関する違反 | 第14条 | データ主体の権利を通知せず、または侵害する場合の違反 | データ主体の要求に応じず、個人データの削除を拒否すること | 20M VND – 200M VND |
| #2 同意および通知に関する違反 | 第15条 | データ主体の同意を得ずに個人データを処理した場合の違反 | データ主体の同意なしに個人データを収集・処理すること | 20M VND – 100M VND |
| #2 同意および通知に関する違反 | 第17条 | 個人データ処理に関する通知義務を怠った場合の違反 | データ主体にデータ処理の目的や方法を通知しないこと | 20M VND – 40M VND |
| #2 同意および通知に関する違反 | 第22条 | 個人データ保護に関するマーケティングサービスおよび広告の規定違反 | 顧客の個人データを無断で使用して広告を行うこと | 140M VND – 200M VND |
| #3 データ主体の権利に関する違反 | 第16条 | データ主体が同意を撤回する権利を妨げる場合の違反 | 同意の撤回を難しくする、または撤回後もデータを処理し続けること | 20M VND – 100M VND |
| #3 データ主体の権利に関する違反 | 第18条 | データ主体が自分のデータを提供する権利を侵害する場合の違反 | データ主体の要求に応じず個人データを提供しないこと | 20M VND – 100M VND |
| #3 データ主体の権利に関する違反 | 第19条 | データ主体が自分のデータを修正する権利を侵害する場合の違反 | データ主体の要求に応じてデータを修正しないこと | 20M VND – 40M VND |
| #3 データ主体の権利に関する違反 | 第20条 | データ主体のデータを削除する権利を侵害する場合の違反 | データ主体の要求に応じずデータを削除しないこと | 20M VND – 100M VND |
| #4 その他違反 | 第21条 | 公共の場所での録音および撮影による個人データの処理に関する違反 | 公共の場所での撮影を被写体に通知せずにデータを処理すること | 20M VND – 40M VND |
| #4 その他違反 | 第23条 | 個人データの不正収集、転送、購入および販売に関する違反 | 顧客の個人データを違法に売買すること | 140M VND – 200M VND |
| #4 その他違反 | 第25条 | 個人データ処理の影響評価に関する違反 | 個人データ処理の影響評価を行わないこと | 140M VND – 200M VND |
| #4 その他違反 | 第26条 | 個人データの海外移転に関する規定違反 | 個人データの海外移転に際して必要な手続きを行わないこと | 140M VND – 200M VND |
となります。
草案の日本語訳も記載しておきます。
