個人データ保護政令の概要

2023年7月1日より、ベトナムの個人データ保護政令（政令第13/2023/ND-CP号、以下「本政令」といいます。）が、あらたに施行されました。

ベトナムにおいては、これまで個人データ保護を包括的に規律する法令が整備されておらず、民法やサイバー情報セキュリティ法・サイバーセキュリティ法等において、本人からの同意取得等に関する義務が部分的に定められているに過ぎない状況でした。本政令においては、GDPRをはじめとした諸外国における個人データ保護法制と同様に、個人データ管理者や個人データ処理者といった概念が設けられ、基礎個人データおよびセンシティブ個人データについて、適切に取扱う義務を負います。

本政令は2023年4月に公布されましたが、公布から施行までの期間が短時間であったため、未だ対応が間に合っていない日本の事業者もいらっしゃるものと推察されます。そのような場合には、本政令の違反状態が生じてしまっている可能性が高いため、早急に法令対応を行う必要があります。

対象となる個人データについて

本政令の保護の対象となる個人データとは「電子環境上の記号、文字、数字、画像、音またはそれに類似するもので、特定の個人と結び付くまたは特定の個人の識別に役立つ情報」として定義されています。

個人データはさらに、「基礎個人データ」と「センシティブ個人データ」に大別されます。氏名、生年月日、住所、身分証番号等は「基礎個人データ」に該当する一方で、個人のプライバシー権に結び付き、これが侵害されることによって個人の権利および利益に直接影響を及ぼすもの（政治的信条、健康情報、遺伝情報、性的指向に関する情報、位置データ等）が「センシティブ個人データ」に分類されています。特に位置データについては、他の法域ではセンシティブ個人データとして分類されないことが多いものの、ベトナムにおいてはセンシティブ個人データに該当します。たとえば、ベトナムを含む外国向けにアプリ提供を行っており、GPSを用いて位置情報を取得しているような場合にはセンシティブ個人データを取扱うこととなるため、注意が必要です。

適用対象について

本政令の対象となる事業者は以下の4類型とされています。

(1) ベトナムの機関、組織、個人
(2) ベトナムにおける外国の機関、組織、個人
(3) 海外で活動するベトナムの機関、組織、個人
(4) ベトナムでの個人データ処理活動に直接参加するまたは関連する外国の機関、組織および個人

日本の事業者が該当するのは主に上記(4)と考えられますが、「直接参加または関連する」という要件が不明確であるため、その対象範囲は必ずしも明らかではありません。少なくとも文言上は、広い範囲での域外適用を認めうる規定であるため、ベトナムに事業拠点を有する事業者のみでなく、日本国内からベトナムに向けて事業を行っている事業者においても、本政令が適用されうることについて注意しなければなりません。実際に、この点の解釈について、2023年6月に本政令の管轄当局である公安省が大々的に行った説明会においては、外国の事業者がアプリを通じてベトナム国民の個人データを取扱う場合に本政令の適用があるとの回答がされており、このことを前提とすると多くの日本の事業者が本政令の域外適用を受ける可能性があります。

（以上、前編）