ブログ
ベトナムの個人データ保護政令の施行について(後編)
2023.07.27
2023年7月1日より施行されているベトナムの個人データ保護政令(政令第13/2023/ND-CP号、以下「本政令」といいます。)について、前編に引続き、特に重要なトピックに焦点を当ててその概要を説明します。
同意取得について
個人データ(基礎個人データおよびセンシティブ個人データ)を取扱うためには、一部の例外を除き原則としてデータ主体本人の同意が必要とされます。また、有効な同意を得るためには、取扱う個人データの種類、取扱い目的、個人データを取扱うことが認められる組織と個人、および本人の権利義務について本人が認識していることが求められるため、同意を得る際にプライバシーポリシー等を通じて、個人データの取扱いについて説明を行うことも必要です。
なお本政令においては、データ主体本人の沈黙や非回答を同意とみなすことはできないと規定されていることから、いわゆる「黙示の同意」(本人による明示的な同意が示されていないものの、特定の状況に照らして、データ主体本人が個人データの取扱いに同意していると推定すること)は認められないと考えられます。本政令が同意の取得方法について「具体的には書面、音声、同意ボックスにチェックを入れる形式、同意文をテキスト化する形式、同意のため技術設定を選択する形式、またはこれを示すことができるその他の行為の形式によって表明されなければならない」と規定されていることを踏まえ、データ主体の能動的な行動を求めたうえで同意を得る仕組みを作らなければなりません。
個人データの取扱いについて原則として本人同意が求められることを踏まえて、ベトナムにおいて事業を行っている事業者は、消費者(顧客)や従業員から適切に同意を取得できているのか、個人データの取扱いに関して必要な通知を行っているか(本政令に即したプライバシーポリシーを策定しているか)、といったことをあらためて見直しておかなければなりません。
影響評価について
本政令における特徴的な義務として、個人データの取扱いや越境移転に関する影響評価を実施したうえで、当該影響評価を行った書面を作成・保管し、さらには当局(公安省サイバーセキュリティハイテク利用犯罪防止局)に提出しなければならないとされています。
個人データの取扱いや越境移転に関する影響評価は、欧州のGDPRや中国の個人情報保護法においても求められており、その点では類似の制度ということができます。もっとも、欧州のGDPRにおいてはデータ主体の権利および自由に対する高いリスクを生じるおそれがある場合に影響評価の実施を求められ、中国の個人情報保護法においては個人データを中国域外に越境移転する場合に影響評価を行うことが求められているのに対して、ベトナムの本政令においては個人データを取扱うことそれ自体に対しても影響評価が求められることが特徴的です。すなわち、本政令における影響評価の実施義務の対象は非常に広範であるということができます。事業を行うにあたって、取引先の方や従業員の個人データを取扱う機会はほぼ必ず生じるといえるため、事実上すべての事業者において、影響評価の実施と当局への提出が求められます。
日本企業の対応
本政令においては、本記事において説明した同意取得や影響評価の実施義務に加えて、個人データの安全管理体制を構築する義務や、インシデント発生時における当局への報告義務等も課されています。ベトナムにおいて拠点を有している事業者は、当該ベトナム拠点において本政令への対応ができているか確認し、未実施の義務について早急に対応を行う必要があります。その際には、本政令とGDPR等の諸外国の法制度との間に多くの類似点が認められることから、ベトナム以外の国において実施した個人データ保護法対応をベースとする(他法域で作成済みのプライバシーポリシーや同意書を、本政令に則った内容に修正していく等)ことも有益と思われます。もっとも、他法域の法制度と類似しているように見える場合であっても、本政令独自のルールや規制があることから、その差分に注意して対応を進めなければなりません。
また、本記事の前編においても述べた通り、ベトナム拠点のみでなく、日本法人にも本政令が直接適用される場合があることにも、あらためて注意が必要です。特にウェブサイトやアプリを通じて、ベトナムでの個人データ取扱い活動に直接参加する、または関連するような場合であれば、日本法人においても当該ウェブサイトやアプリのプライバシーポリシーを作成したり、同意取得フローを見直すといったコンプライアンス対応が求められます。
(以上、後編)