2023年7月1日から、ベトナム個人情報保護政令（Decree No. 13/2023/ND-CP、Personal Data Protection Decree）（以下「本政令」又は「PDPD」といいます。）が施行され、ベトナムにグループ会社や支店を置く日本企業も対応を検討する必要があります。
本政令は、個人データの処理の根拠を要するなど、GDPRに類似した制度となっていますが、個人データを処理している全ての場合に個人データ処理影響評価を行わなければならないとみられるなど、GDPRより厳しいと思われる規律もあります。また、日本や外国への個人データの越境移転の際に、個人データ越境移転影響評価を実施しなければならないなど、日本企業にも影響を与える規律が含まれています。
本稿では、本政令の具体的な対応について解説します。
（最終更新：2023年10月19日）

1. ベトナム個人情報保護政令の概要

(1)適用対象者と域外適用

本政令は以下の者に適用されることとされています（本政令1条2項）。

(i) ベトナムの団体、組織及び個人
(ii) ベトナムにある外国の団体、組織及び個人
(iii) 外国で活動するベトナムの団体、組織及び個人
(iv) ベトナムにおける個人データの処理に直接関与又は関連する外国の団体、組織及び個人

ベトナムにあるグループ会社（①）や、ベトナムに支店をおいて個人データを取り扱っている場合（②）には、本政令が適用されると考えられます。他方、④が想定する範囲は文言上明らかではありません。

(2)個人データの定義

本政令において個人データとは、記号、文字、数字、画像、音声又はそれに準じるものの形式で、個人に紐づけられ又は個人を識別するために利用される電子情報のことと定義されています（本政令2条1項）。また、個人を識別するために利用される情報とは、個人の活動に起因する情報であって、他に保管される情報やデータと組み合わせると個人を識別することができる情報のことと定義されています（本政令2条2項）。
個人データには、基本的な個人データとセンシティブ個人データが含まれます。

【センシティブ個人データ】
・政治的、宗教的意見
・血液型を除く健康状態、ヘルスレコードに記載された個人情報
・人種、民族的期限に関する情報
・個人の先天的又は後天的な遺伝的特徴に関する遺伝子データに関する情報
・個人の物理的及び生物学的特性に関する情報
・性生活又は性的思考に関する情報
・法執行機関により収集、保存された犯罪及び犯罪活動についてのデータ
・金融機関、外国銀行支店、決済代行会社、その他の許可された機関の顧客情報であり、以下を含むもの：法令によって規定された顧客識別情報、口座に係る情報、預金に係る情報、預かった資産に係る情報、取引に係る情報、銀行の支店、決済代行会社における保証人又は担保の設定人に係る情報
・位置情報サービスにより識別された個人の位置情報
・法令によって特段の保護が求められているその他の個人データ

なお、日本の個人情報保護法とは異なり、死亡した人の情報も個人データに含まれています。

(3)管理者と処理者

本政令においては、個人データを取り扱う者について管理者（個人データを処理する目的及び手段を決定する組織又は個人）（本政令2条9項）と処理者（管理者との契約又は合意により管理者の代わりに個人データを処理する組織又は個人）（本政令2条10項）などが定められています。

2.実務対応のポイント

(1)処理の根拠の検討

個人データを処理する場合、取得から、利用、提供など個人データを処理するすべてのプロセスについて、原則として同意を取得することとされています（本政令11条1条）。
本人の同意なく個人データを処理することができる場合は、以下のとおりです（本政令17条、18条）。GDPR等とは異なり、正当な利益に基づく処理が認められていないことには留意が必要です。

・緊急時にデータ主体又は第三者の生命又は健康を保護するために個人データを処理する場合（ただし、そのような状況にあることを証明する責任がある。）
・法令に従い個人データを開示する場合
・管轄当局による処理で、以下に該当する場合：国家防衛、国家安全保障、社会保障及び秩序、大規模災害、重大な疫病等の緊急事態の場合、国家の防衛と安全に対する脅威が認められるものの、国家緊急事態の宣言には至っていない場合又は暴動、テロ、犯罪、法律違反の予防と対策のため、法律に従って行う場合
・データ主体と関連する機関、組織及び個人の間の契約に基づく義務を法令に従って履行するために個人データを処理する場合
・関連する法令に基づき国家機関の業務遂行のために個人データを取り扱う場合
・国家安全保障、社会秩序及び安全のため、又は法定の組織または個人の正当な権利利益のために公共の場で処理権限を有する機関・組織が録音・録画を行い、録音・録画により得られた個人データを処理すること

ベトナムではこれまでも、個人情報の取得、利用、第三者提供の際には、データ主体の同意が必要とされていました。しかし、本政令では（2）で述べるように同意取得の形式が詳細に定められているため、これまで同意を根拠として行ってきた個人データの取扱いが、本政令の下でも同意を根拠として取り扱うことができるかには留意する必要があります。

(2)処理に関する同意取得と情報提供書面の作成

処理の根拠を同意とする場合は、以下の情報を示して同意を取得する必要があります（本政令11条2項）。

・個人データの種類
・目的
・個人データを処理する組織または個人
・データ主体の権利及び義務

本政令において同意とは、データ主体が明確、自発的かつ積極的に行うものとされており（本政令2条8項）、同意の取得方法は以下のとおり詳細に定められています。

• データ主体の同意は、書面、口頭、同意チェックボックスへのチェック、メッセージによる同意、同意の設定その他の形式により明確に行う（本政令11条3項）
• 複数の利用目的で個人データを処理する場合、データ主体が一つ又は複数の利用目的に同意するよう利用目的をリストにする（本政令11条4項）
• 電子的又は確認可能な形式を含む印刷された又は書面でコピーできる形式により同意の意思表示がなされること（本政令11条5項）
• 黙示又は同意しないとの回答がないことは同意としてみなされない（本政令11条6項）
• データ主体は条件付きの同意を行うことができる（本政令11条7項）

なお、同意は撤回することができ、紛争になった場合、管理者はデータ主体の同意があることを証明しなくてはなりません（本政令11条9項、10項）。

(3)マーケティング及び広告サービスの提供に関する個人データ保護

事業活動を通じて取得した個人データをマーケティング及び広告サービスの提供のために利用する場合、データ主体の同意を取得しなければなりません（本政令21条1項）。
この同意は、データ主体が広告サービスの内容、方法、形式及び頻度を知っていることを前提に取得する必要があるとされています（本政令21条2項）。
したがって、マーケティング及び広告サービスの提供のために個人データを利用する場合は、(2)で述べた情報提供書面に、上記事項も記載することとなると考えられます。

(4)通知書面の作成

個人データが処理される前に、以下の事項を通知することとされています（本政令13条1項、2項）。

・処理の目的
・処理される個人情報の種類
・処理の方法
・処理に関連する他の組織や個人の情報
・予期せぬ結果や損害
・処理の始期と終期

同意に基づいて個人データの処理を行う場合は、同意取得のための情報提供時に、本政令13条2項で通知が求められる事項もデータ主体に通知することとなります（本政令13条4項a参照）。
他方、民間企業においては、同意以外の根拠に基づき個人データを処理する場合には、通知書面を作成し、データ主体に対し通知を行う必要があると考えられます。

(5)個人データの保護に関する規則の策定及び公表

本政令では、個人データの保護のために、所定の安全管理措置を講ずることが義務付けられており（本政令26条2項、27条1項）、本政令に基づき行われる個人データの保護に関するタスクを特定した個人データの保護に関する規則を策定作成し、公表しなければならないとされています（本政令27条2項）。

(6)個人データ処理影響評価の実施

管理者は、個人データの処理が開始する時点から、個人データ処理影響評価を実施し、その書類を保存しなければならないとされています。また、個人データ処理影響評価の書類は、個人データを処理した日から60日以内に公安省に提出しなければならないこととされています（本政令24条1項、4項）。
管理者による個人データ処理影響評価書類には以下の項目が含まれることとされています。

(i)管理者の連絡先
(ii)管理者の個人データ保護を担当する組織又は従業者の氏名及び連絡先
(iii)処理の目的
(iv)処理される個人データの種類
(v)個人データを受領する組織又は個人（ベトナム域外に所在する者も含む）
(vi)個人データを域外移転する場合
(vii)個人データの処理期間（もしあれば、個人データを消去又は破棄する期間）
(viii)個人データ保護の方法
(ix)個人データを処理する影響の評価（予期せぬ結果や損害、そのような結果や損害を減らし又は取り除くための方法）

個人データ処理影響評価を公安省に提出する際は、本政令フォーム4を利用することになっていますが、フォーム4には、具体的な評価の方法が記載されているわけではありません。
そこで、GDPRや他の法令におけるデータ保護評価の方法を参考に実施することが考えられます。
また、本政令においては、個人データ処理影響評価行わなくてもよい例外が定められていないことから、個人データを1件でも処理する場合には、個人データ処理影響評価を行い、公安省に当該書類を提出する必要があることになると考えられます。

（※2023年10月19日追記）
個人データ処理影響評価のフォーマットと個人データ越境移転評価のフォーマットが公開されています（いずれもベトナム語のみ）。

(7)日本その他の外国への越境移転の実務（影響評価書類、データ移転契約等）

本政令において、個人データの越境移転とは、サイバースペース、電子機器、設備又はその他の形式を用いて、ベトナム国民の個人データを処理するためにベトナム国外の領域に移転することとされています（本政令2条14項）。具体的には、データ主体が同意した目的でデータを処理するために、組織、企業又は個人がベトナム国民の個人データを海外の組織、企業又は管理部門に移転することや、データ主体が同意した目的のためにベトナム国外の自動システムにより処理されることが挙げられています（本政令2条14項）。
ベトナム国民の個人データを日本その他の外国へ越境移転するためには、①個人データ越境移転影響評価を行い書類を作成し、②当該書類を、個人データを処理してから60日以内に公安省へ提出し、③越境移転完了後に公安省に対しデータ移転とデータ移転の担当者の連絡先を通知する必要があるとされています（本政令25条）。
個人データ越境移転影響評価書類には、以下の項目が含まれることとされています（本政令25条2項）。

(i)提供者及び受領者の連絡先
(ii)ベトナム国民の個人データの提供及び受領にかかわる組織又は個人の氏名及び連絡先
(iii)移転後の個人データの処理の目的の説明
(iv)越境移転される個人データの種類
(v)本政令の遵守状況や個人データ保護の方法の詳細の説明
(vi)個人データを処理する影響の評価（予期せぬ結果や損害、そのような結果や損害を減らし又は取り除くための方法）
(vii)問題が生じた場合のフィードバックや請求の方法を知らされた上で本政令11条に基づきデータ主体が行った同意
(viii)提供者と受領者間のベトナム国民の個人データを処理するための義務及び責任を示す書面

したがって、個人データ越境移転影響評価書類を公安省に提出する場合は、(i)～(vi)に関する書類と、同意を取得していることがわかる書面及びデータ移転契約書を提出することになると考えられます。
なお、個人データ越境移転影響評価書類を公安省に提出する場合も本政令フォーム6を利用することになっていますが、フォーム6には、具体的な評価の方法が記載されているわけではないため、他国の法令における越境移転評価の方法を参考に行うことが考えられます。
また、(viii)について、本政令では提供者と受領者間で取り決めておくべき事項は定められておりません。そこで、ASEAN域内のデータの越境移転に関するモデル契約条項（ASEAN Model Contractual Clauses for Cross Border Data Flows）を用いることも考えられます。

※1　データ移転契約に関しては、越境移転の場合に限らず、処理者は、管理者と個人データの処理に関する契約を締結した後でなければ個人データを受領することができないこととなっています（本政令39条1項）。
※2　本政令は、ベトナム国内に個人データを保存する義務（データローカライゼーション）や越境移転に関しベトナム当局の許可を得なければならないことについては定められていません。

(8)その他グループ内の体制の整備

ア   安全管理措置

管理者は、個人データの処理に関し安全管理措置を行うことが義務付けられており、組織及び個人についての管理措置や、技術的措置等を講ずることが求められます（本政令26条2項）。

イ   漏えい報告

個人データ保護に関する規律の違反が発見された場合（漏えいなど）、72時間以内に公安省に対し通知を行わなければならず、72時間以内に通知できなかった場合は、報告が遅れた理由を通知しなければならないこととされています（本政令23条1項）。
また、本人に対しても可能な限り速やかに通知を行う必要があります（本政令23条2項）。

ウ   データ主体の権利

データ主体は、アクセス権、同意撤回権、削除権、処理を制限する権利、データポータビリティ権、処理について異議を述べる権利（広告及びマーケティング目的の利用又は開示について）、訴訟を提起する権利、損害賠償請求等を有しています（本政令9条）。このうち、処理を制限する権利や、処理について異議を述べる権利は、データ主体から請求を受けた後、72時間以内に対応する必要があるとされていますので、あらかじめ対応手順を作成しておく必要があります。

エ   個人データ保護担当者

一般的に個人データ保護担当者を設置することは義務付けられていませんが、センシティブ個人データを取り扱う場合は、個人データ保護を担当する部署と担当者を任命する必要があります。また、個人データ保護機関との情報交換を行うこととされています（本政令28条2項）。

3.罰則について

本政令に違反した場合の罰則については、本政令とは別の政令（Cybersecurity Administrative Sanctions Decree）において定められる予定です。罰則政令の草案では、以下の場合に、総収入の5％以下の罰金が科されることが想定されています。

(i)マーケティングや広告サービスを提供する場合に、個人データ保護に関する違反を繰り返した場合
(ii)以下の違反を繰り返した場合
　a システム、設備、サービスによる不当な個人データの取得を防ぐための適切な方法を行わなかった場合
　b 違法又は個人データ保護の原則に反する個人データの提供を行った場合
　c 個人データの違法な売買を行った場合
(iii)500万人以上のベトナム国民の個人データを違法に開示又は滅失した場合
(iv)500万人以上のベトナム国民の個人データを違法に海外に移転した場合

（※2023年10月19日追記）
罰則政令には、本政令に違反した場合、一度目の違反から罰金を課すことができるものも含まれております。
また、違反した規律によっては、営業許可の停止も可能となっております。さらに、是正措置として、マスメディアでの謝罪もあり得る規定となっています。

4.施行スケジュール

本政令は、2023年7月1日から施行されることとなります。
そして、個人データ処理影響評価及び個人データ越境移転影響評価の書類は、個人データの処理から60日以内に公安省に提出することとなっています。現時点で行っている個人データの処理や越境移転を、7月1日以降も引き続き行う場合、7月1日から60日以内に当該書類を提出できるよう準備をしておく必要があると考えられます。
また、罰則については、2023年6月20日まで草案のパブリックコメントが実施されたところであり、2023年12月1日から正式に施行される可能性があります。したがって、2023年12月1日までは執行がなされない可能性が高いと考えられます。
ベトナムで個人データを取り扱う日本企業にとっては、個人データ処理影響評価及び個人データ越境移転影響評価の実施が対応に時間を要することになる可能性が高いため、早急に対応の検討を始めておく必要があると思われます。

関連セミナー・関連情報・お問い合わせ

U&Pリーガルセミナー「ベトナム個人情報保護政令への実務対応」を2023年7月21日に実施します（無料）（2023年9月30日までアーカイブ配信予定）。こちらのページからお気軽にお申し込みください。