(1) 個人データ保護に関する規制の更新
個人データ保護法(法律第91/2025/QH15号)及び政令第356/2025/ND-CP号は、ベトナムの機関・組織・個人、ベトナムで活動する外国の機関・組織・個人、及び個人データ処理活動に直接従事し、又はこれに関連する外国の機関・組織・個人に適用されます。以下、ベトナムにおける個人データ保護規制に関して留意すべき主なポイントを記載します。
政令第356号は、データ統括者及びデータ統括・処理者に対し、データ主体の同意に関する記録を保存することを求めています。紛争が生じた場合、データ主体の同意に関する立証責任は、データ統括者やデータ統括・処理者が負います。
データ統括者及びデータ統括・処理者は、データ主体がデフォルトで同意したものとする仕組みを設けること、又はデータ主体が同意と不同意を混同するおそれのある曖昧若しくは誤解を招く指示を作成することを禁止されています。あらかじめ設定されるデフォルト設定は、個人データ保護の原則を遵守し、個人データ主体の権利を尊重するものでなければなりません。
(2) 禁止行為
同法は、以下の行為を厳格に禁止しています。
・国家、国家安全保障、社会秩序又は公共の安全を害する目的で個人データを処理すること
・法令により別段認められる場合を除き、いかなる形式であっても個人データを売買すること
・他人の個人データを不正に取得し、故意に開示し、又は消失させること
・個人データ保護活動を濫用して、法令に違反し、又は管轄当局の業務を妨害すること
(3) 個人データ保護法令違反に対する制裁
違反の性質及び重大性に応じて、違反者は、行政制裁、刑事責任及び損害賠償責任(該当する場合)を負う可能性があります。組織に適用される行政罰としての罰金額は、以下のとおりです。なお、個人が同一の違反行為を行った場合の罰金額は、組織に適用される上限額の2分の1となります。
・ 個人データの越境移転に関する違反:当該組織の直近前年度の売上の5%に相当する金額が30億ベトナムドン以上である場合、その5%に相当する罰金が科されます。直近前年度に売上があるものの、当該売上の5%に相当する金額が30億ベトナムドンを下回る場合、又は直近前年度に売上がない場合には、罰金額は30億ベトナムドンとなります。
・ 個人データの売買:違反により得た不正利益の10倍に相当する金額が30億ベトナムドン以上である場合、その10倍に相当する罰金が科されます。不正利益が発生しているものの、当該不正利益の10倍に相当する金額が30億ベトナムドンを下回る場合、又は不正利益が発生していない場合には、罰金額は30億ベトナムドンとなります。
(4) 個人データ越境移転影響評価が免除される場合
個人データ越境移転影響評価の実施義務の免除は、企業の事務負担を大幅に軽減するものです。免除対象となる場合には、以下が含まれます。
・ 適用法令に従って行われる報道及びメディア活動
・ 適法に公開された個人データの越境移転
・ 個人の生命、健康又は財産の安全を保護するため、又は法令に定められた任務及び義務を履行するために、個人データの越境移転が真に必要である緊急事態
・ 法令に定められた社内就業規則、規程及び労働協約に従った越境人事管理を目的とする個人データの越境移転
・ 契約の履行、又は越境輸送、物流、送金、決済、宿泊サービス、査証申請もしくは奨学金申請に関する手続の実施を目的とする個人データの越境移転
(5) 機関及び組織における個人データ保護部門並びに個人データ保護担当者
個人データ保護担当者に要求される要件は、以下のとおりです。個人データ保護部門のすべての人員も下記要件をすべて満たす必要があります。
・ 短期大学卒業以上の学歴を有していること
・ 卒業日から起算して、法務、情報技術、サイバーセキュリティ、データセキュリティ、リスク管理、コンプライアンス管理、人事管理、又は組織・人事管理のいずれかの分野において、2年以上の実務経験を有していること
・ 個人データ保護に関する法的知識及び専門技能について、研修及び専門的能力開発を受けていること
(6) 個人データ処理サービス
個人データ処理サービスを業として提供する場合、厳格な条件が適用され、個人データ処理サービス提供資格証明書の取得に関する所定の手続を完了しなければなりません。
個人データ処理サービスとは、信用スコアリングサービス、個人データ暗号化サービス、並びにビッグデータ技術、人工知能、ブロックチェーン及び仮想空間技術に基づく自動データ処理サービスなどが含まれますが、これらに限られません。
