見出し画像

ベトナム最新法令UPDATE Vol.6:ベトナム個人データ保護政令について

三浦法律事務所/Miura & Partners

2023年4月17日、ベトナムにおいて、「個人データ保護政令」(Nghị Định Bảo Vệ Dữ Liệu Cá Nhân)が公布されました(以下「本政令」といいます)。本政令は、原則として、2023年7月1日から施行されます(43条1項)。

本政令については、日系のアドバイザリーファームも多くニュースレターを出しています。もっとも、クライアントの皆さまから、「さまざまなニュースレターを読んで政令の内容は分かったが、具体的に何をどのように準備していけばよいか分からない。」という声が多く聞こえてきます。

そこで、本記事では、「日本企業のベトナム子会社において、具体的に何を準備する必要があるか?」という観点からポイントを解説します。

1. 準備すべきもの

本政令への対応として、準備すべきものには、大きく以下の4つがあります。

・個人データ保護規程(27条2項)
・個人データ処理通知フォーム・同意フォーム(11条2項、13条)
・個人データ処理影響評価フォーム(24条)
・個人データ国外移転影響評価フォーム(25条)

以下では、上記それぞれについて、その主要な内容・ポイントを解説します。

2. 個人データ保護規程

(1)総論

個人データ保護のための施策として、事業者は、「個人データ保護規程」(quy dịnh về bảo vệ dữ liệu cá nhân)を作成し、公表することが求められています(27条2項)。

個人データ保護規程には、本政令の定めに従い実施しなければならない事項について明確に記載しなければならないとされています。

この、「個人データ保護規程」が、事業者における個人データ保護のための施策の基本的な規則となることが想定されており、プライバシーポリシーに相当するものであるように思われます。

このため、本政令の内容をよく理解し、本政令で求められている対応を過不足なく「個人データ保護規程」の中に盛り込んでいくことが重要となります。なお、後述の通り、個人データ保護規程に盛り込むべき内容には、会社の組織設計や権限分担といった総務部・法務部が担当する内容だけでなく、技術・セキュリティーといった技術部門が担当する内容が含まれているため、社内の適切な部署間で連携しながら作成を進めていくことが重要となります。

以下では、個人データ保護規程に盛り込むべき、本政令の記載内容の一部について紹介します。これらはあくまでも例を紹介するものであり、実際に「個人データ保護規程」を作成する際は、本政令全体の内容を理解した上で、これらを適切に盛り込む必要がある点にご留意下さい。

(2)個人データの「管理措置」と「技術措置」

事業者側がとるべき個人データ保護施策として、「管理措置」と「技術措置」が挙げられています(26条2項a、b)。

  • 管理措置(biện pháp quản lý)

「管理措置」としては、会社の組織・機能・仕組みといったガバナンスの観点から、どのような措置を講じるかという点を説明すべきものと考えられます。例えば、以下の事項が考えられます。

・個人データ保護について責任を負う部署・部門とその権限
・個人データ保護について責任を負う個人とその職責
・個人データへのアクセス権限を有する者の範囲、アクセスする際の内部承認プロセス
・個人データ処理やアクセス履歴の記録・保管等

  • 技術措置(biện pháp kỹ thuật)

「技術措置」としては、ソフトウェア、デバイス、情報セキュリティー等の面からどのように個人データを保護しているかを説明すべきものと考えられます。例えば、以下の事項が考えられます。

・個人データ処理のために用いられるデバイス、ソフトウェア等に関する説明・評価
・セキュリティーのために起用しているベンダ・ソフトウェアーとその評価
・自社のシステム・設備等により違法な個人データの収集が行われないようにするための技術的な措置(22条1項参照)
・違法なアクセスから個人データを保護するために導入しているソフトウェア等の内容・評価(26条6項等を参照)

自社において、どのような「管理措置」、「技術措置」をとっていくのかを明確にしたうえ、これらを「個人データ保護規程」に落とし込んでいくことになります。

(3)個人データ主体からのリクエストへの対応(14条~16条)

個人データ主体は、個人データ管理者等に対して、個人データの提供、アクセス、修正、削除等をリクエストできるものとされています(14~16条)。このようなリクエストを受けた事業者は、リクエストがなされてから72時間以内に対応を行う必要があります(14条3項)。

「個人データ保護に関する決定」には、個人データ主体からこれらのリクエストを受けた場合の処理手順を書き込んでおくことになります。

なお、個人データ主体からのリクエストのフォーマットは、本政令の別紙1、別紙2として添付されています。

(4)個人データ保護違反が発生した場合の通知(23条)

個人データ保護に関する違反が発生した場合やその他の一定の場合には、違反が生じてから72時間以内に、サイバーセキュリティ・ハイテク犯罪対策局に対して通知を行わなければならないとされています(23条1項、6項)。

この通知を行う際のフォーマットは、本政令の別紙3として添付されていますので、このフォーマットを用いることになります。

個人データ保護規程では、個人データ保護違反事故等が生じた際の対応プロセスについて書き込んでおく必要があります。

(5)センシティブ個人データの処理について

センシティブ個人データの処理については、特別の施策が求められています(28条)。まず、どのようなデータが「センシティブ個人データ」に該当するかを本政令に照らして理解したうえ、自社がセンシティブ個人データを扱っている場合には、その取扱い方法や施策を、本政令の内容をベースに、個人データ保護規程に盛り込んでいく必要があります。

3. 個人データ同意フォーム、個人データ処理通知フォーム

本政令条、「個人データ処理同意」と「個人データ処理通知」が分けて記載されています。もっとも、個人データ同意の際に、個人データ主体が既に通知内容を明確に認識していた場合には、改めて通知を行う必要はないとされています(13条4項a)。

このため、個人データ同意フォームに、通知すべき内容も盛り込んでおき、個人データ同意フォームを「通知内容をよく読んだ上で同意する」という形にすることで、これらを統合することが可能であると思われます。

(1)個人データ処理同意フォーム

個人データの処理については、個人データ主体の同意を取得する必要があります(11条1項)。この同意取得は、明確かつ具体的である必要があります(11条3項)。同意の形態としては、書面、音声、同意ボタンのクリック等の方法が認められています(同条項)。

個人データの同意には、以下が含まれる必要があります。

・処理される個人データの種類
・個人データ処理の目的
・個人データを処理する期間・個人
・個人データ主体の権利・義務

(2)個人データ処理通知フォーム

個人データ処理活動を開始する前に一度、個人データ処理通知を行う必要があるとされています(13条1項)。

個人データ処理通知フォームに記載すべき内容は以下の通りとされています(13条2項)。

・処理の目的
・用いられる個人データの種類
・個人データ処理の方法
・個人データ処理と関係する他の法人・個人に関する情報
・発生する可能性のある望ましくない結果・損害
・個人データ処理の始期と終期

4. 個人データ処理影響評価フォーム

個人情報管理者等は、個人情報の処理を開始する時点から、「個人データ処理影響評価フォーム」を作成し、保存しなければならないとされています(24条1項)。また、個人データ処理影響フォームは、個人データ処理を開始してから60日以内に、サイバーセキュリティ・ハイテク犯罪対策局に提出するものとされています(24条4項)。

なお、個人データ処理影響評価フォームは、本政令の別紙4のフォームを用いて提出するものとされています(24条4項)。

ただし、本政令別紙4の抜粋とコメント(以下)を見ればわかるとおり、「個人データ処理影響評価フォーム」の具体的な中身までは示されていません。


このため、個人データ影響処理評価フォームの内容は、事業者自ら考えて作成する必要があります。基本的な方針としては、個人データ保護規程に記載している各施策がきちんと実施されているかに関する評価シートを作成のうえ、各担当部門・担当者が施策の実施状況について記載・コメントしていくといった方法が考えられます。

5. 個人データ国外移転影響評価フォーム

個人データをベトナムから外国に移転させる場合は、「個人データ外国移転影響評価フォーム」を作成し、その他一定の要件を満たす必要があります(25条1項)。

個人データの国外移転を行う者は、個人データ外国移転影響評価フォームを、個人データ国外移転開始の日から60日以内に、サイバーセキュリティ・ハイテク犯罪対策局に提出する必要があります(25条3項)。なお、個人データ外国移転影響評価フォームは、本政令の別紙6のフォーマットを用いて作成します。

これら、個人データの国外移転のための手続等について個人データ保護規程に盛り込んだうえ、貴社グループにおいて、ベトナム法人から個人データを外国に移転させているか(ベトナム人従業員の個人データを日本本社等で一括管理しているような場合も含まれ得ます)を確認のうえ、もし国外移転を行っている場合には、個人データ外国移転影響評価フォームの作成・提出を含む必要な対応を行っていく必要があります。

6. 小括

本政令により、ベトナムの個人データ保護法制が大きく変更されているところ、本政令の施行日が今年の7月1日にせまっているため、ベトナム事業を行う皆様においては、本政令への対応を進めていく必要があります。

Author

弁護士 井上 諒一(三浦法律事務所 パートナー)
PROFILE:2014年弁護士登録(第二東京弁護士会所属)。2015~2020年3月森・濱田松本法律事務所。2017年同事務所北京オフィスに駐在。2018~2020年3月同事務所ジャカルタデスクに常駐。2020年4月に三浦法律事務所参画。2021年1月から現職。英語のほか、インドネシア語と中国語が堪能。主要著書に『オムニバス法対応 インドネシアビジネス法務ガイド』(中央経済社、2022年)など

渡邉 雄太(M&Pアジア株式会社 CFO)
PROFILE:国内大手海運会社である日本郵船株式会社にて総合商社等とのJV設立・運営を通じた海洋事業開発に従事。その後、本社財務部で1年半勤務後、イギリス、オランダに約3年間駐在。キャリアを通じ、世界各国の会計、税務、法務を担当。国際会計、国際税務に詳しい。著書に『オムニバス法対応 インドネシアビジネス法務ガイド』(中央経済社、2022年)


この記事が気に入ったらサポートをしてみませんか?