個人データ保護とは、データに関する基本的人権と自由を保護することです。

政府は、2023年4月17日に、個人データの権利を保護するための要件を満たす、個人データ保護に関する政令第13/2023/ND-CP号（政令）を公布し、2023年7月1日に発効しました。個人や組織の権利利益に影響を及ぼす個人情報侵害行為を防止します。

ハイライト

この政令は、個人データの保護および個人データを保護するための関連機関、組織、個人の責任を規制する法的文書です。

まず、個人データ保護とは、データに関する基本的人権と自由を保護することです。個人情報の保護に関する法令の施行規定は、各個人の権利と自由が侵害されるのを防ぐことを目的としています。

同時に、個人データのセキュリティは特に重要です。データが盗まれた場合、経済的および社会的損失、恐喝、詐欺、財産の横領、名誉毀損、名誉の侵害、尊厳の侵害、性的虐待などのリスクが発生し、物質的および精神的な結果を引き起こし、機関、組織、企業、個人の権利と正当な利益に直接影響を与える可能性があるためです。

第二に、個人データ主体の権利を促進し尊重します。個人データ主体の権利には、アクセス権、個人データの処理に同意または異議を申し立てる権利、通知を受ける権利、データの削除を要求する権利などが含まれます。

さらに、データ主体は、他の主体による個人データの侵害から自分自身を保護する権利も有します。法令の規定に違反し、個人情報保護の権利が損なわれた場合、本人は損害賠償を請求する権利を有します。この政令では、本人の同意なしに個人データを収集、転送、売買することは法律違反であるとも明確に規定されている。

ただし、個人情報を保護する主体の権利は絶対的な権利ではなく、本人または他人の生命や健康を保護するための緊急の場合に制限されることがあります。国防、国家安全保障、社会秩序及び安全に関する緊急事態。定められた契約上の義務を履行し、または専門法で定められた国家機関の活動に従事する。

例外規定は、個人や団体の権利を保障しつつ、その権利を行使するために他の個人、団体、国家の正当な利益を侵害しないという原則を実現することを目的としています。

第三に、個人データ保護に関する国際的な統合を推進します。この政令は、個人データ保護に関する国際的な慣行および規制に準拠しています。多くの先進国では個人データ保護の問題が合法化されており、これはベトナムが研究し参考にする基礎となります。

さらに、ベトナムが加盟している、またはベトナムと協力している国際機関は、プライバシーと個人情報およびデータの保護に関する条約、勧告、基準を発行しています。これらには、経済協力開発機構（OECD）のプライバシー原則、情報および個人データの自動処理に関する個人の保護に関する欧州評議会条約、コンピュータ化された個人データおよび情報ファイルに関する国連ガイドライン、アジア太平洋経済協力（APEC）プライバシーフレームワーク、プライバシーと情報および個人データの保護に関する国際基準（マドリッド決議）、EU一般データ保護規則（GDPR）などが含まれます。

さらに、我が国と他の国や地域との協力を促進する過程で、80か国以上が個人データ保護に関する法的文書を発行しており、その多くにはベトナムの組織や個人に適用される規定が含まれています。したがって、個人データ保護に関する具体的かつ詳細な規制は、外国人個人および組織を含むベトナムにおいて平等かつ法を遵守した環境を作り出すことを目的としています。

課題

現在、この政令の実施には依然として大きな課題が残っています。

まず、企業の労務管理における課題です。現在、多くの企業が親会社と子会社が同じ経営エコシステムを共有するモデルを構築しており、共通システムから従業員情報に簡単にアクセスできます。

しかし、ベトナムの法律では、各企業（親会社と子会社を含む）は別個の独立した法人とみなされるため、企業の内部管理プロセスに役立てるために同じエコシステム内の企業が従業員の個人データを転送することも、企業の個人データ保護責任に違反すると見なされる可能性があります。

一方、現在、多くの企業は同政令の施行に困難に直面しており、同政令に従った従業員の個人情報の管理・保護の仕組みや規定が未だ整っていません。

第二に、信用機関の業務に関する法的規制に違反しています。現在、信用機関の運営は、2010 年信用機関法（2014 年に改正および補足）などの専門的な法的規制によって規制されています。マネーロンダリング防止法信用機関および外国銀行支店の顧客情報の機密保持および提供に関する政令117/2018/ND-CP法律以下のレベルでの銀行業務における情報システムのセキュリティを規制する国立銀行の回状 09/2020/TT-NHNN。

一方、銀行業務の場合、データ処理は個人データに影響を及ぼします。個人データの収集、記録、分析、確認、保存、編集、公開、結合、アクセス、取得、呼び出し、暗号化、復号化、コピー、共有、送信、提供、転送、削除、破棄、またはその他の関連アクションは、顧客にサービスを提供して銀行業務のリスクを管理し、通貨システムの安全性とセキュリティを確保するために不可欠であるため、顧客の個人データを処理する多くの活動は顧客の同意を得ることができず、また得る必要もありませんが、政令第3条第2項および第9条第1項では、他の法律で別途規定されている場合を除き、主体は自分の個人データの処理について知る権利があると規定しています。

あるいは、第 9 条第 2 項では、主体が自身の個人データの処理に同意しない権利を有することが規定されています。主体は、第9条に別段の定めがある場合を除き、データを削除、アクセス、データ処理の制限を要求する権利、およびデータ処理に異議を申し立てる権利を有します。したがって、本政令が統一されたガイダンスなしに厳格に適用されると、混乱を招き、不適切となるでしょう。

さらに、信用機関によるサービスおよび製品の提供は、1 つの製品に対する多くのプロセスに従って実行され、1 つの製品に対する各プロセスには多くの異なるステップが含まれており、非常に大きな顧客ファイルに関するデータの収集、評価、分析、提供に関連しています。一方、法令では、個人データを管理および処理する当事者がデータ処理活動を実行する場合は、すべての処理手順でデータ主体 (顧客) の同意を得る必要があると規定しています (第 11 条)。また、データ処理活動を実行する前に個人データ主体に通知する必要があります（第13条）。これは、信用機関の運営にとって、引き続き新たな障害となっています。

さらに、信用機関は、信用機関の業務に関連する情報技術システムやその他の法令文書を調整する必要があります。契約書や合意文書は、この政令に準拠するために改訂する必要があり、銀行業務に少なからぬ困難を生じさせている。

第三に、一部の人々は個人データの保護について理解しておらず、その認識もないため、ソーシャル ネットワーキング プラットフォームで簡単に個人情報を共有し、意図せずして悪意のある人物が悪用するのを許してしまいます。

一部の人々は、個人のプライバシーを保障するという個人情報保護の価値を明確に認識しておらず、個人情報を提供することを恐れているため、当局が個人情報保護の国家管理を実施したり、個人情報保護に関する法律違反の捜査や処理を行うことが困難になっています。

さらに、個人情報の売買の状況、情報漏洩のリスクは大きな結果を生み出し、社会経済問題に影響を及ぼします。電話やテキストメッセージによる詐欺やスパム広告は依然として複雑で、人々の生活に影響を及ぼしています。

個人データのセキュリティは、データが盗まれた場合、経済的および社会的損失を引き起こし、機関、組織、企業、個人の権利と正当な利益に直接影響を与える可能性があるため、特に重要です。 （出典：Shutterstock）

法令の実践

ベトナムは、7,000万人以上のユーザーを抱え、世界で最もインターネットの発展と応用速度が速い国の一つです。我が国の人口の 3 分の 2 以上の個人データが、さまざまな形式と詳細レベルでデジタル環境とサイバースペースに保存、投稿、共有、収集されています。

この政令は、デジタル変革における人権の確保、個人データの確保、保護、セキュリティ確保の実践における欠陥や不十分さの克服、ベトナムにおける個人データ処理活動に直接関与または関連する国内外の機関、組織、個人の責任の強化において画期的なものです。

この政令が実際に効果を発揮するためには、以下の点に焦点を当てる必要があります。

一つは、労働者の権利を守る企業の責任を増大させることです。企業は労働者を雇用するにあたり、従業員情報を収集し、保管しなければなりません。雇用主や企業は労務管理の目的のため、従業員から多くの個人情報を受け取り、管理していますが、情報の管理と処理に注意を払わないと、予期しない結果につながります。

企業は、本政令の影響を慎重に研究し、総合的に評価し、新しい規制に従って個人データの取り扱い手順と指示を速やかに見直し、更新する必要がある。政令の規定に基づいてメカニズムを構築し、ガバナンス規制を構築することを検討する。運用全体を通じてこれらのメカニズムと規制を維持し、遵守します。

第二に、信用機関の信用活動に対する困難を取り除く。国立銀行は、関係省庁、特に公安省と緊密に連携し、顧客データの保護における信用機関の業務責任の促進と専門的な要件およびタスクの達成を確保しながら、信用部門における個人データ保護に関する統一されたガイドラインを提供する必要があります。

第三に、この法令を真に施行するためには、法律の普及のための宣伝と教育を十分に行う必要がある。特に、公民権と人権を尊重し保護するという最大の目的を持った法令を発布する必要性を強調する必要がある。そして何よりも、個人情報主体自身が個人情報保護に対する自覚と責任を十分理解し、高めていく必要があります。