個人データの保護に関する政令 No. 13/2023/ND-CP は、2023 年 4 月 17 日に政府によって発行され、2023 年 7 月 1 日から発効している(以下「政令」という)。
一方で、この政令は、現在のデジタル経済の「石油」とみなされているリソースである個人データを保護するための効果的な法的規制を創設することが期待されている。その一方で、この政令は、個人データの処理過程で組織や個人が遵守すべきさらなる義務も定めている。この政令の規制と適用範囲はかなり広いため、ほとんどの組織や企業は、この政令の発効日から、生産、事業、コーポレートガバナンスの過程でこの政令の規定を遵守する必要がある。本稿では、企業が特に注意すべき政令の内容を紹介する。
1. 個人データおよび個人データ処理とは何か?
政令第 2 条 1 項の規定によれば、個人データは、特定の個人に関連付けられる情報、または特定の個人の識別に役立つ情報である。特に、特定の個人を識別するのに役立つ情報とは、個人の活動から形成され、他のデータや保存された情報と組み合わせることで特定の個人を識別できる情報を指す。個人データは、電子媒体上の記号、文字、数字、画像、音声などの形式をとることができる。
個人データは基本と機密の 2 つに分類される。例えば、基本データには、氏名、生年月日、性別、永住権、国籍、写真、電話番号、個人法的文書番号、個人納税者番号、保険番号、ソーシャルメディア、婚姻状況、家族関係情報、デジタルアカウント情報、サイバー履歴、および特定の個人に関連する、または特定の個人の特定に役立つその他の情報などが含まれる。一方、機密データとは、個人のプライバシーに関連するデータであり、これが侵害されると、個人の正当な権利や利益に直接影響を及ぼす。政治的見解、宗教的見解、医療記録による健康状態、人種や民族の出身に関する情報、犯罪および違法行為のデータ、および法律で特定され、必要なセキュリティ対策を講じることが要求されるその他のデータなどを挙げられる。
ただし、企業は政令の重要な規制対象であるが、企業の情報(計画、生産、業績に関する情報など)は政令の規定の対象ではないことに注意が必要である。
個人データ によって反映される対象はデータ主体と呼ばれる。したがって、すべての個人は、その個人を反映する個人データが別の主体によって処理されるときに、データ主体になる可能性がある。ここで、個人データの処理とは、収集、記録、分析、検証、保存、編集、公開、結合、アクセス、取得、回復、暗号化、復号化、コピー、共有、個人データの送信、提供、転送、削除、破棄またはその他の関連する行為など、個人データに影響を与える 1 つ以上の活動の実行である。企業が納税義務や保険義務を果たすために候補者の採用記録の保存と分析、従業員の情報の保存などの活動を行うことは、上記の法律の規定に基づく個人データの取り扱いとみなされる。
2. 個人データ処理活動に参加する際、企業はどのような役割を果たすか?
企業、組織、または個人が個人データの処理に参加する場合、その主体は政令に従って次の役割の 1 つ以上を果たすことができる。
(i) 個人データの管理者は個人データを処理する目的と手段、つまり、何をどのように処理するかを決定する組織または個人である。たとえば、A企業は、市場調査の目的で名前、電話番号などの顧客データを処理することを決定したが、直接的には処理しなかった場合、個人データの管理者とみなされる。
(ii) 個人データ処理者は両当事者間の契約または合意を通じて、個人データの管理者に代わってデータを処理する組織または個人である。例えば、B企業が、双方の契約に基づいて、A企業の市場調査の過程において、企業Aに代わってデータ処理を行う場合には、個人情報処理者とみなされる。
(iii) 個人データの管理者および処理者は目的、手段を決定し、同時にデータを直接処理する組織または個人である。例えば、C企業が人事管理の目的で従業員の個人データを自己保管することを決定した場合、その企業はデータ管理者および処理者とみなされる。
(iv) 第三者は個人データを処理する権限のあるデータ主体、個人データの管理者、個人データの処理者、個人データの管理者および処理者以外の組織または個人である。例えば、D企業は、データ処理者である企業 B によってデータ処理を委任される。
各種類の個人データに対する活動および他の主体の観点から判断されることによって組織または個人はさまざまな役割を果たすことができる。各主体の権利と義務は政令の規定によって異なる。
3. 企業が個人データ処理活動に参加する際に遵守しなければならない原則は何か?
政令第 3 条の規定によると、企業および組織は個人データの処理に参加する場合、その役割に応じて次の原則を遵守する必要がある。
(i) 個人データを取り扱う際には、法律の規定を遵守する。(法的原則)
(ii) 法律で別の規定がない限り、データ主体がその企業または組織の個人データの取り扱いに関連する活動を確実に把握できるようにすること(透明性の原則)。
(iii) 企業または組織の処理活動に関して登録または宣言された目的に従ってのみ個人データを取り扱う。(目的遵守の原則)。
(iv) 処理する必要な範囲と目的に限定された、適切なデータのみを収集する。いかなる形式でもデータを売買しない(データ最小の原則)。
(v) 個人データは、処理目的に従って更新および補足されなければならない(精度の原則)。
(vi) 個人データは、技術的手段を使用した、個人データの保護に関する規制違反および損失の防止、失敗による破壊または損傷に対する保護を含む、処理中にセキュリティ対策を適用する必要がある。(完全性と機密性の原則)
(vii) 個人データは、法律で別の定めがある場合を除き、その個人データの取扱の目的に適した期間のみ保存することができる。(保存期間制限の原則)。
(viii) 上記のデータ処理原則の遵守を実証する責任がある。この原則は、データ管理者、個人データの管理者および処理者にのみ適用される。(説明責任原則)
4. 個人データ処理活動に参加する際、企業はどのような責任を果たさなければならないか?
4.1. データ主体の権利を確保する
法律では 11 の権利をデータ主体に与え、そのうちのほとんどの権利は、個人データの管理者、または個人データの管理者および処理が可能になるために同意する必要がある。さらに、自衛権、苦情、非難、訴訟を起こす権利、損害賠償を請求する権利など、データ主体が自ら行使できる権利がある。したがって、法律で別の定めがある限り、個人データの管理者、または個人データの管理者および処理者がデータ主体の法的権利を遵守する責任を負うことが求められる。具体的には:
(i) 知る権利: データ主体は、自身の個人データを処理する活動を認識する。個人データの管理者、個人データの管理者および処理者は、処理する前にデータ主体に一度通知する必要がある。通知には、政令第 13 条第 2 項に基づくすべての情報が含まれ、書面で印刷またはコピーできる形式で提示されなければならない。
(ii) 同意の権利: データ主体は、個人データの処理を許可することに同意することも、反対することもできる。データ主体の同意は、明確かつ具体的な方法で、書面で印刷、複製できる形式で表現される処理データ主体の種類、処理目的、処理組織・個人、自分の権利義務について自発的に知っている場合にのみ有効である。特に、データ主体の沈黙または無返答は同意とみなされない。ただし、政令第 17 条に規定されているように、場合によっては 個人データ の処理にデータ主体の同意が必要ない場合もある。
(iii) アクセス権利: データ主体は、個人データを直接編集できない場合、その個人データ を表示、編集、または修正を要求するアクセス権を持つ。個人データ管理者、個人データ管理者および処理者は、個人データ主体の同意を得た後、できるだけ早く個人データを編集するものとする。それが不可能な場合は、修正要求を受け取ってから 72 時間以内にデータ主体に通知する必要がある。
(iv) 同意を撤回する権利: データ主体は、撤回前に同意したデータ処理の合法性に影響を与えることなく、個人データの処理に対する同意を撤回し、再度同意する権利を有する。同意撤回の要求を受け取った場合、個人データの管理者、個人データの管理者および処理者は、結果、損害の可能性についてデータ主体に通知し、データ主体の処理を停止するものとする。
(v) データを削除する権利: データ主体は、収集目的で必要がなくなったと判断した場合、同意を撤回する場合、処理に異議を唱える場合、データが合意された目的で処理されない場合、または個人データは法律に従って削除する必要がある場合、自身の 個人データを削除または削除を要求する権利を有する。
(vi) データ処理を制限する権利: データ主体は、自分の個人データの処理を制限するよう要求できる。要求する場合、管理者または管理者と個人データ処理は、要求によって制限されているすべての個人データを要求後 72 時間以内に処理する必要がある。
(vii) データを提供する権利: データ主体は個人データの管理者、個人データを管理および処理する当事者に対し、第三者の書面による同意を得て、自身または他の組織または個人に個人データを提供することを要求できる。さらに、管理者は、データ主体の同意を得た上で、ニーズに応じて他の組織や個人にデータを提供することもできる。
(viii) データ処理に異議を唱える権利: データ主体は、別の規定がある限り、個人データの開示、または広告やマーケティング目的での個人データの使用を防止または制限するために、個人データ管理者、個人データ管理者および処理者が個人データを処理することに異議を唱えることができる。当事者は、要求を受け取ってから 72 時間以内に対応を行わなければならない。
4.2. データ保護規則違反の通知
個人データの保護に関する規制の違反を検出した場合、個人データ管理者、管理者および個人データ処理者は、違反が発生してから 72 時間以内にテクノロジーを使用してサイバーセキュリティおよび犯罪予防管理部門に通知するものとする。通知は、政令の付録のフォーム No. 03 に従って、直接または個人データ保護に関する国家ポータルを通じて行われる。 一方、個人データ処理者は、違反に気付いた後、できるだけ早く個人データ管理者に通知する責任もある。
A05 に送信される通知には、次の内容が含まれている必要がある。 (i) 個人データ保護に関する規制違反の性質の説明。これには、時間、場所、行動、組織、個人、個人で多種類、および関連するデータ量が含まれる。 (ii) データの保護を担当する従業員、またはデータ保護の責任を負う組織および個人の連絡先の詳細。 (iii) 個人データ保護に関する規制に違反した場合に起こり得る結果と損害の説明。 (iv) 事件を解決し、被害を最小限に抑えるために講じられた措置の説明。
4.3. 個人データ処理の影響評価を実施する
個人データの処理に参加する場合、個人データの管理者、個人データの管理者および処理者は、個人データの処理の開始日から個人データの影響や評価の記録を作成し、保管する義務がある。記録は法的有効性を備えた書面で確立されなければならず、A05 の検査および評価活動に常に利用できる必要がある。
個人データの管理者、個人データの管理者および処理者の記録には、以下を含める必要がある。(i) 管理者の情報および連絡先の詳細(ii) 個人データを保護する組織、警備スタッフの氏名、連絡先詳細、(iii) 個人データの処理の目的 (iv) 個人データ種類の種類 (v) 個人情報を受け取る組織および個人(vi) 国内資料を国外に移転する場合 (vii) データ処理時間、個人データ (ある場合) の削除および破棄にかかる推定時間(viii) 適用されている個人データを保護するための措置 (ix) 個人データの処理の影響の評価、その結果、望ましくない損害が発生する可能性があり、そのようなリスクや危害を軽減または排除するための措置。
書類は、原本を直接、または個人データ保護に関する国家ポータル経由で A05 に送信する必要がある。企業はまた、書類が不完全であるか規制に準拠していない場合には A05 の要件に従って完成し、書類の内容に変更があった場合には本付録の様式 No. 05 に従って更新および補足する責任がある。
同様に、個人データ処理者は、個人データ管理者との契約を履行する場合にも記録を作成し、保存しなければならない。個人データ処理者のこの義務は、処理の目的および組織または個人に関する情報ではなく、影響評価記録の内容におけるいくつかの違いを除いて、上記の管理者、管理者および個人データ処理者の義務とほぼ同様である。処理中、処理者は処理アクティビティに関する情報を提供する必要がある。
4.4. 海外へのデータ移転影響評価の実施
企業は、外国の国籍の移転、つまりサイバースペース、機器、電子的手段の使用、または国民によるその他の形式の国籍の移転を行う場合とベトナム国民の個人データを処理するためにベトナムの領土外の場所を使用する場合、その影響評価を実施する義務がある。この責任は、個人データ管理者、個人データ管理者および処理者、個人データ処理者および第三者の両方に適用される。
個人データの海外移転の影響評価に関する書類には、以下の内容が含まれる。(i) 移転当事者、受領当事者の情報および連絡先の詳細、 (ii) 個人データの譲渡および受領を担当する譲渡当事者の組織または個人の氏名および連絡先の詳細、 (iii) データが海外に輸出された後のデータ処理活動の目的の説明 、(iv) 海外に移転される個人データの種類を説明し、明確にすること、 (v) 政令の規定の遵守、個人データを保護するために適用される措置について説明し、明確に記載すること、(vi)個人データの処理時に発生する可能性のある望ましくない影響、結果および損害のレベルの評価、そのようなリスクおよび危害を軽減または排除するための措置、(viii) データ主体の同意、(ix)個人データの取り扱いに関して、個人データを譲渡、受信する組織および個人間の拘束力と責任が示されている書面。
海外へのデータ移転の影響評価に関する書類は、データを海外に移転した日から 60 日以内に提出し、A05 の要件に従って完成し、内容に変更があった場合には更新および補足する必要がある。企業や組織は、公安省による検査や評価にいつでも利用できるように記録を保管する必要もある。
4.5. 個人データを保護するための措置を講じる
個人データの処理に参加する企業は、次のような個人データを保護するための措置を適用する必要がある。
- 管理措置;
- 技術的対策;
- 基本的な個人データに適用される保護措置::
+ 個人データの保護に関する規制を策定し、公布する。
+ 個人データの処理に関連する分野、専門職、および活動に従って、個人データの保護に関する基準を適用する。
+ 個人データを含む設備を処理、回復不能に削除、または破壊する前に、システムのネットワーク セキュリティと個人データを処理するための手段と機器を確認する。
- 機密性の高い個人データに適用される保護措置::
+ 機密性の高い個人データを取り扱う主体に対して、個人情報を保護する機能を有する部門を指定するか、または個人情報保護を担当する担当者を任命する(超大企業、新興企業、個人データの処理を直接扱っていない企業については、設立後 2 年以内にこの義務は免除される)。
+ 法律で別段の定めがない限り、データ主体の機密データが処理されていることをデータ主体に通知する。
上記は、2023 年 7 月 1 日から発効する個人データの保護に関する政令 No. 13/2023/ND-CP の典型的な内容に関する企業向けの注意事項である。現在、個人データ保護に関する上記の規制の違反に対する制裁を規定する法的文書はないが、以前に作成された政令草案を参照すると、違反に対する制裁は非常に深刻になる可能性がある。したがって、企業や組織は、起こり得る法的リスクを回避するために、政令の規定を遵守するよう注意する必要がある。
詳しいのご相談がございましたらお気軽にご連絡くださいませ。
SDS CONSULTING CO.,LTD
DIRECTOR
TA HUONG LY
Headquarters 