個人データ保護とは、データに関する基本的人権と自由を保護することです。

2023年4月17日、政府は、個人データの権利を保護するための要件を満たす、個人データ保護に関する政令第13/2023/ND-CP号（政令）を発行し、2023年7月1日に発効しました。個人や組織の権利や利益に影響を及ぼす個人情報侵害行為を防止します。

ハイライト

この政令は、個人データの保護と、個人データを保護するための関連機関、組織、個人の責任を規制する法的文書です。

まず、個人データ保護とは、データに関する基本的人権と自由を保護することです。個人情報保護に関する法令の施行規定は、各個人の権利と自由が侵害されることを防ぐことを目的としています。

同時に、個人データのセキュリティは特に重要です。データが盗まれると、経済的および社会的損失、恐喝、詐欺、財産の横領、名誉毀損、名誉や尊厳の侵害、性的虐待などのリスクが発生し、物質的および精神的な結果を引き起こし、機関、組織、企業、個人の権利と正当な利益に直接影響を与える可能性があるためです。

第二に、個人データ主体の権利を促進し、尊重します。個人データ主体の権利には、アクセス権、個人データの処理に同意または異議を申し立てる権利、通知を受ける権利、データの削除を要求する権利などが含まれます。

さらに、データ主体は、他の主体による個人データの侵害から自分自身を保護する権利も有します。法令の規定に違反し、個人情報保護の権利に損害が生じた場合、主体は損害賠償を請求する権利を有します。この政令では、本人の同意なしに個人データを収集、転送、売買することは法律違反であるとも明確に規定されている。

ただし、個人情報を保護する本人の権利は絶対的な権利ではなく、本人または他人の生命や健康を保護するための緊急の場合に制限されることがあります。国家防衛、国家安全保障、社会秩序及び安全に関する緊急事態。定められた契約上の義務を履行し、または専門法で定められた国家機関の活動に従事する。

例外規定は、個人や団体の権利を保障しつつ、その権利を行使するために他の個人、団体、国家の正当な利益を侵害しないという原則を実現することを目的としています。

第三に、個人データ保護に関する国際的な統合を推進します。この政令は、個人データ保護に関する国際的な慣行および規制に準拠しています。多くの先進国では個人データ保護の問題が法制化されており、これはベトナムが研究し、参考にする基礎となります。

さらに、ベトナムが加盟している、またはベトナムと協力関係にある国際機関は、プライバシーと個人情報およびデータの保護に関する条約、勧告、基準を発行しています。これらには、経済協力開発機構 (OECD) のプライバシー原則、情報および個人データの自動処理に関する個人の保護に関する欧州評議会条約、コンピュータ化された個人データおよび情報ファイルに関する国連ガイドライン、アジア太平洋経済協力 (APEC) プライバシー フレームワーク、プライバシーおよび情報と個人データの保護に関する国際基準 (マドリッド決議)、EU 一般データ保護規則 (GDPR) などが含まれます。

さらに、我が国と他の国や地域との協力を促進する過程で、80か国以上が個人データ保護に関する法的文書を発行しており、その多くにはベトナムの組織や個人に適用される規定が含まれています。したがって、個人データ保護に関する具体的かつ詳細な規制は、外国人個人や組織を含め、ベトナムで平等かつ法を遵守した環境を作り出すことを目的としています。

課題

現在、この政令の実施には依然として大きな課題が残っています。

まず、企業の労務管理における課題です。現在、多くの企業が親会社と子会社が同じ経営エコシステムを共有するモデルを構築しており、共通システムから従業員情報に簡単にアクセスできます。

しかし、ベトナムの法律では、各企業（親会社と子会社を含む）は別個の独立した法人とみなされるため、企業の内部管理プロセスに役立てるために同じエコシステム内の企業が従業員の個人データを転送することも、企業の個人データ保護責任に違反していると見なされる可能性があります。

一方、現在、多くの企業は同政令の実施に困難に直面しており、同政令に従って従業員の個人情報を管理・保護するための仕組みや規定をまだ完成させていない。

第二に、信用機関の業務に関する法的規制と一致していない。現在、信用機関の業務は、2010 年信用機関法（2014 年に改正および補足）などの専門的な法的規制によって規制されています。マネーロンダリング防止法信用機関および外国銀行支店の顧客情報の機密保持および提供に関する政令117/2018/ND-CP。法律以下のレベルで銀行業務における情報システムのセキュリティを規制する国立銀行の通達 09/2020/TT-NHNN。

一方、銀行業務の場合、データ処理は個人データに影響を及ぼします。たとえば、個人データの収集、記録、分析、確認、保管、編集、公開、結合、アクセス、検索、呼び出し、暗号化、復号化、コピー、共有、送信、提供、転送、削除、破棄、またはその他の関連アクションは、顧客にサービスを提供して銀行業務のリスクを管理し、通貨システムの安全性とセキュリティを確保するために不可欠です。そのため、顧客の個人データを処理する多くの活動では顧客の同意を得ることができず、また得る必要もありません。一方、政令第3条第2項および第9条第1項では、他の法律で別段の定めがない限り、主体は自分の個人データの処理について知る権利があると規定しています。

あるいは、第 9 条第 2 項では、対象者は自身の個人データの処理に同意しない権利を有すると規定されています。対象者は、第 9 条で他の法律に別段の定めがある場合を除き、データを削除、アクセス、データ処理の制限を要求、およびデータ処理に異議を申し立てる権利を有します。したがって、この政令が統一されたガイダンスなしに厳格に適用されると、混乱を招き、不適切になります。

さらに、信用機関によるサービスおよび製品の提供は、1 つの製品に対する多くのプロセスに従って実行され、1 つの製品に対する各プロセスには多くの異なるステップが含まれ、非常に大規模な顧客ファイルに関するデータの収集、評価、分析、提供に関連しています。一方、法令では、個人データを管理および処理する当事者がデータ処理活動を実行する場合は、すべての処理手順でデータ主体 (顧客) の同意を得る必要があると規定しています (第 11 条)。また、データ処理活動を実行する前に個人データ主体に通知する必要があります（第13条）。これは、信用機関の運営にとって、引き続きもう一つの障害となっています。

さらに、信用機関は、情報技術システムや信用機関の業務に関連するその他の法令文書を調整する必要があります。契約書や合意文書は政令に準拠するように編集する必要があり、銀行業務に少なからぬ困難を生じさせている。

第三に、一部の人々は個人データの保護について理解しておらず、その認識もないため、ソーシャル ネットワーキング プラットフォーム上で個人情報を簡単に共有し、意図せずして悪意のある人物に悪用される事態を招いてしまいます。

一部の人々は、個人のプライバシーの確保としての個人情報保護の価値を明確に認識しておらず、個人情報を提供することを恐れているため、当局が個人情報保護の国家管理を実施したり、個人情報保護に関する法律違反の調査や処理を行ったりすることが困難になっています。

さらに、個人情報の売買や情報漏洩のリスクといった状況は、大きな影響を及ぼし、社会経済問題にも影響を及ぼします。電話やテキストメッセージによる詐欺やスパム広告は依然として複雑で、人々の生活に影響を及ぼしています。

個人データのセキュリティは、データが盗まれた場合、経済的および社会的損失を引き起こし、機関、組織、企業、個人の権利と正当な利益に直接影響を与える可能性があるため、特に重要です。 (出典: Shutterstock)

法令の実践

ベトナムは、7,000 万人以上のユーザーを抱え、世界で最もインターネットの発展と応用速度が速い国の一つです。我が国の人口の3分の2以上の個人データが、さまざまな形式と詳細レベルでデジタル環境とサイバースペースに保存、投稿、共有、収集されてきましたし、現在も保存、投稿、共有、収集されています。

この政令は、デジタル変革における人権の確保、個人データの確保、保護、セキュリティ確保の実践における欠点や不十分さの克服、ベトナムにおける個人データ処理活動に直接関与または関連する国内外の機関、組織、個人の責任の強化において画期的なものです。

この政令が実際に効果を発揮するためには、以下の点に重点を置く必要があります。

一つは、労働者の権利を守る企業の責任を強化することです。企業は労働者を雇用する際に、従業員情報を収集し、保管する必要があります。雇用主や企業は労務管理の目的のため、従業員から多くの個人情報を受け取り、管理していますが、情報の管理や処理に注意を払わないと、予期しない結果につながります。

企業は、この政令の影響を慎重に研究し、総合的に評価し、新しい規制に従って個人データの取り扱い手順と指示を速やかに見直し、更新する必要があります。政令の規定に基づいてメカニズムを構築し、ガバナンス規制を構築することを検討する。運用全体を通じてこれらのメカニズムと規制を維持し、遵守します。

第二に、信用機関の信用活動に対する困難を取り除く。国立銀行は、顧客データを保護する信用機関の業務責任の促進を確実にし、専門的な要件とタスクを満たすために、関係省庁、特に公安省と緊密に連携して、信用部門における個人データ保護に関する統一されたガイドラインを提供する必要があります。

第三に、この法令を真に実現させるためには、法律を普及させるための宣伝と教育をしっかり行う必要があります。特に、公民権と人権を尊重し保護することを最大の目的とした政令を発布する必要性を強調する必要がある。そして何よりも、個人情報主体自身が、個人情報保護に対する自覚と責任を十分理解し、高めていく必要があります。