進出・設立8 min read

ベトナムの個人情報保護法(PDPD):日系企業の対応

ベトナムの個人情報保護法(PDPD):日系企業の対応

ベトナムの個人情報保護が日系企業の新たな必須対応に

ベトナムでビジネスを営む日系企業にとって、個人情報保護への対応は、もはや先送りできない経営課題になりました。2023年に施行された個人データ保護に関する政令(Decree 13/2023/ND-CP、2023年7月1日施行、通称PDPD)が、ベトナムで初めて包括的な個人データ保護の枠組みを導入し、さらにこれを法律レベルへ格上げする個人データ保護法(PDPL)の整備が進み、規律は一段と厳格化しています。従業員・顧客・取引先の個人データを扱うすべての企業が対象であり、対応の遅れは行政処分・レピュテーション双方のリスクになります。

本稿では、ベトナムの個人データ保護制度の全体像、適法な処理と同意取得、機微情報の取扱い、越境データ移転の規律、そして企業が整えるべき体制と届出について、日系企業の実務目線で整理します。

ベトナムの個人データ保護制度の全体像

ベトナムの個人データ保護は、Decree 13/2023を中核に運用されてきました。これはEUのGDPRに着想を得た枠組みで、データ主体の権利、処理者の義務、越境移転の規律、影響評価と届出の制度を定めています。所管は公安省(とりわけサイバーセキュリティ部門)で、サイバーセキュリティ法(2018年)とも連動します。近年は、この政令を法律へ昇格させる動きが進み、規律の安定性と罰則の実効性が高まる方向にあります。

個人データの分類

制度は個人データを「基本個人データ」と「機微個人データ(sensitive personal data)」に分けます。氏名・連絡先などが基本データ、健康・生体・思想信条・金融・位置情報などが機微データに当たり、機微データの処理にはより厳格な要件が課されます。自社が扱うデータがどちらに該当するかの棚卸しが、対応の出発点です。

ベトナムの個人データ保護:日系企業の3つの対応領域
ベトナムの個人データ保護:日系企業の3つの対応領域

適法な処理と同意取得

個人データ保護対応の核心は、「何の根拠で、どこまでデータを扱ってよいか」を明確にすることです。

同意の取得とその要件

ベトナムの制度は、個人データ処理の適法化根拠として「同意」を重視します。同意は、処理の目的・範囲・方法を本人が明確に理解したうえで、自由意思により、明示的に与えられる必要があります。曖昧な包括同意や、サービス利用の条件として実質的に強制される同意は、有効性を争われるリスクがあります。同意の取得・記録・撤回への対応を、業務プロセスに組み込む必要があります。

データ主体の権利

本人(データ主体)には、自己のデータへのアクセス、訂正、削除、処理の制限・異議、データ提供の停止などを求める権利が認められます。企業は、これらの請求に適切な期間内で対応する窓口と手続きを整える必要があります。とりわけ顧客接点を持つBtoC企業では、問い合わせ対応の体制づくりが急務です。

機微情報と影響評価

機微個人データや一定の処理には、追加の手当てが求められます。

個人データ処理影響評価(DPIA)

企業は、個人データの処理について「個人データ処理影響評価書(DPIA)」を作成し、保管する義務を負います。これは、どのようなデータを、何の目的で、どこに、どのように移転・保管し、どんなリスクと対策があるかを文書化するものです。当局から求められた際に提示できるよう整備しておくことが、コンプライアンスの基盤になります。

機微データの上乗せ要件

健康・生体・金融などの機微データを扱う場合、本人への通知や同意取得の要件がより厳格になり、安全管理措置の水準も高く求められます。人事(健康情報・給与)や、決済・与信を伴うサービスを扱う企業は、機微データの取扱いを切り分けて設計することが重要です。M&Aで対象会社の顧客データベースを引き継ぐ場合、その取得・利用の適法性はデューデリジェンスの論点になります。詳細はベトナムM&Aの法務デューデリジェンスを参照してください。

越境データ移転の規律

日系企業にとって最も実務インパクトが大きいのが、個人データの国外移転(越境移転)の規律です。

越境移転の影響評価と届出

ベトナムから国外へ個人データを移転する場合、企業は越境移転に関する影響評価書を作成し、所管当局(公安省のサイバーセキュリティ部門)へ届け出る義務を負います。日本本社のサーバーやグローバルなクラウド・人事システムにベトナム拠点の従業員・顧客データを送る、という日常的な業務が、この越境移転に該当します。グループ共通のITインフラを使う企業ほど、移転の棚卸しと文書化が重い課題になります。

グローバルシステムとの整合

多くの日系企業は、人事・会計・顧客管理を地域・グローバルで統合したシステムで運用しています。これらにベトナムの個人データが流れる構造を放置すると、無届けの越境移転という違反状態になりかねません。データの流れ(データフロー)を可視化し、移転の根拠・影響評価・届出を整えることが、グローバル運用と現地法令の両立の鍵です。

企業が整えるべき体制と届出

制度対応は、文書を作るだけでなく、継続的に運用できる体制をつくることが本質です。

社内体制・規程・教育

個人データ保護方針、取得・利用・保管・削除のルール、同意管理、データ主体対応の窓口、インシデント対応手順を、社内規程として整備します。あわせて、従業員への教育を通じて、現場での運用を担保します。これらは現地法人のガバナンス全体の一部として設計すべきで、ベトナムの子会社ガバナンスの枠組みと一体で考えると効果的です。

違反時のリスク

無届けの越境移転、同意なき処理、安全管理の不備、漏えいの放置は、行政罰金や是正命令の対象となり、事業の信頼を損ないます。罰則は強化の方向にあり、「まだ運用が緩い」という前提に立つのは危険です。早期に対応の優先順位をつけ、リスクの高い領域(越境移転・機微データ・BtoC顧客データ)から着手することが現実的です。

業種別に異なる実務インパクト

個人データ保護の負荷は、扱うデータの種類と量によって大きく異なります。自社がどのプロファイルに近いかを見極めると、優先順位が明確になります。

製造業(BtoB中心)の場合

工場を中心とする製造業は、顧客個人データの量は比較的少ない一方、従業員の人事データ(健康情報・給与・評価)という機微データを大量に保有します。最大の論点は、これらの従業員データを日本本社やグローバルな人事システムへ送る越境移転です。グループ共通のHR基盤を使う企業ほど、無届けの越境移転に陥りやすく、データフローの棚卸しと届出の整備が急務になります。あわせて、社員の入退社・評価に伴うデータの取扱いについて、就業規則や同意の枠組みを整えることが求められます。

BtoC・EC・サービス業の場合

消費者向けにサービスを提供するBtoC企業やEC事業者は、大量の顧客個人データを継続的に取得・利用します。マーケティング目的の利用、第三者(広告・分析事業者)への提供、アプリやウェブでのトラッキングなど、同意の取得と利用範囲の管理が複雑になります。データ主体からのアクセス・削除請求への対応窓口も、件数が多くなりがちです。EC市場の拡大とともにこの領域の重要性は増しており、ベトナムのEC市場2026で論じる成長機会の裏側で、データガバナンスが事業継続の前提条件になりつつあります。

委託先・クラウド事業者の管理

個人データの処理を外部に委託する場合、委託元の責任は消えません。決済代行、コールセンター、クラウド、SaaS、マーケティング支援など、個人データに触れる委託先・事業者を洗い出し、契約で安全管理義務・再委託の制限・漏えい時の通報義務を定めることが求められます。とくに海外のクラウドやSaaSを利用する場合、それ自体が越境移転を構成しうるため、利用しているサービスのデータ保管地と移転経路を把握しておく必要があります。「自社では直接扱っていない」と思っているデータが、実は委託先経由で国外に流れている、という盲点を塞ぐことが重要です。

対応領域の整理:比較表

日系企業が取り組むべき主要な対応領域を、内容・優先度・実務アクションの観点で整理すると次のとおりです。

個人データ保護対応の優先度イメージ
個人データ保護対応の優先度イメージ

対応領域

主な内容

実務アクション

データ棚卸し

基本/機微の分類

保有データの可視化

同意・権利対応

適法な処理根拠

同意管理・請求窓口

DPIA

処理影響評価の文書化

評価書の作成・保管

越境移転

国外移転の届出

データフロー整理・届出

体制・教育

規程・インシデント対応

社内規程・従業員教育

日系企業が押さえるべき実務ポイント

第一に、出発点はデータの棚卸しです。誰の、どんなデータを、何の目的で、どこに保管・移転しているかを可視化しなければ、対応の全体像は描けません。第二に、越境移転は日系企業にとって最大の論点です。日本本社やグローバルクラウドへのデータ送信を、影響評価と届出で適法化する作業を優先すべきです。第三に、機微データ(人事の健康情報、決済・与信データ)は上乗せ要件があるため、切り分けて厳格に管理します。第四に、制度は政令から法律へと強化が進む途上にあり、最新の規律に追随できる体制(規程の更新・担当の明確化)を持つことが、長期的なコンプライアンスを支えます。

ベトナムの個人情報保護は、Decree 13/2023を起点に、法律レベルへの格上げで実効性を増しつつある、日系企業の新たな必須対応領域です。Solara & Coは、データの棚卸しから、同意・データ主体対応の設計、DPIA・越境移転の影響評価と届出、社内規程・教育体制の構築までを、日越双方の実務に通じたチームで支援します。グローバル運用とベトナム現地法令を両立させる、現実的で優先順位の明確な対応計画を、御社の事業実態に即してご提案します。

FAQ

よくある質問

ベトナムの個人情報保護(PDPD)は何という法令ですか?

中核は2023年7月1日施行の個人データ保護に関する政令(Decree 13/2023/ND-CP、通称PDPD)です。ベトナムで初めて包括的な個人データ保護の枠組みを導入し、EUのGDPRに着想を得て、データ主体の権利・処理者の義務・越境移転の規律・影響評価と届出を定めています。所管は公安省のサイバーセキュリティ部門で、さらにこれを法律へ格上げする個人データ保護法(PDPL)の整備が進み、規律は強化の方向にあります。

日本本社へ従業員データを送るのは越境移転に当たりますか?

はい。ベトナム拠点の従業員・顧客の個人データを日本本社のサーバーやグローバルなクラウド・人事システムへ送ることは、個人データの国外移転(越境移転)に該当します。この場合、越境移転に関する影響評価書を作成し、所管当局へ届け出る義務があります。グループ共通のITインフラを使う日系企業ほど該当範囲が広く、データフローの棚卸しと移転の文書化・届出が実務上の最重要課題になります。

個人データ処理影響評価(DPIA)とは何ですか?

企業が、どのような個人データを、何の目的で、どこに、どのように移転・保管し、どんなリスクと対策があるかを文書化する『個人データ処理影響評価書』です。Decree 13/2023は、この評価書の作成と保管を企業の義務としています。当局から求められた際に提示できるよう整備しておくことがコンプライアンスの基盤で、とくに越境移転や機微データの処理では重要性が高まります。

基本個人データと機微個人データの違いは何ですか?

ベトナムの制度は個人データを二つに分類します。氏名・連絡先などが『基本個人データ』、健康・生体・思想信条・金融・位置情報などが『機微個人データ』です。機微データの処理には、本人への通知・同意取得の要件がより厳格になり、安全管理措置の水準も高く求められます。人事の健康情報や決済・与信を伴うデータを扱う企業は、機微データを切り分けて厳格に管理する設計が必要です。

個人情報保護に違反するとどうなりますか?

無届けの越境移転、同意なき処理、安全管理の不備、漏えいの放置などは、行政罰金や是正命令の対象となり、事業の信頼を損ないます。罰則は政令から法律への格上げを通じて強化の方向にあり、『まだ運用が緩い』という前提に立つのは危険です。まずデータの棚卸しを行い、リスクの高い領域(越境移転・機微データ・BtoC顧客データ)から優先的に対応に着手するのが現実的です。

Related

進出・設立

ベトナムのフランチャイズ進出:法規制と展開戦略

人口約1億人と中間層の拡大を背景に、ベトナムは外食・小売・サービスのフランチャイズ展開の有望市場です。商工省への登録制度、ブランドと品質を守る契約設計、直営・マスターFC・エリア開発という進出形態の選択、立地・ローカライズ戦略までを、日系ブランドの目線で体系的に解説します。

Solara編集部
進出・設立

ベトナムの債権回収と与信管理:契約から回収まで

ベトナムでは「売る力」より「回収する力」が利益を左右します。回収力は、取引前の与信管理、契約条項の作り込み、日常の債権モニタリング、滞納時の段階的対応という上流からの積み上げで決まります。与信から回収までを一気通貫で設計する考え方を、ベトナムの実務に即して解説します。

Solara編集部
進出・設立

ベトナム南部の工業団地:ホーチミン近郊の立地比較

成熟した産業集積、厚い消費市場への近接、豊富な労働力を武器に、ホーチミンを中心とする南部経済圏は国内で最もバランスのとれた製造拠点です。ビンズオン・ドンナイ・ロンアン・バリア=ブンタウ・タイニンといった主要集積地を産業・強み・留意点で比較し、深水港・空港・道路網のインフラと立地選定の判断軸、留意すべきリスクを実務目線で整理します。

Solara編集部

Free Consultation

構想段階から、
お気軽にご相談ください。

守秘義務を前提に、案件の有無にかかわらず初回相談を無料で承ります。「何から始めるべきか」の整理から、専門チームが伴走します。

info@solara-c.com ・ 日本 (+81) 90-6748-3978 / ベトナム (+84) 356-234-492