ベトナムの個人データ保護法PDPLの解説―PDPDとの相違点を中心に―

ベトナムでは、2025年6月26日、国会において個人データ保護法（Personal Data Protection Law：「PDPL」）が可決され、2026年1月1日より施行される予定である。ベトナムにおける個人データ保護規制としては、これまでは2023年7月1日に施行された（法律より下位の）個人データ保護政令（Decree No.13／2023／ND-CP：「PDPD」）が存在していたが、PDPLの施行により、法律の形式で初めて個人データ保護が包括的に規定されることとなる。

PDPLは、基本的にはPDPDの規制内容を踏襲しているものの、新たな規制の追加や規制の明確化等が図られている。なお、PDPLが施行された場合にPDPDの適用関係がどうなるかは必ずしも明らかではないが、PDPDは今後PDPLのガイドラインのように位置付けられ、PDPLを補完する内容に改正されるのではないかとの推測もある。

以下では、PDPLの内容について、PDPDとの相違点を中心に解説する。

1. 適用範囲

PDPDとPDPLのそれぞれの適用範囲は以下のとおりである。両法令の適用範囲は基本的には異ならないが、PDPLでは、ベトナムに所在しない（すなわち拠点を有さない）外国の団体・組織・個人について、ベトナム国籍者・ベトナム居住の個人識別証明書を有するベトナム系無国籍者の個人データの処理に直接関与又は関連する場合にのみ適用されることが明らかとなった。

【適用範囲】

2. 個人データの定義

PDPLでは、個人データは「デジタルデータ又はその他の形態であって、特定の個人を識別する又は特定の個人の識別に寄与する情報であり、基礎個人データ及びセンシティブ個人データを含む」ものと定義されている。PDPDでは、PDPLと同様に個人データを基礎個人データとセンシティブ個人データに区分した上で、それぞれの区分に含まれる具体的な個人データの種類を列挙していた。一方、PDPLでは各区分に該当する具体的な個人データの種類は列挙されておらず、どのような情報が各区分に属するかは別途政府が特定することとされている。これにより、今後、政府は新種の個人データの登場や機微性の変更等に応じて柔軟に各区分に属する個人データを整理することが可能となると考えられる。

また、PDPLでは、PDPDと異なり、個人データに匿名加工処理を施した場合、PDPL上の「個人データ」に該当しないことも明確化された。

3. 個人データの処理に関する同意取得の例外

PDPD及びPDPL上、原則として個人データの処理についてデータ主体から同意を取得する必要があるところ、例外的にデータ主体の同意なく個人データを処理できる場合がそれぞれ以下のとおり規定されている。両法令上の同意取得の例外が認められる場合は基本的には共通するものの、PDPLでは、正当な権利・利益を侵害行為から保護する場合も追加され、また、別途法令で定めることで同意取得が不要な場合をより柔軟に加えることが可能とされている。

【同意取得の例外】

4. 個人データ移転影響評価の免除

PDPL上、PDPDと同様、ベトナムの域外に個人データを移転する場合、域外移転の初日から60日以内に、個人データ移転影響評価（Data Transfer Impact Assessment）を行い、報告書を当局に提出する必要がある。もっとも、PDPDでは個人データ移転影響評価の実施・報告を免除する規定は存在しなかったのに対して、PDPLでは、以下の場合にはこれを免除することを規定している。

コンテンツをご覧になるにはログインが必要です

ログイン