【解説】ベトナム サイバーセキュリティ法の概要~国内Webサービス事業に影響大か~

記事をシェアする

ベトナム サイバーセキュリティ法の公布

近年、ASEAN各国でSNSの利用が盛んであり、ベトナムでは特にFacebookの利用率が高まっています。Eコマース(通販)サイトや各種Webサービスの事業も拡大してきており、ベトナムの若年層ユーザーがWebサービスを広く利用していることが伺えます。
このような状況下で、ユーザーの個人情報をどのように保護するのか…という個人情報保護の観点について注目が集まっています。

ベトナムでは他国同様、個人情報保護について法令で規定されており、ネットワーク情報保護法(86/2015/QH13、2016年7月1日施行)も存在します。その中には、個人情報の取扱者が負う一定の義務について規定されていました。
近年では、海外にサーバーを置く外資系企業のサービス利用者が増加していることから、新たな法案の必要性が高まり、新しいサイバーセキュリティ法の制定が議論されてきました。そして、7章43条から構成される新たなサイバーセキュリティ法が、2018年6月12日に可決されました(本法は2019年1月1日から施行予定となっています)。
しかし、その法令がもたらす民間企業への影響力や、濫用の可能性が大きいことから、批判も相次いでいるのです。

本記事では、今後の動向に注目が集まっているサイバーセキュリティ法に関して、Webサービス事業者を含む民間企業が注視すべき点を解説します。

<目次>
サイバーセキュリティ法概要① 国外サービスのサーバー設置義務
サイバーセキュリティ法概要② Webサイトに記載してはならない情報
サイバーセキュリティ法概要③ 公安による情報収集を可能とする条文
サイバーセキュリティ法概要④ 政府の主張
サイバーセキュリティ法概要⑤ 民間企業への影響
今後の議論の動向

 
 

サイバーセキュリティ法概要① 国外サービスのサーバー設置義務

今回の法令で最も議論を呼んでいるのは、一定の情報を取り扱う国内外企業に対して、ベトナム国内でのサーバー設置義務を定めたことです。大手SNSや大手ポータルサイトといった多国籍企業が対象に含まれる可能性もあるため、その影響力は非常に大きいとされています。

設置義務の対象となるデータは、(1)個人情報のデータ (2)サービス利用者の関連データ (3)ベトナムでサービス利用者によって作成されたデータの3種類です。これらの収集・抽出・分析および処理に関する業務を行う国内外企業は、一定期間ベトナム国内のサーバーに情報を保存する義務があると定めました。ベトナムのユーザー向けにサービスを提供し、個人情報を収集している企業全般が含まれるため、現地資本の企業であっても同様です。
さらに対象となる企業は、ベトナムに本社・駐在員事務所などの拠点をつくる必要があると規定されています。

法案第26条第3項参考訳
3. ベトナムにおいてテレコムネットワークスやインターネット上のサービス及びサイバー空間上のその他のサービスを提供し、個人情報のデータ・サービス利用者の関係のデータ・ベトナムにおいてサービス利用者により作成されたデータ等の収集、抽出、分析及び処理に関する活動を行う国内外企業は、政府により規定される期間以内にベトナム国内に当該データを保存しなければならない。
本項に定める国内外企業はベトナムに本社又は駐在員事務所を設置しなければならない。

 
 

サイバーセキュリティ法概要② Webサイトに記載してはならない情報

データの取り扱いに加え、Webサイトの掲載内容についても注意が必要です。
法令によると、企業や個人のWeb・ポータルサイトにおいて、暴動の煽動といった公共秩序を乱す情報、誹謗中傷にあたる情報の提供・掲載・流通をしてはならないことが明確化されました(同第26条第2項、第16条参照)。

つまり、自らが記載している情報でなくとも、公共秩序を乱す情報の掲載は認められません。これは情報の共有・拡散に強い、SNSやポータルサイトを念頭に置いたものと考えられます。企業はWebサイトや関連サービスの利用について、よりいっそう厳しい管理体制を求められるでしょう。

法案第26条第1項
1. 機関、組織及び個人のウェブサイト、ポータルサイトには、本法の第16条第1項、第2項、第3項、第4項及び第5項に定める内容を有する情報及び国家安全保障を侵害するその他の情報を提供、掲載、流通してはならない。

 
 

サイバーセキュリティ法概要③ 公安による情報収集を可能とする条文

法案第26条第2項には、サイバーセキュリティ法違反に関する調査の旨が記されています。企業は公安省の担当機関から書面による要求があった場合、当該機関にユーザーの情報を提供しなければならないとされています。
また、暴動の煽動といった公共秩序を乱す情報についても、情報の削除やログの保存を企業に対して要求することが可能とされています(同第26条第2項、第16条参照)。

これまで裁判手続を介さない情報収集は法令上認められていませんでしたが、本法では公安の判断により、企業に情報提供義務が課されることとなります。そのため、公的機関による濫用が懸念されています。

セキュリティ

 
 

サイバーセキュリティ法概要④ 政府の主張

以上のように批判や疑問が相次いでいる法令ですが、ここで政府側の主張を見ていきましょう。
国会常務委員会によると、WTOのGATT(関税および貿易に関する一般協定)、GATS(世界貿易機関を設立するマラケッシュ協定)、CPTPP(包括的・先進的な環太平洋パートナーシップ協定)は、いずれも安全保障に関する例外があるため、自国のサイバーセュリティ法に安全保障のための例外を適用することは、国民の利益と国家安全保障を保護するために必要であると主張しています。

「ベトナムは、自国においてテレコムネットワークスやインターネット上のサービス、サイバー空間上のその他のサービスを提供する国内外の企業に対し、自国でサービスを利用する者の重要なデータを国内に保管しなければならないことを求める権利を有する。また、上記の活動に参加する外国企業は、ベトナムに本社または駐在員事務所を設置する必要がある。」と発表しました。

ベトナム国内へのデータセンター設置は、企業の経費負担に関わるものの、ベトナムのサイバーセキュリティの要求を満たすために必要な規定であるとも主張しています。

 
 

サイバーセキュリティ法概要⑤ 民間企業への影響

現在、大手SNS企業や大手ポータルサイトの運営企業は、ベトナムの機関・組織・個人に関するデータを香港やシンガポールのデータセンターに保管しているとされています。サイバーセキュリティ法の規定が施行された場合、これらの企業はベトナムにデータセンターを開設するため、サーバーを移転しなければなりません。その際、多額の設備投資かベトナム向けサービスの停止という判断にもなりかねないため、規定による影響は非常に大きいとされています。

サーバー

また、CPTPPについても、「サーバー現地化要求の禁止」を定めている項目があり、このような法令がベトナムの関連条約上も問題ないのかについて疑問が呈されています。濫用の可能性がある公安の情報コントロールに対しても、デモなどが一部行われており、ベトナム内における批判の大きさが伺えます。

以上のように、様々な影響が予想される本規定ですが、実際に運用されるまでは、実務上の影響が読めない状態となっています。

 
 

今後の議論の動向

本件に関する議論の中では、サイバーセキュリティ法の第26条の規定に関して、憲法の第14条第2項に適合させるために、ベトナムに保管する情報範囲を縮小・具体化する必要があるという意見や、保管する情報を3つのレベルに分類したほうが良いという意見も出ていました。そのため、期間は一定期間に限定されると規定されたうえ、具体的な内容は政令以下に委ねられている状況です。

ベトナムでは法律公布後に具体的な運用を検討することが多いため、今後の政令や通達によっては、サーバー設置の対象となるデータや対象企業が限定されることもあり得ます。
実際の施行まで、議論や政令・通達の制定に注目が必要です。
 

<本記事に関するお問い合わせはこちら>
CAST LAW VIETNAM
Web:http://cast-group.biz/
Mail:info-v@cast-law.com

工藤拓人

ICONIC

CAST LAW VIETNAM 代表、弁護士法人キャスト・パートナー。日本国弁護士(大阪弁護士会所属)、ベトナム外国弁護士。 2011年から弁護士法人キャストに参画し、2013年から中国上海、2014年からベトナムへ赴任。2015年より弁護士法人キャストホーチミン支店長、2017年より現職。ベトナムを拠点に、在ベトナム日系企業に対して進出法務、M&A、労務、知的財産、税関および不動産などの分野で幅広いサポートを行う。著書に『メコン諸国の不動産法』(大成出版社、2017年、共著)、『これからのベトナムビジネス』(東方通信社、2016年、共著)など。

記事をシェアする

関連する記事