【解説】ベトナムのインターネット上の個人情報保護に関する規定について

記事をシェアする

以前の記事「【解説】ベトナム サイバーセキュリティ法の概要~国内Webサービス事業に影響大か~」では、2019年1月1日からサイバーセキュリティ法が施行されることについて解説しました。サイバーセキュリティ法(86/2015/QH13)は主にインターネット上の秩序維持を目的としているのに対して、個人情報の保護を目的としているのは既に施行されているサイバー情報保護法です。

もっとも、その規制分野は一部重複しています。しかし、政府からは異なる法律の趣旨であるため、両者は併存するものとされています。
今回は既に施行されているサイバー情報保護法とEC(電子商取引)事業に関する政令に基づき、インターネット上の個人情報保護について概説します。特にベトナムで消費者向けのWebサービスを運営されている方々には注意してもらいたい規定です。

<目次>
① サイバー情報保護法とサイバーセキュリティ法案(未施行)
② サイバー情報保護法の詳細
(1) 個人情報
(2) 個人情報を取り扱う者
③ EC(電子商取引)事業に関する個人情報保護
(1) プライバシーポリシー
(2) 消費者の事前同意
(3) 第三者への情報提供

 
 

① サイバー情報保護法とサイバーセキュリティ法案(未施行)

まずはサイバー情報保護法と、施行予定とされるサイバーセキュリティ法案の規定内容を比較してみましょう。

項目 サイバー情報保護法 サイバーセキュリティ法案(未施行)
規定内容 情報の完全性・機密性・可用性の3つの情報特性を規定する。 国家安全保障、社会の秩序や安全及び組織・個人の合法的な権利及び利益を侵害しないことを保証するためにサイバー空間の使用活動を規定する。
主な目的 違法なアクセス・利用・開示・妨害・改変・破壊を避けるためにサイバー情報、個人情報、情報システムを保護することを主な目的としている。 サイバー空間上に国家安全保障、社会の秩序や安全、組織・個人の合法的な権利及び利益を保護し、サイバーセキュリティ侵害行為を防止し、処分することを主な目的としている。
管轄 情報通信省が中心的な役割を担う。 公安省のサイバーセキュリティ担当機関が中心的な役割を担う。
システム 全ての国内の情報システムについて規定する。また、情報システムが5つの安全レベルに分類される。 国家安全保障に関する重要な情報システムについてのみ規定する。
禁止行為 技術的安全の確保、情報の完全性・機密性・可用性の保護に影響を及ぼす可能性がある行為を禁止する。 国家安全保障、社会の秩序と安全に影響を及ぼす可能性がある行為、国家機密漏洩行為、組織・個人の合法的な権利及び利益の侵害行為等を禁止する。

 

 
 
 

② サイバー情報保護法の詳細

(1) 個人情報

サイバー情報保護法第3条第15 号において、「個人情報」とは、「一定の個人の特定に関連する情報」をいうと抽象的に広く定義されています。また、同条第17 号において「個人情報の取扱い」とは、「商業目的でネットワーク上において個人情報を収集、編集、使用、保管、供給、共有または拡散する1つまたは複数の運営の実行」をいうと定義されています。

 
 

(2) 個人情報を取り扱う者

たとえば、会員の氏名、住所、年齢、電話番号やクレジットカード情報は、上記の定義によれば、個人情報に含まれると考えられます。そして、合弁会社は商業目的でこれらの個人情報を収集等するため、「個人情報を取り扱う者」に該当することになります。
「個人情報を取り扱う者」が負う各種義務は、サイバー情報保護法第16 条から第18 条において主に規定されています。

その概要は、以下のとおりです。

① 個人情報のためのネットワーク情報の安全を確保すること(第16 条第2項)
② 個人情報の取扱いおよび保護に適用される方針の作成および公表(第16 条第3項)
③ 個人情報の収集および使用の範囲および目的に対する個人情報所有者の同意の取得後に個人情報を収集すること(第17 条第1項第a号)
④ 個人情報所有者の同意を得ずに当初と違う目的のために個人情報を使用しないこと(第17 条第1項第b号)
⑤ 個人情報所有者の同意または政府の要請なく、第三者に対して個人情報を共有、漏えいしないこと(第17 条第1項第c号)
⑥ 個人情報所有者の要請を受けた場合には、個人情報のアップデート、修正または削除を行うこと(第18 条)。

 
このうち、上記(2)の「個人情報の取扱い及び保護に適用される方針」の具体的な内容および書式については、現時点の法令においては、明確な要求がない状況となっています。
ベトナムの公用語はベトナム語ですので、当該方針はベトナム語で作成され、公表されなければならないと考えられます。この点は、作成を検討する時点で新法令の有無を確認したうえで、法令に従った内容で方針を作成すべきでしょう。

 
 

③ EC(電子商取引)事業に関する個人情報保護

EC事業に関する個人情報保護については、サイバー情報保護法とは別途政令(Decree)52/2013/ND-CPが発布されています。
電子商取引ビジネスを行う過程において消費者の個人情報を取得した事業者は、Decree52号に定める個人情報の保護に関する規定、及び関係する法令等を遵守しなければならないとされています。

 
 

(1) プライバシーポリシー

個人情報を収集する事業者は、個人情報保護に関する方針(プライバシーポリシー)を定め、公開しなければならない。この点は、サイバー情報保護法と同様の規定となっています。
また、電子商取引サイトを通じて個人情報の収集を行う場合には、個人情報保護に関する方針は、当該サイトの目立つところに記載され、公開されなければならないとされます。個人情報保護に関する方針に含まれるべき内容には以下のものがあります。

• 個人情報の収集の目的
• 個人情報の使用範囲
• 個人情報の保存期間
• 当該情報にアクセスすることができる人及び組織
• 当該情報を管理・収集する部署の住所
• 消費者が、電子商取引システムの情報収集部署にある自らの個人情報をアクセスし、修正する方法

 
 

(2) 消費者の事前同意

電子商取引サイトにおいて消費者の個人情報を収集し、使用する場合には、事業者は、当該消費者の事前の同意を取得する必要があります。これについてもサイバー情報保護法と共通しています。
ただし、契約の締結及び履行のために収集する場合、又は商品・サービスの料金を計算するために収集する場合等、法令に定められた場合には、この限りではないと規定されています。

電子商取引により取得された個人情報の使用は、当該事業者の個人情報保護に関する方針に規定された個人情報の収集目的の範囲内でなければなりません。

 
 

(3) 第三者への情報提供

第三者への情報提供については、第41条の第9項に記載されており、消費者権益保護法に適合する必要があると規定されています。

この点、消費者権益保護法では、以下のように規定されています。

第6条 消費者情報の保護
1. 国家権限機関からの要請がある場合を除き、消費者が取引、商品・サービスの購入・利用をする際の消費者情報は保護される。
2. 消費者情報を収集、使用、譲渡する場合、商品・サービスを販売・提供する組織・個人は以下の責任を果たさなければならない。
a) 消費者情報の収集・使用目的を事前に消費者へ明確に通知する。
b) 消費者の承認を得たうえで通知した目的通りに消費者情報を使用する。
c) 消費者情報を収集・使用・譲渡する際に、安全性・正確性を十分に確保する。
d) 情報の不正を発見した場合、自らまたは消費者がその情報をアップデート・修正できる方法を講ずる。
đ) 法律が規定した場合を除き、消費者の承認がない限り、消費者情報を第三者へ譲渡してはならない。

 
ここでも、サイバー情報保護法同様に、消費者の同意があれば第三者への譲渡が可能とされています。消費者との関係では、個人情報の使用範囲に誤解のないように、より注意して使用目的についての同意を取得するべきと考えます。
 

<本記事に関するお問い合わせはこちら>
CAST LAW VIETNAM
Web:http://cast-group.biz/
Mail:info-v@cast-law.com

工藤拓人

ICONIC

CAST LAW VIETNAM 代表、弁護士法人キャスト・パートナー。日本国弁護士(大阪弁護士会所属)、ベトナム外国弁護士。 2011年から弁護士法人キャストに参画し、2013年から中国上海、2014年からベトナムへ赴任。2015年より弁護士法人キャストホーチミン支店長、2017年より現職。ベトナムを拠点に、在ベトナム日系企業に対して進出法務、M&A、労務、知的財産、税関および不動産などの分野で幅広いサポートを行う。著書に『メコン諸国の不動産法』(大成出版社、2017年、共著)、『これからのベトナムビジネス』(東方通信社、2016年、共著)など。

記事をシェアする

関連する記事