日系企業必見!【最新版】ベトナムプライバシーポリシー(個人情報保護法)改訂
現在、ベトナムで初めてとなる個人情報保護法の制定準備が行われています。2022年以降の施行になると思われ、間違いなく来年影響を与える法令の筆頭になると見込まれます。本記事では、個人情報保護法改正案の内容の解説と企業がすべきアクションプラン、最後に弊所のプライバシーポリシー(個人情報規程)改訂のパッケージサービスをご紹介いたします。
個人情報取得のポイント
現在の草案第8条に個人情報取得に関する条文が置かれています。同条では、個人情報の種類、情報処理目的、共有される場合の共有相手や共有条件、個人情報主体の権利等について理解を得る必要がある旨規定があります。これら項目について草案は、いわゆる黙示の方法による同意を認めておらず、明示同意の取得が求められています。また、当該同意取得は、原則として書面によってなされることが予定されています。電子的方法での同意取得も可能ですが、ECサイトやアプリなどから個人情報を取得する場合は、明示性との関係で慎重な検討が必要でしょう。電子媒体等で取得を行う場合は、当該同意取得について書面媒体に印刷などの方法にて落とし込む必要があることが予定されています。また、当該書面は、個人情報取得者の同意取得証明資料として用いられることが予定されており、個人情報を紙媒体で取得した場合も、当該書面の保管などについて負担が生じることが想定されます。
その他、従業員関係にて同意を取得する場合、社員向け個人情報取り扱い説明会を行う企業も今後出てくると思われます。従業員数が一定規模以上の場合、同意取得だけでも従業員からの質疑応答や同意を拒絶する従業員への対応の検討など、相応の準備が必要となってくるため注意が必要です。
要配慮個人情報(センシティブ情報)と域外移転
ベトナムでの個人情報保護法でも、個人情報の定義を基本的な個人情報と個人の人格等に密接に結びつく個人情報を区別しており、後者は日本法にいう要配慮個人情報(センシティブ情報)に相当します。昨今のコロナ禍の影響で、今後コロナウイルスワクチン接種率が高まってくると思われ、従業員や入店客などのワクチン接種状況の情報はこの要配慮個人情報における「健康、医療に関する情報」に該当すると思われます。その結果、例えば勤務従業員について工場エリア等の関係から、ワクチン接種者でなければ勤務できない場合や出張にはワクチン接種証明が必要とされる場合などにおいて、雇用企業側は従業員のワクチン接種状況を把握しておく必要があり、要配慮個人情報(センシティブ情報)を取り扱っていく必要が出てきます。この要配慮個人情報(センシティブ情報)は、当然に通常の個人情報よりも厳しい取扱いが求められており、その中でも、草案に規定されている要配慮個人情報の使用前登録義務が挙げられます。これは、要配慮個人情報についてはその目的使用前に政府当局に登録を行う必要がある旨規定を置いているものであり、理屈上、企業側は上記のような必要が生じた場合は、登録を行わなければ従業員のワクチン接種有無を確認できないということになりかねません。草案上の想定処理期間は約20日以内とされていますが、実運用上は1か月あたりを見ておいた方が良いかと思われます。また、このような登録個人情報は政府側が登録により閲覧可能となるため、個人情報主体のプライバシーにも配慮が必要となってきます。前述の個人情報取得について同意をしない従業員対応などはこのような事由を背景とするものも想定されます。
日本本社との連携
ベトナムで取得した個人情報を日本本社などの海外に移転させる場合、いわゆるデータローカライゼーションが行われなければならない旨の規定が置かれています。これにより、個人情報を移転する場合、移転先国(地域)の個人情報保護水準を確認する必要が出るだけではなく、元データについては常にベトナムに保管等されておく必要があります。加えて、データ移転には政府当局による承認が必要となっており、これもまた移転についての手続について企業の負担になってくる点が予想されます。
企業のとるべきアクションプラン
企業が採るべき最初のアクションは現在ベトナム現地法人が扱っている個人情報の項目と使用目的の洗い出しと確認になります。特に要配慮個人情報(センシティブ情報)については登録申請の手続を要するため、どのような情報について申請を行わなければならないかという点や個人情報主体(従業員など)に対する説明の際に、どのような情報がどのような目的で使われているのか明示するための資料準備を行うことになります。また、併せて従業員の温度感などから同意に反対する個人情報主体が現れた場合の対応方針について議論を重ねることも有効です。 次に同意取得に向けた説明資料の準備と自社のプライバシーポリシー(個人情報規程)の見直しです。現在日本でプライバシーポリシーなどを作成している企業においては、この度の制定されるベトナムの個人情報保護法への適合性を図る作業が必要となってきます。
ベトナム明倫国際法律事務所のサービスパッケージ
弊所では、個人情報保護法対策として、ベトナム版のプライバシーポリシー(ベトナム語/日本語併記)を作成し、あわせて各条項についてのワンポイントアドバイスを併記したプライバシーポリシーパッケージを提供しております。また、クライアント様のご希望に応じてプライバシーポリシー作成や運用に向けたコンサルティングも行っており、従業員説明会で用いる資料(紙媒体や動画)や運用上のトラブルシューティングを行うことができ、現地駐在員の貴重なリソースを大幅に節約することができます。
ご興味のある方(企業様)は、secretary-vn@meilin-int.comまでお問い合わせください。
終わりに
いかがでしたでしょうか。数年前に日本でも起きたGDPRの影響がとうとうベトナムでも生じることとなりました。個人情報の取扱いはコンプライアンス上も業務効率化上も重要な情報となりますので、この度の個人情報保護法制定と適切に向き合っていきたいですね。
(弊所では個人情報保護法だけではなく、様々な法令に対応する顧問契約サービスも提供しております。ご興味のある方は、secretary-vn@meilin-int.comまでお問い合わせください。)