【必見】第1回 ベトナム個人情報保護法 ~適用対象、同意関連~
はじめに
現在ベトナムでは、個人情報保護法の制定作業が進められています。現在その草案が公表されており、この度、弊所にて草案の翻訳文を公表することとなりました。
第1回では冒頭部分で重要となる、本法令の適用関係に関する注意点、個人情報取得に関する注意点を解説いたします。
適用対象(主体)について
まず、本法令は2条8項において「個人データ処理者とは、個人データ処理活動を行う国内外の機関、組織、個人」と定義しています。日本法でいうところの個人情報取扱事業者に相当するものと考えられますが、日本の場合は、個人情報(正確には「個人情報データベース等」)を事業用に供する者を指すとしており、事業としてではない個人情報の取扱いについて規制を行うものではないことが分かります。これは、例えば友人を紹介する場合などに個人情報の第三者との共有などと考え、個人情報保護法を適用しようとすれば、いかに不都合が生じるかということからもその理由は容易に分かるかと思います。
他方で、ベトナムの草案では、このような個人情報取扱事業者(業として取扱う者)とそうでない者とを区別していません。解釈運用上、事業者が適用対象となることが想定されますが、注意は必要です。
適用対象個人情報(客体)について
次に個人情報(客体)ですが、ベトナムでは、個人データという用語を用いており、全体で同用語を用いた制度体系を構築しています。これがどういうことかと言いますと、日本では個人情報と主に電子計算機等で処理する個人情報を区別し、後者を個人情報データベース等として異なる規律で構成しています。前者の場合、利用目的規制等はありますが、安全管理措置や第三者提供の制限は受けない扱いになっています(例として、日本法の16条は「個人情報」を取り扱ってはならない、20条、23条は「個人データ」に対する規制として規定されており、個人情報が意図的に除外されています)。
ベトナムでは日本のような区別がなく、個人情報であれ、電子計算機等で処理する個人情報であれ同様の規制に服することが予定されています。そのため、規制対象範囲としては日本法のそれよりも広いこととなり、紙面媒体等での従業員連絡先名簿や社員の経歴書などであっても本法令全体の規制を受ける点に注意しなければなりません。
要配慮個人情報(センシティブ情報)
さらに個人情報の内容を細かく見ると、本政令2条2項及び3項により、日本と同様、一般的な個人情報とより厳しい規制が課せられる個人情報との2重構造を予定していることが分かります。日本でいう要配慮個人情報と概ね範囲は一致しているものと思われます。昨今において特に注意が必要なものは、従業員のコロナワクチン接種証明関係やコロナ罹患歴などが挙げられます。また、日本と異なり位置情報のような必ずしも本人の社会的地位等と関係性のない項目などが含まれている点に注意が必要であり、スマートフォンAppsにて位置情報を用いる場合などは本項目が大きな影響を与える余地も考えられます。
要配慮個人情報(センシティブ情報)に該当する場合、当該情報取得の際、説明義務が課せられており(本法令8条5項)、通常の個人情報よりも取得の段階等に強い規制が置かれています。現在の草案の段階では、この説明の具体的内容は明記されておらず、定型的な説明文の提示で足りるのか、質疑応答のような形で、コミュニケーションの機会までデータ主体に対して行う必要があるのか明示されていません。現在の事業で要配慮個人情報(センシティブ情報)を取り扱っている事業者は、この点について法令等をよく確認の上、十分な準備を行っておく必要がありそうです。
個人情報取得時の同意
個人情報取得の際には、本人の同意取得が必要とされています。日本法では17条2項の規程により、要配慮個人情報に限り本人の同意が必要とされています。しかしながら、ベトナムの場合、本法令8条にあるよう、個人情報の性格を問わず、本人同意が必要とされています。その結果、通常の個人情報であっても、本法令の施行に応じて改めて従業員等から同意を取得することが必要となる可能性が高く、取得範囲の規模によっては相応の準備が必要となります。
同意に関する規制としては、黙示同意などの消極的な方法による同意が認められていないことと、要配慮人情報(センシティブ情報)については本人への説明が必要とされていること、いずれの同意についても、書面の形で同意取得した旨、事後的に確認できる方式で取得する必要があります。この規制により、例えば、従業員に対する一斉説明会を行い、不同意の者は追ってその旨連絡するような方法は採れず、他にも口頭の方法による個人情報の取得については、同意取得のリスクを取得者側が負うこととなります(口頭同意がある場合、同意はあるのですが、事後的に同意取得を示すことができず、同意不取得による罰則等のリスクを負うこととなります)。
その他、データ主体の同意には条件を設けることができる旨規定があり、この条件を付された同意がなされた場合、続く本法令11条3項の個人情報の取扱いに関する通知を省くことができなくなります。そのため、個人情報取得者側としては、可能な限りそのような条件が同意に付されることを避ける必要があるということになりますが、そのためには同意取得の際に情報主体者の十分な理解を得ることが密接に関係し、結果、丁寧な説明と場合に応じて質疑応答の機会を設ける必要が出てきます。
取得した同意は続く各規制のうち、同意があることで免責が生じる場合における最大の防御方法となります。そのため、単純に「個人情報の取得に同意します」という三行半の同意書を取得していた場合、その後の利用態様や責任追及の場面においては予定していた免責効果を得られないリスクが考えられます。
制定法令に適切に対応するために
弊所では、この度の個人情報保護法に対応するためのパッケージサービスを提供しております。現地法人で用いることができる日越語のプライバシーポリシー(個人情報規程)モデル案のご提供や、制定個人情報保護法に関するコメント、注意点や制定法対応のために企業が行うべきことのリーガルコンサルティング、草案のバージョンアップや法令が制定された場合のアフターフォローなどが含まれるサービスとなります。
もちろん、現在日本で用いているプライバシーポリシーのローカライズやベトナム語への翻訳、従業員などに対する説明会の実施なども提供しております。
本法令対応が重要であることは分かったけれども、自社の負担をできるだけ軽減したいと思ってらっしゃる企業様におかれましてはお気軽にご相談いただけますと幸いです。
政府 番号: /2021/NĐ-CP 草案 2 | ベトナム社会主義共和国 独立・自由・幸福 ハノイ、2021年●月●日 |
草案2
政令
個人データの保護に関する規制
2015年6月19日の政府機関組織法に基づき;
2015年11月24日の民法に基づき;
2004年12月3日の国家安全保障法に基づき;
2018年6月12日のサイバーセキュリティ法に基づき;
2020年11月13日の行政違反処理法に基づき;
公安大臣の提案で、
政府は、個人データの保護規制する法令を公布する
第1章
一般規制
第1条 調整範囲と対象適用
1.この政令は、個人データ、個人データの取扱い、個人データの保護方法、個人データ保護委員会、個人データ違反の処理、関連のある機関・組織・個人の個人データ保護責任を規定する。
2.この政令は、個人データに関連する機関・組織・個人に適用される。
第2条 用語説明
この政令では、次の用語は次のように解釈される。
1.個人データとは、個人に関するデータ、特定個人の確定又は確定可能性に関連するデータをいう。
2.基本個人データは次のものを含む。
a)氏、ミドルネーム及び出生名、別名(ある場合)
b)生年月日;死亡・行方不明時の年月日
c)血液型、性別
d)出生地、出生地登録、居住地、現在地、出身地、連絡先住所、電子メールアドレス
đ)学歴
e)民族
g)国籍
h)電話番号
i)身分証明書番号、パスポート番号、市民識別番号、運転免許証番号、ナンバープレート番号、個人税コード番号、社会保険番号
k)婚姻状況
l)サイバースペースでの活動又は活動履歴を反映するデータ
3.センシティブ個人データは次のものを含む。
a)政治的・宗教的主張について個人データ
b)健康状況の個人データとは、データの主体の身体的又は精神的な健康状態に関連する情報、登録プロセス又は医療サービスの提供中に確定・収集されたというものをいう
c)遺伝的個人データとは、個人が受け継ぎ、又は獲得した遺伝的特徴に関連する情報をいう
d)生体認証の個人データとは、各個人の物理的特性・生物学的特性に関する情報をいう
đ)性別状況に関する個人データとは、男性、女性、女性と男性の組み合わせ、完全に女性ではない若しくは完全に男性ではない、女性でも男性でもないという性別が確定される人の情報、又は出生時に確定された性別に適合しない性別を意識した主体の状態をいう
e)生活、性的指向に関する個人データ
g)法執行機関によって収集・保存された犯罪行為に関する個人データ
h)財務について個人データとは、金融機関がデータ主体から提供された口座、カード、支払い手段を確定するために使用される情報又は金融機関、元金データ、データの主体との関係に関する情報をいい、書類、財務状況、信用履歴、収入レベルなどを含むものをいう
i)位置についての個人データとは、個人の過去及び現在における現在位置情報をいう
k)社会関係についての個人データ
l)法律によって情報である旨指定され、保護措置が必要とされるその他個人データ
4.個人データ保護とは、個人データに関する法律の規定に違反する行為を予防、検出、防止、処理する措置をいう。
5.データの主体とは、個人データが反映する個人をいう。
6.個人データ処理とは、個人データに影響を与える一つ又は複数の行為をいい、個人データを収集、保存、変更、開示、アクセスを承認、取得、回収、リコール、復号化、コピー、移転、削除、破壊する行為を含む。
7.個人データの保護権利とは、個人データを保護するために個人が行使することのできる権利又は個人が各機関・組織・個人に対し自分の個人データに対する尊重又は保護措置を講じるよう要求することができる権利をいう。
8.個人データ処理者とは、個人データ処理活動を行う国内外の機関、組織、個人をいう。
9.第三者とは、個人データ処理者やデータの主体以外の個人データを受領し、個人データ処理活動を行う国内外の機関、組織、個人をいう。
10.個人データの自動処理とは、コンピューターシステムを用いたアルゴリズムを通じて個人データを処理することをいう。
11.国境を越えたデータ移転とは、サイバースペース又は電子的設備の使用を通じてベトナム国民の個人データをベトナム社会主義共和国の領土外に移転する行為をいう。
12.オリジナルデータは、個人データ処理者が未だ処理及び第三者移転していない初期のバージョンデータをいう。
13.個人データの匿名化とは、識別子の各内容を匿名化し、若しくは削除する、又は他架空の名前・コードに差し替えることで特定の個人について確認することができない新データ作成プロセスをいう。
14.個人データの匿名化とは、個人データを新しく不可逆的な形式のデータに変換するプロセスをいう。
15.個人データに関する規制への違反とは、個人データ処理に関してあらゆる違法的な行為をいう。
第3条 個人データ保護規則
1.法的原則:個人データは、法律に従って必要な場合においてのみ収集される。
2.目的原則:個人データは、登録された目的、個人情報の処理に関する宣言に従ってのみ処理される。
3.最小化原則:個人データは、明確化された目的を達成するために必要な範囲に限り収集される。
4.限定使用原則:個人データは、データの主体の同意がある場合又は法律に従って権限を有する機関の許可を得た場合においてのみ使用される。
5.データ品質原則:個人データは、データ処理の目的を確実に達するために完全に更新する必要がある。
6.セキュリティ原則:個人データの処理中に個人データ保護措置が適用されなければならない。
7.プライバシー原則:データの主体は、自分の個人データ処理に関する活動を認識し、関連する通知を受け取る権利を有する。
8.保護原則:データ処理中に個人データは保護されなければならない。
第4条 個人データの保護規制への違反の処理
1.個人データ保護規制に違反した機関や組織は、違反の程度に応じて行政処分又は刑事処分を科せられ、法律に従った追加処分が適用される場合がある。
2.個人データ保護規制への違反処理は、ベトナムにおける事業活動がある国内外の全ての組織、企業、個人に適用される。
3.本政令に定める罰金の他、個人データ処理者が複数回違反を犯し、重大な結果を生じさせたときは、個人データ処理者のベトナムにおける総収入の最大5%に相当する罰金を科せられる場合がある。
第2章
個人データ取扱い
第5条. 個人データの取扱いに関するデータ主体の権利
1.法令に別段の定めがある場合を除き、個人データの処理者、第三者に対して自己の個人データの取扱いを同意又は不同意を行うことができる。
2.取扱時点又は通知をすることができる時点において、直ちに個人データの処理者から通知を受領することができる。
3.個人データ処理者に対して、自己の個人データの訂正、拝見、コピーの提供を求めることができる。
4.法令に別段の定めがある場合を除き、個人データの処理者に対して、個人データの取扱いの終了、個人データへアクセスする権利の制限、個人データの開示若しくは個人データへのアクセスの許可の終了、収集した個人データの削除又は閉鎖を求めることができる。
5.次に掲げる場合に、法令の定めに従い異議を申し立て、又は個人データ保護委員会に異議を申し立てることができる。
a)自己の個人データが侵害された場合
b)自己の個人データが目的、合意した内容又は法令の定めに適合しない態様で取り扱われた場合
c)自己の個人データに関する権限が侵害された又は不適切な取扱いの場合
đ)自己の個人データが侵害された根拠がある場合であって、法令の定めに従い損害賠償を求める場合
第6条 個人データの開示
1.個人データの処理者、第三者は、次に掲げる場合においてデータ主体の同意を取得することなく個人データを開示することができる。
a)法令の定めに従う場合
b)情報の開示が国家の利益・安全、社会の秩序・安全のために必要である場合
c)個人データが国防、国家安全、社会秩序・安全、社会道徳、コミュニティの健康のためにメディアで開示する場合
d)個人データをデータ主体に対して経済的、名誉的、精神的、物質的に損害を与えない方法で新聞法の定めに従いメディアで開示する場合
đ)緊急かつデータ主体の生命への脅威又はデータ主体の健康若しくはコミュニティの健康に深刻な影響を与えるリスクがあると別途法令が定める場合
2.本条1項に定める場合を除き、データ主体が求めるときは、個人データの処理者、第三者は個人データ開示を直ちに終了させなければならない。
3.次に掲げる場合において他人の個人データを開示を行ってはならない。
a)当該個人データがセンシティブ個人データである場合
b)個人データ主体の適法な権利に損害を与える場合
4.法令に規定された権限を有する国家機関の公共での録音、録画、その録音、録画から収集したデータの取扱いはそのデータ主体の同意を取得したものとみなす。
a)収集機関は、データ主体自らが録音、録画され、その個人データを取り扱われることを認識し、いつでもその停止を求めることができる旨をデータ主体に対して通知しなければならない
b)国防、国家安全、社会秩序・安全、社会道徳、コミュニティの健康を目的とする場合は、通知をすることを要しない
第7条 個人データへのアクセスの制限
次に掲げる場合において個人データの処理者は個人データの主体ではない対象の個人データへのアクセスを制限しなければならない。
1.国家の利益・安全、社会秩序・安全に悪影響を与える場合。
2.他の組織、個人の適法な権利、利益に影響を与える場合。
3.法令の定めに反し第三者に個人データを開示し、共有する場合。
4.他人のプライバシー権、自由権に影響を与える場合。
5.法令に違反した行為の調査又は処分過程に影響を与える場合。
第8条 個人データに対するデータ主体の同意
1.自己の個人データの取扱いを許可を内容とするデータ主体の同意は、自由かつ次のの内容の理解がなければ効力を有しない。
a)取り扱われる個人データの種類
b)個人データの取扱いの目的
c)個人データの取扱対象、共有をできる対象
d)第三者に個人データを譲渡し、共有する条件
đ)法令に定める自己の個人データの取扱いに関するデータ主体の権利
2.データ主体の沈黙又は黙示は同意。
3.データ主体は一部的に同意し、又は条件を付けて同意することができる。
4.データ主体の同意は印刷し、文章でコピーできる形で表現されなければならない。
5.データ主体に対して、取扱う必要があるデータがセンシティブな個人データである場合、その旨説明を行わなければならず、データ主体の同意は印刷し、文章でコピーできる形で表現されなければならない。
6.国家活動により取得された個人データにおけるデータ主体の同意は、データ主体が別段の意思を表示した場合を除き、データ主体の存在期間に加えてデータ主体が死亡した時点から20年間にかけて効力を有する。
7.データ主体は、自己の同意をいつでも撤回することができる。
8.紛争が生じた場合、個人データの処理者はデータ主体の同意を証明しなければならない。
第9条 データ主体が死亡した後の個人データの取扱い
1.データ主体が死亡後、遺言又は法令に定める相続人の文章での同意が、データ主体と個人データの処理者との間の合意と異なる場合、そのデータ主体に関する個人データの取扱いは、その遺言又は相続人が行った同意及び本政令第6条及び前条に従う。
2.前項の規定は、取扱われる個人データに氏名、性別、生年月日、死亡の年月日、失踪の年月日及び死亡原因のみ含む場合、適用しない。
第10条 データ主体の同意がない場合における個人データの取扱い
1.次に掲げる場合において個人データはデータ主体の同意を要せず取り扱うことができる。
a)法令の定める場合
b)国家の利益・安全、社会秩序・安全を目的とする場合
c)緊急かつ、データ主体の生命への脅威、又はデータ主体の健康又はコミュニティの健康に深刻な影響を与えるリスクがある旨法令が定める場合
d)法令に違反した行為の調査、処分を目的とする場合
đ)ベトナムが加盟する国際合意、国際条約においてデータ主体の同意を要せず個人データの取扱いが許容される旨明記する条項に基づく場合
e)本政令の第12条に基づき科学研究又は統計業務を目的として個人データを取り扱う場合
2.次に掲げる場合は、データ主体の承諾を要せず第三者に個人データを共有し、又は個人データへのアクセスを提供することができる。
a)法令又はベトナムが加盟する国際協定又は国際条約に従う場合
b)データ主体の生命、健康又は自由を保護する場合
c)データ主体の権利と利益に影響を与えず、データ主体の承諾を得ることが不可能である場合
d)本政令第12条に基づく科学研究又は統計を目的として個人データを取扱う場合。
第11条 個人データの取扱いについてデータ主体への通知
1.本条3項に規定される場合又は法令に異なる規定がある場合を除き、一切の個人データを取り扱う行為はデータ主体に通知されなければならない。
2.個人データ取扱いに関するデータ主体への通知内容。
a)個人データの処理者の情報
b)取り扱われる個人データの種類と取扱方法
c)取扱時間、取扱目的
d)特殊な状況で取扱われる個人データの種類又は特殊な取扱いの目的が重大な危害のリスクを生み出す可能性がある場合はその旨。
đ)データ主体の権利及び権利を行使する手続
e)個人データ保護委員会により実施される個人データ保護の信頼性評価
g)ベトナムの領土外への個人データ移転に関する情報
h)規定されるその他情報
3.次に掲げる場合において、個人データの処理者は個人データ取扱いに関する通知することを要しない。
a)データ主体が個人データの取扱いの内容、活動に完全に同意した場合
b)個人データ取扱いが法令、国際協定、国際条約により規定される場合
c)データ主体の利益に影響せずデータ主体に通知することが不可能である場合
d)本政令第12条に基づく科学研究又は統計を目的として個人データを取扱う場合