【必見】第2回 ベトナム個人情報保護法 ~個人データ保護措置~
はじめに
現在ベトナムでは、個人情報保護法の制定作業が進められています。現在その草案が公表されており、この度、弊所にて草案の翻訳文を公表することとなりました。
第2回では個人データを取得した後の話となる、個人データの取扱方法や取得した個人データにどのような措置が必要となるかという点について解説します。
一般的に必要とされる技術措置
取得した個人データに対して講ずべき技術的措置については、概ね日本で行っている措置とそうは異ならないように見受けられます。基本的には、不正アクセスや漏洩防止を中止とした措置であり、個人データ移転処理を施す場合にトラッキング可能な措置を講じることなどが挙げられています(草案17条)。
個人データの域外移転
日系企業であれば是非とも知っておきたい個人情報の域外移転については、日本と仕組みが異なるため注意が必要です。特筆すべきは、個人データの域外移転には政府承認が必要とされている点です(草案21条1項d)。これは、通常の個人データであっても、センシティブ情報であっても異なるものではありません。また、移転先にてベトナムが求める個人情報保護水準が保たれていることを示す証明書が予定されており、日本の場合、都度この証明書の取得が必要となるのか、日本への移転の場合は当該書面の提出が免除されるのか今後の運用を中止する必要があります。
なお、日本でも個人情報保護法24条により、外国に個人情報保護法を移転させる場合、認定国であれば、同条が定める同意などが不要となりますが、ベトナムはこの認定国に含まれていません。今後、相互に認定国となる場合はデータ移転が幾分か円滑になると見込まれます。
また、個人データを移転させた場合、当該個人データを3年間、ベトナムにて履歴保存する必要があります。データ移転に関する保存情報は毎年、個人情報保護委員会による監査が入ります。ここで、個人情報保護法への対応ミスがあれば、当局とのやり取りが生じますし、罰則の適用を受けるリスクがあります。
このようなことからも、保存内容には草案21条4項が定める所定の項目を含める必要があるため、これら項目はチェックしておく必要があるでしょう。
なお、政府承認手続に要する日数は申請から20営業日が予定されていますが、運用上もう少し後ろ倒しになる可能性も否定できず、余裕をもった申請が望ましいといえます。
制定法令に適切に対応するために
弊所では、この度の個人情報保護法に対応するためのパッケージサービスを提供しております。現地法人で用いることができる日越語のプライバシーポリシー(個人情報規程)モデル案のご提供や、制定個人情報保護法に関するコメント、注意点や制定法対応のために企業が行うべきことのリーガルコンサルティング、草案のバージョンアップや法令が制定された場合のアフターフォローなどが含まれるサービスとなります。
もちろん、現在日本で用いているプライバシーポリシーのローカライズやベトナム語への翻訳、従業員などに対する説明会の実施なども提供しております。
本法令対応が重要であることは分かったけれども、自社の負担をできるだけ軽減したいと思ってらっしゃる企業様におかれましてはお気軽にご相談いただけますと幸いです。
第3章
個人データ保護措置
第17条 技術措置
1.個人データ処理者は、次に掲げる目的で個人データを保護するための管理、技術的及び及び物理的手段を講じなければならない。
a)個人データの機密性、完全性、可用性への確保
b)匿名化及び暗号化
c)個人データ処理者の個人データ取扱履歴の保存、コピー、抽出、保護
2.個人データ処理者は、個人データを取り扱う場合、次の対策を講じらなければならない。
a)個人データの処理に使用される設備への不正アクセスの防止
b)個人データの不正な読取り、コピー、変更、削除の防止
c)個人データが記録、変更、削除又はアクセスされた場合における、その主体、 時点、方法の統計
d)許可された者の個人データへのアプローチ、アクセス、処理の正当な権利の保護
đ)次の内容に応じた個人データの送信、共有及び移転に関する詳細な統計:時間、主体、データタイプ及び保存形式
e)データ通信装置又はデータ記憶媒体を通じて個人データを移転、共有する際には、不正な読み取り、コピー、変更、削除又は破壊は実行されないことの確約
g)次の項目含む個人データ処理設備及びソフトウェアに関する統計:設備の名称・種類及びメーカーの場所・名前;ソフトウェアメーカーの名称、バージョン、メーカーの名称及び連絡先の詳細
第18条 個人データ保護の規定の作成
1.個人データ処理者は、本政令の規定に従い、本政令の内容の実施を明記した個人データ保護に関する文書を作成し、発行するものとする。
2.個人データ処理者は、個人情報を保護する機能を有する部門を設置し、個人データ保護を担当する役員を任命し、個人データ保護委員会とデータ保護を担当する部門及び個人に関する情報交換を行う。
3.個人データ処理者は、個人データの保護に関する問い合わせに対応するための措置を講じなければならない。
第19条 個人データ保護活動の査察及び検査
1.個人データ保護委員会は、公安省のサイバーセキュリティ及びハイテク犯罪防止及び管理部門の局長に、当局の権限における個人データ保護活動の査察及び検査に関する決定を下すよう要請する責任を負う。査察及び検査のチームのメンバーには、個人データ保護委員会のメンバーと管轄当局のメンバーが含まれる。
2.機関、組織又は個人が、個人データの保護に関する規制に違反していると判断する理由がある場合を除き、個人情データ保護の査察及び検査は、1つの機関又は組織に対して年に2回以内に実施されるものとする。
第20条 センシティブな個人データ取り扱いの登録
1.センシティブ個人データは、取扱前に個人データ保護委員会に登録する必要がある。
2.センシティブ個人データを処理するための登録するための書類、手続。
a)次の情報を含むセンシティブ個人データを処理するためのアプリケーション:個人データ処理者の名前、レジストリ又は個人識別コード、事業所、居住地及びその他の連絡先情報;個人データの処理の法的根拠の引用;個人データの取扱目的;個人データの種類;データが処理される対象の種類;個人データソース;個人データの送信を許可された個人又はグループ;個人データを海外に移転するための条件;個人データ保護対策の詳細な説明。
b)次の項目を含む、センシティブな個人データを処理する際の影響評価報告書:提案された取扱活動、取扱の目的及び取り扱っている個人データの性質;提案された取扱活動のある個人データ主体に発生する可能性がある潜在的な危害の評価;当該危害リスクを管理、軽減又は排除するための措置
c)個人データ処理アプリケーションに記載されているコンテンツに関連する書面、情報及び機密性の高い個人データを取り扱う際の影響評価報告書
3.個人データ保護委員会は、必須となる申請書を受け取った日から20営業日以内に、センシティブ個人データ取扱申請書を処理する。個人データ保護委員会は、センシティブ個人データ取扱申請書に含まれる情報につき確認する権利を有する。
4.次に掲げる場合において、個人データ処理者はセンシティブ個人データの取り扱いにあたって登録を要しない。
a)法律違反の防止、検出、調査、及び処分のための個人データの取扱いの場合
b)法律に従って、国家機関の医療及び社会保障機関の医療機能を実行する場合
c)裁判所の司法機能を果たす場合
d)個人データ保護委員会により認定を受けた国家機関又は科学研究組織であって、保存又は統計の目的、申請書類による調査、保存、統計目的に該当する旨の証明書を有しており;個人データが匿名化され;データ主体に影響を与える目的又は活動には使用されない場合
đ)法律で規定されているその他活動
第21条 個人データの国境を越えた移転
1.次の各号を満たす場合、ベトナム国民の個人データをベトナム領域外に移転することができる。
a)データ主体の移転への同意
b)オリジナルデータのベトナムでの保存
c)移動先の国若しくは地域、又は国若しくは地域内の特定の場所が本政令で指定されているレベル以上の個人データの保護に関する規則を発行していることに対する証明書
d)個人データ保護委員会の書面による同意
2.データ保護機関は次の場合に国境を越えた個人データの移転に対する文書を交付する。
a)本法令に基づくデータ主体の権利を効果的に保護している場合
b)国境を越えて個人データの移転を登録する際における個人データ処理者の確約
c)個人データ処理者より申請書類に記された個人データを保護するための措置
3.本条第1項を満たさない場合であっても、次の場合において個人データはベトナムの領土外に移転することができる。
a)データ主体の同意
b)個人データ保護委員会の書面による同意
c)個人データを保護するためのデータ処理者の確約
d)個人データ処理者の個人データ保護措置を適用することへの確約
4.海外に個人データを移転する個人データ処理者は、3年間、以下の内容を含む、データ移転履歴を保存するシステムを構築しなければならない。
a)個人データを外部に提供した時点
b)受領当事者の氏名、住所、連絡先情報等の受領当事者の身元
c)外部に移転される個人データの種類、数量、センシティブ性の程度
d)個人情報保護庁が指定するその他の内容
5.個人情報保護委員会は、年に一度、個人情報処理者によるベトナム国外への個人情報の移転状況を定期的に評価する。
6.次に掲げるいずれかの状況が生じた場合、国境を越えた個人データの移転を停止する。
a)個人データを処理者又は個人データ受領者が大量のデータ濫用又は漏洩を生じさせた場合
b)データ主体が自己の正当な利益を保護することが不可能又は困難である場合
c)個人データ処理者又は個人データ受領者が、個人データを保護することができない場合
7.個人データの国境を越えた移転の登録のための書類と手順は次のとおりとする
a)次の詳細を含む、国境を越えた個人データの移転の申請:氏名又は名称、登録機関、事業所、居住地及び個人データを取り扱う当事者のその他連絡先情報。個人データの国境を越えた移転の法的根拠。国境を越えて個人データを移転する目的。国境を越えた移転のために登録された個人データの種類。国境を越えた移転のために登録された個人データのソース。個人データの国境を越えた移転の登録地又は場所。国境を越えて個人データを移転するための条件。個人データ保護対策の詳細な説明。
b)国境を越えた個人データ移転を申請する際の影響評価報告書。これには、国境を越えた個人データ移転の詳細な説明、国境を越えた個人データ移転の目的が含まれます。リスクと起こりうる危害の評価。そのリスク又は危害を軽減又は排除するための措置。
c)機密性の高い個人データを取り扱う際の、個人データ処理アプリケーション及び影響評価報告書に記載されているコンテンツに関連するテキスト。
8.個人データ保護委員会は、受領日から20営業日以内に個人データの国境を越えた移転の申請を処理する。個人データ保護委員会は、国境を越えた個人データの移転の登録申請書に含まれる情報情報につき確認する権利を有する。
第22条 個人データの取り扱いの規制に対する違反行為への行政違反処分
1.次のいずれかの行為に対して、5,000万ドンから8,000万ドンの罰金に処する。
a)個人データの取扱いに関するデータ主体の権利に関する規定への違反
b)個人データの開示に関する規定への違反
c)個人データへのアクセス制限に関する規定への違反
d)個人データに対するデータ主体の同意に関する規定への違反
đ)データ主体の死亡後の個人データの取り扱いに関する規定への違反
e)データ主体の同意なしに個人データを取り扱うことに関する規定に違反
g)個人データの取り扱いについてデータ主体に通知することに関する規定への違反
h)科学的研究又は統計のための個人データの取り扱いに関する規定への違反
i)自動的な個人データの取扱いに関する規定への違反
k)子供の個人データの取り扱いに関する規定への違反
l)個人データの正確性に関する規定への違反
m)個人データの保管、削除、破棄に関する規定への違反
2.次のいずれかの行為に対して、8000万ドンから10,000万ドンの罰金に処する。
a)技術的措置を適用せず、個人データの保護に関する規程を制定しない行為
b)センシティブな個人データの取り扱いの登録に関する規定への違反
c)国境を越えた個人データの移転に関する規定への違反
d)本条第1項に規定された行為に対する2回目の規定行為
3.次の行為に対して、ベトナムで個人情報漏えいを処理する党の総収入の最大5%の罰金に処する。
a)本条第1項に規定する行為に対する3回目の違反行為
b)本条第2項のポイントa)、b)、c)で指定された行為に対する2回目の違反行為
4.追加の罰則
a)本条第2項に規定された違反については、個人データの取扱いを1か月から3か月の間停止する
b)センシティブ個人データの取扱い及びベトナムの領土の境界を越えて個人データの移転に関する同意書を剥奪する
5.是正措置:本条第1項及び第2項に規定された違反を犯したことにより得られた金銭を没収する。
6.公安省のサイバーセキュリティ及びハイテク犯罪防止及び管理部門の局長は、本条の第1、2、3、4、5項に規定される行政違反に対して罰則を科す権限を有する。