ベトナム：個人情報保護に関するDecree 13

2023年4月17日、政府は個人情報保護に関する政令であるDecree No.13/2023/ND-CP（以下「Decree 13」という。）を公布しました。Decree13は2023年7月1日から施行されます。2018年6月12日付のサイバーセキュリティ法（24/2018/QH14）および同法の最初の施行規則となる2022年8月15日付のDecree No.53/2022/ND-CPに続き、Decree13はサイバー空間を管理する法的枠組の強化のために政府主導により発行された3番目の法的文書となりました。Decree13は、個人情報処理について、情報保護およびサイバーセキュリティ義務をより詳細に規定しています。

• 「顧客情報」だけではなく、「従業員情報」も個人情報に該当するため、すべての企業にとって検討が必要になる
  EUの一般情報保護規則（GDPR）をベースに作成されているものの、ベトナム独自の規定があるため、別途対策が必要になる
• 個人情報の「処理」の定義や個人情報の処理への「関与」の範囲など、Decree13には抽象的な規定が多いため、人により異なる解釈がされてしまう可能性がある
• 個人情報の処理において、印刷可能な形式又は書面でコピー可能な形式（電磁的方法を含む）で、「情報主体からの事前同意取得」と「情報主体への通知」が必要となる
• 事後報告として、「情報処理影響評価」の実施・公安省への評価書類の提出（情報処理開始から60日以内）が必要となる
• ベトナム人の個人情報を越境移転する場合も、「情報移転影響評価」の実施・公安省への評価書類の提出（情報処理開始から60日以内）が必要となる
• 違反した場合に行政処分や刑事罰の対象となり得ると規定されているものの、行政処分や刑事罰の内容について具体的に定められていない

主な内容の全文資料（PDF）は、会員限定コンテンツよりご覧いただけます。