2026年施行ベトナム個人情報保護法とデータ法のポイント

Ⅱ ベトナム個人情報保護制度の主なポイント

1. 適用範囲

個人情報保護法は、以下を対象としており、ベトナム国内の企業に加え、ベトナム国外にある外国企業であっても、ベトナム国民等の個人情報を処理する企業には適用されます。

（1）ベトナム国内の機関・組織・個人
（2）ベトナム国内に所在する外国の機関・組織・個人
（3）ベトナム国民等の個人情報を処理する、外国の機関・組織・個人

2. 個人情報の定義と分類

個人情報は、特定の個人を識別し又は識別することを可能にするデジタルデータ又はその他の形式の情報と定義され、基本個人情報（氏名、生年月日、性別、住所、連絡先、家族関係等）と機微個人情報（ID番号、パスポート情報、民族・人種、政治・宗教的見解、健康情報、生体・遺伝子情報、プライバシー情報、位置情報、犯罪歴、金融情報等）に分類されます。2026年1月からは政令365により、オンライン行動履歴、電子IDアカウントのユーザー名とパスワード、パスポートや国民IDカード等の画像、銀行口座やカードの情報、金融取引履歴も機微情報に追加されています。

3. 管理主体の区分

個人情報を取り扱う者は、個人情報管理者（個人情報の処理目的決定者）、処理者（契約や合意に基づき管理者の委託を受けて処理する者）、管理者兼処理者に区分され、個人情報の処理目的決定と処理を自社で担う場合は管理者兼処理者に該当します。

4. 同意取得

個人情報主体から同意を取得する際の事前通知事項として、目的、情報の種類、処理方法、保存期間、第三者提供の有無、主体の権利を明示する必要があります。
同意の形式は書面（紙又は電子）、録音、SMS、電子メール、ウェブサイト、アプリ上など技術的仕組みを備えた方式などが認められています。

2026年1月施行の政令365は、デフォルトでの同意の事前設定や、個人情報主体を混乱させるおそれのある不明確な指示による誤解を招く設定を禁止しています。また、同意については、その取得時期および内容を確認できるよう、適切に保持されなければならないことも規定されています。

5. 個人情報主体の権利

アクセス、訂正、削除、同意撤回、処理制限、異議申立て、データ提供請求など、広範な個人情報主体の権利が規定され、個人情報管理者および管理者兼処理者は、以下の期限内に権利行使へ対応する義務があります。

また、生体情報・位置情報が関係する侵害について、個人情報主体への72時間以内の通知義務が規定されています。

6. 個人情報保護担当部門・担当者の任命

企業等には、個人情報保護を担当する部署や責任者の設置・任命が義務付けられ、公安省へ通知する必要があります。また、担当部門・責任者に関する具体的な能力要件（大卒以上・2年以上の関連経験・専門研修履修）と責務（内部規程整備、個人情報主体による権利行使への対応、影響評価書類の作成、社内研修、違反対応）が規定され、外部サービス提供者を活用する場合も、能力要件等が定められています。

7. 影響評価書類の定期更新

ベトナムの個人情報保護制度では、個人情報処理や越境移転に関する評価書類の作成と報告が義務付けられ、これらの評価書類には、企業等が個人情報管理者・個人情報処理者・第三者の役割で行う活動の明確な区分、各役割に対応する個人情報主体の種類と数、各役割に応じた詳細なデータ処理フロー図、データセキュリティ確保の計画などを記載する必要があります。

評価書類は公安省の専門部門（サイバーセキュリティ・ハイテク犯罪対策部門）による審査対象であり、不備があれば補完を求めることがあります。また、政府提出に加え、当局の要請時に閲覧可能な状態での常時備置、6カ月ごとの定期、政令365で定める特定の変更発生時から10日以内の更新などが課せられ、継続的な運用体制が必要となります。

8. 罰則

個人情報保護違反に関する罰則規定も含む「サイバーセキュリティ行政罰に関する政令」案がベトナム政府内で検討されており、違反の性質に応じて罰金・業務停止・越境移転の停止・是正措置などの措置が科される可能性があります。

また、個人情報保護法は罰金を規定しており、その上限は以下のとおりです。

• 個人情報売買に関する違反は、不正収益の10倍又は3億ベトナムドンのいずれか高い額
• 越境移転に関する違反は、前年収益の5%又は3億ベトナムドンのいずれか高い額
• その他の違反は最大3億ベトナムドン（個人の場合は半額）

Ⅲ 2024年データ法の主なポイント

2024年データ法は個人情報を含む広範なデータを対象とし、取り扱うデータに応じて個人情報保護法と併用されます。

1. データ分類

データは以下の3区分に分類されます。

• 中核データ：国防・安全保障・外交・マクロ経済の安定・社会秩序・公衆衛生および安全に直接影響を及ぼすデータであり、首相が公布するリストに基づいて定められる。
• 重要データ：国防・安全保障・外交・マクロ経済の安定・社会秩序・公衆衛生および安全に影響を及ぼす可能性のあるデータであり、2025年7月1日付首相決定20／2025／QD-TTgおよび関連草案で以下が例示されている。
  （例）
  ・10万人以上のベトナム国民に関する基本個人情報
  ・1万人以上のベトナム国民に関する機微個人情報

• その他データ：上記いずれにも該当しないデータ。
   

2. 中核データ・重要データの保護措置

中核データと重要データを適切に保護するため、定期的なリスク評価、削除・回収要求への対応、内部規程の整備、安全管理措置、人材育成などが義務付けられます。

3. 越境移転に関する事前手続

中核データをベトナム国外に移転する場合、事前審査を受け、移転前に承認を得る必要があります。重要データについては、移転の15日前までに当局への届出と影響評価提出が必要です。

4. 越境移転影響評価書類の更新

中核データおよび重要データには、2024年データ法に基づき、越境移転に関する影響評価書類の作成・提出が義務付けられます。移転目的や範囲の変更、受領者側の処理体制の変更、セキュリティ環境の変化などが発生した場合には、評価書類の内容を更新する必要があります。

重要データ・中核データに個人情報が含まれる場合は、個人情報保護法制における影響評価書類だけで足り、データ法上のリスク評価は不要とされています。

Ⅳ 企業に求められる対応

1. データマッピングと現状把握

企業は、自社でどのようなデータを収集・保管・利用しているのか、越境移転があるか、どの部門がどのデータを扱うかなど、データの流れを正確に把握する必要があります。

2. 同意・通知プロセスの見直し

採用、従業員管理、マーケティングなどの場面で、個人情報主体からの同意取得や通知の方法を見直す必要があります。機微個人情報については、特に厳格な同意の管理が求められます。

3. 影響評価書類の運用体制の整備

評価書類の定期又は随時の更新に対応するため、法務、IT、人事などの関係部門が連携し、更新サイクルや変更時の手続を明確にした運用体制を整備することが求められます。

4. 契約書と外部委託先管理の強化

越境移転やデータ保護義務に対応するため、グループ会社や委託先との契約内容を見直し、法令で求められる義務を明確にしておく必要があります。

5. 従業員の教育と体制整備

法令の定めに基づき個人情報保護を担当する部署や担当者を設置、又は外部委託し、当局へ報告するとともに、企業全体でデータ保護に関する意識と知識を高める教育を行い、組織的な体制整備を進める必要があります。

Ⅴ 総括

個人情報保護法と2024年データ法は、ベトナムにおけるデータ管理体制を大きく見直すものです。個別法への対応ではなくデータライフサイクル全体を踏まえたガバナンス体制を構築することで、法令遵守とリスク管理の両立を図ることが可能です。