EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
ベトナム - サイバーセキュリティ法施行政令第53/2022/ND-CP号
ベトナムJBSアップデート2022年9月
本アップデートの主なポイントは以下のとおりです。
- 国内保存要件の対象となるデータ
- 国内保存要件と商業拠点(コマーシャルプレゼンス)要件の詳細
- 国内企業の義務
- 外国企業の義務
- データの国内保存形式と保存期間、国内商業拠点の要件
- その他の義務
- サイバーセキュリティ保護対策の適用
ベトナム政府は、サイバーセキュリティ法制定から3年超の検討期間を経て、2022年8月15日、同法の一部の条文を施行する政令第53/2022/ND-CP号(以下、政令53)を公布しました。同政令は、2022年10月1日から、猶予期間なく発効します。政令53は、サイバーセキュリティ法の重要な側面、特に(1)データの国内保存と商業拠点要件(第26条および27条)、(2)サイバーセキュリティ保護措置の適用(第19、20、21条)について規定しています。
以下、主なポイントを分析し紹介します。
1. 国内保存要件の対象となるデータ
- 国内保存要件の対象となるデータの形態
政令 53により国内保存の対象とされるデータは、記号、文字、数字、画像、音声、または類似の形態の情報です。この適用範囲は、電子取引法中の「データ」の定義と一致しており、いずれの法律も、適用対象となるデータが、その形態により決められています。
- 国内保存要件の対象となるデータの種類
ベトナムで保管しなければならないデータの種類(以下、総称して「規制対象データ」)は以下のとおりです。
(i)ベトナムのサービス利用者の個人情報に関するデータ
これは、個人を特定するために使用されるデータ です。
(ii)ベトナムのサービス利用者が作成したデータ
これは、サービス利用者(組織または個人)がサイバースペースにおいて参加・操作をしたり、サイバースペースを使用するプロセスを示すデータや、ベトナムの領域でサイバースペースと接続するために使用するネットワーク機器とサービスに関する情報です。この中には、サービス利用アカウント名、サービス利用期間、クレジットカード情報、電子メールアドレス、直近でログインおよびログアウトしたIPアドレス、当該アカウントまたはデータに関連する登録電話番号などが含まれます。
(iii)ベトナムにおけるサービス利用者の人間関係に関するデータ
これは、サイバースペースにおけるサービス利用者と他の人々との関係を示す、または決定するデータです。ユーザーとつながっている、または交流している友人やグループも含まれます。
2. データ国内保存と商業拠点(コマーシャルプレゼンス)要件
2.1. データ国内保存と商業拠点要件の対象となる企業
サイバーセキュリティ法の下では、ベトナムのサイバースペースで通信ネットワーク、インターネットネットワーク、付加価値サービスを提供し、規制対象データの収集、利用、分析、処理を行う国内企業だけでなく、国外企業(外国の法律に基づいて設立または登録された企業)も、ベトナム国内に規制対象データを保存しなければなりません。このサイバーセキュリティ法による国内保存要件、特に域外適用は、ベトナムにサーバーを設置することを義務付けた政令草案の初版から、規定内容を狭めた最終草案に至るまで、ベトナムで事業を行う投資家の間で多くの注目を集め、議論を誘起してきました。
- 国内企業の場合
政令53は、国内企業に適用されるデータ国内保存要件について、サイバーセキュリティ法第26条第3項に定められた以上には詳細な指針を示していません。このため、政令53の第2条および第26条第2項、さらにサイバーセキュリティ法第26条第3項を合わせ、以下の(a)および(b)の両方の条件を満たす国内企業が、データ国内保存要件の対象となると解釈できます。
(a)ベトナムにおいて、下表の5つのサービスのうち1つを提供していること。
(b)規制対象データの収集、分析、加工を行う活動を有すること。
|
No. |
サービス名 |
既存法令・規制に基づく定義・説明 |
|---|---|---|
|
1 |
通信サービス |
2人のユーザー間またはユーザーグループ内での情報の送信、伝送、受信または処理のサービスであり、基本サービスおよび付加価値サービスを含む電気通信サービス(電気通信法第3条第7項) |
|
2 |
通信を利用したアプリケーションサービス |
電気通信回線またはネットワークを利用して、情報技術、ラジオまたはテレビ放送、商業、金融、銀行、文化、情報、ヘルスケア、教育、その他の分野のアプリケーションサービスを提供するサービス(電気通信法第3条第8項) |
|
3 |
インターネットサービス |
電気通信サービスの一形態で、(a)インターネットアクセスサービス、(b)インターネット接続サービスなどを含む。 |
|
4 |
インターネット上のOTT(Over-the-top)コンテンツサービス |
既存法令・規制に定義なし |
|
5 |
付加価値の高い通信サービス |
電子メールサービス、ボイスメールボックスサービス、付加価値FAXサービス、ダウンロード速度256kb/s未満のナローバンドインターネットアクセスサービスおよびダウンロード速度256kb/s以上のブロードバンドインターネットアクセスサービスを含むインターネットアクセスサービス、および情報通信省の定めるその他の付加価値電気通信サービス(2012年5月18日付通達第05/2012/TT-BTTT第4条3項b) |
- 国外企業の場合
国外企業の場合、データの国内保存要件は国内企業より軽くなります。具体的には、以下の条件すべてに該当する場合にのみ、国外企業は、規制対象データを保存し、かつベトナムに駐在員事務所または支店を設置する必要があります。
(a) 当該国外企業が、規制分野において事業を展開している場合。規制分野には、以下が含まれます
(i) 通信サービス
(ii) サイバースペースにおけるデータの保存・共有サービス(クラウドストレージ)
(iii) ベトナム国内のサービス利用者に対する国内外のドメイン名の提供
(iv) 電子商取引
(v) オンライン決済
(vi) 仲介決済
(vii) サイバースペースを通じた交通接続サービス
(viii) ソーシャルネットワーキングおよびソーシャルメディア
(ix) オンライン電子ゲーム
(x) サイバースペースにおいてその他の情報をメッセージ・電話・ビデオ通話・電子メールまたはオンラインチャットの形態で提供・管理又は操作するサービス
(b) 当該国外企業が、(1)公安省サイバーセキュリティ・ハイテク犯罪防止課(以下「A05課」)から、当該企業の提供するサービスがサイバーセキュリティ規制違反に使用されていると警告され、(2)A05課から違反の調整、防止、調査、対処を書面で要求されたが、(3)A05課の要求を順守せず、または不完全に順守し、またはサイバーセキュリティ専門当局が実施したサイバーセキュリティ保護措置を阻止、妨害、無効化、または解除している場合。
(c) 当該国外企業に対して、公安大臣からデータの国内保存およびベトナム支店・駐在員事務所の設置を要請する決定書(以下「決定書」)が発行された場合。
なお、上記の状況に該当する国外企業は、決定書発行日から12ヵ月以内に、データのベトナム国内への保存およびベトナムにおける駐在員事務所または支店の設立を完了する必要があります。
2.2. データ保存の形態、データ保存期間、商業拠点要件の対象となる期間
- データ保存の形態
政令53は、ベトナムでのデータ保存形態を決定する権利を企業に与えており、(i)ベトナムでサーバーを所有するまたはリースを受ける、(ii)ベトナムでバックアップコピーを保存する、といういずれの形態もデータの国内保存要件を満たすと認められると解釈できます。
- データの保存期間
政令53により、国外企業は、決定書を受領した後、要請期間終了までの間(最低24ヶ月間)、ベトナムで規制対象データを保管する必要があります。他方、政令53は、国内企業に適用されるデータ保管期間については言及していません。
- ベトナムに商業拠点を持つ期間
国外企業がベトナム駐在員事務所または支店を設置する期間は、ベトナム駐在員事務所または支店の設置を要請する決定を受けた日から、ベトナムで操業しなくなるまで、またはベトナムで規制分野のサービスを提供しなくなるまでとされています。
2.3. その他の義務
- A05課への協力
企業が収集、使用、分析、処理するデータが、規制対象データに対して求められる国内保存要件を完全には満たしていない場合、当該企業は、現時点で収集、使用、分析、処理しているデータについて、A05課による確認へ協力し、保存を進める必要があります。 - データ保存の補完
企業が、規制対象データに該当するデータを追加して収集、使用、分析、処理する場合、A05課に協力し、ベトナム国内保存の必要があるデータのリストに当該データを追加する必要があります。 - システムログ
サイバーセキュリティ法違反の調査・対処のためのシステムログは、少なくとも12ヵ月間保存する必要があります。
3. サイバーセキュリティ保護対策の適用
- サイバースペース上の違法な情報や不正確な情報の取り下げ
この取り下げ措置は、以下のものに適用されます。
(a) 国家の安全保障を侵害し、ベトナム社会主義共和国への反抗を宣伝し、暴力を扇動し、法律に基づき治安や公共秩序を乱すと所管官庁が判断したコンテンツ。
(b) 誹謗(ひぼう)中傷、経済管理上の秩序を乱すコンテンツや、事実を捏造(ねつぞう)・歪曲(わいきょく)し、国民の混乱や社会経済活動に重大な損害を与えるコンテンツ。
(c) その他、サイバーセキュリティ法第8条第1項c、dd、eに定める内容。
- サイバースペースにおける違法行為に関する電子データの収集
サイバースペースにおける国家の安全保障、社会の秩序と安全、または機関、組織、個人の合法的な権利や利益を侵害する活動の捜査および処分を目的としたデータ収集は、以下の原則に従わなければなりません。
(a) デジタル機器や電子データの状態を維持する。
(b) 電子データのコピーと記録は、認識・検証可能な機器とソフトウェアによって手順通りに行われなければならず、機器に保存されている電子データの完全性を守らなければならない。
(c) データ復旧、電子データ検索のプロセスは、法廷において再現可能で同様の結果に至ることを示すために必要に応じて繰り返すことができるよう、議事録、写真、ビデオで記録する必要がある。
(d) 電子データを収集する者は、電子データを収集する業務を行うために任命された常勤の事務官でなければならない。
- 情報システムの運用の停止または中止、インターネットドメイン名の取り消し
この措置は、公安大臣の決定により、次のいずれかの場合に適用されます。
(a) 情報システムの運用が国家の安全保障およびサイバーセキュリティに関する法令に違反することを証明する証拠がある場合。
(b) 国の安全、社会の秩序や安全を侵害する目的で情報システムが利用されている場合。
Contacts
Hanoi Office
Anh Thuy Pham | Senior Manager | Vietnam Law
EY Law Vietnam Limited Liability Company
Ho Chi Minh City Office
Michael Beckman | Partner | Vietnam Law Leader
EY Law Vietnam Limited Liability Company
Thanh Tat Vu | Senior Manager | Cybersecurity and Technology Risk
EY Vietnam Cybersecurity Services Company Limited
Robert Tran | Partner | Leader of Cybersecurity and Technology Risk
EY Vietnam Cybersecurity Services Company Limited
Japanese Business Services
Takaaki Nishikawa | Director
Ernst & Young Vietnam Limited
Japanese Business Services
Takahisa Onose | Partner
Ernst & Young Vietnam Limited
Korean Business Services
Kyung Hoon Han | Director
Ernst & Young Vietnam Limited
Korean Business Services
Phil Choi | Director
Ernst & Young Vietnam Limited
China Overseas Investment Network
Owen Tsao | Director
Ernst & Young Vietnam Limited
EY | Building a better working world
EY exists to build a better working world, helping to create long-term value for clients, people and society and build trust in the capital markets.
Enabled by data and technology, diverse EY teams in over 150 countries provide trust through assurance and help clients grow, transform and operate.
Working across assurance, consulting, law, strategy, tax and transactions, EY teams ask better questions to find new answers for the complex issues facing our world today.
EY refers to the global organization, and may refer to one or more, of the member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. Information about how EY collects and uses personal data and a description of the rights individuals have under data protection legislation are available via ey.com/privacy. EY member firms do not practice law where prohibited by local laws. For more information about our organization, please visit ey.com.
© 2022 EY Law Vietnam Limited Liability Company. All Rights Reserved.
APAC No. 16260101
ED None
This material has been prepared for general informational purposes only and is not intended to be relied upon as accounting, tax, legal or other professional advice. Please refer to your advisors for specific advice.