トピックス

ベトナムの進出のための情報や、コンプライアンスや契約・紛争などの進出後の問題、基本的な規制や最新の法改正など幅広い情報を提供します。

ベトナムの進出のための情報や、コンプライアンスや契約・紛争などの進出後の問題、基本的な規制や最新の法改正など幅広い情報を提供します。

HOME > トピックス > ベトナムにおけるプライバシーポリシー

ベトナムにおけるプライバシーポリシー

2023/10/17  
  • その他

弁護士 鈴木 萌

 

ベトナムにおいても、日本と同様に、事業活動の中で個人情報を取り扱うことが予定されている場合には、自社サイト等においてプライバシーポリシーを掲げることが一般的です。今回は、プライバシーポリシーに関するベトナムの法規制や、プライバシーポリシーの記載内容について、解説します。

   

1.プライバシーポリシーに関する法規制

(1) 個人情報保護政令

長らく、ベトナムには、日本でいう個人情報保護法のような、個人情報保護について網羅的に規定した法令が存在していませんでしたが、今般、個人データ保護に関する政令(13/2023/ND-CP。以下「個人情報保護政令」)が制定され、2023年7月1日に施行されました。

 

個人情報保護政令では、規制対象となる主体が以下のとおり区分されています。

・「個人データ管理者」:個人データを処理(収集、記録、分析、確認、保管、修正、開示、結合、アクセス、追跡可能性、検索、暗号化、復号化、コピー、共有、送信、提供、移転、削除、破棄、またはその他の関連する活動を指す。)する目的、手段を決定する個人又は組織

・「個人データ処理者」:契約を通じてデータ管理者に代わり、個人データの処理を行う個人又は組織

・「個人データ管理及び処理者」:上記2者を兼ねている個人又は組織

 

上記のうち「個人データ管理者」と「個人データ管理及び処理者」には、次の規制がいずれもかかります。

 

(a) 同意取得(11条)

個人データの処理にあたって、データの種類、処理目的、処理組織(個人)、個人データ主体の権利義務を明示して、データ主体の同意を取得することが求められます。また、同意の方式については、積極的な方法によることが求められており、沈黙やチェックボックスのチェックを外さなかった場合のような消極的な同意が排除されています。

 

(b) 個人データ処理通知(13条) 原則として、個人データ処理開始時に、データ主体に対して、次の項目について通知を行うことが求められます。

・ 個人データの処理目的

・ 処理対象データの種類

・ 個人データの処理方法

・ 個人データを処理する組織又は個人

・ 生じうる望ましくない結果と損害

・ 個人データ処理の始期及び終期

 

なお、このデータ処理前のデータ主体に対する通知義務については、ここで規定されている事項につきデータ主体の同意を得た場合には、義務が免除されます(13条4項a号)。そのため、実務上は、要同意取得項目と要通知項目のすべてについて、同意の対象に含めることが予想されます。

 

(2) 電子商取引に関する政令

プライバシーポリシーに関しては、前述の個人情報保護政令の規制の他、次の規制が存在します。

 

電子商取引に関する政令52/2013/ND-CP

「第69条 消費者プライバシーポリシー

1. 消費者の個人情報を収集・利用する業者、団体、個人は、以下の内容の個人情報保護方針を策定し、公表しなければならない。

a) 個人情報の収集目的;

b) 情報の利用範囲;

c) 情報の保管時間;

d) かかる情報にアクセスできる個人または組織;

e) 情報収集管理組織の連絡先;消費者が個人に関連する情報の収集と処理について問い合わせることができる連絡先を含む;

f) 消費者が情報収組織の電子商取引システム上で自分の個人データにアクセスし、修正するための方法およびツール。

2. 上記の内容は、情報収集前または情報収集時に消費者に明確に表示しなければならない。

3. 情報収集組織の電子商取引ウェブサイトを通じて情報収集を行う場合には、個人情報保護方針を当該ウェブサイト上の見やすい場所に公表しなければならない。」

 

上記は、「消費者の」個人情報を収集・利用する場合を念頭に置いた規制ですが、多くの企業では、プライバシーポリシーを作成・公表することで、この規制にも対応したい場合が多いと考えられることから、これらの要公表項目についても、プライバシーポリシーに含めることが考えられる。

 

2. プライバシーポリシーの内容

プライバシーポリシーを前述の規制を遵守するために使用することを考えた場合、プライバシーポリシーには、次の事項を含むのが適当と考えられます。

 

① 処理対象データの種類

② 個人データの処理目的

③ 個人データを処理する組織又は個人

④ 個人データ主体の権利義務(下記項目)

  a. データ処理内容等に関する通知受領権

  b. データ処理に対する同意権

  c. 個人データへのアクセス権

  d. 同意撤回権

  e. 個人データの削除権

  f. データ処理への制限要請権

  g. 自己の個人データ提供要求権

  h. データ処理への異議申立権

  i. 苦情、訴訟等の権利

  j. 損害賠償請求権

  k. 自己防衛権

  l. データ主体の各種義務(個人情報保護政令10条)

⑤ 個人データの処理方法

⑥ 生じうる望ましくない結果と損害

⑦ 個人データ処理の始期及び終期(情報の保管時間)

⑧ 情報の利用範囲

⑨ 情報収集管理組織の連絡先;消費者が個人に関連する情報の収集と処理について問い合わせることができる連絡先を含む

⑩ 消費者が情報収組織の電子商取引システム上で自分の個人データにアクセスし、修正するための方法およびツール。

 

なお、

⑪ 個人データの保護措置

については、同意取得や通知が必須の事項とはされていませんが、個人情報保護政令26条において実施が求められていることから、記載しておいた方が望ましいと考えられます。

 

3. プライバシーポリシーの掲載方法

プライバシーポリシーの掲載形式については、上記電子商取引に関する政令の定め以上の制限はありませんが、ベトナム人向けに公表するものである場合には、ベトナム語で、ウェブサイトの見やすい場所(トップページから1クリックで遷移できる程度の場所に掲載することで問題はないものと思われる。)に掲載するのが適当と考えられます。

ベトナムでも、多くの企業において、プライバシーポリシーの作成・公表が必要となります。近時、ベトナムにおいても個人情報に関する意識が高まってきていますので、まだ作成していない場合には、作成することをお勧めします。