ベトナム:サイバースペース上の個人情報保護法制(上)
長島・大野・常松法律事務所
弁護士 カオ・ミン・ティ
インターネットの発展とクラウド、IoT、AI等の技術革新により膨大なデータを容易に保有・分析・利用することが可能となったことに伴い、ベトナムにおいても、データを活用した新ビジネスを行うスタートアップ等への投資が急増している。データの利用にもっとも大きな影響を与える法規制の一つが個人情報保護法制であることから、本稿ではベトナムにおけるサイバースペース上の個人情報保護法規制について2回に分けて概説する。
1. 個人情報保護に関する法令
ベトナムにおいては、日本の個人情報保護法のような個人情報の取扱いについて包括的な定めを置く法律は存在せず、個人情報保護についての規定は様々な法令に散在している。たとえば、民法(法91/2015/QH13号)、消費者保護法(法59/2010/QH12号)、電子商取引法(法51/2005/QH11号)、情報技術法(法67/2006/QH11号)、サイバーセキュリティ法(24/2018/QH14)などに個人情報保護に関連する規定があるが、2016年7月より施行されているサイバー情報セキュリティ法(法86/2015/QH13号)にサイバースペース上の個人情報保護についての包括的な規定が存在する。以下、サイバー情報セキュリティ法の規定を中心に説明する。
2. 個人情報の定義
サイバー情報セキュリティ法は、個人情報を「特定の個人の識別に関連する情報」(同法3.15条)とのみ定義し、それ以上の詳細を定める同法の下位法令は存在しない。そのため、単体では特定の個人を識別できないが、他の情報と組み合わせることで特定の個人を識別しうる情報(例えばメールアドレス、IPアドレス、クッキー情報、位置情報等)について、どこまでが個人情報として保護されるかの指針がない状態である。また、日本の個人情報保護法における匿名加工情報(個人情報を特定の個人を識別できないように加工し、復元できないようにしたもの)や統計情報に相当する概念は、サイバー情報セキュリティ法には存在しない。
3. 個人情報保護規定の適用対象
サイバー情報セキュリティ法第2章第2節(同法16条以下)の個人情報保護に関する義務の規定は、個人情報を処理する機関及び個人(「個人情報処理者」)に適用される。個人情報の「処理」とは、商用目的のためにサイバースペース(通信ネットワーク及びコンピュータネットワーク環境)内の個人情報を取得、編集、利用、保存、提供、共有、又は拡散する1つ又は複数の動作の実行と定義されている(同法3.17条)。かかる定義からは、取り扱っている個人情報が少人数についてのものであるとしても、商用目的で個人情報を処理する者にはサイバー情報セキュリティ法が適用されることとなる。
4. 個人情報の取得方法
個人情報処理者が個人情報を取得する際は、その取得及び利用の範囲及び目的について、本人の同意を取得することが義務づけられている(同法17.1条a)。日本の個人情報保護法では、要配慮個人情報を除く個人情報の取得については、利用目的の通知等をすれば足り、取得についての本人の同意までは不要とされているが、サイバー情報セキュリティ法では、センシティブな個人情報かどうかにかかわらず本人の同意取得が必要である。同意取得の具体的な方法について特段の定めはないことから、利用規約への包括的同意による同意取得なども可能であると解されるが、もとより個人情報の取得目的や取得される個人情報の内容に応じて、本人が取得目的等を理解した上で明確に同意したといえる適切な同意の取得方法を検討する必要がある。また、取得した個人情報を当初の目的以外に利用する場合は、本人の同意を取得する必要がある(同法17.1条b)。
(下)につづく