Reportレポート

政令13/2023/ND-CPに基づき使用者が実施する必要がある個人情報保護に関する作業

2023/10/23

  • Ho Thi Y NhiI

はじめに
 2023年4月17日、ベトナム政府はベトナムで初となる個人情報保護に関する政令13/2023/ND-CP(以下「政令13」)を発行した。政令13は同年7月1日から発効となり、企業が管理・処理する個人情報の保護を目的として、特に外国企業に対して一連の義務を定めている。本レポートでは、労働者の個人情報を保護する「使用者」の義務に焦点を当てる。

 使用者は、労働者を雇用し、労働契約書を締結する時点から、労働者の基本的個人情報およびセンシティブな情報を収集・保管することになる。政令13により、外国企業/外国企業の駐在員事務所/外国企業の支店(以下「企業」)は、労働者の個人情報管理者(*1)または情報管理・処理者(*2)となる。一方で、ベトナム企業の従属支店・駐在員事務所の場合、個人情報の目的・手段を決定する権利がないため、情報管理者または管理・処理者とはみなされない。企業は、情報管理者または情報管理・処理者として、以下の義務を果たす必要がある。

1.個人情報保護に関する社内規定の作成義務
 政令13によると、個人情報管理者は、社内規定の作成を含む、個人情報保護を目的とした適切な措置を実施する義務がある。この規定は、労働契約に基づく労働者だけでなく、職業訓練、研修、実習、試用期間中の社員、派遣社員、その他企業の管理下にある者にも同様に適用される。

 この個人情報保護に関する社内規定には、政令13に基づいて実施する必要がある内容を明確に記載することが求められている。企業は事業内容や規模に応じて、社内規定に以下の内容を含める必要がある。

・企業が収集・処理する労働者の個人情報の種類および収集・処理手段
・労働者の個人情報の処理目的
・個人情報処理の原則
・個人情報の海外移転(ある場合)
・個人情報処理の期間
・労働者の権利および義務
・企業の権利および義務
・違反処理

 この社内規定は、個人情報保護と公安省の検査・評価活動(ある場合)のために、企業の本社で全社員が閲覧できるよう、適切に保管する必要がある。

2.個人情報処理および個人情報の海外移転に関する影響評価書の作成・保管義務
a.個人情報処理の影響評価書
 個人情報処理の影響評価書は、公安省が発行したフォームに従って作成し、主な内容として、情報主体の権利、経済、社会、行政手続き、法制度、情報主体の利益などに関する企業の情報処理活動への影響評価を含める。企業は、個人情報の処理日にこの影響評価書を作成する義務がある。

 個人情報処理の影響評価書を作成後、企業は公安省の検査のため事務所に保管し、個人情報の処理日から60日以内に、公安省サイバーセキュリティ・ハイテク犯罪防止局(以下「A05」)に原本1部を送付しなければならない。本政令の発効前に個人情報を処理した企業の場合、影響評価書の提出期限は、公安省による政令13に関するガイダンスにより、政令13の発効日(2023年7月1日)から60日以内と規定されている。A05への書類提出形式については、企業は直接提出、郵送またはオンライン提出のいずれかを選択することができる(2023年9月13日現在、オンライン申請用のウェブサイトはまだ完成していない)。

b.個人情報の海外移転に関する影響評価書
 外国企業は、ベトナム国民の個人情報を海外に移転する場合にも注意を払う必要がある。個人情報の海外移転とは、企業がサイバースペース、デバイス、電子的手段、またはその他の形式を使用して、ベトナム国民の個人情報をベトナムの国境を越えた場所に移転すること(海外の組織、企業または管理部門に移転する場合を含む)、またはベトナム国境を越えた場所でベトナム国民の個人情報を処理することを意味する。

 個人情報の海外移転を実施する企業は、公安省のフォームに従い、影響評価書を作成する義務がある。同時に、上記の個人情報処理の影響評価書と同様に、原本1部を公安省のA05に送付しなければならない。

3.個人情報処理に関する労働者との合意および情報処理前の通知
 政令13によると、企業は一部の特別な場合を除き、収集、記録、保管、編集などの個人情報処理プロセスにおけるすべての活動について労働者の同意を得る必要がある。労働者の同意は、エビデンスとして使用できるように書面またはデジタルデータやメール、その他の形式で作成する。従って、企業は個人情報処理に関する合意書を作成し、労働者から書面による同意を得ることが好ましい。さらに、企業は個人情報の処理前に個人情報の使用目的について労働者に通知する義務もある(1回のみ)。

4.センシティブな情報を管理・処理する企業に対する義務
 センシティブな情報とは、病歴や犯罪情報、民族的な出身地など、個人のプライバシーに関連する情報のことである。通常、企業は労働者のセンシティブな情報を管理・処理しているが、上記の基本的個人情報保護などの措置を適用することに加え、個人情報保護に関する担当部門および担当者を指定することも義務付けられている。ただし、この義務は、中小・零細規模の企業や会社設立後2年以内の新興・スタートアップ企業に対しては免除される。中小・零細規模の企業の定義は以下の通りである。

【中小・零細規模の企業の定義】

事業内容 零細規模の企業 小規模の企業 中規模の企業
農林水産業、工業および建設事業 ・労働者:10人以下
・年間総収益:30億VND以下
・労働者:100人以下
・年間総収益:500億VND以下
・労働者:200人以下
・年間総収益:2,000憶VND以下
貿易および
サービス事業
・労働者:10人以下
・年間総収益:100億VND以下
・労働者:50人以下
・年間総収益:1,000億VND以下
・労働者:100人以下
・年間総収益:3,000憶VND以下

出所:資料を基に筆者作成

5.
個人情報保護に関する法令違反が発生する場合の義務
個人情報保護に関する法令違反を発見した場合、企業は違反発生後72時間以内に政令13に添付されたフォームに従い、公安省のA05に通知しなければばらない。通知が72時間以降となる場合は、通知の遅延理由を含める必要がある。それと同時に、企業は違反記録を作成し、A05と連携して当該違反に対処するものとする。

おわりに
上記は、労働者の個人情報の管理・処理に関する政令13に基づく、企業の主な義務の一部である。企業は法令を順守し、コンプライアンスを確保するために、ただちに実施する必要がある。一方で、政令13の規定は施行されてから間もなく、内容も一般的な情報となっている。実務上の対応においては、管理当局との確認を経てもいまだ開示されていない情報が多い。政令13の適切な解釈やその実践方法について、情報が更新され次第、共有したいと思う。

*1「個人情報の管理者」とは個人情報の処理の目的・手段を決定する法人または個人である。
*2「個人情報の管理・処理者」とは個人情報の処理の目的・手段を決定し、個人情報を直接処理する事業者または個人である。

M000111-174
(2023年9月13日作成)

本レポートに関する
お問い合わせはこちら