最新記事やイベント情報はメールマガジンで毎日配信中
ベトナム個人データ保護法が施行(Decree 356とともに読み解く日系企業の実務対応ポイント)
公開日 2026.04.10
ベトナムの個人データ保護制度が大きな転換点を迎えています。従来の政令ベースの規制から法律レベルの規制へと格上げされる形で個人データ保護法(PDPL:No. 91/2025/QH15)および同法の細則(Decree 356:Decree No. 356/2025/ND-CP)が2026年1月1日より施行され、ベトナムにおける個人データ管理について、実務対応が求められる段階に入っています。
旧政令からPDPLへ
従来はDecree 13/2023/ND-CP(「Decree 13」)が中心的な規制であったところ、新たに施行されたPDPLおよびその細則であるDecree 356により、法律として体系化され、制裁規定が強化、そして適用範囲が明確化されています。もっとも、法令の規定については引き続き曖昧なものも多く、今後さらなる法整備が必要となると考えられています。
PDPLの適用対象
PDPLはベトナム国内企業、ベトナムで活動する外国企業、ベトナム人の個人データを処理する海外に所在する企業に適用されます。
そのため、日本本社でベトナム人の個人データを含めた人事データを管理している、日本側サーバーでの顧客であるベトナム人の情報を保管している、ベトナム国外にサーバーがあるサービスを利用してベトナム人の個人データを含めた情報の管理を行っているといったケースでも、ベトナム法の適用対象となります。
実務対応のポイント:DPIAとCTIA
今回の制度で特に重要なのがDPIAとCTIAの提出義務です。
(1)DPIA(Data Protection Impact Assessment):データ処理影響評価
個人データの処理を行う事業者が、当該処理に伴うデータ主体の権利利益等への影響を評価し、その結果を記載した書類を作成して当局に提出するものです。およそベトナムに所在するすべての企業は当該書類を提出する必要があります。
事業者は、個人データ処理開始から60日以内にDPIAを当局へ提出する必要があります。
(2)CTIA(Cross-border Transfer Impact Assessment):越境移転影響評価
個人データをベトナム国外に移転する事業者が、当該移転に伴うリスクを評価し、移転先との契約書等を添付して当局に提出するものです。
事業者は、個人データの越境移転の実施から60日以内にCTIAを提出する必要があります。
なお、CTIAは、第三者へのデータ提供のみならず、個人データを日本本社へ移転する場合、ベトナム国外のサーバーやクラウドにデータを保管する場合にも必要となりうる点に注意が必要です。
日系企業の場合、「日本本社にデータを集約している」というケースが多いため、ベトナムに子会社を持つ日本企業は、CTIAの対象となる可能性を検討する必要があるといえます。
もっとも、PDPLでは越境移転に関して一定の例外も認められています。例えば、越境移転に該当するのが、従業員の個人データをクラウドサービス上に保存するケースであれば、CTIAの提出が不要とされます。ただし、クラウド上に保存されたデータに日本本社等のベトナム国外の主体がアクセスする場合には、当該アクセスは越境移転と扱われ、CTIAの提出が必要となり得ます。
また、CTIAの提出が免除される場合でも、DPIAの提出、個人データ提供者からの同意取得、個人データの管理に関する安全管理措置、といった他の義務は免除されないという点には留意が必要です。
図表1において日系企業の典型的なデータフローを記載していますが、例えばベトナム子会社が従業員・顧客データを収集していれば国内でDPIAの提出義務が、そのデータを日本本社に共有していれば、CTIAの提出義務が課されることになるといった形となります。
出所:One Asia Lawyers作成
(3)DPIA・CTIAの提出をめぐる実務上の現実(当局のリソース不足)
DPIAとCTIAは、個人データの処理や越境移転の実施日から60日以内の提出が義務付けられているものの、実務上は、提出先の当局のリソースが不足していることから、提出が難しいという点に留意が必要です。
DPIAとCTIAの提出義務は、PDPLが施行される以前より、すなわち2023年7月1日に旧政令(Decree 13)が施行されたときから課されています。当時から現在まで一貫して、当該書類のレビューについて当局の処理能力が追いついていない状況が続いており、DPIAとCTIAを当局に提出しても受領確認やフィードバックを得るのが難しい状況です。
評価書の提出を専門的にサポートするコンサルタント組織(政府関連の専門機関)も存在しますが、費用が高額なため、個人データの大量処理を本業とする企業以外では、利用が進んでいないのが実情です。
このように、DPIA・CTIAの提出義務は法律上明確であるものの、運用面では整備途上にあるのが現状です。だからといって対応を怠ってよいということではなく、制度が整備された段階で迅速に対応できるよう、データフローの整理・評価書のドラフト作成等、社内の準備を進めておくことが重要です。
DPA(データ処理契約)の締結
次に、日系企業の実務対応において頻繁に問題となるのがDPA(Data Processing Agreement=データ処理契約)の締結です。
PDPLでは、個人データの取扱主体として、個人データを収集し処理目的や方法を決定する者(Controller)と、Controllerの指示に基づいてデータを処理する者(Processor)に区別されています。
PDPLでは、個人データの処理を第三者に委託する場合、委託者(Controller)と受託者(Processor)の間でDPAを締結することが求められており、この点の対応について弊所にも多くのご相談をいただいています。
1. DPAが必要となる典型例
日系企業がベトナムで事業を行う中で、第三者が提供するSaaSやクラウドベースのタスク管理ツール等を利用し、そこに顧客や従業員の個人データ(氏名・メールアドレス等)が格納される場合、当該日系企業はControllerとして、ツール提供者との間でDPAを締結する義務が生じ得ます。
2. DPAが不要となるケース
個人データの処理が自社内のローカル環境で完結し、第三者のサーバーやクラウド上にデータが格納されない場合には、DPAの締結が不要と整理される可能性があります。
3. 判断のポイント:誰がControllerか
前述のように、ベトナム法上、DPAの締結義務は、Controllerに課されます。したがって、自社のデータフローにおいて「誰が個人データを収集しているのか」「どの段階で第三者にデータが渡るのか」を正確に把握することが、DPA要否の判断の出発点となります。
また、DPAは当局による調査時にエビデンスとして確認される可能性があるため、ベトナム語で作成しておくことが推奨されます。自社でDPAの締結が必要か迷った際には、現地の専門家にご相談ください。
同意要件の厳格化
PDPLでは、データ主体(個人データの本人)からの明確かつ具体的な同意が必要とされています。そのため、雇用契約、プライバシーポリシー、社内同意書等、個人データの取得に伴う同意の記載のある書類については、見直しの必要が生じる可能性があります。
制裁リスク
違反時のリスクも無視できません。個人データの越境移転規制への違反の場合、違反者の直前年度売上の5%または30億ドンのいずれか高い方の行政罰金が科せられます。
また、個人データの違法な売買の場合、違反により得た収益の10倍または30億ドンのいずれか高い方の行政罰金が科せられます。その他の違反の場合には、最大30億ドンの行政罰金が科せられます。
経過措置はあるが「安心材料ではない」
PDPLでは、Decree 13との連続性を意識した経過措置が設けられています。Decree 13に基づいて既に取得済みのデータ主体からの同意は、PDPL施行後も引き続き有効とされており、再度取得し直す必要はありません。同様に、Decree 13に基づいて公安省(A05)に提出済みの影響評価書(DPIA・CTIA)も、PDPL施行後もそのまま効力を有するため、改めて再提出する必要はないとされています。
もっとも、PDPL施行後に影響評価書の記載事項に変更が生じた場合には、PDPLおよびDecree 356に基づく改訂された法定書式を用いて更新を行う必要があります。
PDPLでは、変更があった場合でも6ヶ月ごとにまとめて更新すれば足りるとされていますが、倒産・解散や新たな個人データ処理を伴うサービスの開始等の重要な変更については、その都度の更新が求められます。
経過措置とは別に、PDPLでは企業規模に応じた特例も設けられています。零細企業および個人事業主については、DPIAの実施やデータ保護責任者(DPO)の選任といった一定の義務が恒常的に免除されます。小規模企業およびスタートアップについては、PDPL施行日から最大5年間、同様の義務について猶予を受けることが可能です(図表2)。
出所:One Asia Lawyers作成
ただし、これらの特例は企業規模の要件を満たせば無条件に適用されるものではありません。個人データ処理サービスを提供している場合、センシティブな個人データを直接処理している場合、または累計10万人以上のデータ主体の個人データを処理している場合には、いずれの特例も適用されません。そのため、企業規模が小さくても、事業内容によっては通常どおりの対応が必要となります。
さらに、日系企業にとって特に留意すべき点として、上記の免除・猶予は、DPIAの実施・提出、DPIA・CTIAの定期更新、およびDPOの選任義務に適用されます。
一方、CTIAの初回提出義務は免除・猶予の対象に含まれていません。そのため、日本本社へのデータ共有やグローバルシステムの利用などにより個人データの越境移転が発生している場合、企業規模にかかわらず、CTIAの初回提出は原則として必要となります。もっとも、上記免除・猶予の詳細は、今後出されるさらなる細則や実務上の蓄積を待つ必要があります。
※駐在員事務所について
日系企業がベトナムに設置している駐在員事務所については、上述の小規模企業・スタートアップ向けの猶予措置の対象外となります。駐在員事務所はベトナム法上、企業(enterprise)には分類されないため、企業規模に基づく免除・猶予の枠組みが適用されません。したがって、従業員数が少なく、取り扱う個人データが従業員情報程度であっても、DPIA等の提出義務は原則として通常どおり課されることになります。
日系企業が取るべき対応ステップ
PDPL対応は、段階的に進めることが現実的です。
1)まず取り組むべきは、自社のデータフローの整理です。どのような個人データが、誰から収集され、社内のどの部門で利用され、どこに保管され、どの第三者やグループ会社に共有・移転されているかを把握します。特に、日本本社やグローバルシステムへのデータ共有、クラウドサービスの利用など、越境移転に該当しうるデータの流れを可視化することが重要です。
2)次に、データ処理における役割の明確化を行います。業務委託先やSaaS提供者との関係を含め、自社がControllerとProcessorのどちらに該当するかを明確にしておく必要があります。この整理は、DPAの締結要否の判断やDPIA・CTIAの記載にも直接関わります。
3)その上で、DPIAおよびCTIAの準備に着手します。いずれも処理・移転の開始日から60日以内にA05(公安省)へ提出する事後届出制ですが、Decree 356で改訂された法定書式は記載事項が多岐にわたるため、データフローの整理と役割の明確化が済んでいないと作成に着手できません。既にDecree 13に基づき提出済みの企業であっても、記載事項に変更がある場合はPDPLに基づく新書式での更新が必要となるため、早期の準備開始が推奨されます。
4)最後に、従業員向けプライバシーポリシーや同意書、ウェブサイトのプライバシーポリシーおよびCookieポリシー、業務委託先や外部ベンダーとのDPA、社内の情報管理規程やデータ漏洩対応手順など契約・社内文書の見直しを行います。既存の同意書やプライバシーポリシーが明確かつ具体的な同意を求める記載になっていない場合には、実質的な見直しが必要です。
まとめ:すでに「適用されている規制」
ベトナムの個人データ保護制度は、PDPLが2026年1月1日に施行され、その実施細則であるDecree 356も同日に施行されたことにより、企業にとってはすでに対応が求められる段階に入っています。
PDPLにより、制度の内容が合理化されるとともに、具体的な制裁規定が法律レベルで明記されました。これは、当局が違反に対して実際に制裁を科す姿勢に移行していく契機とも捉えられます。
制度が整備され罰則リスクが現実化した今、ベトナム人の個人データを取り扱う日本企業は、既存の対応を見直し、PDPLの要件に合わせてアップデートしていくことが求められています。
