【体験談】ベトナムで本格化する「個人データ保護」の時代

【体験談】ベトナムで本格化する「個人データ保護」の時代

| Back to Journal

はじめに

ここ最近、クライアントの方や知人から「ベトナムでは個人情報の流出は普通なんでしょうか?」と聞かれる機会が明らかに増えてきました。

実際、ベトナムでは、営業担当者がどこからともなく顧客リストを入手してくる。身に覚えのない相手から突然「◯◯さんですか?」と電話がかかってくる。こういったことは、決して珍しい話ではありません。実際、私もよく経験しています。長く現地にいる方ほど、「そういうものだ」と半ば常識として受け止めている側面もあります。

しかし、その前提が大きく変わろうとしています。2026年1月1日、ベトナムにおいて「個人データ保護法(Luat Bao Ve Du Lieu Ca Nhan)」が施行されます。これは、個人データの取り扱いについて定めた、ベトナム初の成文法です。

これまでベトナムでは、個人情報・個人データの取り扱いに関して、断片的な規定や行政命令は存在していました。しかし、日本の個人情報保護法やEUのGDPRのように、包括的かつ体系的に整理された法律は存在していませんでした。

今回の個人データ保護法の施行は、単なるルール追加ではありません。ベトナムにおける法制度上の大きな転換点と言えます。特に、外資系企業、IT・マーケティング・不動産・教育・医療など、個人データを扱うことが前提となる分野にとっては、無視できないテーマです。

ベトナムの個人データ保護法の実態

一部の専門家の間では、今回の個人データ保護法について、「日本の2005年施行の“原始的”個人情報保護法を見ているようだ」という評価も聞かれます。この表現は、制度の未成熟さを揶揄したものではありません。むしろ、発展段階を示す比喩として理解するのが適切です。

個人データ保護法の位置づけ

実際、ベトナムには2005年の日本法に直接対応するような旧法は存在しません。実務上のベースは、ベトナムで2023年7月1日施行された「13/2023/ND – CP」です。今回の個人データ保護法は、この政令を格上げして法律として再構成したものです。

つまり、今回がベトナムにとって「本格的な個人データ保護法制のスタート」と言えます。また、興味深いポイントは、“初めての法律”でありながら、以下の点が含まれることです。

  • 電子データを前提としている。
  • ビッグデータの利用を想定している。
  • 海外へのデータ移転(越境データ)を明確に規制している。

これは、日本が2005年に個人情報保護法を施行した当時とは大きく異なります。当時の日本法は、紙媒体や名簿管理を強く意識した内容でした。現在のようなクラウド、SNS、越境データを前提としたものではありません。

ベトナムの個人データ保護法は、「初版でありながら、最初からデジタル時代を前提にしている」という点で、日本と比較すれば、20年分の時間差を一気に取り込んだ法律とも言えます。

出典:PwC Vietnam: New Personal Data Protection Law

ベトナムではあらゆる情報をデータ化する流れが可及的速やかに行われています。
ベトナムではあらゆる情報をデータ化する流れが可及的速やかに行われています。

国際標準に寄せてきたベトナムの選択

個人データ保護法の構造を見ると、EUのGDPRをはじめとする国際的なデータ保護法制の影響が色濃く反映されています。具体的には以下のようなないようが体系的に整理されています。

  • データ主体(本人)の権利の明確化
  • 同意取得の厳格化
  • 目的外利用の制限
  • データ漏えい時の報告義務
  • 越境データ移転に対する管理義務

これは、ベトナムが「国内市場だけでなく、国際ビジネスのルールに合わせる」という明確な意思を持って制度設計をしていることを意味します。

出典:EY – Legal Alert July 2025 Personal Data Protection Law

個人データ保護法の簡略サマリー

今回の個人データ保護法 “Luat so 91/2025/QH15 cua Quoc hoi: Luat Bao ve du lieu ca nhan をまとめます。

① すべての「個人データ」が原則規制対象

  • 氏名/電話番号/メールアドレス
  • パスポート情報/住所/顔写真
  • 社員情報/顧客情報/履歴データ
  • オンライン上の識別情報

②「本人(データ主体)」の権利を明確化

個人は、自分のデータについて以下を主張できるようになります。

  • どんなデータが取得されているか知る権利
  • 利用目的を知る権利
  • 同意を撤回する権利
  • 修正・削除を求める権利

③同意取得が原則必須(かなり厳格)

  • 目的を明示したうえでの同意が必要
  • あいまいな包括同意はリスク
  • 目的外利用は禁止

*営業リスト・マーケティング用途は特に注意が必要です。

④データ漏えい・事故時の責任が明確化

  • 漏えい時の報告義務
  • 管理体制構築の義務
  • 再発防止措置の要求

⑤越境データ移転(海外送信)を明確に規制

  • 日本本社への送信
  • 海外サーバー・クラウド利用
  • 外国企業とのデータ共有

⑥違反時の制裁が明文化されている

  • 高額な行政罰(売上比率ベースを含む)
  • 不正取得・売買への重い制裁
  • 是正命令・業務停止リスク

*いくつかの例を次章で紹介します。

詳細な内容については、原文である “Luat so 91/2025/QH15 cua Quoc hoi: Luat Bao ve du lieu ca nhanをご確認下さい。

日本企業にとっての実務的な影響

特に日本企業・日本人経営者にとって重要なポイントは以下の通りです。

  • 現地スタッフの個人データも規制対象になる。
  • 顧客データを日本本社へ送信する場合、それが「越境データ」として規制対象になる可能性がある。
  • 委託先・外注先との契約内容の見直しが必要になる可能性がある。
  • 法違反には重大な制裁が課される可能性がある。

例えば、個人データ保護法では次のような罰則規定が設けられています。

  • 越境データ移転に関する違反:前年の売上高の最大5%またはVND300,000,000まで。
  • 不正な売買等の違反:最大で不正取得の10倍の罰金。
  • その他の違反:最大VND300,000,000の罰金。

つまり、これまで「ベトナムでは曖昧でも何となく通用していた領域」が、2026年以降は明確に“適法/違法”が線引きされる時代になります。

出典:VB – Personal Data Privacy Protection Law: Comprehensive Guide

おわりに

2026年1月1日の個人データ保護法の施行は、単なる法改正ではありません。それは、ベトナム市場の成熟、国際基準への本格的な接続、企業ガバナンスの可視化といったものを象徴する出来事です。

ベトナムでビジネスを行う以上、「個人データ保護」はもはや一部の大企業だけの話ではありません。2026年に向けて、今から何を準備すべきかを考えるタイミングに来ていると言えます。

MISSION.Hでは、「何となくの現地情報」や「瞬間的に飛び込んで来る情報」ではなく、裏取りした精度の高い情報を収集し、ベトナム進出や移住のサポートに活かしています。現地サポートが必要な場合には、いつでもお気軽にご連絡ください。

その他のベトナム法に関する記事は以下をご参考に。

« Previous Journal Next Journal »