ベトナムの個人データ保護法を弁護士が解説

令和8年（2026年）現在、グローバルなデータ経済の加速度的な進展に伴い、各国でプライバシー保護規制の強化が進んでいます。とりわけ東南アジアにおける重要なビジネス拠点であり、多くの日系企業が進出しているベトナム社会主義共和国では、2026年1月1日より同国初となる包括的な「個人データ保護法（法律第91/2025/QH15号、以下「PDPL」）」およびその詳細な施行規則である「政令第356/2025/ND-CP号」が施行されました。従来の政令レベルであった規制が上位規範である「法律」へと格上げされたことで、企業に対するコンプライアンス要求はかつてないほど厳格化しています。この法律はベトナム国内に拠点を有する企業のみならず、日本からベトナムの消費者に向けたオンラインサービスを展開する企業にも域外適用される性質を持っています。

ベトナムの新たな個人データ保護法は、EUのGDPR（一般データ保護規則）に強く影響を受けた厳格な枠組みを採用しつつ、国家の安全保障というベトナム独自の観点を組み込んでいる点が特徴です。日本法では一般的に許容されうる包括的な同意取得や、オプトアウト方式による第三者提供はベトナムでは明確な法令違反となります。また、ウェブサイトの閲覧履歴などの行動データが「機微な個人データ」として最高レベルの保護を要求されるなど、デジタルマーケティングの実務に多大な影響を及ぼします。

さらに、データを海外へ持ち出す際の越境移転影響評価（CTIA）の義務付けや、インシデント発生時の72時間以内の通知義務など、実務担当者に求められる対応スピードと文書化の負担は極めて大きいものとなります。違反時の制裁は売上高の5%という巨額の行政罰にとどまらず、経営幹部への刑事罰に発展するリスクも現実のものとなっています。

本記事では、日本企業の経営者や法務担当者が直面する実務上の課題に焦点を当て、本法律の全体像、日本の個人情報保護法との決定的な違い、厳格化された同意取得手続き、越境移転時の影響評価義務、そして最大で前会計年度の売上高の5%に達する莫大な課徴金リスクについて詳細に解説します。さらに、ベトナム国内の最新の刑事判例を紐解きながら、公安省を中心とする規制当局の厳格な執行姿勢を明らかにします。

ベトナム法律制定の背景と包括的な適用の範囲

ベトナムにおける個人データ保護の法体系は、長らく民法、情報技術法、サイバーセキュリティ法など複数の法令に規定が分散しており、実務上の統一的な解釈が極めて困難な状況にありました。2023年7月に施行された「個人データ保護に関する政令第13号（Decree13/2023/ND-CP）」によって初めて一定の統一的な保護基準が示されたものの、これはあくまで行政府が定める「政令」にとどまっており、制裁規定の法的根拠の弱さなどが指摘されていました。

この状況を根本から是正するため、2025年6月26日にベトナム国会において正式に可決され、2026年1月1日より施行されたのが「個人データ保護法（法律第91/2025/QH15号）」です。この新法の施行と同時に、詳細な運用ガイドラインを定める「政令第356/2025/ND-CP号」も公布・施行され、従来の政令第13号は完全に効力を失いました。これらの法令の詳細は国際的な法律事務所の解説でも確認することができます。

参考：ベトナムにおけるデータ移転規制の解説

このPDPLの最大の特徴であり、日本企業にとって最大の警戒を要するのが、その広範な域外適用の範囲です。法律第91/2025/QH15号第1条によれば、この法律はベトナム国内の機関、組織、個人だけでなく、ベトナム国内にある外国の機関や組織、さらにはベトナム国民の個人データ処理に直接関与する、あるいは関連する海外の機関や組織にも適用されます。日本の個人情報保護法（APPI）第75条においても域外適用の規定は存在しますが、ベトナムのPDPLはより独特な保護網を敷いています。具体的には、「国籍が未確定であるがベトナムに居住し、身分証明書を付与されたベトナム系の人々」のデータ処理までも保護対象に含めている点です。

これは多民族国家であり歴史的な背景を持つベトナム特有の規定です。したがって、日本に本社を置く企業であっても、ベトナムのユーザーを対象とした越境ECサイトを運営している場合や、スマートフォンアプリを提供してベトナム国内のユーザーの行動データを収集している場合、あるいはベトナム国内の子会社から従業員のデータを受領して日本の人事システムで一括管理しているような場合には、直接的にベトナムPDPLの規制対象となります。日本国内のサーバーで処理を完結させているという事実だけでは、同法の適用を免れることはできません。

ベトナムにおける個人データの定義と日本法との重大な相違点

PDPLに基づくデータコンプライアンス体制を構築する上で、日本企業が最初に直面する障壁が個人データの定義と分類基準の根本的な違いです。PDPLおよび政令第356/2025/ND-CP号では、個人データを「基本個人データ」と「機微な個人データ」の二つに厳格に区分しており、後者を処理する場合には格段に高いセキュリティ要件と厳密な社内規程の整備が要求されます。

「基本個人データ」には、氏名、生年月日、性別、連絡先、個人のデジタルアカウント情報などが含まれます。2026年の政令第356/2025/ND-CP号の施行に伴い、これまで独立して列挙されていた納税者番号や社会保険番号は個人識別番号に統合される形で整理されました。また、家族関係に関する情報の範囲が拡大され、従来の「両親と子供」だけでなく「配偶者」に関する情報も明確に基本個人データに含まれることになりました。

参考：政令第356/2025/ND-CP号：個人データ保護に関する7つの新たなポイント

日本の個人情報保護法においても「要配慮個人情報」という概念が存在し、人種、信条、社会的身分、病歴、犯罪の経歴などがこれに該当します。しかし、ベトナムのPDPLが指定する「機微な個人データ」の範囲は、日本法のそれよりもはるかに広範かつ現代のビジネスの根幹に関わる領域まで及んでいます。政令第356/2025/ND-CP号第4条によれば、個人の位置情報、生体認証データのほか、銀行口座のログイン情報やパスワード、銀行カード情報、取引履歴といった金融データが明確に機微な個人データとして定義されました。証券会社や保険会社における顧客の取引活動データもこの対象となります。

さらに特筆すべき重大な変更点として、電気通信サービスやソーシャルネットワーク、オンラインメディアなどのサイバー空間におけるユーザーの行動追跡データや利用習慣データが、従来の基本データから機微な個人データへと格上げされたことが挙げられます。日本法の実務においては、ウェブサイト上の行動履歴やCookie情報などは、それ単体で特定の個人を識別できない限り個人データとはみなされず、特定の個人を識別できる場合であっても直ちに要配慮個人情報として扱われるわけではありません。

しかし、ベトナムの新たな法制下では、デジタルマーケティング目的でユーザーのサイト内回遊履歴やクリック履歴を収集・分析する行為は、原則として「機微な個人データの処理」に該当することになります。この変更から、ベトナム当局がデジタルプラットフォーム企業による過度なデータ収集に対して極めて強い警戒感を抱いているということが言えるでしょう。これにより、アクセス権限の厳格な制限、データの暗号化、定期的な監査といった高度な技術的安全管理措置の実装が法的に義務付けられることになります。日本企業は、自社がベトナムの顧客に対して行っている広告配信やトラッキング施策が、PDPLの機微な個人データ処理の要件を満たしているかを直ちに再評価しなければなりません。

また、データの「非識別化（De-identification）」についても注意が必要です。日本の法律では「匿名加工情報」や「仮名加工情報」といった中間的なデータ活用形態が規定されていますが、ベトナムのPDPLでは、特定の個人を識別できないように情報が変更または削除された状態を指す「非識別化」の概念は存在するものの、可逆的な仮名化データを保護対象外とするような柔軟な枠組みは採用されていません。非識別化を行うプロセス自体に対しても厳格な文書化要件や定期的な監査が義務付けられており、再識別化は固く禁じられています。

参考：ベトナムにおける個人データ保護を厳格化する新法

厳格化されたベトナムの同意取得要件とデータ主体の権利対応

PDPLはデータ処理の適法性の根拠として「データ主体の事前の同意」を最も重要視しており、日本法のような「正当な利益」を包括的な適法根拠として用いることは極めて限定的な場面（データ主体の生命や財産に対する差し迫った脅威がある場合など）にしか認められていません。政令第356/2025/ND-CP号第6条によれば、同意は完全に自発的であり、データ主体が処理の目的や自身の権利義務を完全に理解した上で、特定の目的ごとに個別に取得されなければなりません。

日本企業のウェブサイトで頻繁に見受けられる「本サイトを利用することによりプライバシーポリシーのすべての目的に同意したものとみなします」といった包括的な同意や、あらかじめチェックボックスにチェックが入れられているデフォルトの同意（オプトアウト方式）、あるいは同意と不同意の選択を意図的に混同させるようなユーザーインターフェース（ダークパターン）は、ベトナムにおいては明確な法令違反として禁止されています。同意を取得する際には、書面、録音された通話、電子メール、または技術的な設定が施されたウェブサイト上の操作など、事後に検証可能な方法を採用し、その記録を紛争発生時に立証できるよう安全に保管する義務がデータ管理者側に課されています。

データ主体（本人）の権利行使に関する対応期限も、日本法に比べて極めて厳密かつ短期間に設定されています。日本の個人情報保護法では、本人からの開示、訂正、利用停止の請求に対して「遅滞なく」対応することが求められていますが、具体的な日数は明記されていません。これに対し、ベトナムの政令第356/2025/ND-CP号では、非常に厳格な多段階のタイムラインが導入されました。データ主体からの同意撤回、処理の制限、異議申し立てなどの請求を受け取った場合、企業はわずか「2営業日以内」に応答しなければなりません。その上で、実際の措置の実行については要求の種類に応じて期限が異なります。

例えば、同意の撤回や処理の制限に関する実行は15日以内、データのアクセスや訂正の実行は10日以内、データの消去に関する実行は20日以内（データ処理者や第三者が関与する場合は30日以内）という法定の期限内に完了する必要があります。

参考：政令第356/2025/ND-CP号：ベトナムの個人データ保護法実施に関する詳細なガイダンス（EY Vietnam）

これらの期限は、合理的な理由がある場合に限り1回のみ延長が認められますが、その場合でもデータ主体に対して速やかに延長の正当な理由を通知することが義務付けられています。従来の政令第13号ではすべての対応を「72時間以内」に行うという実務上ほぼ不可能なルールが存在していましたが、2026年の法改正によって対応期限は現実的なものへと緩和されました。

しかしながら、数万人規模の顧客を抱える企業にとって、2営業日以内の初回応答と短期間でのデータ削除を確実に行うためには、法務部門だけでなく、顧客サポート部門やシステム開発部門が緊密に連携し、データを迅速に特定・消去できる自動化された社内ワークフローを構築しておくことが不可欠です。

ベトナムにおけるデータ処理影響評価と越境移転影響評価

日本法には明確な形で存在せず、ベトナムPDPLにおいて企業に最も重い実務的負担を強いるのが、影響評価文書の作成、保管、そして国家機関への提出義務です。これらの評価は、データ処理活動に伴う個人の権利へのリスクを事前に特定し、最小化するためのプロセスです。

データ処理影響評価（DPIA）の要件

すべてのデータ管理者、データ処理者、および管理・処理者は、個人データの処理を開始するにあたり、データ処理影響評価（DPIA）を作成し、処理開始日から60日以内にベトナム公安省のサイバーセキュリティ・ハイテク犯罪防止局（A05）に提出しなければなりません。このDPIAには、処理の目的、収集するデータの種類、データ保護責任者の連絡先、そして実施される技術的および組織的な保護措置の詳細などを規定のフォーマットに従って記載する必要があります。さらに、提出して終わりではなく、少なくとも6ヶ月ごとに定期的なレビューを行い、データ処理活動に重大な変更が生じた場合には10日以内にDPIAを更新しなければなりません。

特例措置として、法令に基づく一定の条件を満たす零細企業、小規模企業、スタートアップ企業に対しては、法の施行から5年間はこのDPIA作成義務および後述するデータ保護責任者の任命義務が免除されるという移行措置が設けられています。しかしながら、データ処理業務そのものをサービスとして提供する企業や、マーケティング企業、あるいは大量のデータや機微な個人データを処理する企業はこの免除の対象外となるため、自社が免除要件を満たすかどうかの慎重な法的判断が必要です。

参考：個人データ保護法：企業向けの新たな法的枠組みに関する注意事項

越境移転影響評価（CTIA）と厳格な海外移転規制

日系企業にとってビジネスモデルの根幹に関わるのが、データ越境移転に関する規制です。PDPLにおける「越境移転」の定義は極めて広く、ベトナム国内で収集されたデータを海外の物理サーバーに転送することにとどまりません。海外のクラウドサービス事業者が提供するクラウド環境を利用してデータを保管することや、海外のプラットフォームを利用してデータを処理すること、さらにはベトナム国外にいる従業員がベトナム国内のデータベースにリモートでアクセスすることまでもが越境移転とみなされます。

日本の個人情報保護法では、外国にある第三者への提供にあたり、本人の同意を得るか、APECのCBPRシステムの認証を取得しているか、あるいは日本と同等の水準にあると個人情報保護委員会が認めた国（EUや英国など）への移転であれば比較的容易に行うことができます。しかしベトナムのPDPLにおいては、このような便利なホワイトリスト制度は採用されていません。海外へデータを移転する企業は、データ主体からの明確な同意を取得した上で、越境移転影響評価（CTIA）と呼ばれる膨大な書類を作成し、移転開始から60日以内に公安省（A05）へ提出する必要があります。公安省は提出された文書を審査し、内容が不十分であれば修正を要求します。さらに、移転されるデータがベトナムの国益や安全保障を侵害する活動に使用されていると判断された場合や、データ漏えい事件が発生した場合には、公安省は企業に対して越境移転の即時停止を命じる強力な権限を有しています。

ただし、実務上の過度な負担を軽減するため、政令第356/2025/ND-CP号第17条において重要な例外規定が設けられました。国家機関による移転や、データ主体自身が自らのデータを越境移転する場合に加え、雇用主が従業員の個人データを人事管理目的で海外のクラウドコンピューティングサービスに保管する場合には、CTIAの作成義務が免除されます。この例外措置により、日本に本社を置く多国籍企業がグローバルな人事システム（SaaSなど）を利用する際の負担は一定程度軽減されています。また、2025年に施行されたベトナムの「データ法（法律第60/2025/QH15号）」においてもデータガバナンスの規定が存在しますが、PDPLに基づいて適切にDPIAやCTIAを実施している個人データについては、データ法に基づく二重のリスク評価が免除される仕組みとなっており、法人間での規制の重複を避ける配慮がなされています。

参考：2025年7月法的アラート：個人データ保護法

ベトナムのデータ保護責任者要件とデータ漏えい時の通知ルール

PDPLでは、組織内におけるデータガバナンス体制を担保し、当局との連絡窓口を明確にするため、データ保護部門（DPD）の設置またはデータ保護責任者（DPO）の任命が広く義務付けられています。2023年の政令第13号の段階では、機微な個人データを処理する組織にのみこの義務が課されていましたが、2026年施行のPDPLと政令第356/2025/ND-CP号により、原則としてすべてのデータ管理者および処理者がDPOを任命するか、外部の専門機関に保護サービスを委託することが求められるようになりました。

さらに、任命されるDPOに対する資格要件も具体化されました。政令によれば、DPOは正式な文書によって任命されなければならず、短大（カレッジ）以上の学歴を有し、法務、情報技術、またはサイバーセキュリティ等の関連分野で卒業後少なくとも2年間の実務経験を持つ人物でなければならないという厳密な基準が設けられています。企業は単に名義上の担当者を置くことはできず、実質的な専門知識を持つ人材を確保・育成する必要があります。

参考：政令第356/2025/ND-CP号：政令第13号に代わる新たな法的枠組みと強化された処理義務

万が一、サイバー攻撃や内部不正によって個人データの漏えい、滅失、または不正アクセスといったセキュリティインシデントが発生した場合、企業は極めて迅速な対応を迫られます。政令第356/2025/ND-CP号は、企業がデータ漏えいを「発見した時点」から72時間以内に、国家個人データ保護ポータルまたは所定のフォーマットを用いて公安省のデータ保護当局に通知することを義務付けています。従来の政令第13号ではインシデントの「発生時点」から72時間とされていたため、発覚した時点ですでに期限を過ぎていることが多く、実務上遵守が不可能に近いと批判されていましたが、発見時点を起算点とする現実的な改定が行われました。

しかし、この72時間には土日や祝日も含まれるため、週末や連休中にインシデントが発覚した場合に備えた緊急対応マニュアルの整備と体制構築が不可欠です。さらに、金融・銀行・信用情報業界におけるインシデントや、生体認証データ・位置情報といった特定の機微な個人データが漏えいした場合には、公安省への報告だけでなく、影響を受けるデータ主体（本人）に対しても同じく72時間以内に直接通知を行わなければならないという加重義務が設定されています。システム上の制約などで全ユーザーへの直接通知が不可能な場合は、自社のウェブサイトやアプリ上で公に通知を行う代替措置が求められます。日本における個人情報保護委員会の実務（速報は3〜5日以内、確報は30日以内）と比較すると、ベトナムの72時間ルールはGDPRに準拠した国際的にも最高水準の厳しさであると評価できます。

参考：ベトナムの個人データ保護規制：政令第356号の要件

ベトナムの産業分野別コンプライアンス要件

PDPLは一般的なデータ保護原則を定めるだけでなく、特定の産業セクターや先端技術の利用に関する詳細な分野別規制（第25条から第32条）を導入しました。このアプローチは、各産業の実態に合わせた具体的な規制を提供するものであり、日本企業は自社の属する業界の条文を精査する必要があります。

労働者の採用と管理に関する第25条の規定は、ベトナムに進出しているすべての日本企業に関係する重要な条項です。採用プロセスにおいて、企業は採用目的を達成するために真に必要不可欠な情報のみを候補者に要求することが許されます。そして最も注意すべきは、採用に至らなかった候補者の個人データについては、両者間で別段の明確な合意がない限り、遅滞なく消去または破棄しなければならないという義務です。日本の実務では、将来の採用候補者として長期間履歴書をデータベースに保管するケースが散見されますが、ベトナムにおいては事前の明示的な同意がない限り法令違反となります。また、従業員の労働管理のために監視技術等を用いる場合は、その旨を従業員に明確に通知しなければなりません。

参考：ベトナムの個人データ保護法の解読：GDPRにインスパイアされた独自のルール

医療および保険事業に関する第26条では、健康情報の処理に関する極めて厳格な要件が定められており、例外規定を除き、処理のあらゆる段階で患者や顧客の同意が必要となります。金融・銀行に関する第27条では、信用情報を本人の同意なしにクレジットスコアリングの目的に使用することが禁止されています。さらに、ソーシャルメディアプラットフォームに関する第29条では、事業者はユーザーに対して「トラッキングのオプトアウト（追跡拒否）」の機能を必ず提供しなければなりません。また、明示的な相互の同意がない限り、盗聴、通話の録音、メッセージの傍受によるデータ収集は固く禁じられています。

ビッグデータ、人工知能（AI）、ブロックチェーン、メタバース、クラウドコンピューティングといった先端技術を用いたデータ処理に関する第30条では、これらの技術を活用するシステムはベトナムの倫理基準と善良な風俗に適合したものでなければならないと定めています。また、AIによるデータ処理はリスクレベルに応じて分類され、システム設計の初期段階から適切なセキュリティコントロールを組み込むこと（プライバシー・バイ・デザイン）が法的に要求されています。

ベトナムにおける課徴金リスクと判例から見る当局の執行姿勢

日本企業の経営陣が最も留意すべき事項は、PDPL導入に伴う莫大な制裁リスクです。法律第91/2025/QH15号第8条により、違反行為に対する行政制裁金の上限が明確に規定され、企業にとってのコンプライアンス違反は致命的な財務リスクへと変貌しました。

越境移転規制に対する違反行為があった場合、組織に対して最大で「前会計年度の総売上高の5%」に相当する課徴金が科される可能性があります。この売上高ベースの罰則はEUのGDPRから着想を得たものであり、多国籍企業にとっては単なるコンプライアンス違反の枠を超え、企業の屋台骨を揺るがす甚大な打撃となります。もし前年度の売上高が存在しない場合や、売上高に基づいて計算された罰金が30億ドンを下回る場合は、直接30億ドン（日本円で約1,670万円）の罰金が適用されます。また、個人データの違法な売買に対しては、その違反行為によって得られた収益の最大10倍の課徴金という懲罰的な金額が設定されています。その他の一般的なデータ保護違反行為についても、最大で30億ベトナムドンの罰金が設定されています。

参考：ベトナム2025年個人データ保護法：企業の主要なハイライト

さらに警戒すべきは、ベトナム当局が単に行政罰を規定するだけでなく、刑事罰を用いた厳格な法執行をすでに開始しているという事実です。ここで注目すべき重要な判例が存在します。2024年8月7日、フンイエン省人民裁判所（Tòa án nhân dân tỉnh Hưng Yên）において下された第一審刑事判決（事件番号：78/2024/HS-ST、被告人：Phạm Ngọc L）です。この事件において被告人は、ZaloやFacebookといったSNS上で架空のアカウントを作成し、偽造した身分証明書の画像を悪用しながら、数万人規模の個人データを違法に収集・売買し、利益を得ていました。裁判所は、この行為が個人のプライバシーと情報安全を著しく侵害するものであり、社会秩序に対する重大な脅威であると認定し、ベトナム刑法第288条（コンピュータネットワークおよび通信ネットワーク上の情報の違法な提供または使用罪）を適用して有罪判決を下しました。

参考：個人データの売買に関する刑事判決(第78/2024/HS-ST号)

この事件は、2026年のPDPL施行よりも前に発生し裁かれたものですが、実務上極めて重要な示唆を与えています。この判決から、ベトナム公安省および司法当局が、個人データの保護を単なる民事上のプライバシー問題としてではなく、国家のサイバーセキュリティを脅かす重大な犯罪行為と位置づけ、厳格な態度で臨んでいるということが言えるでしょう。新法であるPDPLが施行された2026年以降は、データ取引の禁止や厳格な処理手続きといった法執行の根拠がさらに明確かつ強固になったことで、データ漏えいや不適切な取り扱いを起こした企業そのものに対する行政罰だけでなく、関与した経営幹部や実務担当者に対する刑事追及のリスクが飛躍的に高まっています。データはもはや安価なビジネスの資源ではなく、取り扱いを誤れば企業を破滅に導く高度な規制対象資産であるという認識の転換が必要です。

まとめ

以上のように、2026年1月より施行されたベトナムの個人データ保護法（PDPL）および政令第356/2025/ND-CP号は、日本企業がこれまで国内で経験してきた個人情報保護の実務感覚を根本から覆すほどの厳格な内容となっています。オンラインでの行動追跡データの機微データ化、検証可能かつ明確な同意取得の義務付け、売上高の5%に及ぶ莫大な課徴金リスク、そして公安省（A05）に対するデータ処理影響評価（DPIA）や越境移転影響評価（CTIA）といった膨大な評価書類の提出義務など、その要求事項は多岐にわたります。日本の個人情報保護法に準拠した社内体制やプライバシーポリシーをそのままベトナムの事業に当てはめるだけでは、深刻なコンプライアンス違反を引き起こすリスクが極めて高い状況にあります。

ベトナムでのビジネスの展開を検討している、あるいはすでに進出している日本企業の経営者および法務部員の皆様は、自社が取得・処理しているデータフローを根底から洗い出し、ベトナム法の基準に適合したプライバシーポリシーの抜本的な改定や、データ漏えい時の72時間ルールに迅速に対応可能な社内ワークフローの再構築を直ちに行う必要があります。とりわけ、マーケティング部門が行っているデータ収集の実態把握や、海外のクラウドサービスを利用した人事管理体制の法的評価は喫緊の課題です。

こうした複雑かつ高度な専門知識を要する現地法令の解釈や、公安省が求める実務水準に合致したコンプライアンス体制の整備に関して、モノリス法律事務所がサポートいたします。単なる法令の翻訳や文言のチェックにとどまらず、現地の運用実態や最新の法執行トレンド、刑事摘発のリスクを見極めながら、安全かつ持続可能なグローバルビジネスの展開を実現するための一助となれば幸いです。データガバナンスへの投資はもはやコストではなく、企業価値を守るための最重要戦略となっています。