デジタル変革における人権確保に向けて前進

個人情報保護に関する法令は、デジタル変革における人権の確保において画期的なものであり、個人情報の確保、保護、セキュリティ確保の実践における欠点や不十分さを克服するものです。

Nghị định về bảo vệ dữ liệu cá nhân: Bước tiến bảo đảm quyền con người trong chuyển đổi số

個人データ保護とは、データに関する基本的人権と自由を保護することです。

政府は、2023年4月17日に、個人データの保護に関する政令第13/2023/ND-CP号（政令）を公布し、2023年7月1日に発効しました。この政令は、個人データの権利を保護し、個人や組織の権利と利益に影響を与える個人データの侵害行為を防止するための要件を満たしています。

ハイライト

この政令は、個人データの保護および個人データを保護するための関連機関、組織、個人の責任を規制する法的文書です。

まず、個人データ保護とは、データに関する基本的人権と自由の保護です。個人データ保護に関する政令の規定は、運用に際して各個人の権利と自由が侵害されることを防止することを目的としています。

同時に、個人データのセキュリティは特に重要です。データが盗まれた場合、経済的および社会的損失、恐喝、詐欺、財産の横領、名誉毀損、名誉や尊厳の侵害、性的虐待などのリスクが発生し、物質的および精神的な結果を引き起こし、機関、組織、企業、個人の権利と正当な利益に直接影響を与える可能性があるためです。

第二に、個人データ主体の権利を促進し、尊重します。個人データ主体の権利には、アクセス権、個人データの処理への同意または拒否権、情報提供を受ける権利、データ削除を要求する権利が含まれます。

さらに、データ主体は、他の主体による個人データの侵害から自らを守る権利も有します。個人データ保護の権利が侵害されるような法令の規定違反があった場合、主体は損害賠償を請求する権利を有します。また、法令は、主体の同意を得ずに個人データの収集、移転、売買を行うことは違法であると明確に規定しています。

ただし、個人情報を保護する主体の権利は絶対的な権利ではなく、本人または他人の生命や健康を保護するための緊急事態、国防、安全保障、社会秩序および安全に関する緊急事態、定められた契約上の義務の履行、または専門法で規定された国家機関の活動への奉仕などの場合に制限されることがあります。

例外規定は、個人や団体の権利を保障しつつ、その権利の行使に当たって他の個人や団体の正当な権利や利益、あるいは国家の利益を侵害しないという原則を履行することを目的としている。

第三に、個人情報保護に関する国際的な統合プロセスを促進する。本政令は、個人情報保護に関する国際的な慣行や規制と整合している。多くの先進国が個人情報保護の問題を法制化しており、これはベトナムが研究し、参考にすべき基礎となる。

さらに、ベトナムが加盟している、またはベトナムと協力関係にある国際機関は、プライバシーと情報・個人データの保護に関する条約、勧告、基準を制定しています。これらには、経済協力開発機構（OECD）のプライバシー原則、情報および個人データの自動処理に関する個人の保護に関する欧州評議会条約、コンピュータ化された個人データおよび情報ファイルに関する国連ガイドライン、アジア太平洋経済協力（APEC）プライバシー枠組み、プライバシーと情報・個人データの保護に関する国際基準（マドリッド決議）、EU一般データ保護規則（GDPR）などが含まれます。

さらに、我が国と他国・地域との協力を促進する過程で、80か国以上が個人データ保護に関する法的文書を発行しており、その多くはベトナムの組織および個人に適用される規定を含んでいます。したがって、個人データ保護に関する具体的かつ詳細な規制は、外国の個人および組織を含むベトナムにおいて、平等かつ法の尊重の環境を構築することを目的としています。

課題

現在、この政令の実施には依然として多くの重大な課題が残っています。

まず、企業における従業員管理の課題です。現在、多くの企業は親会社と子会社が同一の管理エコシステムを持つモデルを構築しており、従業員情報は共通システムから簡単にアクセスできます。

しかし、ベトナムの法律では、各企業（親会社と子会社を含む）は別個の独立した法人とみなされるため、企業の内部管理プロセスに役立てるために同じエコシステム内の企業が従業員の個人データを転送することも、企業の個人データ保護責任に違反すると見なされる可能性があります。

一方、現在、多くの企業は同政令の実施に困難を抱えており、同政令に従った従業員の個人情報の管理・保護の仕組みや規定がまだ整っていない。

第二に、これは信用機関の業務に関する法的規制と整合していません。現在、信用機関の業務は、2010年信用機関法（2014年に改正・補足）、マネーロンダリング防止法、信用機関および外国銀行支店の顧客情報の機密保持および提供に関する政令117/2018/ND-CP、同法の下位レベルで銀行業務における情報システムのセキュリティを規制する国立銀行通達09/2020/TT-NHNNなど、専門的な法的規制によって規制されています。

一方、銀行業務の場合、データ処理は個人データに影響を及ぼします。個人データの収集、記録、分析、確認、保管、編集、公開、結合、アクセス、検索、呼び出し、エンコード、デコード、コピー、共有、送信、提供、転送、削除、破棄、またはその他の関連アクションは、顧客にサービスを提供して銀行業務のリスクを管理し、通貨システムの安全性とセキュリティを確保するために不可欠であるため、顧客の個人データを処理する多くの活動では顧客の同意を得ることができず、また得る必要もありませんが、政令第 3 条第 2 項および第 9 条第 1 項では、他の法律で別途規定されている場合を除き、主体は自分の個人データの処理について知る権利があると規定しています。

また、第9条第2項では、主体は個人データの処理に同意しない権利を有すると規定されており、他の法律で第9条に別の規定がある場合を除き、主体はデータを削除、アクセス、データ処理の制限を要求、データ処理に異議を申し立てる権利を有するとされています。したがって、統一されたガイダンスなしに政令が厳格に適用されると、混乱を招き、不適切となるでしょう。

さらに、信用機関によるサービスおよび商品の提供は、一つの商品に対して多くのプロセスを経て行われ、一つの商品に対する各プロセスには多くの異なるステップが含まれており、膨大な顧客ファイルのデータの収集、評価、分析、提供に関連しています。一方、法令では、個人データ管理者および処理者は、データ処理活動を行う際に、すべての処理手順においてデータ主体（顧客）の同意を得ることが義務付けられています（第11条）。また、データ処理活動を行う前に、個人データ主体に通知しなければなりません（第13条）。これは、信用機関の業務運営における新たな障害となっています。

さらに、信用機関は、情報技術システムや信用機関の業務に関連するその他の法令文書を調整する必要があり、契約書や合意書のテンプレートも法令に準拠するように改訂する必要があり、銀行業務に大きな困難が生じています。

第三に、多くの人が自分の個人データを保護することを理解しておらず、そのことを意識していないため、ソーシャルネットワーキングプラットフォームで簡単に個人情報を共有し、意図せずして悪意のある人物に悪用されてしまうことがあります。

一部の人々は、個人のプライバシーを保障する個人情報保護の価値を明確に認識しておらず、個人情報を提供することを恐れているため、当局が個人情報保護の国家管理を行う上で、また個人情報保護に関する法律違反の調査や処理を行う上で困難が生じています。

さらに、個人情報の売買や情報漏洩のリスクは深刻な影響を及ぼし、経済・社会問題に深刻な影響を与えています。詐欺や電話・メッセージによるスパム広告といった現象も依然として複雑化し、人々の生活に影響を与えています。