個人情報保護に関する国際法とベトナムへの影響

ベトナムは人口の約80％がインターネットを利用し、 世界で最もインターネットの発展と応用速度が速い国の一つですが、その人口の3分の2の個人データが、さまざまな形式と詳細レベルでサイバースペース上に保存、投稿、共有、収集されています。

ベトナムは2022年と2023年に、数千ギガバイトのデータと数十億件の個人情報の売買に関わる5件の刑事事件を起訴しました。これは、国際法の調査と参照に基づき、個人データ保護に関する法律を早急に改善する必要があることを示しています。

個人データ保護に関する国際法

GDPR は、今日の世界で最も厳格な個人情報保護メカニズムを構築する、大きな法的前進であると考えられています。

欧州連合 (EU) の一般データ保護規則 (GDPR)は、法的に大きな前進とみなされており、現在世界で最も厳格な個人情報保護メカニズムを構築し、EU 市民の個人データを処理するすべての組織と企業に適用されます。

GDPRは、EU域内の企業に一律の罰則を課します。具体的には、軽微な違反の場合は売上高の2%または1,000万ユーロ、重大な違反の場合は売上高の4%または2,000万ユーロの罰金が科せられます。罰金に加えて、GDPRに違反した企業は、データ処理の停止や、GDPRに違反して処理されたデータの削除などの制裁を受ける可能性があります。

EU の個人データ保護機関は、EU データ保護監督機関 (EDPS) です。これは、経験豊富な弁護士、IT 専門家、管理者などがメンバーとなっている独立機関です。

この機関の主な機能は、EUの機関および組織における個人データの処理を監督し、個人データに関する問題について助言することです。GDPRでは、各加盟国に個人データ保護機関（例えば、国家個人データ保護委員会（フランス、アイルランドなど）やデータ保護監督機関（フィンランド、ラトビアなど））の設置も義務付けられています。

EU は、EDPS と並行して、加盟国の国家データ保護当局の代表と EU の代表者で構成され、個人データ保護問題に関する主要な独立諮問機関として機能し、EU 全体で GDPR の一貫した適用を担当する欧州データ保護委員会 (EDPB) も設立しました。

GDPRは、物質的・非物質的を問わず、抑止力の高い制裁措置を規定しています。さらに、欧州委員会・コミッショナーモデルに基づいて運営されるEU個人データ保護機関は、組織が個人データ保護規則に違反した場合に制裁を科すための広範かつ独立した権限を有し、個人データの処理について独自に評価・決定を下すことが可能です。

2021年に制定された中国個人情報保護法（PIPL）は、中国における初の包括的な国家レベルの個人情報保護法とされています。PIPLは、個人データ／個人情報を、中国国内の限られた個人集団を対象とし、特定の個人を識別する、または識別する情報として、比較的統一的な定義を提供しています（PIPL第4条第1章）。同時に、センシティブな個人データの問題を規定し、より具体的なデータ群に関する当事者の権利義務に関する規定を確立しています。

個人情報保護法に基づく個人情報権利侵害に対する制裁は非常に厳しく、強制的な是正措置、違法所得の没収、サービスの停止、営業許可または営業許可の取り消し、最高5,000万元または組織の前年度売上高の5%の罰金などが科せられます。さらに、違反行為は国家社会信用システムに基づく処理単位の「信用ファイル」に記録される可能性があります。

さらに、処理機関は組織や個人の権利や利益を侵害した場合、損害賠償責任を負うことになります。こうした違反に対する刑事罰も中国刑法で明確に規定されており、情報守秘義務を負う者に対する刑事責任の重大化、財産没収の形態の追加、そして最高刑としての終身刑が規定されています。

シンガポール個人データ保護法（PDPA）は2012年に制定され、2020年に改正されました。シンガポールの法律では、個人データ保護の権利に加え、特定の状況下において適切な目的のために情報の収集、利用、開示を組織化する必要性が認められています。

PDPAは、データ漏洩に対して厳しい罰金を規定しています。違反者は罰金または懲役刑に処せられます。罰金は違反の性質と重大性に応じて、2,000シンガポールドルから100,000シンガポールドル（16億ベトナムドン相当）までの範囲で、12ヶ月以下の懲役、または重大事案の場合は最長3年の懲役が科せられます1。違反した機関や企業には、年間売上高の最大10%に相当する罰金が科せられる可能性があります。

PDPAの実施を確保する上で重要な役割を果たす機関は、個人データ保護委員会（PDPC）です。PDPCは広範な権限と執行能力を有する専門機関であり、個人および組織に対し、個人データの処理に関する情報や文書の提供を求める権利、違反行為に対する罰金を課す権利、その他の措置を講じる権利を有しています。

違反の検出、対処、制裁の適用において独立して積極的に活動する専門機関であるシンガポール個人データ保護委員会の設立も、シンガポールで個人データ保護を効果的に施行するための条件の 1 つです。

ベトナムの個人情報保護法の改善に関する提言

現在、ベトナムには、憲法、法典（4）、法律（39）、条例（1）、政令（2）、通達／共同通達（4）、大臣決定（1）など、さまざまな文書に規定されている、個人情報保護の問題に直接関連する法的文書が69件あります。

これらの文書は基本的に、個人データ保護の問題に、主体のプライバシー確保の原則を推進する方向で取り組んでいますが、個人データに関連する情報については、主体の権利と義務、情報処理、個人データ保護の方法といった問題に言及しながら、異なる規制を設けています。 ベトナムにおける個人データ保護の問題を規制する法律は、いくつかの注目すべき成果を上げており、特に2023年4月17日、政府は個人データ保護に関する政令第12/2023/ND-CP号を公布しました。これは、我が国においてこの問題を規制する別の文書です。 これらの法的文書は、個人データ保護の取り組みにおいて法的回廊を設け、データ主体と処理当事者の権利を明記し、個人データ保護違反に対する制裁を規定し、 公安省傘下のサイバーセキュリティ・ハイテク犯罪対策局を個人データ保護の専門機関として特定しています。

ベトナムは、サイバー空間からの多くのリスク、課題、危険、特に個人情報やデータの漏洩や流用に直面しており、国民や社会に多くの有害な影響を及ぼしています。

しかし、これらの文書を実際に実施してみると、現在の個別の法的文書は法令レベルにとどまっており、個人情報保護の重要性を満たしていない、現在多くの内容が一般的に規制されており不明瞭であるため、それぞれの具体的なケースに対する具体的な指針が欠如している、制裁措置がまだ軽く抑止力が十分でないなど、多くの限界も明らかになった。

このような状況下、ベトナムにおける個人情報保護法の継続的な改善は、他国の経験に基づき検討すべき課題であり、具体的には以下の点が挙げられます。

まず、個人データ保護に関する法律を制定する必要があります。第4次産業革命の文脈において、80カ国が地域および国家レベルで個人データ保護のための個別の法的文書を発行しています。ベトナムは、EU、中国、シンガポールのようなデータプライバシー法のように、個人データ保護の基本事項と原則を規定した、データに関する一般的な専門法を早急に調査・制定する必要があります。現在、ベトナムではこの問題に関する法的文書が用語や内容の規制において統一されていないため、個人データに関する個別の法律の制定は、個人データ保護のための重要な法的根拠となります。

第二に、個人情報保護違反に対する制裁を、違反の性質と重大性に応じて、より厳格に改正・補足する。我が国における個人情報保護違反に対する制裁には、行政罰、民事罰、刑事罰があるが、一般的に軽微であり、抑止効果は高くない。現在、主な方法は依然として行政違反に対する制裁であるが、多くの政令で定められており、罰金は非常に低く、最高額でも個人で1億ドン、組織で2億ドンとなっている。

個人情報に関する行政違反がもたらす損害は、物質的な損害だけでなく、名誉や尊厳の毀損にもつながります。行政処分に加え、個人情報侵害に対する刑事処分は、現行刑法第159条および第288条のプライバシーおよび情報技術・ネットワークセキュリティ分野の規定にのみ反映されており、懲役7年以下、罰金10億ドン以下と比較的軽微です。この罰金は、EUの2,000万ユーロ、シンガポールの100万シンガポールドル、中国の終身刑と比較すると、依然として非常に低く、多くの違反行為に見合うものではありません。

同時に、大規模なデータ取引、データを侵害するシステムの構築、マーケティングサービス業務における違反行為など、現在法律には触れられていない多くの行為群を規制する必要がある。

第三に、ベトナムの個人情報保護機関のモデルについてです。現在、公安省傘下のサイバーセキュリティ・ハイテク犯罪対策局が個人情報保護の専門機関となっています。国際規制を参考に、個人情報保護法の執行、検査・審査の実施、ガイドラインや勧告の発行、違反があれば制裁措置の適用などを担当する独立した個人情報保護機関の設立を検討します。

EU やシンガポールのこれらのモデルを参考にして、個人の権利の保護とネットワーク セキュリティの確保のバランスを取りながら、個人データ保護法を効果的に施行することができます。

個人データの保護は、特に統合の文脈に置かれた場合、個人データの監視と収集活動が大規模に行われ、この問題を規制するベトナムの法制度がまだ構築され完成している段階である場合、単純な問題ではありません。

この問題に関する国際法をベトナムの実際の状況を参考に研究することは、国際法に準拠し、効果的に施行される包括的な個人データ保護のための法的枠組みを早期に構築するのに役立つでしょう。

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html