　2025年12月31日、ベトナム政府は、個人データ保護法（以下「PDPL」）※1（2025年6月成立）の下位法令として、政令第356/2025/NĐ-CP号（以下「政令356号」）を公布した。政令356号は、公布の翌日である2026年1月1日に、PDPLと併せて施行されている。また、同日付で、2023年から運用されていた従来の政令第13/2023/NĐ-CP号（以下「政令13号」）は失効し、ベトナムの個人情報保護法制はPDPLに全面移行した。

　政令356号は、PDPLの細則を定めるものとしてベトナムにおける個人情報保護実務において極めて重要なものであり、その内容は詳細に検討する必要があるが、本稿では、特に実務面で注目すべき点として、政令356号の別紙として示されたデータ処理影響評価（以下「DPIA」）及び越境移転影響評価（以下「CTIA」）にかかる影響評価書類の様式の内容、並びにその他の政令13号からの変更点のうち注目すべき点について詳述する。

2. DPIA及びCTIAの様式・手続等について

　PDPLにおいては、DPIA及びCTIAについて、データ処理又は越境移転を開始した日から60日以内に、当局（公安省）に対して影響評価書類の提出を行うことが求められている（PDPL 20条2項、21条1項）。今般公布された政令356号では、当局は15日以内に審査結果を返却すること（政令356号18条5項、19条5項）、不備がある場合の補正期間を30日とすること（政令356号18条6項、19条6項）などの手続面の規定が盛り込まれたほか、新しい影響評価書類の様式についても規定されている。

　越境移転影響評価の様式である様式09（Mẫu số 09）においては、たとえば、越境移転の目的、移転する個人データの種類・移転後の処理活動の説明、データフロー図、データを処理するシステムの設計図及び適用する措置、第三者提供の手順、自己評価結果、受領者側の保護水準評価やリスク・軽減策等の記載が求められている（政令356号18条2項及び3項）。

　また、データ処理影響評価の様式である様式10（Mẫu số 10）においては、たとえば、同意取得の実施方法、保存・削除・廃棄方針、データフロー図、データを処理するシステムの設計図及び適用する措置、遵守状況の自己評価、リスク評価と軽減策等の記載が求められている（政令356号19条3項）。

　いずれの様式についても、組織情報・連絡先、データ処理の概要も記載する必要があるほか、基本的個人データ又はセンシティブ個人データの区分に沿って個人データの類型を整理した上で記載することが前提となっている。また、従来から添付が必要とされているデータ処理又は越境移転に関する契約に加え、データの保存・削除・廃棄等に関するポリシー及び規則を添付する必要がある。

　加えて、PDPLでは、（ア）個人データ保護担当者（DPO）及び担当部署を選任・設置するか、又は（イ）外部の専門業者に委託する義務が法定されており（PDPL 33条1項b号及びc号、同条２項）、いずれか一方を選択することができる。政令356号における影響評価書類の様式においても、前記（ア）又は（イ）の選択に応じて、それらの者の連絡先を記載する必要があると考えられる（政令356号18条3項b号、19条3項b号）。また、影響評価書類におけるDPO又は担当部署の連絡先の記載自体は政令13号でも同様に求められていたが、政令356号ではDPO又は担当部署のメンバーとなることができる個人の要件が具体的に規定されており、その中には、「個人データ保護に関する法律知識及び専門的技能について、研修及び育成を受けていること」（政令356号13条2項c号、3項）も含まれている。加えて、外部の専門業者への委託をする場合であっても、当該業者は「集中的な研修及び育成を受けていること」が求められている（政令356号15条2項c号、16条1項b号）。この「研修及び育成」の内容は現時点では不明であり、DPO又は担当部署のメンバーとして選任した者がその要件を満たしているのかが不明となり、これにより影響評価書類の作成に支障が生ずることが予想される。

3. その他の注目すべきアップデート

　このほか、政令356号においては、基本的個人データ及びセンシティブ個人データの具体的項目が示された。区分自体は、政令13号から大きな変化は見受けられないが、影響評価書類に区分の明記が必要となるため、実務上、この区分を確認する必要性は高いと考えられる。一例として、サイバー空間上の行動追跡により生成されるデータ（政令356号4条1項l号）がセンシティブ個人データとして分類され直されたほか、IDカードの画像等（政令356号4条1項i号）についてもセンシティブ個人データとして分類されている。

　また、同意の撤回の請求、個人データの処理の制限の請求、削除の請求など、データ主体からの権利行使があった場合において、受領から原則として2営業日以内の回答を行う義務が規定された（政令356号5条2項乃至5項）。回答までの時間制限が厳しいことから、データ主体からの請求に関する対応体制について検討が必要になると思われる。

　さらに、個人データ保護規定への違反（個人データの漏洩等）が発生した場合、重大事案（国家の安全等を害するおそれがある場合又はデータ主体の生命、健康、名誉、尊厳若しくは財産を侵害するおそれがある場合）については、違反を発見してから72時間以内に当局に通知を行う必要がある（PDPL 23条1項）。政令356号では、この当局への通知に記載すべき事項についても、（i）個人データの漏洩等に関する組織・個人の情報、侵害の概要・発生時期、漏洩又は紛失したデータの種別・数量（政令356号28条1項a号）、（ii）データ保護の担当者・部署の連絡先（同項b号）、（iii）想定される影響・損害（同項c号）、（iv）講じた対応措置（同項d号）等を含む必要があることが定められた。

　加えて、個人位置データ及び生体認証データに関する違反が発生した場合においては、当局への通知に加え、違反を発見してから72時間以内にデータ主体に対しても通知を行う必要があり（政令356号29条1項a号）、違反の深刻度やデータ主体に対するその後の予防措置の案内も通知する必要があるとされている（同条2項）。また、このような類型のデータに関する侵害の場合については、侵害の記録を5年間保存する義務（同条1項c号）等についても規定された。

　なお、公表された政令案には、行政罰の具体的な金額に関する規定は置かれておらず、別途制定される罰則に関する政令の策定を待つ必要がある。

4. まとめ

　PDPL及び政令356号は施行されたばかりであり、影響評価等の手続面の運用については、動向を注視する必要がある。加えて、前回の記事（脚注1参照）においても紹介したとおり、PDPLは行政罰の金額も大きいため、今後の当局の執行に関する動向等についても、引き続き注視する必要がある。

脚注一覧

※1
PDPLの詳細については、アジア最新法律情報No.248/個人情報保護・データプライバシーニュースレターNo.60「ベトナム個人データ保護法（PDPL）の制定」（2025年9月）において解説したとおりである。

2026年1月15日

本ニュースレターは、各位のご参考のために一般的な情報を簡潔に提供することを目的としたものであり、当事務所の法的アドバイスを構成するものではありません。また見解に亘る部分は執筆者の個人的見解であり当事務所の見解ではありません。一般的情報としての性質上、法令の条文や出典の引用を意図的に省略している場合があります。個別具体的事案に係る問題については、必ず弁護士にご相談ください。

全文ダウンロード（PDF）