サイバーセキュリティー法の施行細則が発効

ベトナムで10月1日、サイバーセキュリティー法（24／2018／QH14、注1）に関する施行細則を定めた政令53号（53/2022/ND-CP、2022年8月15日公布）が発効した。同政令は、ベトナムでオンラインサービスを提供する国内外の事業者を対象に、国内保存義務の対象となるデータの範囲や、データ保存義務を課される事業者の要件などについて規定している。

国内保存義務の対象データとしては、（1）サービス利用者の個人情報に関するデータ、（2）サービス利用者による作成データ（ユーザーアカウント名、サービス利用期間、メールアドレス、クレジットカード情報、ログインおよびログアウト時のIPアドレスなど）、（3）サービス利用者の人間関係に関するデータ（サービス利用者が接続または交流する友人やグループ）の3つを定めている。

ベトナム国内でのデータ保存義務の対象事業者は、国内企業と国外企業で要件が分かれる。国内企業（注2）は、オンラインサービス（注3）を提供し、対象データの収集、分析、加工をする事業者が対象となる。

国外企業の対象範囲は、国内企業よりも限定される。国外企業の対象業種は、通信サービスや電子商取引、オンライン決済など、具体的に設定されている。それらの業種に該当のうえ、当該企業がベトナム当局から法令違反の警告および協力、防止、調査、対処の要請を受け、かつ、その要請に応じなかった場合にデータの国内保存義務が適用される（注4）。

同政令は、具体的なデータ保存方法や規制対象に関して、不明瞭な点を残す。また、データ保存義務に違反した場合の罰則に関しても、別途政令で定められることになっており、現時点では明らかになっていない。このように、内容が必ずしも明確ではない中で発効しており、ベトナム当局による法令の解釈や運用、罰則に関する措置など、今後の動向を注視する必要がある。

（注1）サイバーセキュリティー法は2019年1月1日に施行（2018年7月19日記事参照）。オンラインサービスを提供する国内外の事業者を対象に、ベトナム国内でのデータ保存義務を定めているが、適用対象などが不明確なままだった。

（注2）国内企業には外国企業のベトナム法人も含まれる。

（注3）オンラインサービスの具体的な対象業種は明記されていない。

（注4）外国事業者に義務が適用される場合、ベトナム国内に対象データを保存し、かつ、支店または駐在員事務所を設置する必要がある。

（阿部浩明）