Zaloは法律に違反しているのか?
2025年個人データ保護法は、データ主体(ユーザー)の権利、および個人データを収集・処理する組織や企業の権利と責任に関する多くの具体的な規定を導入しています。したがって、個人データはユーザーの同意を得て収集されなければなりません。ソーシャルメディアやオンラインコミュニケーションサービスは、収集する個人データの内容を明確に開示する責任があり、アカウント認証のために個人識別書類の全部または一部を含む画像や動画を要求することは認められていません。
Zaloは、2025年の個人データ保護法の施行に先立ち、新たな利用規約を発表した。
写真:MP
意外なことに、法律施行直前に、ベトナムで最も広く利用されているソーシャルネットワークであるZaloが利用規約の更新通知を表示し、多くのユーザーの間で懸念を引き起こした。新しい規約は個人データに関するプライバシー権に関わるものだったが、同意しなければZaloアプリが使えなくなるため、多くのユーザーが疑問を呈した。
例えば、「ユーザー情報の収集、保護および利用」という条項では、ユーザーがZaloアカウントにログインすると、 VNG (アプリケーション発行者)が技術的な方法を用いてユーザーアカウントに関連するデータを収集および処理することを許可し、同意したことになります。ユーザーが本人確認のために提供する基本的な個人データには、電話番号、市民身分証明書番号、氏名、年齢、性別、家族関係、メールアドレス、および個人写真が含まれます。同様に、VNGがユーザーの個人データを受領、共有、および関連会社に転送するという通知も、多くのユーザーの間で個人情報の漏洩の可能性に対する懸念を引き起こしています。
近年、配達員、電力会社の従業員、オンラインショッピング利用者などを装った詐欺が急増しており、これらはすべてデータ漏洩に起因するものです。被害者は金銭を失ったり、偽のリンクやアプリに誘導されてアカウントを盗まれ、深刻な被害に遭う可能性があります。より厳格な法的措置によってデータ漏洩を完全に防ぐことはできませんが、オンライン詐欺の防止と対策のための強力な基盤となります。
ゴ・ミン・ヒエウ氏(不正対策プロジェクト責任者)
アテナサイバーセキュリティトレーニングセンター所長のヴォー・ド・タン氏によると、Zaloはユーザーの個人データへのアクセスと処理の権利を要求しているものの、今回の発表では、ユーザーが個人データの提供と利用を許可した場合のメリットや、Zaloがもたらす価値が明確に示されていない。 データが漏洩してユーザーに損害を与えた場合、Zaloはどのように補償するのか?これがアプリのユーザーが懸念している点だ。そのため、Zaloはユーザーの義務と権利を明確に示し、データ漏洩時の補償責任についても明確にする必要がある。さらに、2026年1月1日以降、Zaloが以前のユーザーから収集した個人データはどのように保存・利用されるのか?また、2026年1月1日以前に「同意」したユーザーと、それ以降に同意するユーザーの間で権利に違いが生じるのか?さらに、Zaloが変更を行う場合は、ユーザーが準備できるよう少なくとも30日前に通知する必要がある。これらは、このソーシャルメディアアプリがユーザーに十分な情報を提供するために、より透明性をもってコミュニケーションを取る必要がある事項である。
サイバーセキュリティ専門家のグエン・ヴァン・トゥー氏は、Zaloの発表を、間もなく施行される個人データ保護法2025の精神に沿ったアップデートだと理解している。これまで、多くのソーシャルネットワークやその他のアプリケーションでは、登録時にユーザーが企業が設定した利用規約に同意する必要があった。多くの人は注意を払わず、規約を注意深く読まずに自動的に同意したり、個人データに関する規約を無視したりすることさえあった。企業側もユーザーに明示的に同意を求めていなかった。しかし、個人データ保護法2025が施行されると、企業はユーザーが同意した場合にのみ、アカウント作成のためにユーザーの個人情報を収集できるようになる。さらに、2026年以降、アプリケーションやソーシャルネットワークの使用中に、ユーザーが自分の個人データが同意した目的以外で処理または使用されていることに気づいた場合、ユーザーは特にZalo、あるいは一般的に他の企業に対してデータの削除を要求する権利があり、権利が侵害された場合は損害賠償を求めて訴訟を起こす権利もある。
詐欺の減少に貢献する
2025年個人データ保護法の注目すべき条項の1つは、個人データに関連する7つの禁止行為の明確なリストです。これには、他人の個人データを使用して違法行為を行うこと、または個人データを売買することが含まれます。実際、近年、個人データの売買は非常に広範かつ公然と行われており、これが至る所で発生する多数の詐欺の原因となっています。これらの個人は、Facebook、Zalo、Telegramなどのソーシャルメディアプラットフォーム上の多くのウェブサイト、アカウント、グループ、およびハッカーフォーラムを通じて、長期間にわたり、大量のデータをインターネット上で公然と売買しています。特に、データには、氏名、生年月日、市民識別番号、住所、電話番号、銀行口座番号(残高を含む)、親族、職業、役職などの非常に詳細な個人情報が含まれています。
ソーシャルメディアアプリは、アカウント認証の手段として、身分証明書の全部または一部を含む画像や動画を要求することを禁じられています。
写真:ゴック・ズオン
不正対策プロジェクトのディレクターであるゴ・ミン・ヒエウ氏は、 2026年1月1日から施行される個人データ保護法は、最近のオンライン詐欺の急増を直ちに終息させるものではないものの、その減少と段階的な抑制に貢献すると考えている。同氏は次のように分析している。「この法律は、個人データを保護するためのより強力な法的枠組みを構築する。例えば、個人データに関する個人の権利を確立し、不要になったデータの削除を要求する権利を与える。同時に、この法律はデータ収集と処理を厳しく規制しており、組織や企業はプロセスと顧客のプライバシーを尊重し、自社のシステムとアプリケーションの情報セキュリティとサイバーセキュリティを定期的に評価しなければならない。」
「組織のシステムが攻撃を受けた場合、罰則を避けるため、直ちに当局に通知しなければなりません。企業や組織の従業員または役員が外部に情報を販売した場合、この法律は刑事罰から年間収益に基づく高額な行政罰金まで、明確な制裁措置を規定しています。近年、漏洩したデータに起因する、運送業者、電力会社、オンラインショッピング利用者を装った詐欺が急増しています。被害者は金銭を失ったり、アカウントを盗む偽のリンクやアプリケーションに誘導されたりして、深刻な被害を受けています。法的障壁が強化されたことで、情報漏洩を完全に防ぐことはできませんが、オンライン詐欺の防止と撲滅のための非常に良い基盤が築かれました」と、ゴ・ミン・ヒエウ氏は締めくくりました。
専門家のグエン・ヴァン・トゥー氏も、この法律が施行される前は、どの企業も顧客情報を無差別に収集・利用し、個人や社会全体に多くの悪影響を及ぼしていたという点に同意しました。そのため、この法律が正式に施行されれば、この問題は徐々に軽減され、市民と企業双方の個人データ保護に対する意識が高まるでしょう。人々はオンラインで個人情報を共有する際に、より積極的に自己保護に取り組むようになります。誰もが自分のデータを保護する意識を持つことで、オンラインでの情報公開が制限され、個人データの盗難や売買行為が速やかに発見され、国家管理機関に報告されて迅速に処理されるようになります。これにより、個人情報の売買が減り、詐欺の減少にもつながります。
ユーザーは、データの削除を要求し、損害賠償を請求する権利を有する。
2025年個人データ保護法は、個人データに関するユーザーの権利を幅広く規定しています。これには、収集当初の目的のために不要になったデータの訂正または削除を要求する権利、 個人データの処理に対する事前の同意を撤回する権利、苦情、訴訟、損害賠償請求を行う権利などが含まれます。例えば、従来、ユーザーはサービス登録時に電話番号や住所などの個人情報を企業に提供することで、企業による個人情報の利用に同意していました。しかし、ユーザーがサービスを利用しなくなった後も、これらのデータは企業によって広告やマーケティング目的で保存・利用され続けていました。今後は、ユーザーは企業に対し、自身の個人情報の削除を要求できるようになります。
特に、この法律は一般個人データと機密個人データの分類を規定している。それによると、機密個人データには健康状態、財務状況、生体認証データ、私生活、 政治的見解などの情報が含まれ、この種のデータの処理にはより厳格な保護要件を遵守する必要がある。
専門家のゴ・ミン・ヒエウ氏は、特にAIの急速な発展の時代において、個人情報やデータがますます重要になっているため、この新法は多くの人々に影響を与えるだろうと強調した。新法では、利用者は自身の個人データを削除、または削除を要求する権利を有する。金融や通信などの分野では、データ管理機関や組織が不要になった情報を削除するよう要求するために、人々はこれらの新法に注意を払うべきである。
「この規制は、不動産、証券、ローンなどを絶えず勧誘され、その止め方がわからない多くの人々にとって、間違いなく厄介な問題となるでしょう。法律が施行されれば、利用者は法的根拠に基づいて解決策を求めることができるようになります」と、ゴ・ミン・ヒエウ氏はさらに述べた。
サイバーセキュリティ専門家のグエン・ヴァン・トゥー氏によると、この法律が施行された当初は企業が最も大きな影響を受けるだろう。企業は個人情報を収集・保管しており、これは巨大なデータ「倉庫」とみなされるため、ハッカーが詐欺、アカウントハッキング、金銭窃盗などの目的でデータを盗み出す格好の標的となる。したがって、規制を遵守し顧客の個人データを保護するためには、企業は社内でのデータ収集、処理、保護プロセスを構築する必要がある。同時に、データの複製を防止しリスクを最小限に抑えるために、ハードウェアやソフトウェアなどの技術的ソリューションを導入しなければならない。
これには、外部からの攻撃や社内従業員によるデータの盗難・流出を防ぐことが含まれます。こうした対策は事業コストの増加につながる可能性があります。しかし、これはユーザーにとって完全に有益であり、企業自身も業務におけるサイバーセキュリティを強化することになります。さらに、政府機関は違反組織や企業に対して検査、規制、制裁措置を実施する十分な根拠を得ることができ、結果としてユーザーの保護がより強化されます。
個人データ侵害に対しては、翌年度の収益の最大5%に相当する罰金が科される可能性がある。
個人データ保護法2025では、個人データの売買に関連する行政違反に対する最高罰金は、違反によって得られた収益の10倍と規定されています。国境を越えた個人データ移転に関する規制に違反した組織に対する行政違反の最高罰金は、前年度の収益の5%です。ただし、前年度の収益がない場合、または収益に基づいて計算された罰金が規定された最高罰金よりも低い場合はこの限りではありません。個人データ保護分野におけるその他の違反に対する最高罰金は30億ベトナムドンです。同じ違反を犯した個人には、組織に課せられた罰金の半額に相当する最高罰金が科せられます。
個人データの売買は厳しく禁止されています。
グラフィック:バオ・グエン
出典: https://thanhnien.vn/du-lieu-ca-nhan-nong-truc-ngay-duoc-luat-bao-ve-185251228221725252.htm
コメント (0)