サービス特典のために個人情報を交換する状況に関する懸念

上記の情報は、国家サイバーセキュリティ協会（NCA）が11月24日午後にハノイで開催したセミナー「サイバーセキュリティ法2025：データセキュリティ保護への一歩前進」において、 公安省サイバーセキュリティ・ハイテク犯罪対策局サイバーセキュリティ部副部長のグエン・ディン・ドー・ティ中佐によって共有された。

保護意識の低さによるデータ漏洩

グエン・ディン・ド・ティ中佐は、個人情報の保護が不十分であることと、サービスの利益のためにデータを交換する意欲があることが、データ漏洩の主な原因であると指摘した。

それに伴い、多くの機関や組織ではデータ保護対策が不十分で、データ管理が緩い場合があり、犯罪者がデータ情報を盗む抜け穴を生み出したり、従業員が会社のデータウェアハウスにアクセスし、退職後にすべての情報をコピーして第三者に転送したりするケースもあります。

最後の理由は、テクノロジー企業が専用のソフトウェアを通じて、またはユーザーがウェブサイトにアクセスしたときに、ベトナムのユーザーデータを密かに収集していることです。

この文脈において、「サイバーセキュリティ2025」法案は、「データセキュリティ」を国家サイバーセキュリティの重要な要素として正式に追加し、定義しました。デジタル変革の中核要素であるデータが、サイバーセキュリティに関する法的枠組みにおいて中心的な位置を占めるのは、今回が初めてです。

実際、最近の現実として、最近記録されたサイバー攻撃のほとんどは、データの盗難、暗号化、破壊を目的としており、組織の業務を妨害するだけでなく、データ攻撃の影響は長年にわたって続く可能性があります。

そのためには、サイバー空間における新たなリスクに適した、強固で統一された法的枠組みが必要です。「データセキュリティ」という概念を加えることで、法的ギャップを埋めるだけでなく、すべての利害関係者に実用的な利益をもたらすことができます。

ティ中佐は、サイバーセキュリティ法案2025はサイバーセキュリティとデータセキュリティを確保するための国家の主要政策を定めていると述べた。

まず、国防、安全保障、社会経済、科学技術、外交におけるサイバーセキュリティの保護を優先します。

第二に、国家の安全保障や社会秩序を損なわない安全なサイバー空間を構築する。

第三に、専門部隊の編成、優秀な人材の育成、サイバーセキュリティ技術の研究開発の推進に資源を集中する。

4番目に、組織や個人がリスク管理に参加し、当局と連携することを奨励します。

第五に、ベトナムのサイバーセキュリティ業界の製品とサービスの利用を優先します。

6番目に、サイバーセキュリティを守るための国際協力を強化します。

サイバーセキュリティ責任者

議論の枠組みの中で、国家サイバーセキュリティ協会の研究、コンサルティング、技術開発、国際協力部門の責任者であるヴー・ゴック・ソン氏は、サイバーセキュリティ2025に関する法案の新たなポイントの1つは、サイバーセキュリティの確保における機関、組織、企業の長の特別な役割と責任を強調することであると評価した。

規則によれば、責任者は管理範囲内で保護活動を実施する責任を負うだけでなく、サイバーセキュリティに関連する知識とスキルの要件を満たす必要があります。

この規制は現実を反映しています。サイバーセキュリティは、ガバナンスと意思決定において優先的に扱われる場合にのみ、真に効果を発揮します。リーダーがサイバーセキュリティを理解していない場合、あらゆる戦略、プロセス、技術投資、人員配置が表面的なもの、あるいは不十分なものに終わるリスクがあります。

逆に、リーダーが十分な知識とスキルを持っている場合、情報システムの保護、技術投資、人材組織、データ運用に関する決定は正しい方向に進み、効率性を促進し、持続可能性を確保することになります」と、Vu Ngoc Son氏はさらに語りました。

モビフォン・テレコム社のサイバーセキュリティ部門責任者であるレ・コン・チュン氏も同様の見解を示し、技術がどれほど進歩しても、人的要因が依然として重要な役割を果たしていると述べた。インフラ運用チームは、コアネットワーク、機器、プロトコルを深く理解し、迅速な対応能力を備え、厳格な規律とセキュリティを遵守する必要がある。

Trung氏は、重要なシステムについては、ネットワークに導入する前のICT機器検査システムとともに、ベトナムがネットワークセキュリティに関するTCVN 14423:2025などの国家規格に厳密に準拠する必要があると期待しています。