個人情報保護に関する国際法とベトナムへの影響

ベトナムは世界で最もインターネットの発展と普及率が高い国の一つであり、人口の約80％がインターネットを利用しています。ベトナムの人口の3分の2の個人データが、さまざまな形式とさまざまな詳細レベルでオンラインで保存、アップロード、共有、収集されています。

ベトナムは2022年と2023年に、数千ギガバイトのデータと数十億件の個人情報の売買に関わる5件の刑事事件を起訴しました。これは、国際法の調査と参照に基づき、個人データ保護に関する法律を早急に改善する必要があることを浮き彫りにしています。

個人データ保護に関する国際法

GDPR は、今日の個人情報を保護するための世界で最も厳格なメカニズムを構築する、大きな法的前進であると考えられています。

欧州連合 (EU) の一般データ保護規則 (GDPR)は、個人情報を保護するための世界で最も厳格なメカニズムを構築し、EU 市民の個人データを処理するすべての組織と企業に適用され、法的に大きな前進であると考えられています。

GDPRは、EU域内における企業の違反に対して均一な罰則を適用します。具体的には、軽微な違反の場合は売上高の2%または1,000万ユーロ、重大な違反の場合は売上高の4%または2,000万ユーロが最大罰金となります。罰金に加えて、GDPRに違反した企業は、データ処理業務の停止や、GDPRに違反して処理されたデータの削除を強制されるなどの制裁を受ける可能性があります。

EU の個人データ保護機関は、EU データ保護監督機関 (EDPS) です。これは、経験豊富な弁護士、IT 専門家、管理者がメンバーとなっている独立機関です。

この機関の主な機能は、EU機関における個人データの処理を監督し、個人データに関する事項について助言することです。GDPRでは、各加盟国に個人データ保護機関（例えば、国家個人データ保護委員会（フランス、アイルランドなど）やデータ保護監督機関（フィンランド、ラトビアなど））の設置も義務付けられています。

EUはEDPSに加え、加盟国の各国データ保護機関の代表者とEUの代表者で構成される欧州データ保護委員会（EDPB）も設立しました。EDPBの機能は、個人データ保護に関する主要な独立諮問機関として機能し、EU全体におけるGDPRの一貫した適用に責任を負います。

GDPRは、物質的・非物質的を問わず、強力な抑止力となる罰則を規定しています。さらに、EUの個人データ保護機関は、委員会・コミッショナー方式で運営されており、個人データ保護規則に違反する組織に制裁を科す権限と、個人データの取り扱いについて独立した評価・決定を行う権限を有しています。

2021年に制定された中国の個人情報保護法（PIPL）は、中国初の包括的な国家レベルの個人情報保護法とされています。PIPLは、個人データ／個人情報を、特定の個人を識別または認識することを目的とした情報として、特に中国国内の個人を対象として、比較的統一的な見解を示しています（PIPL第1章第4条）。同時に、センシティブな個人データを規制することで、より具体的なデータ群に関する当事者の権利と義務に関するルールを確立しています。

個人情報保護法（PIPL）に基づく個人情報権利侵害に対する罰則は非常に厳しく、強制的な是正措置、違法所得の没収、サービスの停止、営業許可または営業許可の取り消し、最高5,000万人民元または組織の前年度売上高の5%の罰金などが科せられます。さらに、違反行為は国家社会信用システムにおける処理単位の「信用記録」に記録される可能性があります。

さらに、処理機関が組織や個人の権利や利益を侵害した場合、損害賠償責任を負うことになります。こうした違反に対する刑事罰は中国刑法にも明確に規定されており、守秘義務を負う者に対する刑事責任の強化、財産没収の規定の追加、そして終身刑を最高刑と定めています。

2012 年に制定（2020 年に改正）されたシンガポールの個人データ保護法（PDPA）では、個人データを保護する権利と、組織が特定の状況に適した目的で情報を収集、使用、開示する必要性を認めています。

PDPAは、データ侵害に対する厳格な金銭的罰則も規定しています。違反者は罰金または懲役刑に処せられます。罰金額は違反の性質と重大性に応じて、2,000シンガポールドルから100,000シンガポールドル（約16億ベトナムドン）の範囲で、最長12ヶ月、重大事案では最長3年の懲役刑が科せられる可能性があります。違反した組織や企業の場合、罰金は年間売上高の最大10%に上る可能性があります。

PDPAの施行を確実にする上で重要な役割を担う機関は、個人データ保護委員会（PDPC）です。この専門機関は、個人や組織に対し、個人データの処理に関する情報や文書の提供を求める権限、違反に対する罰金の科す権限、その他の是正措置を講じる権限など、広範な権限と執行能力を有しています。

違反の検出と対処、制裁の適用において独立して積極的に活動する専門機関であるシンガポール個人データ保護委員会の設立は、シンガポールで個人データを効果的に保護するための条件の 1 つです。

ベトナムの個人情報保護法の改善に関する提言

現在、ベトナムには、個人情報の保護の問題に直接関連する法文書が69件あり、憲法、法典（4件）、法律（39件）、条例（1件）、政令（2件）、通達／共同通達（4件）、大臣決定（1件）など、さまざまな文書で規制されています。

これらの文書は、基本的に個人のプライバシー保護の原則を強調することで個人データ保護の問題に取り組んでいますが、個人データに関連する情報、個人の権利と義務の問題、情報処理、個人データの保護方法に関する問題への対処など、さまざまな規制が含まれています。 ベトナムの個人データ保護を規制する法律は、いくつかの注目すべき成果を達成しており、特に2023年4月17日の個人データ保護に関する政令第12/2023/ND-CP号の公布は、我が国でこの問題を規制する唯一の文書です。これらの法的文書は、個人データ保護の法的枠組みを構築しました。データ主体と処理当事者の権利を規定し、個人データ保護違反に対する制裁を規定し、個人データ保護の専門機関を公安省傘下のサイバーセキュリティ・ハイテク犯罪対策局として特定しています。

ベトナムは、サイバー空間からの数多くのリスク、課題、脅威に直面しており、特に個人情報やデータの漏洩や盗難が国民や社会に多大な損害をもたらしています。

しかし、これらの文書の実際の実施においては、現在の個別の法的文書が法令レベルにとどまっており、個人情報保護の重要性を満たしていないこと、現在の規定の多くが曖昧で不明確であり、個々のケースに対する具体的な指針が欠如していること、罰則が依然として軽すぎて抑止力が不十分であることなど、多くの限界も明らかになっています。

このような状況を踏まえ、ベトナムにおける個人データ保護に関する法的枠組みの更なる改善は、他国の経験を踏まえ、これまでも、そして今後も、着実に検討を重ねていくべき課題です。具体的には、以下の点が挙げられます。

まず、個人データ保護に関する法律を制定する必要があります。第四次産業革命の文脈において、80か国が既に地域レベルおよび国家レベルで個人データを保護する独自の法的文書を制定しています。ベトナムは、EU、中国、シンガポールのデータプライバシー法に類似した、個人データ保護に関する基本的な問題と原則を定義する、データに関する一般的な専門法を早急に研究・制定する必要があります。ベトナムの現行法は用語と内容に統一性が欠けているため、個人データに関する独自の法律を制定することは、個人データ保護のための重要な法的根拠となります。

第二に、個人情報保護違反に対する罰則は、違反の性質と重大性に応じて、より厳格となるよう見直し、強化されるべきである。我が国における個人情報保護違反に対する罰則には、行政罰、民事罰、刑事罰が含まれるが、一般的に非常に軽微であり、抑止力が弱い。現在、主な手段は依然として行政罰の適用であるが、多くの法令に分散しており、罰金は比較的低く、最高額は個人で1億ドン、組織で2億ドンとなっている。

個人情報に関する行政違反による損害は物質的損失にとどまらず、名誉や尊厳にも影響を与えるものの、個人情報侵害に対する刑事罰は、現行刑法第159条および第288条のプライバシー、情報技術、サイバーセキュリティに関する規定にのみ規定されており、懲役刑は7年以下、罰金は10億ベトナムドン以下と比較的軽微です。EUの2,000万ユーロ、シンガポールの100万シンガポールドル、中国の終身刑と比較すると、これらの罰則は依然として非常に低く、多くの違反行為に対して不釣り合いです。

同時に、大規模なデータ取引、データ侵害を犯すシステムの構築、マーケティングサービスにおける違反など、現在法律で言及されていないより多くのカテゴリーの行為を規制する必要があります。

第三に、ベトナムにおける個人データ保護機関のモデルについてです。現在、公安省傘下のサイバーセキュリティ・ハイテク犯罪対策局が個人データ保護の専門機関となっています。国際規制を参考に、個人データ保護法の執行、検査・監査の実施、ガイドラインの発行、勧告の策定、違反に対する制裁の適用などを担当する独立した個人データ保護機関の設立を検討することができます。

私たちは、EU やシンガポールのこれらのモデルから学ぶことができます。個人データを保護する法執行活動が、個人の権利の保護とサイバーセキュリティの保証のバランスを取りながら、非常に効果的であることを保証するためです。

個人データの保護は、特に大規模な個人データの監視と収集が行われる統合の文脈においては簡単なことではなく、この問題を規制するベトナムの法制度は依然として開発と改良の段階にあります。

この問題に関する国際法をベトナムの実際の状況と併せて研究することは、国際法に準拠し、効果的に施行される個人データ保護のための包括的な法的枠組みを迅速に構築するのに役立つでしょう。

1 https://nhandan.vn/chu-trong-bao-ve-du-lieu-ca-nhan-post780834.html