ベトナムにおける人工知能（AI）開発における個人データ保護の権利に関する法律といくつかの勧告

人工知能（AI）開発における個人データ保護の権利に関するベトナムの法律

国家の責任について：人工知能（AI）の急速な発展を背景に、 情報通信省（現科学技術省）は2030年までのAI応用戦略に関する決定第2259/QD-BTTTT号を公布し、AIの発展は安全性を確保し、人権を保護し、倫理や社会規範に反しないものでなければならないという視点を強調しました。さらに、政令第13/2023/ND-CP号は、データ保護に関する政策の公布、ガイドラインの実施、法律の普及、検査、調査、国際協力など、DLCNの保護における国家の責任を具体的に規定しています。

上記の文書に加え、民法、刑法、刑事訴訟法、民事訴訟法、出版法、HIV/AIDS予防および管理に関する法律などにも、私生活の保護に関する国家の責任が規定されています。特に、2015年のサイバーセキュリティ法とネットワーク情報セキュリティ法は、サイバースペースにおける個人情報の保護層を追加し、国家機関が組織や個人と連携して個人情報を処理し、データセキュリティを確保することを義務付けています。

個人の権利について：個人データ保護の権利は、国家機関の義務と権限を通じて国家が担うだけでなく、個人自身も個人データ保護の権利を積極的に行使するための法的規制が必要です。特に、人工知能（AI）の文脈における個人データ保護の権利に関する法的規制には、多くの重要な内容が含まれています。個人は、個人データの収集と使用について、使用目的と範囲を含め通知を受ける権利、情報が不正確または不要になった場合にデータにアクセスし、修正または削除を要求する権利、特にマーケティング目的や自動分析に使用される場合など、場合によってはデータ処理に異議を申し立てる権利を有します。法律では、データセキュリティの確保、不正アクセスの防止、情報の悪用防止も義務付けられています。

2013年憲法は、個人情報保護の権利を人権として認めています。第21条は、すべての人が私生活、個人及び家族の秘密を侵害されない権利を有することを強調しています。2015年制定のネットワーク情報セキュリティ法もこの権利を規定し、情報の収集には本人の同意が必要であり、利用範囲は本来の目的に限定され、本人の同意または権限のある機関の要請がない限り、情報は恣意的に共有されてはならないと定めています。

個人情報の収集および利用における情報提供と同意の権利に関して、2013年憲法は、個人は情報提供を受け、同意または同意撤回の権利を有することを規定しています。2006年情報技術法第21条は、法律に別段の定めがある場合を除き、個人情報の開示を禁止しています。さらに、政令第13/2023/ND-CP号は、個人情報を処理する組織および個人に対し、その目的、データの種類、処理方法、および起こりうるリスクを明確に通知することを義務付けています。同意は、書面、口頭、または確認行為によって明確に表明されなければなりません。

知的財産権侵害行為と救済：知的財産権侵害行為の認定は、国家が知的財産権保護の時期と方法を特定する上で重要な要素であり、個人が知的財産権保護の権利行使を国家に求める根拠となる。現実には、人工知能（AI）制御システムの利用が増加しており、プライバシー権や知的財産権保護の侵害につながっている。現在、知的財産権侵害に関する規制は、政令第13/2023/ND-CP号、刑法、2018年サイバーセキュリティ法、行政制裁に関する政令など、様々な法的文書に散在している。

まず、 2018年サイバーセキュリティ法は、サイバー空間における国家安全保障を侵害する行為を規制するための重要な根拠となります。同法第17条第1項は、国家機密、企業機密、個人機密、家族機密、私生活などを侵害するサイバースパイ行為を列挙しています。具体的な行為には、情報の不正流用、売買、開示、データの削除および毀損、情報保護のための技術的手段の妨害、違法な盗聴、録音・録画、その他個人のプライバシーを侵害する行為が含まれます。

第二に、2015年刑法（2017年に改正・補足）では、関連する犯罪について規定しており、第159条では信書、電話、電報の秘密を侵害する行為を、第288条ではインターネット上で違法に情報を提供、または使用する犯罪を、第291条では銀行口座情報を違法に収集、取引する犯罪を規定している。

第三に、政令第15/2020/ND-CP号は、個人情報を違法に、本人の同意を得ずに、あるいは個人情報セキュリティに関する規定に違反して収集、利用、共有する行為に対する行政罰を規定しています。これらの規定はプライバシーと個人情報の保護に役立ちますが、実効性を確保するためには、法律の継続的な改善、国民の意識向上、そして管轄当局の執行能力の強化が必要です。

第四に、他の専門的な法律文書においても、DLCNは個人の権利の対象として認められ、侵害防止策が規定されています。例えば、2023年医療検査法は、第10条でプライバシーの尊重を規定しています。したがって、患者の医療記録に記録された健康状態やプライバシーに関する情報は機密扱いされます。さらに、医療検査法は、患者の医療記録を消去または改変する行為も厳しく禁止しています。

個人データは、国内法に加えて、技術的措置、地域法、国際条約（地域法：欧州連合個人データ保護規則、人権関連条約など）によっても保護されています。個人データへのリスクを防止するため、データを保護し、個人データの違法な収集、処理、開示を防止および処理するための技術的措置として、パスワードの設定、セキュリティの強化、アクセスの制限とブロック、セキュリティソフトウェアの使用、データの暗号化などが挙げられます。これらの措置は主に自己防衛的な性質を持ち、個人データに関連するすべての組織によって広く一般的に適用できます。

人工知能（AI）は21世紀の主要技術の一つと考えられており、生産能力の飛躍的な向上と国家競争力の向上をもたらすと考えられています。写真：文書

個人データ保護の権利に関する現行法の適用

政府は2023年に、DLCN保護に関する政令第13/2023/ND-CP号を完成する。2024年までに、政府は引き続き、法律と司法改革に関する国際協力の管理に関する政令第26/2024/ND-CP号を公布する。DLCN保護法も策定中で、2026年1月1日に発効する予定である。実際には、立法作業とベトナムにおけるDLCN侵害の実態の間には一定の遅れが生じており、DLCN保護に関する完全な法的規定が適時に策定・公布されておらず、既存の文書は下位法レベル（政府が発行）のものしかない。これにより法的ギャップが生じ、違反処理が困難になっている。個人の権利が影響を受け、人々の法律と当局への信頼が低下すると同時に、敵対勢力が党と国家を歪曲し破壊するための条件が整えられている。

政府側では、法令第13/2023/ND-CP号に代表される多くの管理活動が実施され、法的枠組みの構築と国際協力の促進に貢献しています。近年、DLCN保護に関する法令遵守管理活動の実施を直接担当する機関や部署は努力を重ね、一定の成果を上げています。 公安部の統計によると、2015年から2021年にかけて、サイバースペースにおける国家機密の漏洩や紛失の事例は350件以上発見されています。そのうち、最も多かった原因は、国家機関のウェブサイトや電子情報ポータルに機密情報が公開されたことで、57.7%を占めています。FacebookやZaloなどのソーシャルメディアを通じた機密漏洩は9.3%を占め、増加傾向にあります。さらに、GmailやYahoo!などのメールサービスを通じて漏洩した事例もあり、1.6%を占めています。これらの数字は、情報セキュリティ損失のリスクが依然として複雑であり、機関や組織におけるより厳格な管理とセキュリティ意識の向上が必要であることを示しています。

各省庁や管理機関は新しいセキュリティ技術を効果的に適用しておらず、法的ギャップとDLCN違反のリスクにつながっています。政令第13/2023/ND-CP号は発行されましたが、その実施はまだ限定的であり、多くの個人は自分の権利を十分に認識しておらず、機密情報を公開するという脅迫、詐欺、財産の横領などの権利が侵害されたときに沈黙しています。権利が侵害されたときに積極的に報告または訴訟を起こした個人もいますが、その数はまだ少ないです。多くの人々は個人情報を保護するための権利を十分に認識しておらず、正当な権利を保護するための措置を講じる方法がわからず、侵害（機密画像/情報を公開するという脅迫、詐欺、財産の横領など）に直面しても沈黙を守っていることがよくあります。

情報の侵入・流布行為は、プライバシー権を侵害するだけでなく、個人の名誉を著しく損なうものである。こうした現実を踏まえ、デジタル時代において、管理措置の強化、違反行為への制裁の厳格化、そして個人の権利保護に対する意識向上が求められている⁽¹⁾ 。センシティブな情報の侵入・流布行為は、プライバシー権を侵害するだけでなく、個人の名誉を著しく損なうものである。こうした行為に対しては、より厳正な対処と効果的な予防措置が求められる。

DLCN違反への対応は、法的枠組みが不十分なため、現在多くの困難に直面しています。具体的な規制はあるものの、違反に対する罰則は、それがもたらす結果に比べて依然として軽微です。例えば、違反者には罰金を含む行政罰のみが科せられるケースがあり、抑止力としては不十分であり、違反が継続する原因となっています。

そのため、実際には、DLCN を保護するための法制度の完成と適用のプロセスには依然として多くの欠陥があり、人工知能技術の爆発的な進歩に直面してプライバシーとデータ セキュリティを確保する上で困難と障害が生じています。

まず、ベトナムにおける人工知能（AI）開発に関する法的枠組みが未整備です。

法文書体系について：ベトナムにおける個人情報保護に関する現行の規制体系は、ネットワーク情報セキュリティ法2015、サイバーセキュリティ法2018、国家安全保障法2004、民法2015、刑法2015、行政違反処理法2012、裁判記録法2009、消費者権利保護法2023、信用機関法2024など、多くの異なる法文書に規定されています。しかしながら、これらの法文書における個人情報保護に関する規制は一貫性を欠き、各法文書はそれぞれ異なる視点から問題に取り組んでいます。この一貫性の欠如により、法規定間の重複や矛盾が生じ、実際の適用および執行において多くの困難が生じています。

法規制の網羅性について：関連規制の多くは具体性を欠き、原則的または方向性のある性質のものが多く、管理機関や企業を含む関係者にとって、法律の有効な解釈と適用において多くの課題が生じています。特に、「データプライバシー」の内容は多くの法文書で明確に定義されておらず、紛争発生時の法的責任の判断が困難です。さらに、ネットワークセキュリティに関する基準や、ユーザーデータの収集・保管における組織・企業の責任は依然として曖昧であり、脱法行為や訴追困難な違反行為につながりやすい状況にあります。さらに、規制文書の構成や専門用語は、データ処理を行う組織・企業の義務を明確化していないため、依然として不適切です。

違反に対する制裁について：現行ベトナム法におけるDLCN違反に対する法的責任は、依然として抑止力を十分に発揮するには不十分です。罰則が軽微な場合、違反防止の有効性が低下するだけでなく、実際に重大な違反が発生した場合、ユーザーの権利保護という問題の解決が困難になる可能性があります。

ベトナムでは、DLCN（個人身分情報漏洩）保護のための専門監視機関の設立に関する法令が未だ制定されていません。そのため、DLCN規制の遵守状況を検査、対応、監視するための十分な能力と権限を持つ機関が不足しており、この保護メカニズムに大きな欠陥が生じています。さらに、ベトナムの現行法制度には、DLCN侵害による結果の救済に関する詳細な規定が欠如しています。特に、必要な状況における「忘れられる権利」が法的枠組みに未だ盛り込まれておらず、これらの侵害に対する個人の権利保護において欠陥が生じています。

個人データ保護・監視の専門機関を設立し、データの効率的な調整と管理を行う必要がある。既存の機関の資源を活用し、煩雑な国家機構の拡大を抑制する必要がある。この機関は、個人データ管理に関する法的枠組みの構築において中心的な役割を果たし、情報の保管、処理、共有に関する明確かつ実用的な基準を提供する。同時に、個人情報の侵害や濫用に関する問題の解決に支援が必要な人々が、信頼できる相談窓口となる必要がある。また、この機関は、警察や機能部門と連携して個人データ関連犯罪を摘発する拠点となり、法令違反の摘発・対処能力を強化する。

第二に、人工知能（AI）によって DLCN 違反がますます巧妙化している一方で、人々の認識や警戒心は依然として限られています。

個人情報保護に対する意識はまだ十分に高まっておらず、DLCNの対象者は個人情報を安易に提供する際に、意図せず不注意な行動をしてしまうことがよくあります。現在、ほとんどのアプリケーションやウェブサイトにはプライバシーポリシーに関する明確な警告が表示されています。しかし、多くのユーザーは時間の制約から、これらのポリシーを注意深く読んでいません。その結果、個人は自分のデータがどのように収集、処理、共有されるかを明確に理解することなく、すべての規約を暗黙的に承認してしまいます。

実際、ユーザーは、情報の収集、保管、または使用の仕組みを十分に理解せずに、組織が個人データを自由に処理することに同意することがよくあります。さらに、デバイス上の連絡先、コレクション、またはその他のデータファイルへのアクセスを要求する通知がある場合、多くのユーザーも検討することなくすぐに許可し、意図せずにそのアプリケーションまたはWebサイトのすべてのコンテンツへのアクセスを許可します。これが、個人データの漏洩、流用、または販売の原因となります。生体認証、個人履歴、人間関係、健康状態、財務状況などの重要な情報が公開されることが多く、データ収集ソフトウェアが悪用する条件を作り出しています。さらに、一部の役人、公務員、公務員は、個人記録または関連データの提供と管理を依然として十分に理解しておらず、機関や部署でのアーカイブタスクの指導、ガイダンス、および実行に注意が払われない状況につながっています。

データの保管、保全および処理は、ますます発展する科学技術革命の文脈において多くの限界を明らかにしている。政府機関や組織におけるDLCNの更新と使用は、海外（米国やシンガポールなど）へのデータ保管を含め、さまざまな保管方法で行われている⁽²⁾ 。しかし、レンタルストレージサービスを提供する組織のDLCNの保管および使用に関する責任と管理プロセスに関する具体的な規制はまだない。同時に、これらの活動に対する管轄当局の監督も不足している。この過失により、アーカイブ文書が劣化または破損するリスクが高まっており、適切に保護されていない多くの文書が昆虫や環境要因によって深刻な損傷を受け、回復不能な状態になっている。電子データの場合、定期的な更新やバックアップおよび保全のオプションがないために、必要なときにデータを活用することが困難または不可能になっている。

さらに、多くの機関や部署は、一時的な保管場所や初歩的な保管設備しか備えておらず、記録・アーカイブの保存に関する国家基準を満たしていません。文書・アーカイブ業務は、部署や組織の活動において非常に重要な役割を果たしています⁽³⁾ 。特に、DLCNは暗号化されて電子商取引サイトのデータベースに保存された場合、サイバー攻撃の標的となっています。企業がシステムセキュリティを確保できなかったために重要なデータベースが失われ、デジタル情報の管理と保存における大きな課題となっています。

個人情報保護に関する法規制の普及・徹底は、科学技術の発展に追いついていません。政府機関や団体は、個人情報保護に対する意識と責任感の向上に十分な配慮をしていません。利用者は個人情報保護の重要性を認識しておらず、適切な対策を講じていません。

DLCNはまだ十分に活用されておらず、電子政府の構築、行政改革、国家管理、そして社会経済発展への貢献において、その価値は最大化されていません。政府行政機関におけるDLCNの保管は依然として統一性に欠けており、多くの文書が「未整理」で「山積み」の状態にあり、真の価値を生み出すための十分な活用がされていません。省庁、支局、地方自治体間の共通データベースの接続、共有、活用のニーズは、効果的に満たされていません。さらに、投資プロジェクトは策定され計画に盛り込まれているものの、文化・スポーツ・観光分野における共通データベースシステムの構築資金は、これまで承認されていません。このため、政府機関はDLCNを活用、処理、分析し、包括的な社会経済発展に効果的に貢献できる精緻なデータを生成することができていません。

科学技術革命がますます発展する中で、データの保存、保全、処理には多くの限界が露呈している_写真：nld.com.vn

AI戦略2030とベトナムにおける個人データ保護の革命

2030年を展望したベトナムの人工知能（AI）開発戦略は、目覚ましい革新性を示すだけでなく、AIの未来を推進するという揺るぎない決意を示しています。しかし、AIの爆発的な普及に伴い、現行の法的枠組みが関連する違反に対処するための包括的かつ効果的な手段を講じていないことから、DLCN（一般消費者権利）の保護はより緊急性を増しています。他国の事例や教訓を踏まえ、以下の点に留意する必要があります。

まず、個人データ保護に関する個別の法的文書を作成します。

ベトナムは、他国の法律や世論を参考に、個人情報保護法の草案を作成中です。この法案は、以下を含む多くの重要な点を扱っています。

- 適用範囲：ベトナムの個人、組織、機関、およびベトナムでデータ処理を運営、居住、または参加する外国人のデータの保護。

- 保護対象: 位置データ、直接識別番号 (ID 番号、CCCD、パスポート、電子メールなど)、生体認証データ (指紋、DNA)、財務情報、家族および行動データ、および対象者を識別できるその他の種類のデータが含まれます。

- データ主体の保護と権利の原則：合法性、透明性、合目的性などの原則を定め、アクセス、転送、訂正、削除、「忘れられる」権利を確保します。

- 違反の責任と処理に関する規制: 損害賠償、行政および刑事処理を含む制裁メカニズムとともに、関連するエンティティ (管理者、処理者、データ保護者、専門家) の義務と権限を決定します。

- 法的同期：起草機関は、関係当事者と緊密に調整し、現在の文書を検討し、2024年データ法との関係を明確にして、規制間の重複や重なりを避ける必要があります。

第二に、違反した組織に対する罰則を追加します。

現行法は主に個人に対する罰則を規定していますが、実際には営利を目的とする事業者が特殊な技術システムを通じてDLCNを違法に売買・収集しています。個人のプライバシーを侵害する行為を抑止・防止するためには、違反組織に対する罰則の拡充が必要です。個人のみを罰するだけでは、法人が違反する抜け穴を生じさせてしまう可能性があり、抑止力としては不十分です。抑止効果を高めるためには、DLCN保護権の行政違反に対しては「行政違反によって得た不法利益の返還を強制する」、DLCN保護権の刑事違反に対しては、上記の罰則に加えて、違反組織に対して「事業の強制停止」または「事業の一時停止」といった追加的な措置を講じる必要があります。これにより、ベトナムは、市民の権利を保障するだけでなく、将来の人工知能の持続的な発展に好ましい条件を創出する、包括的かつ調和のとれた個人データ保護法制度の構築を目指しています。

第三に、データの効率的な調整と管理を担う、専門的な個人データ保護・監督機関を設立する。世界では、欧州連合（EU）加盟国の多くで独立したデータ保護機関が設立され、多くの成果を上げている。これらの機関は、国内のデータ処理を監督する役割を担うだけでなく、国際協力の架け橋となり、自国民に関するデータが海外で処理される際に、その管理・統制を支援する。このモデルは透明性を確保するだけでなく、個人データの紛失、濫用、侵害のリスクから国民一人ひとりの権利を保護する効果も高める。ベトナムは、これらの国の経験を参考に、独立したデータ保護機関を設立すべきである。

第四に、個人情報保護違反に対する行政罰および刑事罰のレベルを引き上げる。罰則の枠組みの拡充には、違反行為によって不正に得た利益の返還を求めるなどの措置が含まれる可能性がある。同時に、重大な違反や度重なる違反行為に対しては懲役刑など、より厳しい制裁を適用することで、法執行の実効性を高める。これは、被害を受けた当事者にとって公平性を確保するだけでなく、デジタル時代における法執行とプライバシー保護に関する意識を高めるための抜本的なアプローチでもある。

第五に、違反行為を列挙するのではなく、違反行為を特定する原則を策定する。現行法は主に違反行為を列挙することで違反行為を捉えているが、現実には、DLCNおよびDLCNをめぐる問題は非常に多様かつ無限である。将来のDLCN保護法は、列挙したり特定の仮定を置いたりするのではなく、指導的な基本原則を構築することに重点を置くべきである。これらの原則は、関係者の権利と義務を明確に定義し、違反行為を特定し、より柔軟な法的枠組みと明確な説明責任メカニズムを構築するのに役立つ必要がある。これにより、関係者はDLCN保護における自らの利益を積極的に推進するとともに、社会と技術のダイナミックな発展と整合を図ることができる。

第六に、政府機関のデータ保護における高度な暗号化技術の適用を規制する。ブロックチェーンデータ暗号化技術^（4）を、公共データシステムにおける利用者の個人情報の管理と保護に適用することが推奨される。個人や組織が公共サービスの提供過程で利用するデータは、依然としてサイバー犯罪者による潜在的な攻撃の標的となる可能性がある。ブロックチェーンは現在、高い適用性とセキュリティを備えた新しい技術であり、行政機関の4.0技術変革プロセスに適している。暗号化技術は情報のセキュリティを確保するだけでなく、許可された個人のみが個人や組織の機密データにアクセスできるようにする。急速な技術発展の状況において、個人情報管理における先進技術の適用は不可欠である。オンライン監視システム、人工知能（AI）技術、ビッグデータを活用することで、システムへのアクセス活動を監視し、違法行為をリアルタイムで検知・防止することができる。法と技術を組み合わせることで、管理効率を高め、潜在的なリスクを最小限に抑えることができる。また、この暗号化は、悪意のある目的での個人情報漏洩を抑制するために、生体認証特性に基づく必要がある。

----------------------

（1）参照：「ヴァン・マイ・フオン氏の自宅の防犯カメラから機密性の高い一連の映像が流出？」電子新聞VietNamnet、https://vietnamnet.vn/soc-van-mai-huong-bi-lo-loat-clip-nhay-cam-tu-camera-an-ninh-trong-nha-rieng-i39562.html、2019年
（２）ホアン・ティ・ホアイ・トー、「ベトナム法における第四次産業革命の文脈における個人データの保護」、法学修士論文、ベトナム国家大学法科大学、ハノイ、2023年
（3）参照：ヴー・ティ・トー・ガ「ソンラ省人民検察院における文書・アーカイブ業務の効率化に向けたいくつかの解決策」最高人民検察院電子情報ポータル、https://vksndtc.gov.vn/tin-tuc/cong-tac-kiem-sat/mot-so-giai-phap-nang-caohieu-qua-cong-tac-van-th-d10-t7194.html、2019年11月15日
（4）ブロックチェーンは、情報がブロックに保存され、複雑なアルゴリズムを使用して暗号化され、連続したチェーンに密接にリンクされたブロックチェーンメカニズム上で動作する分散型データベースシステムです。

出典: https://tapchicongsan.org.vn/web/guest/nghien-cu/-/2018/1088002/phap-luat-ve-quyen-duoc-bao-ho-du-lieu-ca-nhan-trong-boi-canh-phat-trien-tri-tue-nhan-tao-%28ai%29-tai-viet-nam-va-mot-so-kien-nghi.aspx