ベトナム PDPL (Personal Data Protection Law) とは、ベトナムにおける個人データの収集・処理・移転を規制する法体系の総称である。中心となるのは Decree 13/2023/ND-CP (Personal Data Protection Decree、通称 PDPD) であり、法律レベルへの昇格 (PDPL 本法) の動きも進んでいる。

本記事は、ベトナム進出済みまたは進出検討中の日系企業の法務・コンプライアンス・IT 責任者を対象に、同意管理・データ主体権利・越境移転・PIA (プライバシー影響評価) ・違反時の罰則を実務目線で整理する。

ASEAN 各国でデータ保護法が立て続けに整備されるなか、ベトナムは規制の網が広く罰則も比較的厳しい部類に入る。AI 活用や本社へのデータ連携を進めるうえで避けて通れない論点であり、コンプライアンス体制の整備と AI プロジェクトの推進を両立させる視点で読み進めてほしい。

「ベトナム PDPL」と呼ばれる法体系の中身は、Decree 13/2023 を中核に、後続の罰則令や法律化の動きと組み合わせて理解する必要がある。まずは制定背景・適用範囲・ASEAN 他法との位置づけから押さえる。

ベトナムは長らく断片的なプライバシー規定 (民法・サイバーセキュリティ法・電子取引法など) でデータ保護を扱ってきたが、専用の包括規制として Decree 13/2023/ND-CP (PDPD) を制定し、個人データ保護の体系を一新した。施行以降、ベトナム公安省を中心に運用ガイダンスが整備されつつあり、政府は Decree レベルから「法律」への昇格を進めている。

PDPD は、データ主体の権利・データ処理者の義務・越境移転規制・違反時の制裁を一つの体系で扱う構造を持ち、GDPR (EU 一般データ保護規則) の枠組みを参照しながらベトナム独自の届出・登録制度を加えた点が特徴だ。

施行直後は実務側の準備が追いつかず、当局も移行期間としての運用を続けていた。だが、当局による点検や指導の事例が積み上がるにつれて、形式的なコンプライアンス対応では足りない局面が増えてきている。日系企業の現地法人にとっては、本社主導の個人情報保護方針を、ベトナム法の枠組みに合わせて再点検する必要がある段階に入っている。

PDPD の適用範囲は広く、ベトナム国内で個人データを処理する事業者のみならず、ベトナム外からベトナム市場や在住者を対象にデータ処理を行う事業者にも及ぶ。EC・SaaS・モバイルアプリなど、ベトナムのユーザー情報を扱う海外事業者も例外ではない。

対象となる「個人データ」は、基本データ (氏名・連絡先など) と機微データ (健康・生体・財務・宗教観・性的指向など) の 2 区分に整理されている。機微データを扱う場合は、同意要件・保護措置・DPO 設置などの義務が一段重くなる。

日系企業に身近な論点としては、ベトナム法人の従業員データを日本本社と共有するケースが該当する。給与・人事評価・社会保険情報など、本社の人事システムや給与計算 BPO に送るデータは PDPD の規制を受け、越境移転規制と同意要件の両方を検討する必要がある。

進出を検討する段階の企業でも、市場調査で取得したリードリストや代理店経由で集めた顧客情報の取り扱いから、PDPD の範囲に入る可能性がある。

ASEAN 各国は、ここ数年でデータ保護法の整備を進めている。タイの PDPA、シンガポールの PDPA、インドネシアの PDP 法、マレーシアの PDPA、フィリピンの DPA など、いずれも GDPR の影響を受けつつ各国独自の届出・登録制度を備える。

ベトナム PDPD は、これらと比較すると以下の点で特徴的だ。第一に、越境移転に「TIA (Transfer Impact Assessment) 書類の提出義務」を明示している点。第二に、DPO の設置基準が機微データ処理事業者などに対して比較的明確に定められている点。第三に、サイバーセキュリティ法・電子取引法など、隣接法令との重なりが多く、複数法令を横断した実務対応が必要になる点である。

ASEAN 全域でビジネスを展開する日系企業にとっては、各国の規制を共通の枠組み (データインベントリ・同意管理基盤・越境移転手続き) で整理しつつ、国別の差分を加える設計が現実的だ。横断的な比較は『ASEAN データ保護法 4 カ国 徹底比較』(slug: asean-data-protection-law-comparison-guide) で扱っている。

PDPD は多数の義務を事業者に課しているが、実務上押さえるべき柱は同意取得・データ主体の権利・DPO 設置の 3 つに集約できる。それぞれの要件と、日系企業の現場で論点になりやすい運用ポイントを確認していく。

PDPD の同意は「自由・明確・具体的・通知済み・撤回可能」の要件を満たす必要がある。包括的な「サービス利用規約に同意することで個人情報の利用に同意」型の運用は不十分であり、利用目的・保存期間・第三者提供の有無・移転先などを個別に明示したうえで同意を得ることが求められる。

機微データを扱う場合は、書面または電子的に明示的な同意 (explicit consent) を取り、その記録を保持する必要がある。同意の取得時刻・取得方法・撤回履歴を含めて、データ主体ごとに追跡できる仕組みが事実上必須となる。

日系企業で典型的に詰まるのが、紙ベースの同意書を電子化していない現場である。社内システムへの登録時に同意フローを組み込み、同意管理基盤 (CMP) や IT サービス管理 (ITSM) ツールで台帳化することで、当局照会への即応性を確保できる。

なお、雇用契約の履行や法律上の義務など、同意以外の適法根拠が認められる場面もある。すべてを「同意」で処理しようとせず、適法根拠ごとに整理して運用フローを設計するのが、後工程の差し戻しを防ぐコツである。

PDPD はデータ主体に対し、複数の権利を保障している。代表的なものは、自分のデータが処理されているかを知る権利、データの訂正・削除を求める権利、処理の制限を求める権利、移植 (ポータビリティ) を求める権利、自動意思決定への異議申立権などである。

日系企業の現場で頻度が高いのは、退職した従業員からの削除要請、顧客からの不要連絡停止 (オプトアウト) 要請、人事データの訂正依頼などだ。これらの要請は、法令上の対応期限内に処理し、結果を記録する必要がある。

実務上の鍵は、要請受付ルートの一本化と、応答 SLA の社内合意である。営業担当・カスタマーサポート・人事のそれぞれが個別に対応すると、対応漏れや期限超過が発生しやすい。問い合わせフォームやヘルプデスク経由で受け付け、DPO もしくは法務部門が一次トリアージする運用が現実的だ。

削除要請については、バックアップや外部委託先のシステムからも消去する必要があるかが論点になる。データインベントリ (どこに何のデータがあるかの地図) を整備しておけば、要請ごとの調査時間を大幅に短縮できる。

PDPD は、一定の条件下にある事業者に対して DPO (Data Protection Officer) または同等の責任部門の設置を求めている。機微データを大量に処理する事業者、データを業務として処理する事業者などが代表的な対象である。

日系企業の現地法人では、本社のグローバル CISO・CPO の指揮下に置く形でベトナム法人の DPO を任命するパターンが多い。専任とする必要は必ずしもないが、当局からの照会窓口になる以上、ベトナム法と業務知識の両方を理解できる人材を選任する必要がある。

実務上は、法務担当者と IT 担当者を兼務させる構成や、外部の専門事務所・コンサルティング会社に DPO 機能を委託する選択肢もある。委託する場合でも、社内に主任担当者を 1 名置き、外部 DPO と日常的に連携できる体制を確保しておくことが重要だ。

DPO の主な責務は、データ処理活動の記録 (ROPA) の維持、PIA の実施、当局照会への対応、社内研修である。これらは「文書を整える」作業に見えるが、実際は事業部門との合意形成と運用定着が本質であり、現場に入って動ける人材が機能する。

越境データ移転 (国外送出) は、日系企業の最大の論点である。本社との連携・グループ会社間共有・クラウドサービス利用と、ほぼすべての業務で関係する。PDPD は移転の事前通知や影響評価書類 (TIA) の提出を求めるなど、形式要件を明確に定めている。

越境移転を行う事業者は、影響評価書類 (TIA: Transfer Impact Assessment) を作成し、当局に通知する義務を負う。TIA には、移転の目的・移転先の所在国・移転データの種類・データ主体への影響・安全管理措置などを記載する。

通知のタイミングは「移転開始後の所定期間内」とされ、後追いの提出となる点が GDPR の事前承認モデルと異なる。だが、実務上は移転開始前に内部レビューを終え、書類のドラフトを完成させておくのが安全だ。事後通知だからといって書類整備を後回しにすると、当局照会時の説明資料が揃わず、対応リードタイムが伸びる。

書類提出後も、移転先の状況や処理内容が変わった場合の更新義務がある。組織変更・グループ会社の再編・新規 SaaS の導入などをトリガーに、TIA の見直しサイクルを設計しておく。

日系企業では、本社の情報システム部門が ASEAN 全域のクラウド構成を集中管理しているケースも多い。その場合、ベトナム法人だけが TIA 書類を整備すれば足りるわけではなく、本社のグローバルポリシーと整合させる調整が必要になる。

越境移転の適法根拠としては、同意ベースの取得と、契約・法律上の義務など同意以外の根拠を組み合わせる設計が一般的である。GDPR で広く使われる「標準契約条項 (SCC: Standard Contractual Clauses)」に相当する仕組みを社内ポリシーに組み込み、グループ会社間のデータ共有を契約レベルで担保する運用が、日系企業では主流だ。

同意ベースに偏ると、データ主体が同意を撤回した場合に業務が止まるリスクがある。たとえば従業員の人事データを「同意のみ」で本社共有していると、退職交渉や紛争時に「同意撤回」を主張されて運用が破綻する。雇用契約の履行を適法根拠とした内部契約モデルへの切替が望ましい。

SCC 相当の契約を整備する際は、本社・地域統括会社・現地法人を結ぶデータ共有契約 (Intra-Group Data Transfer Agreement) に、安全管理措置・データ主体への通知方針・違反時の責任分担を明示する。法務部門と情報システム部門の共同作業になることが多いため、早めに役割分担を決めるのが効率的だ。

日系企業で特に整理が必要なのは、本社との人事・顧客データ共有である。給与計算・社会保険・人事評価・コンプライアンス研修などで、ベトナム法人の従業員データを日本へ移転するケースが日常的に発生する。

人事データは、雇用契約の履行を主な適法根拠としつつ、評価情報や懲戒記録など同意が問題になりやすい項目は個別に検討する。退職者データの保管年限・廃棄手順をルール化しておくと、削除要請への対応や監査時の説明が円滑になる。

顧客データの本社共有は、マーケティングオートメーション (MA) や CRM の本社集約と相性が悪い領域だ。グローバル MA ツールでベトナム顧客リストを本社サーバーから配信する構成は、移転手続きと同意設計の両面で論点になる。リージョン別データストアを用意するか、本社集約を諦めて現地保管にするかの設計判断が必要になる。

ASEAN 全域での越境データガバナンスを設計する場合は、『ASEAN 越境 AI プロジェクト — 多言語 RAG とローカリゼーション』(slug: asean-cross-border-ai-multilingual-rag-localization-guide) で AI 連携時の論点も併せて整理している。

PIA (Privacy Impact Assessment) は、データ処理が個人の権利・自由に与える影響を事前評価する文書である。PDPD は機微データの処理や越境移転、自動意思決定などに対して PIA の作成を求めている。AI 活用案件では実質的に必須となる。

PIA の作成義務は、高リスクと見なされる処理活動に対して発生する。代表的な対象は、機微データ (健康・生体・財務・宗教・性的指向など) の処理、越境移転、自動意思決定・プロファイリング、子どもや脆弱な集団のデータ処理である。

日系企業の現場で頻度が高いのは、人事評価で AI を使うケース、マーケティングで顧客行動データから推論をかけるケース、製造工程で従業員のバイタルデータを取り扱うケースなど。AI プロジェクトを企画する段階で PIA の要否を判定し、企画フェーズの一部に組み込むのが効率的だ。

PIA が必要でないと判断したケースでも、その判断理由を文書化しておくことが推奨される。当局照会時に「なぜ PIA を実施しなかったか」を即答できる状態にしておくと、リスク管理の整合性が保たれる。

判定の運用としては、新規プロジェクトの稟議書フォーマットに「個人データ取扱有無」「PIA 必要性」のチェック欄を組み込み、起案段階で法務・DPO がレビューする運用が実装しやすい。

PIA 書類に最低限含めるべき項目は、処理の目的・データの種類と範囲・データ主体への影響・安全管理措置・残存リスクの評価である。GDPR の DPIA テンプレートを参考にしつつ、ベトナム法の用語と当局要請に合わせて整える。

書類は、社内の法務・DPO レビューを経て、当局指定の様式・チャネルで提出する。越境移転を伴う場合は TIA (Transfer Impact Assessment) と一体で提出することが多く、両書類の整合性を取ることが重要だ。

実務上の落とし穴は、書類を「一度作って終わり」にしてしまうことである。PIA は処理内容や移転先が変わるたびに更新する必要があり、組織変更・新規 SaaS 導入・AI モデル変更などをトリガーに見直すサイクルを設計する。

PIA の質を担保するには、形式記載だけでなく、リスク低減策の具体性が問われる。「アクセス制御を強化する」だけでなく、誰が・どのタイミングで・どの権限を見直すかまで踏み込んで書くと、当局審査時の説得力が高まる。

AI を活用する場面では、PIA に追加の検討項目が加わる。第一に、学習データの取得源と適法性。第二に、推論結果が個人に与える影響と異議申立の手段。第三に、モデル更新サイクルとデータ保存期間の整合である。

学習データに個人データを使う場合、同意の範囲・適法根拠の明示・データ主体への通知方針を PIA に記載する。LLM のファインチューニングや RAG で本社からデータを引いてくる構成は、越境移転と二重で論点になる点に注意が必要だ。

推論結果に基づく自動意思決定 (人事スクリーニング、信用判断、解約予測など) は、データ主体に対して影響を説明し、人間によるレビュー機会を確保する設計が求められる。AI ガバナンスの観点で『AI ネイティブ組織と Chief AI Officer』(slug: ai-native-organization-cao-design-guide) や『ASEAN AI ガバナンス体制構築』(slug: asean-ai-governance-framework-guide) で組織設計と意思決定フローを整理しているので、PIA を組み立てる際に参照してほしい。

AI 活用と PDPD は隣接領域でもある。PIA を「AI 倫理レビュー」と統合した運用にすると、社内の重複作業を減らせる。

PDPD 違反には行政罰の枠組みが用意されており、漏えい発生時には通知義務も課される。罰則の枠組みと、危機対応の実務を押さえておく。

PDPD 違反に対しては、行政罰 (罰金) と、状況によっては刑事責任の追及までを含む段階的な制裁が想定されている。違反内容の重大性・対象データ主体の規模・再発の有無などが量定の要素となる。具体的な罰金額の枠組みは、サイバーセキュリティ法や個人データ保護違反に関する罰則令と連動して整備が進められている。

日系企業にとってのリスクは、金銭的な罰金額そのものよりも、当局指導が入った場合のレピュテーション影響と業務停止リスクである。違反が公になると本社の IR・グローバル監査にまで波及し、ベトナム法人単体の問題で済まないケースが多い。

罰則の最新情報を追いかけるのは現地法務事務所の役割としても、社内では「違反が発覚した場合の影響シナリオ」を整理しておくとよい。罰金・業務停止・契約解除・顧客流出といった具体的な損失イメージを社内幹部と共有しておくと、コンプライアンス予算の確保がスムーズになる。

罰則の存在を社員教育に反映させるのも有効だ。「規則だから守る」より「違反するとビジネスに何が起きるか」を伝えるほうが、現場の遵守意識が定着する。

個人データの漏えいが発生した場合、PDPD は所定の期間内に当局およびデータ主体への通知を義務づけている。通知の遅れや漏れは、それ自体が独立した違反として扱われる。

通知に含めるべき項目は、漏えいの概要 (発生日時・発見日時・対象データの種類と件数)、原因と影響範囲、講じた対応と今後の対策、被害を最小化するための助言である。形式と内容の両面で当局要請を満たす必要があるため、平時に通知テンプレートと意思決定フローを準備しておくことが重要だ。

実務上の鍵は、情報システム部門・法務・広報・経営層を巻き込む有事対応プレイブックの存在である。漏えい検知から通知までを 72 時間以内に動かせる体制を整え、年 1〜2 回のテーブルトップ演習で機能を確認するのが望ましい。

ベトナム法人単独で動くと、本社報告・グローバル PR・顧客説明が後手に回りがちだ。本社の CISO・法務・広報と平時から連絡体制を組んでおき、有事には即時にエスカレーションできる導線を確保しておく。

漏えい対応は、テクニカル対応と並行して、データ主体に対する誠実な情報提供と被害最小化の支援を行うことで、長期的な信頼回復につながる。

ベトナム PDPL 対応の実務を進めるにあたり、社内検討で確認すべき項目を整理した。各項目に「Yes」と答えられない領域があれば、そこから優先的に整備を進める。

第一に、データインベントリが整備されているか。自社が「どこに」「どの種類の」「誰の」個人データを保有しているかを可視化したインベントリ (ROPA) が、ベトナム法人単位で存在することが出発点となる。

第二に、同意取得フローが PDPD 要件を満たしているか。利用目的別の同意・撤回ルート・記録保持の 3 点を、人事システム・CRM・マーケティングツールそれぞれで点検する。

第三に、越境移転の TIA 書類が整備されているか。本社・グループ会社・SaaS への移転を網羅し、変更管理サイクルが回っているかを確認する。

第四に、DPO の任命と運用体制が機能しているか。任命だけで実務が回らない状態を避けるため、要請受付ルート・応答 SLA・社内研修サイクルを設計する。

第五に、有事対応プレイブックが用意されているか。漏えい発生時の検知・通知・報告・改善のフローを文書化し、テーブルトップ演習で機能を確認する。

第六に、本社との連携体制が確立されているか。グローバルポリシーとベトナム法の整合、本社 CISO・法務・広報との連絡体制、有事のエスカレーション導線。

これら 6 項目に Yes が並べば、当局照会時の説明資料は概ね揃う状態と言える。

ベトナム PDPL について、当社のクライアントから寄せられる代表的な質問への簡潔な回答をまとめた。

Q1: ベトナム PDPL と PDPD の違いは？ PDPD は Decree 13/2023 を指す法令レベルの規制で、現在運用中の中核ルールである。PDPL は、Decree を法律レベルに昇格させる動きで進行中の上位法に相当する。実務上は PDPD と後続の罰則令・運用ガイダンスをまとめて「PDPL 体系」と呼ぶことが多い。

Q2: 進出前から準備するべきか？ 市場調査でリードリストを取得した時点から PDPD の規制を受ける可能性がある。法人設立後にコンプライアンス整備を始めると、既存のデータ取扱が不適切な状態で運用される期間が生じるため、進出企画と並行して準備を始めるのが望ましい。

Q3: 本社の人事システムにベトナム法人の社員データを集約するのは違法か？ 違法ではないが、PDPD の越境移転規制の対象になる。雇用契約の履行を主な適法根拠としつつ、TIA 書類を整備し、社員への通知方針を文書化することで合法的に運用できる。

Q4: AI チャットボットで顧客対応を自動化したい。何に注意すべきか？ 個人データを推論に使うため、同意取得・PIA・データ保存期間の 3 点を企画段階で設計に組み込む。本社の生成 AI 基盤に推論を任せる構成は越境移転と二重で論点になるため、推論をベトナム国内で完結させる選択肢も検討する価値がある。

Q5: 違反が発覚した場合、どこまで影響が及ぶか？ 行政罰のほか、業務停止指導・契約相手からの解除・顧客流出・本社 IR への波及など、金銭的な罰金額以上の影響が連鎖する可能性がある。被害想定シナリオを準備し、コンプライアンス予算の確保根拠として使うとよい。

ベトナム PDPL (Decree 13/2023 を中心とした個人データ保護法体系) は、ベトナム進出済み・進出検討中の日系企業にとって避けて通れない論点である。同意取得・データ主体権利・DPO 設置・越境移転・PIA・違反時対応の 6 つの柱を押さえれば、当局照会時の説明資料は概ね揃う。

ASEAN 全域でデータ保護法の整備が進むなか、ベトナム単独で対応するより、ASEAN 横断のデータガバナンス体制に組み込む発想が長期的な負担を下げる。データインベントリ・同意管理基盤・越境移転手続き・有事対応プレイブックを共通の枠組みで整え、国別の差分を加える設計が現実的だ。

AI 活用の文脈では、PIA を「AI 倫理レビュー」と統合し、企画段階からデータ保護要件を組み込むことで、後戻りのない開発フローを構築できる。本社の AI ガバナンス体制と現地法の整合を取りながら、攻めの AI 投資と守りのコンプライアンスを両立させる視点が、これからの ASEAN 進出企業に求められる。

PDPD の運用は今後も整備が進む領域であるため、現地法務事務所との連携を維持しつつ、社内体制も継続的にアップデートしていく姿勢が、長期的な事業継続性を支える。