ベトナム、個人データ漏洩で売上高の最大5%罰金へ―公安省が厳罰化の政令案を公開

ベトナム公安省が、サイバーセキュリティおよび個人データ保護に関する行政処罰を定めた政令の草案を公開した。再犯や大規模な情報漏洩を起こした組織に対し、前年度のベトナム国内売上高の最大5%を罰金として科すという、極めて強力な制裁措置が盛り込まれている。EU（欧州連合）のGDPR（一般データ保護規則）を想起させる厳格な枠組みであり、ベトナムで事業を展開する内外の企業に大きな影響を及ぼす可能性がある。

政令草案の全体像―広告・データ処理分野に重点

今回の草案は、公安省が意見公募（パブリックコメント）に付しているもので、サイバーセキュリティ分野と個人データ保護分野における違反行為に対する行政罰の詳細を規定している。特に広告ビジネスやデータ処理活動に対して多段階の厳しい罰則が設けられている点が注目される。

草案によると、広告サービスを営む組織・個人が、許可された範囲を超えて個人データを利用した場合、ユーザーがデータ共有を拒否できる仕組みを整備していない場合、データの保存期間を定めていない場合、あるいは不要になったデータを削除していない場合には、5,000万〜7,000万ドンの罰金が科される。そして再犯となれば、前年度のベトナム国内総売上高の最大5%にまで罰金額が跳ね上がる仕組みである。

漏洩規模に応じた段階的な罰金加重

草案の最も注目すべきポイントは、情報漏洩の被害規模に応じて罰金が段階的に引き上げられる仕組みである。具体的には以下の通りだ。

• 10万人以上〜100万人未満の個人データが漏洩した場合：罰金は基本額の2倍
• 100万人以上〜500万人未満の場合：罰金は基本額の5倍
• 500万人以上の場合：前年度のベトナム国内総売上高の最大5%

ベトナムの人口は約1億人であり、500万人規模の情報漏洩といえば国民の約5%に相当する。大手通信キャリアや銀行、ECプラットフォーム、配車アプリなど数百万〜数千万のユーザーを抱える企業にとっては、セキュリティ体制の不備が文字通り経営を揺るがす罰金につながり得る。

違法なデータ収集・売買・AI利用にも同水準の罰則

草案は、個人データの不正収集・譲渡・売買についても同様に5,000万〜7,000万ドンの基本罰金を設定している。対象となる違反行為には、データの不正譲渡、刑事責任追及に至らない範囲でのデータ売買、不正なデータ収集のための技術システムの構築などが含まれる。

特に注目すべきは、個人データをAI（人工知能）システムの開発・学習・運用に違法に利用する行為に対する処罰規定が新たに盛り込まれた点である。世界的にAI規制が加速するなか、ベトナムもこの潮流に乗った形だ。これらの違反も2回目以降は前年度売上高の最大5%の罰金が適用される。

海外へのデータ移転にはさらに高額の罰金

個人データの国外移転に関する規定違反については、基本罰金がさらに高く設定され、7,000万〜1億ドンとなっている。影響評価報告書の未作成、所管機関への報告書未提出、通知・検査義務の未履行などが違反対象である。

海外移転に関しても漏洩規模に応じた加重措置が適用される。10万〜100万人未満で2倍、100万〜500万人未満で5倍、500万人以上では前年度のベトナム国内総売上高の3〜5%が罰金として科される。さらに、外国人の違反者に対しては国外退去処分も追加制裁として規定されている。

罰金以外の制裁措置と是正命令

草案では罰金に加え、以下のような付加的な処罰・是正措置が幅広く規定されている。

• 営業許可の1〜3カ月間の停止
• 個人データ処理活動の停止命令
• 違反に使用された物品・設備の没収
• 復元不能な形でのデータ削除の強制
• 不正に得た利益の返還
• メディア上での公開謝罪

営業許可停止はデジタルサービス企業にとって事業継続そのものに関わる重大な措置であり、罰金以上に抑止効果が高い可能性がある。

データ保護体制の不備にも直接罰則

草案第69条では、データ保護の体制面に関する違反にも5,000万〜7,000万ドンの罰金が定められている。具体的には、規定通りの個人データ保護措置を講じていない場合、社内のデータ保護規定を策定・公布していない場合、データ処理前にシステム・機器のサイバーセキュリティ検査を実施していない場合、個人データの安全な消去・廃棄を確保していない場合などが対象となる。

さらに、センシティブな個人データ（健康情報、政治信条、宗教、人種・民族情報などが想定される）を扱う組織については、罰金が7,000万〜9,000万ドンに引き上げられる。専門部署の設置やデータ保護担当者の配置、所管機関への情報通知を怠った場合が対象だ。

加えて、個人データ処理の影響評価報告書を作成・保管していない場合や、政令356/2025/NĐ-CP（個人データ保護に関する政令）の様式に従って公安省サイバーセキュリティ・ハイテク犯罪対策局に60日以内に正本を送付しなかった場合、公安省からの修正・補完要求に従わなかった場合にも、同水準の罰金が適用される。

投資家・ビジネス視点の考察

今回の政令草案は、ベトナムにおけるデータ保護規制が本格的な「執行段階」に移行しつつあることを示す重要なシグナルである。以下の観点から、投資家・企業関係者は注視すべきである。

1. IT・テクノロジー企業への直接的影響
ベトナム上場企業では、FPT（FPT Corporation、ベトナム最大手のIT企業）やViettel傘下の企業、大手銀行（VCB、TCB、MBBなど）のほか、ECプラットフォームを展開する企業群が大量の個人データを処理している。これらの企業にとって、コンプライアンスコストの増大は避けられない。一方で、サイバーセキュリティ関連サービスの需要拡大という恩恵を受ける企業も出てくるだろう。

2. 日系企業・ベトナム進出企業への影響
ベトナムに製造拠点や販売拠点を持つ日系企業も、従業員や顧客の個人データを扱う以上、この規制の対象となる。特にデータの国外移転に関する規定は、日本本社へのデータ送信フローの見直しを迫る可能性がある。進出済み企業は早急に影響評価報告書の作成体制やデータ保護体制を点検する必要がある。

3. FTSE新興市場指数への格上げとの関連
ベトナムは2026年9月のFTSE新興市場指数への格上げが見込まれている。今回のデータ保護規制の強化は、規制・法制度の透明性と近代化を進めるベトナム政府の一連の取り組みの一環と位置づけられる。国際的な規制基準への接近は、海外機関投資家からの信頼性を高める要素となり得る。

4. ベトナム経済全体のトレンド
ベトナムはデジタルトランスフォーメーション（DX）を国家戦略の柱に据えており、個人データの保護強化はデジタル経済の健全な成長を下支えする制度基盤として機能する。EUのGDPRが「売上高の最大4%」を上限としているのに対し、今回の草案は最大5%という水準を提示しており、少なくとも制度設計の志向としては国際標準並みかそれ以上の厳しさを打ち出した格好だ。もっとも、実際の運用・執行がどこまで実効性を持つかは今後の注視が必要である。

なお、本草案はあくまで意見公募段階にあり、最終的な政令として公布されるまでに内容が修正される可能性もある。しかし、公安省が示した方向性は明確であり、ベトナムで個人データを扱うすべての企業は、今から準備を進めるべきだろう。

いかがでしたでしょうか。今回のニュースについて、皆さんのご意見もぜひお聞かせください。コメント欄や@viettechtaroのDMでお待ちしています。

この記事が参考になったら、ぜひXでシェアしていただけると嬉しいです。より多くの方にベトナム投資の魅力を伝えたいと思っています。

出典: 元記事