ベトナム国会は2025年6月26日に包括的な個人データ保護法(PDPL)を可決し、2026年1月1日に施行される予定です。この新法は、従来の「Decree 13」を発展させたものとして、データ処理に関する法的安定性を強化する一方で、企業には多くの新たな義務と高額な行政罰を課しています。例えば、個人データの不法取引には違反企業の売上の10倍または最大30億ドン(約11万5千米ドル)、越境データ転送の違反には前年売上の5%または同額、その他の違反にも最高30億ドンの罰金が科される点が特徴的です。
新法には業界ごとの条項も盛り込まれており、雇用、医療、保険、金融・信用、広告、そしてAIやメタバース、クラウドなどの新興技術分野までカバー範囲が広がっています。
中小企業やスタートアップには、2026年から5年間、データ保護影響評価(DPIA)や個人データ保護部門の設置などの義務から猶予されるグレースピリオドが設けられており、個人事業やマイクロ事業にはこれら義務が免除されます。ただし、大量データの処理や機密データを扱う企業には該当せず、例外的な場合もあります。
企業が取るべき対応としては、まず 準備段階として「どのような個人データを扱っているか」を洗い出し、現状の実務とPDPL要件とのギャップを分析することが不可欠です。次に、DPOの選任や社内規定の整備、影響評価書類の準備などに取り掛かる必要があります。 法務対応としては、同法への継続的な注視と外部専門家との連携も重視しましょう。
このように、ベトナムPDPLは、国際的なデータガバナンスの流れに近づく反面、企業には迅速かつ体系的な対応が求められる厳しい局面でもあります。施行までの猶予期間を活かし、抜本的なコンプライアンス体制を構築することで、新法下でのビジネス展開を円滑に進める基盤を築きましょう。
