2025年個人情報保護法(2026年1月1日施行)に基づく労働使用者の義務
2026/03/05
- Nguyen Nhu Phuong Anh
はじめに
2025年個人情報保護法(2026年1月1日施行)は、政令第13/2023/ND-CP号(以下「政令13」)の枠組みを基礎としつつ、ベトナムの個人情報保護制度を再構築・高度化するものである。特に、労働者の個人情報を採用から退職まで継続的に取り扱う労働使用者に対し、より実務的かつ明確な義務規定が新たに整備された点が特徴である。
本稿では、本法における労働使用者の新たな義務を整理し、人事労務実務への影響を分析する。
1. 採用・労務管理における個人情報保護の責任
新法では、採用および労務管理に関する個人情報保護の責任が初めて明確に規定され、政令13で定めた労働使用者が個人情報を処理する際に負う義務(内部規程の整備、同意の取得、必要な保護措置の実施など)を概ね踏襲している。
一方で、従来の「個人情報処理前の通知義務」は削除され、労働使用者は採用または労働使用の目的に必要な情報のみを求め、その情報を応募者・労働者との合意された目的の範囲内でのみ使用しなければならないことが明記された。
採用に至らなかった応募者の個人情報については、特段の合意がない限り削除または破棄する義務を負う。労働契約終了後においても、合意または法令に特別の定めがある場合を除き、同様の義務を負う。
実務上、企業は人事管理、監査対応、紛争への備えなどの目的で、応募者または労働者の情報を保存・利用することが多い。今後は、同意取得の段階でデータの保存期間や削除・破棄の時期・条件(採用プロセス終了後または契約終了後を含む)について応募者・労働者と明確に合意しておくことが望ましい。
2. 個人情報の越境移転
従来政令13においては「個人情報の海外移転」として規定されていた越境移転だが、個人情報保護法における定義では、その対象はベトナム国民の個人情報に限定されず、外国人を含むあらゆる個人のデータが対象となる。したがって、ベトナムで勤務する外国人労働者の個人情報も越境移転の規制に該当する。越境移転に該当し得る典型的な場面としては、以下のようなケースが挙げられる。
・労働者の個人情報をベトナムから海外の親会社システムへ移転する場合
・子会社が労働者のデータを親会社またはグループ内企業へ管理目的で共有する場合
・収集した労働者データを日本所在のグループクラウドサーバーに保存する場合
労働使用者が労働者の個人情報を越境移転する場合、本人同意の取得義務に加えて、越境移転に関する影響評価書を作成し、初回の越境移転日から60日以内に主管当局へ提出する義務がある。もっとも、この義務はすべての越境移転に機械的に適用されるものではなく、以下のようなケースでは免除される。
・労働使用者が自社の労働者データをクラウドサービス上に保存する場合
・新法の施行細則の政令案で規定されている、子会社が就業規則や労働協約などに基づき、直接の親会社へ管理目的で共有する場合の越境移転
・国際輸送、ロジスティクス、送金、決済、ホテル予約、査証申請などに関連して、契約締結または手続実施のために個人情報を提供する場合
この免除規定は新法における重要な改善点であり、外国企業や国際的なサプライチェーン・人事体制を持つ企業にとって、日常的・継続的な業務に対するコンプライアンス負担の軽減が見込まれる。
3. 個人情報保護を担当する適格な人員・部門の指定義務
政令13では、労働使用者に対し個人情報保護の担当部門または人員を指定する義務が課されていたものの、担当者の資格要件は明確に定められていなかった。そのため多くの企業は新たに担当部門の設置、担当者の採用、あるいは既存人員に兼務させることで対応してきた。
しかし、新法においては企業が指定する個人情報保護担当者(または担当部門)が一定の能力要件を満たすことが明確に求められている。新法の施行細則に関する政令案によれば、個人情報保護担当者は以下の条件を備える必要がある。
・大学以上の学位
・法務、サイバーセキュリティ、データ処理、リスクマネジメント、コンプライアンスなどの分野で3年以上の実務経験
・個人情報保護に関する研修コースを修了し、修了証明を取得
・個人情報保護の主管機関が実施する専門能力評価への合格
・個人情報保護法および企業内部のデータ処理業務に関する十分な理解
個人情報保護部門を設置する場合、当該部門はこれらの基準を満たす人員で構成されていることが求められる。政令案では、自社で人材を確保できない場合は条件を満たす外部の個人またはサービスを提供する外部組織への委託も認められている。
現在のベトナムの人材市場をふまえると、個人情報保護の専門知識と実務経験を備えた人材が不足しているため、これらの要件は企業にとって大きなハードルとなりうる。規定条件を同時に満たす人材確保は多くの企業、特に中小企業にとって容易ではないため、企業のコンプライアンスコストが増大し、外部委託の利用や長期的な人材育成を検討せざるを得ない状況が生じることが想定される。
4. 一部の事業者に対する義務免除の規定
新法では、中小企業・超小規模企業および情報技術分野のスタートアップ企業について、法施行日から5年間、以下3つの主要義務が免除されるものとされている(中小企業・超小規模企業の判定基準は政令第80/2021/ND-CP号 に準拠)。
免除される義務:
・個人情報処理の影響評価義務
・個人情報処理の影響評価書および個人情報越境移転の影響評価書の更新義務
・個人情報保護を担当する適格な人員・部門の指定義務、または個人情報保護サービスを提供する組織・個人への委託義務
また企業規模が中小規模に該当する場合であっても、以下の三つのリスクの高いケースに該当する場合は免除の適用外と規定されている。
・個人情報処理サービスを提供している場合
・センシティブ個人情報を直接処理している場合
・多数のデータ主体の個人情報を処理している場合
一方で新法では、以下のケースについては免除の適用可否が明確化されておらず、追加のガイダンス発行を待つ必要がある。
・労働使用者が外国商人のベトナムにおける駐在員事務所または支店である場合
駐在員事務所・支店はベトナム法上の独立した法人格を有さないため、政令第80/2021/ND-CP号に定義される「中小企業・超小規模企業」に該当するかどうかについては不明確。
・労働使用者が労働者の健康診断情報(センシティブ情報)を法令に基づき収集・保存している場合
当該行為が「センシティブ個人情報を直接処理する企業」として扱われ、免除の適用対象外となるのか、それとも適用対象となるのかは現状不明確。
免除制度は企業の負担軽減に資する有益な仕組みである一方、その適用範囲に関する不確定要素が残されている。今後公布される施行細則および主管当局のガイダンスをふまえ、自社が免除対象にあたるかどうかを慎重に検討する必要がある。
5. 個人情報保護違反に対する行政ペナルティ
新法では、組織・個人の遵守責任を確保するための行政ペナルティが追加規定されている。主な違反行為および最大ペナルティ額は以下のとおりとなる。
| 行為 | 行政罰の水準 |
| 個人情報の不正売買 | 違反行為による収益の最大10倍 |
| 組織による個人情報の越境移転規定違反 | 組織の前年度売上高の最大5% |
| その他の個人情報保護に関する違反行為 | 最大30億 ドン |
新法が正式に施行され次第、個人情報保護分野における行政違反の行為類型および制裁水準をより明確化するための行政処分に関する政令が早期に公布される見込みである。
おわりに
本法は、政令13における不明点を解消し、データを処理する組織・個人、すなわち労働使用者を含む主体に対してより厳密で複雑な要件を求めている。企業は自社が処理している個人情報の範囲や処理目的をより厳格に管理し、人員確保など適切な体制を整備することが求められる。また、本法の施行日前に政令13の規定に基づき実施済みの個人情報処理活動については、内容変更がない限り引き続き活用することができ、同意の再取得や合意の再締結は不要である。
参考文献:
・2025年個人情報保護法
・政令第13/2023/ND-CP号
・2025年個人情報保護法の施行細則に関する政令案
・政令第80/2021/ND-CP号
