個人情報保護は法律で強化される

2025-06-26

サイバーセキュリティの専門家は最近のサミットで、ベトナムの企業はデータ保護を顧客関係の不可欠な部分として捉える必要があると語りました。

デジタル変革が加速する中、競争力を強化したい企業にとって顧客データは急速に戦略的な資産になりつつありますが、個人データの悪用や違法取引に対する懸念が高まり、消費者の信頼を損なう恐れがあります。

「洞察から共感へ」をテーマに開催されたカスタマーデータサミット2025では、テクノロジーとサイバーセキュリティの専門家が、企業に対し、顧客との永続的な関係構築の基盤としてデータ保護を最優先するよう強く訴えました。また、特にベトナムがデータ法の施行と国家データセンターの稼働開始を控えていることから、国内外のデータガバナンス基準への準拠の重要性も強調しました。

CIOベトナム共同会長のフイン・レ・タン・タイ氏は、データはデジタル経済の「金鉱」であると述べています。しかしながら、データ利用が拡大し、高度化する中で、特に厳格な安全対策が緊急に必要であると強調しました。さらに、今後導入される国家データプラットフォームと新たな法的枠組みは、プライバシー保護とベトナムの新興データ経済の規制において重要な転換点となると付け加えました。

透明性と信頼

サミットの傍らで講演した、企業のデータコンプライアンス実施をサポートする企業、Data Protectifyの創設者兼CEOであるハ・ホアン氏は、データの収集と処理の透明性は単なる法的形式ではなく、市場と消費者の両方に対する重要な責任であると強調しました。

コンプライアンスの取り組みは2つの異なる段階から成り立つと彼は続けた。データ収集段階では、企業はユーザーに対し、データがどのように利用されるのか、どのような目的で使用されるのか、そして第三者と共有される可能性があるのか​​について明確に説明する必要があります。2023年7月1日に施行された個人データ保護に関する政令第13/2023/ND-CP号に従い、透明性のある方法で同意を得る必要があります。

データ処理段階、特にAIなどの技術を使用する場合、企業はユーザーに通知し、オプトアウトの権利を提供する義務があります。明示的な同意なしにデータを処理することは、法的違反とみなされる可能性があります。

ホアン氏は、この法令が施行される前は、企業にとってデータ保護は優先順位が低いとみなされることが多かったと認めました。しかし、2023年7月以降、状況は大きく変化し、多くの企業がより明確で公開性の高いデータプライバシーポリシーを採用するようになりました。

法令第13号は、個人が自分の個人データに関する所有権11の主要な権利を概説しております、知る権利、同意する権利アクセス、同意する権利、同意を修正する権利、権利を申請する権利、同意を削除する権利、同意を撤回する権利、苦情を申請する権利、および賠償金を請求する権利が含まれます。 、これらの権利に関する国民の意識を高めることが、データ保護文化の構築に取り組むべきであると述べました。 彼は、よくあるシナリオを例に挙げた。 消費者が不明確なデータソースから不動産に関するテレマーケティングの電話を受けた場合、その事実を報告する権利、または苦情を申し立てる権利があります。

AIが市場のダイナミクスを急激に変革する時代において、デジタルトラストは顧客ロイヤルティの要な基盤として検討しています。ホアン氏、この信頼は2つの原則として、まずは製品開発の初期段階から法令順守を組み込むこと、そして規制の変更に常に対応すること、に基づいて構築されなければいけないと指摘しました。

ベトナムは現在、政令第13号に策定、含まれる個人情報保護法制定に向けて準備を進めています。

より厳しい法律への準備

ベトナムでは含まれた個人情報保護法が近い将来に制定される予定となっており、企業は技術システムだけでなく、データに配慮した社内文化を育むことで、データガバナンの強固な基盤を確立することが求められています。

ホアン氏によると、組織内でのトレーニングと意識向上は、リスクを考慮の上重要な要素です。 トレーニングプログラムは通常、リーダーシップ、機能部門、一般スタッフの3つの決断に分かれています。 企業は、データの適切なセグメンテーション、安全な取り扱い、そして合法的な利用を確保するために、各部門のニーズに基づいてデータガバナンスのフレームワークをカスタマイズすることが推奨されます。

政令第13号で注目すべき要件の一つは、企業が個人データ保護を担当する専任の配置または担当者を任命しなければならないことです。 この役割は初期段階では他の責務と考えて判断する場合もありますが、ホアン氏は、法的に健全で業界標準に沿った運用ロードマップを構築するために、経験豊富な全国のデータコンプライアンス専門家に相談することを推奨しました。

とりあえず、データ保護法制定や国立データセンターの開設を控え、データ保護はより危険に実行されることが予想されます。

国会に提案されたによると、個人データ漏洩に対する行政罰は、予告した組織に対して、前年度の売上高の1～5％となる範囲の可能性があります。

銀行・金融分野では、オリエント商業銀行（OCB）の最高技術責任者であるルオン・トゥアン・タン氏は、ベトナム国家銀行が2022年10月28日に発行した通達第13/2022/TT-NHNN号に、データガバナンスに関する明確な義務付けを含む、商業銀行と外国銀行支店に対する内部統制システムの要件が定められていると指摘しました。

今日では、顧客関連情報、特に個人データは厳重に分類され、顧客と規制当局の両方から有効な同意を得た場合にのみアクセスが許可されます。現在、ほとんどの銀行は、個人識別番号などの重要な詳細情報を確認するために、全国人口データベース（VNeID）および国立データセンターと連携しています。

「金融取引記録のような機密データは、規制当局による検証が必要です」とタン氏は強調しました。「個人アカウント識別子の使用は既に厳しく規制されており、今後制定される個人データ保護と国家データガバナンスに関する法律は、この枠組みをさらに強化するでしょう。」

また、タン氏は、国家データセンターが本格稼働すれば、銀行はデータ共有プロトコルを調整し、第三者に開示できるデータと厳重に機密保持すべきデータを明確に区別する必要があると指摘しました。「国家データセンターは、政府機関間および官民間のデータ共有における既存の障壁を排除し、ワンストップの情報ポータルとして機能する可能性のある戦略的な取り組みです」とタン氏は述べました。

今後、データ交換プラットフォームは個人データだけでなく、法人顧客の納税記録、資産保有、信用取引なども対象とするようになるでしょう。これは銀行業界にとって大きな機会となりますが、共有データエコシステムのメリットを最大限に引き出すには、銀行と企業がどのデータの利用を許可し、どのデータの利用を制限する必要があるかを判断できる能力が必要です。したがって、政府は、急速に進化する今日のデジタルトランスフォーメーション環境において、データの共有と利用権を定義する明確な規制枠組みを早急に構築することが求められます。