📊 3行サマリー

  • ベトナム国会が2025年12月10日に新サイバーセキュリティ法(No. 116/2025/QH15)を可決し、2026年7月1日に施行する
  • AIによる画像・動画・音声の改ざん(ディープフェイク)を明確に違法化、データのベトナム国内保存と海外企業の支店設置を義務化
  • 情報システムは5段階に分類、国家機関のIT投資予算の最低15%をサイバーセキュリティに強制配分。NEC・NTT・トヨタなど日系のベトナム拠点運用に直撃する

📝 ベトナム新サイバーセキュリティ法、12月10日可決・7月1日完全施行へ

ベトナム国民議会は2025年12月10日、新サイバーセキュリティ法(Law No. 116/2025/QH15)を可決した。施行日は2026年7月1日。2018年に施行された旧サイバーセキュリティ法(No. 24/2018/QH14)と2015年のネットワーク情報セキュリティ法(No. 86/2015/QH13)はこの日をもって失効し、新法に統合される。法律はベトナム国民・在ベトナム外国人・在ベトナム外国法人だけでなく、ベトナム国内のサイバーセキュリティ関連事業に「直接参加または接続する」海外法人にも適用されるため、域外適用の射程が極めて広い。

📰 Allen & Gledhill解説:法律No.116はディープフェイクと国外データ転送を規制

元ネタVietnam’s new Cybersecurity Law to come into effect 1 July 2026(Allen & Gledhill / 2026年1月22日)

On 10 December 2025, Vietnam’s National Assembly passed the Cybersecurity Law (No. 116/2025/QH15) which will come into effect on 1 July 2026.

シンガポール拠点の大手法律事務所Allen & Gledhillの解説によれば、新法の最大の論点は2つある。1つ目は「人工知能または新技術を用いて、画像・動画・音声を法に違反する形で改ざんする行為の禁止」を条文に明記したこと。これはディープフェイクや音声合成によるなりすましを直接の処罰対象にした、東南アジアでも先行した条文表現である。2つ目は、ベトナム国内でユーザーデータを収集・分析・処理する電気通信・インターネット・付加価値サービスの提供事業者に対し、データの国内保存と、海外法人については「支店または駐在員事務所の設立」を義務付けたこと。後者は事実上のデータローカライゼーション要件で、外資の運用コストに直撃する。

🔥 5段階の情報システム分類とMPS主管、IT予算15%をサイバー対策に充てる規制構造

新法は情報システムを「国家安全・公共秩序・社会の安全・組織と個人の正当な権利と利益への潜在的な被害の度合い」に応じて5段階のセキュリティレベルに分類する。さらに国防・公安・外交・暗号・財務・銀行・エネルギー・通信・交通・医療といった分野の「重要情報システム」は、運用開始前のセキュリティ評価・認証・監視を義務化される。所管はベトナム公安省(MPS)が主軸で、軍事・暗号システムについては国防省と政府暗号委員会が役割を分担する。

注目すべきは、国家機関や国家予算で運営される事業体に対し「デジタルトランスフォーメーションおよびITに対する投資予算の少なくとも15%をサイバーセキュリティ保護に充てる」ことを法定義務として課したこと。これは具体的な数値を法律本体で固定する珍しい設計で、サイバー対策の予算化を恒久的に担保する。違法コンテンツについては、サービス事業者は所管当局からの要請から原則24時間以内、緊急時は6時間以内の削除義務を負う。

🇯🇵 日系企業はベトナム支店設置とデータ国内保存が必須——NEC・NTT・トヨタも対象

日本企業への波及は2方向ある。第1に、ベトナムで電気通信・インターネット・付加価値サービスを提供し、ベトナム人ユーザーのデータを処理する日系企業(NEC、NTTデータ、富士通、ソフトバンク、楽天モバイル、LINEヤフー等)はベトナム国内に支店または駐在員事務所を設立する必要がある。クラウド経由でアジア統合運用していた日系SaaS事業者にとって、これは法人格新設というハードルになる。第2に、製造業の日系拠点(トヨタベトナム、ホンダベトナム、キヤノンベトナム等)は社内ITシステムが「重要情報システム」に該当する場合、5段階分類・MPSの監査・国内データ保存の対象となる。とくに自動車・エネルギー・銀行・通信は明示的に重要分野に列挙されており、影響は避けられない。

さらに、AIディープフェイク違法化の条文は、生成AIサービスを提供する日本企業(ソフトバンクやNTT系の生成AI事業)にとって、ベトナム国内ユーザーが日本のサービスでなりすまし動画を作成した場合の責任分界が問われる可能性がある。利用規約と地域ブロック設計の見直しが必要になる。

🏁 ベトナム版「データ主権」アプローチが日本企業に突き付ける選択

新法は単なるサイバーセキュリティ強化ではなく、データのベトナム国内保存・外資の物理拠点設置・予算の最低配分という「ベトナム国内に主権を引き寄せる」設計が貫かれている。EUのGDPRや中国のサイバーセキュリティ法と同系統の発想だが、施行までの猶予が2年弱と短く、外資の準備期間が限られているのが特徴である。日本企業は2026年7月までに、(1) ベトナム法人格の整備、(2) データ保存先の現地化、(3) ディープフェイク対応の利用規約改訂、(4) 重要情報システム該当性の自己評価——の4点に着手する必要がある。日本のサイバーセキュリティ基本法はここまでの「物理拠点強制」の規定を持たないため、日系企業はベトナムで一段厳しい運用を求められる構図だ。