📊 3行サマリー

  • ベトナム個人情報保護法(Law No.91/2025/QH15、通称PDPL)が2026年1月1日に施行され、違反金は最大で年間売上の5%。施行決議は2025年6月、施行細則の政令356号は2025年12月31日に公布された。
  • 外資企業は越境データ移転後60日以内に影響評価書(TIA)を公安省サイバー犯罪対策局(A05)へ提出する義務がある。データ漏洩は72時間以内(消費者情報のサイバー攻撃は24時間以内)に当局へ通報が必須。
  • ベトナム進出の日系企業は約2,500社(JETRO)。施行4カ月時点でDPIA・TIA未提出の外資企業が続出しており、6月以降の当局検査でDPO設置と書類整備が問われる局面に。

ベトナム個人情報保護法、1月1日に全面施行——外資2,500社のデータ越境に新ルール

ベトナム国会が2025年6月に可決した個人情報保護法(Law No.91/2025/QH15、通称PDPL)が、2026年1月1日に施行された。同日付で施行細則の政令第356号(Decree 356/2025/ND-CP)も発効し、2023年の政令13号は完全に置き換わった。GDPRを参考にしたつくりで、東南アジアでもベトナムは厳しい部類に入る。新法はベトナム国内の企業・政府機関だけでなく、ベトナム国民の個人データを扱う海外企業にも適用される域外適用ルールを持ち、ベトナム進出の日系企業約2,500社(JETRO推計)が直接の対象になる。

DFDL報告:施行4カ月、影響評価書(TIA)未提出の外資企業が続出

元ネタVietnam Personal Data Protection 2026: What Foreign Organizations Need to Know(DFDL / 2026年4月8日更新)

Many businesses have not yet fulfilled procedural requirements, such as the preparation and submission of DPIA and TIA dossiers, due to implementation complexity. Given the increase in government inspections and regulatory directives, companies are strongly advised to ensure compliance with PDPL requirements.

東南アジア法務に強い法律事務所DFDLは、PDPL施行から3カ月の時点で「多くの企業がDPIA(データ処理影響評価)とTIA(越境移転影響評価)の準備・提出を済ませられていない」と警告した。記事は2025年上半期だけで違法データ取引の摘発が56件、流出記録が1億1,000万件超に達したという数字も引いている。当局の本気度は明らかに上がっている、というのが結論だ。

違反金は売上5%、GDPRに匹敵——越境データ移転後60日以内にTIA提出が義務

PDPLの罰則は前法から大きく重くなった。通常の違反は最大VND30億ドン(約1.7億円/約11.5万米ドル)、越境データ移転の違反は前年度の年間売上の最大5%、違法な個人データ売買は不法収益の最大10倍。手続面の負担も増えた。ベトナム国内で集めたデータを海外サーバーやクラウドへ送る行為はすべて「越境データ移転」に当たり、移転を始めてから60日以内にTIA(Cross-border Transfer Impact Assessment)を公安省サイバー犯罪対策局A05へ提出しなければならない。提出後は6カ月ごとに更新し、定期検査にも応じる義務がある。データ漏洩の通報期限は72時間以内、消費者情報を脅かすサイバー攻撃なら24時間以内。EU一般データ保護規則(GDPR)と同じ水準の短さだ。

日本企業2,500社、6月以降の規制当局検査でDPO設置とTIA提出が問われる

JETROによれば、ベトナムに進出した日系企業は約2,500社。製造業を中心に大半が現地法人の人事・顧客情報を日本本社やグループのクラウドへ送る運用を取っている。これがPDPLの言う「越境データ移転」に正面からぶつかる。新法は資格要件を満たしたDPO(データ保護責任者)またはDPD(データ保護部門)の任命を全企業に求めており、旧政令13号の「機微情報を扱う場合のみ」という条件から一段重くなった。さらに同意の取り方、データ主体からの照会への対応期限(消去要請は20〜30日以内)、ベンダー契約への明記など、社内規程と契約書をほぼ全て見直す必要がある。日本の改正個人情報保護法やGDPR対応の経験を持つ企業でも、ベトナム固有の様式(政令356号 第18・19条が定める申請フォーム)の準備は別作業になる。6月以降に予想される本格的な当局検査までに、整備が間に合わない企業は少なくないだろう。

「執行リスク低・規制リスク高」のベトナム新法——日本企業はDPO・書類整備で乗り切る局面

DFDLは現状を「執行リスクは今のところ低いが、当局のデータ保護への力の入れ方は明らかに上がっている」と読む。一気に摘発が広がる可能性は低いものの、外資企業の摘発は当局にとって象徴的な意味を持ち、優先的に狙われやすい。ベトナムを「ベトナムプラスワン」の核に据える日系製造業にとって、今回の施行は事業継続コストの底上げを意味する。短期で押さえるべき優先順位は3点。DPO・DPDの正式任命、越境データ移転の棚卸しとTIAドラフト着手、データ漏洩通報の72時間/24時間ルールに合わせたインシデント対応手順の整備、だ。売上5%という罰則上限の財務影響は大きく、執行リスクの低さに安心するより、書類と運用を先に整えた方が結局は安く済む局面に入っている。