どんなニュース?
2026年1月1日、ベトナムで初めての包括的な個人情報保護法(法律第91号/2025/QH15)が施行された。これはこれまでの政令ベースの規制を統廃合し、GDPRを参考にした立法として国内外の企業に大きな影響を与える。注目すべきは72時間以内の当局へのデータ侵害通報義務、個人データ売買の全面禁止、そして外国企業へも適用される域外効果だ。違反した場合、最大30億ドン(約1,800万円)または不正利益の10倍の罰金が科される。ベトナムでビジネスを展開する日系企業にとっては、即座に対応が求められる変化といえる。
元記事・原文引用
元ネタ:Vietnam Personal Data Protection 2026: What Foreign Organizations Need to Know(DFDL / 2026年1月26日)
“Vietnam’s personal data protection legal framework has evolved significantly in recent years to address the growing importance of data privacy and security in the digital economy.”
なぜ今、話題になっているの?
この法律が生まれた背景には、ベトナムでのデータ漏洩件数の爆発的な増加がある。2024年だけで1,450万件のアカウントが流出し、これは世界全体の漏洩の12%に相当する。そして2025年9月、象徴的な事件が起きた。ベトナム国家銀行傘下の国家信用情報センター(CIC)がハッカー集団「ShinyHunters」に侵害され、約1億6,000万件もの個人信用情報が闇市場に流出した。
なぜこれほど大規模な漏洩が起きたのか。構造的な要因が3つある。第一に、EOL(サポート切れ)ソフトウェアの使用継続だ。ShinyHuntersはパッチが存在しない既知の脆弱性を突いた。第二に、中央集権型データベースへの依存。CICはベトナム全国民の信用情報を一か所に集約していたため、一度破られると被害が桁違いになる。第三に、内部統制と法的義務の欠如。従来の規制では、漏洩後の企業の行動義務が曖昧で、情報公開や当局への報告に法的根拠がなかった。
今回の個人情報保護法(PDPL)はこの構造的欠陥に対応する。72時間以内の通報義務を明文化し、個人データ処理影響評価(DPIA)の実施を義務化し、データの不正取引に刑事罰を設けた。ただし重要な留保がある——施行規則の多くはまだ整備段階にあり、実際の執行体制の確立はこれからという状況だ。
日本が学ぶべき教訓は?
日系企業にとって、この法律は「ベトナムのローカル規制」ではなく直接的なビジネスリスクだ。ベトナムに拠点を持つ日系企業は直ちに3つの新義務を負う。
まず72時間通報義務。個人データ侵害が発生した場合、72時間以内に当局(公安省)へ通報しなければならない。これは日本の改正個人情報保護法(2022年)が定める漏洩報告義務と同様の思想だが、通報先はベトナムの公安省であり、体制の整備状況は日本と大きく異なる。
次にDPIAの60日義務。データ処理を開始してから60日以内に個人データ処理影響評価書を提出する必要がある。さらに国外にデータを持ち出す場合は、別途「越境移転影響評価書(CTIA)」も60日以内に提出しなければならない。日系グループで共通のデータ管理基盤を持つ企業は、ベトナム拠点のデータフローを精査する必要がある。
そして最も独自性が高いのが個人データ売買の全面禁止だ。法律で明示的に許可された場合を除き、個人データの売買は一切禁止される。日本ではデータの商業利用を前提とした第三者提供ルールがあるが、ベトナムはより厳格な立場を取っている。
構造的に見ると、ベトナムは「大規模漏洩が起きてから法律を整備する」という後追い立法のパターンをたどった。日本が2022年改正で漏洩報告義務を導入した背景にも同様の流れがある。しかし法律ができても執行体制が追いつかない段階では、企業側の自主的なコンプライアンス体制が問われる。ベトナムでの経験は、アジア展開する企業に普遍的な教訓を提供している。
まとめ
「つまりこういうこと」——ベトナムは1億6,000万件の歴史的データ漏洩を経験した直後に、72時間通報義務を核とする個人情報保護法を施行した。この法律は外国企業にも直接適用され、日系企業のベトナム拠点には今すぐ対応が必要なDPIA義務や通報ルールが生じている。ただし執行体制の整備は途上にあり、規制の「実質的な効果」が問われるのはこれからだ。GDPR後のアジアで何が起きているかを理解する上で、ベトナムは最良のケーススタディになりつつある。
