各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
ベトナムのデータ保護法規制の概要
中国やタイにおいて個人情報保護法が施行されたように、アジア各国では近年、個人データを保護する法規制の整備が進んでおり、アジア各国に工場や拠点を保有する日本企業は現地の顧客や従業員のデータを管理するにあたり、各種法令の動向を把握し、規制への対応を推進することが求められています。
そして2023年には、ベトナムにおいても同国初の個人情報保護法令である「個人情報に関する政令13号(以下、個人情報保護政令)」が施行されました。個人情報保護政令には、日本の個人情報保護法と類似した基本的な要件だけでなく、影響評価を伴う越境移転規制も含まれています。また、2022年10月に施行された「政令53号(以下、サイバーセキュリティ政令)」では、不明確な内容ではありますが、サイバーセキュリティ法に基づくデータローカライゼーション規制が含まれています。
現地に進出している企業、また進出を検討している企業はこれらの政令の内容を踏まえ、特に同国内における個人データの管理および同国を含むグローバルでの個人データの越境移転に関する対応を検討する必要があります。本稿ではこれらの政令を解説したうえで、企業に求められるベトナムを含めたグローバルにおける個人データの越境移転対応について説明します。
個人情報保護政令の要件と越境移転規制
個人情報保護政令の規制要件はGDPR(欧州データ一般保護規則)と類似しており、厳格な内容となっています。適用範囲にはベトナムでの個人データ処理に直接関与する、または関連する外国の団体、組織および個人も含まれ、現地向けにビジネスやアプリケーションサービスを展開する企業にも適用され得る内容となっています。
特に留意する必要があるのが、影響評価の実施と越境移転規制です。影響評価にあたっては評価項目が指定されており、個人データの処理を開始した日から60日以内に評価書類を公安省に提出することが求められています。他国の法令では必ずしも全ての企業が影響評価の実施対象とはなりませんが、ベトナムの個人情報保護政令では個人データを取り扱うことに伴い、例外なく実施が求められています。
また越境移転規制は、個人データの越境移転に対する影響評価を要請しており、上記の個人データの処理に対する影響評価とは評価項目が異なります。なお、越境移転に対する影響評価についても評価書類を公安省へ提出することが求められており、移転完了後にはデータ移転実施の旨や、移転の担当者の連絡先の通知も必要とされています。なお、個人データ処理影響評価および個人データ越境移転影響評価の書式は、当局より公開されており、ダウンロードが可能となっています。
サイバーセキュリティ政令におけるデータローカライゼーション要件に対する考慮
個人情報保護政令にはデータローカライゼーションに関する要件は定められていませんが、サイバーセキュリティ政令上のデータローカライゼーション要件を考慮の上、越境移転を実現する必要があります。グローバルでデータを移転・集約を行う企業では、以下のようなアクションが求められると言えます。
ローカライゼーションの実現にあたっては、ベトナム国内に独自のサーバーを設置し、データのコピーを保存する必要があります。その上で上記の個人情報保護政令における越境移転規制に対応しなければならないため、ベトナムを含む越境移転の実現には相当の負荷がかかることが想定されます。
越境移転の実現に向けた企業に求められる対応
上記のとおり、これら2つの政令への対応を前提とすると、ベトナムを含む個人データの越境移転の実現に向けたハードルは高いと言えます。一方、多くの日本企業にとってベトナムは引き続き重要市場と捉えられているため、対策を講じることは重要と考えます。
また、ローカライゼーション規制への対応を前提とすると、ベトナム国内へのシステム投資が必要となる可能性があり、状況によってはベトナムと他国との越境移転の在り方を見直す必要が出てくるかもしれません。既にベトナム国内のデータを処理をしたり、ベトナム国内の工場や拠点などとデータの移転を行ったりしている企業は、まずはデータマッピングや関連部署へのヒアリングなどを通じて、個人データ処理、移転状況の洗い出しを行うことが推奨されます。
サイバーセキュリティ・プライバシー法規制のトレンドと企業に求められる対応
48 results
Loading...
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
各国サイバーセキュリティ法令・政策動向シリーズ(4)メキシコ
各国サイバーセキュリティ法令・政策動向シリーズの第4回目として、メキシコ政府のデジタル戦略と組織体制、セキュリティにかかわる法律とその動向などについて最新情報を解説します。
Loading...
インサイト/ニュース
40 results
Loading...
各国サイバーセキュリティ法令・政策動向シリーズ(5)ブラジル
各国サイバーセキュリティ法令・政策動向シリーズの第5回目として、ブラジルのデジタル戦略と組織体制、セキュリティにかかわる政策や法令とその動向などについて最新情報を解説します。
パーソナルデータの利活用におけるデジタル先進企業のプライバシーガバナンスの取組状況
プライバシーガバナンスは、プライバシー問題に関するリスクを適切に管理し、消費者やステークホルダーに対して責任を果たすことを指します。この見直しは、社会からの信頼を得るとともに企業価値の向上に寄与します。企業のプライバシーガバナンスへの取り組み状況として2社の事例をご紹介します。
脆弱性開示ポリシーと報奨金制度 ―脆弱性報告窓口運用におけるリスクと企業がとるべき戦略―
昨今の製品セキュリティを取り巻く規制や制度への対応に伴い、企業では脆弱性開示ポリシーの整備が進んでいます。脆弱性を迅速かつ効果的に修正し運用するための、脆弱性を発見した報告者と企業との協力関係の構築と、報告者に対して企業が支払う報奨金制度の活用について解説します。
JC-STAR普及に向けた政府動向とSecure by Demandによる製造メーカーへの影響
2025年3月末より、IoTセキュリティ適合性評価及びラベリング制度(JC-STAR)の運用が開始されました。行政機関や地方公共団体、民間企業に向けてさまざまな政府機関が発行するガイダンスについて紹介、解説します。
Loading...
