ASEAN各国のデータ移転規制・データローカライゼーション最前線
(全6回)
第1回:すでにFacebookも摘発!?ベトナムのサイバーセキュリティ法
バックナンバー
2019/02/13
ASEAN諸国でデータ移転規制やデータローカライゼーションが強化されています。2012年にフィリピンでデータプライバシー法が施行されて以来、ASEAN各地に規制が広がっており、最近では2019年1月にベトナムでサイバーセキュリティ法が開始されたばかりです。ASEANは日本企業が多く進出している地域であり、今後日本企業にも少なからず影響がおよぶ可能性があるため、各国の動向に注視して対応していく必要があります。
ASEAN各国の規制は日本でなかなか正確な情報を入手するのが難しいなか、今回ASEAN地域に特化した法律事務所である弁護士法人One Asiaによる、ASEAN各国のデータ移転規制・データローカライゼーションに関する新連載がスタートします。
第1回は、ASEAN諸国の中でも特に高い経済成長率を誇り、日本企業の進出数が増加傾向にあるベトナムです。
はじめに
2019年1月1日、ベトナムでサイバーセキュリティ法が発効しました。
2018年6月の成立時には、「特区法※1」への抗議とともに強い反対があったとされる本法ですが、それから半年を経ての発効日前後に、ベトナム国内で特段の抗議活動はなかったようです。筆者が知らなかっただけという可能性もありますが、ベトナムで大規模なデモなどが生じると当局から携帯電話に発信される「集会に参加せず冷静な行動をとる」よう呼びかけるSMS(ショートメッセージ)も無く、複数のベトナム人の知人からも情報を得られなかったことを見ると、やはり抗議活動は特になかったのだろうと思われます。
半年前の騒ぎとの温度差に考えを巡らせると、それは「法律」というものに対する国民のそもそもの関心の低さのせいかもしれませんし、2018年6月の抗議は「特区法」への反対が主で、サイバーセキュリティ法のウェイトは大きくなかったのかもしれません。あるいはベトナム社会における大きな反対の声の結果として生まれたデモでは無かったのかもしれません。
とはいえ、サイバーセキュリティ法は現に施行されたわけであり、是非はともかく、今後はこれに従わねばなりません。ただ本法は施行間もないことに加え、公安省が2018年11月はじめに草案をウェブサイトで公開し、パブリックコメントを募集した細則政令も、本原稿の執筆時点(2019年1月20日)でも公布されていないため、運用の方向性もよくわからないというのが正直なところです。その一方で2019年早々にはさっそく、「Facebookがサイバーセキュリティ法違反を指摘」といった報道も出ています。まずはベトナムで産声を上げたばかりの本法がどのような内容になっているのか整理したいと思います。
※1:正しくは「特別行政・経済単位法」。投資誘致などを目的に、フーコック島など3カ所に特別制度を導入しようとする法案だったが、盛り込まれていた99年間の土地貸出し規定が中国など外国に領土を「割譲」することになるといった懸念から大きな反対の声が起きた。同法は2018年5~6月の国会での採決が見送られ次期国会以降に持ち越しとなったが、同年10~11月の国会でも審議されず棚上げになっている。
サイバーセキュリティ法の概要
(1)全体構成
「サイバー空間における国家の安全の防衛と、社会的秩序、治安の確保、関係する機関、組織、個人の責任」(第1条)について定めた本法は、下記のように7章43条で構成されています。
【サイバーセキュリティ法の構成】
第1章:総則 |
第1条:調整範囲 第2条:語彙の定義 第3条:サイバーセキュリティに関する国家政策 第4条:サイバーセキュリティ保護の原則 第5条:サイバーセキュリティ保護対策 第6条:国家サイバー空間の保護 第7条:サイバーセキュリティに関する国際協力 第8条:サイバーセキュリティに関する禁止行為 第9条:サイバーセキュリティに関する法律違反の処理 |
---|---|
第2章:国家の安全上重要な情報システムに対するサイバーセキュリティの保護 |
第10条:国家の安全上重要な情報システム 第11条:国家の安全上重要な情報システムに対するサイバーセキュリティの審査 第12条:国家の安全上重要な情報システムに対するサイバーセキュリティ条件の評価 第13条:国家の安全上重要な情報システムに対するサイバーセキュリティの検査 第14条:国家の安全上重要な情報システムに対するサイバーセキュリティの監視 第15条:国家の安全上重要な情報システムに対するサイバーセキュリティの事故対応、復旧 |
第3章:サイバーセキュリティ侵犯行為の防止、処理 |
第16条:ベトナム社会主義共和国反対を宣伝する、暴動、騒乱を煽る、公共秩序を乱す、他者を辱める、誹謗中傷する、経済管理秩序を侵犯する内容を有するサイバー空間上の情報の防止、処理 第17条:サイバースパイの防止、対抗、サイバー空間における国家機密、業務秘密、経営秘密、個人の秘密、家族の秘密、プライバシーに属する情報の保護 第18条:国家の安全、社会的秩序、治安に関する法律違反のためにサイバー空間、情報技術、電子機器を用いる行為の防止、対抗 第19条:サイバー攻撃の防止、対抗 第20条:サイバーテロの防止、対抗 第21条:サイバーセキュリティに関する危険な状況の防止、処理 第22条:サイバーセキュリティ保護の戦い |
第4章:サイバーセキュリティ保護活動 |
第23条:国家機関、中央・地方政治組織におけるサイバーセキュリティ保護活動の展開 第24条:国家の安全上重要な情報システム一覧に属さない機関、組織の情報システムに対するサイバーセキュリティ検査 第25条:国家サイバー空間のインフラ施設、国際ネットワーク接続ゲートウェイのサイバーセキュリティ保護 第26条:サイバー空間における情報セキュリティの確保 第27条:サイバーセキュリティの研究、開発 第28条:サイバーセキュリティに関する自主能力の向上 第29条:サイバー空間における児童の保護 |
第5章:サイバーセキュリティ保護活動の確保 |
第30条:サイバーセキュリティ保護隊 第31条:サイバーセキュリティ保護人的リソースの確保 第32条:サイバーセキュリティ保護隊の選抜、育成、開発 第33条:サイバーセキュリティの見識、業務の教育、育成 第34条:サイバーセキュリティに関する見識の普及 第35条:サイバーセキュリティ保護経費 |
第6章:機関、組織、個人の責任 |
第36条:公安省の責任 第37条:国防省の責任 第38条:情報通信省の責任 第39条:政府機要委員会※2の責任 第40条:省庁、省級人民委員会の責任 第41条:サイバー空間上でサービスを提供する企業の責任 第42条:サイバー空間を使用する機関、組織、個人の責任 |
第7章:施行条項 |
第43条:施行効力 |
※2:Ban cơ yếu chính phủ(国防大臣が管理する国家暗号機関)
(2)規定内容
ここからは、各章ごとに主な内容を整理していきます。
本法の総則を定めています。
第2条で用語を定義しており、「サイバーセキュリティ」を「サイバー空間における活動を、国家の安全、社会的秩序、治安、機関※3、組織ならびに個人の正当な権利および利益に害を与えないように保つこと」(第2条1項)、「サイバー空間」を「ITインフラ施設の接続されたネットワークであり、通信網、インターネット網、コンピュータ網、情報システム、情報処理・統制システム、データベースを含み、空間や時間によって制限されない、人間の社会的行為の場」(第2条3項)と定義しています。
「政府が確立し、管理し、コントロールするサイバー空間」が「国家サイバー空間」(第2条4項)であり、「国家サイバー空間インフラ施設」は「国家サイバー空間上における、情報を作成し、伝送し、収集し、処理し、保存し、交換するための物理的、技術的システム」(第2条5項)とされ、下記のものが含まれます。この定義を見ると、ベトナムで、あるいはベトナム向けにインターネット関連サービスを提供する企業の活動はほぼ本法の言う「国家サイバー空間」における活動に該当するのではないかと考えられます。
※3:「国家機関」を指すことが多いが、それに限定される語ではなく、本法では特に定義されていない。
【国家サイバー空間インフラ施設に含まれるもの】
a)伝送システム:国家伝送システム、国際接続伝送システム、衛星システムならびに通信網、インターネット網におけるサービスおよびサイバー空間上で付加サービス※4を提供する企業の伝送システム
b)コアサービスシステム:国家情報チャンネル・ルートシステム、ドメインネームシステム(DNS)、パブリックキーインフラストラクチャー/認証局(PKI/CA)、通信網およびインターネット網におけるサービスならびにサイバー空間上で付加サービスを提供する企業のインターネット接続およびアクセスサービス提供システム
c)ITサービス・アプリ:オンラインサービス、重要な機関、組織、経済および金融グループの管理運営に資するネットワーク接続のあるITアプリならびに国家データベース
なお、オンラインサービスには、電子政府、電子商取引、電子情報ページ、オンラインフォーラム、ソーシャルネットワークおよびブログを含む。
d)その他:スマートシティのITインフラ施設、IoT、リアル・バーチャル複合システム、クラウドコンピューティング、ビッグデータシステム、ラピッドデータシステムおよび人工知能システム
(第2条5項)
※4:「サービス」と「付加サービス」の違いは本法で明確化されていない。
(2)-2「第2章 国家の安全上重要な情報システムに対するサイバーセキュリティの保護」
この章は、国家安全保障や、国家にとって重要な情報システムに対するサイバーセキュリティの保護を定めています。
「事故、侵入、管理権限を奪われる、誤作動、間断、遅滞、麻痺、攻撃、あるいは破壊によってサイバーセキュリティが深刻に侵犯される情報システム」を「国家の安全上重要な情報システム」と定義し(第10条1項)、その対象は「軍事、安全、外交、機要情報システム」「国家機密に属する情報を保存、処理する情報システム」など(第10条2項a、b)であり、それらの情報システムのサイバーセキュリティ体制の審査や評価、検査、監視などについて規定しています。
主に軍事、安全、外交、国家機密などの国家にとって重要な情報システムに対するサイバーセキュリティについて定めた章であり、民間企業にはあまり関係しないと考えられますが、「国家の安全上重要な情報システム」として、エネルギーや金融、銀行、通信、交通運輸、資源・環境、化学物質、医療、文化、報道といった分野の「国家情報システム」も含まれており(第10条2項g)、これらの分野の「国家情報システム」に限定されてはいるものの、恣意的な法解釈・運用によっては民間企業にもこの章の規定が関係してくる可能性もあるため注意が必要です。
(2)-3「第3章 サイバーセキュリティ侵犯行為の防止・処理」
具体的な違反行為や、それに対する当局の措置等について定めています。
第16条では、ベトナム社会主義共和国に対する反対を宣伝する内容や、騒乱を引き起こす、誹謗中傷する、経済管理秩序を侵犯するなどの可能性のある特定情報について、サイバー空間上での流布の防止や対処について定めており、具体的には次のような情報が該当します。
1.ベトナム社会主義共和国に対する反対を宣伝する内容
:人民政権を歪曲、誹謗中傷するもの、侵略戦争や民族分裂を煽るもの、および民族、国旗、国歌、首領または民族の英雄を侵犯するもの(第16条1項a~cより抜粋)
2.騒乱や公共秩序を乱すことを煽る内容
:武装活動、騒乱を引き起こす集会、または公務執行者の妨害の呼びかけ(第16条2項a、bより抜粋)
3.他者を辱めるまたは誹謗中傷する内容
:名誉毀損および機関、組織または個人の正当な権利または利益を侵害する事実と異なる情報ならびにねつ造された情報(第16条3項a、bより抜粋)
4.経済管理秩序を侵犯する内容
:商品および製品に関する事実と異なる情報およびねつ造ならびに金融、銀行、電子商取引、電子決済、通貨取扱、資金調達、マルチ商法または証券分野における事実と異なる情報ならびにねつ造された情報(第16条4項a、bより抜粋)
5.その他の内容
:国民を動揺させるもの、経済・社会活動に損害を与えるもの、国家機関もしくは公務執行者の活動に困難を与えるものまたは機関、組織もしくは個人の正当な権利もしくは利益を侵犯するもの
情報システム管理者は、サイバーセキュリティ保護専任当局の要請に応じて1~5に該当する情報の流布を防止、発見、阻止および削除する措置を講じなければならず(第16条6項)、通信網、インターネット網上でサービス、またはサイバー空間上で付加サービスを提供する企業および情報システム管理者は、当局と連携して1~5の情報を処理※5しなければなりません(第16条8項)。また、これらの情報を作成、掲載または拡散した組織または個人は、当局の要請に応じて情報を削除しなければならず、かつその法的責任を負わなければなりません(第16条9項)。
本法については、企業活動へのマイナスの影響ばかりがクローズアップされている印象もありますが、上記4の「経済管理秩序を侵害する内容」のように、商品や金融、証券分野における事実と異なる情報やねつ造された情報も違反情報として挙げられているため、企業がこれらの被害に遭えば、本法違反で当局に対応を求めることも可能になると考えられます。
第17条では、経営上の秘密やプライバシーに関する情報の売買、故意の開示、会話を故意にかつ不正に聞く、録音するまたは録画する行為(第17条1項a、đ)も違反行為として定めています。
※5:この「処理」がどのような措置を指すのかは明確でない。
(2)-4「第4章:サイバーセキュリティ保護活動」
国家機関におけるサイバーセキュリティ保護活動の実施体制や企業が遵守すべき義務等が定められています。
注目すべきは第26条であり、「機関、組織、個人の電子情報ページ、電子情報ポータル、ソーシャルネットワーク上のページは、第16条1~5項および国家の安全を侵犯するその他の情報を提供、掲載または伝播してはならない」と定めた上で、ベトナムの通信網、インターネット網上でサービス、サイバー空間上で付加サービスを提供する国内外の企業には次の責任があると定めています。
a)ユーザーがデジタルアカウントを登録する際の情報認証、ユーザー情報およびアカウント情報に関する秘密保持、ならびにサイバーセキュリティに関する違法行為の調査・処理のため、書面で要請があった場合に公安省に属するサイバーセキュリティ保護専任当局(以下、「公安省専任当局」と言う)にユーザー情報を提供すること
b)公安省専任当局または情報通信省の所管機関が要請した時から24時間以内に、自らが管理する情報システム・サービスから本法第16条1~5項の内容の情報流通を遮断および削除すること、ならびに政府が別途定める期間中、サイバーセキュリティに関する違法行為の調査および処理のためのログを保管すること
c)公安省専任当局または情報通信省の所管機関が要請した時から、本法第16条1~5項で定める内容の情報をサイバー空間上に掲載した組織または個人に対し、通信網およびインターネット網上のサービスおよび付加サービスの提供を中止すること
(第26条2項)
また、個人情報、サービスユーザーの関係性に関するデータおよびベトナムでサービスユーザーによって作成されたデータの収集、利用、分析または処理を行う通信網、インターネット網上でサービス、またはサイバー空間上で付加サービスを提供する国内外の企業は、政府が別途定める期間中、ベトナム国内にこれらのデータを保管しなければならず、本項に該当する外国企業については、ベトナムに支店あるいは駐在員事務所を設置しなければなりません(第26条3項)。
一方で、第28条「サイバーセキュリティに関する自主能力の向上」では国家的に、各機関、組織、個人のサイバーセキュリティの自主能力の向上や、デジタル機器、ネットワークサービスおよびアプリの生産、検査、評価、検定といった能力の向上を奨励し、サイバーセキュリティ分野での技術移転や技術開発等を促進させ、これらのビジネス環境の改善を図ることとされており(第28条1項、2項a、d)、サイバーセキュリティ関連事業を行っている企業にとっては、ベトナムでビジネスがやりやすくなる可能性があります。
(2)-5「第5章:サイバーセキュリティ保護活動の確保」
サイバーセキュリティの保護当局について定めています。専任で任務にあたる部門は公安省と国防省に設置され(第30条1項)、各省庁や省級人民委員会にも該当部門が置かれるようです(第30条2項)。
さらに、サイバーセキュリティ上の危険な状況やサイバーテロ、サイバー攻撃などが起きた際に、所管の国家機関は、サイバーセキュリティ保護の人員を動員できるものとされていますが、当該動員においては「国家安全法」「国防法」「人民公安法」などの規定に従うものとされています(第31条3項)。
(2)-6「第6章:機関、組織、個人の責任」
本法を運用する主な機関は、「公安省」「国防省」「情報通信省」「政府機要委員会」(第36、37、38、39条)です。また、本章においても企業に次のような責任を課しています。
a)自身が提供するサイバー空間上のサービス利用にあたって、サイバーセキュリティリスクがあることを警告し、防止策を案内すること
b)サイバーセキュリティ事故に対する応急計画および対策の策定、弱点やセキュリティホール、有害コード、サイバー攻撃、ハッキング、その他のセキュリティ上のリスクの迅速な処理ならびにサイバーセキュリティ上の事故が生じた際に適切な対策を即時に展開すると同時に、サイバーセキュリティ保護専任隊に報告すること
c)情報収集過程での安全確保、データ漏洩、漏出、毀損および消失の危険を防止するための技術的対策や必要な措置の適用、ならびにユーザー情報データの漏洩や漏出、毀損または消失事故が生じた場合もしくは生じる危険がある場合には、対応策を直ちに取り、ユーザーに通知し、サイバーセキュリティ保護専任隊に報告すること
d)サイバーセキュリティ保護専任隊との連携
(2)-7「第7章:施行条項」
本法の施行に関する事項が規定されています。
本法の発効日は2019年1月1日(第43条1項)で、国家の安全上重要な情報システム一覧に含まれる現在運用・使用中の情報システムについては、本法発効日から12か月以内に情報システム管理者がサイバーセキュリティの諸条件を十分に満たすこととされています(第43条2項)。
サイバーセキュリティ法の運用状況
2019年1月1日の発効後、さっそく1月9日にはFacebookが違反を指摘されたとの報道があり※6、日系メディアでも取り上げられました※7。ベトナムのFacebookユーザーは約5800万人と世界7位の数であり(ベトナムの人口は約9500万人)、非常に大きな影響力を持つメディアです。
本件について、ベトナム国内での報道によると、まず、違反を指摘している機関は「情報通信省ラジオ・テレビ・電子情報局」であって、本法の“主役”と目される公安省ではないようです。
また、違反として指摘された事項には本法のほか、「インターネットサービス・ネットワーク情報の管理・提供・使用に関する政令72号」「クロスボーダーによる公共の情報提供活動の管理に関する通達38号」等に対するものも含まれており、①情報コンテンツ管理、②ネット上の広告、③税・クロスボーダー決済の3点が指摘されたようで、報道を見る限りは、データローカライゼーションについての違反は指摘されていないようです。
※6:https://news.zing.vn/facebook-dang-vi-pham-nghiem-trong-phap-luat-viet-nam-post907266.html
※7:https://www.nikkei.com/article/DGXMZO3983111009012019FF1000/
①情報コンテンツ管理違反については、「公安がリストアップしている反動組織(反体制組織)のファンページ・アカウントを削除しない」「共産党幹部・国家首脳に対する中傷を書き込んでいるアカウント・ファンページを削除しない(または削除はなされているが、対策が非常に弱い)」といったもので、情報通信省の幹部は、「対応が非常に遅い。48時間以内の削除を要請しても対応は数か月後。最近3,000のステータス(アカウントを含む)が削除されたが、情報通信省が要請してから1年後だ」とコメントしています。
②ネット上の広告については、武器や人身、偽造品の売買、賭博、売春など、一般生活においては禁固刑になり得る広告が無秩序に掲載されていることや、「政治広告」の掲載が問題視されているようです。
③税・クロスボーダー決済については、ベトナムのユーザーから金銭を受領し広告を流していながらベトナムに納税していないというものです。
なおFacebookやYouTube、Googleなど代表的なインターネット企業における上記のような問題は、2019年1月1日を契機に突然指摘され始めたものではなく、ベトナム政府が対策を求めていることは数年前から報じられています。
おわりに
本法についてベトナム国内では主に、「どのような情報をウェブサイト等に投稿・掲載してはならないか」という点に関する報道が多いのですが、日本企業のより大きな関心事としては、第26条におけるデータ保管や支店・駐在員事務所の設置義務をいつから、どのように果たせば良いのかというものであろうと思われます。
(2)-7で触れたように、本法の発効日は2019年1月1日、国家の安全上重要な情報システム一覧に含まれる現在運用中の情報システムにおいては、本法発効日から12か月以内にサイバーセキュリティの諸条件を十分に満たすこととされていますが、それ以外の事項については、特段期限に関する言及はなく、企業がいつまでに必要な対応をする必要があるのかは、本原稿の執筆時点では「わからない」としか言えません。
詳しくは今後の政令等の下位規則の公布を待つしかありませんが、先日のパブリックコメント募集にあたって公開された政令草案では、企業のデータ保管や支店・駐在員事務所の設置義務の期限が「公安大臣の要請から12か月以内」とされており(2018年10月31日付サイバーセキュリティ法の一部細則政令第2回草案第29条)、1年程度の経過措置が取られるのではないかと予想されます。
一方で、仮に上記の政令が近日中に公告されたとしても、本法成立時に公安関係者が「25本程度の政令・通達を公告する」 と発言していることもあり※8、本法の本格運用までにはまだかなりの時間がかかるのではないかと考えられます。
※8:http://www.baogiaothong.vn/chuan-bi-25-nghi-dinh-thong-tu-huong-dan-luat-an-ninh-mang-d260901.html
- 第1回:すでにFacebookも摘発!?ベトナムのサイバーセキュリティ法
- 第2回:今後法改正の可能性も?マレーシアの個人情報保護法
- 第3回:BPOで多くの個人情報が集積するフィリピンの個人情報保護法
- 第4回:個人情報保護法が未制定のインドネシアの個人データ取扱規定
- 第5回:ついに成立!タイの個人情報保護法
- 第6回:違反企業の実名公開でレピュテーションリスクも!?シンガポールの個人情報保護法
弁護士法人One Asia / One Asia Lawyersについて
弁護士法人One Asia/One Asia Lawyersは、ASEAN地域に特化した法律事務所であり、ASEANにおいてシームレスな法務アドバイザリー業務を日系企業に特化して行っております。各事務所には、現地弁護士に加えて、日本人弁護士、専門家、現地語法律通訳者が常駐しており、ASEAN地域に特化した進出法務、M&A、コーポレート・ガバナンス、労務、税務、知的財産、不動産、訴訟・仲裁対応などについて現地に根付いた最適なサービスを提供しております。
拠点:シンガポール、タイ、マレーシア、ベトナム、フィリピン、インドネシア、カンボジア、ラオス、ミャンマー、東京
メンバー数:187名(内日本人31名)
今回の執筆者:山本 史
弁護士法人One Asia パラ・リーガル/ベトナム語専門家
18歳でベトナムを一人旅して以来、一年間のハノイ留学を含め、日本とベトナムを行き来する学生生活を送る。大学卒業後ホーチミン市の商社に就職、ベトナム企業相手の営業職を経て、投資コンサルティング会社に転職、ベトナム経済情報の提供や翻訳、市場調査、法制度調査などに携わる。
One Asia Lawyers ベトナム事務所では日本語、ベトナム語、英語を駆使し、現地弁護士と協働して業務を行う。ベトナムにおいて10年以上の実務経験を有する。