2.Hogan Loells LLPのブログ(Vietnam’s New Cybersecurity Law)
以下で仮訳する。なお、いうまでもなく、このブログは公安省のサイバーセキュリティ法の施行令草案の内容も引用している。
2018年6月12日、ベトナムの国民議会は、2019年1月1日に施行されるサイバーセキュリティ法 (Law on Cybersecurity (Luật an ninh mạng);以下、「 サイバーセキュリティ法」という)を可決した。とりわけ、この法律は、ベトナムで事業を行うテクノロジー企業のデータ処理方法を規制するとともに、「禁止」されたコンテンツを投稿するユーザーのインターネット接続を制限するものである。法律の規定が一見して広い範囲で適用されるため、ベトナムのエンド・ユーザーにサービスを提供している外国のハイテク企業は、データのローカライズ義務やベトナム国内での支店、事務所等物理的施設の設置義務化等を懸念している。
ベトナム国民議会(Quốc hội;National Assembly)のサイト
ベトナムで一般的であるように、サイバーセキュリティ法は関連当局によって発行される将来の実施ガイダンスを通して提供されるべきさらなる詳細化を目的として非常に広く起草された。導入ガイダンスの以前の草案では当局がサイバーセキュリティ法のすべての条項を推進していたが、2018年10月31日に公開された最新の施行令草案(latest draft implementing decree)は、ある程度、法律の適用範囲の明らかな狭小化に対する懸念を和らげた。しかし、問題は残る。
以下で、サイバーセキュリティ法の重要な側面と現時点の施行令草案について説明する。
(1) 1年間の法遵守の猶予期間
サイバーセキュリティ法は、原則として、電気通信ネットワークまたはインターネットを介したサービスを提供したり、またはベトナムの顧客に付加価値サービスを提供する国内外の会社を対象とする。同法は広く解釈すると、これらのサービスには、ソーシャルネットワーク、検索エンジン、オンライン広告、オンライン放送およびストリーミング(streaming) (筆者注4)、EコマースのWebサイトおよびマーケット、インターネット・ベースの音声/テキストサービス(OTTサービス)(筆者注5)、クラウドサービス、オンラインゲーム、その他のオンラインアプリケーションが含まれる。
当初、同法が2019年1月1日に施行されると、そのようなすべてのサービス・プロバイダーはサイバーセキュリティ法を遵守することが義務付けられると予想されていたが、最新の施行令草案では、サービスプロバイダーは公安省からの要求の受領後1年間の猶予期間が明記された。 最終的な施行令が発行されたときに変更がないと仮定すると、これは当局によって明確に指示されるまで、企業がコンプライアンスに向けた措置を講じる必要がないことを意味する。これは、法律の適用範囲の広さに関する一般的な懸念を軽減するだけでなく、より具体的には、遵守期限が迫っている2019年1月1日の期限を守ることができない企業に安心感を与える。
(2) 個人データのローカライズされた保存と保持義務
サイバーセキュリティ法の対象となるオンラインサービス・プロバイダーは、法的に定められた期間内は、ベトナムのエンドユーザーの個人データをベトナム国内に保管し、要求に応じてそのようなデータをベトナム政府当局に引き渡すことが求めらる。 この文脈における個人データには、①名前、②生年月日、③出生住所、④IDカード番号、⑤住所、⑥電話番号などの個人を特定できる個人情報だけでなく、⑦役職、⑧健康状態、⑨医療記録、⑩バイオメトリクス(筆者注6)などのものも含まれる。ユーザによって作成されたデータ(たとえばアップロードされた情報およびデバイスからの同期または入力されたデータ)およびユーザの関係に関するデータ(たとえばユーザー個人が接続または対話する友人およびグループ)もデータ・ローカライゼーション要件の対象となる。
法律が定めるデータ保持期間は、保持するデータの種類によって異なる。サービスプロバイダーが対象サービスを提供し続ける限り、個人データはベトナム国内に保存されなければならないが、ユーザーによって作成されたデータおよびユーザーの関係に関するデータは少なくとも36ヶ月間保存されなければならない。
2018.11.28 Draft Cybersecurity Decree issued in Vietnam から一部抜粋のうえ筆者が仮訳した。なお、同ブログはベトナムの弁護士Yến Vũ(イエン・ヴオー)氏によるものである
Yến Vũ 氏
(3) 当局によるコンテンツの管理と検閲問題
サイバーセキュリティ法は、情報通信省または公安省からの要求を受けてから24時間以内に、オンラインサービス・プロバイダがユーザーの投稿を監督し、政府によって「禁止」されているコンテンツを削除することを要求している。「禁止されるコンテンツ」には、ベトナム社会主義共和国に反対する、またはそうでなければ害を及ぼす情報が含まれる。 例えば、理論的には政府、共産党あるいはそれぞれのメンバーまたは役員に対して行われた批判的または反対意見を含む「中傷的宣伝」は禁止される。また、 政治的または社会経済的な活動や反国家活動を奨励すると見なされる内容も、同様にサイバーセキュリティ法に違反する。
オンラインサービス・プロバイダーが、禁止されたコンテンツを投稿することについてユーザにフラグを立てる場合、そのようなユーザへのインターネット接続の提供を停止し、またそのユーザをその電気通信ネットワークから本質的にブロックしなければならない。 関係当局から要求された場合、プロバイダはユーザ情報を報告して引き渡すことを強制されることさえある。そのため、新しい法律を遵守するとするためには、企業のユーザーのプライバシー保護に関する自社の利用規約(および場合によっては他の司法管轄)に違反することが必要となり、オンラインサービス・プロバイダーはサイバーセキュリティを遵守する方法を選択でき、これにより利用者の個人情報を保護する。
(4) 海外のサービス・プロバイダーの支店または駐在員事務所の設立の条件
サイバーセキュリティ法は表面的にはすべての海外のサービス・プロバイダーにベトナム国内での支店または駐在員事務所の開設を要求しているが、施行令草案は多くの基準を守ることにつき、ありがたいことにその範囲を狭めた。海外のサービス・プロバイダーが現地での駐在員事務所や支店の設置することを要求される前に法律の大部分に違反するかあるいは当局との協調に失敗した時の条件に関する設置基準を定めている。
具体的には、法令の下では、とりわけ、(i)ユーザーがサイバー攻撃、サイバー犯罪、または国家の安全と公の秩序を乱すその他の行為を行うことを許可する場合、および(ⅱ)サイバーセキュリティポリシングの違反、ユーザーの詳細な個人情報の認証の失敗、ユーザーの個人情報の機密保持の失敗、関連当局へのユーザー情報の提供、またはタイムリーな違法コンテンツの削除に失敗するなど、サイバーセキュリティ法に違反した場合に限り、海外のプロバイダーはベトナム国内に現地での支店や駐在員事務所を設立する必要がある。
この施行令草案では、どの海外サービス・プロバイダーが現地の駐在員事務所等の設置要件の対象となるかを特定する責任を公安省(Bộ Công an)に割り当てている。この基準が広い解釈に開放されていることを考えると、同省は、特定の海外のサービスプロバイダーがベトナムに現地での駐在員事務所等を設置する必要があるかどうかの事実上の仲裁人となるであろう。したがって、ベトナムで認められている活動のいずれかに従事している海外の会社は、ある時点でこの要件に巻き込まれる可能性がある。それは確実にそのようなすべての会社が法の施行日(2019年1月1日)から自動的にカバーされるという初期の懸念をへらす改善内容といえる。
(4) サイバーセキュリティ法の不遵守に対する潜在的な罰則内容
サイバーセキュリティ法を遵守しなかった場合の罰則内容はまだ発表されていないが、当局者は、違反即のサービスの禁止はありそうもないと指摘している。しかし、ベトナム国内企業は以前、当局から反国家的な資料を宣伝すると思われるサイトでの広告掲載を一時停止するよう圧力をかけられており、新しい法律は当局がそのような取り組みを行うためのさらなる基盤を提供することになると考えられている。
(5) 結論
サイバーセキュリティ法の具体的施行が続いているので、ベトナム国内の顧客にオンラインサービスを提供している会社は間違いなく注目しているであろう。当面の間、懸念は残るものの、当局がサイバーセキュリティ法の骨を荒廃させるために当局が傾いているように見える方向は、少なくとも、海外の技術者が主張するより厄介な条項から後退しているように思われ、特に企業はそう懸念している。
3.DataGuidanceの記事「ベトナム:サイバーセキュリティ」の要約
標記ブログを仮訳する。なお、法律等のリンクや注記は筆者の責任で行った。
Ⅰ.統治に関するテキスト
1.1法律
ベトナムのサイバーセキュリティ法の主要な部分は、「サイバーセキュリティ法No: 24/2018/QH14 ( CSL: Luật an ninh mạng) ( 2018年に制定され、2019年1月1日に発効) 」 (英訳版)と 「サイバー情報セキュリティに関する法律No.86 / 2015 / QH13 ( 'LCS' )」 ( 2015年に制定され、2016年7月1日に発効) (英訳版)、およびLCSの下位レベルの実装法令および通達。2022年4月現在、CSLの実装ガイドラインはない。
(1)CSLとLCSは、さまざまなサイバーセキュリティ領域を対象としている。LCSは主にサイバーデータのセキュリティ保護に関する要件を提供するが、CSLは主にサイバー環境全体の国家安全保障を確保するための要件を提供し、 オンラインスピーチの管理と他のデジタル犯罪との闘いに重点を置いている。
(2)CSLとLCSは、ベトナムおよびベトナムを拠点とするユーザー(データホルダー)からのオンライン情報を使用、収集、処理、および配布するすべてのユーザーに広く適用される。
(3)LCSとCSLの立法として相対的に未完成であり、特に現在まだ実施規則がないLCSを考えると, その範囲内には不確実なままであり、当局からのさらなる指導を必要とする多くの領域があり、ベトナム政府およびその機関は、より低いレベルで法律を導くため、具体的には 公安省 (「MPS」)はCSLと 情報通信省 (「MIC」)LCSをガイドするため、更なる継続的な努力が必要である。
1.2規制当局
一般に、ベトナム国会(NATIONAL ASSEMBLY: Quốc hội nước Cộng hòa xã hội chủ nghĩa Việt Nam)はLCSとCSLを公布する機関である。ただし、情報通信省 (以下、「MIC」という)( Bộ Thông tin và Truyền thông)と公安省 (以下、「MPS」という)(BỘ CÔNG AN)は、LCSとCSLの両方を規制、実装、解釈、施行する主要な規制当局である。特に、MICはLCSに関する主要な権限であり、CSLに関してより支援的な役割を果たす。逆に、MPSはCSLの中心的な権限であり、LCSに関してより支援的な役割を果たす。
公安省 (MPS)はベトナム政府直属の公的機関であり、治安、秩序、社会安全の国家管理の機能を果たす。すなわち、 対諜報活動、 防犯調査、 火災予防と救助、 刑事判決の執行、投獄、拘留または一時拘禁の対象とならない判決執行、 法的保護とサポート等、 同省の国家管理下にある部門および分野における公共サービスの国家管理を行う。(Wikipediaから抜粋、仮訳) なお、この機関制度は中国に極めて類似している。
公安省大臣トー・ラム(To Lam)氏
公安省は、ベトナム人民の公安全般を管理する機関である。
1.3.規制当局のガイダンス
MPSは、CSLが2018年に公布されたにもかかわらず、CSLの実装規則や公式ガイダンスをまだ発行されていない。タイミングは不確かであるが、政府が実施令をまもなく発行することが広く期待されている。しかし、デジタル犯罪への取り組みとオンラインヘイト・スピーチの管理の問題に関して、MPSはオンラインで犯された違反を罰するための刑事訴追が極端な場合に適用される可能性がある範囲で措置の導入に非常に積極的である。
一方、LCSを実施するために政令142/2016が政府によって発行された。政令142/2016は、オンライン紛争に対処するデータホルダーにガイダンスを提供し、義務を課す。したがって、オンライン情報の競合の報告を受け取った場合にデータ所有者が対応するための手順とタイムラインを示す。また政令142/2016は、データ保有者が情報の変更を含め、遵守を拒否した場合に当局がオンライン紛争を防止するために実施する必要がある措置を規定し、データホルダーの情報ポータルに対して技術的な障壁を適用する。
2.CSLの適用範囲
CSLはすべてのデータホルダーとその情報インフラストラクチャに適用される。CSLとLCSは、ベトナムとベトナムを拠点とするユーザーからのデータを処理するすべての事業体とネットワークおよび情報システムをまとめてカバーしている。一見したところ、どちらの法律もソーシャルネットワークプロバイダー(Facebook、YouTube、Googleなどの巨人「純粋なテクノロジー」企業)に焦点を当てているように見えるが, 法律の言語は広範であり、それに直面して、幅広いビジネス活動とモデルを反映している。特に、両方の法律は、通信ネットワーク、インターネット, ベトナムのインターネット上のその他の付加価値サービス。この幅広い言語は、さまざまな活動をカバーしており、明らかにソーシャルメディアサービスに限定されていない。たとえば、外国の銀行がベトナムのクライアント(ベトナムに居住するベトナム人以外の市民を含む)にオンラインサービスを提供する場合、その活動は法律でカバーされる場合がある。別の例は、ベトナムの居住者がアクセスでき、ベトナムの居住者が使用するオンライン予約サービスである。
もちろん、ユーザーやソーシャルメディアネットワークプロバイダーも、デジタル犯罪への取り組みやオンラインスピーチの管理に関して対象となっている。この面での違反を罰するために、行政上の罰金と刑事訴追の可能性がある。
CSLの適用範囲を特定の事業体に明確化/制限する可能性のある実施法令を起草するための継続的な取り組みがあるが、2022年の時点では, CSLの実施に関する政令草案とCSLに基づく個人データの保護に関する政令草案の両方が政府によって承認されていない。
3.用語の定義
・情報セキュリティプログラム: 情報および情報システムを保護するために機能するハードウェアまたはソフトウェア。
・サイバーセキュリティ・インシデント: 国家安全保障、公序良俗、または組織や個人の合法的な権利と利益を脅かすサイバースペースでの予期せぬ出来事。
・サイバー情報セキュリティリスク: サイバー情報セキュリティのステータスに影響を与える可能性のある主観的要因または客観的要因。
・サイバー犯罪: 刑法No.で定義されているサイバースペース、情報技術、または電子機器の使用を含む犯罪。ベトナム国会の刑法100/2015 / QH13(2015年11月27日成立)(ベトナム刑法第286条)。
第 286 条 コンピュータネットワーク、電気通信ネットワーク、または電子機器に有害なソフトウェアプログラムの拡散
以下のいずれかの場合に、コンピュータ ネットワーク、電気通信ネットワーク、または電子機器に有害なソフトウェア プログラムを意図的に拡散した者は、5000万 ドン(約30万900円)から 2 億ドン(約123万7600円)の罰金、または最高の罰金に処されるまたは3年の社会内刑(community sentence)(筆者注7)または6〜36か月の有期懲役(imprisonment)(刑法第38条)
(a) 得た違法利益は 5000万ドン(約30万900円)から 2 億ドン(約123万7600円)未満であること。
(b) 違反により、5000万ドンから 3億ドン(約185万6000円)未満の物的損害が発生したこと。
(c) 有害なプログラムが、50 ~ 199 台の電子デバイス、または 50 ~ 199 人のユーザーがいる情報システムに感染したこと。
(d) 犯罪者は、以前に民事上の刑罰を受けているか、同じ犯罪で以前に有罪判決を受けたが未だに取り消されていないこと。
2. 以下のいずれかの場合に犯した犯罪には、2 億ドン(約123万7600円)から 5 億ドン(309万4100円)以下の罰金、または 3 年から 7 年以下の有期懲役が科せられる。
(a) 犯罪が組織化されたグループによって行われたこと。
- b) 得た違法利益は 2 億ドンから 5 億ドン未満であること。
- c) 違反により、3 億ドンから 10 億ドン未満の物的損害が発生したこと。
- d) 有害なプログラムは 200 ~ 499 台の電子機器、または 200 ~ 499 人のユーザーがいる情報システムに感染したこと。
- dd) 危険な再犯。
3. 以下のいずれかの場合に犯されたこの犯罪には、7 年から 12 年の有期懲役が科せられる。
(a) 犯罪が機密情報であるデータ システム、または国防と安全保障に役立つ情報システムに対して行われた場合。
(b) 国家電力網、制御情報システム、 銀行または金融情報システム、 交通管制情報システム等国家情報インフラに対する犯罪であること。
(c) 得られた違法な利益は何ですか? 5億ドン以上であること;
(d) この違反により、10億ドン以上の;物的損害が発生したか;
(dd) 有害なプログラムは500 台の電子デバイスまたは情報システムによる? ユーザー数は 500 人に感染したか。
4.違反者には、3000万 ドンから 2 億ドンの罰金が科せられるか、または1 年から 5 年間、特定の役職に就くことや特定の仕事に従事することが禁止される場合がある。
4.情報管理システム/フレームワークの実装
データホルダーまたはベトナムを拠点とするユーザーはすべてのネットワークおよび情報システムは、データホルダーがそのようなシステムを使用してベトナムからのデータを収集、使用、転送、または処理する場合、当局による特定の監視の対象となる。
CSLは、「国の重要な情報インフラストラクチャ」として分類される特定の国のネットワークおよび情報システムの要件も規定している。 また、CSLは、政府がこの規定を明確にするために国の重要な情報インフラストラクチャの具体的リストを公布することを規定しているが、ただし、現在のところ、そのようなリストは公布されていない。
CSLの第10.2条は、以下の国内情報システムは「国の重要な情報インフラストラクチャ」と見なされることを規定している。
①軍事、安全保障、外交、または暗号化された重要なシステム
②国家機密情報のアーカイブと処理するもの
③特定の重要なアイテムやドキュメントの保管を提供するもの
④国家安全保障に関連する他の施設の保管、製造、管理を提供するもの
⑤中央組織の運営に奉仕するもの
➅エネルギー、金融、銀行、電気通信、輸送、資源と環境、化学、健康、文化、報道当局にサービスを提供するもの
⑦人間または環境に有害な材料または物質の保管を提供するもの
⑧国家安全保障または国家安全保障目標に関連する重要な作業における自動監視および制御システム。
「国の重要な情報インフラストラクチャ」として分類されていないネットワークおよび情報システムは、LCSがそれらを5つのクラスに分割し、各分類は特定のレベルの必要なセキュリティ対策に対応している。以下の見出しは、これらのカテゴリと、各ネットワーク分類のセキュリティ対策に関する法令85/2016 / ND-CP(DECREE ON THE SECURITY OF INFORMATION SYSTEMS BY CLASSIFICATION)4/24⑳の第7条から第11条に記載されている基準を要約している。
分類1
組織または機関の内部運用に対応し、公開情報のみを処理する情報システム。
分類2
分類2に該当するには、次の基準の少なくとも1つを満たす必要がある。
①組織または機関の内部運用を提供し、ユーザーの個人情報および個人情報を処理するが、機密の国家情報を処理しない情報システム;
これらのマナーの1つで人々と企業にサービスを提供する情報システム:
法律に従い、レベル2以下の情報とオンライン公共サービスを提供します;
条件付きビジネスサービスのリストに記載されていないオンラインサービスを提供します。または
10,000人未満のユーザーの個人情報および個人情報を処理する他のオンラインサービスを提供します。そして
組織または機関が使用する情報インフラストラクチャのシステム。
分類3
分類3に該当するには、次の基準の少なくとも1つを満たす必要がある。
①分類された国家情報を処理する、または国防と安全保障にサービスを提供する情報システムであり、その妨害行為が国の防衛と安全を危うくする。
②次のいずれかの方法で人と企業にサービスを提供する情報システム。
③法律に従い、レベル3以上の情報とオンライン公共サービスを提供する。
④条件付きビジネスサービスのリストで定義されているオンライン公共サービスを提供する者。または、10,000人以上のユーザーの個人情報および個人情報を処理する他のオンラインサービスを提供するもの。
⑤業界、国、または国の機関や組織が使用する共有情報インフラストラクチャのシステム。
➅規制された建設の等級付けに従って、グレードII、III、またはIVの建物の通常の活動の操作と操作に直接サービスを提供する産業用操作情報システム。産業用操作情報システムは、「建設 の通常の活動の運営(第6.2.d条-法令85/2016)データの監視と収集、操作の重要なセクションの管理と制御における機能的な役割を持つ情報システムとして定義される。
分類4
分類4に該当するには、次の基準の少なくとも1つを満たす必要がある。
①国家情報を処理するか、国防と安全保障のサービスを提供し、その妨害行為が国の防衛と安全保障に深刻な妥協をもたらす情報システム;
②電子政府の発展に役立ち、24時間体制で機能し、事前のスケジュールなしに停止しない国家情報システム;
③代理店や組織に全国規模および24時間体制でサービスを提供し、事前のスケジュールなしに停止しない共有情報インフラストラクチャのシステム。
④規制された建設の等級付けに従って、グレードIの建物の通常の活動の操作と操作に直接サービスを提供する産業用操作情報システム。
分類5
分類5に該当するには、次の基準の少なくとも1つを満たす必要がある。
①機密の国家情報を処理する、または国防と安全保障のサービスを提供し、その妨害行為が国の防衛と安全保障に過度に重大な損害を与える情報システム;
②国の特に重要な情報とデータの集中ストレージを提供する情報システム;
③ベトナムと世界をつなぐ国家情報インフラのシステム;
④法的安全保障に関する建設または重要な建物の規制された等級付けに従って、特別等級の建物の通常の活動の操作と操作に直接サービスを提供する産業操作情報システム 国家安全保障に関する規制;
⑤首相の裁量によるその他の情報システム。
4.1サイバーセキュリティのトレーニングと意識
通達第9条によると。2017年3月/ TT-BTTTTは法令No. 85/2016を指導し、サイバー情報セキュリティの各レベルには、その付属文書に詳述されている各関連指標がある。
CSLの第49条によれば、サイバー情報トレーニングは次のように規制される。
(1)情報システムの管理機関は、管理および技術スタッフメンバーにサイバー情報セキュリティの知識とスキルのトレーニングを提供するものとする。
(2)フルタイムのサイバー情報セキュリティ担当者は、専門資格に関連するタスクを割り当てられ、その実行を支援され、サイバー情報セキュリティの復習トレーニングに参加する際に優先される。
国は、サイバー情報セキュリティのための人材育成を目的とした高等教育機関および職業訓練機関を通じ、組織および個人に投資し、合弁事業および建設における他の組織との提携に参加することを奨励するものとする。
内務省 幹部、公務員のためのサイバー情報セキュリティの知識と運用に関するトレーニングの計画と組織化において、MICおよび関連する省庁とセクターの主要な責任を負い、公務員調整するものとする。
4.2サイバーセキュリティのリスク評価
LCSによると、サイバーセキュリティリスク評価とは、情報または情報システムに対する危害および脅威のレベルの検出、分析、および推定を意味し、MICが管理するものとします。
サイバー情報セキュリティ基準または規制適合性の評価は、次の場合に行われる。
①規制適合認証が実施され、規制適合スタンプは、サイバー情報セキュリティ製品を販売する前に、組織または個人が取得するものとします。またはサイバー情報セキュリティの国家管理に役立つこと。
②国の重要な情報システムにサービスを提供し、サイバー情報セキュリティの国家管理にサービスを提供するサイバー情報セキュリティ基準または規制適合性の評価は、MICによって指定された適合認証機関によって行われる。
4.3 ベンダー管理
LCSの第10条は、電気通信企業、電気通信アプリケーションサービスを提供する企業、および情報を送信する情報技術サービスを提供する企業は以下が義務付けられる。
①情報の保管、個人情報の保護、組織や個人の個人情報の保護に関する法律を遵守すること。
②情報の送信が違法であるという組織または個人の通知を受け取ったとき、ブロックおよび処理措置を講じる。
②受信者に情報の受信を拒否するように提供する。
③有能な国の機関がサイバー情報セキュリティを管理および確保するために、要求に応じて必要な技術的および専門的条件を提供する。
電子メールサービスを提供している、または情報を送信および保存している企業は、送信、受信の過程でマルウェアフィルタリングシステムを備えている必要がある。 システムを介して情報を保存し、法律に従って管轄の州機関にレポートを送信するものとする。
インターネットサービスを提供する企業は、マルウェアの拡散を管理、防止、検出、および停止するための措置を講じ、管轄の国の機関の要求に応じてそれを処理するものとする。
4.4説明責任/記録保持
監査手順に関しては、監査関係書類は、使用期間中、完全かつ安全に保存されなければならない。さらに、処理活動の記録に関しては、電子形式でもハードコピー形式でも、そのような活動は関連するように記録されなければならない。 一方、データは機密に保つ必要があり、使用期間中のみ調査できる。
設計、デフォルト、または行動規範によるプライバシーに関連する関連規定は存在しない。
5.データセキュリティ
(1)技術的および組織的対策: 科学技術省 サイバー情報セキュリティに関する国の技術基準を評価および公開し、MICはサイバー情報セキュリティに関する国の技術基準を公布するものとする。
(2)アクセス制御と特権:これらは、次のデータ分類に基づいて規定される。
①公開情報は、組織または個人が所有し、そのような事業体を特定して特定することなくすべての事業体に開示するオンラインデータである。
②個人情報は、組織または個人が所有し、開示しないか、識別および配置された1つまたはいくつかの事業体にのみ提供するオンラインデータである。
③個人情報は、特定の人物の識別に関連するオンラインデータです。
④分類された状態情報は、分類された状態情報の保護に関する法律に準拠して、機密、秘密、および極秘として分類されたデータである。
マルチファクター認証:適用規定なし。
暗号化:該当規定なし。
暗号化:このような対策は、銀行および電気通信部門のみ必要である。
セキュリティポリシー:適用規定なし。
*この法律は、データホルダーに、ネットワークおよび情報システムで発生するリスクを監視および管理するための技術的手段を実行する義務を課している。対策は、ネットワークと情報システムのそれぞれのクラスによって異なります。このような措置は、クラス1および2のネットワークおよび情報システムの原則に従うものとする。データ保有者は、独自の裁量で対策を積極的に適用することを勧める。
(3)クラス3以上のネットワークおよび情報システムを運用するデータホルダーの場合、次の対策を講じる必要がある。
①ユーザーのデータを保存し、当局が要求を確認および調査できるようにする(データをローカライズする)
②リスクを検出するために技術的なソリューションを適用する。
③データを提供し、セキュリティ対策の実施について報告するために、要求に応じて当局と協力する。
現在、上記の対策をさらに詳しく説明または明確にする規定はこれ以上ない。そのような措置がベトナムのデータ保有者によって厳密に遵守されているかどうかは不明である。
6.サイバーセキュリティ・インシデントの通知
データホルダーには、サイバーセキュリティ・インシデントを当局に通知する義務がある。ベトナムの法律では、「サイバーセキュリティ・インシデント」は、情報または情報システムが攻撃または危害を加えられて問題のシステムの全体、機密性、または利用に影響を与えるインシデントに限定されていると理解されておりようである。このような基準が実際に何を意味するかは不明であるが、システムがクラッシュしたり、格納されたデータの機密性を損なう原因となる重大なインシデントは、サイバーセキュリティインシデントと見なされることは間違いないと理解している。
サイバーセキュリティインシデントが発生した場合、データホルダーは当局に通知する必要なく、インシデントに積極的に対処するために5日間の 猶予がある。このような5日間の終了後、データホルダーは、インシデントが解決されたか進行中のかに関係なく、インシデントを当局に通知する必要がある。インシデントが5日間の通知期間の終了時に継続中または未解決のままである場合、データ保有者は、インシデントに対処するために取られたアクションについて当局に最新の状態に保つ必要がある。ただし、現在、この要件が実際にどのように実装されるかについての詳細な規定はない。
データホルダーがインシデントを解決できないと見なした場合、当局はインシデントに対処する場合があるが、長期にわたる事件が当局による介入の権利を引き起こすかどうかは不明である。
7.権限を持つための登録
データホルダーは、ネットワークと情報システムをMICに登録して分類する必要がある。登録書類には、問題のネットワークと情報システムを説明する技術書類が含まれており、データホルダーによるネットワークと情報システムの自己評価も含まれている。MICが申請書類を検討する法定のタイミングは、完全な一式文書の提出日から7日間である。
8.セキュリティ担当者の任命
該当規定なし。データ保有者が「セキュリティ」担当者を任命する明確な法的義務はない。
ただし、電子商取引活動に関する法令52/2013 / ND-CP (ベトナム語のみで利用可能 )、顧客の個人データを保存および使用するeコマースWebサイトを所有するトレーダーは、組織のアドレスと連絡先情報を詳細に指定する個人データ保護ポリシーや情報を収集および管理するための役員を指定いる必要がある。
9.各セクター固有の要件規定
(1)金融サービス部門
より具体的な規制の対象となるのは、(金融セクター全体とは対照的に)銀行セクターだけである。特に 中央銀行であるベトナム国立銀行 (「SBV」(State Bank of Vietnam[))は、ベトナムの信用機関がLCSに基づくものと非常によく似た手順でデータ侵害インシデントを処理するためにプロトコルに厳密に従うことを要求する。ただし、主な違いは、SBVとその専門部門が、信用機関がそのようなプロトコルを適用することを処理、調整、および支援するライン権限になることである。そのため、銀行や金融会社は、LCSに従う必要がある通常の会社よりもこのプロトコルに準拠しているようである。
(2)健康・保健部門
CSLとLCSに基づく一般的な法律に従いながら ベトナム保健省 ( MOH)4/24⑱は通達(Circular )54/2017を発行した。通達54/2017は、MOHが患者のデータをオンラインで処理するときに適用する医療ユニット(病院、診療所など)の「優良事例」と見なすものを規定している。法的手段の形ではないが、これらの「優良事例」は主に「示唆的」であると見なされており、医療ユニットが実際にこれらのプロトコルを適用するかどうか、またはどのように適用するかは不明である。
(3)電気通信
電気通信法第6条により情報の機密性を確保するには、次のものが必要である。
①電気通信活動に従事する組織および個人は、国家機密の保護に関する法律の下で国家機密を保護するものとする。
②電気通信ネットワークを通じて国家機密として分類された情報を送信、送信、または保存する場合、組織および個人は、暗号法の下でそのような情報を暗号化するものとする。
③すべての組織および個人の公衆通信ネットワークを介して送信される個人情報は機密に保たれ、通信ネットワークに関する情報の管理は、管轄の国の機関によって法律に基づいて行われるものとする。
④電気通信事業者は、名前、住所、発信者番号、電話番号、発信者の位置、通話受信者の位置、通話時間など、電気通信事業との契約締結時に電気通信サービスのユーザーが提供するその他の個人情報ユーザーは、情報を提供することに同意した場合を除き個人情報を開示することはできない。
⑤電気通信事業者は、料金の計算、請求書の請求、および契約義務を回避する行為の防止のために、電気通信サービスユーザーに提供された情報を交換することについて書面で同意する。
⑦情報の開示は、法律に基づいて管轄の国の機関から要求される。
(4)雇用部門
該当規定なし。LCSおよびCSLに基づく一般的なガイダンスが適用される。
(5)教育部門
該当規定なし。LCSおよびCSLに基づく一般的なガイダンスが適用されます。
(6)保険部門
一般に、「保険事業に関する法律」により保険会社は保険購入者に関する情報を秘密にしておく義務がある。
その他の部門問題は、LCSおよびCSLによって管理される。
10.罰則
一般に、CSLとLCSの両方が、法律を遵守しなかった場合、行政上の罰金と刑事訴追の可能性があると概説している。CSLの機能の多くは規制されていないままであるが(たとえば、ローカルエンティティを設定するための要件、データローカリゼーションなど), デジタル犯罪とオンラインスピーチは、2020年4月15日に発効する新しい政令15/2020 / ND-CPの下で厳しく規制されており、政令91/2020によって改正された。特に、特に政府によるCOVID-19との闘いの文脈において、刑事訴追が急増している一方で、行政上の罰金と違法なコンテンツの削除が蔓延している。例えば, 4月14日に最初の刑事訴追が現れ、ベトナムでのCOVID-19の確認された事件に関して「偽のニュース」を広めたとされる1人のFacebookユーザーを犯罪にした。(筆者注9)
潜在的な行政罰は別として、現在、CSLおよび/またはLCSへの非準拠を犯罪とする刑法に基づく特定の規定はない。
11.その他の関係領域
さらに、政令53/2022では、駐在員事務所の設立とともに、データストレージ要件が導入されている。より具体的には、政令53/2022の第26条は、ベトナムに保管する必要のあるデータには以下が含まれる。
(1)ベトナムのユーザーの個人データ;
・ベトナムを拠点とするユーザーが作成したデータ。アカウント名、使用時間、クレジットカード情報、電子メールアドレス、IPアドレス、最新のログアウト、登録された電話番号など。
・ベトナムを拠点とするユーザーとユーザーの友人またはユーザーが対話する他の人々との関係に関するデータ。
・ベトナムでの個人データの保管に関して、政令52/2022は、データ保管の形式は問題の企業によって決定される可能性があるが、MPSは通知、ガイド, 企業がデータストレージの要件に準拠していることを監視、監督、および促す。
(2)個人データの保持
さらに、政令53/2022は、関連する企業がMPSがデータの保存を要求する決定を下してから12か月以内にデータストレージ要件を実装する必要があると指摘している。 また、企業がリクエストを受け取ったときからのそのようなデータの保存期間は、最低24か月である。より具体的には、CSLのセクション26の違反の調査と処理に役立つシステムログは、最低12か月間保存する必要がある。
さらに、政令53/2022の第26条は、外国企業が次の基準のいずれかに該当する場合、ベトナムに駐在支店を設立する必要があると規定している。
(3)ベトナムでビジネスを行う外国企業は、次のいずれかの分野にある。
①通信サービス企業
②データの共有と保存企業
③ベトナムユーザーのための国内または国際的なドメインの提供企業
④eコマース業者
⑤ソーシャルネットワークとソーシャルマーケティング業者
➅オンラインゲーム
⑦規定;またはメッセージ、電話、ビデオ通話、電子メール、またはオンラインゲームの形式でのインターネット上の他の情報の管理、または操作。
⑧企業が提供するサービスは、CSLに違反する行為を行うために使用できる。
****************************************************************************************
(筆者注4)”streaming”とは、インターネット上で動画や音声などのコンテンツをダウンロードしながら逐次再生すること。Windows Media PlayerやQuickTime、RealPlayerなどのストリーミング・ソフトを使って受信する。映像や音楽データはデータ容量が大きいため、すべてのデータをダウンロードしてから再生する従来の方式では、受信が完了するまでに時間やネットワーク負荷がかかる。ストリーミングでは、サーバーから映像や音声データが少しずつ配信され、受信した側で同時に再生する。ネットワークへの負担がなく、ユーザーはダウンロードを待つことなく、すぐに映像や音声を視聴できる。(ASCII.jpデジタル用語辞典から引用)
(筆者注5) OTTとは、通信会社やISP(インターネットサービスプロバイダ)とは無関係にインターネット上で提供される、通信容量を大量に使用するサービス。また、そのようなサービスを提供する事業者。パソコンやスマートフォンからインターネットを通じて誰でもオープンに利用できる動画や音声の配信サービス、音声通話、ビデオ通話サービスなどがこれに当たる。(IT用語辞典から引用)
(筆者注6) ベトナムにおけるバイオメトリクとは具体的に何を指すのであろうか。Hogan Lovells LLPのブログは言及していない。このため筆者は別途、公安省サイトのガイダンス資料で見たが、なお詳しい定義は記載されていなかった。
(筆者注7)ベトナムのcommunity sentencesの解説(英国などと異なる点もありあえて仮訳する)
2015 年ベトナム刑法第 32 条第 1 項 c によれば、犯罪者に対する主な刑罰として社会内刑(community sentences)が規定されている。
2.ベトナムにおける社会刑の適用に関する規則(仮訳)
(1)社会内刑の適用:
①軽度の犯罪を犯した者、または本法で定義する重大な犯罪を犯し、安定した職業や定住の地を有し、社会から隔離される必要のない者には、6 か月から 3 年の社会内刑が科されるものとする。
②有罪判決者が一時拘禁されている場合、一時拘禁の期間は社会内刑の期間から差し引かれるものとする。つまり、一時拘留の 1 日は社会内刑の 3 日と等しい (=) 。
③地域社会への刑を言い渡された者は、その者が勤務する組織や機関、あるいはその者が居住するコミューンの人民委員会によって監督され、教育を受けるものとする。
④受刑者の家族は、そのような機関や組織、あるいはコミューンの人民委員会と協力して受刑者の監督と教育を行う責任がある。
(2) 受刑者の義務:
①刑に服している間、受刑者は社会内刑に関する規定に従って一定の義務を履行しなければならず、収入の一部(5% - 20%)が毎月国家予算に支払われることになる。
②特別な場合には、裁判所は所得控除を要求せず、その理由を判決で明示する場合がある。
③ 兵役中の受刑者の収入は所得控除されない。
④-社会内刑を言い渡された者が失業しているか、服役中に職を失った場合、その人は社会内刑の期間中、地域社会に奉仕する仕事をしなければならない。
⑤コミュニティサービスの継続時間は、1 日あたり 4 時間を超えてはならず、1 週間あたり 5 日を超えてはならない。
(3)この措置は、妊娠中の女性、生後6か月未満の子供を育てている女性、高齢者や虚弱な人、致命的な病気を患っている人、重度の障害や極度の重度の障害を持つ者には適用されない。
(4)社会内刑を宣告された者は、2019 年刑事裁判執行法に定められた義務を履行しなければならない。
(平成2015年刑法第36条による)
したがって、軽度の犯罪、重大な犯罪の場合、安定した職場や明確な住居がある場合、犯罪者を社会から隔離する必要がないとみなされる場合、ベトナムでは6か月から3年の社会内刑が適用される。
(筆者注9)東南アジアの国で新型コロナウイルスに関するネット上のコメントが急速に広がるなか、ベトナムでは2020年4月14日、ソーシャルメディア上での「フェイクニュース」やデマの流布に対する罰金を導入する新たな法令が発効した。
2020年1月にベトナムで最初の新型コロナウイルス感染者が検出され、保健省はこれまでに267人の感染者、死亡者はいないと報告しているが、この数字は他のアジア諸国で見られる数字を大きく下回っている。
地元当局はすでに、既存の法規定に基づき、ドナルド・トランプ米大統領が広めた用語を使ってウイルスに関する「フェイクニュース」と称する内容を投稿した数百人に罰金を科している。 しかし、2月に起草された新しい政令は、「フェイクニュース」を特に対象としていない2013年の政令に取って代わるものである、と新ガイドラインは述べている。
新政令によるとソーシャルメディアを利用して虚偽、虚偽、歪曲、または中傷的な情報を共有した者には、ベトナムの基本給約3~6か月分に相当する1,000万ドン(約6万円)~2,000万ドン(約12万円)の罰金が科せられるという。(ロイター通信記事を仮訳)
***********************************************************************************
Copyright © 2006-2019 芦田勝(Masaru Ashida).All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.
