ベトナムの個人データ保護令と法律:2026年のクッキー同意と出版社コンプライアンスガイド
ベトナムは3年余りで、統一された個人データ保護の枠組みをほとんど持たない状態から、東南アジアで最も厳格な同意体制の一つを持つ国へと変貌しました。個人データ保護令(PDPD)、政令13/2023/ND-CPは2023年7月に施行されました。個人データ保護法(PDPL)は、2025年に国会で可決され、2026年1月1日に発効し、政令の大半の原則をより強力な執行と広範な適用範囲を持つ一次立法へと引き上げました。ベトナムのユーザーのデータを処理するすべての出版社、広告主、またはプラットフォームにとって—ベトナム国内に拠点を置くかどうかにかかわらず—2026年の環境はわずか1年前とは大きく異なります。このガイドでは、法律が実際に何を要求しているか、クッキー同意をどのように設定すべきか、国境を越えたデータ転送がどのように機能するか、そして実際の執行がどのように見えるかについて詳しく説明します。
2026年のベトナムデータ保護法の構造
ベトナムの制度は現在、2023年のPDPDと2026年のPDPLという二層構造になっています。両方が施行されており、出版社はどの層がどの義務を規定しているかを理解する必要があります。
PDPD — 政令13/2023/ND-CP
この政令はベトナム初の包括的な個人データの定義、データ主体の権利のカタログ、同意の要件、国境を越えたデータ転送のルール、および基本的な個人データ処理影響評価(DPIA)義務を導入しました。現在も施行されており、運用上の詳細を引き続き規定しています。
PDPL — 2026年から施行
PDPLは、より高い制裁と広範な適用範囲で枠組みを一次立法へと引き上げます。同意中心モデルを強化し、データ主体の権利を強め、主要な規制機関であり続ける公安省(MPS)の執行権限を拡大します。PDPLはまた、機密性の高い個人データ、自動意思決定、未成年者のデータ処理に関するより明確な規則を導入します。
規制の対象者
この法律は、処理者の所在地にかかわらず、ベトナムの個人データのあらゆる処理に適用されます。ローカライズされたサイトを通じてベトナムユーザーにサービスを提供する米国を拠点とする出版社や、ベトナムの広告枠に入札するプログラマティックバイヤーは適用範囲に含まれます。この域外適用はGDPRのパターンを反映しており、ベトナムの枠組みの中でより積極的な要素の一つです。
個人データとして何がカウントされるか
ベトナムの個人データの定義は広範で、国際標準に密接に沿っています。個人データとは、特定の自然人を識別する、または識別できるあらゆる情報であり、クッキー同意において非常に重要な二つのカテゴリに分かれます。
基本的な個人データ
基本的な個人データには、氏名、生年月日、識別番号、連絡先詳細、デバイス識別子、IPアドレス、およびオンライン活動データが含まれます。クッキーで収集されるデータのほとんどはここに該当し、広告識別子、セッションID、閲覧履歴から構築された行動プロファイルを含みます。
機密性の高い個人データ
機密性の高い個人データには、政治的・宗教的見解、健康情報、遺伝データ、生体認証データ、性的指向、犯罪歴、財務データ、そして—重要なことに—特定の個人を識別するために使用できる位置データが含まれます。機密データは最も厳格な同意要件を引き起こし、特定の、個別の、場合によっては書面による、または電子的に確認可能な同意を含みます。
なぜこれがクッキーにとって重要なのか
基本的なセッション識別子のみを収集するクッキーは基本的な個人データです。位置情報ベースの広告オーディエンスに情報を提供するクッキー—リターゲティングやジオターゲットキャンペーンに一般的—は、位置情報が識別可能になった瞬間に機密性の高い個人データに触れる可能性が高いです。CMPの設定はこれらの目的を分離しなければなりません。
ベトナム法の下でのクッキー同意
ベトナムはオプトイン同意モデルに従っています。個人データを収集するクッキーに対する通知と選択のフォールバックはなく、有効な同意の基準はGDPR標準と同様です。
四つの同意要件
ベトナム法の下での同意は以下の条件を満たす必要があります:
- 特定的—一般的な包括的同意ではなく、明確に識別された処理目的に結び付けられている
- 情報提供済み—データ主体は何のデータが処理されるか、なぜ、誰が受け取るか、どのくらいの期間かを理解している
- 自発的—事前にチェックされたボックスなし、非必須処理のための同意か離れるかの壁なし
- 表明可能かつ撤回可能—ユーザーは明確なメカニズムを通じて同意を提供および撤回できる
準拠したCMPの見た目
2026年にベトナムのトラフィック向けに設定されたCMPは以下を提示すべきです:
- 非必須のクッキーやトラッカーが起動する前に表示される目立つバナー、ベトナム人ユーザーにはデフォルトでベトナム語(Tiếng Việt)で表示
- 視覚的な目立ち度が同等の「承諾」「拒否」「カスタマイズ」の別々のアクション—ダークパターンなし
- 少なくとも次の目的に対する細かい制御:分析、広告、パーソナライゼーション、国境を越えた転送、および精密な位置情報などの機密カテゴリ処理
- 最初の選択後に同意を変更または撤回するための持続的で見つけやすいメカニズム
- 処理者、データカテゴリ、保持期間、ユーザーの権利の明確な開示を含むベトナム語のプライバシーポリシー
同意記録
処理者は同意の記録を維持しなければなりません—誰が同意したか、いつ、何に、どのインターフェースを通じて。ベトナムの執行措置はすでに欠落または確認不可能な同意ログを引用しており、PDPLはこの義務を正式化します。エクスポート可能なタイムスタンプ付き同意ログを生成しないCMPは準拠していません。
国境を越えたデータ転送—最も難しい部分
ベトナムの国境を越えた転送体制は地域で最も厳格なものの一つであり、ほとんどの外国出版社が苦労する要素です。
転送影響評価
ベトナムの個人データを海外に転送する前に—海外の広告取引所や分析ベンダーにクッキー由来の識別子を送ることを含む—管理者は転送影響評価を準備しなければなりません。評価書には、目的、データのカテゴリ、受信国と受信者、技術的・組織的保護措置、転送の法的根拠を文書化しなければなりません。
MPSへの提出
評価書は処理開始から60日以内に公安省に提出しなければなりません。MPSは、評価が不十分な場合や、目的地の法域が不十分と見なされる場合に、国境を越えた転送を停止する権限を持っています。
出版社への実際的影響
典型的なプログラマティック広告スタックは、ミリ秒でユーザーデータを数十の海外ベンダーを通じてルーティングします。それらのフローのそれぞれが、厳密には、ベトナムの個人データの国境を越えた転送です。2026年の現実は、ほとんどの外国出版社がベンダーリスト全体の統合評価を提出するか、評価の負担を軽減するためにベンダーセットを削減しているかのいずれかです。どちらも簡単ではなく、MPSは2026年中に国境を越えたフローに対してより積極的な執行を開始すると示唆しています。
データ主体の権利
PDPLは政令の下で付与された権利を統合し強化します。ベトナムのデータ主体は以下の権利を持っています:
- 自分のデータの処理について通知を受ける権利
- 処理されているデータにアクセスする権利
- 不正確なデータを修正する権利
- 処理がもはや正当化されない場合にデータを削除する権利
- 指定された状況において処理を制限する権利
- 同意を与えたのと同じくらい容易に撤回する権利
- 重大な影響をもたらす自動意思決定に異議を申し立てる権利
- 公安省に苦情を申し立てる権利
回答期限
管理者はほとんどの場合、データ主体からのリクエストに72時間以内に回答しなければなりません—GDPRの30日間標準よりも大幅に短い期間です。この期限に対する運用上の準備態勢は、外国出版社にとって最も一般的なコンプライアンスギャップの一つであり、他の地域で一般的なものよりも速いツールとランブックを必要とします。
未成年者に関する特別規則
PDPLは未成年者の個人データの処理に専用の保護を導入します。15歳未満の者のデータを処理するための同意は、親または法定後見人が提供しなければなりません。15歳から18歳の者のデータ処理には未成年者自身の同意が必要ですが、透明性と注意義務が強化されています。18歳未満のユーザーを多く引き付けるサイトのクッキー同意UIには年齢を意識したフローが必要であり、外国出版社の多くはデフォルトでそれを構築していません。
制裁と執行
PDPLは行政罰則の上限を大幅に引き上げます。制裁には以下が含まれます:
- 機密性の高い個人データに関わる重大な違反や系統的な失敗に対して年間グローバル収益の5パーセントまでの罰金
- 処理活動の停止
- 国境を越えた転送の強制停止
- 違反の公開開示
- 個人データの違法販売を含む悪質なケースに対する刑事責任
執行の傾向
MPSは、政令が定着する中で2023年と2024年初頭は比較的静かでしたが、2025年を通じて2026年にかけて執行が加速しています。外国出版社は、いくつかの公表された措置で言及されており、ほぼ常に三つの問題の一つに焦点を当てています:欠落または不十分な同意、未提出の国境を越えた転送評価、または72時間のウィンドウ内でのデータ主体のリクエストへの回答の失敗です。
2026年のベトナムのトラフィックに対する監査チェックリスト
- CMPバナーはベトナム人ユーザーにベトナム語で配信され、「承諾」「拒否」「カスタマイズ」が同等の目立ち度で表示されている
- 同意の目的は細かく、精密な位置情報などの機密処理を分離している
- 同意ログはタイムスタンプ付きで、エクスポート可能で、処理期間プラス監査可能なマージンの期間保持されている
- プライバシーポリシーはベトナム語で利用可能で、処理者、保持期間、権利について完全に開示されている
- 転送影響評価は、進行中のすべての国境を越えたフローについてMPSに提出されている
- データ主体のリクエストワークフローはエンドツーエンドで72時間以内に応答できる
- 未成年者を含むオーディエンスに対して年齢を意識した同意フローが整備されている
- ベンダーリストは必要性について見直され、国境を越えた表面積を縮小するために未使用または冗長なベンダーが削除されている
2026年の展望
ベトナムの規制の軌跡は明確です。PDPDは枠組みを確立しました。PDPLはそれを強化します。執行は拡大しています。ベトナムを比較的軽い市場として扱ってきた出版社や広告主にとって、2026年はそのアプローチが代償を伴う年です。良いニュースは、現代のGDPRグレードの同意スタックが必要なものの大半であるということです—ギャップは通常、72時間の回答ウィンドウ、転送影響評価の提出、CMPとプライバシーポリシーのベトナム語ローカライゼーションです。これらのギャップは運用上のものであり、アーキテクチャ上のものではなく、四半期ではなく数週間で解決できます。MPSが門口に現れる前にそれらを解決する出版社は移行に気付かないでしょう。待つ出版社は気付くことになります。