Skip to content
無料体験
center-gradient-cover-bg
right-gradient-cover-bg
background gradient desk
Policy Documents JA

データ保護方針

July 16, 2025

Share with:

データ保護方針

1. はじめに

FPTスマートクラウド有限会社(以下「FPTスマートクラウド」といいます)のコーポレートデータ保護方針は、顧客、ビジネスパートナー、従業員、またはその他の個人に関連する個人データの取扱いに関して厳格な要件を定めています。本方針は欧州のデータ保護指令の要件を満たし、世界各国の国内外のデータ保護法に準拠することを目的としています。FPTスマートクラウドにおけるグローバルなデータ保護および情報セキュリティ標準を確立し、FPTスマートクラウドとその子会社、関係法人間の情報共有を規定するものです。

FPTスマートクラウドでは、「透明性」「データ最小化」「データセキュリティ」などの原則に基づき、個人データ保護方針および情報セキュリティ管理ガイドラインを定めています。

FPTスマートクラウドの全マネージャーおよび従業員は、本方針および関連法令を遵守する義務があります。データ保護責任者として、当社におけるデータ保護の原則が世界中で順守されていることを保証する責務を負っています。

ご質問がございましたら、いつでもお気軽にご連絡ください。

ファム・テ・ミン
 データ保護責任者(DPO)
 Email: MinhPT@fpt.com
 電話番号: +84 913571357

1.1. 目的

本データ保護方針は、FPTスマートクラウドおよびその子会社、関係法人に全世界で適用され、世界的に受け入れられているデータ保護の基本原則に基づいています。データ保護の確保は、信頼に基づくビジネス関係および優れた雇用主としての評価の礎です。

本方針は、FPTスマートクラウドとその関連法人間における国境を越えたデータ転送のための必要な枠組み条件を提供するものであり、EU一般データ保護規則(GDPR)、ベトナム個人データ保護令第13号、日本の個人情報保護法(APPI)、シンガポールの個人データ保護法(PDPA)などの国内外の規制に準拠した適切なレベルの保護を確保します。

個人データの収集、処理、転送および使用を標準化し、適法・公正・透明な利用を促進するとともに、データの盗難、改ざん、損傷、紛失または漏洩を防止することを目的としています。

1.2. 適用範囲

本方針は、FPTスマートクラウドによるすべての個人データの処理に適用されます。

つまり、個人データの収集、処理、使用、転送に関与するすべてのビジネスプロセス、情報システム、ならびにFPTスマートクラウドを代表して個人データの処理に携わるすべての従業員、契約者、第三者プロバイダーに対して適用されます。

個人識別情報を処理するすべての部署・機能は、本方針を遵守する必要があります。また、GDPR、個人データ保護令第13号、その他の関連法に従って、個人データが収集されるすべてのデータ主体が対象となります。

1.3. 国内法の適用

本データ保護方針は、国際的に受け入れられている原則を取り入れたものであり、既存の国内法を代替するものではありません。本方針は、各国のデータ保護法を補完するものであり、国内法と矛盾する場合、または国内法の方が厳格である場合には、国内法が優先されます。国内法が存在しない場合においても、本方針の内容を順守する必要があります。

各子会社または法人は、本データ保護方針および関連する法的義務を遵守する責任を負います。国内法と本方針が矛盾する場合には、該当する法人はデータ保護責任者に通知する義務があります。矛盾がある場合は、データ保護責任者が関係法人と連携し、実務的かつ目的に沿った解決策を講じます。

1.4. 国内外データ保護法違反の防止

データ保護責任者(DPO)は、FPTスマートクラウドのデータ保護を担当する取締役に直属し、個人データ処理に関する法的・ reputational リスクを把握・削減・監視する責務を負います。

個人データ保護方針、ガイドライン、手順、テンプレートは年に一度見直され、法律・規制・ビジネスの変化があれば迅速に改訂されます。DPOは、社内向けにオンライン教育プログラムを定期的に実施し、最新の規制動向や方針の更新について周知します。

ポリシー違反が発覚した場合、またはその可能性があると判断された場合は、DPOおよび経営陣に報告されます。経営陣は違反者に対し、譴責、罰金、一時停職、解雇などの適切な制裁を課すことができます。

2. ポリシー

2.1. 基本原則

2.1.1 個人データ保護のルール
  • 個人データは法令に従って処理されなければなりません。

  • データ主体は、その個人データの処理に関する活動について、法律に別段の定めがない限り通知を受ける権利があります。

  • 個人データは、個人データ管理者、処理者、管理者兼処理者、第三者によって登録・申告された目的に基づき処理されなければなりません。

  • 収集される個人データは、処理の範囲と目的に適したものでなければなりません。個人データの売買は、法令により認められている場合を除き、いかなる形でも禁止されます。

  • 処理目的に応じて、個人データは随時更新・追加されなければなりません。

  • 個人データは処理の全過程において保護・安全性が確保される必要があります。すなわち、個人データは法令違反、漏洩、滅失、改ざん等から技術的手段をもって防止されなければなりません。

  • 個人データは、処理目的に対して適切な期間内で保存されるものとし、法令に別段の定めがある場合を除きます。

  • 個人データ管理者および管理者兼処理者は、上記第1項から第7項に定められたデータ処理のルールを遵守し、その遵守状況を証明する義務があります。

2.1.2 データ主体の権利の確保

  • 通知を受ける権利
     データ主体は、自己の個人データ処理に関する情報を通知される権利があります。

  • 同意を与える権利
     データ主体は、特定の場合(政令第13/2023/NĐ-CP第17条に定める場合を除く)を除き、自己の個人データ処理に同意する権利を有します。

  • アクセスする権利
     データ主体は、自己の個人データにアクセスし、閲覧・修正・修正請求を行う権利を有します。

  • 同意を撤回する権利
     データ主体は、法令に別段の定めがない限り、いつでも自己の同意を撤回することができます。

  • 削除を求める権利
     データ主体は、法令に別段の定めがない限り、自身の個人データの削除または削除請求を行う権利があります。

  • 処理の制限を求める権利
     データ主体は、自己の個人データ処理の制限を求める権利があります。この制限は、データ主体からの要請後72時間以内に対応されなければなりません(法令に別段の定めがある場合を除く)。

  • 個人データの取得を求める権利
     データ主体は、個人データ管理者または管理者兼処理者に対し、自身の個人データの提供を求める権利があります。

  • 処理への異議申し立て権
     a) データ主体は、自己の個人データが広告・マーケティング目的で使用されることを防ぐため、管理者または管理者兼処理者に対し処理の停止を求める権利を有します。
     b) 上記要請に対し、管理者等は72時間以内に対応しなければなりません(法令に別段の定めがある場合を除く)。

  • 苦情・告発・訴訟を行う権利
     データ主体は、法令に基づき、苦情、告発または訴訟を行う権利があります。

  • 損害賠償を求める権利
     データ主体は、自身の個人データ保護に関する違反があった場合、法令に基づき損害賠償を求めることができます。

  • 自己救済の権利
     データ主体は、民法および政令第13/2023/NĐ-CPに基づき、自己の権利を自ら保護する、または関係機関・団体に保護措置を求める権利があります。

2.3. 従業員のデータ

2.3.1 雇用関係におけるデータ処理

雇用関係においては、雇用契約の開始、履行、終了のために、従業員の個人データを処理することができます。採用活動においては、応募者の個人データを処理することができます。不採用となった応募者については、必要な保存期間を経た後にそのデータを削除する必要があります。ただし、将来の採用活動のためにデータを保管することに応募者が同意した場合はこの限りではありません。

応募者の個人データをFPTスマートクラウドのシステムにおいて処理するためには、応募者の事前の同意が必要です。また、他の関連法人での採用活動に利用する場合も同意が必要です。

既存の雇用関係におけるデータ処理は、雇用契約の目的に直接関連するものでなければなりません。ただし、以下の正当な根拠のいずれかがある場合は除きます。

採用プロセス中に第三者から応募者情報を取得する必要がある場合には、該当する国の法律を遵守しなければなりません。疑義がある場合には、応募者から同意を得る必要があります。

雇用契約の履行に直接関係しない個人データを処理する場合は、法律上の義務、労使協定、従業員の同意、または会社の正当な利益などの法的根拠が必要です。

従業員は、自身の扶養家族や緊急連絡先など他者に関する情報を会社に提供することがありますが、提供前にその本人に対し情報提供の旨を通知し、必要に応じて同意を得る責任があります。また、会社と情報を共有する場合には、その本人にも本ポリシーを読んでもらうようにしなければなりません。

2.3.2 法的根拠に基づくデータ処理

従業員の個人データの処理は、国家法により要求・許可・義務付けられている場合にも許可されます。処理の種類および範囲は、その法的目的に必要かつ関連法に準拠したものでなければなりません。法的裁量が認められている場合には、従業員の保護すべき利益を考慮しなければなりません。

2.3.3 データ処理に関する労使協定

契約履行の目的を超えるデータ処理活動は、労使協定により認められる場合に限り許可されます。労使協定には、賃金協定や労使代表との合意などが含まれ、該当する労働法の範囲内で締結される必要があります。協定には、データ処理の具体的な目的が明記され、かつ国内データ保護法の範囲内である必要があります。

2.3.4 同意に基づくデータ処理

従業員の個人データは、当人の同意に基づいて処理されることがあります。同意は自発的に提供されなければならず、強制による同意は無効です。同意は書面または電子的手段により取得され、記録されなければなりません。一部の状況においては、口頭での同意も可能ですが、その場合も適切に記録される必要があります。

当人が自発的かつ十分な情報を得たうえでデータを提供した場合、国内法において明示的な同意が必須とされていない限り、黙示の同意があったとみなされる場合もあります。同意を取得する前には、本ポリシーに基づいて情報提供を行う必要があります。

2.3.5 正当な利益に基づくデータ処理

FPTスマートクラウドの正当な利益のために必要である場合にも、個人データの処理は認められます。正当な利益には、法的利益(例:未払い債権の回収)や商業的利益(例:契約違反の回避)などが含まれます。

ただし、特定の事案において、データ主体の保護すべき利益が明確に存在し、それが優先されるべきである場合には、処理は行えません。データ処理の前に、保護すべき利益が存在するかどうかの評価が必要です。

2.3.6 電気通信およびインターネット利用

電話、メール、イントラネット、インターネット、社内SNS等は、原則として業務目的で提供されている会社資産です。これらは、適用される法規および社内ポリシーに基づいて使用される必要があります。

私的利用が許可されている場合であっても、電気通信の秘密保持に関する法令や国内電気通信法の規定を遵守しなければなりません。

FPTスマートクラウドでは、電話・メール通信やイントラネット・インターネット使用を常時監視することはありません。ただし、ITインフラまたは個別ユーザーに対する攻撃を防御するため、技術的に有害なコンテンツをブロックしたり、攻撃パターンを分析するなどの保護措置を講じることがあります。

セキュリティ上の理由から、これらの利用は一時的に記録されることがあります。特定の人物による法令またはポリシー違反が疑われる場合に限り、適切な調査機関が個人に関するデータの分析を行うことができます。その際は、比例性の原則に従い、関係国の法律を順守しなければなりません。

2.4. 国家機関、政府機関、連邦機関またはその他の規制当局からのアクセス要求

国家機関、政府機関、連邦機関またはその他の規制当局からの個人データへのアクセス要求は、国際データ移転に関する要求と同様に、該当する国の法律を厳格に遵守して処理されます。すべてのアクセス要求は、「アクセス要求記録簿」に登録されます。

これらの要求はすべてデータ保護責任者(DPO)が管理し、FPTスマートクラウドのデータ保護担当取締役の同意のもとで対応されます。DPOは、国家機関等との連絡を一手に担い、またアクセス要求記録簿の管理も担当します。

FPTスマートクラウドは、法令に反しない限り、当該データ主体に対してアクセス要求の存在を遅滞なく通知します。

2.5. ポリシーの見直しおよび評価

本ポリシーは、国際的な基準、法的規制、技術および事業の最新状況を反映させるために、年に2回レビューおよび評価されなければなりません。また、個人データ管理実務の適時性を確保するためにも、この見直しは不可欠です。

2.6. 公表および周知

本ポリシーは、従業員が個人データ保護管理に関する原則や規定を理解し、それに従うことができるよう、周知プロセスに基づいて公表されます。

本ポリシーは、データ保護責任者(DPO)およびFPTスマートクラウドの担当取締役によって見直し・修正される必要があります。データ保護責任者は、その実施および内部監査に責任を持ちます。

  1. データ保護管理

FPTスマートクラウドは、本データ保護ポリシーおよび適用されるデータ保護法への準拠状況を、年1回のデータ保護監査およびその他の管理活動を通じて確認します。これらの管理活動の実施責任は、データ保護担当者にあります。

監査の結果は、データ保護責任者およびFPTスマートクラウドの管掌取締役に報告されなければなりません。要請があった場合には、監督当局に対して結果を開示します。監督当局は、該当国の法令に基づき、本ポリシーの規定への準拠状況を独自に監査することができます。

  1. 技術的および組織的対策

FPTスマートクラウドは、委託データ処理契約の範囲内で個人データを処理する非公開企業として、EU一般データ保護規則(GDPR)およびその他国際的なデータ保護法への準拠を確保するための技術的および組織的対策を講じます。

加えて、FPTスマートクラウドは、システムおよびコンポーネントの機密性、完全性、可用性、および耐障害性を確保する責任を負います。

以下の分類に基づく対策は、現在の最小限のセキュリティ要件を網羅し、FPTスマートクラウドがデータ管理者の代理として個人データを処理する際の保護レベルの評価を目的としています。FPTスマートクラウドが管理者のシステムに接続する場合、少なくとも「機密性」の項目、すなわち「アクセス権管理」および「職務の分離」の管理を実施する必要があります。

FPTスマートクラウドでは、これらの対策を継続的に改善するプロセスを導入しています。

4.1. 秘密保持(Confidentiality)

  1. a) アクセス制御/建物セキュリティ

目的:個人データの処理に使用されるシステムへの不正使用を防止すること。

各従業員のユーザーマスターデータと個別識別コードを連絡先ディレクトリに登録。

各システムへは、識別コードとパスワードによる認証を経てのみアクセス可能。

実施中の対策:

☒ 警報システム

☒ 建物の配線保護

☒ 自動アクセス制御システム

☒ チップカードによる入退室管理

☒ 暗証番号付き施錠システム

☒ 手動施錠システム

☐ 生体認証によるアクセス管理

☒ 入口のビデオ監視

☐ 赤外線センサー/モーションセンサー

☒ セーフティロック

☒ 鍵の引き渡し規定

☒ 守衛/受付による身分確認

☒ 来訪者の記録

☒ 特別選任された清掃員の起用

☒ 特別選任された警備員の起用

☒ IDカードの着用義務

  1. b) 物理的アクセス制御/システム保護

目的:個人データを処理または使用する設備への物理的アクセスを不正に行わせないこと。

業務施設はセキュリティ要件に応じてゾーン分けされ、アクセス権限が異なる。

特殊区域(例:リモート保守センター等)には、追加のアクセス制御が施されている。

実施中の対策:

☒ 内部アクセス制御

☒ 権限分離管理

☒ 強力なパスワード要件

☐ 生体認証

☒ ユーザー名とパスワードによる認証

☒ ITシステムへのユーザープロファイル割当て

☒ サーバー/PCの物理的施錠

☒ VPN技術の利用(リモートアクセス)

☒ USB等の外部インターフェースのロック

☒ モバイルデバイスの暗号化

☒ 不正侵入検知システム

☐ スマートフォンの一括管理(例:遠隔削除)

☐ スマートフォン内容の暗号化

☐ スマートフォン用の安全なパスワード

☒ ノートパソコン上のデータメディア暗号化

☒ 個別ユーザー名の割当て

☐ その他(必要に応じて記載)

  1. c) 電子的アクセス制御/アクセス権の保護

目的:アクセス権を持つ者のみがデータにアクセスし、かつ個人データが不正に閲覧・複製・変更・削除されないようにすること。

各業務に必要なデータへのアクセスは、システムおよびアプリケーション上のロールと権限設定によって管理。

実施中の対策:

☒ 権限設計コンセプト

☒ システム管理者による権限管理

☒ 最小限のシステム管理者数

☒ 削除の記録管理

☒ アクセスログ(データの入力、変更、削除)

☒ ウイルス対策ソフトの導入

☒ デバイス再利用前の物理的データ削除

☒ ソフトウェアファイアウォールの適用

☒ データキャリアの安全な保管

☒ パスワードポリシー(長さ、更新頻度)

☒ データキャリアの暗号化

☒ 適切なシュレッダーまたは専門業者の利用

☒ ハードウェアファイアウォールの適用

☒ データキャリアの適切な破棄

☐ その他(必要に応じて記載)

☒ アクセスログの記録

 

  1. d) 分離管理/目的外利用の防止

目的:異なる目的で収集されたデータが、混在して処理されないようにすること。

個人データは、処理者の内部目的のみに使用。

第三者(例:下請け業者)への提供は契約と法令に基づいてのみ実施。

実施中の対策:

☒ 別々のシステム/媒体による物理的な分離保存

☒ 権限管理の設計

☒ 本番環境とテスト環境の分離

☒ 同一目的に基づくデータの暗号化

☒ テスト環境に本番データを使用しない

☒ 論理的なクライアント分離(ソフトウェアベース)

☐ その他(必要に応じて記載)

 

  1. e) 仮名化(Pseudonymization)

目的:追加情報なしではデータ主体を特定できない形式で個人データを処理すること。その追加情報は別途保管され、技術的・組織的措置により保護される。

実施中の対策:

☒ 仮名化(または匿名化)によるデータ処理

☒ 紐付け情報ファイルの分離保管(セキュアなITシステム内)

4.2. 完全性(Integrity)

a) データ転送管理/データ転送の安全性

データ転送管理の目的は、個人データの転送中に不正に読み取られたり、コピー、変更、削除されることを防ぎ、誰に転送されるのかを監視・追跡可能にすることです。

FPTスマートクラウドが第三者(顧客、業務委託先、サービス提供者など)へ個人データを転送するのは、該当契約が存在し、かつ特定の目的のために限られます。EU/EEAまたは原産国以外の国へ個人データを転送する場合、FPTスマートクラウドは、EUのモデル契約条項などを使用し、適切なデータ保護水準が転送先組織・地域で確保されていることを保証します。

☒ 専用回線またはVPNトンネルの設置
 ☒ 電子メールの暗号化
 ☒ データ受信者および転送・削除期間の記録
 ☒ 特別な輸送担当者および運送業者の選定
 ☒ 匿名化/仮名化されたデータによる転送
 ☒ 定期的なデータリクエストおよびデータ転送の概要作成
 ☒ 安全な輸送容器・梱包による物理的な輸送
 ☒ 暗号化された外部記憶媒体(CD、USB等)による転送

  1. b) 入力管理

入力管理の目的は、個人データの入力に関する状況を後から確認・監査できるようにすることです。

システムへの入力はログファイルとして記録され、後日誰がいつどのようにデータを入力・修正・削除したかを確認可能です。

☒ 入力・修正・削除が許可されているアプリケーションの一覧作成
 ☒ 権限管理に基づく入力・修正・削除権限の設定
 ☒ データの入力、修正、削除の継続的なログ記録
 ☒ 個別に割り当てられたユーザー名の使用によりアクセス制御を確保
 ☒ 自動処理されたデータの由来を評価するための記録保存
 ☒ アクティビティログ

4.3. 可用性および耐性(Availability and Resilience)

a) 偶発的または故意による破壊・損失の防止

可用性管理の目的は、個人データが偶発的な破壊や損失から保護されることを確保することです。

処理目的が終了した個人データは速やかに削除されます。なお、削除は即座に完全に行われるのではなく、一時的にロックされた後、一定期間経過後に完全削除され、誤削除や故意の破壊を防止します。

☒ 空調設備、過電流保護、消火器を備えたサーバールーム
 ☒ バックアップデータを別の安全な場所に保管
 ☒ 緊急対応計画
 ☒ 事業継続計画(BCP)
 ☒ トイレなどの衛生施設直下にサーバールームを配置しない
 ☒ 定期的なバックアップ
 ☒ 緊急時の監督体制

  1. b) 迅速な復旧体制

☒ バックアップおよび復旧の概念に基づいたリカバリ手順
 ☒ 復旧テストの実施
 ☒ 緊急対応体制の監督

4.4. 定期的な見直し、評価、監査のための手続き

a) データ保護管理

☒ 個人データの収集・処理・利用に関する社内ポリシーを策定
 ☒ データ保護責任者を文書で任命済み
 ☒ 従業員に対する個人情報の機密保持義務
 ☒ 電気通信の秘密保持規則への準拠義務
 ☒ 処理活動の内部記録リストを保持
 ☒ データ保護影響評価にデータ保護責任者が関与
 ☒ データ保護責任者は組織図に明記
 ☒ 従業員向けの研修を実施
 ☒ 不正アクセスを検知するための管理システムを導入

  1. b) インシデント対応管理

ITセキュリティに関連するインシデントや障害が発生した、あるいは疑われる場合の管理体制を確保します。

☒ インシデント管理のプロセス設計
 ☒ 現実的な訓練を実施するチーム体制
 ☒ セキュリティチームの任命と訓練

  1. c) プライバシー・バイ・デザインと初期設定によるデータ保護(EU規則に基づく)

☒ プライバシー・バイ・デザイン:適切な技術による保護の確保
 ☒ 将来的なニーズに対応したプライバシー保護技術の選定
 ☒ プライバシー・バイ・デフォルト:デフォルト設定による保護の確保

  1. d) 委託先(サブコン)管理・監督

管理者の明確な事前承認がない限り、データ処理の委託は行いません(契約書、正式な発注管理、厳格な選定、事前評価、継続的な監査など)。

☒ 委託先の専門的な精査(特にデータ保護に関して)
 ☒ データ処理契約等により委託先に対するガイドラインを文書化
 ☒ 委託先にデータ保護責任者が任命されている(必要に応じて)
 ☒ 管理者による監査権限を契約で明記
 ☒ 委託前にセキュリティ対策の実施状況を確認
 ☒ 委託先の従業員に機密保持契約を義務付け
 ☒ 契約終了後のデータの削除または破棄の保証
 ☒ 委託先の活動および状況の継続的な監査

5. 個人データ保護に関する研修

すべての新入社員は、入社初日に個人データ保護に関する研修を受講しなければなりません。

個人データを取り扱うすべての従業員は、データ処理を開始する前に、個人データ保護に関する研修を受講し、試験に合格することが義務付けられています。また、年に一度のリフレッシュ研修も必須です。

  1. データ保護責任者(DPO)

データ保護責任者は、業務命令に対して内部的に独立しており、国内外のデータ保護規則の遵守に努めます。データ保護責任者は本データ保護ポリシーに責任を持ち、その遵守状況を監督します。データ保護責任者は、FPTスマートクラウド取締役会により任命されます。

すべてのデータ主体は、データ保護またはデータセキュリティに関連する懸念、質問、情報請求、苦情を、いつでもデータ保護責任者に申し出ることができます。要望があった場合、懸念事項および苦情は機密として取り扱われます。

データ保護責任者の連絡先:

FPTスマートクラウド有限会社
 データ保護責任者:ファム・テ・ミン(Pham The Minh)
 住所:ベトナム ハノイ市 カウザイ区 ファム・バン・バック通り10番地 FPTタワー
 携帯電話:+84 913571357
 メールアドレス:MinhPT@fpt.com

  1. 責任および懲戒処分

FPTスマートクラウドおよびその子会社・関係法人の執行機関は、それぞれの責任範囲内におけるデータ処理に対して責任を負います。したがって、法的要件および本データ保護ポリシーに定めるデータ保護要件(例:国別の報告義務)を満たすよう確保する義務があります。取締役会は、組織的・人的・技術的対策が整備され、すべてのデータ処理が適切に実施されるよう責任を負います。これらの要件の遵守は、関係従業員の責任です。

外部機関によるデータ保護監査が実施される場合は、直ちにデータ保護責任者へ報告しなければなりません。

個人データの不適切な処理、またはその他のデータ保護法違反は、多くの国で刑事罰の対象となり、損害賠償請求の原因となる可能性があります。従業員個人に責任がある違反行為に対しては、就業規則に基づく懲戒処分(戒告、罰金、停職、解雇など)の対象となる場合があります。

このポリシーの意味やご自身への適用方法についてご不明な点がある場合は、下記まで電話またはメールにてデータ保護責任者へご相談ください。
 Pham The Minh
 電話:+84 913571357
 メール:MinhPT@fpt.com

  1. 補足的ガイドラインおよび文書

個人データ保護ポリシー

すべてのFPTスマートクラウド従業員は、本ポリシー、ガイドライン、手順、テンプレートをQMSプラットフォーム上で閲覧することができます。

  1. 例外

例外事項については、必ずデータ保護責任者による確認およびFPTスマートクラウドの責任取締役による承認が必要です。

10. 付録(Appendix)

10.1. 定義

略語 説明
PII / 個人識別情報 / 個人データ EU一般データ保護規則(GDPR)第4条第1項に定義される「個人データ」とは、識別された、または識別可能な自然人(データ主体)に関するあらゆる情報を指します。識別可能な自然人とは、名前、識別番号、位置データ、オンライン識別子、またはその者の身体的、生理的、遺伝的、精神的、経済的、文化的、または社会的な属性に基づいて直接的または間接的に識別できる者を指します。
データ主体 GDPR第4条第1項に基づき、直接的または間接的に識別可能な個人。
データ管理者(Data Controller) GDPR第4条第7項に基づき、個人データの処理目的および手段を単独で、または他者と共同で決定する自然人または法人、公的機関、機関、その他の団体。
データ処理者(Data Processor) GDPR第4条第8項に基づき、データ管理者の代わりにデータを処理する自然人または法人、公的機関、機関、その他の団体。
受領者(Recipient) GDPR第4条第9項に基づき、第三者か否かを問わず、個人データが開示される自然人または法人、公的機関、機関、その他の団体。
第三者(Third Party) GDPR第4条第10項に基づき、データ主体、管理者、処理者、またはそれらの直接的権限の下でデータを処理する者以外の自然人または法人、公的機関、機関、その他の団体。
DPO データ保護責任者(Data Protection Officer)
DPIA データ保護影響評価(Data Protection Impact Assessment)
EU 欧州連合(European Union)

10.2. 関連文書

No コード 文書名
1 EU GDPR EU一般データ保護規則(General Data Protection Regulation)
2 PERSONAL DATA PROTECTION DECREE NO. 13/2023/ND-CP, VN ベトナム政府による個人データ保護政令 第13/2023/ND-CP号(2023年7月)
3 PCI DSS 支払カード業界データセキュリティ基準(Payment Card Industry Data Security Standard)

10.3. ベトナムにおけるデータ保護法の概要

ベトナムには、単一の包括的なデータ保護法は存在しません。データ保護およびプライバシーに関する規定は、さまざまな法的文書に分散されています。プライバシー権、名誉、尊厳に関する権利およびそれらの基本原則は、2013年憲法および2015年民法において不可侵かつ法的に保護されるものと規定されています。

個人データの収集、保存、利用、処理、開示または移転に関する指針は、以下の主要な法令に記載されています:

  • データ法 第60/2024/QH15号(2024年11月30日国会通過、2025年7月1日施行)

  • 刑法 第100/2015/QH13号(2015年11月27日国会通過)

  • サイバーセキュリティ法 第24/2018/QH14号(2018年6月12日国会通過)

  • ネットワーク情報セキュリティ法 第86/2015/QH13号(2015年11月19日国会通過)、第35/2018/QH14号(2018年11月20日改正)

  • 消費者権利保護法 第59/2010/QH12号(2010年11月17日国会通過)、第35/2018/QH14号(2018年11月20日改正)

  • 情報技術法 第67/2006/QH11号(2006年6月29日国会通過)、第21/2017/QH14号(2017年11月14日改正)

  • 電子取引法 第51/2005/QH11号(2005年11月29日国会通過)

  • 政令 第85/2016/ND-CP号(2016年7月1日発効)情報システムのセキュリティ分類に関するもの

  • 政令 第72/2013/ND-CP号(2013年7月15日)、インターネットサービスとオンライン情報に関する管理;第27/2018/ND-CP号および第150/2018/ND-CP号により改正

  • 政令 第52/2013/ND-CP号(2013年5月16日)、第08/2018/ND-CP号および第85/2021/ND-CP号によって改正

  • 政令 第15/2020/ND-CP号(2020年2月3日)、郵便、電気通信、無線、IT、電子取引に関する違反への行政処分

  • 通達 第03/2017/TT-BTTTT号(2017年4月24日)政令85のガイドライン

  • 通達 第20/2017/TT-BTTTT号(2017年9月12日)全国的な情報セキュリティインシデント対応規定

  • 通達 第38/2016/TT-BTTTT号(2016年12月26日)越境公共情報提供に関する詳細

  • 通達 第24/2015/TT-BTTTT号(2015年8月18日)インターネット資源の管理・利用について(2019年7月19日通達第06/2019/TT-BTTTT号により改正)

  • 首相決定 第05/2017/QD-TTg号(2017年3月16日)、国家サイバー情報セキュリティ確保のための緊急対応計画

これらの法文書の適用性は、それぞれの事案の具体的な状況に依存します。たとえば、銀行・金融、教育、医療分野の企業は、より専門的なデータ保護規制の対象となる可能性があります。また、労働者の個人情報に関しては、2019年労働法に基づく規定が適用されることがあります。

FPTコーポレーションのデータ保護に関する規定:

  • ベトナム語:Chính sách bảo mật dữ liệu cá nhân(01-CS/TT/HDCV/FPT v1.0)
     個人データ保護ポリシー

  • ベトナム語:Chính sách bảo mật dữ liệu cá nhân của cán bộ nhân viên(02-CS/TT/HDCV/FPT v1.0)
     従業員の個人データ保護ポリシー