昨年5月に、EUの一般データ保護規則(GDPR)が施行され、話題を集めたが、アジアでもデータ保護に関する法規制の施行が進んでいる。今年1月には、ベトナムサイバーセキュリティ法が施行された。
IIJはベトナムサイバーセキュリティ法の施行に伴い、同日、ベトナム向けクラウドサービス「FPT HI GIO CLOUD」をハノイに拡大することを発表し、説明会を開催した。
ベトナムのサイバーセキュリティ法では、各種データを国内で保存するデータローカライゼーション規制が強化されたため、クラウドの需要拡大が見込まれる。
弁護士の小出将夫氏は、「ベトナムにはもともとサイバー情報保護法があったが、同法はサイバー空間における個人情報の取り扱いなどを規制するものだった。今回施行されたサイバーセキュリティ法は、一定の情報の国内保存義務を新たに規定している点で異なる」と説明した。
このように、企業などが自国の領域内で事業を行うための条件として、領域内でデータの管理や処理が行われるよう規制することは「データローカライゼーション」と呼ばれ、各国での導入が加速している。主に、自国の産業振興や安全保障の確保などが目的と言われている。
例えば、フィリピンは2012年に「データプライバシー法」で、マレーシアは2013年に「個人情報保護法」で、シンガポールは2014年に「個人情報保護法」で、インドネシアは2016年に「改正電子情報および取引法」で、データローカライゼーションの規制を開始している。
小出氏は「ベトナムサイバーセキュリティ法は1月に施行されたが、細則はこれから決まるので、詳しいことはまだわからない」としたうえで、データローカライゼーションの規制について説明した。
規制対象は「個人情報などを収集、利用、分析または処理する企業」「ベトナムにおける通信網、インターネット網またはサイバー空間上で付加サービスを提供する国内外の企業」と解釈でき、インターネットを利用する企業はすべて対象となるおそれがあるという。
規制対象の情報は「個人情報」「サイバーサービス利用者の関連データ」「国内でサービス利用者によって作成されたデータ」と考えられるという。
規制内容としては「ベトナム国内でのデータ保管」と「ベトナム国内に事務所設置」が義務付けられており、個人情報の国外移転についてはまだ規制が定められていない。
規制開始時期は、政令草案では「公安大臣の要請から12カ月」となっており、1年程度の経過措置も考えられるが、正確な時期は不明だという。
その他の情報規制としては、「国への反対、他者の誹謗中傷、経済管理秩序の侵害などの情報について、サイバー空間上での流布の防止」「アカウント情報などの国家公安当局への提供義務」が定められている。
小出氏は、実務的な対応として、「個人情報などの国内サーバへの保管」「日本本社と他国視点からの情報の隔離」「今度の細則、政令のフォローアップ」を挙げた。
IIJのベトナムにおけるクラウドサービス事業については、IIJ Global Solutions Vietnam General Directorの松元涼氏が説明した。
IIJは現地の大手通信事業者のFPTテレコムと協業して、2017年からクラウドサービス「FPT HI GIO CLOUD」を提供している。2018年は契約数、売上ともに県庁で、2017年12月に比べ、2018年12月の売上は5倍に伸長しているという。
当初、ホーチミンにクラウドサービス向けの設備を設置していたが、ビジネスの拡大に伴い、今回、ハノイに新たな設備を設け、ベトナム国内2カ所からサービスを提供することになった。
松元氏は、AWSなどのクラウドサービスと同社のクラウドサービスの違いについて、「オンライン契約、書面での契約など、さまざまな顧客の事情に対応している。ベトナム会計上となる公正領収書(レッドボイス)の発行も可能だ。加えて、ベトナム語でのサポートも提供する」と述べた。
既に、同社の顧客10社ほどからベトナムサイバーセキュリティ法に関する問い合わせを受けており、同法への対策として、成約に至った案件もあるという。
同社のクラウドサービスの利用につながったケースとしては、教育機関向けのサービスを提供する日系企業から「新たにベトナムでサービスを開始したいが、サービス設備は日本設置のものと共有できるか」という問い合わせを受け、「多くのベトナム国民の個人情報を扱うサービスの特性上、ベトナム国内に設置することをお勧めする」とアドバイスしたそうだ。
この企業以外にも、シンガポールのデータセンターからベトナムにサービスを提供しようとしていた企業がIIJのサービスを利用する例がいくつもあるという。