弁護士法人One Asia 弁護士 小出将夫氏

昨年5月に、EUの一般データ保護規則(GDPR)が施行され、話題を集めたが、アジアでもデータ保護に関する法規制の施行が進んでいる。今年1月には、ベトナムサイバーセキュリティ法が施行された。

IIJはベトナムサイバーセキュリティ法の施行に伴い、同日、ベトナム向けクラウドサービス「FPT HI GIO CLOUD」をハノイに拡大することを発表し、説明会を開催した。

ベトナムのサイバーセキュリティ法では、各種データを国内で保存するデータローカライゼーション規制が強化されたため、クラウドの需要拡大が見込まれる。

弁護士の小出将夫氏は、「ベトナムにはもともとサイバー情報保護法があったが、同法はサイバー空間における個人情報の取り扱いなどを規制するものだった。今回施行されたサイバーセキュリティ法は、一定の情報の国内保存義務を新たに規定している点で異なる」と説明した。

このように、企業などが自国の領域内で事業を行うための条件として、領域内でデータの管理や処理が行われるよう規制することは「データローカライゼーション」と呼ばれ、各国での導入が加速している。主に、自国の産業振興や安全保障の確保などが目的と言われている。

  • データローカライゼーションの例 資料:総務省「安心・安全なデータ流通・利活用に関する調査研究」(平成29年)

例えば、フィリピンは2012年に「データプライバシー法」で、マレーシアは2013年に「個人情報保護法」で、シンガポールは2014年に「個人情報保護法」で、インドネシアは2016年に「改正電子情報および取引法」で、データローカライゼーションの規制を開始している。

小出氏は「ベトナムサイバーセキュリティ法は1月に施行されたが、細則はこれから決まるので、詳しいことはまだわからない」としたうえで、データローカライゼーションの規制について説明した。

規制対象は「個人情報などを収集、利用、分析または処理する企業」「ベトナムにおける通信網、インターネット網またはサイバー空間上で付加サービスを提供する国内外の企業」と解釈でき、インターネットを利用する企業はすべて対象となるおそれがあるという。

規制対象の情報は「個人情報」「サイバーサービス利用者の関連データ」「国内でサービス利用者によって作成されたデータ」と考えられるという。

規制内容としては「ベトナム国内でのデータ保管」と「ベトナム国内に事務所設置」が義務付けられており、個人情報の国外移転についてはまだ規制が定められていない。

規制開始時期は、政令草案では「公安大臣の要請から12カ月」となっており、1年程度の経過措置も考えられるが、正確な時期は不明だという。

その他の情報規制としては、「国への反対、他者の誹謗中傷、経済管理秩序の侵害などの情報について、サイバー空間上での流布の防止」「アカウント情報などの国家公安当局への提供義務」が定められている。

小出氏は、実務的な対応として、「個人情報などの国内サーバへの保管」「日本本社と他国視点からの情報の隔離」「今度の細則、政令のフォローアップ」を挙げた。

IIJ Global Solutions Vietnam   General Director 松元涼氏

IIJのベトナムにおけるクラウドサービス事業については、IIJ Global Solutions Vietnam General Directorの松元涼氏が説明した。

IIJは現地の大手通信事業者のFPTテレコムと協業して、2017年からクラウドサービス「FPT HI GIO CLOUD」を提供している。2018年は契約数、売上ともに県庁で、2017年12月に比べ、2018年12月の売上は5倍に伸長しているという。

当初、ホーチミンにクラウドサービス向けの設備を設置していたが、ビジネスの拡大に伴い、今回、ハノイに新たな設備を設け、ベトナム国内2カ所からサービスを提供することになった。

  • IIJのクラウドサービス「FPT HI GIO CLOUD」

松元氏は、AWSなどのクラウドサービスと同社のクラウドサービスの違いについて、「オンライン契約、書面での契約など、さまざまな顧客の事情に対応している。ベトナム会計上となる公正領収書(レッドボイス)の発行も可能だ。加えて、ベトナム語でのサポートも提供する」と述べた。

既に、同社の顧客10社ほどからベトナムサイバーセキュリティ法に関する問い合わせを受けており、同法への対策として、成約に至った案件もあるという。

同社のクラウドサービスの利用につながったケースとしては、教育機関向けのサービスを提供する日系企業から「新たにベトナムでサービスを開始したいが、サービス設備は日本設置のものと共有できるか」という問い合わせを受け、「多くのベトナム国民の個人情報を扱うサービスの特性上、ベトナム国内に設置することをお勧めする」とアドバイスしたそうだ。

この企業以外にも、シンガポールのデータセンターからベトナムにサービスを提供しようとしていた企業がIIJのサービスを利用する例がいくつもあるという。