Medibase
EN VI JA

ベトナム デジタルヘルスにおける個人データ保護

Luật 91/2025/QH15 — ベトナム初の個人データ保護専用法 — および実施政令 Nghị định 356/2025/NĐ-CP(いずれも2026年1月1日施行)が、健康データ:遠隔医療プラットフォーム、電子カルテ、電子処方箋、国家医薬品トレーサビリティシステム、BHYT データおよび臨床試験データにどのように適用されるか。健康・生体・遺伝データは機微(nhạy cảm)な個人データ。国境を越える移転と DPO 指名は適用範囲内では必須。行政罰は Luật 第8条で直接法定化されている(違法販売に対し違法収入の最大10倍、国境を越える移転違反に対し前年売上の最大5%、その他の違反に対し最大30億 VND)。

概要

ベトナムは2026年1月1日、政令レベルの個人データ保護体制から専用の基本法へ移行した。Luật 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân — およびその実施政令 Nghị định 356/2025/NĐ-CP が同日施行された。新法および実施政令は、2023年7月1日から2025年12月31日まで個人データ保護を規律してきた従前の Nghị định 13/2023/NĐ-CP を明示的に廃止した。並行運用はない:2026年1月1日以降、管理者および処理者は新法と政令のみを適用する。

デジタルヘルスにおける重要性:

  • 遠隔医療プラットフォーム(Luật 15/2023/QH15 第53条;Nghị định 96/2023/NĐ-CP 第87条)は機微な健康データを大規模に処理する。
  • 電子カルテ(bệnh án điện tử)と Luật 15/2023 で求められる施設間接続は、患者の健康データを共有インフラに置く。
  • 14桁の国家処方箋コードを伴う電子処方(Thông tư 11/2025/TT-BYT が Thông tư 02/2018 GPP を改正)は、患者識別子と医薬品調剤データを国家医薬品システム経由で流通させる。
  • 医薬品トレーサビリティシステムは、製造業者、卸売、小売、患者の記録を結ぶ。
  • BHYT(Bảo hiểm Y tế)保険請求の処理は診断・治療データを含む。
  • 臨床試験は、被験者の詳細な健康データおよび時に遺伝データを処理する。

このページの範囲:

  • 2026年1月1日に何が変わったか。
  • 定義:個人データと機微な個人データ;なぜ健康データが機微か。
  • Luật 第4条に基づくデータ主体の権利。
  • 法的根拠と同意 — 機微な健康データへの個別の同意を含む。
  • 管理者/処理者の義務:DPIA 提出、DPO、安全管理、漏えい通知。
  • 個人データの国境を越える移転 — Mẫu 09 を用いた Bộ Công an / Cục A05 への60日以内の必須提出。
  • データローカライゼーション — Luật An ninh mạng + Nghị định 53/2022/NĐ-CP(適用対象オンラインサービス)。
  • 医療セクター横断規則(Luật 15/2023、Nghị định 96/2023、Thông tư 11/2025)。
  • 制裁 — 行政(Luật 第8条)および刑事(Bộ luật Hình sự 第288条)。
  • 遠隔医療、EMR、電子処方、トレーサビリティ、臨床試験事業者のための実務コンプライアンスチェックリスト。

法令スタック概観:

  • Luật 91/2025/QH15 — 基本法、5章39条、2025年6月26日に第15期国会第9回会期で可決、2026年1月1日施行。
  • Nghị định 356/2025/NĐ-CP2025年12月31日公布、2026年1月1日施行、5章42条、10の付属様式(特に Mẫu 09 — 国境を越える移転影響評価報告書)。
  • Luật An ninh mạng 24/2018/QH14 + Nghị định 53/2022/NĐ-CP — データローカライゼーション体制、2025年改革で変更なし。
  • Bộ luật Hình sự 第288条 — コンピュータネットワーク・通信ネットワーク上の個人情報の無断開示・取引に対する刑事責任。
  • Luật Khám bệnh, chữa bệnh 15/2023/QH15 第69条 — 患者の権利(カルテ情報の守秘、自己のカルテへのアクセス・複写の権利を含む)。
  • Nghị định 96/2023/NĐ-CP 第87条 — 遠隔医療運営施設の IT セキュリティおよびデータ保護条件。
  • Thông tư 11/2025/TT-BYT(Thông tư 02/2018 GPP を改正) — 薬局ソフトウェアの国家医薬品/電子処方システムへの接続、ならびに14桁の電子処方箋コード。

必要な定義:

  • 「Dữ liệu cá nhân」 — 個人データ、自然人に関連付けられた、または識別する一切の情報。
  • 「Dữ liệu cá nhân nhạy cảm」 — 機微な個人データ、Luật および Nghị định で列挙される定義済みのサブセット(健康データ、生体データ、遺伝データ、性的指向、宗教的信条、政治的意見、金融口座、犯罪歴その他)を含む。医療セクターの管理者は、収集するデータが機微であることを**事前かつ書面で**データ主体に通知しなければならない — 通常の個人データには存在しない個別の義務。
  • 「Bên kiểm soát dữ liệu」(管理者)と「Bên xử lý dữ liệu」(処理者)は異なる義務を負う;共同管理者は書面で責任分担を合意しなければならない。
  • 「Chuyển dữ liệu cá nhân xuyên biên giới」 — 個人データの国境を越える移転、2023年用語の「個人データの海外移転」を置き換え、海外サーバへの移転およびベトナム国内に保管されたデータへの海外からのアクセスをいずれも含む。

データ主体の権利(Luật 91/2025/QH15 第4条): 処理について通知を受ける権利、同意または拒否、いつでも同意を撤回、アクセス・閲覧・修正、提供または削除の請求、処理の制限、処理への異議、苦情、告発、訴訟、損害賠償の請求、ならびに管理者および当局に対する保護措置の要求。Nghị định 356/2025/NĐ-CP は、主体からの請求の受領・記録に対し**2営業日**の初回応答期限を定める(実質処理期限はより長期)。

健康データの法的根拠と同意:

  • 同意がデフォルトの根拠であり、機微な健康データの同意は特定的・情報提供型かつ別途文書化されなければならない。
  • Luật 第19条は、緊急事態、公益防御、人命救助状況および一部法定義務(Luật 15/2023 のもとでの救急対応を含む)における限定的な例外を定める。
  • 医療管理者は、患者の書面による要求がない限り、第三者の医療・生命保険・社会保険サービス提供者へ患者データを移転してはならない(第19条適用の場合を除く)。

管理者/処理者の義務:

  • DPIA:機微な個人データを処理するすべての管理者は、個人データ処理影響評価書類(hồ sơ đánh giá tác động xử lý dữ liệu cá nhân)を作成し、処理開始から60日以内に Bộ Công an の Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao(A05)に提出しなければならない。遠隔医療、EMR、電子処方、医薬品トレーサビリティ、臨床試験スポンサー/CRO および BHYT 処理管理者はすべて機微データ定義により対象。
  • DPO — bộ phận hoặc nhân sự chuyên trách bảo vệ dữ liệu cá nhân:機微な個人データを処理する組織には必須であり、医療セクターはデフォルトでこれに含まれる。DPO はデータ主体および A05 との連絡窓口。
  • セキュリティ:リスクに見合う技術的・組織的措置 — 暗号化、アクセス制御、分離、保管統制、監査ログ。
  • 漏えい通知:**72時間**以内に Bộ Công an の A05 へ、詳細記録を5年以上保持。漏えいが生体データまたは位置データに関わる場合、影響を受けたデータ主体への72時間以内またはできる限り速やかな通知も必要。
  • 児童データ:処理は父母または法定後見人の同意が必要;7歳以上の児童は児童の同意も取得すること。

個人データの国境を越える移転:

  • 2025年法の用語:「chuyển dữ liệu cá nhân xuyên biên giới」。
  • 必須の**báo cáo đánh giá tác động chuyển dữ liệu xuyên biên giới(Mẫu 09)**を移転開始から60日以内に Cục A05 に提出;報告書には移転契約または誓約、ならびに受領地での保護統制の証拠を含めること。
  • 限定的例外:国際運送・支払契約、海外留学、海外での救急医療、ならびにデータ業を営まない小規模企業のための5年の遅延提出ウィンドウ。
  • 海外サーバからベトナム患者にサービスを提供する外国遠隔医療提供者は対象に該当し、ベトナム認可施設経由でルーティング(Medibase 遠隔医療リファレンスページ参照)するか、国境を越える移転書類を提出しなければならない。
  • 域外適用:Luật 91/2025/QH15 は、海外からベトナム居住者の個人データを処理する外国組織に適用される。

Luật An ninh mạng + Nghị định 53/2022/NĐ-CP のもとでのデータローカライゼーション:

  • Luật 91/2025/QH15 自体は包括的なローカライゼーション義務を課さない;ローカライゼーションは引き続き Luật An ninh mạng と Nghị định 53/2022 が規律する。
  • ベトナムユーザーの個人データを保管する対象オンラインサービスは、最低期間そのデータをベトナム国内に保管しなければならない。外資系遠隔医療および EMR プラットフォームは、DPIA と並行してローカライゼーション評価を別途実施すべき。

制裁:

  • Luật 91/2025/QH15 第8条は、法そのものに行政罰の上限を直接法定化した — 通信・IT 一般の制裁令である Nghị định 15/2020/NĐ-CP に依拠していた2023年枠組からの重要な変化。
  • 個人データの違法販売:違法収入の最大**10倍**の罰金。
  • 個人データの国境を越える移転規則違反:違反組織の前年売上の最大**5%**の罰金。
  • その他の違反:組織には最大**30億 VND**;個人は組織上限の半分。
  • サイバーセキュリティおよび個人データ保護に関する専用の行政罰政令が、2026年初頭に Bộ Công an によりパブリックコメント中で、手続詳細を定める予定;公布までの間、A05 は法の直接罰則規定により執行する 。
  • 刑事責任:Bộ luật Hình sự 第288条(「Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông」) — 罰金3,000万〜2億 VND、または3年以下の懲役、加重で最大7年。
  • 医療セクターの行政罰 Nghị định 117/2020/NĐ-CP は、非データの医療違反について引き続き有効であり、データ保護罰と併科され得る。

医療セクター横断規則:

  • Luật 15/2023/QH15 第69条 — 患者の守秘および自己のカルテへのアクセス・複写権。EMR システムの管理者は、要求に応じて患者にカルテの写しを提供できなければならない。
  • Nghị định 96/2023/NĐ-CP 第87条第1項 — 遠隔医療施設は臨床データの安全な伝送、表示、処理および保管を保証し、技術ベンダーとデータ保護条項を契約しなければならない。
  • Thông tư 11/2025/TT-BYT — 薬局ソフトウェアは国家医薬品/電子処方システムに接続しなければならない;調剤は14桁の国家コードを伴う電子処方箋に対してのみ;このパイプを流れる患者識別子は機微な健康データであり、薬局事業者は DPIA、DPO、漏えい通知義務を承継する。
  • Luật 15/2023/QH15 第112条 — 個人健康情報システム(hệ thống thông tin sức khỏe cá nhân)の設立、ならびに施設が EMR と電子処方を導入し、国家医療活動管理情報システムに接続する要件 。

実務コンプライアンスチェックリスト(遠隔医療、EMR、電子処方、トレーサビリティ、臨床試験事業者): 1. データフローのマッピング:各カテゴリを個人データ、機微な個人データ、または非個人データに分類。健康データはデフォルトで機微。 2. 同意フォームの更新:機微データ処理に対する個別かつ特定的な同意、データが機微である旨の明示的通知を伴う。 3. DPIA 書類を作成し、処理開始から60日以内に Cục A05 へ提出;実質的変更時に更新。 4. DPO(または DPO チーム)を指名し、連絡チャンネルを公開。 5. 国境を越える移転:すべての海外受領者(クラウドリージョン、親会社の分析、外国 CRO、外国スポンサー)を範囲特定、Mẫu 09 を A05 に提出、受領地での保護統制を伴う移転契約を整備。 6. データローカライゼーション:対象オンラインサービスについて Luật An ninh mạng / Nghị định 53/2022 評価を別途実施し、必要に応じてベトナムリージョン保管を確保。 7. 漏えい対応プレイブック:A05 への72時間通知ウィンドウ;生体/位置データ漏えいは主体への通知も追加。 8. 記録保持:漏えい記録および処理ログは最低5年。 9. ベンダー契約:処理者条項に責任の具体的配分、サブ処理者統制、監査権、終了時削除を規定。 10. ガバナンス横断連携:Luật 15/2023 患者権利ワークフロー(第69条)、Nghị định 96/2023 遠隔医療統制(第87条)、Thông tư 11/2025 薬局ソフトウェア接続と整合させる。

  • 参考情報であり、法律上または医療上の助言ではありません。常に vanban.chinhphu.vn の Luật 91/2025/QH15 および Nghị định 356/2025/NĐ-CP の統合本文ならびに Bộ Công an / Cục A05 の最新ガイダンスと照合してください。

主要法令文書

基礎法:

  • Luật 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân、2025年6月26日可決、2026年1月1日施行。5章、39条。第4条(データ主体の権利)、第8条(行政罰上限)、第19条(適法処理の例外)。
  • Luật An ninh mạng 24/2018/QH14 — サイバーセキュリティ、データローカライゼーションの根拠。
  • Luật Khám bệnh, chữa bệnh 15/2023/QH15 第69条(患者の守秘およびカルテアクセス);第112条(個人健康情報システム)。
  • Bộ luật Hình sự 第288条 — コンピュータネットワーク・通信ネットワーク上の個人情報の無断開示・取引。

政令:

  • Nghị định 356/2025/NĐ-CP2025年12月31日2026年1月1日施行、Luật 91/2025/QH15 を実施。5章、42条、10の付属様式(Mẫu 09 — 国境を越える移転影響評価報告書)。
  • Nghị định 53/2022/NĐ-CP — Luật An ninh mạng のもとでのデータローカライゼーション。
  • Nghị định 96/2023/NĐ-CP 第87条 — 遠隔医療の IT セキュリティおよびデータ保護。
  • Nghị định 117/2020/NĐ-CPNghị định 124/2021/NĐ-CP により改正) — 医療分野の行政罰。

通達:

  • Thông tư 11/2025/TT-BYT — 薬局ソフトウェアの国家医薬品/電子処方システムへの接続;14桁の電子処方箋コード。
  • Thông tư 18/2026/TT-BYT — 特別管理医薬品、麻薬・向精神薬・前駆体の遠隔処方禁止を含む(データ保護と横断)。

置換済み:

  • Nghị định 13/2023/NĐ-CPNghị định 356/2025/NĐ-CP により2026年1月1日から廃止。

制裁および執行機関:

  • Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao(A05) — Bộ Công an。Luật 91/2025/QH15 および Nghị định 356/2025/NĐ-CP の主たる執行機関。
  • サイバーセキュリティおよび個人データ保護に関する専用の行政罰政令がパブリックコメント中 。

原文書

公式ポータルの原文へのリンク。

法律および政令:

セクター別ガイダンス:

運営ポータル:

Medibase 参照:

  • リファレンス — 遠隔医療 — /practice/telemedicine/
  • リファレンス — 医療業務免許 — /practice/practice-licensing/
  • リファレンス — 医療施設許認可 — /practice/facility-licensing/
  • リファレンス — 医薬品流通・小売(電子処方) — /medicine/distribution-retail/
  • リファレンス — 特別管理医薬品 — /medicine/special-control/

最新の更新

2023年4月17日 — 政府が Nghị định 13/2023/NĐ-CP、ベトナム初の包括的データ保護政令を公布(2023年7月1日施行)。

2018年6月12日 — Quốc hội が Luật An ninh mạng 24/2018/QH14 を可決、データローカライゼーションの根拠を提供。

2022年8月15日 — 政府が Nghị định 53/2022/NĐ-CP を公布、データローカライゼーション規則を詳細化。

2025年6月26日 — 第15期 Quốc hội が第9回会期で Luật 91/2025/QH15(Luật Bảo vệ dữ liệu cá nhân)を可決 — ベトナム初の個人データ保護専用基本法。

2025年12月31日 — 政府が Luật 91/2025/QH15 を実施する Nghị định 356/2025/NĐ-CP を公布し、Nghị định 13/2023/NĐ-CP を明示的に廃止。

2026年1月1日Luật 91/2025/QH15 および Nghị định 356/2025/NĐ-CP 施行。医療セクターの管理者は DPIA、DPO、漏えい通知体制を整備しなければならない;国境を越える移転は Mẫu 09 提出を要する。

2026年初頭 — Bộ Công an がサイバーセキュリティおよび個人データ保護に関する行政罰政令ドラフトをパブリックコメントに付す 。

リソース・リンク

運営ポータル:

  • Bộ Công an / Cục A05 — https://bocongan.gov.vn
  • 保健省 — https://moh.gov.vn
  • Cục Quản lý Khám, Chữa bệnh — https://kcb.vn
  • ベトナム社会保険(BHYT — VSS) — https://baohiemxahoi.gov.vn

法令テキストポータル:

  • Cổng thông tin điện tử Chính phủ — văn bản pháp luật — https://vanban.chinhphu.vn
  • 官報(Công báo)電子版 — https://congbao.chinhphu.vn
  • 国家法令ポータル(司法省) — https://vbpl.vn
  • Thư viện pháp luật — https://thuvienphapluat.vn

Medibase 参照:

  • リファレンス — 遠隔医療 — /practice/telemedicine/
  • リファレンス — 医療業務免許 — /practice/practice-licensing/
  • リファレンス — 医療施設許認可 — /practice/facility-licensing/
  • リファレンス — 医薬品流通・小売 — /medicine/distribution-retail/
  • リファレンス — 特別管理医薬品 — /medicine/special-control/
  • リファレンス — 臨床試験・BE — /medicine/clinical-trials-be/

よくある質問

2026年1月1日に医療では何が変わったか?

Luật 91/2025/QH15(個人データ保護法)および Nghị định 356/2025/NĐ-CP が施行され、従前の Nghị định 13/2023/NĐ-CP に代わった。医療セクターの管理者 — 遠隔医療プラットフォーム、EMR 事業者、電子処方薬局、医薬品トレーサビリティ事業者、BHYT 処理者、臨床試験スポンサー — は、健康データが機微な個人データに分類されるため、DPIA、DPO、漏えい通知体制を整備しなければならない。

健康データは機微な個人データか?

はい。2025年法および Nghị định 356 は健康データ(生体・遺伝データを含む)を機微な個人データに分類し、特定の情報提供型同意およびデータが機微である旨の事前明示通知を主体に要する。

DPIA はいつ提出が必要か?

処理開始から60日以内に、Bộ Công an の Cục A05 へ。DPIA は実質的変更時に更新が必要。

DPO を指名しなければならないか?

はい。機微な個人データを処理する組織は個人データ保護担当者またはチームを指名しなければならない;医療セクターはデフォルトで対象。

遠隔医療または EMR データを海外クラウドリージョンでホストできるか?

可能だが、(i) 国境を越える移転影響評価報告書(Mẫu 09)を60日以内に Cục A05 へ提出、(ii) 受領地での保護統制を伴う移転契約を整備、(iii) 対象オンラインサービスについて Luật An ninh mạng + Nghị định 53/2022 のローカライゼーション評価を別途実施しなければならない。海外サーバからベトナム患者にサービスを提供する外国遠隔医療プラットフォームも対象。

漏えいはどのくらい速く通知が必要か?

72時間以内に Bộ Công an の Cục A05 へ。漏えいが生体または位置データに関わる場合、影響を受けた主体にも72時間以内またはできる限り速やかに通知。記録は最低5年保持。

主要な罰則は何か?

Luật 91/2025/QH15 第8条は罰則上限を法に直接法定化:個人データの違法販売に対し違法収入の最大10倍、国境を越える移転違反に対し前年売上の最大5%、その他の違反に対し最大30億 VND(個人:組織上限の半分)。刑事責任は Bộ luật Hình sự 第288条による。

Luật 91/2025/QH15 はデータローカライゼーションを義務付けるか?

いいえ — ローカライゼーションは引き続き Luật An ninh mạng 24/2018/QH14 および Nghị định 53/2022/NĐ-CP が規律する。対象オンラインサービスについて DPIA と並行してその評価を実施すること。

電子処方パイプラインとの相互作用は?

Thông tư 11/2025/TT-BYT は薬局ソフトウェアの国家医薬品/電子処方システムへの接続と、14桁の電子処方箋コードに対してのみ調剤することを要求する。このパイプを流れる患者識別子および調剤データは機微な健康データ;薬局事業者は DPIA、DPO、漏えい通知義務を承継する。

更新履歴

2026-06-28: 初回公開。Luật 91/2025/QH152026年1月1日施行)、Nghị định 356/2025/NĐ-CP (実施政令、2026年1月1日施行、Nghị định 13/2023/NĐ-CP を置換)、Luật An ninh mạng 24/2018/QH14 + Nghị định 53/2022/NĐ-CP(データローカライゼーション)、Bộ luật Hình sự 第288条(刑事責任)、Luật Khám bệnh, chữa bệnh 15/2023/QH15 第69条および第112条、Nghị định 96/2023/NĐ-CP 第87条、Thông tư 11/2025/TT-BYT(電子処方)への参照を反映。 印の項目は原典確認待ち。

施行日:
2026-01-01
最終確認:
2026-06-28
ページ更新:
2026-07-04

参考情報であり、法律上または医療上の助言ではありません。