ベトナム デジタルヘルスにおける個人データ保護

ベトナムは2026年1月1日、政令レベルの個人データ保護体制から専用の基本法へ移行した。Luật 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân — およびその実施政令 Nghị định 356/2025/NĐ-CP が同日施行された。新法および実施政令は、2023年7月1日から2025年12月31日まで個人データ保護を規律してきた従前の Nghị định 13/2023/NĐ-CP を明示的に廃止した。並行運用はない：2026年1月1日以降、管理者および処理者は新法と政令のみを適用する。

デジタルヘルスにおける重要性：

• 遠隔医療プラットフォーム（Luật 15/2023/QH15 第53条；Nghị định 96/2023/NĐ-CP 第87条）は機微な健康データを大規模に処理する。
• 電子カルテ（bệnh án điện tử）と Luật 15/2023 で求められる施設間接続は、患者の健康データを共有インフラに置く。
• 14桁の国家処方箋コードを伴う電子処方（Thông tư 11/2025/TT-BYT が Thông tư 02/2018 GPP を改正）は、患者識別子と医薬品調剤データを国家医薬品システム経由で流通させる。
• 医薬品トレーサビリティシステムは、製造業者、卸売、小売、患者の記録を結ぶ。
• BHYT（Bảo hiểm Y tế）保険請求の処理は診断・治療データを含む。
• 臨床試験は、被験者の詳細な健康データおよび時に遺伝データを処理する。

このページの範囲：

• 2026年1月1日に何が変わったか。
• 定義：個人データと機微な個人データ；なぜ健康データが機微か。
• Luật 第4条に基づくデータ主体の権利。
• 法的根拠と同意 — 機微な健康データへの個別の同意を含む。
• 管理者／処理者の義務：DPIA 提出、DPO、安全管理、漏えい通知。
• 個人データの国境を越える移転 — Mẫu 09 を用いた Bộ Công an / Cục A05 への60日以内の必須提出。
• データローカライゼーション — Luật An ninh mạng + Nghị định 53/2022/NĐ-CP（適用対象オンラインサービス）。
• 医療セクター横断規則（Luật 15/2023、Nghị định 96/2023、Thông tư 11/2025）。
• 制裁 — 行政（Luật 第8条）および刑事（Bộ luật Hình sự 第288条）。
• 遠隔医療、EMR、電子処方、トレーサビリティ、臨床試験事業者のための実務コンプライアンスチェックリスト。

法令スタック概観：

• Luật 91/2025/QH15 — 基本法、5章39条、2025年6月26日に第15期国会第9回会期で可決、2026年1月1日施行。
• Nghị định 356/2025/NĐ-CP — 2025年12月31日公布、2026年1月1日施行、5章42条、10の付属様式（特に Mẫu 09 — 国境を越える移転影響評価報告書）。
• Luật An ninh mạng 24/2018/QH14 + Nghị định 53/2022/NĐ-CP — データローカライゼーション体制、2025年改革で変更なし。
• Bộ luật Hình sự 第288条 — コンピュータネットワーク・通信ネットワーク上の個人情報の無断開示・取引に対する刑事責任。
• Luật Khám bệnh, chữa bệnh 15/2023/QH15 第69条 — 患者の権利（カルテ情報の守秘、自己のカルテへのアクセス・複写の権利を含む）。
• Nghị định 96/2023/NĐ-CP 第87条 — 遠隔医療運営施設の IT セキュリティおよびデータ保護条件。
• Thông tư 11/2025/TT-BYT（Thông tư 02/2018 GPP を改正） — 薬局ソフトウェアの国家医薬品／電子処方システムへの接続、ならびに14桁の電子処方箋コード。

必要な定義：

• 「Dữ liệu cá nhân」 — 個人データ、自然人に関連付けられた、または識別する一切の情報。
• 「Dữ liệu cá nhân nhạy cảm」 — 機微な個人データ、Luật および Nghị định で列挙される定義済みのサブセット（健康データ、生体データ、遺伝データ、性的指向、宗教的信条、政治的意見、金融口座、犯罪歴その他）を含む。医療セクターの管理者は、収集するデータが機微であることを**事前かつ書面で**データ主体に通知しなければならない — 通常の個人データには存在しない個別の義務。
• 「Bên kiểm soát dữ liệu」（管理者）と「Bên xử lý dữ liệu」（処理者）は異なる義務を負う；共同管理者は書面で責任分担を合意しなければならない。
• 「Chuyển dữ liệu cá nhân xuyên biên giới」 — 個人データの国境を越える移転、2023年用語の「個人データの海外移転」を置き換え、海外サーバへの移転およびベトナム国内に保管されたデータへの海外からのアクセスをいずれも含む。

データ主体の権利（Luật 91/2025/QH15 第4条）： 処理について通知を受ける権利、同意または拒否、いつでも同意を撤回、アクセス・閲覧・修正、提供または削除の請求、処理の制限、処理への異議、苦情、告発、訴訟、損害賠償の請求、ならびに管理者および当局に対する保護措置の要求。Nghị định 356/2025/NĐ-CP は、主体からの請求の受領・記録に対し**2営業日**の初回応答期限を定める（実質処理期限はより長期）。

健康データの法的根拠と同意：

• 同意がデフォルトの根拠であり、機微な健康データの同意は特定的・情報提供型かつ別途文書化されなければならない。
• Luật 第19条は、緊急事態、公益防御、人命救助状況および一部法定義務（Luật 15/2023 のもとでの救急対応を含む）における限定的な例外を定める。
• 医療管理者は、患者の書面による要求がない限り、第三者の医療・生命保険・社会保険サービス提供者へ患者データを移転してはならない（第19条適用の場合を除く）。

管理者／処理者の義務：

• DPIA：機微な個人データを処理するすべての管理者は、個人データ処理影響評価書類（hồ sơ đánh giá tác động xử lý dữ liệu cá nhân）を作成し、処理開始から60日以内に Bộ Công an の Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao（A05）に提出しなければならない。遠隔医療、EMR、電子処方、医薬品トレーサビリティ、臨床試験スポンサー／CRO および BHYT 処理管理者はすべて機微データ定義により対象。
• DPO — bộ phận hoặc nhân sự chuyên trách bảo vệ dữ liệu cá nhân：機微な個人データを処理する組織には必須であり、医療セクターはデフォルトでこれに含まれる。DPO はデータ主体および A05 との連絡窓口。
• セキュリティ：リスクに見合う技術的・組織的措置 — 暗号化、アクセス制御、分離、保管統制、監査ログ。
• 漏えい通知：**72時間**以内に Bộ Công an の A05 へ、詳細記録を5年以上保持。漏えいが生体データまたは位置データに関わる場合、影響を受けたデータ主体への72時間以内またはできる限り速やかな通知も必要。
• 児童データ：処理は父母または法定後見人の同意が必要；7歳以上の児童は児童の同意も取得すること。

個人データの国境を越える移転：

• 2025年法の用語：「chuyển dữ liệu cá nhân xuyên biên giới」。
• 必須の**báo cáo đánh giá tác động chuyển dữ liệu xuyên biên giới（Mẫu 09）**を移転開始から60日以内に Cục A05 に提出；報告書には移転契約または誓約、ならびに受領地での保護統制の証拠を含めること。
• 限定的例外：国際運送・支払契約、海外留学、海外での救急医療、ならびにデータ業を営まない小規模企業のための5年の遅延提出ウィンドウ。
• 海外サーバからベトナム患者にサービスを提供する外国遠隔医療提供者は対象に該当し、ベトナム認可施設経由でルーティング（Medibase 遠隔医療リファレンスページ参照）するか、国境を越える移転書類を提出しなければならない。
• 域外適用：Luật 91/2025/QH15 は、海外からベトナム居住者の個人データを処理する外国組織に適用される。

Luật An ninh mạng + Nghị định 53/2022/NĐ-CP のもとでのデータローカライゼーション：

• Luật 91/2025/QH15 自体は包括的なローカライゼーション義務を課さない；ローカライゼーションは引き続き Luật An ninh mạng と Nghị định 53/2022 が規律する。
• ベトナムユーザーの個人データを保管する対象オンラインサービスは、最低期間そのデータをベトナム国内に保管しなければならない。外資系遠隔医療および EMR プラットフォームは、DPIA と並行してローカライゼーション評価を別途実施すべき。

制裁：

• Luật 91/2025/QH15 第8条は、法そのものに行政罰の上限を直接法定化した — 通信・IT 一般の制裁令である Nghị định 15/2020/NĐ-CP に依拠していた2023年枠組からの重要な変化。
• 個人データの違法販売：違法収入の最大**10倍**の罰金。
• 個人データの国境を越える移転規則違反：違反組織の前年売上の最大**5%**の罰金。
• その他の違反：組織には最大**30億 VND**；個人は組織上限の半分。
• サイバーセキュリティおよび個人データ保護に関する専用の行政罰政令が、2026年初頭に Bộ Công an によりパブリックコメント中で、手続詳細を定める予定；公布までの間、A05 は法の直接罰則規定により執行する 。
• 刑事責任：Bộ luật Hình sự 第288条（「Tội đưa hoặc sử dụng trái phép thông tin mạng máy tính, mạng viễn thông」） — 罰金3,000万〜2億 VND、または3年以下の懲役、加重で最大7年。
• 医療セクターの行政罰 Nghị định 117/2020/NĐ-CP は、非データの医療違反について引き続き有効であり、データ保護罰と併科され得る。

医療セクター横断規則：

• Luật 15/2023/QH15 第69条 — 患者の守秘および自己のカルテへのアクセス・複写権。EMR システムの管理者は、要求に応じて患者にカルテの写しを提供できなければならない。
• Nghị định 96/2023/NĐ-CP 第87条第1項 — 遠隔医療施設は臨床データの安全な伝送、表示、処理および保管を保証し、技術ベンダーとデータ保護条項を契約しなければならない。
• Thông tư 11/2025/TT-BYT — 薬局ソフトウェアは国家医薬品／電子処方システムに接続しなければならない；調剤は14桁の国家コードを伴う電子処方箋に対してのみ；このパイプを流れる患者識別子は機微な健康データであり、薬局事業者は DPIA、DPO、漏えい通知義務を承継する。
• Luật 15/2023/QH15 第112条 — 個人健康情報システム（hệ thống thông tin sức khỏe cá nhân）の設立、ならびに施設が EMR と電子処方を導入し、国家医療活動管理情報システムに接続する要件 。

実務コンプライアンスチェックリスト（遠隔医療、EMR、電子処方、トレーサビリティ、臨床試験事業者）： 1. データフローのマッピング：各カテゴリを個人データ、機微な個人データ、または非個人データに分類。健康データはデフォルトで機微。 2. 同意フォームの更新：機微データ処理に対する個別かつ特定的な同意、データが機微である旨の明示的通知を伴う。 3. DPIA 書類を作成し、処理開始から60日以内に Cục A05 へ提出；実質的変更時に更新。 4. DPO（または DPO チーム）を指名し、連絡チャンネルを公開。 5. 国境を越える移転：すべての海外受領者（クラウドリージョン、親会社の分析、外国 CRO、外国スポンサー）を範囲特定、Mẫu 09 を A05 に提出、受領地での保護統制を伴う移転契約を整備。 6. データローカライゼーション：対象オンラインサービスについて Luật An ninh mạng / Nghị định 53/2022 評価を別途実施し、必要に応じてベトナムリージョン保管を確保。 7. 漏えい対応プレイブック：A05 への72時間通知ウィンドウ；生体／位置データ漏えいは主体への通知も追加。 8. 記録保持：漏えい記録および処理ログは最低5年。 9. ベンダー契約：処理者条項に責任の具体的配分、サブ処理者統制、監査権、終了時削除を規定。 10. ガバナンス横断連携：Luật 15/2023 患者権利ワークフロー（第69条）、Nghị định 96/2023 遠隔医療統制（第87条）、Thông tư 11/2025 薬局ソフトウェア接続と整合させる。

• 参考情報であり、法律上または医療上の助言ではありません。常に vanban.chinhphu.vn の Luật 91/2025/QH15 および Nghị định 356/2025/NĐ-CP の統合本文ならびに Bộ Công an / Cục A05 の最新ガイダンスと照合してください。

基礎法：

• Luật 91/2025/QH15 — Luật Bảo vệ dữ liệu cá nhân、2025年6月26日可決、2026年1月1日施行。5章、39条。第4条（データ主体の権利）、第8条（行政罰上限）、第19条（適法処理の例外）。
• Luật An ninh mạng 24/2018/QH14 — サイバーセキュリティ、データローカライゼーションの根拠。
• Luật Khám bệnh, chữa bệnh 15/2023/QH15 第69条（患者の守秘およびカルテアクセス）；第112条（個人健康情報システム）。
• Bộ luật Hình sự 第288条 — コンピュータネットワーク・通信ネットワーク上の個人情報の無断開示・取引。

政令：

• Nghị định 356/2025/NĐ-CP — 2025年12月31日、2026年1月1日施行、Luật 91/2025/QH15 を実施。5章、42条、10の付属様式（Mẫu 09 — 国境を越える移転影響評価報告書）。
• Nghị định 53/2022/NĐ-CP — Luật An ninh mạng のもとでのデータローカライゼーション。
• Nghị định 96/2023/NĐ-CP 第87条 — 遠隔医療の IT セキュリティおよびデータ保護。
• Nghị định 117/2020/NĐ-CP（Nghị định 124/2021/NĐ-CP により改正） — 医療分野の行政罰。

通達：

• Thông tư 11/2025/TT-BYT — 薬局ソフトウェアの国家医薬品／電子処方システムへの接続；14桁の電子処方箋コード。
• Thông tư 18/2026/TT-BYT — 特別管理医薬品、麻薬・向精神薬・前駆体の遠隔処方禁止を含む（データ保護と横断）。

置換済み：

• Nghị định 13/2023/NĐ-CP — Nghị định 356/2025/NĐ-CP により2026年1月1日から廃止。

制裁および執行機関：

• Cục An ninh mạng và Phòng, chống tội phạm sử dụng công nghệ cao（A05） — Bộ Công an。Luật 91/2025/QH15 および Nghị định 356/2025/NĐ-CP の主たる執行機関。
• サイバーセキュリティおよび個人データ保護に関する専用の行政罰政令がパブリックコメント中 。

法律および政令：

• Luật 91/2025/QH15 — https://vanban.chinhphu.vn/?pageid=27160&docid=214590
• Luật 91/2025/QH15（vbpl.vn 経由の原典） — https://vbpl.vn/TW/Pages/vbpq-van-ban-goc.aspx?ItemID=179252
• Nghị định 356/2025/NĐ-CP — https://vanban.chinhphu.vn/?pageid=27160&docid=216387
• Nghị định 13/2023/NĐ-CP（2026年1月1日廃止） — https://vanban.chinhphu.vn/?pageid=27160&docid=207759
• Luật Khám bệnh, chữa bệnh 15/2023/QH15 — https://vanban.chinhphu.vn/?pageid=27160&docid=207396
• Nghị định 96/2023/NĐ-CP — https://vanban.chinhphu.vn/?pageid=27160&docid=209491
• Bộ luật Hình sự 第288条 — https://thuvienphapluat.vn/hoi-dap-phap-luat/dieu-288-bo-luat-hinh-su-quy-dinh-ve-toi-dua-hoac-su-dung-trai-phep-thong-tin-mang-may-tinh-mang-vi-138065165.html

セクター別ガイダンス：

• Bộ Công an — 個人データ保護に関するセクター別ノート — https://bocongan.gov.vn/chinh-sach-phap-luat/bai-viet/bao-ve-du-lieu-ca-nhan-trong-mot-so-hoat-dong-1754989261
• 国境を越える移転 Mẫu 09 手続ノート（VDPC） — https://vdpc.vn/thu-tuc-thong-bao-danh-gia-tac-dong-chuyen-du-lieu-ca-nhan-ra-nuoc-ngoai/
• 罰則政令ドラフト（Bộ Công an 2026年パブリックコメント） — https://thuvienphapluat.vn/chinh-sach-phap-luat-moi/vn/ho-tro-phap-luat/chinh-sach-moi/107459/

運営ポータル：

• Bộ Công an / Cục A05 — https://bocongan.gov.vn
• 保健省 — https://moh.gov.vn
• Cục Quản lý Khám, Chữa bệnh — https://kcb.vn
• ベトナム社会保険（BHYT — VSS） — https://baohiemxahoi.gov.vn

Medibase 参照：

• リファレンス — 遠隔医療 — /practice/telemedicine/
• リファレンス — 医療業務免許 — /practice/practice-licensing/
• リファレンス — 医療施設許認可 — /practice/facility-licensing/
• リファレンス — 医薬品流通・小売（電子処方） — /medicine/distribution-retail/
• リファレンス — 特別管理医薬品 — /medicine/special-control/

2023年4月17日 — 政府が Nghị định 13/2023/NĐ-CP、ベトナム初の包括的データ保護政令を公布（2023年7月1日施行）。

2018年6月12日 — Quốc hội が Luật An ninh mạng 24/2018/QH14 を可決、データローカライゼーションの根拠を提供。

2022年8月15日 — 政府が Nghị định 53/2022/NĐ-CP を公布、データローカライゼーション規則を詳細化。

2025年6月26日 — 第15期 Quốc hội が第9回会期で Luật 91/2025/QH15（Luật Bảo vệ dữ liệu cá nhân）を可決 — ベトナム初の個人データ保護専用基本法。

2025年12月31日 — 政府が Luật 91/2025/QH15 を実施する Nghị định 356/2025/NĐ-CP を公布し、Nghị định 13/2023/NĐ-CP を明示的に廃止。

2026年1月1日 — Luật 91/2025/QH15 および Nghị định 356/2025/NĐ-CP 施行。医療セクターの管理者は DPIA、DPO、漏えい通知体制を整備しなければならない；国境を越える移転は Mẫu 09 提出を要する。

2026年初頭 — Bộ Công an がサイバーセキュリティおよび個人データ保護に関する行政罰政令ドラフトをパブリックコメントに付す 。