株式会社TIMEWELLの濱本 隆太です。
ハノイのある日系製造業の現地法人で「最近、ベトナム人スタッフがAI法の話を社内で持ち出してきた」と相談を受けたのが3月のことでした。本社の法務部に確認したら 「ベトナムにAI法ができたとは知らなかった」 との回答。これは無理もありません。日本国内のメディアでベトナム AI法を真正面から扱った記事は、私が確認した範囲ではゼロ本でした。
ところがこの法律、東南アジア全域のAI規制の方向性を決める 「ASEAN初の包括的AI法」 という位置づけを持っています。在ベトナム日系企業は約1,800社。製造業・金融・IT・物流・小売、ほぼ全業種が 2026年3月1日以降、何らかの形で対象 になっています。
日本国内の報道空白を埋めるべく、ベトナム AI法(Law No. 134/2025/QH15)の輪郭と実務インパクトを整理します。
要約
- 2026年3月1日施行、ASEAN初の包括的・拘束力のあるAI法
- リスク4階層分類(禁止/高/中/低)、EU AI Act 型のリスクベース設計
- 段階施行:一般12か月、金融・医療・教育の3セクター18か月のグレースピリオド
- 罰則は最大 20億ベトナムドン(約75,800米ドル)。収益ベース罰金の検討も
- 主管機関は 科学技術省(MOST)、首相主導の National AI Committee が戦略統括
- 日本企業の最優先課題は AIユースケース棚卸しと4階層分類
ASEAN初という意味 ─ シンガポールではなくベトナムが先行した理由
ASEAN(東南アジア諸国連合)地域でAI規制を最初に作るのは、誰もが シンガポール だと予想していました。シンガポールはIMDAが世界に先駆けて AI Verify を作り、ISO/IEC 42001 や NIST AI RMF とのクロスウォークを整備し、AI Governance Framework の改訂を続けてきた、ASEAN のAIガバナンス先進国です。
ところがフタを開けてみると、先に包括的AI法を作ったのはベトナム でした。シンガポールが「voluntary(自主規範)」ベースの設計を維持する一方、ベトナムは 国会で法律として可決し、罰則を伴うハードロー化 を選んだのです[^1]。
なぜシンガポールではなくベトナムが先行したのか。私が現地で聞いた説明をいくつかつなぎ合わせると、次の3点が重要です。
第一に、ベトナムの権威主義的政治構造 が、規制を素早く作りきる能力を持っていたこと。中央集権的な国会と党の意思決定で、業界団体からのロビーで遅延しにくい。これは中国 AI 規制が短期間で作られたのと同じ構造です。
第二に、シンガポールが「規制を作らないこと」の競争優位 を活かしていること。シンガポールは voluntary framework に留めることで、グローバルAI企業の地域本社誘致を続けています。
第三に、ベトナムが Industry 4.0 戦略の中核にAIを据えた こと。2030年までにAI関連 GDP を年率10%成長させる目標を掲げており、規制と振興を一体で動かす必要があった[^2]。
つまりベトナム AI法は、「規制で抑制する」というより 「規制で産業育成軌道に乗せる」 ためのインフラとして設計されています。日本企業は「縛られる」という発想ではなく「ベトナム政府が設計した産業育成の枠組みにどう乗るか」という視点で読むべきです。
AI Security training, taken seriously
A 2-day intensive course fully aligned with OWASP, NIST, ISO/IEC 42001, and METI. Take it as executives, practitioners, or both.
リスク4階層分類 ─ EU AI Act との微妙な違い
ベトナム AI法のリスク分類は4階層で、見た目は EU AI Act のコピーに見えます。ところが条文を細かく読むと、ASEAN 文化圏向けにカスタマイズされた 「主体ベース」軸 が混じっているのが特徴です。
| 階層 | 内容 | 例 |
|---|---|---|
| Unacceptable(禁止) | 実装禁止 | 公共空間の無許可リアルタイム生体監視、不正収集データの大規模顔認識DB、欺瞞的操作AI |
| High-risk(高) | 適合性評価必須、人間監督、技術文書、運用ログ | HR Tech、与信、医療診断、教育評価、交通・エネルギー制御 |
| Medium-risk(中) | 分類文書添付、透明性、簡易リスク管理 | チャットボット、レコメンデーション、コンテンツモデレーション |
| Low-risk(低) | 軽微な義務、ベストプラクティス遵守 | スパムフィルタ、ゲーム内AI、検索ランキング |
EU AI Act との大きな違いは2点です。
第一に、「禁止」カテゴリに中国式監視の影が混じる。公共空間の無許可生体監視、大規模顔認識DBは EU AI Act にもありますが、「欺瞞的操作AI」(公衆の意見・行動を欺瞞的に操作)という条文は EU よりも広い解釈余地を持ちます。ベトナム政府は「フェイクニュース対策」と説明していますが、実務では政治的コンテンツモデレーションの裁量にも使えてしまいます。
第二に、「主体ベース」分類の混在。EU AI Act は「ユースケース(用途)」でリスクを分類しますが、ベトナム AI法は 「誰に被害が及ぶか」 の観点を一部織り込んでいます。たとえば子ども・高齢者・障がい者・少数民族を対象とするAIは、ユースケースが軽くても高リスクに格上げされる可能性があります。
私はこの「主体ベース」軸を ブラジル PL 2338 とも共通する第三世界の規制スタンス と読んでいます。EU の use-case-based 設計は先進国の理性的市民を前提にしていますが、グローバルサウスの規制では「社会的弱者の保護」を明示的に組み込むほうが政治的に正解になる。日本企業が ASEAN・中南米でグローバルサービスを展開する場合、この 「主体ベース」軸の存在 を見落とすと適合性評価のスコープを誤ります。
4年がかりの段階施行 ─ 12か月と18か月の使い分け
ベトナム AI法の 段階施行スケジュール は、日本企業の体制整備計画に直結する論点です[^3]。
| 対象セクター | グレースピリオド | 完全準拠期限 |
|---|---|---|
| 金融・医療・教育 | 18か月 | 2027年9月1日 |
| その他一般セクター | 12か月 | 2027年3月1日 |
「金融・医療・教育」の3セクターに長い18か月猶予が与えられているのは、これらが 既存の業法(金融規制・医療機器規制・教育法)との整合性調整に時間を要する からだと、MOST(科学技術省)は説明しています。在ベトナム日系企業に該当しそうなのは次のパターンです。
- HR Tech・採用 AI:高リスク該当 + 「一般セクター」扱い → 12か月猶予
- 金融子会社の与信モデル:高リスク該当 + 「金融セクター」扱い → 18か月猶予
- 製造現場のCV検査(不良品検出):中リスク該当 + 「一般セクター」扱い → 12か月でlow-risk運用に
- コールセンター音声認識・感情分析:中〜高リスクの境界 → 12か月で人間監督層の整備
- メディカルAI(SaMD):高リスク確実 + 「医療セクター」扱い → 18か月
注意したいのは、段階施行 = 「何もしなくていい期間」ではないということです。MOST は2026年中に 首相による高リスクAIリスト と National AI Ethics Framework を公表する予定で、これに対応した適合性評価の手続きと人間監督の仕組みを 準備しておく ことがグレースピリオドの本来の意義です。
私が日本企業向けに繰り返し言っているのは、「18か月は長くない」ということ。EU AI Act の 24か月猶予でも対応に間に合わない日本企業を多数見てきました。ベトナム AI法の18か月は、本社の決裁プロセスを考えると実質的に 「12〜13か月で運用に落とし込める」 スケジュールです。
MOST 統合と National AI Committee ─ 執行体制の整備
ベトナムは2025年2〜3月に 情報通信省(MIC)と科学技術省を統合 し、新しい 科学技術省(MOST: Ministry of Science and Technology) を発足させました[^4]。これは AI 法の執行体制を整えるための重要な布石です。
統合前は、AI 政策が MIC(デジタル分野)と旧科学技術省(研究分野)に分散していました。AI のような技術と政策が交差する領域では、所管の縦割りが規制執行の最大のボトルネックになります。今回の統合で、研究開発から市場規制まで MOST が一気通貫で所管 することになりました。
さらに2025年内に発足した National AI Committee(国家AI委員会)は、首相が議長を務める 戦略レベルの組織です。主な機能は次の3点。
- ベトナムのAI国家戦略の策定・更新
- 主要AIプログラム・プロジェクトの承認
- 高度自律AIシステム の規制枠組み策定
3番目の「高度自律AIシステム」は、ChatGPTのようなGPAI(汎用AI)モデルとAIエージェントを念頭に置いた、今後拡張される規制領域です。EU AI Act の GPAI 規定(2025年8月適用済み)と類似する設計が、National AI Committee 主導で2026〜2027年に追加されると予想されます。
私が現地法律事務所に確認したところ、MOST の AI 法担当者は実際には少人数 だと言います。「2026年中の執行は MOST だけでは回らず、各業法の所管官庁(金融は SBV、医療は MoH)と連携する分散執行モデルになる」というのが現地弁護士の見立てでした。これは日本企業のコンプライアンス窓口設計に重要な情報で、「MOST一本ではなく、業所管官庁の AI 解釈通知をフォロー」 する体制が必要です。
日本企業1,800社への波及 ─ どこから手を付けるか
JETROの統計によれば、在ベトナム日系企業は 約1,800社 にのぼります。製造業(特に北部のハノイ・ハイフォン、南部のホーチミン・ビンズオン)が中核で、近年は金融・IT・物流・小売も拡大しています。これらの企業のうち、AI法の影響を受けないのは恐らく 少数派 です。
具体的に多い相談パターンを3つ挙げます。
製造現場のコンピュータビジョン検査:不良品検出・組立工程モニタリングは中リスク該当。Anomaly Detection モデルが「主体ベース」(労働者の評価に転用されている)と解釈されると高リスクに格上げされるため、ベトナム人労働者のパフォーマンス管理に転用していないか の社内ガイドライン整備が必要です。
HR Tech と採用スクリーニング:CV解析・面接動画分析・適性検査AIは確実に高リスク。ベトナム労働法(2019年改正)との整合も含めて、適合性評価と人間監督の仕組みを構築。本社の人事システム(ワークデイ、SAP SuccessFactors 等)がベトナム国内のスタッフを評価する場面で AI が関与しているかを棚卸し することから始まります。
金融子会社の与信・KYC:日系銀行・ノンバンクのベトナム子会社は、与信スコアリング・不正検知・AML(マネーロンダリング対策)でAIを多用しています。18か月猶予の対象なので、2027年9月までに完全準拠 を目指す体制構築が現実的なスケジュールです。
最も難しいのは、「本社で開発したAIモデルをベトナム子会社が業務利用する」 ケースです。AI法は「提供者(Provider)」と「展開者(Deployer)」の責務を区別しますが、本社が提供者・現地子会社が展開者という構造では、本社が ベトナム法の適合性評価義務を負う ことになります。本社の日本法務部が「うちは日本で運用しているから」と認識していると、足元から崩れます。
ASEAN ハードロー連鎖の起点として ─ WARP SECURITYの役割
ベトナム AI法の本当の意味は、「ASEAN のハードロー連鎖反応の起点」 という位置づけにあります。シンガポールが voluntary を維持していても、ベトナムが法律化したことで インドネシア・タイ・フィリピンが追随する圧力 が強まりました。インドネシアは2026年初頭に大統領規則としてAIフレームワークを署名予定、タイは ETDA が統合ドラフト原則を改訂中です。
TIMEWELL の WARP SECURITY では、こうした ASEAN 多国規制への同時対応 を支援するモジュールを設計しています。具体的には次のような問いから入ります。
- ベトナム子会社が使う AI ツールのうち、どれが Law 134/2025 の「主体ベース」リスク格上げに該当するか
- 18か月猶予を活用しつつ、インドネシア・タイの後続規制にも転用可能な 「ASEAN 共通対応テンプレート」 を社内に持てるか
- 本社(日本)が提供者責任を負うAIモデルについて、ベトナム MOST への適合性評価ファイル提出を 日本語ベースの社内資料から逆翻訳 する手順を整備できるか
参加企業は経営層と現場が一緒のテーブルに着くスタイルですが、ASEAN 規制対応の場合は 本社法務・本社CIO・現地法人COO・現地法人CTO の四者が同時参加することが多いです。これが ASEAN 多国規制対応の最大の特徴で、米国・EU規制では出てこない座組です。
ハノイで「うちはまだ大丈夫」と楽観している現地法人が一番危ない、というのが現場で見ている共通パターンです。
まとめ
- ベトナム AI法(Law 134/2025)は2026年3月1日施行、ASEAN初の包括的・拘束力のあるAI法
- リスク4階層分類は EU AI Act 参照だが 「主体ベース」軸 が混じる
- グレースピリオドは 一般12か月、金融・医療・教育18か月。実質「12〜13か月で運用化」が現実
- MOST 統合(2025年2月)と National AI Committee(首相主導)で執行体制を整備
- 在ベトナム日系1,800社のうち、AI法の影響を受けないのは少数派。「主体ベース」格上げに注意
ベトナムが ASEAN で最初に動いたのは、おそらく規制設計の歴史的偶然ではなく 戦略的選択 です。シンガポールが voluntary を維持する隙間に、ハードローで一気にポジションを取りに来た。これに続くインドネシア・タイの動きは、ベトナムの設計を参照することになります。
日本企業がベトナム対応で得た知見は、そのまま ASEAN 共通対応の知的資産 になります。逆に、ベトナムで失敗すると、ASEAN 各国で同じ失敗を5回繰り返すことになる。最初の市場で 「ASEAN 規制対応のテンプレートを作る」 くらいの覚悟で取り組む価値があります。
合わせて読みたい:韓国AI基本法2026年1月施行、EU AI Act デジタル簡素化と2026年スケジュール、テキサスTRAIGAとニューヨークRAISE Actの比較。
参考文献
[^1]: Vietnam's first standalone AI Law - IAPP [^2]: Vietnam AI Law: Regulatory Milestone and Business Implications - Vietnam Briefing [^3]: Vietnam AI Law 2025: First Binding AI Law in Southeast Asia - Pertama Partners [^4]: Vietnam: Artificial Intelligence Law - Foundation and Outlook - Baker McKenzie [^5]: VIETNAM - THE FIRST LAW ON ARTIFICIAL INTELLIGENCE - Duane Morris