CyberFix Note情報漏えい発生時の対応と公表。委員会への報告義務と本人通知をどう判断するか
対象の目安: 経営層・管理職・事業責任者 / 法令とリスク判断を含む実務レベル
「お客様情報が外部から見られる状態になっていたかもしれない」「退職者がデータを持ち出した形跡がある」「ランサムウェアでデータが暗号化され、復元できない」。こうした第一報が経営に上がってきた瞬間から、情報漏えい対応は始まります。そして経営が最初に直面するのは、技術的な復旧の話ではありません。「これは委員会に報告すべき事案なのか」「お客様一人ひとりに通知しなければならないのか」「公表すべきか、するなら何を言うのか」という、期限つきの判断の連続です。
ここで判断を誤ると、被害そのものよりも対応の遅れや不誠実さが信頼を損ないます。個人情報保護法は一定の漏えい等について、個人情報保護委員会への報告と本人への通知を義務として定めています。これは「自社で様子を見て、落ち着いてから考える」ことが許されない領域です。速報には数日という短い期限があり、確報にも期限があります。つまり経営は、事実が完全に固まる前に、限られた情報で「報告ルートを起動するかどうか」を決めなければなりません。
この記事は、逐条解説ではなく、経営と事業責任者が「いつ・誰を巻き込み・何を・いつまでに」判断するための地図を提供します。報告義務の対象、速報と確報、本人通知、公表の判断、そして再発防止までを、個人情報保護委員会の公式資料に沿って整理します。なお本記事は執筆時点の現行法に基づく一般的な整理です。令和8年4月7日には「個人情報の保護に関する法律等の一部を改正する法律案」が閣議決定・国会提出されており、今後の成立・施行により制度の一部が変わる可能性があります。個別の事案の判断は必ず最新の公式情報と、自社の法務・専門家に確認してください。
早見表: 漏えい発生時に経営が握るべき判断と期限
まず全体像です。漏えい対応は技術的な封じ込めと並行して、法令上の報告・通知という別レーンが走ります。経営が見落としやすいのは、この法令レーンが「速報3〜5日」という短い時計で動いている点です。事実確認に時間をかけすぎると、知らないうちに期限を踏み越えます。
| 判断項目 | 中心的な問い | 目安の期限・基準 | やってはいけないこと |
|---|---|---|---|
| 報告要否 | 4類型に該当するか | 該当するなら委員会へ報告義務 | 件数や原因が確定するまで判断を保留する |
| 速報 | まず分かる範囲で報告したか | 速やか(おおむね3〜5日以内) | 完全な調査完了を待って提出を遅らせる |
| 確報 | 原因・範囲・対応を詳細に報告したか | 原則30日以内(不正目的のおそれは60日以内) | 期限を意識せず調査を漫然と続ける |
| 本人通知 | 本人に分かりやすく伝えたか | 事態の状況に応じて速やかに | 通知が困難なまま放置し代替措置も取らない |
| 公表 | 何を、どこまで、いつ伝えるか | 義務とは別に信頼の観点で判断 | 事実が固まる前に断定/逆に隠蔽と取られる沈黙 |
この表のうち、報告要否・速報・確報・本人通知は個人情報保護法に基づく義務に直結します。公表だけは法的義務とは別の経営判断ですが、報告・通知と矛盾しないよう一体で考える必要があります。以下、それぞれを掘り下げます。
注意
本記事は一般的な整理であり、法的助言ではありません。漏えい等報告の要否、速報・確報の期限の起算、本人通知や公表の要否と内容は、事案の具体的な事実関係に強く依存します。報告対象に該当しうると少しでも疑われた段階で、最新の個人情報保護委員会の公式情報を確認し、自社の法務部門・顧問弁護士・プライバシー専門家に必ず相談してください。判断を技術担当や現場だけに委ねないことが、経営の役割です。
報告義務の対象。「4類型」のどれかに当たるか
経営が最初に握る判断は「これは委員会への報告が必要な事案か」です。個人情報保護委員会は、報告義務が生じる事態を4つの類型として示しています。自社で発生した(あるいは発生したおそれがある)事態が、このいずれかに該当するかをまず見極めます。
| 類型 | 具体例 |
|---|---|
| 要配慮個人情報が含まれる事態 | 病歴・健康診断結果・犯罪歴などを含むデータの漏えい |
| 財産的被害が生じるおそれがある事態 | クレジットカード番号や、決済に使えるID・パスワードの漏えい |
| 不正の目的をもって行われたおそれがある事態 | 不正アクセス、ランサムウェア、従業者による不正な持ち出し、ウェブサイト改ざんなど |
| 1,000人を超える漏えい等が発生した事態 | 設定ミスでデータが閲覧可能になり対象が1,000人を超えるなど |
ここで経営が誤解しやすい点が3つあります。第一に、「漏えい」だけでなく「滅失」(復元できない削除など)や「毀損」(ランサムウェアによる暗号化で利用できない状態など)も対象になりうることです。外部に情報が出ていなくても報告が必要な場合があります。第二に、1,000人という数字は実際に漏えいが確認された件数だけでなく、漏えいの「おそれ」がある件数も含めて判断されます。件数が確定しないからと報告不要と即断するのは危険です。第三に、不正の目的によるおそれがある事態は、件数が1人であっても報告対象になりえます。「少人数だから大丈夫」という直感は通用しません。
報告の要否判断は、技術担当だけで完結させてはいけません。何が漏れたか、何件か、不正アクセスかどうかという技術的事実の確認は現場の役割ですが、4類型への該当判断と委員会への提出は、法務・プライバシー担当・経営層を含めて行うべきものです。何が個人データに当たるか、安全管理措置として平時に何を備えるべきかという土台は あわせて読みたい 個人情報保護法の要点。エンジニアが知っておくべきこと
速報と確報。「完全な調査を待たない」のが原則
報告義務に該当すると判断したら、次は2段階の報告です。ここで経営が押さえるべき最重要の原則は、「完全な調査の完了を待ってはいけない」ということです。報告は速報と確報に分かれており、それぞれ意味と期限が違います。
| 報告 | 期限の目安 | 報告する内容 |
|---|---|---|
| 速報 | 速やか(おおむね3〜5日以内) | その時点で把握している範囲。分からない項目があってもよい |
| 確報 | 原則30日以内(不正の目的によるおそれがある場合は60日以内) | 原因・対象・件数・対応・再発防止など詳細 |
速報の趣旨は「とにかく早く第一報を入れる」ことです。原因も件数も確定していなくて構いません。むしろ確定を待つことは趣旨に反します。個人情報保護委員会の公式資料でも、発覚したらまず速やかに、3〜5日以内に速報を行うことが求められています。経営が「全部分かってから報告しよう」と現場に指示すると、この期限を簡単に踏み越えます。速報は不完全でよい、という認識を組織で共有しておくことが鍵です。
確報は、調査が進んだ段階で原因・影響範囲・対応・再発防止策を詳細に報告するものです。原則として事態を知った日から30日以内ですが、不正アクセスや従業者による持ち出しなど「不正の目的をもって行われたおそれがある」漏えい等の場合は、60日以内とされています。サイバー攻撃起因の事案は調査に時間がかかるため60日が認められている、と理解すると整理しやすいでしょう。
最初に報告の話を聞いたとき、つい「もう少し調べてから、はっきりしてから出そう」と言いたくなりました。でも速報は分かる範囲でいい、むしろ早さが大事だと知ってから考えが変わりました。3〜5日というのは、社内で稟議を回して文面を完璧にしている余裕はない、という時間感覚です。だから平時に「誰が判断し、誰が提出するか」を決めておかないと、有事に間に合いません。
期限を守る前提として、平時の備えが効いてきます。誰が報告の旗振りをするか、技術側は何を確認して誰へ渡すか、ログはどこまで残っているか。これらが決まっていないと、事実確認だけで数日が溶けます。報告期限と直結する初動の手順については あわせて読みたい インシデント発生時の初動対応。最初の1時間で何をするか
本人通知。困難なら「代替措置」で権利利益を守る
委員会への報告と並ぶもう一つの義務が、本人への通知です。報告対象となる事態では、原則として本人に対しても通知を行う必要があります。通知の時期は「当該事態の状況に応じて速やかに」とされ、委員会への速報・確報のような日数の数字は定められていませんが、遅滞は許されないと理解すべきです。
通知の内容は、本人にとって分かりやすい方法で、事案の概要、漏えいした個人データの項目、原因、二次被害やその防止のために本人が取りうる対応などを伝えるのが基本です。たとえばパスワードが漏れた可能性があるなら「速やかにパスワードを変更してください」と、本人が自衛できる具体的な行動を添えることが、形式的な通知との分かれ目になります。
問題は、本人への通知が現実に困難な場合です。連絡先を保有していない、保有している連絡先が古くて連絡がつかない、といった事態は珍しくありません。この場合、通知に代えて、事案の公表や、本人が自身のデータが対象か確認できる問い合わせ窓口の設置といった代替措置を講じることが認められています。重要なのは、通知が難しいからといって何もしないのではなく、本人の権利利益を守るための代替手段を取ることです。
注意
本人通知の要否・内容・例外(代替措置で足りるか)は、漏えいした情報の種類や連絡先保有状況など事案ごとの事実に左右されます。「連絡先がないから通知不要」と安易に判断せず、公表や窓口設置などの代替措置の要否を含めて、最新の公式情報と法務・専門家への確認のうえで決定してください。本人への二次被害防止の観点が抜け落ちると、後で対応の不誠実さを問われます。
公表の判断。義務とは別の「信頼」のレーン
ここで多くの経営が混乱するのが、「報告」「本人通知」「公表」の関係です。整理すると、委員会への報告と本人への通知は法的義務、いっぽう一般への公表(プレスリリースやウェブサイトでの告知)は、それ自体が常に法的義務というわけではありません。ただし、本人通知が困難な場合の代替措置として公表が位置づけられる場面があり、また義務の有無とは別に、ステークホルダーの信頼という観点から公表が事実上必要になる場面が多くあります。
公表を判断する軸は、おおむね次の3つです。第一に、影響の広がり。多数の顧客や取引先に関わる、あるいは二次被害のおそれが大きい場合は、公表して注意喚起する意義が高まります。第二に、漏れ伝わるリスク。SNSや報道で先に表に出れば、後追いの公表は「隠していた」と受け取られます。第三に、本人通知の実効性。連絡先を網羅できない場合、公表が本人に届く唯一の手段になることがあります。
公表で経営が陥りやすい失敗は、両極端です。一方は、事実が固まる前に「被害はない」と断定してしまい、後で覆って二重に信頼を失うこと。もう一方は、確証を求めすぎて沈黙が長引き、結果として隠蔽と受け取られることです。公表の原則は「分かっていることと分かっていないことを切り分け、誇張も矮小化もせず、本人が取るべき行動を添えて、適切なタイミングで出す」ことに尽きます。委員会への報告内容や本人通知と矛盾が生じないよう、文面は法務と一体で詰めます。
メモ
公表のタイミングは、捜査機関や委員会との関係で調整が必要な場合があります。たとえば犯人特定の捜査に支障が出る、確報前で原因が未確定といった事情です。公表しない・遅らせるという判断もありえますが、その理由を記録し、最新の公式情報と専門家の助言に基づいて決めることが重要です。沈黙を選ぶにせよ、それは消極的な放置ではなく、根拠ある経営判断であるべきです。
再発防止。確報で問われ、信頼回復の土台になる
漏えい対応は、報告と通知を終えれば完了ではありません。確報では原因とともに再発防止策が問われ、対外的な信頼回復も再発防止の実効性にかかっています。ここで経営が意識すべきは、再発防止を「個別の穴をふさぐ」話に矮小化しないことです。
再発防止は、技術・運用・組織の3層で考えると整理できます。技術層は、侵入経路となった脆弱性の修正、認証の強化、アクセス権限の見直しなど直接的な対策です。運用層は、ログの取得と保全の改善、検知の仕組み、定期的な棚卸しなど、次の異常に早く気づくための整備です。組織層は、報告・通知・公表の判断フローと役割分担を手順として固め、訓練すること。多くの事案で本当に欠けていたのは技術ではなく、「誰がいつ判断するか」が決まっていなかったことだからです。
| 層 | 再発防止の例 | 経営の関与 |
|---|---|---|
| 技術 | 脆弱性修正、認証強化、権限最小化 | 投資判断と優先順位づけ |
| 運用 | ログ保全、検知改善、定期棚卸し | 継続的な体制と予算の確保 |
| 組織 | 判断フロー整備、役割分担、訓練 | 平時の意思決定と訓練の主導 |
特に組織層は経営にしか主導できません。報告期限に間に合わせるには、技術担当が事実を確認して関係者へ渡すルート、法務・経営が報告要否を判断するルート、広報が公表を準備するルートが、平時から噛み合っている必要があります。これらは事案が起きてから整えるには遅すぎます。IPAの中小企業向けの手引きや、JPCERT/CCのCSIRTマテリアルは、限られた体制でもこうしたフローを整えるための具体的な雛形を提供しています。
よくある質問
外部に情報が流出していなければ、委員会への報告は不要ですか
原因や件数を完全に調べてから報告すればよいですか
本人の連絡先を持っていない場合、本人通知はしなくてよいですか
公表は必ずしなければなりませんか
報告や通知の判断は、情報システム部門に任せておけばよいですか
まとめ
情報漏えい対応で経営が担うのは、技術的な復旧の指揮ではなく、期限つきの判断の連続です。一定の漏えい等は委員会への報告と本人への通知が法的義務であり、自社で様子を見て握りつぶすことは許されません。速報は速やか(おおむね3〜5日以内)、確報は原則30日以内、不正の目的によるおそれがある場合は60日以内。本人通知は事態に応じて速やかに、困難なら代替措置で本人の権利利益を守る。公表は法的義務とは別の信頼のレーンで、報告・通知と一体に判断する。そして確報で問われ信頼回復を支えるのが再発防止で、なかでも判断フローの整備は経営にしか主導できません。これらを平時に決めておくことが、有事の被害と法的リスクの両方を小さくします。
漏えい発生時に経営が確認すべきこと
- 発生した(おそれを含む)事態が報告対象の4類型のいずれかに該当しないか確認したか
- 滅失・毀損や、件数のおそれ、不正目的での少人数の事案も見落としていないか
- 速報(おおむね3〜5日以内)を、分かる範囲でよいという前提で起動したか
- 確報の期限(原則30日、不正目的のおそれは60日)を把握し調査を進めているか
- 本人通知の要否を判断し、困難な場合は公表や窓口設置など代替措置を検討したか
- 公表の要否・内容・タイミングを、報告・通知と矛盾しないよう法務と一体で詰めたか
- 技術・運用・組織の3層で再発防止を整理し、判断フローと役割分担を見直したか
- 報告要否・通知・公表の最終判断について、最新の公式情報と法務・専門家に確認したか
本記事は執筆時点の公開情報に基づく一般的な整理であり、法的助言ではありません。漏えい等報告の要否、速報・確報の期限の起算、本人通知や公表の要否と内容は、事案の具体的な事実関係に強く依存します。実際の対応にあたっては、必ず個人情報保護委員会の最新の公式情報を確認し、自社の法務部門・顧問弁護士・専門家に相談してください。
出典・参考
関連する記事
インシデント発生時の初動対応。最初の1時間で何をするか
セキュリティインシデントの最初の1時間を、検知・トリアージ・封じ込め・証拠保全という順序で整理します。慌てて電源を切る前に何を確認し、何を記録すべきか。NISTやJPCERT/CCの枠組みをもとに実務の判断基準を示します。
個人情報保護法の要点。エンジニアが知っておくべきこと
個人情報の定義、安全管理措置、漏えい時の報告義務を、開発・運用の現場目線で整理します。何が個人データに当たり、何を実装で担保し、漏えい時に誰へ何日以内に報告するかを一次情報で確認します。
ランサム対策に効くバックアップ機器(NAS)の選び方。隔離とスナップショットで復旧力を残す
ランサムウェアはバックアップごと破壊しにいきます。だからNAS選びの軸は容量より「隔離」と「変更不可スナップショット」。3-2-1の原則から実在製品の見極めまで、経営と現場の判断材料を実務目線でまとめます。