個人情報が入ったメールを誤送信した。
顧客情報を保存しているクラウドサービスに不審なログインがあった。
従業員情報が入ったUSBメモリを紛失した。
問い合わせフォームが改ざんされ、入力情報が第三者へ送信された可能性がある。
ランサムウェアに感染し、個人データが暗号化されて復元できない。
このような事態が起きたとき、最初に重要なのは「本当に漏えいしたかどうかを完全に証明すること」ではありません。
まずは、被害を広げないこと、事実を記録すること、報告・通知の要否を判断することです。
この記事では、中小企業向けに、個人情報の漏えい等が疑われた場合に確認すべき事項を、初動対応、個人情報保護委員会への速報・確報、本人通知の順に整理します。
なお、この記事は一般的な実務整理です。個別事案では、取り扱う情報の内容、件数、契約関係、業法、委託関係、海外移転、マイナンバーの有無などにより判断が変わる場合があります。判断に迷う場合は、弁護士、個人情報保護委員会の相談窓口、所管官庁、情報セキュリティ専門家等に確認してください。
「漏えい」だけでなく「滅失」「毀損」も対象になる
まず押さえておきたいのは、「漏えい等」は、単に外部へ流出した場合だけを意味するものではないという点です。
個人情報保護委員会のガイドラインでは、個人データの「漏えい」は個人データが外部に流出すること、「滅失」は個人データの内容が失われること、「毀損」は個人データの内容が意図しない形で変更されることや、内容を保ったまま利用不能になることと説明されています。例えば、誤送信、不正アクセスによる窃取、帳票の誤廃棄、ランサムウェアにより個人データが復元できなくなった場合などが例示されています。
つまり、次のような事案も「漏えい等」として扱う必要があります。
| 事案 | 確認すべき点 |
|---|---|
| メール誤送信 | 誰に送ったか、何が含まれていたか、回収できたか |
| 書類・媒体の紛失 | どこで紛失したか、暗号化・施錠・アクセス制限はあったか |
| 不正アクセス | どのシステムに、いつ、どこからアクセスされたか |
| ランサムウェア | 個人データが暗号化されたか、復元可能か、窃取の痕跡があるか |
| Web誤公開 | いつから誰が閲覧可能だったか、検索エンジンに残っていないか |
| 委託先での事故 | 委託先が何を把握し、自社にいつ通知したか |
特にランサムウェアでは、「暗号化されただけで外部流出は確認されていない」と考えたくなる場合があります。
しかし、個人データが復元できない状態になれば毀損に該当し得ますし、同時に窃取された場合には漏えいにも該当し得ます。
発覚直後にやるべきこと
個人情報の漏えい等が疑われたら、最初の対応で重要なのは、次の5つです。
1つ目は、責任者へ直ちに報告することです。
個人情報保護委員会のガイドラインでは、漏えい等事案が発覚した場合、事業者内部で責任ある立場の者に直ちに報告し、被害が拡大しないよう必要な措置を講じることが求められています。
2つ目は、被害拡大を止めることです。
不正アクセスや不正プログラム感染が疑われる場合、端末のLANケーブルを抜く、無線を無効化するなど、ネットワークから切り離す対応が例示されています。
3つ目は、記録を消さないことです。
IPAの中小企業向けインシデント対応資料でも、外部からアクセスできる状態や被害拡大の可能性がある場合はネットワーク遮断、情報や対象機器の隔離、システム停止を行う一方、不用意に電源を切るなどしてシステム上の記録を消さないよう注意しています。
4つ目は、事実関係を整理することです。
個人情報保護委員会のガイドラインでは、事実関係の調査、原因究明、影響範囲の特定、再発防止策の検討・実施が求められています。
5つ目は、報告・通知の要否を判断することです。
個人情報保護委員会への報告が必要な事案か、本人通知が必要な事案か、委託元や取引先への連絡が必要かを確認します。
初動で確認するチェックリスト
発覚直後は、慌ててしまいがちです。
まずは、次の項目を順番に確認します。
| 確認項目 | 内容 |
|---|---|
| 発覚日時 | いつ、誰が、どのように気づいたか |
| 発生日時 | いつから発生していた可能性があるか |
| 事案の種類 | 誤送信、紛失、不正アクセス、マルウェア、誤公開、内部不正など |
| 対象システム | メール、SaaS、Webサイト、サーバ、PC、クラウドストレージなど |
| 対象情報 | 顧客情報、従業員情報、取引先情報、会員情報など |
| 情報項目 | 氏名、住所、電話番号、メール、ID、パスワード、口座、健康情報など |
| 件数 | 何人分の個人データが対象か。概算でもよい |
| 要配慮個人情報 | 健康診断結果、診療情報、病歴等が含まれるか |
| 財産的被害のおそれ | クレジットカード番号、口座、決済ID、ログインID・パスワード等が含まれるか |
| 不正の目的 | 不正アクセス、盗難、内部不正、ランサムウェア等の可能性があるか |
| 1,000人超 | 対象本人の数が1,000人を超えるか |
| 被害拡大防止 | 送信停止、共有停止、ネットワーク隔離、アカウント停止等を行ったか |
| 証拠保全 | メール、ログ、端末、スクリーンショット、管理画面、時系列を保存したか |
| 委託関係 | 委託元・委託先のどちらで起きたか |
| 連絡先 | 経営者、責任者、保守会社、委託先、顧問弁護士等に連絡したか |
ここで大切なのは、最初からすべてを確定させようとしないことです。
速報では、その時点で把握している内容を報告すれば足ります。
個人情報保護委員会への報告が必要になる4つの事態
すべての漏えい等事案が、直ちに個人情報保護委員会への報告対象になるわけではありません。
ただし、次の4類型に該当する場合は、報告対象事態として報告が義務付けられています。
| 報告対象事態 | 例 |
|---|---|
| 要配慮個人情報が含まれる個人データの漏えい等、またはそのおそれ | 健康診断結果、診療情報、病歴等を含む情報の漏えい等 |
| 不正利用により財産的被害が生じるおそれがある個人データの漏えい等、またはそのおそれ | クレジットカード番号、送金・決済サービスのIDとパスワード等 |
| 不正の目的をもって行われたおそれがある行為による個人データ等の漏えい等、またはそのおそれ | 不正アクセス、盗難、内部不正、Web改ざん等 |
| 個人データに係る本人の数が1,000人を超える漏えい等、またはそのおそれ | 1,000人超の会員情報の誤公開、メールアドレスのCC送信等 |
判断に迷う場合は、「報告対象でない」と早く決めつけるのではなく、まず事実確認を行い、必要に応じて専門家や関係機関に相談します。
速報は「概ね3〜5日以内」が目安
報告対象事態を知った場合、まず行うのが速報です。
個人情報保護委員会は、漏えい等報告について、発覚したらまず速やかに報告すること、速報の目安を発覚日から3〜5日以内と案内しています。
ガイドラインでも、速報は報告対象事態を知った後、速やかに行うものとされ、「速やか」の日数の目安は個別事案によるものの、事態を知った時点から概ね3〜5日以内とされています。
速報で報告する事項は、主に次の9項目です。
この時点では、分かっている内容だけで構いません。
| 項目 | 速報時に整理する内容 |
|---|---|
| 概要 | 発生日、発覚日、発生事案、発見者、事実経過 |
| 個人データの項目 | 氏名、住所、メール、ID、健康情報、決済情報など |
| 本人の数 | 対象人数。未確定なら概算や調査中で整理 |
| 原因 | 誤送信、不正アクセス、設定ミス、紛失、内部不正など |
| 二次被害のおそれ | なりすまし、金銭被害、迷惑メール、詐欺等 |
| 本人対応 | 通知済み、準備中、対象者調査中など |
| 公表状況 | 公表済み、検討中、未公表など |
| 再発防止策 | 実施済みの応急措置、今後予定する対策 |
| その他参考事項 | 委託先、保守会社、警察、IPA等への相談状況など |
速報で大切なのは、体裁のよい説明を作ることではありません。
「何が分かっていて、何がまだ分かっていないか」を明確にすることです。
確報は原則30日以内、不正目的のおそれがある場合は60日以内
速報の後には、確報を行います。
個人情報保護委員会の案内では、確報は発覚日から30日以内、不正な目的で行われたおそれがある場合は発覚日から60日以内とされています。
ガイドラインでも、報告対象事態を知った日から30日以内、規則第7条第3号の不正目的によるおそれがある事態では60日以内に報告することとされています。これらは報告期限であり、可能な場合はより早期に報告することが望ましいとされています。
確報では、速報で挙げた9項目について、原則としてすべて報告します。
ただし、合理的努力を尽くしても一部の事項が判明していない場合は、その時点で把握している内容を報告し、判明次第追完する扱いが示されています。
| 区分 | 目安 | 実務上のポイント |
|---|---|---|
| 速報 | 概ね3〜5日以内 | 分かっている内容を報告。未確定事項は未確定として整理 |
| 確報 | 原則30日以内 | 原因、影響範囲、本人対応、再発防止策を整理 |
| 不正目的のおそれがある場合の確報 | 60日以内 | 不正アクセス、盗難、内部不正等では調査に時間がかかることを踏まえた期限 |
| 追完 | 判明次第 | 期限内に全項目が確定しない場合、後日補足 |
なお、確報の期限は「速報を出してから30日」ではなく、報告対象事態を知った日を起点に考えます。
中小企業では、この起算点を見落としやすいため、発覚日時を必ず記録してください。
本人通知は「報告対象事態」に該当するときに必要
報告対象事態を知った場合、原則として本人への通知も必要です。
個人情報保護法第26条第2項に関するガイドラインでは、報告対象事態を知ったときは、本人への通知を行わなければならないとされています。通知は、当該事態の状況に応じて速やかに行う必要があります。
本人通知で伝える事項は、主に次の内容です。
すべての調査が終わるまで待つのではなく、本人の権利利益を保護するために必要な範囲で、分かりやすく伝えることが重要です。
| 通知項目 | 内容 |
|---|---|
| 事案の概要 | 何が起きたか、いつ発覚したか |
| 対象となる個人データの項目 | 氏名、メール、住所、電話番号、ID、決済情報など |
| 原因 | 誤送信、設定ミス、不正アクセス、紛失など |
| 二次被害のおそれ | 不審メール、なりすまし、金銭被害等の可能性 |
| 本人が取れる対応 | パスワード変更、不審連絡への注意、カード会社への相談等 |
| 問い合わせ先 | 専用窓口、電話、メール、受付時間 |
| 再発防止の方向性 | 応急措置、再発防止策、今後の対応予定 |
本人への通知方法としては、文書の郵送や電子メールの送信が例示されています。通知は、本人にとって分かりやすい形で行うことが望ましいとされています。
本人通知をすぐに出せばよいとは限らない
本人通知は速やかに行う必要があります。
しかし、発覚直後に不確かな内容を送ることが、かえって混乱や被害拡大につながる場合もあります。
ガイドラインでは、本人への通知を行う具体的な時点は、その時点で把握している事態の内容、通知によって本人の権利利益が保護される可能性、通知による弊害などを考慮して判断するとされています。例えば、漏えい情報が掲示板等に掲載されており、削除要請等の初期対応が完了していない場合や、事案がほとんど判明しておらず通知しても本人が有効な対応を取れず混乱が生じるおそれがある場合が例示されています。
したがって、本人通知では次のバランスが重要です。
- 早く知らせる必要がある情報は何か
- まだ未確定であり、断定してはいけない情報は何か
- 本人が被害を防ぐために取れる行動は何か
- 通知により攻撃者や第三者に追加情報を与えないか
- 問い合わせ窓口を用意できているか
本人への通知が困難な場合は、本人の権利利益を保護するために必要な代替措置を講じることが認められています。代替措置としては、事案の公表や、問い合わせ窓口を用意して本人が自分の個人データが対象か確認できるようにすることが例示されています。
委託先で事故が起きた場合
前回の記事で扱ったように、個人情報の取扱いを外部に委託している場合、委託先で事故が起きることがあります。
個人データの取扱いを委託している場合、報告対象事態に該当するときは、原則として委託元と委託先の双方が報告義務を負います。ただし、委託先が報告義務を負う委託元に当該事態が発生したことを通知したときは、委託先は報告義務を免除される扱いがあります。
また、委託先から委託元への通知は、報告対象事態を知った後、速やかに行う必要があり、日数の目安は概ね3〜5日以内とされています。委託元は、通常、遅くとも委託先から通知を受けた時点で報告対象事態を知ったことになり、速やかに報告を行う必要があります。
本人通知についても、委託元・委託先双方が義務を負う場合がありますが、委託先が委託元へ必要事項を通知した場合には、本人通知義務も免除される扱いがあります。
実務上は、委託契約の中で次の事項を決めておくことが重要です。
| 項目 | 決めておく内容 |
|---|---|
| 第一報の期限 | 発見後何時間以内に委託元へ連絡するか |
| 連絡先 | 平時・緊急時の担当者、電話、メール |
| 報告内容 | 発覚日時、対象情報、件数、原因、対応状況 |
| 証拠保全 | ログ、端末、メール、作業記録の保存 |
| PPC報告 | 委託元・委託先のどちらが主体になるか |
| 本人通知 | 誰が通知文を作成し、誰が送るか |
| 公表 | 公表する場合の承認手順、問い合わせ窓口 |
| 再発防止 | 報告書、是正措置、期限、確認方法 |
委託先での事故だからといって、自社の対応が不要になるわけではありません。
自社が委託元であれば、委託先から情報を集め、本人、取引先、個人情報保護委員会への説明に備える必要があります。
公表が必要になる場合
本人通知とは別に、事案によっては公表を検討する必要があります。
個人情報保護委員会のガイドラインでは、漏えい等事案の内容等に応じて、二次被害の防止や類似事案の発生防止等の観点から、事実関係や再発防止策等について速やかに公表することが望ましいとされています。
IPAのインシデント対応資料でも、すべての関係者への通知が困難な場合や影響が広く一般に及ぶ場合には、Webサイトやメディアを通じた公表を行い、公表によって被害拡大を招かないよう時期・内容・対象を考慮すると説明されています。
公表を検討する場合は、次の点を確認します。
| 確認項目 | 内容 |
|---|---|
| 公表の目的 | 二次被害防止、注意喚起、問い合わせ対応、説明責任 |
| 公表対象 | 顧客、取引先、一般利用者、株主、地域住民など |
| 公表内容 | 事案概要、対象情報、原因、対応、再発防止、問い合わせ先 |
| 公表時期 | 初動対応後、本人通知前後、確報後など |
| 公表リスク | 攻撃手法や脆弱性を過度に明かさないか |
| 問い合わせ体制 | 電話、メール、FAQ、対応担当者 |
| 法務確認 | 契約、業法、名誉・信用、第三者情報への配慮 |
「隠す」ことと「必要な確認をしてから公表する」ことは違います。
不確かな情報を急いで出すと混乱を招きますが、説明が遅れすぎると信頼を損ないます。
報告先を間違えない
漏えい等報告の報告先は、原則として個人情報保護委員会です。
ただし、事業所管大臣に漏えい等報告等の権限が委任されている分野では、個人情報保護委員会ではなく、権限委任先府省庁等に報告する必要があります。個人情報保護委員会は、権限委任先省庁等は毎年更新しているため、報告前に最新の報告先を確認するよう案内しています。
また、ランサムウェア事案については、令和7年10月1日以降、関係省庁申し合わせに基づく共通様式を用いた報告が可能とされています。
中小企業の実務では、次のように整理しておくとよいでしょう。
| 連絡・報告先 | 使う場面 |
|---|---|
| 個人情報保護委員会または権限委任先省庁 | 報告対象事態に該当する個人データの漏えい等 |
| 委託元・委託先 | 委託業務に関係する事故 |
| 顧客・本人 | 本人通知、注意喚起、問い合わせ対応 |
| 警察 | 犯罪性がある場合。不正アクセス、盗難、内部不正など |
| IPA | ウイルス感染、不正アクセス等に関する技術的相談 |
| 保守会社・クラウド事業者 | ログ確認、停止、復旧、原因調査 |
| 顧問弁護士 | 法的判断、通知文、公表文、契約対応 |
| 取引先 | 取引先情報や委託業務に影響がある場合 |
IPAの中小企業向け資料でも、個人情報漏えいの場合は個人情報保護委員会、業法等で求められる場合は所管省庁、犯罪性がある場合は警察、ウイルス感染や不正アクセスの場合はIPAへ届け出ることが示されています。
事案別の初動ポイント
メール誤送信の場合
メール誤送信では、まず送信先、送信時刻、宛先欄、添付ファイル、本文、含まれていた個人データの項目を確認します。
特に、BCCに入れるべきメールアドレスをCCに入れて一括送信した場合、対象人数が1,000人を超えると報告対象事態に該当する例として示されています。
確認項目は次のとおりです。
| 確認項目 | 内容 |
|---|---|
| 宛先 | TO、CC、BCCのどこに入っていたか |
| 送信先 | 本来の相手か、第三者か |
| 件数 | 何人分の情報が含まれていたか |
| 情報項目 | 氏名、メール、住所、注文内容、請求情報など |
| 回収 | 削除依頼をしたか、相手が削除したか |
| 二次被害 | なりすまし、迷惑メール、詐欺のリスクがあるか |
| 再発防止 | 送信前確認、承認、メール配信ツール、添付ファイル制限 |
不正アクセスの場合
不正アクセスでは、ログ保全が重要です。
確認項目は次のとおりです。
| 確認項目 | 内容 |
|---|---|
| 対象システム | Webサイト、SaaS、VPN、メール、サーバなど |
| アクセス時刻 | いつ不正ログイン・不審通信があったか |
| アクセス元 | IPアドレス、国・地域、端末、アカウント |
| 対象データ | どの個人データにアクセスできたか |
| 窃取の痕跡 | ダウンロード、転送、大量アクセス、改ざん |
| アカウント | パスワード変更、MFA、無効化 |
| 証拠保全 | ログ、ファイル、メモリ、管理画面、通知メール |
| 外部支援 | 保守会社、クラウド事業者、専門家、警察、IPA |
第三者から漏えいのおそれについて一定の根拠に基づく連絡を受けた場合も、報告を要する例として示されています。
紛失・盗難の場合
書類、PC、スマートフォン、USBメモリなどを紛失した場合は、物理的な所在確認と、情報の保護状況を確認します。
| 確認項目 | 内容 |
|---|---|
| 紛失物 | 書類、PC、スマートフォン、USBメモリ、外付けHDDなど |
| 紛失場所 | 社内、電車、店舗、出張先、車内など |
| 対象情報 | 何の個人データが入っていたか |
| 件数 | 何人分か |
| 保護状況 | 暗号化、パスワード、画面ロック、リモートワイプ |
| 回収可能性 | 拾得届、警察届出、探索状況 |
| 悪用可能性 | 財産的被害、なりすまし、営業秘密の漏えい |
| 本人対応 | 通知、注意喚起、問い合わせ窓口 |
ランサムウェアの場合
ランサムウェアでは、業務停止と個人データの漏えい等が同時に問題になります。
IPAの資料では、ウイルス感染やランサムウェア感染の場合、まず感染したPCやサーバの利用を停止し、ネットワークから切り離すことが重要とされています。また、日頃から適切なバックアップを行うことが被害を最小限に抑えるポイントとされています。
確認項目は次のとおりです。
| 確認項目 | 内容 |
|---|---|
| 感染範囲 | PC、サーバ、NAS、クラウド同期先 |
| 暗号化対象 | 個人データが暗号化されたか |
| 復元可否 | バックアップから戻せるか |
| 窃取の痕跡 | 外部送信、大量通信、脅迫文、公開サイトへの掲載予告 |
| 業務影響 | 受注、出荷、予約、請求、給与、顧客対応 |
| 報告様式 | ランサムウェア共通様式の利用可否 |
| 外部相談 | 保守会社、専門調査会社、警察、IPA、弁護士 |
| 本人対応 | 対象者、通知内容、二次被害防止策 |
記録しておくべき時系列
漏えい等事案では、時系列の記録が非常に重要です。
後から、本人、取引先、個人情報保護委員会、委託元、保険会社、弁護士、警察等に説明する必要が出る場合があります。
次のような表を作っておくと、速報・確報・公表文の作成に使えます。
| 日時 | 事実・対応 | 担当者 | 証跡 |
|---|---|---|---|
| 5/12 09:10 | 顧客から「他社宛てメールを受信した」と連絡 | 受付担当 | 受信メール |
| 5/12 09:20 | 情報セキュリティ責任者へ報告 | 総務 | 社内チャット |
| 5/12 09:40 | 送信履歴を確認。対象は15件と判明 | システム担当 | メールログ |
| 5/12 10:00 | 誤送信先へ削除依頼 | 営業担当 | 送信メール |
| 5/12 11:30 | 対象情報に住所・電話番号を含むことを確認 | 総務 | 添付ファイル |
| 5/12 13:00 | PPC報告対象事態の該当性を検討 | 責任者 | 検討メモ |
| 5/13 10:00 | 本人通知案を作成 | 総務・法務 | 通知文案 |
| 5/14 15:00 | 速報提出 | 責任者 | 報告受付控え |
| 5/20 16:00 | 再発防止策を決定 | 経営者 | 会議議事録 |
時系列は、後から思い出して書くと抜け漏れが起こります。
発覚直後から、専用のシートやチケットで記録しましょう。
よくある失敗
すぐに「漏えいしていない」と判断してしまう
ログや証跡を確認する前に、「たぶん漏えいしていない」と判断するのは危険です。
特に不正アクセスやランサムウェアでは、漏えいの有無をすぐに断定できない場合があります。
証拠を消してしまう
慌ててPCを初期化する、ログを消す、メールを削除する、サーバを再構築するなどの対応を先に行うと、原因調査や影響範囲の特定が難しくなります。
被害拡大防止と証拠保全の両方を意識する必要があります。
本人通知の準備が遅れる
個人情報保護委員会への速報だけを意識して、本人通知の準備が後回しになることがあります。
報告対象事態に該当する場合は、本人通知も必要になります。対象者リスト、通知文、問い合わせ窓口を早めに準備しましょう。
委託先からの連絡ルールがない
委託先で事故が起きた場合、契約時に連絡期限や報告内容を決めていないと、委託元が必要な情報を集められません。
委託契約には、事故時の第一報、報告内容、証拠保全、本人通知への協力、再発防止報告を入れておくべきです。
報告期限の起算点を誤る
速報や確報の期限は、事案を「知った日」が重要です。
「社長が知った日」「専門家に相談した日」「速報を出した日」だけで考えると、期限管理を誤る可能性があります。
まとめ
個人情報の漏えい等が疑われた場合、最初に行うべきことは、被害拡大を止め、事実を記録し、報告・通知の要否を判断することです。
実務では、次の順番で対応します。
- 責任者へ直ちに報告する
- ネットワーク遮断、共有停止、アカウント停止などで被害拡大を防ぐ
- ログ、メール、端末、管理画面、時系列を保存する
- 対象情報、件数、要配慮個人情報、財産的被害、不正目的、1,000人超の有無を確認する
- 報告対象事態に該当する場合は、概ね3〜5日以内を目安に速報する
- 原則30日以内、不正目的のおそれがある場合は60日以内に確報する
- 本人通知、問い合わせ窓口、公表、取引先連絡を検討する
- 再発防止策を決め、記録として残す
漏えい等対応は、事故が起きてから考えると間に合いません。
事前に、連絡網、初動チェックリスト、委託先連絡ルール、本人通知文のひな形、報告用の時系列シートを用意しておくことが重要です。
ライトハウスコンサルタントでは、情報処理安全確保支援士による情報セキュリティに関するコンサルティング、SECURITY ACTION取得サポート、CIOアウトソースサービスなどを行っています。情報セキュリティ事故対応、個人情報漏えい時の初動整理、SaaS・クラウド台帳、委託先管理、社内ルール整備に不安がある場合は、早めに専門家へ相談することをおすすめします。
