2σ Guide

インシデント広報の実務と法務
企業が危機時に信頼を守るために

情報漏えい、サイバー攻撃、製品事故、不祥事、適時開示まで、初動判断、発表文、会見、再発防止を企業法務と危機管理の視点で整理します。

72h初動管理の目安
30/60日漏えい確報の目安
年1回平時訓練の最低目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

インシデント広報の実務と法務 企業が危機時に信頼を守るために

情報漏えい、サイバー攻撃、製品事故、不祥事、適時開示まで、初動判断、発表文、会見、再発防止を 企業法務と危機管理の視点で整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
インシデント広報の実務と法務 企業が危機時に信頼を守るために
情報漏えい、サイバー攻撃、製品事故、不祥事、適時開示まで、初動判断、発表文、会見、再発防止を 企業法務と危機管理の視点で整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • インシデント広報の実務と法務 企業が危機時に信頼を守るために
  • 情報漏えい、サイバー攻撃、製品事故、不祥事、適時開示まで、初動判断、発表文、会見、再発防止を 企業法務と危機管理の視点で整理します。

POINT 1

  • インシデント広報の全体像
  • 危機時の説明は、謝罪文だけでなく被害拡大防止、法令遵守、証拠保全、信頼回復を同時に進める経営実務です。
  • 目的は炎上回避に限られません
  • 早く出す情報と後で出す情報を分けます
  • 法定報告と広報は同じではありません

POINT 2

  • インシデント広報とは何か
  • 通常広報、危機広報、法定開示との違いを押さえると、発信範囲と順序を決めやすくなります。
  • 事案の種類によって、優先すべき相手、守るべき情報、法定手続が変わる点を読み取れます。
  • インシデント広報はこれらを横断しますが、法令上の最低限の通知だけでは社会的説明として足りない場合がある点を確認してください。

POINT 3

  • インシデント広報が企業法務の問題になる理由
  • 事実と評価
  • 確認済み事実、仮説、評価、謝意、再発防止を混ぜずに記載します。
  • 未確認事項
  • 原因、責任、過失、違法性を初動で断定せず、調査中の範囲を明示します。

POINT 4

  • インシデント広報の基本原則
  • 迅速性、正確性、被害者目線、守秘、継続更新を同時に扱うことが実務の核になります。
  • 迅速性と正確性を両立します
  • 事実認識を一元管理します
  • 被害者に有用な情報を優先します

POINT 5

  • インシデント広報の組織体制
  • 危機対策本部、承認権限、ファクトシートを整えることで、発信の速度と整合性を保ちます。
  • 役割を部門名だけでなく責任単位で見ると、誰が何を確認し、誰が承認するかを決めやすくなります。
  • 緊急時に承認者が不在でも止まらないよう、代行者と暫定発表権限を事前に決めることが重要です。
  • 会議では、ファクト、仮説、未確認情報、発表済み情報、次回発表予定を分けて残します。

POINT 6

  • インシデント広報の初動72時間
  • 1. 受け付け、証拠保全、隔離判断:管理番号を付与し、通報者・発見者から最低限の事実を確認します。
  • 2. 重大性評価と招集判断
  • 3. 初動発表と限定通知
  • 4. 更新と整合性管理

POINT 7

  • インシデント広報の法令・規制別ポイント
  • 個人情報、サイバー、適時開示、製品事故、会計不正、労務人権では、発信内容と手続が変わります。
  • インシデント広報は、対象法令や業種規制により検討順序が変わります。
  • 広報として何を出すかだけでなく、誰に、いつ、どの根拠で報告・通知するかを整理します。
  • 各分野で守るべき相手と出し方に注意すべき情報が異なる点を読み取ってください。

POINT 8

  • インシデント広報で公表するかを判断する枠組み
  • 1. インシデントを認知します:発覚日時、通報経路、初期事実、証拠保全状況を記録します。
  • 2. 人命・身体・財産への切迫した危険を確認します:危険がある場合は、注意喚起、停止、避難、回収などを直ちに検討します。
  • 3. 法定報告・本人通知・行政届出・適時開示を確認します:対象法令、契約、上場規則、業種規制を法務・所管部門・外部専門家で確認します。
  • 4. 顧客・取引先・社会が自衛措置を取る必要性を確認します:必要がある場合は、初動告知または限定通知を検討します。
  • 5. 待機文、FAQ、窓口を準備します:報道、SNS、問い合わせに備え、一次情報ページへ誘導します。
  • 6. 内部記録と調査を継続します:公表しない理由、次回見直し時点、再発防止の検討状況を記録します。

まとめ

  • インシデント広報の実務と法務 企業が危機時に信頼を守るために
  • インシデント広報の全体像:危機時の説明は、謝罪文だけでなく被害拡大防止、法令遵守、証拠保全、信頼回復を同時に進める経営実務です。
  • インシデント広報とは何か:通常広報、危機広報、法定開示との違いを押さえると、発信範囲と順序を決めやすくなります。
  • インシデント広報が企業法務の問題になる理由:発表文は後日の証拠となり、法的義務と社会的期待がずれる場面で経営判断が問われます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

インシデント広報の全体像

危機時の説明は、謝罪文だけでなく被害拡大防止、法令遵守、証拠保全、信頼回復を同時に進める経営実務です。

インシデント広報とは、情報漏えい、サイバー攻撃、製品事故、サービス停止、会計不正、ハラスメント、法令違反、行政処分、役職員の不祥事、災害・事故などの異常事態が起きたとき、関係者に事実、影響、対応方針、再発防止策を適時に説明する活動です。広報部門だけの作業ではなく、企業法務、危機管理、証拠保全、規制当局対応、被害者対応、投資家対応、顧客対応、社内統制、報道対応を横断する経営機能です。

この要点一覧は、インシデント広報で最初に押さえるべき判断軸を示しています。危機時は情報が断片化しやすいため、目的、出す情報、体制、平時準備を分けて読むことが重要です。

Purpose

目的は炎上回避に限られません

被害拡大防止、説明責任、法令遵守、証拠保全、事業継続、信頼回復を同時に進めます。

Timing

早く出す情報と後で出す情報を分けます

初動では分かっていること、分かっていないこと、現在の対応、次回更新予定を明確にします。

Law

法定報告と広報は同じではありません

個人情報、適時開示、製品事故、内部通報、不祥事調査などで必要な手続が異なります。

Team

広報部門だけでは完結しません

法務、経営、CSIRT、個人情報保護、品質保証、IR、人事、内部監査、外部専門家が同じ事実認識を持ちます。

Readiness

平時の準備が初動を左右します

規程、テンプレート、承認権限、訓練、問い合わせ体制を事前に整えるほど混乱を抑えやすくなります。

次の強調枠は、このページ全体の読み方をまとめたものです。インシデント広報では、正確性を守りながら沈黙のリスクも管理する姿勢を読み取ってください。

早く、正確に、誠実に更新します

ただし、未確認事実は断定せず、被害者に必要な行動を示し、法令と証拠を守り、判明事項に応じて継続的に説明します。

Section 01

インシデント広報とは何か

通常広報、危機広報、法定開示との違いを押さえると、発信範囲と順序を決めやすくなります。

ここでいうインシデント広報は、社会的、法的、経済的に重要な異常事態が発生した場合に、関係者へ必要な情報を適時、正確、誠実に伝えるための意思決定、文書作成、発表、質疑応答、更新、記録化、検証の一連のプロセスです。

次の比較表は、インシデントの類型ごとに典型例と広報上の論点を整理しています。事案の種類によって、優先すべき相手、守るべき情報、法定手続が変わる点を読み取れます。

類型典型例主な論点
情報・サイバー不正アクセス、ランサムウェア、個人情報漏えい、委託先事故、クラウド設定ミス個人情報保護委員会への報告、本人通知、攻撃助長情報の管理、復旧見通し、二次被害への注意喚起を整理します。
システム・サービス決済停止、予約システム停止、EC停止、基幹システム障害顧客影響、代替手段、復旧時刻、補償、取引先通知、原因説明を分けて示します。
製品・品質発火、異物混入、リコール、品質偽装、検査不正生命身体リスク、回収方法、対象ロット、行政報告、販売停止、消費者向け注意喚起を優先します。
会計・開示会計不正、粉飾、内部統制不備、決算延期適時開示、有価証券報告書、監査法人対応、第三者委員会、投資家説明の整合性を確認します。
労務・人権ハラスメント、長時間労働、労災、差別、不適切処分被害者保護、プライバシー、労基署対応、再発防止、社内説明を中心に組み立てます。
役職員不祥事役員逮捕、横領、贈収賄、反社取引、SNS不適切投稿捜査対応、社内処分、監督責任、取引先説明、ブランド毀損への対応を整理します。
災害・事故工場事故、火災、爆発、物流事故、死亡傷病人命優先、地域住民説明、行政・消防・警察対応、操業停止情報を明確にします。
炎上・風評SNS拡散、誤情報、広告表現批判、差別表現批判事実確認、謝罪要否、訂正、対話、二次拡散防止を検討します。

次の表は、通常広報、危機広報、法定開示の違いを示しています。インシデント広報はこれらを横断しますが、法令上の最低限の通知だけでは社会的説明として足りない場合がある点を確認してください。

区分目的インシデント時の注意点
通常広報商品、サービス、採用、ブランド、IRなどを平時に伝えます。好意的な情報発信の発想だけでは、危機時の説明責任を満たしにくくなります。
危機広報企業価値、安全、信頼に影響する危機時のコミュニケーションを担います。事実調査、被害者対応、再発防止、経営判断との連動が必要です。
法定開示・通知法令、上場規則、契約に基づく最低限の情報提供を行います。個人データ漏えいでは速報、確報、本人通知が問題となり、上場会社では投資判断情報の適時開示が問題となります。
Section 03

インシデント広報の基本原則

迅速性、正確性、被害者目線、守秘、継続更新を同時に扱うことが実務の核になります。

インシデント広報では「早く出す」と「正しく出す」が対立するように見えます。しかし実務では、初動で出す情報と、調査後に出す情報を分けることで両立を目指します。

次の比較表は、情報の種類ごとに初動で扱いやすい範囲と、調査後に示すべき範囲を整理しています。早期発信では、確度の低い原因や責任を断定しない点を読み取ってください。

情報の種類初動で出しやすい情報調査後に出す情報
発生認知発生を認識した事実、影響が生じている可能性詳細な発生時刻、経路、根本原因
影響範囲現時点で確認された影響、利用者が取るべき行動確定した対象者数、対象ロット、被害額
原因調査中であること、外部専門家へ依頼したこと原因分析、管理不備、再発防止策
復旧代替手段、暫定対応、次回更新予定恒久復旧、検証結果、監査結果
責任迷惑や不安への謝意、被害者保護姿勢役員責任、処分、補償、組織改革

次の横並びの要点は、危機時に同時管理すべき基本原則を示しています。単に謝るだけでも、単に法的リスクを避けるだけでも足りないことを確認してください。

Speed

迅速性と正確性を両立します

分かっていること、分かっていないこと、現在行っていること、次の更新予定を明確にします。

Single Source

事実認識を一元管理します

営業、コールセンター、IR、SNS、会見で説明がずれないよう、同じファクトシートを使います。

Victim First

被害者に有用な情報を優先します

パスワード変更、不審メール警戒、使用中止、相談窓口など、相手が取れる行動を示します。

Apology

謝意と責任認定を分けます

不安や負担への謝意を示しつつ、未確認の原因や過失は調査結果を待って説明します。

Confidentiality

透明性と守秘の均衡を取ります

攻撃助長情報、営業秘密、個人情報、通報者情報を守りながら、出せない理由も説明可能にします。

Section 04

インシデント広報の組織体制

危機対策本部、承認権限、ファクトシートを整えることで、発信の速度と整合性を保ちます。

重大インシデントでは、危機対策本部を置き、経営、法務、広報、IT、品質保証、個人情報保護、IR、人事、顧客対応、内部監査、外部専門家が同じ前提で動きます。

次の表は、危機対策本部で必要となる機能を示しています。役割を部門名だけでなく責任単位で見ると、誰が何を確認し、誰が承認するかを決めやすくなります。

役割主な責任
本部長経営判断、優先順位、対外責任、最終承認を担います。
法務責任者法令、契約、訴訟、証拠保全、当局対応を管理します。
広報責任者発表方針、メディア対応、SNS・ウェブ更新、記者会見を統括します。
CSIRT/CISO技術調査、封じ込め、復旧、外部専門機関連携を担います。
個人情報保護責任者漏えい等報告、本人通知、委託先・共同利用先の整理を行います。
IR責任者適時開示、投資家説明、決算・業績影響を整理します。
品質保証責任者製品事故、回収、対象ロット、原因分析、行政対応を担います。
人事・労務責任者従業員説明、労務問題、懲戒、被害者・通報者保護を管理します。
顧客対応責任者コールセンター、FAQ、返金・補償、苦情対応を設計します。
外部専門家法的助言、フォレンジック、会計調査、危機広報などを補完します。

次の表は、文書ごとの起案、レビュー、承認の分担例です。緊急時に承認者が不在でも止まらないよう、代行者と暫定発表権限を事前に決めることが重要です。

文書起案レビュー承認
初動告知広報・所管部門法務、技術・品質、顧客対応危機対策本部長または代行者
本人通知個人情報保護、法務CSIRT、顧客対応、外部専門家個人情報保護責任者・経営陣
適時開示IR、法務、経理監査法人、外部専門家、経営企画代表取締役または開示責任者
会見資料広報法務、技術、事業、IR経営陣
社内説明人事、広報法務、コンプライアンス本部長または人事責任者
取引先通知営業、法務事業、顧客対応、外部専門家事業責任者・法務責任者

ファクトシートには、管理番号、発生日、発覚日、事象概要、影響範囲、被害状況、原因、対応状況、法的論点、発表状況、未発表理由、次回更新、承認者、版管理を記録します。会議では、ファクト、仮説、未確認情報、発表済み情報、次回発表予定を分けて残します。

Section 05

インシデント広報の初動72時間

発覚直後から72時間までに、証拠保全、重大性評価、初動発表、更新管理を進めます。

初動72時間では、広報文の作成だけでなく、被害拡大防止、証拠保全、事実確認、当局報告、本人通知、取引先説明、社内統制を並行して進めます。

次の時系列は、発覚直後から72時間までの優先順位を示しています。時間が進むほど関係者が増えるため、初期の記録と判断根拠を残すことが重要です。

0〜1時間

受け付け、証拠保全、隔離判断

管理番号を付与し、通報者・発見者から最低限の事実を確認します。ログ、メール、端末、監視カメラ、通話記録、製造記録などの削除を止め、停止や隔離の要否を判断します。

1〜3時間

重大性評価と招集判断

人命、個人情報、事業継続、法令・当局、上場・投資家、社会的影響、契約、国際対応の軸で評価し、危機対策本部と外部専門家の要否を判断します。

3〜24時間

初動発表と限定通知

社会的影響が大きい場合は、詳細が未確定でも発生・発覚した事実、判明範囲、利用者が取るべき行動、会社の対応、問い合わせ窓口、次回更新予定を示します。

24〜72時間

更新と整合性管理

外部専門家の起用、法定報告、本人・顧客通知、取引先説明、社内説明、SNS・報道監視、役員会議を進め、最初の発表だけで沈黙しないようにします。

次の表は、初期評価で確認する判定軸を示しています。広報の必要性だけでなく、当局報告、本人通知、適時開示、会見の可能性まで同時に見ます。

判定軸確認事項
人命・身体死亡、傷病、火災、爆発、健康被害の可能性を確認します。
個人情報個人データ、要配慮個人情報、財産的被害、不正目的、1,000人超の可能性を確認します。
事業継続主要サービス停止、サプライチェーン停止、決済不能、納期遅延を確認します。
法令・当局行政報告、警察通報、監督官庁報告、業法違反の可能性を確認します。
上場・投資家業績影響、重要事実、決算延期、内部統制不備、適時開示要否を確認します。
社会的影響報道可能性、SNS拡散、被害者多数、公共性、地域住民影響を確認します。
契約・国際通知義務、SLA、補償条項、秘密保持義務、GDPR、外国当局対応を確認します。

個人情報漏えいの場合、報告対象事態を知った時点からおおむね3〜5日以内の速報が目安となり、確報では概要、対象個人データの項目、本人の数、原因、二次被害、本人対応、公表、再発防止などを整理します。

Section 06

インシデント広報の法令・規制別ポイント

個人情報、サイバー、適時開示、製品事故、会計不正、労務人権では、発信内容と手続が変わります。

インシデント広報は、対象法令や業種規制により検討順序が変わります。広報として何を出すかだけでなく、誰に、いつ、どの根拠で報告・通知するかを整理します。

次の一覧は、規制分野ごとの確認事項を示しています。各分野で守るべき相手と出し方に注意すべき情報が異なる点を読み取ってください。

PI

個人情報漏えい・プライバシー

個人データか、要配慮個人情報か、財産的被害や不正目的のおそれがあるか、1,000人超か、本人通知が可能かを確認します。不審メール、パスワード変更、クレジットカード明細確認、問い合わせ窓口も示します。

本人通知二次被害
CS

サイバー攻撃・ランサムウェア

サービス影響、利用者影響、復旧状況、防御行動、専門家起用を示しつつ、侵入口、未修正脆弱性、詳細なネットワーク構成、検知ルールを出しすぎないようにします。

CSIRT攻撃助長防止
IR

上場会社の適時開示・IR

売上・利益への重大影響、営業秘密・顧客情報の流出可能性、工場停止、リコール費用、過年度決算訂正、役員不正などを投資判断情報として確認します。

適時開示投資家説明
QA

製品事故・リコール

製品名、型番、ロット、販売期間、事故内容、危険性、使用中止、回収方法、問い合わせ窓口、行政対応を明確にします。原因究明より前に安全行動を示す場面があります。

回収身体安全
AC

会計不正・内部不正

何が起きたかだけでなく、内部統制がなぜ機能しなかったか、誰がどの範囲を調査するか、第三者委員会の独立性・中立性・専門性をどう確保するかが問われます。

第三者委員会内部統制
HR

労務・ハラスメント・人権

被害者保護、二次被害防止、プライバシー、通報者保護を中心にします。公表する場合でも、関係者が特定される部署、時系列、属性を慎重に扱います。

被害者保護通報者保護

サイバー攻撃では、JPCERT/CCや関係機関との情報共有、警察、監督官庁、個人情報保護委員会、取引先、サイバー保険会社、フォレンジック会社との連携が問題となる場合があります。NIST SP 800-61のようなインシデント対応ガイドも、体制整備の参考になります。

Section 07

インシデント広報で公表するかを判断する枠組み

公表、限定通知、法定報告、適時開示を二択ではなく分類して検討します。

発生時に直ちに「公表するか、しないか」を二分すると、法定手続、被害者保護、営業秘密、捜査協力、社会的説明責任を見落としやすくなります。

次の判断の流れは、公表範囲を決める順序を表しています。人命や自衛行動が必要な場面では早い注意喚起を優先し、守るべき情報がある場面では範囲や時期を調整する点を読み取ってください。

公表範囲を決める判断の流れ

インシデントを認知します

発覚日時、通報経路、初期事実、証拠保全状況を記録します。

人命・身体・財産への切迫した危険を確認します

危険がある場合は、注意喚起、停止、避難、回収などを直ちに検討します。

法定報告・本人通知・行政届出・適時開示を確認します

対象法令、契約、上場規則、業種規制を法務・所管部門・外部専門家で確認します。

顧客・取引先・社会が自衛措置を取る必要性を確認します

必要がある場合は、初動告知または限定通知を検討します。

外部影響が高い
待機文、FAQ、窓口を準備します

報道、SNS、問い合わせに備え、一次情報ページへ誘導します。

外部影響が低い
内部記録と調査を継続します

公表しない理由、次回見直し時点、再発防止の検討状況を記録します。

次の表は、情報提供の4分類を示しています。同じ事案でも、当局には報告し、対象者には通知し、社会には限定的に注意喚起するなど、複数の方法を組み合わせることがあります。

分類内容
法定報告・通知法令・規則に基づき報告や通知を行います。個人情報保護委員会報告、本人通知、重大製品事故報告
適時開示・投資家開示上場規則や金融商品取引法上の投資判断情報を開示します。重要な業績影響、決算訂正、会計不正
任意公表法定義務が明確でなくても、社会的説明責任に基づき公表します。顧客多数への影響、SNS拡散、サービス停止
限定共有一般公表はせず、特定先に必要な情報を共有します。取引先通知、警察・専門機関連絡、委託元通知

公表を検討すべき事情には、生命・身体・財産への被害可能性、顧客の自衛措置、個人情報や決済情報の漏えい可能性、報道やSNS拡散、サービス停止、投資判断への重要影響、行政処分・捜査・訴訟・リコール・決算訂正の可能性があります。一方で、捜査妨害、追加攻撃、プライバシー侵害、名誉毀損、営業秘密、秘密保持義務がある場合は、範囲、時期、内容を慎重に設計します。

Section 08

インシデント広報文の構成と文案

初動告知、本人通知、謝罪文では、読み手が必要な行動を取れる順序で情報を置きます。

インシデント広報文は、会社側の事情説明から始めるのではなく、何が起き、誰にどの影響があり、読み手は何をすればよいかを早く示す構成にします。

次の表は、発表文の基本構成を示しています。謝意、事実、影響、原因、対応、お願い、二次被害防止、窓口、更新予定を混ぜずに並べることが重要です。

順序要素書く内容
1表題何に関するお知らせかを具体的に示します。
2冒頭迷惑・不安への謝意と事象発生の概要を伝えます。
3経緯いつ、どのように認識したかを時系列で示します。
4影響範囲対象者、対象製品、対象サービス、対象期間を示します。
5原因判明している原因と調査中事項を分けます。
6対応状況停止、復旧、回収、専門家起用、当局報告を示します。
7お願い利用者・顧客が取るべき具体的行動を示します。
8二次被害防止不審連絡、詐欺、なりすましへの注意を示します。
9窓口問い合わせ先、受付時間、対応範囲を示します。
10今後の対応再発防止、次回更新、調査継続を示します。

次の表は、初動告知で使う骨子を示しています。実際の事案では、未確定事項を未確定と明示し、原因や責任を早期に断定しない形へ修正します。

項目文案例
表題当社サービスにおける不具合発生に関するお知らせ
冒頭当社が提供するサービスにおいて、一部のお客様が利用しにくい状態となっていることを確認しました。ご不便とご心配をおかけしておりますことをお詫び申し上げます。
確認内容発生日時、対象サービス、影響範囲、現在の対応、お客様へのお願いを箇条書きで示します。
未確定事項現時点では原因および影響範囲の詳細を調査中です。新たに公表すべき事項が判明した場合には、当社ウェブサイトで速やかにお知らせします。
窓口問い合わせ窓口、電話、メール、受付時間を示します。

個人情報漏えい時の本人通知では、判明した事実、対象となる可能性のある情報、想定される二次被害、お願い、会社の対応、問い合わせ先を分けて書きます。当社名を装った不審メール、SMS、電話への注意や、同一パスワードを他サービスで使っている場合の変更検討も案内します。

次の比較表は、謝罪文で避けたい表現と改善方向を示しています。読み手の受け止めに責任を移す表現、調査前の断定、組織責任の矮小化、抽象的な再発防止だけに留まる表現を避けます。

避けたい表現問題点望ましい方向性
誤解を招いたとすればお詫びします相手の受け止めの問題に転嫁しているように見えます。当社の表現によりご不快・ご不安をおかけしました、と整理します。
現在、被害は確認されていませんだけ将来判明する可能性を軽視して見えます。現時点で確認された範囲では、と置いたうえで調査継続を示します。
法令違反はありません調査前の断定は危険です。関係法令に照らした確認を進めています、とします。
担当者のミスでした組織責任を回避しているように見えます。運用・管理体制を含めて原因を調査しています、とします。
再発防止を徹底しますだけ具体性がありません。期限、責任者、措置内容、検証方法を示します。
Section 09

記者会見・メディア対応とSNS対応

会見を開くべき場面、準備すべき資料、典型質問、SNS時代の一次情報管理を整理します。

記者会見は常に必要ではありませんが、死亡・重大傷病、大規模な消費者被害、大規模な個人情報漏えい、重大なサイバー攻撃、公共性の高いサービス、企業価値への重大影響、経営陣の関与や組織的隠蔽の疑いがある場合は開催を検討します。

次の一覧は、会見前に準備する項目を示しています。登壇者の善意による未確認発言を防ぐため、話す内容と話さない内容を事前に整理することが重要です。

Opening

冒頭説明文

事象、影響、謝意、対応状況、次回更新を簡潔に説明します。

Q&A

想定問答集

原因、把握時期、公表遅れ、経営責任、補償、再発防止への回答方針を整理します。

Facts

ファクトシート

数字の根拠、時系列、公表できない事項と理由を同じ資料で管理します。

Governance

責任と補償方針

役員責任の暫定見解、被害者対応、補償方針、次回更新予定を確認します。

次の表は、記者から受けやすい質問と回答方針を整理しています。断定を避けながら、事実確認、被害者保護、説明責任から逃げない姿勢を示します。

質問回答方針
いつから把握していましたか発覚日時、社内共有日時、初動対応を時系列で説明します。
なぜ公表が遅れましたか事実確認、被害拡大防止、当局報告、対象者特定との関係を説明します。
原因は何ですか判明済み事項と調査中事項を分け、未確認部分を断定しません。
経営責任をどう考えますか重大に受け止めていること、調査結果を踏まえて判断することを述べます。
被害者にどう補償しますか現時点の方針、検討中事項、問い合わせ方法を示します。
隠蔽ではありませんか記録された初動、当局報告、調査依頼、公表判断の理由を説明します。
再発防止策は何ですか暫定策と恒久策を分け、期限と責任部署を示します。

SNS時代には、報道機関だけでなく、動画配信、掲示板、口コミサイト、レビューサイト、従業員投稿、顧客投稿が情報環境を形成します。公式サイトに一次情報ページを置き、SNSでは一次情報へ誘導し、誤情報には感情的に反論せず、事実で訂正します。個別被害者とのやり取りは公開SNS上で細かく行わず、なりすましアカウントや偽メールへの注意喚起も行います。

Section 10

ステークホルダー別の説明設計

被害者、顧客、従業員、取引先、規制当局、投資家、報道機関で関心と媒体が異なります。

インシデント広報では、誰に、何を、いつ、どの媒体で伝えるかを設計します。関係者ごとの関心が違うため、同じ発表文を一律に配るだけでは情報が足りない場合があります。

次の表は、主なステークホルダーごとの関心と媒体を整理しています。相手の不安や必要行動から逆算して、直接通知、公表、社内説明、個別説明の順序を決めることが重要です。

相手主な関心主な媒体
被害者・対象者自分に何が起きるか、何をすればよいか、補償はあるか直接通知、メール、郵送、電話、FAQ
顧客・利用者サービス継続、代替手段、安全性ウェブ、アプリ通知、メール、SNS
従業員業務指示、外部発信可否、社内問い合わせ社内ポータル、メール、説明会
取引先取引継続、納期、契約、二次被害個別通知、説明会、営業連絡
規制当局法令遵守、原因、再発防止報告書、面談、届出
警察・専門機関証拠、被害拡大防止、攻撃情報通報、技術情報共有
投資家業績影響、開示、経営責任適時開示、IR説明、決算資料
報道機関事実、責任、社会的影響プレスリリース、会見、ブリーフィング
地域住民安全、環境、操業、避難地域説明、自治体連携、掲示

個人情報漏えいや被害者が特定できる事故では、原則として対象者への直接通知を優先する場面が多くなります。ただし、対象者の特定に時間がかかり、被害拡大防止のため広く注意喚起が必要な場合は、先に公表し、その後に個別通知することもあります。

社内説明も軽視できません。従業員は、顧客、家族、友人、取引先、SNSから質問を受けます。外部から質問を受けた場合の窓口、SNS投稿の注意、顧客向け標準回答、業務上の暫定措置、証拠保全、通報者・被害者への接触禁止、憶測拡散防止を示します。

Section 11

証拠保全・調査・リーガルレビュー

早く説明したい要請と、証拠を保全し正確に調査したい要請を両立させます。

インシデント広報では、早く説明したい要請と、証拠を保全して正確に調査したい要請が衝突します。広報が事実調査を先走ると、後日発表を訂正することになり、信頼を損ないやすくなります。

次の一覧は、事案別に保全対象となりやすい資料を整理しています。どの資料が後日の調査、当局対応、訴訟、保険金請求に関係するかを読み取ってください。

Cyber

サイバー事件

ログ、端末、メール、チャット、VPN接続記録、クラウド監査ログ、EDRアラート、バックアップ、アクセス権限履歴を確認します。

Quality

品質事件

製造記録、検査記録、原材料記録、出荷記録、設備保守記録、苦情記録を保全します。

Fraud

不正事件

会計データ、稟議、経費精算、メール、チャット、契約書、通報記録、監査資料を確保します。

リーガルレビューは、発表文を薄めるための手続ではありません。未確認事実を断定しない、法的責任を不必要に拡大しない、法定報告・通知を漏らさない、個人情報や営業秘密を守る、契約違反や秘密保持違反を防ぐ、当局や裁判所で説明可能な記録を残す、被害者保護と説明責任を実現するための確認です。

日本法では米国型の広範な秘匿特権とは制度構造が異なりますが、クロスボーダー事案、米国訴訟、当局調査、国際仲裁、海外子会社案件では、弁護士依頼者間通信やワークプロダクトの保護が問題となる場合があります。外部専門家、外国法事務弁護士、eディスカバリ専門家と連携し、調査報告書、メール、会議メモ、ドラフトを慎重に管理します。

Section 12

インシデント広報における再発防止策

抽象的な再発防止ではなく、原因に対応した措置、時期、責任部署、検証方法を示します。

「再発防止を徹底します」だけでは信頼されにくくなります。再発防止策は、原因と対応しており、業務運営に具体的に反映される必要があります。

次の表は、原因類型ごとに不十分な表現と実効的な対策例を比較しています。単なる研修や注意喚起で終わらせず、仕組み、権限、監査、記録に落とし込む点を読み取ってください。

原因類型不十分な再発防止実効的な再発防止の例
権限管理不備研修を徹底しますだけ権限棚卸、最小権限化、定期レビュー、退職者アカウント削除を行います。
委託先管理不備委託先へ注意喚起しますだけ委託契約見直し、監査権行使、再委託管理、SLA、報告義務明確化を行います。
品質検査不正倫理教育を行いますだけ検査データ自動記録、改ざん防止、抜取監査、品質部門独立性強化を行います。
ハラスメント研修実施だけ通報窓口、被害者保護、管理職評価見直し、外部相談窓口、再発監査を行います。
会計不正経理確認強化だけ職務分掌、承認権限、内部監査、監査法人連携、システム統制を整えます。
サイバー攻撃セキュリティ強化だけ多要素認証、脆弱性管理、EDR、バックアップ分離、訓練、CSIRT運用を進めます。

次の時系列は、再発防止策の3段階を示しています。初動で恒久策まで言い切る必要はありませんが、暫定措置を示さないと何もしていないと受け取られやすくなります。

暫定措置

直ちに行う停止・遮断・回収

販売停止、アクセス制限、隔離、注意喚起など、被害拡大を抑える措置を示します。

中間措置

調査途中で判明した不備への対策

追加監査、手順見直し、対象範囲拡大、問い合わせ体制強化などを更新します。

恒久措置

根本原因分析に基づく改善

制度、組織、システム、人事、監査の改善について、実施時期、責任部署、検証方法を示します。

最終報告後も、3か月後、6か月後、1年後の実施状況、外部監査・内部監査結果、教育・訓練、システム改修、被害者補償、相談窓口の利用状況、追加判明事項を必要に応じてフォローアップします。

Section 13

インシデント広報の平時準備

規程、テンプレート、訓練を整えておくと、発生後の初動遅れや部門間の説明不一致を抑えられます。

強い組織は、発生後に初めて広報方針を考えるのではなく、平時から判断基準、承認権限、文書ひな形、訓練、見直しを整えています。

次の一覧は、インシデント広報規程に含める項目を示しています。規程は形式ではなく、誰が、いつ、何を根拠に判断するかを動かすための土台です。

Scope

定義と重大性判定

インシデントの定義、重大性判定基準、危機対策本部の招集基準を定めます。

Route

初動報告と証拠保全

初動報告ルート、証拠保全ルール、外部発信制限、記録保存期間を定めます。

Approval

発表文の承認権限

当局報告、本人通知、適時開示、SNS・メディア対応、社内外問い合わせ対応の検討プロセスを定めます。

Training

訓練と見直し

机上演習、会見訓練、FAQ訓練、規程・テンプレートの更新頻度を決めます。

次の表は、事前に準備する文書の種類と用途を整理しています。事案でそのまま使うのではなく、初動時間を短縮するための土台として整備します。

テンプレート用途
初動告知サービス停止、事故、漏えい可能性などの第一報に使います。
本人通知個人情報漏えい時の個別通知に使います。
取引先通知契約・サプライチェーン影響の通知に使います。
社内通知従業員向けの統一説明に使います。
FAQコールセンター、営業、SNS担当向けに使います。
記者会見冒頭文経営トップの説明用に使います。
適時開示ドラフト上場会社の開示検討台紙として使います。
当局報告チェックリスト個人情報、製品事故、業法ごとの報告確認に使います。
再発防止策フォーマット原因、対策、期限、責任部署、検証方法を整理します。

訓練は少なくとも年1回、サイバー攻撃を想定した机上演習、個人情報漏えいの本人通知演習、記者会見シミュレーション、役員向け危機対応演習、コールセンターFAQ訓練、SNS炎上対応訓練、適時開示判断演習、製品回収・対象ロット特定訓練を組み合わせます。

Section 14

インシデント広報チェックリスト

初動、発表前、会見前、事後の4段階で確認項目を分けると、抜け漏れを抑えやすくなります。

チェックリストは、危機時の思考を固定化するものではなく、最低限の抜け漏れを防ぐための道具です。事案の性質に応じて、法務、技術、品質、IR、人事、顧客対応の項目を追加します。

次の一覧は、4段階の確認項目をまとめています。初動では証拠保全と体制、発表前では文面と順序、会見前では回答方針、事後では学習と改善を読むことが重要です。

Initial

初動確認

  • 発覚日時、発見者、通報者、初期事実を記録します。
  • 証拠保全、停止・隔離要否、危機対策本部の招集を確認します。
  • 法務、広報、技術・品質、顧客対応、経営に共有します。
  • 法定報告、通知、適時開示、取引先・保険会社への連絡要否を洗い出します。
Before Release

発表前確認

  • 発表文がファクトシートと一致しているか確認します。
  • 未確認事実を断定していないか確認します。
  • 被害者・利用者が取るべき行動と窓口を明示します。
  • 法務、技術・品質、経営承認、当局報告や本人通知との順序を確認します。
Conference

会見前確認

  • 登壇者、役割、冒頭説明、想定問答を決めます。
  • 出せない情報と理由、数字の根拠、役員責任の回答方針を整理します。
  • 被害者対応、補償方針、会見記録、会見後のウェブ掲載文を準備します。
Aftercare

事後確認

  • 調査結果、追加報告、訂正要否を整理します。
  • 再発防止策の責任部署と期限を決めます。
  • 顧客対応、問い合わせ内容、報道・SNS・取引先反応を分析します。
  • 役員会、監査役会、内部監査計画、規程・テンプレート・訓練へ反映します。
Section 15

インシデント広報の失敗例から学ぶ典型パターン

遅すぎる第一報、断定しすぎる第一報、部門間の説明不一致など、信用を損なう形を先に知っておきます。

インシデント広報の失敗は、事案そのものだけでなく、その後の説明態度によって拡大します。典型パターンを知っておくと、初動で避けるべき判断が見えやすくなります。

次の比較一覧は、失敗パターンと対策を並べたものです。批判を抑えようとするほど、沈黙、断定、矮小化、説明不一致が起きやすい点を読み取ってください。

第一報が遅すぎます

詳細が分かるまで沈黙すると、顧客投稿、SNS、報道、取引先経由で先に広がります。詳細不明でも初動告知を出せる基準を作ります。

第一報で断定しすぎます

漏えいはない、問題はないと強く否定した後に反対事実が出ると、信頼を大きく損ないます。現時点の確認範囲と調査継続を明示します。

法務が止めすぎます

訴訟リスクを恐れて何も発表しないと、被害者が必要な防御行動を取れません。出せる情報を整理します。

広報が前に出すぎます

原因や責任を早期に説明しすぎると、後の調査結果と矛盾します。ファクトシートから文面を作ります。

部門ごとに説明が違います

顧客窓口、営業、IR、SNS、会見の説明差分は不信の根拠になります。単一のFAQと更新履歴を使います。

被害者目線がありません

会社の事情、復旧、調査体制だけでは足りません。発表文の冒頭近くに、対象者が取る行動を置きます。

次の強調枠は、失敗を避けるための短い原則です。インシデント広報では、批判を消すことより、相手が安全に判断できる情報を継続して出すことが信頼回復につながります。

沈黙と断定の両方を避けます

分からないことは分からないと示し、分かっている範囲の影響、取るべき行動、次の更新予定を継続的に出します。

Section 16

インシデント広報の評価指標と専門家の役割

アクセス数だけでなく、正確性、有用性、整合性、再発防止、組織学習で評価します。

インシデント広報の成否は、アクセス数や報道件数だけでは測れません。対象者が必要な行動を理解できたか、発表と当局報告が整合したか、再発防止が実行されたかまで評価します。

次の表は、インシデント広報の評価指標を示しています。発表した事実だけでなく、事後の訂正、到達、問い合わせ、措置実施、学習への反映を確認することが重要です。

指標内容
初動時間発覚から危機対策本部招集、第一報、当局報告までの時間を見ます。
正確性発表後の訂正回数、誤記、矛盾の有無を確認します。
有用性対象者が必要な行動を理解できたかを確認します。
到達率本人通知到達率、メール開封、ウェブ閲覧、コールセンター接続率を見ます。
信頼性顧客、取引先、投資家からの反応や苦情内容を確認します。
整合性社内外説明、適時開示、当局報告、FAQの一致を確認します。
再発防止措置実施率、監査結果、再発有無を見ます。
学習訓練、規程、テンプレートへの反映を確認します。

次の一覧は、専門家ごとの役割を示しています。専門家の役割は発表文の代筆にとどまらず、事実認定、法令判断、調査設計、技術原因、会計影響、再発防止の検証に及びます。

Legal

弁護士・企業内弁護士・外部弁護士

法令違反、損害賠償、行政対応、刑事対応、証拠保全、社内調査、契約通知、適時開示、本人通知を横断して助言します。

Accounting

公認会計士・税理士

会計不正、損失見積り、引当金、決算訂正、内部統制、監査法人対応、税務影響を確認します。

Specialists

司法書士・弁理士・社会保険労務士

登記、知財漏えい、模倣品、ライセンス、就業規則、懲戒、労災、ハラスメント対応を補完します。

Security

CSIRT・デジタルフォレンジック専門家

技術的原因、侵害範囲、復旧可能性、攻撃助長情報の切り分けを担います。

Assurance

内部監査・コンプライアンス

再発防止策が現場で実行され、内部統制として定着しているかを確認します。

Communication

危機広報専門家

メディア対応、会見、メッセージ設計、SNS監視、ステークホルダー分析を支援します。

FAQ

インシデント広報でよくある質問

一般的な制度・実務の考え方を整理します。個別事案の結論は事情により変わります。

ここでは、企業の危機対応でよく問題になる論点を一般的に整理します。実際の対応は、法令、契約、被害状況、証拠状況、上場規則、業種規制、海外法制、保険契約、捜査・行政対応の有無により変わります。

詳細が分からない段階でも公表する必要はありますか

一般的には、顧客・利用者・取引先・社会が自衛措置を取る必要がある場合や、法定報告・本人通知・適時開示の可能性がある場合には、初動告知や限定通知を検討するとされています。ただし、事案の重大性、証拠状況、守秘義務、捜査や当局調査への影響によって結論は変わる可能性があります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

謝罪すると法的責任を認めたことになりますか

一般的には、迷惑や不安をかけたことへの謝意と、過失や違法性の認定は分けて表現することが多いとされています。ただし、文言、事実関係、被害状況、契約、訴訟可能性によって法的な評価は変わる可能性があります。具体的な文案は、事実関係を確認したうえで弁護士等の専門家へ相談する必要があります。

個人情報漏えいでは何を先に伝えますか

一般的には、対象者が取るべき行動、不審メールやなりすましへの注意、漏えいした可能性のある項目、確認済みの範囲、問い合わせ窓口を優先して整理するとされています。ただし、本人通知の可否、対象者特定の進捗、二次被害の可能性、当局報告の順序によって対応は変わります。具体的には、個人情報保護法や関連ガイドラインを確認し、専門家へ相談する必要があります。

サイバー攻撃では技術情報をどこまで出しますか

一般的には、サービス影響、利用者影響、復旧状況、防御行動、問い合わせ窓口は示しつつ、侵入口、未修正脆弱性、詳細なネットワーク構成、検知ルールなど攻撃を助長し得る情報は慎重に扱うとされています。ただし、関係機関への共有、当局報告、取引先説明、本人通知で必要となる情報は異なります。具体的な開示範囲は、CSIRT、フォレンジック専門家、弁護士等と確認する必要があります。

発表後に追加事実が判明した場合はどうしますか

一般的には、発表済み情報、訂正が必要な情報、新たに判明した情報、次回更新予定を分けて更新するとされています。ただし、訂正の範囲、対象者への再通知、適時開示、当局への追加報告、取引先説明の要否は事案により変わります。具体的には、版管理と承認記録を確認しながら専門家へ相談する必要があります。

Guide

インシデント広報で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を7件表示しています。

Reference

インシデント広報の参考情報源

公的機関、取引所、標準化機関などの中立的な資料名を整理します。

公的機関・取引所の資料

  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 経済産業省「サイバー攻撃被害に係る情報の共有・公表ガイダンス」
  • JPCERT/CC「インシデント対応とは」
  • 日本取引所グループ「適時開示が求められる会社情報」
  • 日本取引所グループ「会社情報適時開示ガイドブック」
  • 日本取引所グループ「上場会社における不祥事対応のプリンシプル」
  • 経済産業省「重大製品事故の報告」
  • 厚生労働省「医薬品等回収関連情報」
  • 日本弁護士連合会「企業等不祥事における第三者委員会ガイドライン」
  • IPA「中小企業の情報セキュリティ対策ガイドライン」

海外・国際的な参考資料

  • NIST SP 800-61 Rev. 2 Computer Security Incident Handling Guide
  • CDC Crisis & Emergency Risk Communication Introduction
  • ISO 22361:2022 Security and resilience Crisis management Guidelines