2σ Guide

サイバーインシデント対応を
法務・経営・技術で進める

不正アクセス、ランサムウェア、委託先事故、AI利用リスクまで、初動72時間、証拠保全、法的評価、通知・公表、復旧、再発防止を一つの実務体系として整理します。

3〜5日速報の目安
30/60日確報期限の目安
72時間初動判断の山場
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

サイバーインシデント対応を 法務・経営・技術で進める

技術復旧だけでなく、事実認定、証拠保全、法的評価、通知、公表、復旧、再発防止を同時に進める危機管理として整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
サイバーインシデント対応を 法務・経営・技術で進める
技術復旧だけでなく、事実認定、証拠保全、法的評価、通知、公表、復旧、再発防止を同時に進める危機管理として整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • サイバーインシデント対応を 法務・経営・技術で進める
  • 技術復旧だけでなく、事実認定、証拠保全、法的評価、通知、公表、復旧、再発防止を同時に進める危機管理として整理します。

POINT 1

  • サイバーインシデント対応の全体像
  • 技術復旧だけでなく、事実認定、証拠保全、法的評価、通知、公表、復旧、再発防止を同時に進める危機管理として整理します。
  • 早く復旧するだけでなく、後から説明できる形で止め、調べ、知らせ、直すことが中核です
  • サイバーインシデント対応は、情報システム部門だけの作業ではありません。
  • 読者は、どの段階で誰が何を決めるか、どの情報が後日の説明責任に効くかを読み取ることが重要です。

POINT 2

  • サイバーインシデント対応で押さえる基本概念
  • サイバーセキュリティ、サイバーインシデント、対応活動の範囲を、企業法務の言葉で整理します。
  • データ侵害
  • 業務停止
  • 内部不正・委託先事故

POINT 3

  • 2026年の脅威環境とサイバーインシデント対応
  • ランサム攻撃
  • 暗号化だけでなく、データ窃取と公開脅迫を伴うことがあります。
  • サプライチェーン攻撃
  • 委託先、再委託先、SaaS、共同研究先が入口になるため、契約上の通知期限と調査協力義務が要になります。

POINT 4

  • サイバーインシデント対応の規範的フレームワーク
  • NIST、経済産業省・IPA、JPCERT/CC、NCOの枠組みを、企業法務の実務に引き直します。
  • 読者は、事故後の作業だけでなく、平時の方針、台帳、契約、ログ、訓練がどの機能を支えるかを読み取ってください。
  • JPCERT/CCのCSIRTマテリアルは、組織内CSIRTの位置付けやインシデントハンドリングを実務的に示しています。
  • CSIRTは技術者だけの集団ではなく、法務、コンプライアンス、広報、経営、内部監査、委託先、外部専門家をつなぐ連結点です。

POINT 5

  • サイバーインシデント対応の体制設計
  • 危機管理本部、RACI、法務部門の初動参加を、責任分界の観点から整理します。
  • 重大なサイバーインシデント対応では、誰が何を決めるかを平時に定めておくことが重要です。
  • 技術統括、法務統括、個人情報統括、広報統括、事業統括、財務・会計、内部監査、外部専門家が、同じ時系列を見ながら判断します。
  • 肩書きの一覧ではなく、どの責任が誰に集中し、どの判断が経営レベルへ上がるかを読むためのものです。

POINT 6

  • サイバーインシデント対応の平時準備
  • 対応計画、重大度分類、データマップ、ログ設計、契約条項、訓練を事前に整えます。
  • サイバーインシデント対応の品質は、事故後の努力だけでは決まりません。
  • 平時にどこまで準備していたかで、初動速度、報告の正確性、復旧の確実性、説明責任の説得力が変わります。
  • 次の重要項目は、対応計画に最低限入れておきたい内容です。

POINT 7

  • 初動72時間のサイバーインシデント対応
  • 1. 異常検知・通報を受ける:EDR、顧客通報、委託先連絡、警察・JPCERT/CC・研究者からの連絡を記録します。
  • 2. 人命・重要インフラ・医療安全への影響を確認:安全に関わる場合は、通常のIT事故より高い優先順位で対応します。
  • 3. 証拠保全と封じ込めを両立:端末初期化、再起動、ログ削除は、必要性と証拠影響を見て判断します。
  • 4. 危機管理本部を招集:CEO、CISO、法務、広報、事業、外部専門家を同じ時系列へ集めます。
  • 5. 範囲調査を継続:重大化条件を監視し、法務・CISOへの報告ラインを維持します。

POINT 8

  • サイバーインシデント対応における証拠保全
  • 復旧と調査の衝突を避けるため、デジタルフォレンジック、初期保全対象、避けるべき初動を整理します。
  • 端末・サーバ
  • ID・認証
  • クラウド・SaaS

まとめ

  • サイバーインシデント対応を 法務・経営・技術で進める
  • サイバーインシデント対応の全体像:技術復旧だけでなく、事実認定、証拠保全、法的評価、通知、公表、復旧、再発防止を同時に進める危機管理として整理します。
  • サイバーインシデント対応で押さえる基本概念:サイバーセキュリティ、サイバーインシデント、対応活動の範囲を、企業法務の言葉で整理します。
  • 2026年の脅威環境とサイバーインシデント対応:IPAの脅威整理を踏まえ、ランサム攻撃、サプライチェーン、AI、脆弱性、標的型攻撃を法務視点で読み替えます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

サイバーインシデント対応の全体像

技術復旧だけでなく、事実認定、証拠保全、法的評価、通知、公表、復旧、再発防止を同時に進める危機管理として整理します。

サイバーインシデント対応は、情報システム部門だけの作業ではありません。ランサムウェア、不正アクセス、ビジネスメール詐欺、DDoS攻撃、クラウド設定ミス、委託先からの漏えい、内部不正、AI利用に伴う情報流出は、事業継続、個人情報保護、取引先契約、金融商品取引法上の開示、営業秘密、労務、刑事手続、保険、監査、M&A、レピュテーションに同時に影響します。

このページでは、サイバーインシデント対応を、被害拡大防止、事実確認、証拠保全、法的義務の履行、関係者への説明、業務復旧、再発防止を統合した一連の実務として扱います。読者は、どの段階で誰が何を決めるか、どの情報が後日の説明責任に効くかを読み取ることが重要です。

次の重要ポイントは、サイバーインシデント対応で同時に動く論点を表しています。技術、法務、経営、広報が別々に動くと判断が遅れるため、どの論点が同じ時刻に進むかを押さえてください。

早く復旧するだけでなく、後から説明できる形で止め、調べ、知らせ、直すことが中核です

復旧の速さ、証拠の保全、法令・契約上の期限、社内外への説明、取締役会レベルの監督を一つの対応計画で同期させます。

サイバーインシデント対応で最初に押さえるべき時間軸は、個人情報保護委員会への速報目安、確報期限、初動72時間です。期限や初期判断の遅れは、その後の説明責任と信頼回復に直結するため、数値の意味を見比べてください。

速報目安
3〜5日
通常の確報
30日
不正目的のおそれ
60日
初動分岐
72時間
数値は期限そのものの厳密な比較ではなく、初期判断で意識すべき時間の目安を整理したものです。

企業が直面する本質的な問題は、事実が不確実なまま法的期限が進むこと、復旧と証拠保全が衝突すること、説明責任の相手が多いこと、取締役・経営陣の責任問題になり得ること、被害企業が同時に管理責任を問われ得ることです。

注意技術調査が完了していない段階でも、報告、通知、契約対応、開示、保険通知の検討は進みます。確認済み事実、合理的仮説、未確認事項を分けて管理します。
Section 01

サイバーインシデント対応で押さえる基本概念

サイバーセキュリティ、サイバーインシデント、対応活動の範囲を、企業法務の言葉で整理します。

サイバーセキュリティは、ウイルス対策ソフトの導入だけを指すものではありません。電子的な情報の漏えい、滅失、毀損の防止、情報システムやネットワークの安全性・信頼性、被害発生時の原因究明、被害軽減、復旧までを含む広い概念です。

次の比較表は、サイバーセキュリティを情報保護、システム保護、信頼保護の三層で整理したものです。読者にとって重要なのは、情報システム上の問題が、法令、契約、事業継続、ガバナンス、レピュテーションへどうつながるかを横断的に読むことです。

守る対象法務・経営上の意味
情報保護個人情報、営業秘密、契約情報、技術情報、役職員情報、財務情報など個人情報保護法、不正競争防止法、秘密保持義務、労務・プライバシーに関わります。
システム保護サーバ、端末、ネットワーク、クラウド、SaaS、ID基盤、OT/IoT事業継続、善管注意義務、委託先管理、業法上の安全管理に関わります。
信頼保護顧客、投資家、取引先、従業員、社会からの信頼適時開示、説明責任、広報、ガバナンス、レピュテーションに関わります。

サイバーインシデントとは、情報システム、ネットワーク、データ、アカウント、業務プロセスに対する不正・異常・障害により、機密性、完全性、可用性、真正性、追跡可能性、事業継続性が損なわれ、または損なわれるおそれがある事象です。

次の一覧は、サイバーインシデント対応で想定すべき典型例を並べています。複数の項目が同時に発生することが多いため、単発の事故名ではなく、どのデータ、どのアカウント、どの取引関係が巻き込まれるかを読み取ってください。

DATA

データ侵害

個人情報、営業秘密、認証情報、決済情報、研究データ、AI入力情報の漏えい、改ざん、外部公開が問題になります。

SYSTEM

業務停止

ランサムウェア、DDoS、クラウド障害、ウェブ改ざん、認証基盤侵害により、可用性と事業継続が揺らぎます。

HUMAN

内部不正・委託先事故

退職者、委託先、再委託先、SaaS事業者、海外拠点を起点とする事故では、契約と調査協力が重要になります。

サイバーインシデント対応は、発見・検知、初動評価、封じ込め、証拠保全、調査・分析、法的評価、通知・報告・公表、復旧、再発防止・改善の順に進みます。ただし、実務ではこれらが直線的に終わるわけではなく、調査結果に応じて何度も戻りながら進めます。

Section 02

2026年の脅威環境とサイバーインシデント対応

IPAの脅威整理を踏まえ、ランサム攻撃、サプライチェーン、AI、脆弱性、標的型攻撃を法務視点で読み替えます。

2026年時点の脅威環境では、組織向け脅威としてランサム攻撃、サプライチェーンや委託先を狙った攻撃、AIの利用をめぐるサイバーリスク、システム脆弱性を悪用した攻撃、機密情報を狙った標的型攻撃が重視されています。約250名の選考関係者が社会的影響を踏まえて検討した点からも、企業法務が無視できないテーマです。

次の一覧は、上位脅威をサイバーインシデント対応の実務課題へ置き換えたものです。順位だけを見るのではなく、どの契約、規程、ログ、説明責任が必要になるかを読み取ることが重要です。

ランサム攻撃

暗号化だけでなく、データ窃取と公開脅迫を伴うことがあります。復旧、漏えい評価、警察・保険対応を同時に検討します。

サプライチェーン攻撃

委託先、再委託先、SaaS、共同研究先が入口になるため、契約上の通知期限と調査協力義務が要になります。

AI利用リスク

AIツールへの機密入力、権限過大なAIエージェント、プロンプトインジェクション、利用ログの不足が問題になります。

脆弱性悪用

パッチ遅延、ゼロデイ、公開設定ミスが侵入口になります。脆弱性管理責任者と台帳の実効性が問われます。

標的型攻撃

営業秘密、技術情報、認証情報を狙う攻撃では、秘密管理性とアクセス権限の記録が後日の主張に影響します。

この脅威環境から読み取るべき示唆は三つあります。第一に、サイバーインシデント対応は単独企業の閉じた問題ではありません。第二に、データ侵害と事業停止の双方を扱います。第三に、AI時代の情報管理とログ保存を対応計画に組み込むことが求められます。

実務の視点AI利用規程、機密情報分類、ベンダー契約、データ処理条件、監査ログ、社員教育を、通常のサイバーインシデント対応計画と切り離さずに整備します。
Section 03

サイバーインシデント対応の規範的フレームワーク

NIST、経済産業省・IPA、JPCERT/CC、NCOの枠組みを、企業法務の実務に引き直します。

NIST SP 800-61 Rev.3は、インシデント対応を起きてからの手順書だけに閉じ込めず、サイバーリスクマネジメント全体に位置付けています。準備活動としてのGovern、Identify、Protectが対応を支え、Detect、Respond、Recoverが事故発生時の実行を担います。

次の比較表は、NIST CSFの6機能を企業法務の文書・統制へ置き換えたものです。読者は、事故後の作業だけでなく、平時の方針、台帳、契約、ログ、訓練がどの機能を支えるかを読み取ってください。

機能企業法務における意味主な文書・統制
Govern取締役会・経営陣がリスク許容度、責任分界、投資、報告ラインを決めます。情報セキュリティ基本方針、リスク管理規程、取締役会報告基準、委任規程
Identify守る対象と関係する法令・契約を把握します。データマップ、システム台帳、委託先台帳、重要情報分類、法令マップ
Protect侵害を防ぎ、被害を小さくします。アクセス制御、MFA、バックアップ、パッチ管理、暗号化、教育、契約条項
Detect異常を早く見つけます。ログ監視、EDR、SIEM、通報窓口、委託先通知、外部通報受付
Respond事実確認、封じ込め、法的評価、報告、広報を実行します。対応計画、初動チェックリスト、法務メモ、当局報告、広報文案
Recover安全に業務を再開し、信頼を回復します。復旧計画、BCP、再発防止計画、取締役会報告、監査計画

METI、つまり経済産業省とIPAのサイバーセキュリティ経営ガイドラインは、経営者が認識すべき3原則と、CISO等へ指示すべき重要10項目を示しています。経営者はマルウェア解析を自ら行うわけではありませんが、復旧優先順位、サービス停止、公表範囲、適時開示、外部専門家起用、ランサム要求への向き合い方、予算確保を判断します。

JPCERT/CCのCSIRTマテリアルは、組織内CSIRTの位置付けやインシデントハンドリングを実務的に示しています。CSIRTは技術者だけの集団ではなく、法務、コンプライアンス、広報、経営、内部監査、委託先、外部専門家をつなぐ連結点です。

NCOの関係法令Q&Aハンドブックは、内部統制、取締役責任、監査、情報開示、当局対応、個人情報、営業秘密、委託、クラウド、サプライチェーン、ランサムウェア、デジタルフォレンジック、不正アクセスなどを横断的に扱います。つまり、サイバーインシデント対応で法務が見る論点は個人情報保護法だけではありません。

Section 04

サイバーインシデント対応の体制設計

危機管理本部、RACI、法務部門の初動参加を、責任分界の観点から整理します。

重大なサイバーインシデント対応では、誰が何を決めるかを平時に定めておくことが重要です。技術統括、法務統括、個人情報統括、広報統括、事業統括、財務・会計、内部監査、外部専門家が、同じ時系列を見ながら判断します。

次の比較表は、危機管理本部で想定される役割を示しています。肩書きの一覧ではなく、どの責任が誰に集中し、どの判断が経営レベルへ上がるかを読むためのものです。

役割主な責任典型的な担当
最終意思決定事業停止、復旧優先順位、外部公表、重大投資、ランサム対応方針、取締役会報告を決めます。CEO、社長、危機管理担当役員、CRO
技術統括封じ込め、調査、復旧、監視、脆弱性対応、ログ保全を担います。CISO、情報システム部、セキュリティ部、CSIRT
法務統括法令調査、当局報告、本人通知、契約対応、証拠保全、訴訟・保険・刑事対応を整理します。ゼネラルカウンセル、企業内弁護士、法務部、外部弁護士
個人情報統括個人データ該当性、漏えい等該当性、本人通知、委託先管理を判断します。個人情報保護担当、DPO相当部署、プライバシー担当
広報統括公表文、FAQ、メディア対応、SNS監視、顧客説明を統制します。広報、IR、危機管理広報、外部PR専門家
事業・管理部門顧客対応、代替業務、人事労務、損害見積り、監査対応を行います。事業部門、人事、CFO、内部監査、監査役等

RACIは、実行責任、説明責任・最終責任、相談先、報告先を分ける整理です。次の表では、サイバーインシデント対応で判断が遅れやすいタスクについて、どの役割が主体になるかを確認できます。

タスク実行責任最終責任相談先・報告先
異常検知の一次評価CSIRT、SOC、情報システム部CISO法務、外部フォレンジック、危機管理責任者
個人データ漏えい等の該当性判断個人情報保護担当、法務GC、CPO相当役員外部弁護士、IT調査担当、CEO、関係部門
個人情報保護委員会への報告法務、個人情報保護担当GC、担当役員外部弁護士、CSIRT、CEO、取締役会
ネットワーク遮断・封じ込め情報システム部、CSIRTCISO法務、事業部門、経営陣
証拠保全CSIRT、フォレンジック専門家CISO、GC外部弁護士、内部監査、監査役
顧客・取引先通知事業部門、法務、広報担当役員、GC外部弁護士、CSIRT、CEO、顧客対応部門
適時開示判断IR、法務、経理CEO、CFO、GC外部弁護士、監査法人、取引所窓口、取締役会
復旧完了判断と再発防止情報システム部、事業部門、CISO、法務、内部監査CISO、事業担当役員、CEO、取締役会フォレンジック専門家、監査法人、全社

法務部門は、後から契約書を確認する部署ではありません。初動から参加することで、どの事実をどの粒度で記録するか、どの期限が動き始めているか、どの文書が後日の訴訟・当局調査・メディア報道で問題になるかを整理できます。

Section 05

サイバーインシデント対応の平時準備

対応計画、重大度分類、データマップ、ログ設計、契約条項、訓練を事前に整えます。

サイバーインシデント対応の品質は、事故後の努力だけでは決まりません。平時にどこまで準備していたかで、初動速度、報告の正確性、復旧の確実性、説明責任の説得力が変わります。

次の重要項目は、対応計画に最低限入れておきたい内容です。どの項目も、事故後に初めて作ると時間を失うため、自社の業務、委託先、データ、海外拠点に合わせて事前に更新しておくことが重要です。

IR

対応計画

定義、通報経路、重大度分類、招集権限、役割、外部専門家、証拠保全、通知、復旧、事後レビューを含めます。

計画
DB

データマップとシステム台帳

個人データ、営業秘密、ログ、バックアップ、海外保存データ、RTO/RPO、管理者、ベンダーを整理します。

台帳
LOG

ログ設計

ID基盤、VPN、EDR、ファイアウォール、クラウド監査ログ、SaaSログ、DB監査、バックアップログを保存・検索できる状態にします。

証跡
CT

契約条項

通知期限、ログ提供、調査協力、再委託、越境移転、バックアップ、脆弱性対応、責任制限、保険を整えます。

委託先
EX

合同訓練

法務、経営、広報、ITが同じ場で、深夜ランサム、委託先通知、上場会社のサービス停止、退職者持出しを演習します。

訓練

重大度分類は、技術的な深刻度だけでなく、法的・経営的影響を含めて設計します。次の表では、単一端末の検知から事業継続不能までを段階化し、どの時点で法務、経営、外部専門家、取締役会が関与するかを読み取れます。

レベル初動
Level 1 ― 低単一端末のマルウェア検知、漏えい可能性なし、業務影響限定CSIRT対応と定期報告を行います。
Level 2 ― 中一部システム停止、限定的なアカウント侵害、個人情報影響の可能性が低い事案CISO・法務へ報告し、証拠保全と範囲調査を始めます。
Level 3 ― 高個人データ漏えいのおそれ、主要サービス停止、委託先事故、顧客影響危機管理本部、外部専門家、法務主導の通知判断を動かします。
Level 4 ― 重大ランサムウェア、重要システム停止、大量個人データ、営業秘密流出、上場開示可能性CEO招集、取締役会報告、当局・警察・取引先・顧客対応を進めます。
Level 5 ― 危機事業継続不能、社会的影響大、重要インフラ・医療・金融等への重大影響全社危機対応、行政・警察・市場・メディア対応、BCPを発動します。

ログはサイバーインシデント対応の証言者です。保存期間が短い、時刻同期がない、クラウド監査ログが無効、SaaSログ取得権限がない、委託先ログ提供義務がないと、法的期限内に必要な事実を把握しにくくなります。

要点委託先事故では、委託元が本人・当局・顧客への説明責任を負う場面があります。契約に調査協力義務とログ提供義務がないと、事実確認の速度が大きく落ちます。
Section 06

初動72時間のサイバーインシデント対応

0〜2時間、2〜24時間、24〜72時間、72時間以降に分けて、判断と作業を時系列で整理します。

初動では、安全確保、証拠保全、事実と推測の分離、法務の早期参加、時系列記録、連絡手段の分離、外部公表の速度管理を意識します。特に、社内メールやチャットが侵害されている可能性がある場合、代替連絡手段を用意します。

次の時系列は、初動72時間で何を確認し、どの判断へ進むかを表しています。時間の順番には意味があり、最初の2時間で重大度と封じ込めの方向を決め、初日で法的期限と連絡統制を押さえ、72時間までに速報・通知・復旧計画を固めます。

0〜2時間

発覚直後の仮評価

発見者、時刻、経路、影響システム、不審ファイル、不審ログイン、データ持出し兆候、業務停止、侵害された連絡手段を確認します。

2〜24時間

封じ込めと法的期限の把握

侵害経路の仮説、被害範囲、ログ退避、IoC探索、バックアップ健全性、個人データ漏えい等の仮評価、契約通知、保険通知を進めます。

24〜72時間

報告・通知の初期判断

個人情報保護委員会への速報要否、本人通知、委託元・委託先の通知順序、警察・JPCERT/CC・ISAC等への情報共有、適時開示を検討します。

72時間以降

調査・復旧・説明責任

フォレンジック調査、確報・続報、追加通知、根本原因、顧客説明、監査法人・保険会社・金融機関・M&A相手方との調整を継続します。

次の判断の流れは、発覚直後の迷いやすい分岐を整理したものです。上から順に、安全、証拠、重大度、法的期限、外部説明を確認し、分岐ごとに関与者を増やすべき場面を読み取ってください。

初動72時間の判断の流れ

異常検知・通報を受ける

EDR、顧客通報、委託先連絡、警察・JPCERT/CC・研究者からの連絡を記録します。

人命・重要インフラ・医療安全への影響を確認

安全に関わる場合は、通常のIT事故より高い優先順位で対応します。

証拠保全と封じ込めを両立

端末初期化、再起動、ログ削除は、必要性と証拠影響を見て判断します。

重大影響あり
危機管理本部を招集

CEO、CISO、法務、広報、事業、外部専門家を同じ時系列へ集めます。

限定影響
範囲調査を継続

重大化条件を監視し、法務・CISOへの報告ラインを維持します。

2〜24時間では、技術対応、法務対応、コミュニケーション対応を並行して進めます。技術側は侵害経路、管理者権限、重要ログ、IoC、バックアップ、再侵入経路を確認し、法務側は個人データ、要配慮個人情報、財産的被害、不正目的、1,000人超、契約通知、業法、適時開示、保険、労務を確認します。

24〜72時間では、本人通知、公表文、FAQ、コールセンタースクリプト、取締役会または監査役等への中間報告まで視野に入ります。未確認情報を部門単位で発信しないよう、広報統制も同時に行います。

Section 07

サイバーインシデント対応における証拠保全

復旧と調査の衝突を避けるため、デジタルフォレンジック、初期保全対象、避けるべき初動を整理します。

デジタルフォレンジックは、PC、サーバ、スマートフォン、クラウド、メール、ログ、ネットワーク機器、SaaS等から、証拠価値を保ちながらデジタルデータを保全・解析する活動です。侵入経路、攻撃者の操作、漏えい・改ざん・削除・暗号化の有無、影響範囲、再侵入防止、報告・通知・公表の根拠を作ります。

次の比較表は、証拠保全で重視する5要素を示しています。列ごとに、何を満たすべきか、どの記録が後日の説明に効くかを読み取ってください。

要素内容実務上の注意
完全性データが改変されていないことハッシュ値、取得手順、保全媒体、アクセス制限を記録します。
同一性取得した証拠が当該端末・ログに由来すること端末番号、シリアル、ホスト名、取得者、取得時刻を記録します。
連続性証拠の保管・移転履歴を追えることChain of custodyを作成します。
可読性後から解析・説明できることツール、バージョン、タイムゾーン、ログ形式を保存します。
合法性取得方法が法令・契約・就業規則に反しないこと従業員端末、BYOD、クラウド、海外拠点では特に注意します。

重大インシデントでは、保全対象の漏れが後日の説明を難しくします。次の一覧は、初期段階で保全を検討すべき対象を整理したものです。端末だけでなく、クラウド、SaaS、メール、通報、会議記録まで含めて見ることが重要です。

ENDPOINT

端末・サーバ

ディスクイメージ、メモリダンプ、EDR検知ログ、Windowsイベントログ、Linuxログを退避します。

IDENTITY

ID・認証

認証ログ、VPNログ、MFAログ、IAM変更履歴、管理者操作、OAuthアプリ権限を保存します。

CLOUD

クラウド・SaaS

クラウド監査ログ、ストレージアクセスログ、メールログ、転送設定、ファイル共有、外部共有を確認します。

RECORD

判断記録

顧客通報、委託先通知、会議議事録、対応タイムライン、ランサムノート、不審スクリプトを残します。

避けるべき初動も明確です。影響端末を理由なく初期化する、攻撃者アカウントを削除する、暗号化端末を全て再起動する、ログを退避しない、調査未了なのに漏えいなしと断定する、従業員へ一斉ヒアリングして証言汚染を生じさせる対応はリスクを高めます。

文書管理調査文書は、作成目的、配布範囲、文書名、事実と評価の区別、法的助言の記載方法、取締役会報告との関係を設計します。何でも秘匿できるという前提には置きません。
Section 09

サイバーインシデント対応の情報発信と開示

当局報告、本人通知、取引先通知、情報共有、公表、適時開示を区別し、時点管理と断定回避を徹底します。

サイバーインシデント対応では、情報を外に出す行為を一括して公表と呼ぶと混乱します。実務上は、当局報告、本人通知、取引先通知、情報共有、公表、適時開示を分けて設計します。

次の比較表は、外部へ情報を出す場面の相手、目的、注意点を整理しています。読者は、誰に、何を、いつ、どの根拠で、どの時点情報として伝えるかを読み取ってください。

区分相手目的注意点
当局報告個人情報保護委員会、業法当局など法令上の義務履行、監督対応期限、様式、未確定情報の記載、続報を管理します。
本人通知個人データの本人被害拡大防止、権利利益保護具体的リスク、問い合わせ先、本人が取る措置を整理します。
取引先通知委託元、委託先、顧客企業、共同研究先契約義務、共同対応責任認定と事実共有を分けます。
情報共有警察、JPCERT/CC、ISAC、業界団体被害拡大防止、攻撃手口共有技術情報と被害企業情報を分け、秘密保持を確認します。
公表社会、メディア、顧客一般透明性、信頼維持、被害注意喚起断定回避、時点明示、二次被害防止を意識します。
適時開示投資家、市場投資判断上重要な情報の公平開示TDnet、重要事実管理、開示順序を守ります。

公表文では、基準時点、確認済み事実、調査中事項、影響範囲、本人・顧客が取る行動、問い合わせ窓口、再発防止の方向性を示します。ただし、攻撃者に有用な詳細や原因調査前の責任認定を不用意に出さないようにします。

公表が遅すぎると、隠蔽、顧客軽視、被害拡大防止義務違反、投資家軽視と受け取られる可能性があります。一方で、公表が早すぎると、未確認情報の拡散、攻撃者への情報提供、捜査・調査妨害、責任の過大認定、株価・取引先関係への不要な悪影響を招くことがあります。

開示順序上場会社では、適時開示が求められる情報をTDnet開示前に自社サイトの公開領域へ置くと、市場公平性の問題が生じ得ます。アクセス制御と掲載順序を管理します。
Section 10

ランサムウェア時のサイバーインシデント対応

暗号化、データ窃取、二重恐喝、身代金支払い判断、共通様式報告を分けて考えます。

ランサムウェアは、単なる暗号化マルウェアではありません。認証情報の窃取、横展開、バックアップ削除、データ窃取、公開脅迫、取引先・顧客・メディアへの接触予告、復旧妨害が同時に起こることがあります。

次の一覧は、ランサムウェア初動で確認する項目をまとめたものです。暗号化されたシステムだけでなく、持出し痕跡、バックアップ、管理者権限、侵入経路、事業影響、個人データ・営業秘密、攻撃者対応、警察・JPCERT/CC・保険会社への連絡を一体で読むことが重要です。

SCOPE

影響範囲

どのシステムが暗号化され、データ持出しの痕跡があり、事業停止がどの範囲へ及ぶかを確認します。

BACKUP

復旧可能性

バックアップの健全性、再侵入経路、脆弱性、ドメイン管理者権限の侵害を確認してから復旧します。

LEGAL

法令・契約

個人データ、営業秘密、決済情報、重要インフラ、医療情報、委託先契約、保険約款を確認します。

CONTROL

攻撃者対応

攻撃者との接触を誰が管理するか、警察、JPCERT/CC、保険会社へいつ連絡するかを決めます。

身代金支払いは、復旧費用だけの問題ではありません。支払っても復号やデータ削除は保証されず、犯罪組織への資金提供、制裁、反社会的勢力、マネーロンダリング、社内規程、保険約款、監査、訴訟、再攻撃への影響を検討します。

次の判断の流れは、身代金支払いの検討局面を統制するための整理です。支払いの可否を単独担当者が決めるのではなく、法務、経営、財務、保険、警察相談、事業継続を同じ場で確認することを読み取ってください。

身代金支払い検討時の判断の流れ

復旧可能性と人命・社会影響を確認

安全・医療・重要インフラへの影響とバックアップ復旧の可否を確認します。

法令・制裁・反社・保険を確認

支払い先、資金移動、保険約款、社内規程、説明責任を確認します。

支払い検討が残る
統制された経営判断

CEO、CISO、GC、CFO、外部弁護士、保険会社、必要に応じ警察等を含めます。

支払い不要
復旧と説明へ集中

復旧、漏えい評価、通知、公表、再発防止を進めます。

個人情報保護委員会は、政府全体のサイバー攻撃被害報告一元化の方針に沿って、ランサムウェア事案による個人データの漏えい等またはそのおそれがある場合、令和7年10月1日以降、共通様式で報告できる旨を案内しています。暗号化だけでなく、外部送信、窃取主張、ファイル一覧提示、認証情報漏えい、バックアップ破壊を総合的に評価します。

Section 11

委託先事故のサイバーインシデント対応

委託先・再委託先・クラウド事業者の事故では、調査権限、通知順序、共同説明を契約と実務で支えます。

委託先やクラウド事業者でインシデントが発生した場合、委託元は自社環境を直接調査できないことが多い一方、顧客、本人、当局、取引先から説明を求められます。ここにサプライチェーン型のサイバーインシデント対応の難しさがあります。

次の一覧は、委託先事故で起こりやすい問題を表しています。初報の曖昧さ、自社データの有無、影響人数、フォレンジック報告書の共有、再委託、海外クラウド、公表時期、問い合わせ集中を、契約と運用でどう支えるかを読み取ってください。

初報が曖昧

発覚時刻、影響システム、当社データの有無、データ項目、件数、本人範囲を確認します。

調査資料が出ない

ログ、証跡、フォレンジック報告書、封じ込め状況、復旧見通し、追加情報提供期限を求めます。

再委託・海外が絡む

再委託先、クラウド、SaaS、海外拠点の関与、越境移転、現地法、共同公表の整合性を確認します。

説明がずれる

委託元・委託先の公表時期、文言、問い合わせ窓口、責任論と事実共有の分離を調整します。

委託先への初動質問票では、発覚日時、発覚経路、影響環境、当社データの有無、データ項目、件数、本人範囲、漏えい・滅失・毀損・暗号化・閲覧可能状態、外部送信痕跡、個人データ・要配慮個人情報・決済情報・認証情報、再委託先、復旧見通し、外部専門家、当局・警察・JPCERT/CCへの報告予定、公表予定、ログ保全、問い合わせ責任者を確認します。

次の比較表は、委託先事故で委託元が確認する項目を、事実、データ、統制、説明の四つに分けたものです。列ごとに、初報だけで足りる項目と、追加調査で補う項目を読み取ることが重要です。

区分確認する内容実務上の読み方
事実関係発覚日時、発覚経路、影響システム、封じ込め状況、復旧見通し初報時点の不明点を記録し、次回更新時刻を決めます。
データ影響当社データ、個人データ、要配慮個人情報、決済情報、認証情報、件数、本人範囲本人通知や当局報告に使える粒度で確認します。
調査・保全ログ、証跡、外部送信痕跡、フォレンジック会社、再委託先、クラウド契約上の調査協力義務とログ提供義務を根拠にします。
説明当局・警察・JPCERT/CC報告、顧客・本人・社会への公表、窓口、責任者委託元・委託先の説明順序と文言を調整します。

委託元が事実確認前に委託先の責任を断定すると、契約紛争や共同調査の停滞を招くことがあります。共同説明では、事実、影響、暫定措置、問い合わせ窓口、今後の調査予定を調整し、責任論は別に整理します。

Section 12

越境・M&A・保険・会計へ広がるサイバーインシデント対応

海外、M&A、サイバー保険、会計・税務に波及する場面を、初期段階から見落とさないよう整理します。

海外子会社、海外顧客、海外クラウド、海外委託先、越境リモートアクセスが関係する場合、日本法だけでは足りません。GDPR、米国州法、SEC開示、サイバーセキュリティ関連法、データローカライゼーション、輸出管理、制裁、捜査協力、現地労働法が問題となり得ます。

次の一覧は、サイバーインシデント対応が越境、M&A、保険、会計・税務へ広がる場面を整理しています。事故対応チームに、法務だけでなく、経理、税務、監査法人、保険会社、M&A担当が早期に入る理由を読み取ってください。

GLOBAL

クロスボーダー

国・地域、管理者・処理者、現地報告期限、本人通知の言語、グローバル公表と国別公表の整合性を確認します。

M&A

デューデリジェンス

過去の事故、未発見侵害、通知漏れ、脆弱な統合ネットワーク、保険対象外損害、表明保証、MAC条項に影響します。

INSURANCE

サイバー保険

通知期限、指定フォレンジック会社、指定専門家、事前承認費用、ランサム関連費用、免責事項を確認します。

ACCOUNTING

会計・税務

復旧費用、補償、違約金、売上減、減損、引当金、偶発債務、保険金収入、海外支払いを整理します。

M&Aの買主側デューデリジェンスでは、過去のインシデント履歴、フォレンジック報告書、当局報告、本人通知、公表履歴、重大脆弱性、ログ保存・監視体制、バックアップ、委託先管理、個人情報・営業秘密管理、サイバー保険、未解決クレームを確認します。

サイバー保険に加入している場合、発覚後すぐに保険証券と約款を確認します。保険請求のための証拠と、法令・訴訟対応のための証拠は重なります。費用、作業時間、外部専門家契約、復旧作業、顧客対応費、コールセンター費、郵送費、広告費、売上影響を整理しておきます。

Section 13

業種別に変わるサイバーインシデント対応

金融、医療、EC、製造・重要インフラ、教育・研究、SaaSでは、守る対象と説明先が変わります。

サイバーインシデント対応は、業種ごとに優先順位が変わります。情報漏えいだけを見るのではなく、顧客資産、患者安全、決済、OT、研究データ、マルチテナント環境など、業種固有のリスクを読み取る必要があります。

次の一覧は、業種別に注意すべき対象と説明先を整理したものです。自社の業種だけでなく、委託先や顧客の業種が何を重視するかを読むことで、通知・公表・復旧の優先順位を決めやすくなります。

FIN

金融

顧客資産、本人確認、マネロン対策、金融庁・自主規制機関対応、システムリスク管理、外部委託管理を重視します。

資産保全
MED

医療・ヘルスケア

診療情報、検査結果、薬歴、治験データ、患者安全が重要です。電子カルテ停止は人命と診療継続に関わります。

安全
EC

EC・決済

カード情報、不正ログイン、ウェブスキミング、配送先情報、購買履歴、ポイント不正利用を確認します。

決済
OT

製造・重要インフラ

OT、制御システム、IoT、物理安全、品質保証、供給責任、行政・地域社会への説明を統合します。

供給責任
R&D

教育・研究機関

学生・教職員情報、研究データ、共同研究先情報、知財、海外共同研究、輸出管理が問題になります。

研究データ
SaaS

SaaS・プラットフォーム

多数顧客への影響、管理者ログ、APIキー、マルチテナント分離、サブプロセッサー、ステータスページを慎重に扱います。

顧客通知

ECサイトからクレジットカード番号を含む個人データが漏えいした場合や、送金・決済機能のあるウェブサービスのログインID・パスワードの組み合わせが漏えいした場合は、財産的被害のおそれがある類型として早期に評価します。

Section 14

サイバーインシデント対応で使う実務テンプレート

初動記録、法務初期評価、個人情報漏えい等チェック、公表文、取締役会報告の骨子を実務用に整理します。

サイバーインシデント対応では、記録様式を用意しておくほど、初動時の抜け漏れを減らせます。次の比較表は、どのテンプレートがどの場面で使われるかを整理したものです。項目名だけでなく、後日の説明に必要な証跡がどこに入るかを読み取ってください。

テンプレート主な項目使う場面
初動記録発見日時、発見者、発見経路、影響システム、影響アカウント、確認事実、懸念事項、関与データ、業務停止、封じ込め、証拠保全、エスカレーション、外部専門家、次回確認時刻、記録作成者0〜2時間の事実整理と時系列管理に使います。
法務初期評価メモ事案概要、影響データ、個人データ、要配慮個人情報、決済情報、営業秘密、報告要否、本人通知、契約通知、業法、警察・JPCERT/CC、適時開示、労務、保険、追加調査依頼法令・契約・開示の判断を初日から同期させます。
個人情報漏えい等チェック個人データ、要配慮個人情報、カード番号、ログインID・パスワード、不正アクセス、ランサムウェア、内部不正、暗号化・消失・復元不能、1,000人超、委託先関与、二次被害リスク報告・本人通知の初期判断に使います。
公表文骨子発生概要、現時点の確認事実、影響可能性、対応、関係者へのお願い、今後の対応、問い合わせ先社外説明で時点と未確定事項を明確にします。
取締役会報告事案概要、タイムライン、事業影響、データ評価、法令・契約・開示、復旧、外部専門家、顧客説明、財務・監査、主要リスク、経営判断、再発防止、監査計画経営判断と監督責任の記録に使います。

次の判断一覧は、個人情報漏えい等のチェック項目を実務で使いやすい形にまとめたものです。はい、いいえ、不明のどれかに分類し、不明な項目は追加調査依頼へつなげることが重要です。

確認項目見るべき理由メモ
個人データ・要配慮個人情報報告・本人通知の入口になるためです。データマップと影響範囲を照合します。
決済情報・ログインID・パスワード財産的被害のおそれを評価するためです。本人への注意喚起内容にも関わります。
不正アクセス・ランサムウェア・ウェブ改ざん不正目的の行為によるおそれを評価するためです。ログと外部専門家の仮説を分けて記録します。
1,000人超・委託先関与・二次被害リスク報告主体、通知順序、問い合わせ窓口に影響するためです。委託先からの追加情報提供時刻を設定します。

テンプレートは、空欄を埋めるための書式ではなく、関係者が同じ事実と同じ不明点を共有するための道具です。特に「現時点で確認された事実」と「未確認だが懸念される事項」を分ける欄を必ず残します。

Section 15

サイバーインシデント対応のKPIと監査

対応後の振り返りを感覚で終わらせず、検知、復旧、ログ、訓練、期限内報告、再発防止を測定します。

サイバーインシデント対応は、事後に頑張ったかどうかではなく、客観的な指標で検証します。KPIは、経営・法務・ITが同じ改善課題を見るための共通言語です。

次の比較表は、主なKPIと法務・経営上の意義を整理しています。単なるセキュリティ部門の数値ではなく、説明責任、SLA、取締役会監督、内部監査へつながる点を読み取ってください。

KPI意味法務・経営上の意義
MTTD検知までの平均時間被害拡大防止と管理体制の実効性を示します。
MTTR復旧までの平均時間事業継続、顧客影響、SLAに関わります。
エスカレーション時間発見からCISO・法務・経営報告までの時間初動遅延の有無を測ります。
ログ保存カバレッジ重要システムで必要ログが取れている割合証拠保全と説明責任に関わります。
MFA適用率重要アカウントで多要素認証が有効な割合認証侵害リスクを下げます。
バックアップ復元成功率訓練で復元できた割合ランサムウェア耐性を示します。
委託先通知条項整備率重要委託契約に事故通知条項がある割合サプライチェーン対応に効きます。
訓練実施回数経営・法務・IT合同訓練の頻度実効性ある体制かを確認します。
期限内報告率法定・契約上の報告期限を満たした割合法令遵守と契約遵守を測ります。
再発防止完了率是正措置の完了割合取締役会監督と内部監査に関わります。

内部監査は、対応後の検証だけでなく、平時の統制監査としても機能します。対応計画の最新版、重大度分類、合同訓練、重要ログ、委託先台帳、契約条項、個人情報データマップ、バックアップ復元訓練、再発防止策、取締役会・監査役等への報告を確認します。

取締役会には、技術的詳細の羅列ではなく、経営判断に必要な情報を報告します。何が起きたのか、何がまだ分からないのか、事業・顧客・財務・法令・開示への影響、現在封じ込めているリスク、経営判断が必要な選択肢、関与専門家、期限、再発防止投資を整理します。

Section 16

サイバーインシデント対応で避けたい典型失敗

証拠喪失、法務参加の遅れ、早期断定、弱い委託契約、ログ不足、開示順序ミス、ランサム判断、抽象的再発防止を防ぎます。

典型的な失敗は、事故の個別事情よりも、平時の設計不足や初動の焦りから起こります。次の一覧は、サイバーインシデント対応で避けたい失敗と予防策を並べたものです。各項目から、手順、契約、ログ、承認、文書管理のどこを直すべきかを読み取ってください。

技術復旧だけを優先する

端末初期化、ログ削除、バックアップ復元を急ぎすぎると、侵入経路や漏えい範囲の証拠を失います。証拠保全責任者と復旧前確認を手順化します。

法務参加が遅れる

報告期限、契約通知、適時開示、保険通知、本人通知は発覚直後から検討します。重大度分類に法務エスカレーション条件を入れます。

漏えいなしと早期断定する

外部送信ログが見つからないことは、漏えいがないことの証明とは限りません。現時点の確認事実と調査中事項を分けます。

委託先契約が弱い

報告書やログが出ない、通知が遅い、再委託先が不明という問題を防ぐため、事故通知、調査協力、ログ提供、監査権を契約に入れます。

クラウドログがない

監査ログが無効、保存期間が短い、上位プランでないと取得できない問題があります。導入時にログ要件を確認します。

公表と適時開示の順序を誤る

TDnet開示前の自社サイト掲載や公開領域への保存は、市場公平性の問題を生みます。アクセス制御と順序を確認します。

ランサム交渉を現場判断にする

身代金支払い、交渉、復号ツール取得は、制裁、反社、保険、事業継続、説明責任に関わる経営判断です。

再発防止が抽象的に終わる

教育徹底や管理強化だけでは足りません。統制、期限、責任者、予算、監査方法まで示します。

これらの失敗を防ぐ実務原則は、早く復旧することだけではありません。正しく止め、正しく調べ、正しく知らせ、正しく直し、後から説明できる形で記録することです。

Section 17

サイバーインシデント対応のFAQ

よくある疑問を、一般的な制度説明と実務上の注意点として整理します。個別の結論は事案ごとに変わります。

技術調査が終わるまで、当局報告や本人通知の検討を待てますか。

一般的には、技術調査が完了していない段階でも、漏えい等またはそのおそれの有無、速報要否、本人通知の要否を並行して検討する実務が想定されています。ただし、データの性質、ログの残り方、攻撃態様、影響人数、委託先の関与によって結論は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

漏えいを確認できなければ、公表文で漏えいなしと書けますか。

一般的には、外部送信ログが見つからないことだけで漏えいがないと断定するのは慎重に扱うべきとされています。ログ保存期間、攻撃者権限、調査範囲、暗号化・窃取主張の有無によって表現は変わります。具体的な文言は、確認済み事実と調査中事項を分け、弁護士等の専門家へ相談する必要があります。

委託先の事故なら、委託元は説明しなくてもよいですか。

一般的には、委託先事故でも委託元が本人、顧客、当局、取引先への説明を求められる場面があります。ただし、契約関係、委託内容、データ管理主体、再委託の有無、本人への影響によって対応は変わります。具体的には、契約書、委託先通知、ログ、調査資料を整理し、専門家へ相談する必要があります。

ランサムウェアで身代金を支払えば解決しますか。

一般的には、支払っても復号やデータ削除が保証されるものではなく、制裁、反社会的勢力、マネーロンダリング、保険、監査、説明責任の問題が生じる可能性があります。ただし、人命、医療、重要インフラ、事業継続への影響によって検討事項は変わります。具体的な対応は、経営、法務、財務、保険会社、必要に応じて警察等と統制して判断する必要があります。

社内メールや従業員端末を調査しても問題ありませんか。

一般的には、就業規則、情報セキュリティ規程、利用規程、調査目的、範囲、必要性、従業員のプライバシー配慮が重要とされています。ただし、BYOD、海外拠点、労働組合、内部不正の疑い、刑事対応の有無によって手順は変わります。具体的には、規程とログを確認し、労務・個人情報の専門家へ相談する必要があります。

Guide

サイバーインシデント対応で次に確認したいこと

目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。

知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。

このテーマから次に確認されやすい詳しい解説を9件表示しています。

Reference

参考資料

公的機関・標準化機関の資料

  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 国家サイバー統括室(NCO)「サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0」
  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • IPA「情報セキュリティ10大脅威 2026」
  • JPCERT/CC「CSIRTマテリアル 運用フェーズ」
  • NIST CSRC「Incident Response」
  • NIST CSRC Glossary「CSF Function」
  • e-Gov法令検索「サイバーセキュリティ基本法」
  • e-Gov法令検索「不正競争防止法」
  • 国家サイバー統括室「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」
  • 日本取引所グループ「適時開示情報閲覧サービス」
  • 日本取引所グループ「会社情報をウェブサイトに掲載する場合の留意事項」
  • 警察庁「サイバー警察局」