事故、不祥事、漏えい、障害、適時開示、製品安全、労務、M&Aまで、どの段階で何を伝えるかを一般情報として整理します。確定事実と未確定事項を分け、被害拡大防止と説明責任を両立させるための実務的な見取り図です。
事故、不祥事、漏えい、障害、適時開示、製品安全、労務、M&A まで、どの段階で何を伝えるかを一般情報として整理します。
危機対応の文書は、早く出すか詳しく出すかではなく、誰に、どの確度で、どの範囲まで伝えるかを設計するものです。
このページは、企業法務、コンプライアンス、情報セキュリティ、個人情報保護、IR、製品安全、不祥事調査、労務、M&A・組織再編、行政対応、訴訟・紛争対応などで問題になる情報発信の整理です。個別案件の法的助言、監査意見、税務意見、行政庁への届出判断、適時開示判断、第三者委員会の調査意見を代替するものではありません。
実際の案件では、事案の性質、業種、上場・非上場の別、契約上の報告義務、海外法令、監督官庁の運用、証拠保全、訴訟リスク、被害者保護、捜査や調査への影響を踏まえて、弁護士等の専門家、企業内の法務・広報・IR・技術・経営部門、関係当局と連携して検討する必要があります。
次の一覧は、初報・続報・最終報が担う3つの役割を表しています。全体像を先に押さえると、危機時に文書の目的が混ざりにくくなります。読者は、それぞれが「結論」「差分」「総括」のどこを担当するのかを読み取ると、後続の判断基準を使いやすくなります。
結論を出す文書ではなく、現時点の確定事実、未確定事項、想定される影響、会社が始めた初動対応、問い合わせ先、次回更新方針を示す文書です。
初報後に判明した新事実、訂正、影響範囲、復旧状況、行政報告、被害者対応、再発防止策の進捗を、前回公表との関係が分かる形で示します。
原因、経緯、影響範囲、対応、再発防止策、残課題、今後の監督・検証体制を整理し、必要に応じて第三者性や客観性を補います。
次の強調部分は、このページで最も重要な読み方を示しています。危機対応では単純な早さや詳しさよりも、情報の相手、目的、根拠、確度、時期、リスクを分けることが重要です。読者は、発信段階ごとに何を確定情報として扱い、何を調査中として残すかを確認してください。
初報は混乱を抑え、続報は基準点を更新し、最終報は組織の学習と再発防止につなげます。未確定情報を断定せず、必要な相手に必要な粒度で伝える設計が中心になります。
同じ危機情報でも、初動の発信、差分の更新、総括の報告では目的と書くべき内容が変わります。
初報・続報・最終報は、どの法律分野にも共通して定義された一つの専門用語ではありません。個人情報漏えい等では「速報」「確報」、サイバー攻撃対応では「第一報」「第二報以降」「最終報」、適時開示では「発生事実」「決定事実」「開示事項の経過」などの実務語が使われます。このページでは、それらを横断する実務概念として整理しています。
次の比較一覧は、3つの文書の目的、中心情報、避けるべき書き方を表しています。段階ごとの役割が混ざると、初報で原因を断定したり、最終報で抽象的な反省だけになったりします。読者は、各段階で何を「まだ書かないか」も読み取ってください。
| 区分 | 主な目的 | 中心になる情報 | 避けること |
|---|---|---|---|
| 初報 | 認知、初動、注意喚起、期限遵守 | 判明事実、未判明事項、影響可能性、初動対応、窓口、続報予定 | 原因断定、責任断定、過小評価、秘密情報の出しすぎ |
| 続報 | 差分更新、訂正、進捗共有 | 新事実、訂正理由、影響範囲、復旧状況、報告状況、次回予定 | 内容のない反復、用語の揺れ、曖昧な訂正、窓口更新漏れ |
| 最終報 | 総括、説明責任、再発防止 | 原因、経緯、影響、対応、再発防止、残課題、検証体制 | 抽象論、担当者責任への矮小化、非公表理由の不明確さ |
次の時系列は、危機発生後にリスクがどう移るかを表しています。時間によって重視すべき情報が変わるため、文書を分けることが重要になります。読者は、どの段階で自衛、法令報告、調査、再発防止が前面に出るかを確認してください。
被害拡大、証拠消失、問い合わせ集中、SNS拡散のリスクが高まります。初報では確定事実と未確定事項を切り分け、公式な基準点を作ります。
影響範囲、復旧状況、行政報告、顧客対応が変動します。続報では新事実と訂正を明示し、初報との整合性を保ちます。
主要事実が把握されると、説明責任、ガバナンス改善、被害者対応、継続課題の整理が中心になります。最終報では終わった事項と残る事項を分けます。
事実は一度に確定せず、宛先ごとに必要情報も異なるため、同じ文書ですべてを処理しようとすると危険です。
事故や不祥事が発覚した瞬間に、原因、被害範囲、責任、損害額、法的評価、再発防止策がすべて判明していることは少ないです。サイバー攻撃、会計不正、品質不正、ハラスメント、個人情報漏えい、海外子会社不祥事、役員関与案件、サプライチェーン事故では、調査の途中で事実が大きく変わることがあります。
初報に最終報の内容を詰め込むと、未確認情報の断定、後日の訂正、影響範囲の過小評価、法的責任の不用意な認め方、証拠保全や捜査への支障、プライバシー侵害、脆弱性や攻撃手法の過度な公開につながる可能性があります。一方で、最終調査まで一切公表しないと、被害者が自衛できず、市場や取引先への説明が後手に回る可能性があります。
次の比較表は、主な宛先ごとに、初報で必要な情報と最終報で必要な情報がどう変わるかを表しています。宛先により関心が違うため、同じ危機でも文書の粒度を変える必要があります。読者は、自社の事案で誰が早期に判断や自衛を必要としているかを読み取ってください。
| 宛先 | 主な関心 | 初報で必要なこと | 最終報で必要なこと |
|---|---|---|---|
| 経営者・取締役会 | 経営判断、法的責任、資金・人員投入 | 重大性、初動方針、意思決定事項 | 原因、責任、再発防止、ガバナンス改善 |
| 法務・コンプライアンス | 法令、契約、証拠、当局対応 | 報告義務の有無、証拠保全、対外発信統制 | 法的評価、再発防止、規程改定 |
| 個人情報保護担当 | 本人保護、委員会報告 | 報告対象該当性、速報期限、本人通知要否 | 確報、再発防止、安全管理措置 |
| 情報システム・CSIRT | 封じ込め、復旧、解析 | 侵害の疑い、遮断・隔離、ログ保全 | 原因、脆弱性、恒久対策 |
| 顧客・利用者 | 自衛、サービス継続、補償 | 影響可能性、注意喚起、問い合わせ先 | 影響範囲、補償、再発防止 |
| 取引先 | 業務影響、契約責任、供給継続 | 業務影響、暫定対応、連絡窓口 | 是正措置、契約上の対応、再発防止 |
| 投資家・市場 | 投資判断、公平性 | 重要事実、業績影響の見込み | 影響額、統制改善、経営責任 |
| 行政庁・監督当局 | 法令遵守、被害防止 | 報告対象事態、速報、暫定措置 | 確報、原因、是正・再発防止 |
| 警察・捜査機関 | 犯罪捜査、証拠保全 | 犯罪性、証拠、被害状況 | 追加証拠、被害額、復旧状況 |
| メディア・社会 | 公共性、透明性 | 事案の存在、影響、会社の対応 | 総括、責任、再発防止 |
次の一覧は、初報に詰め込みすぎる場合と、公表を遅らせすぎる場合のリスクを並べています。両方の危険を同時に見比べることが重要です。読者は、自社の案件がどちらに偏りやすいかを確認してください。
原因や責任を未確認のまま書くと、後日の訂正、契約紛争、名誉毀損、行政対応の混乱につながる可能性があります。
「軽微」「漏えいはありません」などの表現は、調査未了の段階では信頼を損なう可能性があります。
被害者や取引先が自衛できず、報道やSNSで断片情報が広がり、会社の説明が後手に回る可能性があります。
行政庁への報告、被害者への通知、取引先連絡、ウェブ公表、専門機関への情報共有は、似ていても法的意味が異なります。
法令・規則・契約上の義務、被害拡大防止、市場の公平性、公表による副作用を順に確認します。
最初に確認するのは、任意の広報判断ではなく、法令、上場規則、契約、業法、行政ガイドライン上の報告義務です。個人情報漏えい等では速報・確報や本人通知、上場会社では適時開示、製品事故では重大製品事故報告、規制業種では所管官庁への事故報告、労務問題では労基署や公益通報対応、契約では通知義務、海外ではGDPRや各国データ侵害通知法などが問題になります。
次の判断の流れは、初報を出すか、続報に回すか、最終報まで待つかを検討する順番を表しています。順番を決めておくと、危機時に広報判断だけが先行したり、法務確認だけで時間を失ったりするリスクを抑えられます。読者は、上から順に「義務」「自衛」「公平性」「副作用」を確認する読み方をしてください。
期限、宛先、報告内容、本人通知、適時開示、契約通知を確認します。
顧客、取引先、利用者、投資家が早期に自衛・判断する必要があるかを見ます。
上場会社では、全容が未確定でも判明事実の区分開示が必要になる場合があります。
攻撃手法、個人情報、営業秘密、捜査への影響を避けます。
未確定事項と次回更新方針を明示します。
次の一覧は、初報前に特に確認したい副作用をまとめています。公表自体が二次被害や調査妨害につながる場合があるため、単に「早く出す」だけでは足りません。読者は、情報の出しすぎで誰にどの損害が生じ得るかを読み取ってください。
脆弱性、監視体制、遮断状況、調査状況を詳しく出しすぎると、追加攻撃や証拠隠滅につながる可能性があります。
警察、監督当局、取引所、監査法人、保険会社との連携に反する公表は、後続対応を難しくします。
役職員、取引先、被害者、通報者、第三者を不当に特定しないよう、範囲を限定する必要があります。
委託先、顧客、取引先、海外子会社と公表タイミングがずれると、契約紛争や説明の矛盾が生じる可能性があります。
初報は短くてもかまいませんが、確定事実、未確定事項、初動対応、相手が取るべき注意、窓口、続報予定を外さないことが重要です。
初報で最も大切なのは、事実と評価を混同しないことです。断定できる事実だけを示し、原因や責任は調査中であることを明確にします。法令上の報告義務、契約上の通知義務、個人情報や営業秘密、捜査・行政調査への影響、問い合わせ窓口の実効性も同時に確認します。
次の表は、初報に入れる標準項目を表しています。項目をそろえることで、短い文書でも関係者が自衛や判断に必要な情報を把握しやすくなります。読者は、各項目で「確定していること」と「確認中のこと」を分けて書く点を読み取ってください。
| 項目 | 記載例 | 留意点 |
|---|---|---|
| 件名 | 当社システムへの不正アクセスの可能性について(第一報) | 事案類型と報告段階を明示します。 |
| 発生日・発覚日 | 〇月〇日に判明しました | 発生日時が不明な場合は、判明した時点を中心に書きます。 |
| 対象 | システム名、製品名、店舗、部署、サービス | 公表してよい範囲に限定します。 |
| 現時点の事実 | 外部からの不正アクセスの痕跡を確認しました | 断定できる事実だけを書きます。 |
| 影響可能性 | 一部のお客様情報に影響した可能性があります | 過小評価と過大評価の両方を避けます。 |
| 初動対応 | 停止、隔離、回収、調査、専門家起用 | 対応中であることを具体的に示します。 |
| 利用者へのお願い | パスワード変更、不審メールへの注意、使用停止など | 被害防止に必要な行動を明確にします。 |
| 報告・相談先 | 委員会、所管官庁、警察、専門機関など | 事案に応じて記載します。 |
| 今後 | 判明次第、続報でお知らせします | 次回更新の目安を示すと混乱が減ります。 |
| 問い合わせ先 | 専用窓口、メール、電話、FAQ | 受付時間と対象者を明確にします。 |
次の表は、初報で避けたい表現と置き換え方向を表しています。初報では断定と過小評価が後日の信頼低下につながりやすいため、言い換えの型を持っておくことが重要です。読者は、法的評価や原因を確定させず、現時点の確認状況として表現する点を確認してください。
| 避けたい表現 | 問題点 | 望ましい表現 |
|---|---|---|
| 情報漏えいはありません | 調査未了なら後日覆る可能性があります。 | 現時点で情報漏えいの事実は確認されていません |
| 原因は委託先のミスです | 責任転嫁、名誉毀損、契約紛争のリスクがあります。 | 委託先を含む関係先と原因を調査中です |
| 軽微な事案です | 被害者視点を欠く可能性があります。 | 現時点で判明している影響範囲は限定的ですが、引き続き調査します |
| 法令違反はありません | 法的評価の断定が早すぎる可能性があります。 | 関係法令上の対応を確認しています |
| 再発防止を徹底します、だけ | 具体性がありません。 | アクセス権限の見直し、ログ監視強化等を進めます |
| 詳細は差し控えます、だけ | 隠蔽感を与える可能性があります。 | 調査・二次被害防止の観点から、攻撃手法の詳細は現時点では公表を控えます |
次の一覧は、初報を公表する前の法務レビュー観点を表しています。レビュー観点を固定しておくと、危機時の確認漏れを減らし、続報につながる文書にしやすくなります。読者は、事実、期限、秘密情報、関係機関連携、窓口の5領域を中心に確認してください。
事実と法的評価が混同されていないか、断定できない事項を断定していないかを確認します。
法令上の報告義務、期限、宛先、契約上の通知義務、海外法令との整合性を確認します。
個人情報、営業秘密、未公表重要事実、第三者を不当に特定する情報が含まれていないかを確認します。
問い合わせ窓口が実際に機能するか、次の続報につながる記載になっているかを確認します。
当社が運営する〇〇システムについて、〇月〇日、外部からの不正アクセスの可能性があることを確認しました。現時点で判明している事実として、通常とは異なる通信を検知し、対象システムの一部を停止し、外部専門機関とともに調査を開始しています。影響範囲および個人情報漏えいの有無については確認中です。関係当局への報告要否を確認し、必要な手続を進めています。
お客様には、当社を装った不審なメール、電話、SMS等への注意をお願いする内容が考えられます。当社からパスワード、クレジットカード番号、認証コードをメールで尋ねることはない旨を明記し、新たに知らせるべき事項が判明した場合はウェブサイトで続報を公表する、という構成が基本になります。
当社が販売した〇〇製品について、使用中に〇〇が発生したとの報告を受け、事故原因および対象範囲を調査している、という書き出しが考えられます。安全確保を優先する場合、調査が完了するまで対象製品の使用を一時的に控えていただく案内、型番、製造番号、確認方法、関係機関への報告、原因・対象範囲・交換や回収に関する続報予定を示します。
続報は「まだ調査中です」を繰り返す文書ではなく、前回から何が変わったかを示す文書です。
続報は、初報後に知らせるべき変化が生じたときに出します。影響範囲の拡大または限定、漏えい・不具合・会計影響・法令違反の有無、復旧や回収の見込み、顧客や取引先が新たに取るべき自衛措置、行政庁や警察、取引所、監査法人、保険会社への報告状況、初報の訂正、最終報予定の変更、不正確な報道への公式訂正などが典型です。
次の時系列は、続報を出す典型場面を表しています。変化の種類を分けておくと、情報量の少ない反復を避け、必要な訂正や注意喚起を漏らしにくくなります。読者は、続報が「新事実」「訂正」「影響範囲」「復旧」「次回予定」のどれを扱っているかを読み取ってください。
対象期間、対象者数、情報項目、製品ロット、サービス範囲が変わった場合は、増減理由とともに説明します。
初報の内容が誤っていた、または不十分だった場合には、訂正内容と訂正理由を隠さず示します。
サービス復旧、製品回収、業務再開、個別連絡、当局報告などの進捗を、確認済み事項と調査中事項に分けます。
次回報告の目安、遅延理由、追加調査の範囲を示すことで、情報空白を減らします。
次の比較表は、続報の基本構造を表しています。構造を固定すると、前回からの差分が読者に伝わりやすくなります。読者は、訂正がある場合には理由を明示し、未確定事項も隠さず残す点を確認してください。
| 順序 | 内容 | 読み取るべき点 |
|---|---|---|
| 1 | 前回公表の参照 | どの初報・続報に対する更新かを明確にします。 |
| 2 | 今回新たに判明した事項 | 新しい確定事実を先に示します。 |
| 3 | 前回から訂正する事項 | 訂正内容、訂正理由、影響を明示します。 |
| 4 | 現在も調査中の事項 | 未確定情報を残し、断定を避けます。 |
| 5 | 関係者への影響とお願い | 顧客・取引先が新たに取るべき行動を示します。 |
| 6 | 会社の対応状況 | 復旧、報告、個別連絡、調査体制を更新します。 |
| 7 | 今後の予定 | 次回報告時期や最終報予定を示します。 |
| 8 | 問い合わせ先 | 窓口変更やFAQ更新を反映します。 |
〇年〇月〇日付の第一報でお知らせした件について、外部専門機関とともに調査を進めた結果、対象システム、影響を受けた可能性のある情報、対象外と確認した情報、影響を受ける可能性のある件数が判明した、という順序で示します。件数は現時点の最大値であり、今後の調査で変わる可能性がある場合は、その旨を明記します。
前回公表で「影響を受けた可能性のあるお客様は約〇名」と記載していたところ、ログ調査の結果、重複を除いた対象者数は最大〇名と判明した、という形で訂正内容を先に示します。速報性を優先した暫定的な抽出条件だったこと、追加解析により集計条件を精査したことなど、訂正理由も説明します。
次の一覧は、続報で失敗しやすい点を表しています。続報の失敗は最終報の信頼性を損ないやすいため、前回公表との関係を保つことが重要です。読者は、用語、件数、復旧、安全確認、当局報告、窓口、各チャネルの整合性を読み取ってください。
初報と続報で対象名や範囲の呼び方が変わると、同じ対象なのか分かりにくくなります。
影響件数の増減理由を説明しないと、調査の信頼性が下がります。
何を調べ、何が残り、次に何を知らせるのかを示さないと、進捗が見えません。
公表版、顧客メール、取引先通知、当局報告の内容が矛盾すると、最終報で整合性が取りにくくなります。
最終報はすべての不確実性が消えた文書ではなく、調査・対応・再発防止を一定程度総括する文書です。
最終報は、主要な事実関係、影響範囲、原因または原因特定が難しい理由、初動・是正・復旧対応、被害者・顧客・取引先への対応方針、関係当局等への報告状況、再発防止策、法務・広報・IR・経営・外部専門家のレビューが概ね整理された段階で出します。訴訟や行政手続が続く場合でも、会社としての事実調査と再発防止策の総括を示す必要があることがあります。
次の表は、最終報の標準構成を表しています。構成を分けることで、事実認定、評価、対応、再発防止、継続課題が混ざりにくくなります。読者は、過去の初報・続報との関係を説明する項目を含める点を確認してください。
| 順序 | 項目 | 主な内容 |
|---|---|---|
| 1 | はじめに | 公表の目的、これまでの経緯、関係者への説明姿勢を示します。 |
| 2 | 事案の概要・発覚の経緯 | 発生・発覚・初動の時系列を整理します。 |
| 3 | 調査体制・調査方法 | 社内外の調査体制、対象資料、調査範囲を示します。 |
| 4 | 認定した事実・影響範囲 | 対象期間、対象者数、対象情報、業績影響などを示します。 |
| 5 | 原因分析 | 直接原因だけでなく、管理、制度、経営、文化の要因を検討します。 |
| 6 | 初動対応・是正措置 | 停止、隔離、回収、個別連絡、当局報告、復旧状況を整理します。 |
| 7 | 再発防止策 | 施策、責任者、期限、検証方法を示します。 |
| 8 | 経営責任・ガバナンス | 役員責任、監督体制、内部統制、今後のモニタリングを示します。 |
| 9 | これまでの公表内容との関係 | 初報・続報から変わった点、訂正点、継続課題を説明します。 |
| 10 | 問い合わせ先 | 残る対応や問い合わせ窓口を明確にします。 |
次の表は、最終報で扱う原因分析の階層を表しています。直接原因だけで終えると、組織として再発防止につながりにくいため、管理・制度・経営・文化まで検討することが重要です。読者は、原因を個人のミスだけに閉じず、仕組みの問題として読み解いてください。
| 階層 | 例 | 説明 |
|---|---|---|
| 直接原因 | 誤送信、設定ミス、脆弱性、権限設定不備 | 直接のきっかけを示します。 |
| 管理原因 | 承認手続の不備、監視不足、委託先管理不足 | 組織管理上の原因を示します。 |
| 制度原因 | 規程未整備、教育不足、内部通報制度の不全 | 仕組みとして足りなかった点を示します。 |
| 経営原因 | 収益優先、品質軽視、人員不足、統制軽視 | 経営判断やガバナンス上の課題を示します。 |
| 文化原因 | ものが言えない、隠す、属人化、現場任せ | 企業風土として再発を招きやすい要素を示します。 |
次の表は、最終報で避けたい表現と改善方向を表しています。抽象的な反省だけでは、検証可能な再発防止策になりません。読者は、施策、責任者、期限、検証方法、継続事項を明確にする読み方をしてください。
| 避けたい表現 | 問題点 | 望ましい方向 |
|---|---|---|
| 再発防止を徹底します、だけ | 抽象的で検証できません。 | 施策、責任者、期限、検証方法を示します。 |
| 担当者の認識不足、だけ | 組織原因を隠しているように見えます。 | 教育、承認、監査、経営管理まで分析します。 |
| 外部攻撃のため不可抗力 | 管理体制の評価を欠きます。 | 侵入経路、検知、被害拡大防止、監視体制を分析します。 |
| 詳細は非公表、だけ | 説明責任が不足します。 | 非公表理由を具体化します。 |
| 本件は解決済み | 被害者対応や再発防止が残る場合に不正確です。 | 完了事項と継続事項を分けます。 |
〇〇事案について、外部専門家を含む調査体制のもと、原因および影響範囲の調査を進め、主要な調査が完了し、再発防止策を決定したため報告する、という書き出しが考えられます。続いて、事案の概要、調査体制、調査結果、当社の対応、再発防止策、今後の対応を順に示します。
調査結果では、対象期間、対象者数、対象情報、現時点で確認されている二次被害を分けます。対応では、対象者への個別連絡、関係当局への報告、システム設定の是正、アクセス権限の見直し、監視強化を整理します。再発防止策では、規程改定、定期点検、委託先管理の見直し、研修、内部監査によるフォローアップなど、検証可能な施策を示します。
個人情報、サイバー、IR、製品事故、不祥事調査、労務、M&Aでは、初報の目的も最終報の深さも変わります。
分野ごとの規制、関係者、被害拡大リスクが異なるため、同じ「初報」でも書くべき情報は変わります。個人情報漏えいでは本人保護と委員会報告、サイバーでは技術詳細の出しすぎ回避、IRでは投資判断情報の公平性、製品事故では安全確保が中心になります。
次の一覧は、分野別に初報・続報・最終報で重視すべきポイントを表しています。分野を分けて見ることで、法令報告、被害防止、説明責任の優先順位が分かりやすくなります。読者は、自社の案件が複数分野にまたがる場合、各分野の要件を重ねて確認してください。
速報は概ね3〜5日以内、確報は30日または60日以内が目安とされます。対外的な初報・続報・最終報と、法令上の速報・確報は一致しないことがあります。
本人保護期限確認初報ではサービス影響と自衛措置を示しつつ、攻撃者に利する技術詳細を出しすぎないことが重要です。最終報では侵入経路、検知、再発防止を深く扱います。
封じ込め詳細管理重要な発生事実や決定事実が認識された場合、全容が未確定でも判明事実を区分して開示し、続報で経過を示す対応が必要になる場合があります。
公平性未確定区分初報の目的は安全確保です。対象製品、型番、ロット、事故概要、使用停止のお願い、回収・交換・点検方法、問い合わせ先を優先します。
安全確保10日以内初報では調査体制と対象を示し、原因や責任を断定しません。最終報では調査報告書または概要、原因分析、再発防止策を示します。
調査体制非公表理由被害者、通報者、調査対象者のプライバシーや名誉に配慮し、全社公表ではなく、必要な範囲での社内初報や関係者通知が中心になることがあります。
限定共有保護措置次の表は、個人情報漏えい分野で法令上の報告・通知と対外説明がどうずれるかを表しています。用語の違いを理解すると、委員会への確報を出した後に顧客向け最終報が必要になる場面を把握しやすくなります。読者は、宛先と法的位置づけを分けて確認してください。
| 実務文書 | 主な宛先 | 法的位置づけ | 注意点 |
|---|---|---|---|
| 速報 | 個人情報保護委員会等 | 法令上の報告 | 3〜5日以内が目安です。調査未了でも速やかに報告します。 |
| 本人通知・顧客初報 | 本人・顧客 | 法令・被害防止 | 本人が自衛できる内容にします。 |
| 続報 | 本人・顧客・当局 | 実務上の更新 | 対象件数、情報項目、二次被害、補償等を更新します。 |
| 確報 | 個人情報保護委員会等 | 法令上の報告 | 30日または60日以内が目安です。原因と再発防止策を含めます。 |
| 最終報 | 顧客・社会・経営層 | 説明責任 | 確報後に追加調査や再発防止策の実装状況を示す場合があります。 |
文書の品質は文章力だけでなく、誰が事実を集め、誰が承認し、誰が記録を残すかで決まります。
危機時には、経営、取締役会、法務、外部専門家、コンプライアンス、情報セキュリティ、個人情報保護、広報、IR、経理、人事、知財、フォレンジック、コールセンターなどが連携します。役割が曖昧なまま初報を急ぐと、事実確認、承認、問い合わせ対応、記録管理が崩れやすくなります。
次の表は、主なロールと担当範囲を表しています。役割を前もって整理しておくと、発覚直後に誰へ連絡し、誰が文案を承認するかが明確になります。読者は、自社に足りない役割や外部専門家に委ねる範囲を読み取ってください。
| ロール | 主な役割 |
|---|---|
| 経営者・CEO | 方針決定、重大判断、対外責任を担います。 |
| 取締役会・監査役等 | 監督、重要事項の承認、経営責任の検討を担います。 |
| 法務・企業内弁護士 | 法令、契約、責任、証拠、公表文レビューを担います。 |
| 外部弁護士 | 独立した法的助言、訴訟・当局対応、調査設計を担います。 |
| コンプライアンス担当 | 規程、内部通報、再発防止、研修を担います。 |
| 情報セキュリティ・CSIRT | 技術調査、封じ込め、復旧、ログ保全を担います。 |
| 個人情報保護担当 | 漏えい等報告、本人通知、安全管理措置を担います。 |
| 広報・IR | メディア対応、ウェブ公表、FAQ、適時開示、投資家対応を担います。 |
| 経理・財務 | 業績影響、引当、保険、資金繰りを担います。 |
| 人事・労務 | 従業員対応、懲戒、職場環境措置を担います。 |
| 知財・弁理士 | 技術情報、営業秘密、特許・商標への影響を担います。 |
| 税理士・会計士 | 税務・会計影響、会計不正調査を担います。 |
| 司法書士・社労士 | 登記、会社法手続、労務管理、就業規則を担います。 |
| フォレンジック専門家 | デジタル証拠・会計証拠の保全と解析を担います。 |
| コールセンター | 顧客問い合わせ対応、FAQ運用を担います。 |
次の判断の流れは、緊急時の承認手順を表しています。通常の稟議では間に合わない場面が多いため、あらかじめ危機時の短い承認経路を設計しておくことが重要です。読者は、検知から発信、記録、続報管理までの順番を確認してください。
発覚日時、発覚経路、第一発見者を記録します。
重大性、法令報告、被害拡大、上場規則、契約通知を確認します。
法務、広報、担当部門、技術、個人情報、IR、経営を集めます。
確定事実と未確定事項を分け、ログや文書を保全します。
法務、外部専門家、個人情報、IR、技術、経営が確認します。
CEOまたは危機管理責任者が承認し、宛先、時刻、内容、承認者を記録します。
危機時に確認漏れを減らすため、各段階で見るべき項目を分けます。
次の一覧は、初報、続報、最終報のチェック項目を段階別に表しています。段階ごとに確認する項目を固定すると、文書の目的が混ざりにくくなります。読者は、初報では事実と期限、続報では差分と訂正、最終報では原因分析と再発防止を重点的に確認してください。
よくある疑問を、一般的な制度説明と実務上の注意点として整理します。
一般的には、一律の時間が決まっているわけではありません。個人情報漏えい等のように速報期限が示される分野もあれば、上場会社の適時開示のように直ちに開示するかが問題になる分野もあります。ただし、事案類型、法令・契約上の義務、被害拡大防止、証拠保全、秘密情報の有無によって判断が変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、初報で判明次第続報する旨を示した場合や、重要な進展、訂正、復旧遅延、顧客影響の継続がある場合には、続報を検討する必要があります。ただし、重要性の低い情報を過度に出すと混乱する可能性があります。事案の社会的関心、顧客影響、次回見通しによって判断が変わるため、具体的には専門家と確認することが重要です。
一般的には、同じではありません。個人情報保護委員会への確報は、法令上の報告実務における概念です。一方、対外的な最終報は、顧客、取引先、投資家、社会に対する説明責任を果たすための文書です。確報後に追加調査や再発防止策の実装状況を示す必要がある場合もあります。
一般的には、原因を完全に特定できない場合でも、最終報を出せることがあります。ただし、調査方法、調査範囲、判明した事実、原因特定に至らなかった理由、合理的に推定される原因、再発防止策、追加監視策を示すことが重要です。原因不明であることを理由に説明を止めるのではなく、具体的な調査経過と今後の対応を整理する必要があります。
一般的には、被害や迷惑が発生している場合、社会的・倫理的な謝意やお詫びを示すことが多いです。ただし、謝罪と法的責任の認諾は同じではありません。責任原因が未確定の場合は、法的責任を断定する表現を避けつつ、影響を受ける関係者への配慮を示す設計が必要です。
一般的には、現時点で本当に確認されていない場合には、その調査状況を示す表現として使われることがあります。ただし、「漏えいはない」と断定する表現とは意味が異なります。調査未了の場合は、現時点で確認されていないことと、引き続き調査していることを併せて示すのが安全な表現になりやすいです。
一般的には、一律に決められるものではありません。契約、事実確度、責任関係、顧客保護、再委託構造、営業秘密、名誉毀損、委託先の公表方針を検討する必要があります。被害者の自衛や適時開示上の必要性がある場合もありますが、初報で原因や責任を委託先に断定的に帰属させる表現には慎重さが求められます。
一般的には、同じ内容にはなりにくいです。社内向けには、情報管理、問い合わせ対応、証拠保全、SNS投稿抑制、顧客対応方針などの内部統制情報が含まれることがあります。社外向けには、公開してよい確定事実と関係者の自衛に必要な情報に絞る必要があります。
一般的には、内容によって位置づけが変わります。発覚直後に行う会見は初報、調査中の会見は続報、調査報告書公表時の会見は最終報に近いものになります。会見では質疑応答があるため、文書よりも不用意な断定が生じやすく、想定問答、回答権限、未確定事項の回答方針を準備する必要があります。
一般的には、重要な新事実が判明した場合は、追加報告または訂正報告を検討する必要があります。最終報は絶対に変更できない文書ではありません。新事実が重要部分に影響する場合は、訂正理由、再調査の有無、追加再発防止策を示すことが重要です。
危機時の表現は、事実の確度を示す道具です。曖昧さ、断定、抽象論を避け、検証可能な表現にします。
次の比較表は、悪い例と改善例を表しています。表現を比べることで、何が不足し、どの情報を足すと読者が判断しやすくなるかが分かります。読者は、対象、時期、影響、未確定事項、問い合わせ先、続報予定、原因階層、再発防止策の具体性を読み取ってください。
| 区分 | 悪い例 | 改善例の方向 |
|---|---|---|
| 初報 | 一部トラブルが発生しましたが、影響は軽微です。詳細は調査中です。 | 〇月〇日、〇〇サービスで一部ログインできない事象を確認し、原因、対象範囲、復旧見込みを確認中であること、登録情報への不正アクセスの有無も確認中であること、続報予定と窓口を示します。 |
| 続報 | 現在も調査中です。新たに判明した事項はありません。 | 第一報以降のログ調査により対象期間を絞り込んだこと、確認済み事項、未確定事項、個別連絡の予定を示します。 |
| 最終報 | 本件は担当者の確認不足が原因でした。今後はチェックを徹底します。 | 直接原因、承認手続の形骸化、システム上の警告機能不足、ヒヤリハット共有不足を分け、承認手続の二重化、自動警告、権限限定、ログ監査、研修の期限を示します。 |
次の表は、公表文の語尾と情報の確度の関係を表しています。語尾は読者にとって、事実が確定しているのか、可能性にとどまるのかを判断する手掛かりです。読者は、「ない」と「確認されていない」の違いを特に確認してください。
| 確度 | 推奨表現 | 例 |
|---|---|---|
| 確定 | 判明しました、確認しました | 対象件数は〇件と確認しました。 |
| 高い可能性 | 可能性が高いと判断しています | 外部からの不正アクセスの可能性が高いと判断しています。 |
| 可能性 | 可能性があります | 一部情報に影響した可能性があります。 |
| 未確認 | 現時点では確認されていません | 二次被害は現時点では確認されていません。 |
| 調査中 | 引き続き確認中です | 侵入経路は引き続き確認中です。 |
| 非公表 | 〇〇の観点から公表を差し控えます | 二次被害防止の観点から攻撃手法の詳細は公表を控えます。 |
初報・続報・最終報は、後日、訴訟、行政調査、株主対応、監査、保険請求、社内処分で参照されます。
初報・続報・最終報では、出した文書だけでなく、判断過程の記録も重要です。後日、「なぜその時点で初報を出したのか」「なぜ出さなかったのか」「なぜその表現にしたのか」を説明できる状態にしておく必要があります。
次の一覧は、危機対応で残すべき記録を表しています。記録があると、後日の行政調査、訴訟、監査、再発防止検証で判断の根拠を説明しやすくなります。読者は、発覚から公表、訂正、再発防止まで一連の証跡を残す点を確認してください。
発覚日時、発覚経路、初動対応の時系列、意思決定者、相談時刻、報告時刻を残します。
初報・続報・最終報の文案履歴、承認者、公表時刻、公表チャネル、訂正履歴を残します。
顧客・取引先への通知履歴、問い合わせ件数と回答内容、再発防止策の実施証跡を残します。
次の表は、公表しない判断を記録する際の確認項目を表しています。公表しないことも危機対応上の重要な判断であり、後から再評価が必要になる場合があります。読者は、出さない理由と再評価時点を必ず残す点を読み取ってください。
| 項目 | 記録する内容 |
|---|---|
| 公表しない理由 | 秘密情報、捜査、被害者保護、契約、交渉、二次被害などの理由を具体化します。 |
| 法定報告義務 | 報告義務の有無、根拠、宛先、期限を確認した記録を残します。 |
| 被害拡大防止 | 公表しない場合でも、個別連絡や注意喚起で足りるかを確認します。 |
| 相談状況 | 当局、警察、専門機関、外部専門家への相談状況を残します。 |
| 公表した場合のリスク | 攻撃者への情報提供、名誉・プライバシー侵害、営業秘密漏えいなどを記録します。 |
| 再評価時点 | 新事実、報道、SNS拡散、被害者増加、当局要請、取引先要請があった場合に再評価します。 |
| 承認者 | 判断した責任者、関与部門、承認時刻を残します。 |
次の比較表は、実務上の結論を3段階で整理したものです。最後に全体を戻って見ることで、どの段階でどの情報を出すべきかが確認できます。読者は、初報は基準点、続報は更新、最終報は組織学習という役割の違いを読み取ってください。
| 区分 | 目的 | 情報の確度 | 主な内容 | 避けること |
|---|---|---|---|---|
| 初報 | 認知、初動、注意喚起、期限遵守 | 低〜中 | 確定事実、影響可能性、初動対応、問い合わせ先 | 原因断定、責任断定、過小評価 |
| 続報 | 差分更新、訂正、進捗共有 | 中 | 新事実、訂正、影響範囲、復旧、次回予定 | 内容のない反復、矛盾、曖昧な訂正 |
| 最終報 | 総括、説明責任、再発防止 | 中〜高 | 原因、経緯、影響、対応、再発防止、残課題 | 抽象論、担当者責任への矮小化、非公表理由の不明確さ |
企業法務における危機管理の核心は、事実を隠さず、しかし未確定情報を断定せず、必要な相手に、必要な時期に、必要な粒度で、検証可能な形で伝えることです。初報・続報・最終報を設計できる企業は、事故や不祥事そのものを完全に防げない場合でも、被害拡大、二次被害、信用失墜、法令違反、訴訟リスクを抑えやすくなります。
制度・ガイドラインの確認に使った中立的な資料名を掲載します。リンクは設けていません。