2σ Guide

広報・法務・IT部門の
連携体制と統合ガバナンス

情報漏えい、サイバー攻撃、AIサービスの誤用、SNS炎上、適時開示、内部通報などに備え、平時の設計と有事の判断を一体で動かすための実務を整理します。

3〜5日 漏えい等速報の目安
72時間 重大インシデント初動
5段階 成熟度評価の軸
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

広報・法務・IT部門の 連携体制と統合ガバナンス

企業リスクを、技術・法務・社会的信頼の問題として同時に扱うための出発点です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
広報・法務・IT部門の 連携体制と統合ガバナンス
企業リスクを、技術・法務・社会的信頼の問題として同時に扱うための出発点です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 広報・法務・IT部門の 連携体制と統合ガバナンス
  • 企業リスクを、技術・法務・社会的信頼の問題として同時に扱うための出発点です。

POINT 1

  • 広報・法務・IT部門の連携体制の全体像
  • 企業リスクを、技術・法務・社会的信頼の問題として同時に扱うための出発点です。
  • 連携体制は企業価値を守る基盤です
  • 企業が直面するリスクは、単一部門だけで処理しにくくなっています。
  • 有事には、事実確認、証拠保全、被害拡大防止、規制当局対応、本人通知、取引先説明、メディア対応、再発防止を一体として進めます。

POINT 2

  • 広報・法務・IT部門の連携体制を定義する
  • 部門名ではなく、社会への説明、法的評価、技術的事実、証跡管理の機能で捉えます。
  • IT・セキュリティ
  • 広報は、プレスリリースを書く部署に限られません。
  • 法務は、契約書レビューや訴訟対応に限られません。

POINT 3

  • 広報・法務・IT部門の連携体制を支える制度
  • 1. 個人情報漏えい等の速報
  • 2. GDPRのデータ侵害通知:欧州データ保護法が関係する場合、全情報がそろわなくても段階的な通知を検討することがあります。
  • 3. 個人情報漏えい等の確報:通常は30日以内、不正目的のおそれがある場合は60日以内を目安に、原因、影響範囲、再発防止を整理します。
  • 4. 米国上場会社関係の開示検討:SECルールが関係する場合、重要なサイバーセキュリティインシデントについて開示判断と経営監督の説明が問題になります。

POINT 4

  • 広報・法務・IT部門の連携体制を設計する5原則
  • 事実
  • 単一の事実台帳、証拠保全、法的評価と説明責任の分離、権限、情報共有を整えます。

POINT 5

  • 広報・法務・IT部門の連携体制の組織設計とRACI
  • 1. 代表取締役・危機統括責任者:重大判断、資源配分、対外責任、取締役会報告を統括します。
  • 2. 意思決定班:経営、法務責任者、CISO、広報責任者、IR、事業責任者が方針を決めます。
  • 3. 技術対応班:CSIRT、SOC、システム、クラウド、外部フォレンジックが調査と復旧を担います。
  • 4. 法務・調査班:企業内弁護士、外部弁護士、コンプライアンス、内部監査が法的論点と調査を整理します。
  • 5. 広報・顧客対応班と証跡・事務局班:広報、CS、営業、IR、人事、Web担当が説明を担い、経営企画、総務、文書管理が記録と決裁を管理します。

POINT 6

  • 広報・法務・IT部門の連携体制で平時に整える文書と仕組み
  • 1. インシデント受付窓口:24時間の受付先を設け、メール、電話、チケットなどの入口を明確にします。
  • 2. CSIRT当番・法務当番・広報当番:個人情報保護責任者も含め、初動で必要な機能を同時に呼び出します。
  • 3. CISO・法務責任者・広報責任者・IR責任者:重大度、対外発信、開示、外部専門家起用を判断します。
  • 4. 担当役員・代表取締役・監査役等:取締役会、監査役・監査等委員、社外取締役への報告要否を確認します。
  • 5. 外部専門家・保険会社・警察・当局:外部弁護士、フォレンジック、保険会社、PR会社、JPCERT/CC、警察、規制当局へ接続します。

POINT 7

  • 広報・法務・IT部門の連携体制による72時間対応
  • 1. 検知・隔離・受付:IT/CSIRTが検知、隔離、受付を行い、法務・広報へ予備連絡し、経営へ必要に応じて一次報告します。
  • 2. ログ保全・影響仮説:ITがログを保全し、法務が報告義務仮説と証拠保全指示を整理し、広報が問い合わせ一時回答を準備します。
  • 3. 事実台帳と役員報告:影響システムを整理し、外部弁護士やフォレンジックの要否を判断し、社内周知案と役員報告を準備します。
  • 4. 法的義務・対外方針の仮整理:影響データ、個人データ、要配慮情報、契約通知、当局報告、本人通知、適時開示、公表要否を整理します。
  • 5. 速報・通知準備:個人情報漏えい等の速報、警察相談、公表、問い合わせ対応、IR・金融機関対応、続報・FAQ更新を進めます。
  • 6. 続報・復旧・再発防止:追加事実、影響範囲、本人が取るべき措置、復旧状況、再発防止、補償・支援策、体制見直しを更新します。

POINT 8

  • 広報・法務・IT部門の連携体制が必要な場面別実務
  • 個人情報、ランサムウェア、SNS、内部通報、AI、M&A・IPO、通知文、証拠管理を横断します。
  • 第一報プレスリリースの型
  • 本人通知文の型
  • 典型場面ごとの連携実務では、どの部門が前面に出るかは変わります。

まとめ

  • 広報・法務・IT部門の 連携体制と統合ガバナンス
  • 広報・法務・IT部門の連携体制の全体像:企業リスクを、技術・法務・社会的信頼の問題として同時に扱うための出発点です。
  • 広報・法務・IT部門の連携体制を定義する:部門名ではなく、社会への説明、法的評価、技術的事実、証跡管理の機能で捉えます。
  • 広報・法務・IT部門の連携体制を支える制度:会社法、個人情報、適時開示、公益通報、AI・クラウドの制度を一体で確認します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

広報・法務・IT部門の連携体制の全体像

企業リスクを、技術・法務・社会的信頼の問題として同時に扱うための出発点です。

企業が直面するリスクは、単一部門だけで処理しにくくなっています。情報漏えい、サイバー攻撃、AIサービスの誤用、SNS炎上、景品表示法・薬機法・金融商品取引法上の表示問題、内部通報、不祥事調査、上場会社の適時開示、海外子会社のデータ事故、クラウド委託先の障害は、技術的事象であると同時に、法的事象であり、社会的説明責任の問題でもあります。

このページでいう広報・法務・IT部門の連携体制とは、広報、法務、IT・情報セキュリティ、経営、コンプライアンス、内部監査、個人情報保護、IR、人事、事業部門、外部専門家が、平時から共通の判断基準・権限・証跡・連絡経路・公表方針を持つ仕組みです。有事には、事実確認、証拠保全、被害拡大防止、規制当局対応、本人通知、取引先説明、メディア対応、再発防止を一体として進めます。

優れた連携体制は、有事に集まる会議ではありません。誰が、どの情報を、いつ、どの権限で、どの言葉で、誰に伝えるかを平時から決めておく内部統制システムです。

次の重要ポイントは、連携体制が単なる危機対応マニュアルではなく企業統治そのものを支えることを表しています。経営・法務・IT・広報のどこか一つだけで判断しないことが重要であり、各部門が同じ事実と同じ期限を見て動く必要があると読み取れます。

連携体制は企業価値を守る基盤です

個人情報保護委員会の漏えい等報告、東京証券取引所の適時開示実務、経済産業省・IPAのサイバーセキュリティ経営ガイドライン、JPCERT/CCのCSIRT資料、NIST CSF 2.0、NIST SP 800-61 Rev.3、公益通報者保護制度、AI事業者ガイドラインを踏まえると、部門横断の設計は経営課題として扱う必要があります。

次の比較表は、ランサムウェアで顧客データベースが暗号化され、データ窃取も疑われる場面で同時に動く論点を表しています。読者にとって重要なのは、同じ出来事でも担当部門ごとに見るべきリスクが異なる点です。各行から、どの部門がどの情報を早期に共有すべきかを読み取れます。

領域主な論点
IT・セキュリティ侵入経路、ログ保全、封じ込め、復旧、バックアップ、脆弱性対応、脅威アクター分析を確認します。
法務個人情報保護法上の報告対象事態、委託先・委託元責任、契約上の通知義務、損害賠償、証拠保全、警察・当局対応を整理します。
広報公表時期、公表文、顧客説明、問い合わせ窓口、SNS対応、メディア質疑、ブランド毀損の抑制を設計します。
経営事業継続、取締役会報告、費用、保険、株主・金融機関対応、経営責任を判断します。
IR・開示上場会社では、適時開示、投資家向け説明、重要事実・未公表情報管理を検討します。
内部監査・統制事故前の管理状況、再発防止策、監査証跡、取締役会監督を検証します。

広報だけが先に調査中と発表し、法務が報告対象事態を未判断のままにし、ITがログ保全前にサーバを初期化すると、企業は技術面でも法務面でも説明面でも不利になり得ます。反対に、法務がリスク回避を重視しすぎて公表を極端に遅らせ、顧客に二次被害が出れば、社会的信頼は急速に失われます。

次の比較表は、危機時の発信で正確さと速さを両立させるための情報分類を表しています。重要なのは、すべてを一度に断定するのではなく、確認済み事実、調査中事項、推測、法的評価を分けることです。各行から、外部発信してよい情報と内部で管理すべき情報の違いを読み取れます。

情報の種類公表・共有の考え方
確認済み事実可能な範囲で明確に述べます。何月何日に不正アクセスを検知した、など事実を中心にします。
調査中の事項断定せず、調査対象と今後の更新方針を示します。漏えいの有無・範囲は調査中、などと整理します。
推測・仮説原則として外部発信しません。内部でも仮説であることを明示します。
法的評価法務・外部専門家と整理し、責任を過度に認めたように見える表現を避けます。
技術的詳細攻撃者を利する情報を避け、被害防止に必要な範囲で説明します。
被害者保護情報顧客・本人が自分を守るために必要な措置を優先して伝えます。
Section 01

広報・法務・IT部門の連携体制を定義する

部門名ではなく、社会への説明、法的評価、技術的事実、証跡管理の機能で捉えます。

広報は、プレスリリースを書く部署に限られません。企業が社会、顧客、取引先、従業員、投資家、行政、地域社会、メディアに対して、何を、いつ、どの言葉で、どのチャネルで説明するかを設計し、信頼を維持する機能です。危機時には、報道対応、SNS監視、問い合わせ窓口、社内向けメッセージ、顧客メール、Web掲載、IRとの整合、役員コメント作成が含まれます。

法務は、契約書レビューや訴訟対応に限られません。法令、契約、規程、取締役の善管注意義務、説明責任、行政対応、証拠保全、損害賠償、刑事リスク、個人情報保護、労務、知財、独禁法、景表法、業法に抵触しないよう企業活動を設計し、紛争発生時には権利と義務を整理する機能です。

IT部門は、情報システム部、CISO、セキュリティ部門、CSIRT、SOC、クラウド管理者、ネットワーク担当、開発部門、データ基盤担当を含みます。システム運用だけでなく、ログ、権限、脆弱性、暗号化、バックアップ、監視、ID管理、クラウド設定、委託先管理、インシデント対応、デジタルフォレンジック、復旧計画を担います。

次の一覧は、広報・法務・ITの3機能が危機時に何を支えるかを表しています。部門間の待ち時間を減らすには、それぞれの専門機能を先に理解しておくことが重要です。各項目から、どの情報をどの機能に渡すべきかを読み取れます。

Public

広報

事実に基づき、相手の不安を減らし、二次被害を防ぎ、説明責任を果たす機能です。沈黙が不信に変わる時点や、誤解を招く表現を評価します。

Legal

法務

事実認定と法的評価を分けます。漏えい、漏えいのおそれ、第三者アクセスの痕跡、報告対象事態の可能性など、似た表現の法的意味を整理します。

Tech

IT・セキュリティ

技術的事実の源泉です。どのデータに誰がアクセスできたか、いつ異常通信があったか、バックアップが改ざんされていないかを確認します。

次の比較表は、連携体制を人間関係の良さではなく、文書化・訓練・改善すべき5要素として整理したものです。読者にとって重要なのは、連携が曖昧な協力依頼ではなく、権限と証跡を伴う内部統制である点です。各要素から、平時に何を決めておくべきかを読み取れます。

要素内容
権限事故判定、公表、外部専門家起用、サービス停止、当局報告の決裁者を定めます。
情報事実、証拠、ログ、顧客影響、法的評価、広報文案を一元管理します。
手順初動、エスカレーション、報告、通知、公表、復旧、事後検証の順番を決めます。
証跡誰が、いつ、何を知り、どう判断したかを記録します。
訓練机上演習、模擬記者会見、個人情報漏えい訓練、CSIRT演習、役員報告演習を行います。
Section 03

広報・法務・IT部門の連携体制を設計する5原則

単一の事実台帳、証拠保全、法的評価と説明責任の分離、権限、情報共有を整えます。

危機対応で最初に崩れやすいのは情報の一貫性です。広報は取材対応表を持ち、法務は論点メモを持ち、ITはインシデントチケットを持ち、経営は役員報告資料を持つ状態では、同じ会社の中に複数の事実が生まれます。

次の比較表は、法務・広報・ITが同じ情報を参照するための事実台帳の項目を表しています。読者にとって重要なのは、速報段階でも未判明、合理的な最大値、確認済みを区別して管理する点です。各項目から、何を一元管理すべきかを読み取れます。

項目記載内容
事案番号年月日、分類、重大度を記録します。
検知日時・発覚日時誰が何を検知したかと、法令上の期限計算に関係する知った時点を分けます。
影響システムサーバ、クラウド、端末、SaaS、委託先などを整理します。
影響データ・人数個人データ、営業秘密、決済情報、従業員情報、機微情報、確認済み人数、最大見込み、調査中を分けます。
技術的状況侵入経路、封じ込め、復旧、ログ保全を記録します。
法的評価報告対象事態、契約通知、業法、開示、訴訟リスクを整理します。
対外発信・決裁公表文、FAQ、本人通知、取引先通知、IR資料と、承認者・承認時刻を残します。

次の判断の流れは、初動で証拠を壊さず、被害拡大防止と法的説明を両立させる順番を表しています。重要なのは、復旧を急ぐ判断と証拠保全の判断を同じ場で調整することです。分岐から、単独部署で端末初期化やログ削除を決めないことを読み取れます。

初動判断の順番

異常検知

不正アクセス、誤送信、SNS炎上、内部通報などを受付窓口で受けます。

事実と証拠の保全

ログ、端末、メール、チャット、クラウド監査ログを確保します。

個人情報・営業秘密・未公表情報が関係しますか

法務、IT、広報、必要に応じてIRと同時に確認します。

はい
重大インシデントとして扱います

外部専門家、当局報告、本人通知、開示、公表方針を並行して検討します。

いいえ
限定対応として記録します

再発防止、問い合わせ対応、社内教育への反映を行います。

法務は法的義務を見ます。広報は説明しなければ信頼を失うかを見ます。両者は一致しないことがあります。たとえば、報告対象事態に該当しない軽微なメール誤送信でも、重要顧客や本人不安が大きい場合は丁寧な個別説明が必要になることがあります。

次の一覧は、法的評価と社会的説明を混同しないための4層を表しています。読者にとって重要なのは、義務の有無だけで外部発信の要否を決めない点です。上から順に、事実、義務、説明の必要性、表現方法を分けて検討することを読み取れます。

Layer 1

事実

何が起きたかを確認します。推測や評価を混ぜず、検知日時、影響範囲、調査中事項を分けます。

Layer 2

法的義務

報告、通知、公表、開示、契約通知が必要かを整理します。

Layer 3

社会的必要性

義務がなくても、顧客・取引先・従業員・投資家へ説明すべきかを検討します。

Layer 4

表現方法

正確で、誤解を招かず、二次被害を防げる言葉に整えます。

次の比較表は、平時に権限を定めるべき判断事項を表しています。重要なのは、有事に誰が決めるのかを議論し始めないことです。各行から、決裁者と関与者を事前に定めるべき領域を読み取れます。

判断事項推奨される決裁・関与
重大インシデント認定CISO、法務責任者、危機管理責任者、担当役員が関与します。
外部専門家起用外部弁護士は法務責任者・GC・担当役員、フォレンジックはCISO・法務責任者・情報システム責任者が判断します。
サービス停止事業責任者、CISO、経営、法務が、被害拡大防止と事業継続を比較します。
当局報告・本人通知個人情報保護責任者、法務、CISO、経営、広報、カスタマーサポートが連携します。
プレスリリース・適時開示広報、法務、経営、IR、経理、取締役会または代表者が関与します。
警察・専門機関相談CISO、法務、危機管理責任者が相談要否と情報共有範囲を決めます。

次の比較表は、情報共有を広くではなく正しく行うための層別化を表しています。読者にとって重要なのは、全社周知と極秘情報を混ぜないことです。各レベルから、共有対象に合わせて情報量と表現を変える必要があると読み取れます。

レベル共有対象内容
極秘経営、法務、CISO、外部専門家侵入経路、攻撃者、未公表重要事実、個人名、通報者情報を扱います。
限定共有広報、IR、CS、事業責任者、人事、内部監査対応方針、顧客影響、問い合わせ回答、再発防止概要を共有します。
社内周知全従業員問い合わせ窓口、SNS投稿禁止、未確認情報の外部発信禁止を伝えます。
外部公表顧客、取引先、投資家、メディア確認済み事実、影響、対応、問い合わせ先、今後の更新方針を示します。
Section 04

広報・法務・IT部門の連携体制の組織設計とRACI

平時の統合リスク委員会、有事の危機対策本部、3ラインモデル、RACIで責任の空白を減らします。

平時には、広報・法務・IT部門の連携体制を統合リスク委員会または情報リスク・レピュテーション委員会として制度化する方法があります。月次または四半期で、重大インシデント訓練、リスク登録簿、委託先リスク、AI利用状況、個人情報管理、広報炎上リスク、内部通報傾向、監査指摘をレビューします。

次の比較表は、平時の委員会に参加する機能と主な役割を表しています。重要なのは、法務・広報・ITだけで閉じず、経営、IR、個人情報、監査、人事、事業部門、外部専門家を必要に応じて接続する点です。各行から、誰を定例レビューに入れるべきかを読み取れます。

参加者主な役割
経営責任者・担当役員リスク許容度、資源配分、最終判断を担います。
法務責任者・企業内弁護士法令、契約、訴訟、証拠保全、当局対応を整理します。
外部弁護士重大案件、訴訟、海外法、不祥事調査、開示判断を助言します。
広報責任者公表方針、メディア対応、SNS、社内外メッセージを設計します。
IR責任者投資家対応、適時開示、未公表重要情報管理を担います。
CISO・IT責任者セキュリティ対策、ログ、復旧、CSIRT運用を担います。
個人情報保護責任者個人情報保護法、本人通知、委託先管理を確認します。
内部監査責任者統制評価、独立的保証、改善提言を行います。
人事・事業・経理・知財労務、顧客影響、財務影響、営業秘密、知財、現場実装を補います。

次の判断の流れは、有事の危機対策本部を大人数の会議にせず、意思決定、技術対応、法務・調査、広報・顧客対応、証跡管理に分ける考え方を表しています。読者にとって重要なのは、同じ会議体に全員を集めるより、役割ごとの成果物を明確にすることです。上から下へ、誰が統括し、どの班が何を担当するかを読み取れます。

危機対策本部の分担

代表取締役・危機統括責任者

重大判断、資源配分、対外責任、取締役会報告を統括します。

意思決定班

経営、法務責任者、CISO、広報責任者、IR、事業責任者が方針を決めます。

技術対応班

CSIRT、SOC、システム、クラウド、外部フォレンジックが調査と復旧を担います。

法務・調査班

企業内弁護士、外部弁護士、コンプライアンス、内部監査が法的論点と調査を整理します。

広報・顧客対応班と証跡・事務局班

広報、CS、営業、IR、人事、Web担当が説明を担い、経営企画、総務、文書管理が記録と決裁を管理します。

次の比較表は、3ラインモデルを本テーマに当てはめたものです。重要なのは、広報・法務・ITの連携が第2ラインだけの話ではない点です。各ラインから、現場、支援・監視、独立保証、取締役会監督がどのように接続するかを読み取れます。

ライン役割本テーマでの例
第1ライン事業部門がリスクを所有し、日常業務で統制を実施します。サービス開発、顧客対応、広告制作、データ入力、AI利用です。
第2ライン法務、コンプライアンス、リスク、情報セキュリティ、個人情報保護が基準を作り支援・監視します。規程、レビュー、教育、モニタリング、リスク評価です。
第3ライン内部監査が独立的に保証・助言します。体制監査、インシデント後監査、委託先管理監査です。
統治機関取締役会・監査役等が監督します。リスク許容度、重大事故報告、改善計画承認です。

RACIは、業務ごとにResponsible、Accountable、Consulted、Informedを整理する手法です。次の比較表は、平時の代表業務で責任の空白と重複を防ぐための分担を表しています。読者にとって重要なのは、A/Rが集中しすぎる業務や、C/Iだけで実行責任者が見えない業務を早期に見つけることです。各列から、自社の実態とずれている箇所を読み取れます。

業務広報法務IT/CSIRT経営内部監査事業部門
個人情報管理規程CA/RCICC
セキュリティポリシーCCA/RICC
危機広報マニュアルA/RCCICC
インシデント対応手順CCA/RICC
AI利用ルールCA/RR/CICC
クラウド委託先審査ICA/RICR
重大リスク訓練RRRACC
内部通報制度CA/RCICI
適時開示プロセスCRCACI
監査・レビューICCIA/RC

次の比較表は、個人情報漏えい・サイバー攻撃時の有事RACIを表しています。重要なのは、ITが検知と影響範囲を担い、法務が報告・通知を担い、広報が説明を担いつつ、最終責任や承認を経営が持つ場面を明確にすることです。各行から、有事の電話一本目を誰に入れるべきかを読み取れます。

業務広報法務IT/CSIRT経営外部弁護士フォレンジックCS/営業
インシデント検知IIA/RIICI
初動トリアージCCA/RICCI
証拠保全IA/CRICRI
影響範囲特定CCA/RICRC
報告対象事態判断IA/RCICCI
当局報告IA/RCICCI
本人通知・取引先通知R/CA/CCICIR
プレスリリースA/RCCI/ACIC
適時開示・復旧判断CR/CR/CACC/IC/I
事後検証CCRICCC

RACIは一度作って終わりではありません。訓練で、休日夜間に誰が電話に出るのか、海外子会社は誰が統括するのか、経営承認が得られない時間帯にどこまで仮決裁できるのかを検証し、更新します。

Section 05

広報・法務・IT部門の連携体制で平時に整える文書と仕組み

規程、エスカレーション、連絡網、テンプレート、外部専門家を事前に準備します。

平時の準備では、担当者の善意に頼らず、文書、窓口、連絡網、テンプレート、外部専門家の起用基準を用意します。特に、従業員が大したことではないと判断して報告しないことが最大のリスクになり得ます。

次の一覧は、最低限整えるべき文書を機能別に表しています。読者にとって重要なのは、危機時の文書を事故後に作るのではなく、平時に更新責任者まで決める点です。各項目から、自社にない規程や古い規程を洗い出せます。

01

情報セキュリティ基本方針

経営方針、責任者、適用範囲、教育、監査を定めます。

経営監査
02

個人情報保護規程

取得、利用、第三者提供、委託、漏えい対応、本人対応を定めます。

個人情報
03

インシデント対応規程

重大度、初動、証拠保全、報告、復旧、再発防止を定めます。

IT有事
04

危機広報マニュアル

公表基準、承認経路、Q&A、記者対応、SNS対応を定めます。

広報
05

適時開示手順

重要事実、未公表情報管理、決裁、TDnet、IR連携を定めます。

IR
06

内部通報規程

通報受付、従事者指定、守秘、調査、是正、報復禁止を定めます。

通報
07

AI利用ポリシー

入力禁止情報、利用可能ツール、出力確認、知財・個人情報を定めます。

AI
08

クラウド・委託先管理規程

セキュリティ審査、契約条項、再委託、事故通知、監査権を定めます。

委託先
09

証拠保全・リーガルホールド手順

ログ、メール、端末、チャット、クラウドデータの保全を定めます。

証拠
10

役員報告基準

重大インシデント、当局報告、開示、訴訟、報道化の基準を定めます。

取締役会

次のチェックリストは、直ちに連携窓口へ報告すべき代表的な兆候を表しています。重要なのは、確定後ではなく可能性の段階で共有することです。各項目から、現場が迷わず報告できる基準を読み取れます。

報告すべき兆候連携が必要な理由
個人情報、決済情報、認証情報、健康情報、未公表決算情報、営業秘密が外部に出た可能性があります。法令報告、契約通知、本人保護、公表方針が同時に問題になります。
ランサムウェア、マルウェア、不正アクセス、アカウント乗っ取り、クラウド設定ミスが疑われます。ログ保全、封じ込め、復旧、当局報告、顧客説明の順番を整える必要があります。
メディア、SNS、取引先、行政、警察、JPCERT/CC等から問い合わせ・通報を受けました。単独回答で矛盾が出ないよう、広報・法務・ITで回答線をそろえます。
内部通報に役員、管理職、品質偽装、粉飾、贈収賄、ハラスメント、個人情報、競争法違反が含まれます。調査独立性、通報者保護、証拠保全、外部専門家起用を検討します。
公表済み情報と異なる事実、顧客の二次被害、業績・事業継続・株価への影響が見えます。続報、訂正、適時開示、取締役会報告を検討します。

次の時系列は、名前ではなく機能で作る連絡網を表しています。読者にとって重要なのは、異動、退職、休暇、深夜休日でも機能する連絡経路を用意することです。上から順に、一次受付から外部連絡までのつなぎ方を読み取れます。

一次連絡

インシデント受付窓口

24時間の受付先を設け、メール、電話、チケットなどの入口を明確にします。

二次連絡

CSIRT当番・法務当番・広報当番

個人情報保護責任者も含め、初動で必要な機能を同時に呼び出します。

三次連絡

CISO・法務責任者・広報責任者・IR責任者

重大度、対外発信、開示、外部専門家起用を判断します。

経営報告

担当役員・代表取締役・監査役等

取締役会、監査役・監査等委員、社外取締役への報告要否を確認します。

外部連絡

外部専門家・保険会社・警察・当局

外部弁護士、フォレンジック、保険会社、PR会社、JPCERT/CC、警察、規制当局へ接続します。

危機時にゼロから文章を作ることは危険です。第一報、続報、本人通知、取引先通知、FAQ、コールセンタースクリプト、社内周知、役員報告、当局報告メモ、適時開示案、SNS投稿方針、記者会見想定問答を用意しておくと、項目漏れを減らせます。ただし、テンプレートは事案固有の被害、相手の不安、法的制約を反映して修正する必要があります。

Section 06

広報・法務・IT部門の連携体制による72時間対応

検知から速報・通知準備まで、事実と証拠を守りながら期限に対応します。

有事対応の初動では、情報を広く集めることより、必要最小限の関係者で事実と証拠を守りながら被害拡大を止めることが重要です。内部文書でも、漏えい、流出、侵害といった言葉を安易に使わず、不正アクセスの可能性、第三者閲覧可能状態、外部送信の痕跡、影響範囲調査中など、事実に即した表現にします。

次の時系列は、重大インシデント発生時の72時間対応を表しています。読者にとって重要なのは、IT、法務、広報、経営・IRが同時並行で動き、どの時間帯でも証拠保全と対外説明を切り離さないことです。上から順に、初動で何を優先するかを読み取れます。

0〜1時間

検知・隔離・受付

IT/CSIRTが検知、隔離、受付を行い、法務・広報へ予備連絡し、経営へ必要に応じて一次報告します。

1〜3時間

ログ保全・影響仮説

ITがログを保全し、法務が報告義務仮説と証拠保全指示を整理し、広報が問い合わせ一時回答を準備します。

3〜6時間

事実台帳と役員報告

影響システムを整理し、外部弁護士やフォレンジックの要否を判断し、社内周知案と役員報告を準備します。

6〜24時間

法的義務・対外方針の仮整理

影響データ、個人データ、要配慮情報、契約通知、当局報告、本人通知、適時開示、公表要否を整理します。

24〜72時間

速報・通知準備

個人情報漏えい等の速報、警察相談、公表、問い合わせ対応、IR・金融機関対応、続報・FAQ更新を進めます。

72時間以降

続報・復旧・再発防止

追加事実、影響範囲、本人が取るべき措置、復旧状況、再発防止、補償・支援策、体制見直しを更新します。

次の比較表は、24〜72時間で整理すべき具体的な確認項目を表しています。重要なのは、報告・通知・開示の判断を技術調査の完了後まで待ちすぎないことです。各行から、同じ会議で確認すべき質問を読み取れます。

確認項目主な確認先判断に使う情報
どのシステムが影響を受けたかIT/CSIRT対象システム、SaaS、端末、クラウド、委託先を確認します。
どのデータが関係するかIT、事業、個人情報保護担当個人データ、要配慮情報、認証情報、決済情報、営業秘密を分けます。
漏えい等またはそのおそれか法務、IT第三者アクセスの痕跡、外部送信、閲覧可能状態、ログ欠落を確認します。
契約通知義務があるか法務、事業委託元・委託先、事故通知条項、秘密保持条項、監査条項を確認します。
当局報告・本人通知・警察相談が必要か法務、個人情報保護担当、CISO報告対象事態、二次被害、本人通知方法、専門機関相談を確認します。
適時開示や公表が必要かIR、広報、法務、経営業績影響、事業継続、株価、投資判断、顧客不安、報道可能性を確認します。

次の比較表は、72時間以降の続報で整理する事項を表しています。読者にとって重要なのは、第1報ではなく続報で信頼が評価される点です。各行から、原因究明前の形式的な再発防止策で終わらせないための確認項目を読み取れます。

続報で整理する項目説明の観点
追加で判明した事実前回発表から何が更新されたかを明確にします。
影響範囲の更新対象者、対象データ、最大見込み、確認済み範囲を分けます。
本人・顧客が取るべき措置不正利用監視、パスワード変更、問い合わせ窓口など、被害防止に役立つ情報を優先します。
復旧状況サービス再開見込み、代替手段、残る制約を説明します。
再発防止策原因、統制不備、責任部署、期限、検証方法まで落とし込みます。
外部相談・体制見直し監督官庁、警察、専門機関、外部専門家、経営責任、処分の有無を整理します。
Section 07

広報・法務・IT部門の連携体制が必要な場面別実務

個人情報、ランサムウェア、SNS、内部通報、AI、M&A・IPO、通知文、証拠管理を横断します。

典型場面ごとの連携実務では、どの部門が前面に出るかは変わります。しかし、どの場面でも、事実確認、法的評価、技術的確認、相手方への説明、証跡管理は分離できません。

次の比較表は、代表的な場面と連携の要点を表しています。読者にとって重要なのは、場面ごとに主担当が違っても、確認すべき事実と説明の整合性は共通する点です。各行から、自社で起きやすい場面の初動担当を読み取れます。

場面連携の要点
個人情報漏えいITが漏えいの有無を技術的に調査し、法務が報告対象事態を判断し、広報が本人・社会に何を伝えるかを設計します。個人データ、漏えい等またはそのおそれ、要配慮個人情報、財産的被害、不正目的、1,000人超、委託関係、本人通知方法を確認します。
ランサムウェア・サイバー攻撃復旧、身代金、情報窃取、業務停止、顧客通知、警察相談、保険、取引先契約、海外法が絡みます。身代金支払いは経営、法務、CISO、外部専門家、保険会社、必要に応じて警察等と協議します。
SNS炎上・広告表示問題投稿・広告の事実確認、景表法・薬機法・金商法・業法、投稿削除・修正、Webログ・改ざん有無、インフルエンサー契約、謝罪・訂正・再発防止を確認します。
内部通報・不祥事調査守秘、独立性、証拠保全、調査対象者の権利、通報者保護、是正措置、懲戒、人事、広報を整理します。役員・経営層が関与する可能性があれば、社外取締役、監査役、外部専門家、第三者委員会等を検討します。
AI・生成AI利用機密情報入力、個人情報入力、誤情報生成、著作権侵害、差別・偏り、AI広告・レコメンドのリスクを、IT・法務・広報・知財・個人情報保護担当で管理します。
M&A・IPO・重要プロジェクトNDA、インサイダー情報管理、VDRアクセス権、ログ、二要素認証、ダウンロード制限、リーク時のコメント方針、報道対応、投資家対応を準備します。

次の比較表は、ランサムウェア・サイバー攻撃での役割分担を表しています。重要なのは、技術復旧だけでなく、契約通知、警察相談、保険、顧客説明、投資家対応を同時に進める点です。各機能から、誰がどの成果物を出すかを読み取れます。

機能主な対応
IT/CSIRT隔離、ログ保全、バックアップ確認、復旧、EDR、脅威分析を行います。
法務報告義務、契約通知、警察相談、制裁リスク、保険、身代金判断支援を整理します。
広報サービス停止告知、顧客説明、FAQ、記者対応を設計します。
経営事業継続、費用、取締役会報告、対外責任を判断します。
フォレンジック侵入経路、窃取有無、時系列、報告書を作成します。
IR業績・開示影響、投資家対応を確認します。

次の比較表は、公表文で避けたい表現と代替表現を表しています。読者にとって重要なのは、安心させようとする一文が、調査未了の断定や責任逃れに見える場合がある点です。各行から、確認済み事実と調査中事項を分けた言い方を読み取れます。

避けたい表現問題点代替表現
万全を期していた実際に事故が起きており、空疎に見えることがあります。当社の管理に不十分な点がなかったか調査しています。
外部業者の責任責任転嫁に見え、委託元責任が残る場合があります。委託先と連携し、事実関係を確認しています。
漏えいはありません調査未了なら断定が過剰になります。現時点で漏えいを示す事実は確認されていません。
被害はありません被害の範囲が曖昧です。金銭被害の申告は確認されていません。
詳細は控えます、だけ隠蔽に見える可能性があります。攻撃者を利するおそれのある技術的詳細は控えますが、影響範囲と対応は更新します。

本人通知では、企業の都合よりも本人が自分を守るために必要な情報を優先します。何が起きたか、どの情報が関係する可能性があるか、いつ起きていつ判明したか、二次被害の有無、本人が取るべき措置、問い合わせ窓口、追加連絡の有無を分かりやすく示します。

取引先通知では、契約上の事故通知条項、秘密保持条項、再委託条項、監査条項、損害賠償条項を確認します。事案概要、取引先データへの影響、取引先が実施すべき措置、今後の調査・報告予定、問い合わせ担当、秘密保持・再公表の扱い、顧客向け説明との整合性を整理します。

次の比較表は、証拠保全の対象を表しています。読者にとって重要なのは、ITログだけでなく、広報文案や意思決定記録も後日の訴訟・行政調査・第三者委員会で問題になり得る点です。各行から、どの資料を削除・改変しないよう保全すべきかを読み取れます。

種類
システムログ認証ログ、アクセスログ、通信ログ、EDR、SIEM、WAFです。
クラウドログIAM、監査ログ、ストレージアクセス、管理者操作です。
端末PC、スマホ、USB、外付けディスクです。
通信メール、チャット、Web会議、チケット、SMSです。
業務文書契約、仕様書、手順書、教育記録、監査報告です。
広報資料プレスリリース案、FAQ、社内周知、SNS投稿案です。
意思決定記録会議録、承認記録、役員報告、時系列記録です。

リーガルホールドでは、訴訟、行政調査、第三者委員会、不祥事調査が見込まれる場合に、関連資料を削除・改変しないよう保全指示を出します。対象者、対象期間、対象データ、削除停止の方法、バックアップ保全、クラウド・SaaSのエクスポート、外部専門家との連携、保全完了の証跡を明確にします。

第一報プレスリリースの型

第一報は、調査未了の断定を避けつつ、確認済み事実、現在の対応、問い合わせ窓口、今後の更新方針を示すことが重要です。次の型は、その順番を表しています。

  1. 表題を置きます。
  2. 発生事実の概要を示します。
  3. 判明経緯を説明します。
  4. 影響範囲を、確認済みと調査中に分けます。
  5. 原因または調査状況を示します。
  6. 現在の対応を説明します。
  7. 対象者へのお願いを明記します。
  8. 再発防止策を、原因究明後の更新予定と合わせて示します。
  9. 問い合わせ窓口を示します。
  10. 今後の更新方針を示します。

本人通知文の型

本人通知は、本人が自分を守るために必要な情報を優先して構成します。一般的には、発生事象、対象となる可能性のある情報、判明経緯、二次被害の有無、会社の対応、本人にお願いしたい事項、問い合わせ窓口、追加連絡の予定を順番に示します。ただし、具体的な通知内容は事案の性質や法令・契約により変わるため、法務や専門家の確認が必要です。

Section 08

広報・法務・IT部門の連携体制を点検するKPI・KRI・チェックリスト

数値、監査、取締役会報告、中小企業の最小構成、よくある失敗まで確認します。

連携体制は、作っただけでは機能しません。重大インシデント初動招集時間、速報判断時間、影響範囲一次特定時間、訓練実施回数、テンプレート更新頻度、委託先事故通知条項整備率、AI利用申請・審査件数、内部通報対応期限遵守率などで運用状況を測ります。

次の比較表は、KPIとKRIの代表例を表しています。読者にとって重要なのは、対応の速さだけでなく、ログ保存期間不足や承認外SaaS利用などの兆候も監視することです。各行から、成果指標とリスク兆候を分けて管理する必要があると読み取れます。

種類意味
KPI重大インシデント初動招集時間検知から法務・広報・ITが揃うまでの時間を測ります。
KPI速報判断時間報告対象事態かの初期判断までの時間を測ります。
KPI訓練実施回数・テンプレート更新頻度机上演習、模擬会見、CSIRT演習、法改正や体制変更の反映状況を確認します。
KPI委託先事故通知条項整備率・AI利用申請件数重要委託先契約の事故通知・監査条項と、シャドーAI抑止の状況を測ります。
KRI高権限アカウント棚卸未実施・ログ保存期間不足権限濫用、不正アクセス、事故調査不能、法的説明不能のリスクを示します。
KRI委託先の再委託不明・承認外SaaS利用増加サプライチェーン、シャドーIT、データ漏えいのリスクを示します。
KRI広報・法務レビュー未経由の広告増加・教育未受講率表示、炎上、業法、誤送信、AI誤用、通報制度不備のリスクを示します。
KRI内部通報の特定部署集中組織風土や管理職問題の兆候を示します。

次の比較表は、成熟度を5段階で評価する方法を表しています。重要なのは、現状を責めるためではなく、次の改善対象を決めるために使う点です。各レベルから、自社がどの段階にあり、何を次に整えるべきかを読み取れます。

レベル状態課題
1 属人型担当者同士の個人的連絡で対応します。異動、退職、休日に崩れます。
2 手順型マニュアルはありますが訓練が不足しています。実際の判断が遅くなります。
3 統合型法務・広報・ITの定例会とRACIがあります。グループ会社・委託先まで不十分な場合があります。
4 監査型KPI/KRI、内部監査、役員報告があります。海外法、AI、サプライチェーンへ拡張する必要があります。
5 適応型訓練・事故・監査結果で継続改善します。高度脅威や新規事業へ即応する体制を保ちます。

中小企業では、法務部、広報部、ITセキュリティ部が独立していないことがあります。それでも、代表取締役や管理部長が危機統括を担い、顧問弁護士や総務責任者が法務を補い、情報システム担当や外部ベンダがITを担い、代表・営業責任者・総務が広報を担う最小構成から始められます。

次の一覧は、中小企業が最初に整える5点セットを表しています。読者にとって重要なのは、完璧な体制を待つより、事故時の混乱を減らす最低限の仕組みを先に置くことです。各項目から、今日から整備できる優先順位を読み取れます。

Minimum 1

事故受付窓口と休日連絡網

深夜休日でも一次連絡が止まらないよう、役割ベースで連絡先を更新します。

Minimum 2

個人情報漏えい時のチェックリスト

個人データ、報告対象事態、本人通知、契約通知、公表要否を確認します。

Minimum 3

外部専門家の連絡先

顧問弁護士、ITベンダ、フォレンジック候補、PR会社、保険会社の連絡先を持ちます。

Minimum 4

第一報テンプレート

確認済み事実、調査中事項、問い合わせ窓口、更新方針を漏れなく示せる型を用意します。

Minimum 5

年1回の机上演習

法務・広報・IT・経営が同じシナリオで動き、決裁と連絡の詰まりを確認します。

次の一覧は、連携体制でよくある失敗と改善策を表しています。読者にとって重要なのは、失敗が担当者の能力だけでなく、権限・期限・情報共有の設計不足から生じる点です。各項目から、自社の弱い部分を早期に見つけられます。

ITが事故を抱え込む

まだ漏えいと決まっていないと考えて共有が遅れることがあります。個人情報、営業秘密、決済情報、上場情報が関係する可能性があれば、重大度判定前でも法務・広報へ予備連絡します。

法務が公表を止めすぎる

調査完了まで出さない姿勢が社会的信頼を損なうことがあります。出せる事実、避ける表現、安全な言い方を提示します。

広報が法的評価を先取りする

漏えいはない、責任はない、と断定すると後に矛盾する可能性があります。確認済み事実、調査中事項、今後の更新を分けます。

委託先の事故通知が遅い

重要委託先契約では、24時間以内の一次通知、詳細報告、フォレンジック協力、再発防止報告、本人通知協力、費用負担、監査権を検討します。

事後検証が研修強化で終わる

原因が権限設計、ログ不足、承認手順、委託先監督、開発プロセス、業務量にある場合、責任者、期限、予算、システム改修、規程改定、監査、KPIまで設定します。

経営層は、技術詳細をすべて理解する必要はありません。ただし、事業継続への影響、顧客・本人への影響、法令報告・本人通知・適時開示の要否、財務影響・保険・費用、レピュテーション影響、取引先・行政・警察対応、復旧見込み、公表方針、再発防止策、取締役会・監査役への追加報告予定を把握する必要があります。

次の比較表は、役員報告書の型を表しています。重要なのは、経営判断に必要な事項と未確定事項を同じ資料で区別することです。各行から、役員が読むべき順番と次回報告の時刻を明確にする必要があると読み取れます。

項目記載内容
1 事案名分類、重大度、関係システムを端的に示します。
2 発覚日時・検知経緯期限計算に関係する時点を明確にします。
3 現時点の確認済み事実推測や法的評価と分けて記載します。
4 影響範囲システム、データ、人数、顧客、最大見込みを分けます。
5 法令・契約・開示上の論点当局報告、本人通知、契約通知、適時開示を整理します。
6 実施済み対応封じ込め、保全、外部相談、顧客対応を示します。
7 未確定事項と調査計画次に何をいつまでに確認するかを示します。
8 対外発信方針公表、本人通知、取引先通知、IR、問い合わせ対応を整理します。
9 経営判断事項サービス停止、外部専門家、費用、補償、会見、取締役会要否を示します。
10 次回報告時刻続報の時刻と担当者を明確にします。

取締役会は、事故時だけでなく平時に、重大インシデント訓練、RACI、重大委託先の事故通知条項、個人情報漏えい時の報告・本人通知手順、生成AI・クラウド・SaaSの利用ルール、内部通報者保護、内部監査、事故後の予算・期限付き再発防止を確認します。

最終チェックリスト

  • 広報・法務・ITの合同窓口と休日夜間の連絡先が更新されています。
  • CISO、法務責任者、広報責任者、IR責任者の権限が明確です。
  • 外部専門家、フォレンジック、PR会社、保険会社の連絡先があります。
  • インシデント対応規程、危機広報マニュアル、個人情報漏えい報告・本人通知手順、適時開示手順、内部通報規程、AI利用ポリシー、クラウド・委託先管理規程があります。
  • 重要ログの保存期間、管理者権限の棚卸、バックアップ復旧訓練、SaaS監査ログ、個人情報・営業秘密の所在を確認しています。
  • 報告対象事態の判断、契約上の事故通知条項、重要委託先の協力義務、リーガルホールド、海外データ保護法の適用可能性を確認しています。
  • 第一報・続報・本人通知・FAQ、SNS方針、記者会見想定問答、コールセンター・営業向け回答集、法務・ITレビュー手順があります。
  • 年1回以上の部門横断訓練に経営層が参加し、プレスリリース案まで作成し、改善事項を期限付きで管理しています。

広報・法務・IT部門の連携体制は、情報漏えいが起きたときに慌てて作るものではありません。平時から、経営の監督の下で、法務が法的義務と証拠保全を設計し、ITが技術的事実と復旧能力を整え、広報が社会への説明責任を具体化し、内部監査が実効性を検証する仕組みです。

最終的に問われるのは、事故をゼロにできるかだけではありません。事故や不祥事が起きたとき、企業がどれだけ誠実に、正確に、迅速に、組織的に対応できるかです。広報・法務・IT部門の連携体制は、その能力を平時から形にする企業統治の中核です。

Reference

参考資料

制度と実務の確認に用いた公的資料・標準資料を整理しています。

日本の公的資料・制度資料

  • 経済産業省「サイバーセキュリティ経営ガイドラインと支援ツール」
  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン 通則編」
  • 日本取引所グループ「会社情報適時開示ガイドブック」
  • 日本取引所グループ「改訂コーポレートガバナンス・コードの公表」
  • e-Gov法令検索「会社法」
  • e-Gov法令検索「会社法施行規則」
  • 内閣サイバーセキュリティセンター/国家サイバー統括室「サイバーセキュリティ関係法令Q&Aハンドブック Ver2.0」
  • IPA「情報セキュリティ10大脅威 2026」
  • 消費者庁「事業者の方へ 公益通報者保護制度」
  • 経済産業省「AI事業者ガイドライン」

サイバーセキュリティ・内部監査・海外制度

  • JPCERT/CC「CSIRTマテリアル 運用フェーズ」
  • JPCERT/CC「インシデント対応とは」
  • NIST「Cybersecurity Framework」
  • NIST「SP 800-61 Rev.3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management: A CSF 2.0 Community Profile」
  • The Institute of Internal Auditors「The IIA’s Three Lines Model: An update of the Three Lines of Defense」
  • European Data Protection Board「Data breaches」
  • Federal Register / U.S. Securities and Exchange Commission「Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure」