不正アクセス、ランサムウェア、委託先事故、AI利用リスクまで、初動72時間、証拠保全、法的評価、通知・公表、復旧、再発防止を一つの実務体系として整理します。
技術復旧だけでなく、事実認定、証拠保全、法的評価、通知、公表、復旧、再発防止を同時に進める危機管理として整理します。
技術復旧だけでなく、事実認定、証拠保全、法的評価、通知、公表、復旧、再発防止を同時に進める危機管理として整理します。
サイバーインシデント対応は、情報システム部門だけの作業ではありません。ランサムウェア、不正アクセス、ビジネスメール詐欺、DDoS攻撃、クラウド設定ミス、委託先からの漏えい、内部不正、AI利用に伴う情報流出は、事業継続、個人情報保護、取引先契約、金融商品取引法上の開示、営業秘密、労務、刑事手続、保険、監査、M&A、レピュテーションに同時に影響します。
このページでは、サイバーインシデント対応を、被害拡大防止、事実確認、証拠保全、法的義務の履行、関係者への説明、業務復旧、再発防止を統合した一連の実務として扱います。読者は、どの段階で誰が何を決めるか、どの情報が後日の説明責任に効くかを読み取ることが重要です。
次の重要ポイントは、サイバーインシデント対応で同時に動く論点を表しています。技術、法務、経営、広報が別々に動くと判断が遅れるため、どの論点が同じ時刻に進むかを押さえてください。
復旧の速さ、証拠の保全、法令・契約上の期限、社内外への説明、取締役会レベルの監督を一つの対応計画で同期させます。
サイバーインシデント対応で最初に押さえるべき時間軸は、個人情報保護委員会への速報目安、確報期限、初動72時間です。期限や初期判断の遅れは、その後の説明責任と信頼回復に直結するため、数値の意味を見比べてください。
企業が直面する本質的な問題は、事実が不確実なまま法的期限が進むこと、復旧と証拠保全が衝突すること、説明責任の相手が多いこと、取締役・経営陣の責任問題になり得ること、被害企業が同時に管理責任を問われ得ることです。
サイバーセキュリティは、ウイルス対策ソフトの導入だけを指すものではありません。電子的な情報の漏えい、滅失、毀損の防止、情報システムやネットワークの安全性・信頼性、被害発生時の原因究明、被害軽減、復旧までを含む広い概念です。
次の比較表は、サイバーセキュリティを情報保護、システム保護、信頼保護の三層で整理したものです。読者にとって重要なのは、情報システム上の問題が、法令、契約、事業継続、ガバナンス、レピュテーションへどうつながるかを横断的に読むことです。
| 層 | 守る対象 | 法務・経営上の意味 |
|---|---|---|
| 情報保護 | 個人情報、営業秘密、契約情報、技術情報、役職員情報、財務情報など | 個人情報保護法、不正競争防止法、秘密保持義務、労務・プライバシーに関わります。 |
| システム保護 | サーバ、端末、ネットワーク、クラウド、SaaS、ID基盤、OT/IoT | 事業継続、善管注意義務、委託先管理、業法上の安全管理に関わります。 |
| 信頼保護 | 顧客、投資家、取引先、従業員、社会からの信頼 | 適時開示、説明責任、広報、ガバナンス、レピュテーションに関わります。 |
サイバーインシデントとは、情報システム、ネットワーク、データ、アカウント、業務プロセスに対する不正・異常・障害により、機密性、完全性、可用性、真正性、追跡可能性、事業継続性が損なわれ、または損なわれるおそれがある事象です。
次の一覧は、サイバーインシデント対応で想定すべき典型例を並べています。複数の項目が同時に発生することが多いため、単発の事故名ではなく、どのデータ、どのアカウント、どの取引関係が巻き込まれるかを読み取ってください。
個人情報、営業秘密、認証情報、決済情報、研究データ、AI入力情報の漏えい、改ざん、外部公開が問題になります。
ランサムウェア、DDoS、クラウド障害、ウェブ改ざん、認証基盤侵害により、可用性と事業継続が揺らぎます。
退職者、委託先、再委託先、SaaS事業者、海外拠点を起点とする事故では、契約と調査協力が重要になります。
サイバーインシデント対応は、発見・検知、初動評価、封じ込め、証拠保全、調査・分析、法的評価、通知・報告・公表、復旧、再発防止・改善の順に進みます。ただし、実務ではこれらが直線的に終わるわけではなく、調査結果に応じて何度も戻りながら進めます。
IPAの脅威整理を踏まえ、ランサム攻撃、サプライチェーン、AI、脆弱性、標的型攻撃を法務視点で読み替えます。
2026年時点の脅威環境では、組織向け脅威としてランサム攻撃、サプライチェーンや委託先を狙った攻撃、AIの利用をめぐるサイバーリスク、システム脆弱性を悪用した攻撃、機密情報を狙った標的型攻撃が重視されています。約250名の選考関係者が社会的影響を踏まえて検討した点からも、企業法務が無視できないテーマです。
次の一覧は、上位脅威をサイバーインシデント対応の実務課題へ置き換えたものです。順位だけを見るのではなく、どの契約、規程、ログ、説明責任が必要になるかを読み取ることが重要です。
暗号化だけでなく、データ窃取と公開脅迫を伴うことがあります。復旧、漏えい評価、警察・保険対応を同時に検討します。
委託先、再委託先、SaaS、共同研究先が入口になるため、契約上の通知期限と調査協力義務が要になります。
AIツールへの機密入力、権限過大なAIエージェント、プロンプトインジェクション、利用ログの不足が問題になります。
パッチ遅延、ゼロデイ、公開設定ミスが侵入口になります。脆弱性管理責任者と台帳の実効性が問われます。
営業秘密、技術情報、認証情報を狙う攻撃では、秘密管理性とアクセス権限の記録が後日の主張に影響します。
この脅威環境から読み取るべき示唆は三つあります。第一に、サイバーインシデント対応は単独企業の閉じた問題ではありません。第二に、データ侵害と事業停止の双方を扱います。第三に、AI時代の情報管理とログ保存を対応計画に組み込むことが求められます。
NIST、経済産業省・IPA、JPCERT/CC、NCOの枠組みを、企業法務の実務に引き直します。
NIST SP 800-61 Rev.3は、インシデント対応を起きてからの手順書だけに閉じ込めず、サイバーリスクマネジメント全体に位置付けています。準備活動としてのGovern、Identify、Protectが対応を支え、Detect、Respond、Recoverが事故発生時の実行を担います。
次の比較表は、NIST CSFの6機能を企業法務の文書・統制へ置き換えたものです。読者は、事故後の作業だけでなく、平時の方針、台帳、契約、ログ、訓練がどの機能を支えるかを読み取ってください。
| 機能 | 企業法務における意味 | 主な文書・統制 |
|---|---|---|
| Govern | 取締役会・経営陣がリスク許容度、責任分界、投資、報告ラインを決めます。 | 情報セキュリティ基本方針、リスク管理規程、取締役会報告基準、委任規程 |
| Identify | 守る対象と関係する法令・契約を把握します。 | データマップ、システム台帳、委託先台帳、重要情報分類、法令マップ |
| Protect | 侵害を防ぎ、被害を小さくします。 | アクセス制御、MFA、バックアップ、パッチ管理、暗号化、教育、契約条項 |
| Detect | 異常を早く見つけます。 | ログ監視、EDR、SIEM、通報窓口、委託先通知、外部通報受付 |
| Respond | 事実確認、封じ込め、法的評価、報告、広報を実行します。 | 対応計画、初動チェックリスト、法務メモ、当局報告、広報文案 |
| Recover | 安全に業務を再開し、信頼を回復します。 | 復旧計画、BCP、再発防止計画、取締役会報告、監査計画 |
METI、つまり経済産業省とIPAのサイバーセキュリティ経営ガイドラインは、経営者が認識すべき3原則と、CISO等へ指示すべき重要10項目を示しています。経営者はマルウェア解析を自ら行うわけではありませんが、復旧優先順位、サービス停止、公表範囲、適時開示、外部専門家起用、ランサム要求への向き合い方、予算確保を判断します。
JPCERT/CCのCSIRTマテリアルは、組織内CSIRTの位置付けやインシデントハンドリングを実務的に示しています。CSIRTは技術者だけの集団ではなく、法務、コンプライアンス、広報、経営、内部監査、委託先、外部専門家をつなぐ連結点です。
NCOの関係法令Q&Aハンドブックは、内部統制、取締役責任、監査、情報開示、当局対応、個人情報、営業秘密、委託、クラウド、サプライチェーン、ランサムウェア、デジタルフォレンジック、不正アクセスなどを横断的に扱います。つまり、サイバーインシデント対応で法務が見る論点は個人情報保護法だけではありません。
危機管理本部、RACI、法務部門の初動参加を、責任分界の観点から整理します。
重大なサイバーインシデント対応では、誰が何を決めるかを平時に定めておくことが重要です。技術統括、法務統括、個人情報統括、広報統括、事業統括、財務・会計、内部監査、外部専門家が、同じ時系列を見ながら判断します。
次の比較表は、危機管理本部で想定される役割を示しています。肩書きの一覧ではなく、どの責任が誰に集中し、どの判断が経営レベルへ上がるかを読むためのものです。
| 役割 | 主な責任 | 典型的な担当 |
|---|---|---|
| 最終意思決定 | 事業停止、復旧優先順位、外部公表、重大投資、ランサム対応方針、取締役会報告を決めます。 | CEO、社長、危機管理担当役員、CRO |
| 技術統括 | 封じ込め、調査、復旧、監視、脆弱性対応、ログ保全を担います。 | CISO、情報システム部、セキュリティ部、CSIRT |
| 法務統括 | 法令調査、当局報告、本人通知、契約対応、証拠保全、訴訟・保険・刑事対応を整理します。 | ゼネラルカウンセル、企業内弁護士、法務部、外部弁護士 |
| 個人情報統括 | 個人データ該当性、漏えい等該当性、本人通知、委託先管理を判断します。 | 個人情報保護担当、DPO相当部署、プライバシー担当 |
| 広報統括 | 公表文、FAQ、メディア対応、SNS監視、顧客説明を統制します。 | 広報、IR、危機管理広報、外部PR専門家 |
| 事業・管理部門 | 顧客対応、代替業務、人事労務、損害見積り、監査対応を行います。 | 事業部門、人事、CFO、内部監査、監査役等 |
RACIは、実行責任、説明責任・最終責任、相談先、報告先を分ける整理です。次の表では、サイバーインシデント対応で判断が遅れやすいタスクについて、どの役割が主体になるかを確認できます。
| タスク | 実行責任 | 最終責任 | 相談先・報告先 |
|---|---|---|---|
| 異常検知の一次評価 | CSIRT、SOC、情報システム部 | CISO | 法務、外部フォレンジック、危機管理責任者 |
| 個人データ漏えい等の該当性判断 | 個人情報保護担当、法務 | GC、CPO相当役員 | 外部弁護士、IT調査担当、CEO、関係部門 |
| 個人情報保護委員会への報告 | 法務、個人情報保護担当 | GC、担当役員 | 外部弁護士、CSIRT、CEO、取締役会 |
| ネットワーク遮断・封じ込め | 情報システム部、CSIRT | CISO | 法務、事業部門、経営陣 |
| 証拠保全 | CSIRT、フォレンジック専門家 | CISO、GC | 外部弁護士、内部監査、監査役 |
| 顧客・取引先通知 | 事業部門、法務、広報 | 担当役員、GC | 外部弁護士、CSIRT、CEO、顧客対応部門 |
| 適時開示判断 | IR、法務、経理 | CEO、CFO、GC | 外部弁護士、監査法人、取引所窓口、取締役会 |
| 復旧完了判断と再発防止 | 情報システム部、事業部門、CISO、法務、内部監査 | CISO、事業担当役員、CEO、取締役会 | フォレンジック専門家、監査法人、全社 |
法務部門は、後から契約書を確認する部署ではありません。初動から参加することで、どの事実をどの粒度で記録するか、どの期限が動き始めているか、どの文書が後日の訴訟・当局調査・メディア報道で問題になるかを整理できます。
対応計画、重大度分類、データマップ、ログ設計、契約条項、訓練を事前に整えます。
サイバーインシデント対応の品質は、事故後の努力だけでは決まりません。平時にどこまで準備していたかで、初動速度、報告の正確性、復旧の確実性、説明責任の説得力が変わります。
次の重要項目は、対応計画に最低限入れておきたい内容です。どの項目も、事故後に初めて作ると時間を失うため、自社の業務、委託先、データ、海外拠点に合わせて事前に更新しておくことが重要です。
定義、通報経路、重大度分類、招集権限、役割、外部専門家、証拠保全、通知、復旧、事後レビューを含めます。
計画個人データ、営業秘密、ログ、バックアップ、海外保存データ、RTO/RPO、管理者、ベンダーを整理します。
台帳ID基盤、VPN、EDR、ファイアウォール、クラウド監査ログ、SaaSログ、DB監査、バックアップログを保存・検索できる状態にします。
証跡通知期限、ログ提供、調査協力、再委託、越境移転、バックアップ、脆弱性対応、責任制限、保険を整えます。
委託先法務、経営、広報、ITが同じ場で、深夜ランサム、委託先通知、上場会社のサービス停止、退職者持出しを演習します。
訓練重大度分類は、技術的な深刻度だけでなく、法的・経営的影響を含めて設計します。次の表では、単一端末の検知から事業継続不能までを段階化し、どの時点で法務、経営、外部専門家、取締役会が関与するかを読み取れます。
| レベル | 例 | 初動 |
|---|---|---|
| Level 1 ― 低 | 単一端末のマルウェア検知、漏えい可能性なし、業務影響限定 | CSIRT対応と定期報告を行います。 |
| Level 2 ― 中 | 一部システム停止、限定的なアカウント侵害、個人情報影響の可能性が低い事案 | CISO・法務へ報告し、証拠保全と範囲調査を始めます。 |
| Level 3 ― 高 | 個人データ漏えいのおそれ、主要サービス停止、委託先事故、顧客影響 | 危機管理本部、外部専門家、法務主導の通知判断を動かします。 |
| Level 4 ― 重大 | ランサムウェア、重要システム停止、大量個人データ、営業秘密流出、上場開示可能性 | CEO招集、取締役会報告、当局・警察・取引先・顧客対応を進めます。 |
| Level 5 ― 危機 | 事業継続不能、社会的影響大、重要インフラ・医療・金融等への重大影響 | 全社危機対応、行政・警察・市場・メディア対応、BCPを発動します。 |
ログはサイバーインシデント対応の証言者です。保存期間が短い、時刻同期がない、クラウド監査ログが無効、SaaSログ取得権限がない、委託先ログ提供義務がないと、法的期限内に必要な事実を把握しにくくなります。
0〜2時間、2〜24時間、24〜72時間、72時間以降に分けて、判断と作業を時系列で整理します。
初動では、安全確保、証拠保全、事実と推測の分離、法務の早期参加、時系列記録、連絡手段の分離、外部公表の速度管理を意識します。特に、社内メールやチャットが侵害されている可能性がある場合、代替連絡手段を用意します。
次の時系列は、初動72時間で何を確認し、どの判断へ進むかを表しています。時間の順番には意味があり、最初の2時間で重大度と封じ込めの方向を決め、初日で法的期限と連絡統制を押さえ、72時間までに速報・通知・復旧計画を固めます。
発見者、時刻、経路、影響システム、不審ファイル、不審ログイン、データ持出し兆候、業務停止、侵害された連絡手段を確認します。
侵害経路の仮説、被害範囲、ログ退避、IoC探索、バックアップ健全性、個人データ漏えい等の仮評価、契約通知、保険通知を進めます。
個人情報保護委員会への速報要否、本人通知、委託元・委託先の通知順序、警察・JPCERT/CC・ISAC等への情報共有、適時開示を検討します。
フォレンジック調査、確報・続報、追加通知、根本原因、顧客説明、監査法人・保険会社・金融機関・M&A相手方との調整を継続します。
次の判断の流れは、発覚直後の迷いやすい分岐を整理したものです。上から順に、安全、証拠、重大度、法的期限、外部説明を確認し、分岐ごとに関与者を増やすべき場面を読み取ってください。
EDR、顧客通報、委託先連絡、警察・JPCERT/CC・研究者からの連絡を記録します。
安全に関わる場合は、通常のIT事故より高い優先順位で対応します。
端末初期化、再起動、ログ削除は、必要性と証拠影響を見て判断します。
CEO、CISO、法務、広報、事業、外部専門家を同じ時系列へ集めます。
重大化条件を監視し、法務・CISOへの報告ラインを維持します。
2〜24時間では、技術対応、法務対応、コミュニケーション対応を並行して進めます。技術側は侵害経路、管理者権限、重要ログ、IoC、バックアップ、再侵入経路を確認し、法務側は個人データ、要配慮個人情報、財産的被害、不正目的、1,000人超、契約通知、業法、適時開示、保険、労務を確認します。
24〜72時間では、本人通知、公表文、FAQ、コールセンタースクリプト、取締役会または監査役等への中間報告まで視野に入ります。未確認情報を部門単位で発信しないよう、広報統制も同時に行います。
復旧と調査の衝突を避けるため、デジタルフォレンジック、初期保全対象、避けるべき初動を整理します。
デジタルフォレンジックは、PC、サーバ、スマートフォン、クラウド、メール、ログ、ネットワーク機器、SaaS等から、証拠価値を保ちながらデジタルデータを保全・解析する活動です。侵入経路、攻撃者の操作、漏えい・改ざん・削除・暗号化の有無、影響範囲、再侵入防止、報告・通知・公表の根拠を作ります。
次の比較表は、証拠保全で重視する5要素を示しています。列ごとに、何を満たすべきか、どの記録が後日の説明に効くかを読み取ってください。
| 要素 | 内容 | 実務上の注意 |
|---|---|---|
| 完全性 | データが改変されていないこと | ハッシュ値、取得手順、保全媒体、アクセス制限を記録します。 |
| 同一性 | 取得した証拠が当該端末・ログに由来すること | 端末番号、シリアル、ホスト名、取得者、取得時刻を記録します。 |
| 連続性 | 証拠の保管・移転履歴を追えること | Chain of custodyを作成します。 |
| 可読性 | 後から解析・説明できること | ツール、バージョン、タイムゾーン、ログ形式を保存します。 |
| 合法性 | 取得方法が法令・契約・就業規則に反しないこと | 従業員端末、BYOD、クラウド、海外拠点では特に注意します。 |
重大インシデントでは、保全対象の漏れが後日の説明を難しくします。次の一覧は、初期段階で保全を検討すべき対象を整理したものです。端末だけでなく、クラウド、SaaS、メール、通報、会議記録まで含めて見ることが重要です。
ディスクイメージ、メモリダンプ、EDR検知ログ、Windowsイベントログ、Linuxログを退避します。
認証ログ、VPNログ、MFAログ、IAM変更履歴、管理者操作、OAuthアプリ権限を保存します。
クラウド監査ログ、ストレージアクセスログ、メールログ、転送設定、ファイル共有、外部共有を確認します。
顧客通報、委託先通知、会議議事録、対応タイムライン、ランサムノート、不審スクリプトを残します。
避けるべき初動も明確です。影響端末を理由なく初期化する、攻撃者アカウントを削除する、暗号化端末を全て再起動する、ログを退避しない、調査未了なのに漏えいなしと断定する、従業員へ一斉ヒアリングして証言汚染を生じさせる対応はリスクを高めます。
個人情報、営業秘密、契約、労務、刑事、上場開示を一つの事案で横断的に確認します。
サイバーインシデント対応で最も頻繁に問題となる法令は個人情報保護法です。要配慮個人情報、財産的被害のおそれ、不正目的のおそれ、本人の数が1,000人を超える場合などは、漏えい等報告と本人通知の要否を早期に検討します。
次の判断の流れは、個人データ漏えい等の初期評価を表しています。上から順に、データの性質、リスク類型、影響人数、報告主体、本人通知、速報・確報の情報補充を確認する構造です。
個人情報、個人データ、保有個人データ、営業秘密、決済情報、認証情報を分類します。
要配慮個人情報、財産的被害、不正目的、1,000人超、ランサムウェア、ウェブ改ざんなどを見ます。
未確定事項を明示し、確報・続報で補充する設計にします。
断定を避け、証拠の不足やログ保存状況を踏まえて表現します。
次の一覧は、サイバーインシデント対応で同時に確認する主な法務論点です。分野ごとに結論を急がず、事実認定、証拠、契約、期限、説明先をそろえて判断することが重要です。
漏えい等またはそのおそれ、要配慮個人情報、財産的被害、不正目的、1,000人超、本人通知、委託元・委託先の報告主体を検討します。
秘密管理性、有用性、非公知性、アクセス権限、秘密表示、ログ、持出制限、退職者管理を確認します。
NDA、個人情報取扱委託契約、SLA、クラウド利用規約、業務委託契約、M&A契約、共同研究契約を確認します。
就業規則、モニタリング、ヒアリング、懲戒、退職者への差止め・返還請求、メンタルヘルス配慮を確認します。
不正アクセス、ランサムウェア、詐欺、不正送金、営業秘密侵害、内部不正では、被害届、告訴、捜査協力を整理します。
投資判断上重要な情報、未公表重要情報、TDnet開示と自社サイト掲載の順序、インサイダー情報管理を確認します。
契約対応では、通知期限、通知先、通知内容、調査協力、損害賠償、責任制限、不可抗力、再委託、準拠法、紛争解決条項を確認します。相手方への説明では、謝罪、補償、責任認定を不用意に混在させないことが重要です。
刑事対応では、証拠保全の前に環境を破壊しないこと、攻撃者とのやり取りを記録すること、捜査機関に提供する情報と顧客・取引先に開示する情報を整理すること、反撃や攻撃者インフラへの侵入など違法となり得る行為を避けることが求められます。
当局報告、本人通知、取引先通知、情報共有、公表、適時開示を区別し、時点管理と断定回避を徹底します。
サイバーインシデント対応では、情報を外に出す行為を一括して公表と呼ぶと混乱します。実務上は、当局報告、本人通知、取引先通知、情報共有、公表、適時開示を分けて設計します。
次の比較表は、外部へ情報を出す場面の相手、目的、注意点を整理しています。読者は、誰に、何を、いつ、どの根拠で、どの時点情報として伝えるかを読み取ってください。
| 区分 | 相手 | 目的 | 注意点 |
|---|---|---|---|
| 当局報告 | 個人情報保護委員会、業法当局など | 法令上の義務履行、監督対応 | 期限、様式、未確定情報の記載、続報を管理します。 |
| 本人通知 | 個人データの本人 | 被害拡大防止、権利利益保護 | 具体的リスク、問い合わせ先、本人が取る措置を整理します。 |
| 取引先通知 | 委託元、委託先、顧客企業、共同研究先 | 契約義務、共同対応 | 責任認定と事実共有を分けます。 |
| 情報共有 | 警察、JPCERT/CC、ISAC、業界団体 | 被害拡大防止、攻撃手口共有 | 技術情報と被害企業情報を分け、秘密保持を確認します。 |
| 公表 | 社会、メディア、顧客一般 | 透明性、信頼維持、被害注意喚起 | 断定回避、時点明示、二次被害防止を意識します。 |
| 適時開示 | 投資家、市場 | 投資判断上重要な情報の公平開示 | TDnet、重要事実管理、開示順序を守ります。 |
公表文では、基準時点、確認済み事実、調査中事項、影響範囲、本人・顧客が取る行動、問い合わせ窓口、再発防止の方向性を示します。ただし、攻撃者に有用な詳細や原因調査前の責任認定を不用意に出さないようにします。
公表が遅すぎると、隠蔽、顧客軽視、被害拡大防止義務違反、投資家軽視と受け取られる可能性があります。一方で、公表が早すぎると、未確認情報の拡散、攻撃者への情報提供、捜査・調査妨害、責任の過大認定、株価・取引先関係への不要な悪影響を招くことがあります。
暗号化、データ窃取、二重恐喝、身代金支払い判断、共通様式報告を分けて考えます。
ランサムウェアは、単なる暗号化マルウェアではありません。認証情報の窃取、横展開、バックアップ削除、データ窃取、公開脅迫、取引先・顧客・メディアへの接触予告、復旧妨害が同時に起こることがあります。
次の一覧は、ランサムウェア初動で確認する項目をまとめたものです。暗号化されたシステムだけでなく、持出し痕跡、バックアップ、管理者権限、侵入経路、事業影響、個人データ・営業秘密、攻撃者対応、警察・JPCERT/CC・保険会社への連絡を一体で読むことが重要です。
どのシステムが暗号化され、データ持出しの痕跡があり、事業停止がどの範囲へ及ぶかを確認します。
バックアップの健全性、再侵入経路、脆弱性、ドメイン管理者権限の侵害を確認してから復旧します。
個人データ、営業秘密、決済情報、重要インフラ、医療情報、委託先契約、保険約款を確認します。
攻撃者との接触を誰が管理するか、警察、JPCERT/CC、保険会社へいつ連絡するかを決めます。
身代金支払いは、復旧費用だけの問題ではありません。支払っても復号やデータ削除は保証されず、犯罪組織への資金提供、制裁、反社会的勢力、マネーロンダリング、社内規程、保険約款、監査、訴訟、再攻撃への影響を検討します。
次の判断の流れは、身代金支払いの検討局面を統制するための整理です。支払いの可否を単独担当者が決めるのではなく、法務、経営、財務、保険、警察相談、事業継続を同じ場で確認することを読み取ってください。
安全・医療・重要インフラへの影響とバックアップ復旧の可否を確認します。
支払い先、資金移動、保険約款、社内規程、説明責任を確認します。
CEO、CISO、GC、CFO、外部弁護士、保険会社、必要に応じ警察等を含めます。
復旧、漏えい評価、通知、公表、再発防止を進めます。
個人情報保護委員会は、政府全体のサイバー攻撃被害報告一元化の方針に沿って、ランサムウェア事案による個人データの漏えい等またはそのおそれがある場合、令和7年10月1日以降、共通様式で報告できる旨を案内しています。暗号化だけでなく、外部送信、窃取主張、ファイル一覧提示、認証情報漏えい、バックアップ破壊を総合的に評価します。
委託先・再委託先・クラウド事業者の事故では、調査権限、通知順序、共同説明を契約と実務で支えます。
委託先やクラウド事業者でインシデントが発生した場合、委託元は自社環境を直接調査できないことが多い一方、顧客、本人、当局、取引先から説明を求められます。ここにサプライチェーン型のサイバーインシデント対応の難しさがあります。
次の一覧は、委託先事故で起こりやすい問題を表しています。初報の曖昧さ、自社データの有無、影響人数、フォレンジック報告書の共有、再委託、海外クラウド、公表時期、問い合わせ集中を、契約と運用でどう支えるかを読み取ってください。
発覚時刻、影響システム、当社データの有無、データ項目、件数、本人範囲を確認します。
ログ、証跡、フォレンジック報告書、封じ込め状況、復旧見通し、追加情報提供期限を求めます。
再委託先、クラウド、SaaS、海外拠点の関与、越境移転、現地法、共同公表の整合性を確認します。
委託元・委託先の公表時期、文言、問い合わせ窓口、責任論と事実共有の分離を調整します。
委託先への初動質問票では、発覚日時、発覚経路、影響環境、当社データの有無、データ項目、件数、本人範囲、漏えい・滅失・毀損・暗号化・閲覧可能状態、外部送信痕跡、個人データ・要配慮個人情報・決済情報・認証情報、再委託先、復旧見通し、外部専門家、当局・警察・JPCERT/CCへの報告予定、公表予定、ログ保全、問い合わせ責任者を確認します。
次の比較表は、委託先事故で委託元が確認する項目を、事実、データ、統制、説明の四つに分けたものです。列ごとに、初報だけで足りる項目と、追加調査で補う項目を読み取ることが重要です。
| 区分 | 確認する内容 | 実務上の読み方 |
|---|---|---|
| 事実関係 | 発覚日時、発覚経路、影響システム、封じ込め状況、復旧見通し | 初報時点の不明点を記録し、次回更新時刻を決めます。 |
| データ影響 | 当社データ、個人データ、要配慮個人情報、決済情報、認証情報、件数、本人範囲 | 本人通知や当局報告に使える粒度で確認します。 |
| 調査・保全 | ログ、証跡、外部送信痕跡、フォレンジック会社、再委託先、クラウド | 契約上の調査協力義務とログ提供義務を根拠にします。 |
| 説明 | 当局・警察・JPCERT/CC報告、顧客・本人・社会への公表、窓口、責任者 | 委託元・委託先の説明順序と文言を調整します。 |
委託元が事実確認前に委託先の責任を断定すると、契約紛争や共同調査の停滞を招くことがあります。共同説明では、事実、影響、暫定措置、問い合わせ窓口、今後の調査予定を調整し、責任論は別に整理します。
海外、M&A、サイバー保険、会計・税務に波及する場面を、初期段階から見落とさないよう整理します。
海外子会社、海外顧客、海外クラウド、海外委託先、越境リモートアクセスが関係する場合、日本法だけでは足りません。GDPR、米国州法、SEC開示、サイバーセキュリティ関連法、データローカライゼーション、輸出管理、制裁、捜査協力、現地労働法が問題となり得ます。
次の一覧は、サイバーインシデント対応が越境、M&A、保険、会計・税務へ広がる場面を整理しています。事故対応チームに、法務だけでなく、経理、税務、監査法人、保険会社、M&A担当が早期に入る理由を読み取ってください。
国・地域、管理者・処理者、現地報告期限、本人通知の言語、グローバル公表と国別公表の整合性を確認します。
過去の事故、未発見侵害、通知漏れ、脆弱な統合ネットワーク、保険対象外損害、表明保証、MAC条項に影響します。
通知期限、指定フォレンジック会社、指定専門家、事前承認費用、ランサム関連費用、免責事項を確認します。
復旧費用、補償、違約金、売上減、減損、引当金、偶発債務、保険金収入、海外支払いを整理します。
M&Aの買主側デューデリジェンスでは、過去のインシデント履歴、フォレンジック報告書、当局報告、本人通知、公表履歴、重大脆弱性、ログ保存・監視体制、バックアップ、委託先管理、個人情報・営業秘密管理、サイバー保険、未解決クレームを確認します。
サイバー保険に加入している場合、発覚後すぐに保険証券と約款を確認します。保険請求のための証拠と、法令・訴訟対応のための証拠は重なります。費用、作業時間、外部専門家契約、復旧作業、顧客対応費、コールセンター費、郵送費、広告費、売上影響を整理しておきます。
金融、医療、EC、製造・重要インフラ、教育・研究、SaaSでは、守る対象と説明先が変わります。
サイバーインシデント対応は、業種ごとに優先順位が変わります。情報漏えいだけを見るのではなく、顧客資産、患者安全、決済、OT、研究データ、マルチテナント環境など、業種固有のリスクを読み取る必要があります。
次の一覧は、業種別に注意すべき対象と説明先を整理したものです。自社の業種だけでなく、委託先や顧客の業種が何を重視するかを読むことで、通知・公表・復旧の優先順位を決めやすくなります。
顧客資産、本人確認、マネロン対策、金融庁・自主規制機関対応、システムリスク管理、外部委託管理を重視します。
資産保全診療情報、検査結果、薬歴、治験データ、患者安全が重要です。電子カルテ停止は人命と診療継続に関わります。
安全カード情報、不正ログイン、ウェブスキミング、配送先情報、購買履歴、ポイント不正利用を確認します。
決済OT、制御システム、IoT、物理安全、品質保証、供給責任、行政・地域社会への説明を統合します。
供給責任学生・教職員情報、研究データ、共同研究先情報、知財、海外共同研究、輸出管理が問題になります。
研究データ多数顧客への影響、管理者ログ、APIキー、マルチテナント分離、サブプロセッサー、ステータスページを慎重に扱います。
顧客通知ECサイトからクレジットカード番号を含む個人データが漏えいした場合や、送金・決済機能のあるウェブサービスのログインID・パスワードの組み合わせが漏えいした場合は、財産的被害のおそれがある類型として早期に評価します。
初動記録、法務初期評価、個人情報漏えい等チェック、公表文、取締役会報告の骨子を実務用に整理します。
サイバーインシデント対応では、記録様式を用意しておくほど、初動時の抜け漏れを減らせます。次の比較表は、どのテンプレートがどの場面で使われるかを整理したものです。項目名だけでなく、後日の説明に必要な証跡がどこに入るかを読み取ってください。
| テンプレート | 主な項目 | 使う場面 |
|---|---|---|
| 初動記録 | 発見日時、発見者、発見経路、影響システム、影響アカウント、確認事実、懸念事項、関与データ、業務停止、封じ込め、証拠保全、エスカレーション、外部専門家、次回確認時刻、記録作成者 | 0〜2時間の事実整理と時系列管理に使います。 |
| 法務初期評価メモ | 事案概要、影響データ、個人データ、要配慮個人情報、決済情報、営業秘密、報告要否、本人通知、契約通知、業法、警察・JPCERT/CC、適時開示、労務、保険、追加調査依頼 | 法令・契約・開示の判断を初日から同期させます。 |
| 個人情報漏えい等チェック | 個人データ、要配慮個人情報、カード番号、ログインID・パスワード、不正アクセス、ランサムウェア、内部不正、暗号化・消失・復元不能、1,000人超、委託先関与、二次被害リスク | 報告・本人通知の初期判断に使います。 |
| 公表文骨子 | 発生概要、現時点の確認事実、影響可能性、対応、関係者へのお願い、今後の対応、問い合わせ先 | 社外説明で時点と未確定事項を明確にします。 |
| 取締役会報告 | 事案概要、タイムライン、事業影響、データ評価、法令・契約・開示、復旧、外部専門家、顧客説明、財務・監査、主要リスク、経営判断、再発防止、監査計画 | 経営判断と監督責任の記録に使います。 |
次の判断一覧は、個人情報漏えい等のチェック項目を実務で使いやすい形にまとめたものです。はい、いいえ、不明のどれかに分類し、不明な項目は追加調査依頼へつなげることが重要です。
| 確認項目 | 見るべき理由 | メモ |
|---|---|---|
| 個人データ・要配慮個人情報 | 報告・本人通知の入口になるためです。 | データマップと影響範囲を照合します。 |
| 決済情報・ログインID・パスワード | 財産的被害のおそれを評価するためです。 | 本人への注意喚起内容にも関わります。 |
| 不正アクセス・ランサムウェア・ウェブ改ざん | 不正目的の行為によるおそれを評価するためです。 | ログと外部専門家の仮説を分けて記録します。 |
| 1,000人超・委託先関与・二次被害リスク | 報告主体、通知順序、問い合わせ窓口に影響するためです。 | 委託先からの追加情報提供時刻を設定します。 |
テンプレートは、空欄を埋めるための書式ではなく、関係者が同じ事実と同じ不明点を共有するための道具です。特に「現時点で確認された事実」と「未確認だが懸念される事項」を分ける欄を必ず残します。
対応後の振り返りを感覚で終わらせず、検知、復旧、ログ、訓練、期限内報告、再発防止を測定します。
サイバーインシデント対応は、事後に頑張ったかどうかではなく、客観的な指標で検証します。KPIは、経営・法務・ITが同じ改善課題を見るための共通言語です。
次の比較表は、主なKPIと法務・経営上の意義を整理しています。単なるセキュリティ部門の数値ではなく、説明責任、SLA、取締役会監督、内部監査へつながる点を読み取ってください。
| KPI | 意味 | 法務・経営上の意義 |
|---|---|---|
| MTTD | 検知までの平均時間 | 被害拡大防止と管理体制の実効性を示します。 |
| MTTR | 復旧までの平均時間 | 事業継続、顧客影響、SLAに関わります。 |
| エスカレーション時間 | 発見からCISO・法務・経営報告までの時間 | 初動遅延の有無を測ります。 |
| ログ保存カバレッジ | 重要システムで必要ログが取れている割合 | 証拠保全と説明責任に関わります。 |
| MFA適用率 | 重要アカウントで多要素認証が有効な割合 | 認証侵害リスクを下げます。 |
| バックアップ復元成功率 | 訓練で復元できた割合 | ランサムウェア耐性を示します。 |
| 委託先通知条項整備率 | 重要委託契約に事故通知条項がある割合 | サプライチェーン対応に効きます。 |
| 訓練実施回数 | 経営・法務・IT合同訓練の頻度 | 実効性ある体制かを確認します。 |
| 期限内報告率 | 法定・契約上の報告期限を満たした割合 | 法令遵守と契約遵守を測ります。 |
| 再発防止完了率 | 是正措置の完了割合 | 取締役会監督と内部監査に関わります。 |
内部監査は、対応後の検証だけでなく、平時の統制監査としても機能します。対応計画の最新版、重大度分類、合同訓練、重要ログ、委託先台帳、契約条項、個人情報データマップ、バックアップ復元訓練、再発防止策、取締役会・監査役等への報告を確認します。
取締役会には、技術的詳細の羅列ではなく、経営判断に必要な情報を報告します。何が起きたのか、何がまだ分からないのか、事業・顧客・財務・法令・開示への影響、現在封じ込めているリスク、経営判断が必要な選択肢、関与専門家、期限、再発防止投資を整理します。
証拠喪失、法務参加の遅れ、早期断定、弱い委託契約、ログ不足、開示順序ミス、ランサム判断、抽象的再発防止を防ぎます。
典型的な失敗は、事故の個別事情よりも、平時の設計不足や初動の焦りから起こります。次の一覧は、サイバーインシデント対応で避けたい失敗と予防策を並べたものです。各項目から、手順、契約、ログ、承認、文書管理のどこを直すべきかを読み取ってください。
端末初期化、ログ削除、バックアップ復元を急ぎすぎると、侵入経路や漏えい範囲の証拠を失います。証拠保全責任者と復旧前確認を手順化します。
報告期限、契約通知、適時開示、保険通知、本人通知は発覚直後から検討します。重大度分類に法務エスカレーション条件を入れます。
外部送信ログが見つからないことは、漏えいがないことの証明とは限りません。現時点の確認事実と調査中事項を分けます。
報告書やログが出ない、通知が遅い、再委託先が不明という問題を防ぐため、事故通知、調査協力、ログ提供、監査権を契約に入れます。
監査ログが無効、保存期間が短い、上位プランでないと取得できない問題があります。導入時にログ要件を確認します。
TDnet開示前の自社サイト掲載や公開領域への保存は、市場公平性の問題を生みます。アクセス制御と順序を確認します。
身代金支払い、交渉、復号ツール取得は、制裁、反社、保険、事業継続、説明責任に関わる経営判断です。
教育徹底や管理強化だけでは足りません。統制、期限、責任者、予算、監査方法まで示します。
これらの失敗を防ぐ実務原則は、早く復旧することだけではありません。正しく止め、正しく調べ、正しく知らせ、正しく直し、後から説明できる形で記録することです。
よくある疑問を、一般的な制度説明と実務上の注意点として整理します。個別の結論は事案ごとに変わります。
一般的には、技術調査が完了していない段階でも、漏えい等またはそのおそれの有無、速報要否、本人通知の要否を並行して検討する実務が想定されています。ただし、データの性質、ログの残り方、攻撃態様、影響人数、委託先の関与によって結論は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、外部送信ログが見つからないことだけで漏えいがないと断定するのは慎重に扱うべきとされています。ログ保存期間、攻撃者権限、調査範囲、暗号化・窃取主張の有無によって表現は変わります。具体的な文言は、確認済み事実と調査中事項を分け、弁護士等の専門家へ相談する必要があります。
一般的には、委託先事故でも委託元が本人、顧客、当局、取引先への説明を求められる場面があります。ただし、契約関係、委託内容、データ管理主体、再委託の有無、本人への影響によって対応は変わります。具体的には、契約書、委託先通知、ログ、調査資料を整理し、専門家へ相談する必要があります。
一般的には、支払っても復号やデータ削除が保証されるものではなく、制裁、反社会的勢力、マネーロンダリング、保険、監査、説明責任の問題が生じる可能性があります。ただし、人命、医療、重要インフラ、事業継続への影響によって検討事項は変わります。具体的な対応は、経営、法務、財務、保険会社、必要に応じて警察等と統制して判断する必要があります。
一般的には、就業規則、情報セキュリティ規程、利用規程、調査目的、範囲、必要性、従業員のプライバシー配慮が重要とされています。ただし、BYOD、海外拠点、労働組合、内部不正の疑い、刑事対応の有無によって手順は変わります。具体的には、規程とログを確認し、労務・個人情報の専門家へ相談する必要があります。
目的に近い詳しい解説へ進めるよう、関連するテーマを整理しました。
知りたい内容を選ぶと、手続、費用、地域、具体的な論点などの詳しい解説に進めます。
このテーマから次に確認されやすい詳しい解説を9件表示しています。