2σ Guide

個人情報保護委員会PPCへの報告実務
漏えい等報告・本人通知・委託先対応

漏えい等事案で、PPC報告、本人通知、公表、委託先対応、ランサムウェア対応をどの順番で判断し、証跡を残すかを整理します。

3〜5日 速報の目安
30日 通常の確報期限
60日 不正目的行為型
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

個人情報保護委員会PPCへの報告実務 漏えい等報告・本人通知・委託先対応

漏えい等事案で、PPC報告、本人通知、公表、委託先対応、ランサムウェア対応をどの順番で判断し、証跡を残すかを整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
個人情報保護委員会PPCへの報告実務 漏えい等報告・本人
通知・委託先対応
漏えい等事案で、PPC報告、本人通知、公表、委託先対応、ランサムウェア対応をどの順番で判断し、証跡を残すかを整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 個人情報保護委員会PPCへの報告実務 漏えい等報告・本人通知・委託先対応
  • 漏えい等事案で、PPC報告、本人通知、公表、委託先対応、ランサムウェア対応をどの順番で判断し、証跡を残すかを整理します。

POINT 1

  • 個人情報保護委員会PPCへの報告実務の全体像
  • 漏えい等対応は、フォーム入力だけでなく、初動、調査、本人通知、委託先対応、経営報告までを一体で進める危機管理です。
  • 報告対象事態を4類型で確認します
  • 速報と確報の期限を分けます
  • 本人通知と再発防止を同時に設計します

POINT 2

  • 個人情報保護委員会PPCへの報告実務で使う基本用語
  • 個人情報、個人データ、要配慮個人情報、漏えい、滅失、毀損を同じ言葉で理解すると、初動判断がぶれにくくなります。
  • 各用語が、報告対象の範囲をどう変えるかを読み取ります。
  • 各区分の例と注意点を照らして、初動で確認する事実を読み取ります。

POINT 3

  • 個人情報保護委員会PPCへの報告対象事態を4類型で判定する
  • 法第26条、施行規則第7条、ガイドラインの構造を、実務で使う判定順に置き換えます。
  • 要配慮個人情報型
  • 財産的被害型
  • 不正目的行為型

POINT 4

  • 個人情報保護委員会PPCへの報告方法と報告先の整理
  • PPCフォーム、権限委任先、マイナンバー、ランサムウェア共通様式を、事故類型ごとに確認します。
  • 報告者の氏名又は名称欄には、担当者個人名ではなく事業者名を入力する点にも注意します。
  • 報告先が事業所管大臣となる場合は、その大臣が定める方法に従い、定めがない場合は報告書を提出する方法で報告します。
  • 各場面で、どの窓口と様式を確認するかを読み取ります。

POINT 5

  • 個人情報保護委員会PPCへの報告実務で委託先・クラウドを整理する
  • 即時通知
  • 漏えい等又はそのおそれを認識した場合の通知先、24時間連絡先、緊急連絡ルートを定めます。
  • 続報と期限
  • 暫定報告、続報、最終報告の期限と、9項目のうち把握済み事項の共有方法を定めます。

POINT 6

  • 個人情報保護委員会PPCへの報告実務と本人通知・公表
  • 本人通知は本人の権利利益を保護するために行い、公表は義務、代替措置、任意対応を分けて判断します。
  • 本人通知が原則です
  • 通知困難なら代替措置を検討します
  • 公表は目的を分けて判断します

POINT 7

  • 個人情報保護委員会PPCへの初動対応と判断の流れ
  • 1. 事故又は事故のおそれを認識:発覚日時、発見者、最初に知った部署を記録します。
  • 2. 対象情報は個人データですか:不正目的行為型では、取得予定の個人情報も確認します。
  • 3. 漏えい、滅失、毀損、又はそのおそれがありますか:ログ、外部通信、回収状況、復元可能性を確認します。
  • 4. 4類型のいずれかに該当しますか:要配慮個人情報、財産的被害、不正目的行為、1,000人超を確認します。
  • 5. 速報準備へ進みます:報告主体、報告先、本人通知、公表、確報期限を決めます。
  • 6. 根拠を記録します:任意報告、契約上の報告、業法報告、社内報告を検討します。

POINT 8

  • 個人情報保護委員会PPCへの報告実務で多い典型事案
  • メール誤送信、端末紛失、ランサムウェア、Webスキミング、従業者不正を、確認事項ごとに整理します。
  • 典型事案ごとに確認する事実は異なります。
  • 読者にとって重要なのは、同じ「漏えい等」でも、証拠、報告類型、本人通知、再発防止策が事故類型で変わる点です。
  • 各項目から、初動で集める情報を読み取ります。

まとめ

  • 個人情報保護委員会PPCへの報告実務 漏えい等報告・本人
  • 個人情報保護委員会PPCへの報告実務の全体像:漏えい等対応は、フォーム入力だけでなく、初動、調査、本人通知、委託先対応、経営報告までを一体で進める危機管理です。
  • 個人情報保護委員会PPCへの報告実務で使う基本用語:個人情報、個人データ、要配慮個人情報、漏えい、滅失、毀損を同じ言葉で理解すると、初動判断がぶれにくくなります。
  • 個人情報保護委員会PPCへの報告対象事態を4類型で判定する:法第26条、施行規則第7条、ガイドラインの構造を、実務で使う判定順に置き換えます。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

個人情報保護委員会PPCへの報告実務の全体像

漏えい等対応は、フォーム入力だけでなく、初動、調査、本人通知、委託先対応、経営報告までを一体で進める危機管理です。

個人情報保護委員会PPCへの報告実務では、報告義務の有無を判定し、被害拡大防止、事実調査、影響範囲の特定、本人通知、公表、再発防止、委託先対応、証跡保全、経営報告を同じ事実認定に基づいて進めます。単なる行政フォームの入力作業として扱うと、期限管理や本人説明の整合性でつまずきやすくなります。

この要点整理は、報告実務の全体像を短時間で確認するためのものです。読者にとって重要なのは、期限、報告対象、通知、公表、委託先対応が互いに連動する点を読み取り、初動から同時並行で準備することです。

最初の判断は4類型、運用は9項目、期限は3段階で管理します

報告対象事態は4類型で確認し、速報・確報では9項目を更新しながら、概ね3〜5日以内、30日以内、又は60日以内の期限を管理します。

次の一覧は、個人情報保護委員会PPCへの報告実務で最初に押さえる判断軸を示しています。なぜ重要かというと、初動段階でここを外すと、本人通知、公表、委託先連絡、経営報告の順番が崩れやすいからです。各項目が、義務判定、期限、対外説明のどこに影響するかを確認します。

Trigger

報告対象事態を4類型で確認します

要配慮個人情報、財産的被害のおそれ、不正目的行為、1,000人超のいずれかに当たるかを確認します。複数類型が重なる場合もあります。

Deadline

速報と確報の期限を分けます

速報は知った後速やかに、目安として概ね3〜5日以内です。確報は原則30日以内で、不正目的行為型を含む場合は60日以内です。

Response

本人通知と再発防止を同時に設計します

PPC報告、本人通知、公表、問合せ窓口、再発防止策は、同じ事実関係に基づいて整合させる必要があります。

次の比較表は、実務上の結論を期限と対応単位で整理したものです。読者にとって重要なのは、各期限が単独の作業締切ではなく、調査、通知、経営判断を動かす基準になる点です。左列で場面を確認し、右列で準備する対応を読み取ります。

場面実務上の読み方主な準備
報告対象事態の把握法人では、いずれかの部署が事態を知った時点が起算点になり得ます。事故受付、エスカレーション、記録化
速報概ね3〜5日以内を目安に、その時点で把握している内容を報告します。概要、対象情報、件数、原因、本人対応方針
確報原則30日以内です。不正目的行為型を含む場合は60日以内です。9項目、本人通知、公表、再発防止、追完予定
本人通知本人の権利利益を保護するために必要な範囲で、状況に応じて速やかに行います。通知対象、通知文、窓口、通知困難者への代替措置
Section 01

個人情報保護委員会PPCへの報告実務で使う基本用語

個人情報、個人データ、要配慮個人情報、漏えい、滅失、毀損を同じ言葉で理解すると、初動判断がぶれにくくなります。

PPCとは、Personal Information Protection Commission、すなわち日本の個人情報保護委員会を指します。個人情報保護法の執行・監督、ガイドラインやQ&Aの公表、相談ダイヤル、漏えい等報告フォームなどを通じて、個人情報の適正な取扱いを確保する行政機関です。

次の比較表は、報告実務で混同しやすい基本用語を整理したものです。読者にとって重要なのは、報告義務が主に個人データを中心に設計される一方、不正目的行為型では取得しようとしている個人情報も問題になり得る点です。各用語が、報告対象の範囲をどう変えるかを読み取ります。

用語意味実務上の注意点
個人情報生存する個人に関する情報で、特定の個人を識別できるもの、又は個人識別符号が含まれるものです。氏名だけでなく、メールアドレス、会員ID、社員番号、購買履歴、ログなども照合可能性により該当し得ます。
個人データ個人情報データベース等を構成する個人情報です。顧客管理システム、従業員台帳、CRM、採用管理システム、外部記録媒体に出力されたリストなどが問題になります。
要配慮個人情報人種、信条、社会的身分、病歴、犯罪の経歴、犯罪被害、障害、診療記録など、特に配慮を要する情報です。1人分でも報告対象事態に該当し得るため、件数の少なさだけで判断しないことが重要です。
取得しようとしている個人情報不正目的行為型で、事業者が取得し、個人データとして取り扱う予定の情報です。Webスキミング、入力フォーム改ざん、正規サイト上のリンク改ざんで重要になります。

次の比較表は、漏えい、滅失、毀損の違いを実務例で示しています。読者にとって重要なのは、同じ事故でも外部流出、消失、改ざん・利用不能のどれが問題になるかで、報告内容と再発防止策が変わる点です。各区分の例と注意点を照らして、初動で確認する事実を読み取ります。

区分実務例注意点
漏えい顧客リストの誤送信、書類の誤送付、設定ミスによる公開、不正アクセスによる窃取、盗難です。第三者に閲覧されないうちに全て回収でき、閲覧されていないことを確認できる場合は、漏えいに該当しないことがあります。
滅失個人データを記録した帳票の誤廃棄、社内紛失などです。同じ内容のデータが他に保管されている場合は、滅失に該当しないことがあります。
毀損個人データの改ざん、復元キー喪失、ランサムウェアによる暗号化と復元不能などです。同じ内容のデータが他に保管されている場合は毀損に該当しないことがありますが、同時に窃取された場合は漏えいも問題になります。
注意「氏名がない」「件数が少ない」「社内で起きた」という理由だけで、報告不要とは整理できません。対象情報の性質、照合可能性、要配慮性、外部流出や不正目的行為の有無を確認します。
Section 03

個人情報保護委員会PPCへの速報・確報と9項目の作り方

速報は把握済み情報で出し、確報は30日又は60日以内に9項目を整えます。

速報は、報告対象事態を知った後、速やかに行います。目安は概ね3〜5日以内です。速報時点では、原因、件数、二次被害、再発防止策が全て判明していなくても、その時点で把握している内容を報告し、確報又は追完で更新します。

次の時系列は、速報から確報までの期限と作業の関係を表しています。読者にとって重要なのは、期限が来るまで調査を待つのではなく、未判明事項を明示しながら報告内容を段階的に更新する点です。上から順に、期限と並行して進む作業を読み取ります。

知った時点

起算点を記録します

法人では、いずれかの部署が当該事態を知った時点が基準になります。従業者不正では、不正持出しを行った者を除いて判断します。

概ね3〜5日以内

速報を提出します

把握済みの事実、未判明事項、調査予定を分けて記載します。全ての原因究明を待つ必要はありません。

30日以内

通常の確報期限を管理します

報告対象事態を知った日を1日目として数えます。土日・祝日も含みますが、期限日が閉庁日の場合は翌日が期限となります。

60日以内

不正目的行為型を含む場合の確報期限です

不正アクセス、ランサムウェア、従業者不正、Webスキミングなどを含む場合は、原則60日以内に確報します。

次の表は、速報・確報で整理する9項目を、実務上の記載観点に置き換えたものです。読者にとって重要なのは、9項目が単なるフォーム項目ではなく、本人通知、公表、問合せ、再発防止の土台になる点です。各項目で、何を事実として残すかを読み取ります。

No報告事項記載観点
1概要発生日、発覚日、発生事案、発見者、4類型該当性、委託関係、事実経過を整理します。
2情報項目氏名、住所、メール、カード番号、健康情報、ID、パスワード、履歴情報、媒体を整理します。
3本人の数確定数、最大影響範囲、暫定数、算定根拠、不明範囲の調査状況を記録します。
4原因誤操作、設定ミス、不正アクセス、マルウェア、委託先起因、従業者不正、配送事故などを主体とともに記載します。
5二次被害又はそのおそれ不正利用、詐欺メール、なりすまし、信用毀損、精神的被害、再拡散を確認します。
6本人への対応通知済み、通知予定、通知方法、代替措置、問合せ窓口を整理します。
7公表の実施状況公表済み、予定、未定、非公表の理由、上場会社の適時開示との関係を確認します。
8再発防止策実施済み措置と予定措置を分け、技術、組織、人的、物理的措置で整理します。
9その他参考事項警察相談、JPCERT/CC、所管官庁、海外当局、保険会社、上場会社の開示状況などを整理します。
実務のコツ「漏えいはありません」と断定する前に、確認済みのログ、不明な期間、調査中の範囲を分けて書きます。速報では暫定情報であることを明示し、確報・追完で更新します。
Section 04

個人情報保護委員会PPCへの報告方法と報告先の整理

PPCフォーム、権限委任先、マイナンバー、ランサムウェア共通様式を、事故類型ごとに確認します。

PPCへの漏えい等報告は、原則としてPPCホームページの報告フォームから行います。報告者の氏名又は名称欄には、担当者個人名ではなく事業者名を入力する点にも注意します。報告先が事業所管大臣となる場合は、その大臣が定める方法に従い、定めがない場合は報告書を提出する方法で報告します。

次の一覧は、報告方法や報告先を分ける代表的な場面を示しています。読者にとって重要なのは、PPCに報告すれば全て足りるとは限らず、業種、対象情報、マイナンバー、ランサムウェアの有無で提出先や様式が変わり得る点です。各場面で、どの窓口と様式を確認するかを読み取ります。

01

PPCフォーム

原則的な報告方法です。速報、確報、追完の内容が後続の本人通知や公表と矛盾しないよう、法務とセキュリティで文面を揃えます。

原則
02

権限委任先省庁

個人情報保護委員会の権限が事業所管大臣に委任されている分野では、委任先省庁等へ報告する必要があります。雇用管理情報や株主情報ではPPCへの報告が必要になる場合があります。

報告先確認
03

マイナンバーを含む場合

個人情報保護法上の報告対象と、番号利用法上の特定個人情報に関する報告対象を別途確認します。双方に該当する場合は、一括フォームの利用を確認します。

特定個人情報
04

ランサムウェア共通様式

2025年10月1日以降、ランサムウェア事案による個人データの漏えい等又はそのおそれでは、政府全体の共通様式による報告が可能とされています。

共通様式

報告方法を決めるときは、PPC、権限委任先、所管官庁、警察、サイバー関係機関、保険会社、委託元・委託先、取引先への連絡を同時に整理します。目的と根拠が異なるため、一つの連絡だけで別の報告義務が消えるわけではありません。

注意規制業種では、事故対象が顧客情報なのか、従業員情報なのか、株主情報なのかにより、報告先が変わる可能性があります。報告先の確認を速報準備と同じタイミングで進めます。
Section 05

個人情報保護委員会PPCへの報告実務で委託先・クラウドを整理する

委託元、委託先、クラウド、配送事業者の役割を切り分け、通知、連名報告、証跡提供を設計します。

個人データの取扱いを委託している場合、報告対象事態に該当すると、原則として委託元と委託先の双方が報告義務を負います。委託元・委託先の連名報告も可能です。ただし、委託先が報告義務を負う委託元へ、報告事項9項目のうち把握しているものを速やかに通知したときは、委託先のPPC報告義務が免除される場合があります。

次の比較表は、委託先、クラウド、配送事業者で報告主体が揺れやすい場面を示しています。読者にとって重要なのは、事故が発生した場所だけでなく、誰が個人データを取り扱う立場にあるかで報告義務が変わる点です。各行から、契約と事実関係を分けて確認するポイントを読み取ります。

関係者基本的な考え方実務確認
委託元・委託先報告対象事態に該当する場合は、原則として双方が報告義務を負います。連名報告、委託先から委託元への通知免除、本人通知協力を整理します。
委託元だけで事故が起きた場合委託先が取り扱う個人データで漏えい等が生じていなければ、委託先が当然に報告義務を負うわけではありません。事故対象データ、事故発生場所、委託範囲を切り分けます。
クラウドサービスクラウド提供事業者が個人データを取り扱わない契約の場合、利用事業者が報告義務を負うことがあります。ログ、影響範囲、アクセス権限、バックアップ、サブプロセッサ情報を取得できるか確認します。
配送事業者通常は配送物の中身を関知しないため、個人データ取扱いの委託と解されない場合があります。誤配送先、開封状況、回収状況、追跡番号、本人通知の要否を確認します。

次の一覧は、委託契約やクラウド契約で平時から整えておく条項を示しています。読者にとって重要なのは、事故発生後にログや連絡先を探すのではなく、契約で調査協力と通知期限を事前に動かせるようにしておく点です。各項目から、漏えい等対応に直結する条項を読み取ります。

即時通知

漏えい等又はそのおそれを認識した場合の通知先、24時間連絡先、緊急連絡ルートを定めます。

続報と期限

暫定報告、続報、最終報告の期限と、9項目のうち把握済み事項の共有方法を定めます。

証跡保全

ログ提供、端末・サーバ保全、フォレンジック協力、再委託先への調査協力を定めます。

対外対応の協議

PPC報告、本人通知、公表、取引先説明、問合せ対応の役割分担と事前協議を定めます。

費用と責任

損害賠償、調査費用、通知費用、保険、監査権限、再発防止策の実施責任を定めます。

再委託管理

再委託先で発生した事故の通知、調査協力、是正要求、委託元への報告経路を定めます。

Section 06

個人情報保護委員会PPCへの報告実務と本人通知・公表

本人通知は本人の権利利益を保護するために行い、公表は義務、代替措置、任意対応を分けて判断します。

報告対象事態を知った個人情報取扱事業者は、本人への通知も検討します。本人通知は、当該事態の状況に応じて速やかに、本人の権利利益を保護するために必要な範囲で行います。委託先が委託元へ所定事項を通知して報告義務を免除される場合には、本人通知義務も免除されることがありますが、委託元の本人通知には協力が求められます。

次の比較表は、本人通知に含める内容と、含め方を慎重にする内容を分けたものです。読者にとって重要なのは、本人が取る対応を分かりやすく伝えながら、攻撃者を利する技術情報や個人が特定される情報を出し過ぎない点です。各列から、通知文を作るときの情報の粒度を読み取ります。

通知事項実務上の書き方注意点
概要何が起きたか、いつ発覚したか、どの業務やシステムに関係するかを説明します。暫定情報と確定情報を分けます。
対象情報当該本人に関係する氏名、住所、メール、ID、カード情報、健康情報などを示します。本人ごとに対象項目が違う場合は、通知文を分けます。
原因誤送信、設定ミス、不正アクセス、マルウェアなどを概要として伝えます。未修正の脆弱性や攻撃手法の詳細は出し過ぎないようにします。
二次被害不正利用、詐欺メール、なりすまし、再拡散のおそれを説明します。確認済み事実と可能性を区別します。
本人が取れる対応不審メールへの注意、パスワード変更、カード会社への確認、問合せ窓口などを案内します。個別事情で必要な対応は変わるため、一般的な注意喚起として記載します。

次の一覧は、公表判断で見落としやすい観点をまとめています。読者にとって重要なのは、公表が常に義務ではない一方、本人通知の代替措置、二次被害防止、取引先説明、上場会社の適時開示では必要性が高まることです。各項目から、公表する場合としない場合の理由を読み取ります。

Notice

本人通知が原則です

文書、電子メール、口頭など、本人が内容を認識できる合理的で適切な方法を選びます。口頭の場合も、事後確認のため書面やメールを併用することが考えられます。

Alternative

通知困難なら代替措置を検討します

連絡先がない、古い、通知時点で連絡できない場合には、事案の公表や問合せ窓口の設置などが代替措置になり得ます。

Disclosure

公表は目的を分けて判断します

本人通知の代替措置、二次被害防止、社会的影響、取引先対応、適時開示の必要性を分けて検討します。

表現統一PPC報告で「漏えいのおそれ」と書き、本人通知で「漏えいしました」と断定し、公表文で「外部流出は確認されていません」と書くと、説明が不整合になります。同じ事実認定に基づいて表現を統一します。
Section 07

個人情報保護委員会PPCへの初動対応と判断の流れ

0時間から60日まで、止血、保全、判定、速報、本人通知、確報、監査を順番に進めます。

漏えい等又はそのおそれが発覚した直後に行うことは、報告書作成だけではありません。被害拡大防止と証跡保全を先に進め、同時に報告対象事態の暫定判定、本人通知方針、公表方針、委託先連絡、経営報告を動かします。

次の時系列は、発覚から確報後までの実務対応を示しています。読者にとって重要なのは、各期間で優先事項が変わる一方、証跡保全と期限管理は最初から継続する点です。上から順に、いつ何を確認し、どの判断につなげるかを読み取ります。

0〜6時間

止血、保全、指揮系統の確立

責任者へ即時連絡し、感染端末の隔離、アカウント停止、公開設定の修正、誤送信先への削除要請、ログ保全、対外説明の一元化を進めます。

6〜24時間

報告対象事態の暫定判定

個人データ性、要配慮個人情報、財産的被害、不正目的行為、1,000人超、暗号化、委託関係、マイナンバー、海外法令の有無を確認します。

1〜5日

速報、本人通知方針、初期公表方針

把握済み事実と未判明事項を分けて速報し、本人通知の時期、代替措置、問合せ窓口、公表の必要性を決めます。

5〜30日又は60日

確報と追完

対象者数、原因、二次被害、本人通知、公表、再発防止、委託先調査、他当局対応を整理し、未判明事項は追完予定を明示します。

確報後

再発防止と監査

規程改定、アクセス権限見直し、ログ監視、教育、内部監査、取締役会報告、監査役・監査法人説明、顧客対応を継続します。

次の判断の流れは、初動時点で報告対象事態に当たるかを整理するためのものです。読者にとって重要なのは、確定的な結論を急ぐのではなく、どの分岐で追加調査や任意報告が必要になるかを記録する点です。上から順に、対象情報、漏えい等の有無、4類型、高度な暗号化等、報告主体を確認します。

報告対象事態の判断の流れ

事故又は事故のおそれを認識

発覚日時、発見者、最初に知った部署を記録します。

対象情報は個人データですか

不正目的行為型では、取得予定の個人情報も確認します。

漏えい、滅失、毀損、又はそのおそれがありますか

ログ、外部通信、回収状況、復元可能性を確認します。

4類型のいずれかに該当しますか

要配慮個人情報、財産的被害、不正目的行為、1,000人超を確認します。

該当
速報準備へ進みます

報告主体、報告先、本人通知、公表、確報期限を決めます。

非該当
根拠を記録します

任意報告、契約上の報告、業法報告、社内報告を検討します。

Section 08

個人情報保護委員会PPCへの報告実務で多い典型事案

メール誤送信、端末紛失、ランサムウェア、Webスキミング、従業者不正を、確認事項ごとに整理します。

典型事案ごとに確認する事実は異なります。メール誤送信では閲覧・削除確認、端末紛失では暗号化と鍵管理、ランサムウェアでは窃取の痕跡、Webスキミングでは正規導線の改ざん、従業者不正では持出し範囲と証拠保全が重要になります。

次の一覧は、代表的な事故類型ごとの確認事項を示しています。読者にとって重要なのは、同じ「漏えい等」でも、証拠、報告類型、本人通知、再発防止策が事故類型で変わる点です。各項目から、初動で集める情報を読み取ります。

01

メール誤送信

誤送信先、閲覧有無、削除有無、転送有無、対象情報、1,000人超、要配慮個人情報、財産的被害のおそれを確認します。

誤送信
02

USBメモリ・ノートPC・紙資料の紛失

最終使用日時、紛失場所、持出し承認、暗号化方式、復号鍵管理、遠隔消去、警察届出、回収可能性を確認します。

紛失
03

ランサムウェア

暗号化による毀損、外部送信の痕跡、脅迫文、公開サイト掲載、情報窃取型マルウェア、バックアップ状況、共通様式の利用を確認します。

不正目的行為
04

Webスキミング・フォーム改ざん

決済ページ、会員登録、資料請求、採用応募、問合せフォームなどで、入力情報が第三者へ送信されたかを確認します。

取得予定情報
05

従業者による不正持出し

持出し者、持出し手段、対象データ、外部提供の有無、アクセスログ、懲戒、刑事・民事対応、退職者管理を確認します。

内部不正
06

不正アクセスで流出確証がない場合

外部通信、管理者操作、DBクエリ、VPN、WAF、EDR、SIEM、クラウド監査ログを確認し、おそれの有無を整理します。

調査中

典型事案の調査では、復旧を急ぐあまり証跡を破壊しないことが重要です。端末再起動、ログ削除、バックアップ上書き、攻撃者との通信、身代金交渉などは、法務、セキュリティ、フォレンジック、経営の統制下で進めます。

Section 09

個人情報保護委員会PPCへの報告実務を支える体制・証跡・チェックリスト

法務、セキュリティ、経営、広報、監査が同じ事実を見て動く体制を、平時から整えます。

個人情報保護委員会PPCへの報告実務は、単独部署では完結しません。経営層、法務、プライバシー担当、情報セキュリティ、フォレンジック、事業部門、広報・IR、CS、人事、内部監査、監査役、会計・保険が、それぞれの役割で同じ事実を扱います。

次の比較表は、事故対応で主な部署が担う役割を整理したものです。読者にとって重要なのは、PPC報告の文面だけでなく、本人対応、証跡、経営判断、監査対応が同時に発生する点です。各役割が、どの情報を集め、どの判断につなげるかを読み取ります。

役割主な担当事項
経営層・危機対策本部重大性判断、リソース投入、対外方針、取締役会報告、事業継続判断を担います。
法務・企業内弁護士法第26条該当性、報告主体、報告先、本人通知、委託契約、損害賠償、証拠保全を整理します。
情報セキュリティ・CISO封じ込め、ログ保全、原因調査、再発防止、外部フォレンジック管理を担います。
広報・IR公表、メディア対応、投資家対応、FAQ、対外メッセージの統一を担います。
CS・コールセンター本人問合せ、本人確認、苦情対応、二次被害相談、記録管理を担います。
内部監査・監査役事後検証、統制不備評価、改善計画のフォロー、取締役の職務執行監査を担います。

次の一覧は、平時に整備しておく文書、台帳、訓練を示しています。読者にとって重要なのは、事故後にゼロから作るのではなく、速報3〜5日以内に使える材料を平時から持っておく点です。各項目から、対応スピードを左右する準備物を読み取ります。

文書類

個人情報取扱規程、安全管理措置規程、インシデント対応規程、漏えい等対応マニュアル、PPC報告判定手順、本人通知テンプレートを整えます。

台帳・技術情報

個人データ台帳、システム台帳、委託先台帳、クラウド台帳、権限管理台帳、ログ保存期間、暗号化・鍵管理台帳を整えます。

訓練

メール誤送信訓練、ランサムウェア机上演習、Webスキミング検知訓練、委託先事故連絡訓練、本人通知・問合せ対応訓練を行います。

証跡

発覚日時、対策本部議事録、該当性検討メモ、提出控え、本人通知文、公表文、ログ、委託先報告書、再発防止策の実施記録を残します。

経営者、取締役、監査役は、速報期限、起算点、30日又は60日の確報期限、本人通知、公表、委託先責任、二次被害、証跡保全、再発防止、適時開示、役員責任を確認します。命令違反では、行為者に1年以下の拘禁刑又は100万円以下の罰金、法人に一定の場合で1億円以下の罰金が科され得るため、PPC報告は企業統治上の重要課題です。

次の比較表は、事故対応の各段階で確認する項目をまとめたものです。読者にとって重要なのは、発覚直後、速報前、本人通知、確報の各段階で、必要な確認事項が変わる点です。左列で段階を確認し、右列で抜け漏れを点検します。

段階主な確認事項
発覚直後発覚日時、責任者報告、被害拡大防止、証跡保全、対象情報、対象者数、委託関係、マイナンバー、4類型を確認します。
速報前該当性、起算点、速報期限、報告主体、報告先、権限委任先、9項目、本人通知、公表、経営報告を確認します。
本人通知通知対象者、本人ごとの情報項目、PPC報告との整合、問合せ窓口、通知困難者への代替措置を確認します。
確報期限算定根拠、9項目、未判明事項への合理的努力、追完予定、再発防止、委託先調査、本人対応状況を確認します。
Section 10

個人情報保護委員会PPCへの報告実務でよくある質問

FAQは一般的な制度説明として整理し、個別事案の結論は専門家へ相談して確認する形にします。

Q1. 1人分の個人データだけならPPC報告は不要ですか

一般的には、要配慮個人情報型、財産的被害型、不正目的行為型では、1人分でも報告対象となる可能性があります。ただし、対象情報、事故態様、証拠関係、暗号化、委託関係によって判断は変わります。具体的な対応は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

Q2. 原因が未確定でも速報は必要ですか

一般的には、報告対象事態を知った場合、原因が未確定でも、把握している内容で速報するとされています。ただし、未判明事項や調査予定の書き方は事案により変わります。具体的な対応は、ログや調査資料を整理したうえで弁護士等の専門家へ相談する必要があります。

Q3. 法務部が知らなければ期限は進みませんか

一般的には、法人ではいずれかの部署が当該事態を知った時点が基準になり得るとされています。ただし、従業者不正や社内報告経路の状況によって整理は変わります。具体的な起算点は、発覚記録や社内連絡記録を確認したうえで弁護士等の専門家へ相談する必要があります。

Q4. 委託先で事故が起きた場合、委託先だけが報告しますか

一般的には、委託元と委託先の双方が報告義務を負う場合があります。ただし、委託先が委託元へ所定事項を速やかに通知した場合、委託先の報告義務が免除される可能性があります。具体的には、委託契約、事故対象データ、通知内容を確認したうえで弁護士等の専門家へ相談する必要があります。

Q5. クラウド事業者が個人データを取り扱わない契約なら、クラウド事業者は報告不要ですか

一般的には、クラウドサービス提供事業者が個人データを取り扱わない契約であれば、クラウド利用事業者が報告義務を負う整理になることがあります。ただし、契約内容、実際のアクセス権限、ログ提供、代行報告の有無によって対応は変わります。具体的な判断は、契約書と技術資料を確認したうえで弁護士等の専門家へ相談する必要があります。

Q6. 本人通知と公表は同じですか

一般的には、本人通知は本人に直接知らせる対応であり、公表とは異なります。公表は本人通知の代替措置となる場合もありますが、それ以外では常に義務とは限りません。ただし、事案の社会的影響や二次被害防止の必要性によって判断は変わります。具体的な方針は、通知対象者や公表内容を整理したうえで弁護士等の専門家へ相談する必要があります。

Q7. 公表すれば本人通知をしなくてよいですか

一般的には、単に公表しただけで本人通知義務が当然に消えるわけではありません。本人通知が困難な場合に、本人の権利利益を保護するため必要な代替措置として公表等が認められることがあります。具体的には、連絡先の有無、通知可能性、公表内容を確認したうえで弁護士等の専門家へ相談する必要があります。

Q8. 警察やJPCERT/CCへ連絡すればPPC報告は不要ですか

一般的には、PPC報告、警察相談、サイバー関係機関への連絡、所管官庁報告、契約上の報告は目的と根拠が異なります。PPC報告義務がある場合には、別途PPC又は権限委任先へ報告する必要があります。具体的な報告先は、事故類型と業種を確認したうえで弁護士等の専門家へ相談する必要があります。

Q9. 個人情報が暗号化されていれば報告不要ですか

一般的には、暗号化されていれば常に報告不要という整理にはなりません。第三者が見読可能な状態にすることが困難な暗号技術が適切に実装され、復号鍵等が適切に管理されていることが求められます。具体的には、暗号方式、鍵管理、端末管理、遠隔削除、パスワード強度を確認したうえで弁護士等の専門家へ相談する必要があります。

Q10. 報告対象事態に該当しない事故は対応不要ですか

一般的には、PPC報告義務がない場合でも、被害拡大防止、原因究明、本人対応、取引先対応、契約上の報告、社内規程上の報告、再発防止、任意報告の検討が必要になることがあります。具体的には、事故内容と関係者を整理したうえで弁護士等の専門家へ相談する必要があります。

Reference

この記事の参考資料

一次情報

  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』に関するQ&A」
  • 個人情報保護委員会「法令・ガイドライン等」
  • e-Gov法令検索「個人情報の保護に関する法律」
  • e-Gov法令検索「個人情報の保護に関する法律施行規則」