報告対象判断、本人通知、証拠保全、公表、委託先対応を、企業法務と情報セキュリティの両面から整理します。
報告対象判断、本人通知、証拠保全、公表、委託先対応を、企業法務と情報セキュリティの両面から整理します。
最初に、初動48時間が何のための期間なのかを整理します。
個人情報漏えい発覚時の初動48時間は、法律上の独立した期限ではありません。とはいえ、発覚後の数時間で被害拡大の停止、証拠保全、報告対象事態の見極め、本人通知や公表の準備を同時に進められるかが、その後の当局報告と説明責任を大きく左右します。
このページでは、企業法務、個人情報保護、情報セキュリティ、危機管理広報、経営判断を一体で動かすために、初動48時間の目的を4つに整理します。各項目は、読者が最初に何を優先し、どの証跡を残し、どの判断を後回しにしないかを読み取るために重要です。
| 初動48時間の目的 | 実務で行うこと |
|---|---|
| 拡大防止 | 外部公開、権限悪用、マルウェア横展開、誤送信先での閲覧や再配布を止めます。 |
| 事実確認 | いつ、どこで、誰の、どの情報が、何件、どの経路で漏えい等したかを暫定的に把握します。 |
| 法的判断 | 報告対象事態、本人通知、委託元・委託先通知、業法報告、警察相談、公表、取締役会報告の要否を整理します。 |
| 説明可能性 | 監督当局、本人、取引先、株主、監査人、メディアに対して、合理的な意思決定過程を説明できる記録を残します。 |
初動対応で起きやすい失敗は、事実確認が完了するまで速報を先送りすること、善意で端末を初期化して証拠を失うこと、広報文で断定しすぎること、委託先からの口頭連絡だけで期限管理を始めないことです。漏えいそのものだけでなく、発覚後に会社が何を知り、誰が、いつ、どの根拠で措置を決めたかが問われます。
初動48時間で最も重要な考え方を短くまとめると、被害を止め、証拠を残し、事実と評価を分け、必要な相手に知らせ、後から説明できる状態を作ることです。
速報の目安は発覚日から3〜5日以内と案内されていますが、48時間時点で影響範囲、報告対象該当性、本人通知や公表の方針が整理されていないと、期限内の報告品質が低下します。
個人情報、個人データ、漏えい等、おそれ、発覚日の意味を確認します。
個人情報漏えい発覚時の初動48時間では、対象情報を狭く見積もらないことが重要です。次の比較表は、法的判断の出発点になる概念の違いを表します。どの概念に当たるかで報告、本人通知、委託先対応の要否が変わるため、定義と実務上の確認事項を一緒に読み取る必要があります。
| 概念 | 意味と初動での確認事項 |
|---|---|
| 個人情報 | 生存する個人に関する情報で、特定の個人を識別できるもの、または個人識別符号が含まれるものです。メールアドレス、会員ID、注文番号、相談内容、位置情報、ログデータも他情報と照合できる場合は対象になり得ます。 |
| 個人データ | 個人情報データベース等を構成する個人情報です。顧客DB、CRM、従業員名簿、人事労務システム、採用管理システム、問い合わせ台帳、紙の索引付きファイル、外部クラウド上のリストなどを確認します。 |
| 漏えい等 | 外部流出だけでなく、滅失や毀損も含めて確認します。ランサムウェアによる暗号化、バックアップ破壊、利用不能化も問題になります。 |
| おそれ | 漏えい等が確定していない段階でも、個人データを含むサーバにアクセスされた可能性がある場合などは対応を始めます。 |
| 発覚日 | 会社が漏えい等またはそのおそれを認識した日が期限管理の起点になります。現場部門や委託先が知った時刻も記録します。 |
「氏名がないから個人情報ではありません」と即断すると、メールアドレス、端末ID、Cookie ID、IPアドレス、配送番号、相談履歴などを見落とすおそれがあります。初動では、確定事実、推定事実、未確認事項、否定された事項を分けて、後から再評価できる形で残します。
報告対象事態、速報、確報、本人通知、公表の基本線を整理します。
個人情報漏えいの報告要否は、すべての事故を一律に扱うのではなく、報告対象事態の類型に当てはめて判断します。次の比較表は、どの類型で何を優先確認するかを表します。件数だけでなく、情報の性質、不正目的、財産的被害の可能性を読み取ることが重要です。
| 報告対象事態の類型 | 典型例 | 初動での注意点 |
|---|---|---|
| 要配慮個人情報を含む個人データの漏えい等 | 健康診断情報、病歴、障害、犯罪歴、医療情報、労務上のメンタルヘルス情報です。 | 件数が少なくても報告対象になり得ます。本人通知の文面は特に慎重に作成します。 |
| 財産的被害が生じるおそれがある個人データの漏えい等 | クレジットカード情報、決済情報、ログインID、パスワード、認証情報です。 | 二次被害防止を優先し、カード停止、パスワードリセット、アカウント凍結を検討します。 |
| 不正の目的をもって行われたおそれがある漏えい等 | 不正アクセス、ランサムウェア、内部者による持ち出し、窃盗、外部攻撃です。 | 確報期限が60日以内の類型に当たり得ます。警察、JPCERT/CC、IPA等との連携も検討します。 |
| 1,000人を超える本人に係る漏えい等 | CC/BCCミス、大量会員DBの公開、クラウド設定ミス、大量帳票紛失です。 | 件数確認が未了でも、1,000人超の可能性がある時点で速報準備を進めます。 |
速報、確報、本人通知の期限は、初動48時間の外側に見えますが、必要情報の多くは48時間以内に収集方針を決める必要があります。次の時系列は、いつまでに何を整えるかを表します。期限と作業の関係を読み取り、48時間時点で速報に必要な材料が不足していないか確認します。
発見者、発見時刻、発覚経路、会社としての認知時刻を記録し、報告対象4類型への暫定評価を始めます。
事実が完全でなくても、把握済み事項、推定、調査中事項、今後の予定を分けて報告できる状態にします。
原因、対象範囲、本人対応、再発防止策を整理します。初動でログや議事録を失うと確報品質が低下します。
ランサムウェア、不正アクセス、内部不正などでは、フォレンジック調査と刑事・民事対応を見据えます。
速報は調査完了報告ではありません。対象人数、攻撃経路、二次被害の有無が未確定でも、分かっている事項と分かっていない事項を切り分けて、提出可能な形へ整理します。
速報段階で整理する項目は、概要、対象情報、対象人数、原因、二次被害、本人対応、公表状況、再発防止、警察相談や業法報告などです。本人通知は謝罪文にとどまらず、本人が権利利益を守るために何を確認すればよいかを示す情報提供として作成します。
止血、保全、判断、説明を一体で進める考え方を示します。
初動48時間は、止血、保全、判断、説明を同時に進める必要があります。次の一覧は、各層の担当と目的を並べたものです。部門ごとに合理的な行動が衝突しやすいため、どの層が何を守ろうとしているかを読み取り、対策本部で統合することが重要です。
| 層 | 主担当 | 目的 |
|---|---|---|
| 止血 | IT、CSIRT、CISO、システム運用、委託先 | 漏えい継続、攻撃継続、誤公開継続、権限悪用を止めます。 |
| 保全 | デジタルフォレンジック、法務、内部監査、IT | ログ、端末、メール、クラウド監査証跡、意思決定記録を保存します。 |
| 判断 | 法務、個人情報保護担当、外部専門家、経営陣 | 報告対象、本人通知、公表、契約通知、業法報告、警察相談を決めます。 |
| 説明 | 広報、カスタマーサポート、営業、IR、人事、経営陣 | 本人、取引先、当局、従業員、株主、メディアへの説明を統一します。 |
初動では、完全な原因究明よりも、被害拡大防止と暫定的な説明可能性を優先します。次の重要ポイントは、48時間時点で作るべき状態を示します。事故対応を止めずに、何が分かり、何が未確認で、次に何を確認するかを読み取るために役立ちます。
漏えい等が継続していないか管理され、重要証拠が保全され、報告対象事態への該当可能性が分類され、本人に直ちに知らせる危険があるかを判断し、経営陣がリスクと次の期限を理解している状態です。
事実、評価、未確認事項を分けることは、法務、セキュリティ、広報、経営の共通言語になります。次の比較表は、同じ出来事をどの粒度で記録するかを表します。断定を避けながら説明可能性を確保するため、分類ごとの書き方を読み取ります。
| 分類 | 記録例 | 記録方法 |
|---|---|---|
| 確認済み事実 | 外部IPから管理画面ログイン成功ログがあります。 | 証拠番号、ログ名、確認者、確認時刻を記録します。 |
| 暫定評価 | 通常利用地域外からのアクセスで、不正アクセスの可能性が高い状態です。 | 評価者、根拠、反証可能性を記録します。 |
| 未確認事項 | 個人データのダウンロード有無は未確認です。 | 調査担当、調査期限、必要ログを記録します。 |
0時間から48時間までに何を決めるかを時間帯別に整理します。
個人情報漏えいの初動48時間は、時間帯ごとに優先事項が変わります。次の時系列は、0〜1時間、1〜4時間、4〜12時間、12〜24時間、24〜48時間で到達すべき状態を表します。順番には意味があり、早い時間帯ほど被害拡大防止と証拠保全、後半ほど報告・通知・復旧統制を読み取ることが重要です。
通報者、時刻、発見経路、初期証拠を記録し、対策本部を起動します。ログ消去や端末初期化を避けつつ、公開停止や権限無効化などの一次封じ込めを行います。
対象システム、媒体、個人データ、情報項目、人数、類型、継続性、二次被害、報告対象該当性を整理します。
本部長、法務、セキュリティ、フォレンジック、事業部門、広報、人事、内部監査が役割を分け、第1回会議で起算点、報告対象、本人通知、公表、外部連絡を決めます。
速報ドラフトを作り、確定事実、暫定評価、調査中事項、今後の調査予定、被害拡大防止措置、通知や公表の予定を分けます。
速報提出時期、承認者、提出先を決め、本人通知文、FAQ、問い合わせ窓口、復旧条件、再発防止の暫定措置、監視強化を整えます。
トリアージでは、何が発見されたか、いつ発生し発覚したか、どのシステムや媒体か、どの個人データか、何人分か、継続中か、二次被害はあるか、報告対象かを確認します。次の比較表は、初期分類ごとの初動方針を表します。事案名だけで軽重を決めず、証拠と被害可能性から方針を読み取ります。
| 事案 | 初期分類 | 初動方針 |
|---|---|---|
| 顧客リストを誤ってCCで送信 | 誤送信、漏えい | 送信先確認、削除依頼、対象情報と人数確認、本人通知要否、公表要否、1,000人超確認を行います。 |
| クラウドストレージのURLが外部公開 | 誤設定、漏えいのおそれ | 公開停止、アクセスログ保全、ダウンロード有無確認、検索エンジンキャッシュ確認を行います。 |
| 従業員PCがランサムウェア感染 | 不正目的のおそれ、毀損・漏えいのおそれ | ネットワーク隔離、ログ保全、感染範囲確認、個人データ保管有無、共通様式の利用を検討します。 |
| 元従業員が顧客名簿を持ち出し | 内部不正、不正目的のおそれ | アカウント停止、証拠保全、労務・刑事・民事対応、本人通知・当局報告判断を行います。 |
| 暗号化済みノートPCを紛失 | 紛失、漏えいのおそれ | 暗号化状態、鍵管理、リモートワイプ、ログ、保管情報、報告要否を確認します。 |
第1回対策本部会議では、長い原因分析よりも意思決定を優先します。議題は、最初の検知、会社としての発覚時刻、漏えい継続の有無、対象個人データ、報告対象事態、本人への警告、委託先や取引先への通知、警察・JPCERT/CC・IPA・保険会社への連絡、公表可能性、次回会議までの責任者と期限です。
法務、セキュリティ、広報、経営、周辺専門職の役割を整理します。
個人情報漏えい対応では、単一部門だけで判断すると、証拠保全、復旧、法令対応、広報が分裂しやすくなります。次の一覧は、専門職・部門ごとの主な役割を表します。誰が何を担い、どの時点で連携すべきかを読み取ることで、対策本部の抜け漏れを防ぎます。
報告対象事態、速報・確報、本人通知、公表、契約通知、当局対応、取締役会報告、将来紛争に備えた証拠保全を統合します。
法令判断 文案確認対象データ、個人データ該当性、要配慮情報、財産的被害リスク、データ台帳、本人通知対象者の抽出条件を確認します。
データ特定 通知準備ネットワーク隔離、アカウント停止、ログ保全、脆弱性確認、侵入経路調査、影響システム特定、安全な復旧条件を担います。
止血 復旧証拠保全方針、ディスクイメージ、メモリ、ログ、クラウド証跡、チェーン・オブ・カストディ、持ち出し可能性の初期評価を支援します。
証拠保全 解析本人通知文案、FAQ、問い合わせ窓口、本人確認手順、取引先説明、メディア対応、SNS監視を担当します。
説明統一 窓口設計事案の重要性、被害拡大防止、本人・取引先影響、サービス停止、公表、金銭影響、再発防止投資を監督します。
経営判断 監督周辺専門職は、事案に応じて関与します。次の比較表は、内部監査、公認会計士、税理士、社労士、知財・業法・海外法務の関与場面を表します。常時参加ではなく、どの論点が出たら誰を入れるかを読み取ることが重要です。
| 専門職・部門 | 関与場面 |
|---|---|
| 内部監査担当 | 対応プロセスの検証、統制不備の把握、再発防止策のモニタリングを行います。 |
| 公認会計士・フォレンジック会計士 | 不正会計、横領、補償費用、引当、監査上の影響、財務報告リスクを確認します。 |
| 税理士 | 補償金、保険金、損害賠償、費用処理等の税務論点を確認します。 |
| 社会保険労務士・労務法務担当 | 従業員情報漏えい、内部不正、懲戒、労務管理、労働組合対応を支援します。 |
| 知財・業法・海外法務 | 営業秘密、ソースコード、許認可業種の報告、海外居住者や越境移転が関係する場合に検討します。 |
報告対象になるか、報告しない場合に何を残すかを整理します。
報告対象事態の判断は、個人データ性、漏えい等またはそのおそれ、4類型、暗号化、委託関係、他法令報告の順に確認すると整理しやすくなります。次の判断の流れは、どの順序で確認すれば見落としを減らせるかを表します。上から順に未確認事項を潰し、報告しない判断にも根拠が必要だと読み取ることが重要です。
対象情報が個人情報データベース等を構成する個人情報かを確認します。
漏えい、滅失、毀損、外部アクセス、利用不能化、未確定の可能性を整理します。
要配慮個人情報、財産的被害、不正目的のおそれ、1,000人超を確認します。
鍵管理、パスワード強度、端末ログイン状態、遠隔消去、攻撃者権限を総合評価します。
委託元・委託先、業法当局、警察、海外当局、取締役会報告の要否を整理します。
事案類型ごとの判断は、報告対象になりやすい事情と慎重判断が必要な事情を分けて見ると過不足を減らせます。次の比較表は、典型類型ごとの評価軸を表します。名称だけでなく、件数、情報項目、アクセス可能性、ログ完全性を読み取ります。
| 類型 | 報告対象になりやすい事情 | 慎重判断が必要な事情 |
|---|---|---|
| メール誤送信 | 要配慮個人情報、認証情報、多数者、外部第三者、削除確認不能です。 | 送信先が社内権限者のみ、即時削除確認済み、個人データ性が限定的な場合です。 |
| CC/BCCミス | 外部顧客間でメールアドレスが相互閲覧可能、1,000人超です。 | 件数が少数でも財産的被害や要配慮情報があれば報告対象になり得ます。 |
| クラウド誤公開 | 外部からアクセス可能、アクセスログに第三者閲覧、検索エンジン登録があります。 | 公開時間が短く閲覧ログがない場合でも、ログ完全性を確認します。 |
| 不正アクセス | 個人データ保存領域へのアクセス、管理者権限侵害、ダウンロードログがあります。 | アクセス範囲が未確定でも「おそれ」で判断します。 |
| ランサムウェア | 個人データ暗号化、外部送信通信、攻撃者の窃取主張があります。 | 外部流出未確認でも、毀損や不正目的のおそれを検討します。 |
| 紛失・盗難 | 暗号化なし端末、紙帳票、USB、持ち出し経路不明です。 | 高度な暗号化、遠隔消去、鍵未漏えい、ログイン不能性を確認します。 |
| 内部不正 | 顧客名簿持ち出し、転職先利用、販売、私物端末送信です。 | 権限内閲覧でも、目的外利用や持ち出しがあれば不正目的を検討します。 |
| 委託先事故 | 委託元の個人データ、委託先からの事故報告、再委託先事故です。 | 委託先通知を受けた時点で、委託元側の認知時点が問題になります。 |
報告しないと判断する場合も、事案概要、対象情報、個人データ該当性、漏えい等またはそのおそれ、4類型、暗号化やアクセス制御、本人の権利利益侵害のおそれが乏しいと評価した理由、判断者、承認者、日時、再評価条件を記録します。
ログ、端末、クラウド証跡、意思決定記録をどの順番で残すかを示します。
証拠保全は、技術調査だけでなく、当局報告、本人通知、契約交渉、保険、訴訟、内部処分、再発防止のために必要です。次の比較表は、初動48時間で保全すべき証拠の種類を表します。後から消えるものほど優先度が高いと読み取り、復旧作業の前に保存方法を決めます。
| 証拠 | 例 |
|---|---|
| システムログ | Webアクセスログ、認証ログ、管理画面ログ、DBログ、アプリケーションログ、OSログです。 |
| クラウド監査ログ | IAM、SaaS監査ログ、ストレージアクセスログ、APIログ、設定変更履歴です。 |
| ネットワーク証跡 | Firewall、VPN、EDR、IDS/IPS、Proxy、DNS、メールゲートウェイです。 |
| 端末証拠 | PC、スマートフォン、USB、外付けHDD、メモリ、ディスクイメージです。 |
| メール・チャット | 通報メール、委託先連絡、社内指示、顧客問い合わせ、攻撃者メールです。 |
| 設定情報 | アクセス権限、公開設定、共有リンク、転送設定、認証設定です。 |
| 業務資料 | データ台帳、委託契約、処理手順、運用手順、教育記録です。 |
| 意思決定記録 | 対策本部議事録、承認履歴、報告文案、判断メモです。 |
ログ保全では、保存期間、取得権限、時刻の基準、上位プランでしか取れない監査ログ、エクスポート操作の記録、数日で上書きされるログを確認します。次の一覧は、見落とすと後日の説明が難しくなる盲点を表します。読者は、自社のSaaSやクラウドで同じ弱点がないかを読み取ります。
SaaS監査ログやEDR元ログは短期間で失われることがあります。発覚後すぐにエクスポートします。
ファイル閲覧ログや高度な監査ログが契約プランで取得できるかを確認します。
JST、UTC、現地時間が混在すると時系列が崩れます。基準時刻を明記します。
再構築や設定変更の前にスナップショット、主要ログ、設定情報を保存します。
誰が、いつ、どの方法でログを取得したかを記録し、改ざん可能性を説明できるようにします。
証拠名、取得日時、取得者、ハッシュ値、保管場所、アクセス権限、複製履歴を残します。
復旧と証拠保全は衝突しやすい論点です。事業部門は早期復旧を求め、フォレンジック担当は保存を求めます。復旧前には、影響端末やサーバのイメージまたはスナップショット、主要ログ、設定情報、必要なメモリ情報、攻撃者の接続情報やマルウェア検体、復旧作業の変更履歴を残します。
本人が行動できる通知文、公表文、問い合わせ窓口を設計します。
本人通知は、会社の謝罪文にとどまらず、本人が二次被害を防ぐために行動できる文書にする必要があります。次の一覧は、良い通知に含める要素を表します。対象者が自分に関係するか、何を確認すればよいか、どこに問い合わせればよいかを読み取れることが重要です。
対象となる可能性のある本人の範囲、対象情報項目、対象期間、連絡を受ける理由を示します。
不正利用、フィッシング、なりすまし、金銭被害、身に覚えのないログイン履歴などの確認事項を示します。
実施済み措置、今後の対応、再発防止、問い合わせ窓口、更新予定を示します。
通知文では、断定しすぎる表現を避け、現時点の調査範囲と根拠を明らかにします。次の比較表は、避ける表現と改善例を表します。本人保護と説明責任の両立のため、読み手が誤解しやすい言い回しを確認します。
| 避ける表現 | 問題点 | 改善例 |
|---|---|---|
| 被害はありません | 将来の不正利用が判明した場合に矛盾します。 | 現時点で不正利用の事実は確認されていません。 |
| 流出していません | 調査範囲が限定的な場合、断定できません。 | 現時点の調査では、外部への持ち出しを示すログは確認されていません。 |
| 念のため | 本人の権利利益保護の必要性を軽く見せます。 | 二次被害防止のため、以下の点をご確認ください。 |
| 詳細は調査中ですだけ | 本人が何をすればよいか分かりません。 | 調査中事項と本人に確認していただきたい事項を分けて記載します。 |
| 原因は委託先です | 責任転嫁に見え、委託元責任の説明になりません。 | 委託関係と自社の対応責任を整理して説明します。 |
問い合わせ窓口は、本人確認ミスによる追加漏えいを防ぐためにも設計が必要です。受付チャネル、受付時間、本人確認方法、代理人対応、対応履歴、FAQ、個別調査のエスカレーション、苦情・損害申告、メディア問い合わせ、不審連絡の受け方を決めます。
公表文は、表題、お詫び、事案概要、発覚の経緯、対象者範囲、対象情報、原因または暫定原因、二次被害の有無、実施済み対応、今後の対応、本人や取引先へのお願い、問い合わせ先、更新履歴で構成します。セキュリティ上の詳細を過度に開示すると攻撃を助長するおそれがあるため、技術情報は必要最小限にします。
委託元、委託先、クラウドベンダーが関与する場合の確認事項を示します。
委託先で発生した個人情報漏えいは、委託元にとっても重大な法務リスクになります。次の比較表は、委託先から連絡を受けた直後に確認すべき事項を表します。委託先の調査待ちで止まらず、自社の報告、本人通知、公表、契約通知の判断に必要な情報を読み取ります。
| 確認事項 | 質問例 |
|---|---|
| 発覚時刻 | いつ、誰が、どのように発見しましたか。 |
| 対象データ | 自社の個人データが含まれますか。どの業務や契約に関係しますか。 |
| 対象人数 | 自社分の最大対象人数は何人ですか。 |
| 情報項目 | 氏名、住所、連絡先、認証情報、決済情報、要配慮個人情報は含まれますか。 |
| 原因 | 誤送信、設定ミス、不正アクセス、内部不正、再委託先事故のどれですか。 |
| 継続性 | 漏えい等は停止しましたか。攻撃は継続していますか。 |
| 証拠 | ログ、画面、メール、報告書、フォレンジック計画はありますか。 |
| 第三者 | 再委託先、クラウド、海外拠点、他顧客への影響はありますか。 |
| 対応 | 委託先が行った封じ込め、本人通知、公表、当局報告の予定はありますか。 |
| 契約 | 事故通知条項、協力義務、損害賠償、監査権、再委託条項はどうなっていますか。 |
クラウドやSaaSでは、物理サーバを直接保全できないため、管理画面、契約、サポート窓口を通じて証跡を確保します。次の一覧は、クラウド事故で確認すべき論点を表します。自社で取得できる証跡とベンダーに求める証跡を分けて読み取ります。
保存期間、取得権限、管理者操作履歴、APIキー、アクセストークン、OAuth連携を確認します。
共有リンク、外部共有、公開範囲、検索エンジン登録、外部アーカイブを確認します。
多要素認証、条件付きアクセス、海外リージョン、越境移転を確認します。
ベンダーの事故通知義務、サブプロセッサ、再委託先、緊急サポート時間を確認します。
委託契約には、漏えい等またはそのおそれを認識した場合の通知期限、通知事項、24時間365日の緊急連絡先、ログ・証跡・調査資料の提供義務、再委託先事故の報告義務、当局報告・本人通知・公表への協力義務、フォレンジック調査への協力、費用負担、損害賠償、監査権、証拠保全義務、秘密保持と公表調整を定めます。
誤送信、クラウド誤公開、不正アクセス、ランサムウェア、紛失、内部不正を整理します。
個人情報漏えいの類型ごとに、最初に押さえる証拠と法務上の注意点は異なります。次の一覧は、6つの典型類型ごとの初動対応を表します。どの類型でも、止血、証拠保全、対象者範囲、報告対象、本人通知、公表の順に読み取ることが重要です。
送信メール、添付ファイル、宛先、送信時刻を保全し、削除依頼、回答保存、添付内容、対象者数、報告対象、本人通知、公表を確認します。
誤送信 削除確認公開停止前の設定画面、アクセスログ、ダウンロードログ、共有リンク生成履歴、検索エンジンキャッシュ、公開ファイル一覧を確認します。
誤公開 ログ確認攻撃元、侵害アカウント、侵害端末、侵害システムを特定し、認証情報リセット、多要素認証、ログ保全、外部送信痕跡を確認します。
不正目的 外部相談感染端末・サーバを隔離し、バックアップ、攻撃者通信、外部送信ログ、暗号化範囲、個人データ保存領域、復旧優先順位を確認します。
毀損 共通様式時刻、場所、状況、警察届出、暗号化、ログイン状態、リモートワイプ、保存個人データ、紙媒体の回収可能性を確認します。
紛失 暗号化アカウント停止、メール転送、クラウド同期、USB接続、印刷、ダウンロードログ、私物端末送信、ヒアリング前の証拠保全を確認します。
内部不正 労務連携ランサムウェアでは、外部流出と毀損が同時に問題になります。攻撃者の窃取主張、リークサイト掲載、データサンプルの真正性、対象個人データの範囲を確認し、警察相談や共通様式の利用も検討します。
内部不正では、個人情報保護法だけでなく、労働法、刑法、不正競争防止法、民事保全、証拠保全、懲戒、退職者対応が交錯します。ヒアリングより前に証拠を保全し、証拠隠滅を防ぐ設計が重要です。
時間帯別・部門別に確認すべき項目を整理します。
初動48時間では、全社共通、法務、セキュリティ・IT、広報・顧客対応のチェックを並行して進めます。次の一覧は、時間帯ごとの全社共通項目を表します。完了欄は社内での進捗管理に使い、未完了項目が次の期限に影響しないかを読み取ります。
| 時間帯 | チェック項目 | 完了 |
|---|---|---|
| 0〜1時間 | 発見者、発見時刻、発見経路を記録しました。 | □ |
| 0〜1時間 | インシデント責任者と対策本部を起動しました。 | □ |
| 0〜1時間 | 漏えい継続・攻撃継続の有無を確認しました。 | □ |
| 0〜1時間 | 不用意な初期化・ログ削除・証拠破壊を止めました。 | □ |
| 1〜4時間 | 対象システム・媒体・個人データを暫定特定しました。 | □ |
| 1〜4時間 | 要配慮、財産的被害、不正目的、1,000人超を確認しました。 | □ |
| 1〜4時間 | 主要ログ、端末、クラウド証跡を保全しました。 | □ |
| 4〜12時間 | 第1回対策本部会議を開催し、議事録を作成しました。 | □ |
| 4〜12時間 | 委託元・委託先・取引先への通知義務を確認しました。 | □ |
| 4〜12時間 | 経営陣・監査役等への初期報告を行いました。 | □ |
| 12〜24時間 | 個人情報保護委員会等への速報ドラフトを作成しました。 | □ |
| 12〜24時間 | 本人通知・公表の要否と方針を検討しました。 | □ |
| 12〜24時間 | 問い合わせ窓口・FAQ・顧客対応手順を準備しました。 | □ |
| 24〜48時間 | 速報提出時期、承認者、提出先を確定しました。 | □ |
| 24〜48時間 | 復旧条件、再発防止の暫定措置、監視強化を決めました。 | □ |
| 24〜48時間 | 3〜5日、30日、60日に向けたタスク管理表を作成しました。 | □ |
部門別チェックでは、専門性ごとの見落としを防ぎます。次の一覧は、法務、セキュリティ・IT、広報・顧客対応がそれぞれ確認する代表項目を表します。部門別に分けることで、対策本部で未了タスクの責任者を読み取りやすくなります。
個人データ、要配慮情報、財産的被害、不正目的、1,000人超、委託契約、本人通知、公表、他報告先、海外法令、役員報告を確認します。
影響システム、継続性、隔離、権限停止、主要ログ、クラウド監査ログ、EDR、侵害アカウント、バックアップ、復旧前保全、監視強化を確認します。
発信承認、本人通知文案、公表文案、FAQ、問い合わせ窓口、本人確認、メディア対応者、SNS監視、取引先説明資料を確認します。
初期記録票、対策本部議事録、本人通知、経営報告の骨子を示します。
社内テンプレートは、事故発生後にゼロから作るのではなく、平時から用意しておくと初動48時間の迷いを減らせます。次の記録票は、初期通報時に集める項目を表します。空欄が残る部分は、未確認事項として担当者と期限を付けて追跡することが重要です。
案件名 ―
受付番号 ―
発見日時 ―
会社としての認知日時 ―
発見者 ―
通報者連絡先 ―
発見経路 ―
対象システム・媒体 ―
発生した事象 ―
漏えい等の継続有無 ―
対象個人データの概要 ―
対象人数 ― 確定 ___ 人/最大可能 ___ 人/不明
要配慮個人情報 ― 有・無・不明
財産的被害のおそれ ― 有・無・不明
不正目的のおそれ ― 有・無・不明
1,000人超 ― 有・無・不明
実施済み初動措置 ―
保全済み証拠 ―
未確認事項 ―
次回確認期限 ―
担当者 ―
承認者 ―
第1回対策本部議事録は、原因究明メモではなく意思決定記録として残します。次の骨子は、会議で決めるべき論点を表します。発覚時刻、報告対象、本人通知、公表、外部連絡、復旧方針、次回タスクを読み取れる形にします。
日時 ―
場所/オンライン会議URL ―
出席者 ―
本部長 ―
議題 ―
1. 事案概要
2. 発覚時刻・起算点
3. 漏えい等継続の有無
4. 対象個人データ・対象人数
5. 報告対象事態該当性
6. 本人通知・公表の方針
7. 委託元・委託先・取引先対応
8. 警察・JPCERT/CC・IPA・業法当局等への相談
9. 復旧・事業継続方針
10. 次回会議までのタスク
決定事項 ―
未決事項 ―
タスク一覧 ― 担当者/期限/成果物
次回会議 ―
本人通知と経営報告の骨子は、対象者保護と経営判断を分けて整えます。次の一覧は、それぞれに入れる項目を表します。通知では本人が行動できる情報、経営報告では期限・影響・必要資源を読み取れることが重要です。
| 文書 | 主な項目 |
|---|---|
| 本人通知ドラフト | 事案概要、発覚の経緯、対象者、対象情報、発生原因または調査状況、二次被害と注意喚起、本人に確認していただきたい事項、実施済み対応、今後の対応、問い合わせ窓口、更新予定です。 |
| 経営報告 | 何が起きたか、分かっている事実、未確認事項、個人情報保護法上の論点、本人・顧客・取引先への影響、事業継続、金銭影響、公表方針、必要な経営判断、次の期限、外部専門家や予算です。 |
規程、体制、台帳、契約、技術、訓練を事前に整えます。
初動48時間は、事故発生後の頑張りだけではなく、平時の準備で結果が決まります。次の比較表は、平時に整える領域を表します。規程、体制、台帳、契約、技術、訓練、文書、外部連携のどこが弱いかを読み取り、改善の優先順位を決めます。
| 領域 | 平時準備 |
|---|---|
| 規程 | 個人情報漏えい等対応規程、インシデント対応規程、証拠保全規程、広報承認規程を整えます。 |
| 体制 | 対策本部メンバー、代替者、夜間休日連絡先、経営報告ルートを整えます。 |
| 台帳 | 個人データ管理台帳、委託先台帳、システム台帳、クラウド台帳を整えます。 |
| 契約 | 委託先事故通知条項、ログ提供義務、監査権、再委託管理、損害賠償、協力義務を整えます。 |
| 技術 | ログ保存、EDR、MFA、バックアップ、アクセス制御、脆弱性管理、監視を整えます。 |
| 訓練 | 机上演習、経営参加型訓練、広報訓練、本人通知訓練、委託先連携訓練を行います。 |
| 文書 | 速報ドラフト、本人通知テンプレート、公表文テンプレート、FAQ、議事録様式を整えます。 |
| 外部連携 | 外部専門家、フォレンジック会社、PR会社、コールセンター、保険会社、JPCERT/CC、IPA相談先を確認します。 |
演習は、単に手順書を読むのではなく、発覚時刻、報告期限、未確定事実、広報圧力、取引先からの問い合わせ、経営陣の判断を実際に想定します。次の一覧は、年1回以上検討したいシナリオを表します。訓練目的を読み取り、自社の業態に近いものから始めます。
| シナリオ | 訓練目的 |
|---|---|
| CC/BCCミス | 速報要否、本人通知、公表、削除依頼、問い合わせ対応を確認します。 |
| クラウド誤公開 | 公開停止、ログ保全、対象者抽出、検索エンジン対応を確認します。 |
| ランサムウェア | 封じ込め、復旧、フォレンジック、警察相談、共通様式を確認します。 |
| 委託先事故 | 委託先通知、契約条項、委託元報告、共同公表を確認します。 |
| 内部不正 | 証拠保全、労務対応、刑事・民事、営業秘密を確認します。 |
よくある疑問を一般情報として整理します。
個人情報漏えいの初動では、個別事案の結論を急いで断定すると、報告遅延や不正確な説明につながる可能性があります。次のFAQは、一般的な制度説明として、どの事情で判断が変わるかを表します。具体的な対応方針は、証拠や契約関係を整理したうえで専門家へ相談する必要があります。
一般的には、48時間は法令上の独立した報告期限ではなく、速報準備の重要期間とされています。ただし、発覚日、報告対象事態、情報項目、件数、委託関係によって判断が変わる可能性があります。具体的な提出時期は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、漏えい等のおそれがある段階でも報告対象になり得るとされています。ただし、アクセス範囲、ログの有無、個人データ保存領域、二次被害リスクによって判断が変わる可能性があります。具体的には、調査状況を整理して専門家へ相談する必要があります。
一般的には、高度な暗号化等により本人の権利利益を害するおそれが乏しい場合、報告不要と評価される可能性があります。ただし、鍵管理、ログイン状態、パスワード強度、遠隔消去、攻撃者権限で結論は変わります。具体的な判断は専門家へ相談する必要があります。
一般的には、委託先事故でも委託元の個人データが含まれる場合、委託元側の報告、本人通知、公表、取引先説明が問題になる可能性があります。ただし、契約条項、データの管理主体、通知時刻、再委託関係で結論は変わります。具体的な対応は専門家へ相談する必要があります。
止血、保全、判断、通知、説明可能性を総括します。
個人情報漏えい発覚時の初動48時間で企業が目指すゴールは、事故をなかったことにすることではありません。すでに発生した、または発生したおそれのある事態に対し、被害拡大を止め、証拠を保全し、本人の権利利益を守り、法令上の報告・通知を適切に進め、経営として説明可能な判断を残すことです。
最後に、初動48時間の実務を5つの行動にまとめます。次の重要ポイントは、対応全体を見直すための総括です。各行動が、どの部門のどの作業に対応するかを読み取り、自社の訓練や規程に落とし込むことが重要です。
漏えい等の継続と攻撃拡大を止め、ログや意思決定記録を残し、事実・評価・推測・未確認事項を分け、監督当局・本人・委託先・取引先等に適切なタイミングで知らせ、後から合理的な危機対応だったと説明できる状態を作ります。
個人情報漏えいを完全にゼロにすることは簡単ではありません。しかし、初動48時間の設計と訓練により、被害拡大、法令違反、社会的信用の毀損、訴訟リスク、再発リスクを大きく減らせます。企業法務、プライバシー、情報セキュリティ、内部監査、広報、経営が縦割りを超えて連携することが、初動48時間の最重要実務です。
参考資料は、個人情報保護法上の報告・通知、セキュリティインシデント対応、サイバー攻撃被害報告を確認するための公的・中立的資料です。個別事案では、最新の公的案内、契約条項、業法、海外法令、社内規程をあわせて確認します。