個人情報漏えい等が発生した場合に、誰へ、いつ、何を、どの手段で知らせるかを整理します。本人の権利利益を守るための通知設計を、企業法務・プライバシー・危機管理の実務目線で確認します。
個人情報漏えい等が発生した場合に、誰へ、いつ、何を、どの手段で知らせるかを整理します。
漏えい等対応では、謝罪文や広報文ではなく、本人が二次被害を防ぐための情報提供として設計します。
本人通知の方法・タイミング・記載事項を検討する中心場面は、個人情報保護法上の個人データの漏えい等又はそのおそれが発生したときです。民間事業者である個人情報取扱事業者は、一定の報告対象事態を知った場合、個人情報保護委員会への報告に加えて、原則として本人に対し当該事態が生じた旨を通知します。
本人通知は、単なる謝罪文、広報対応、形式的なFAQではありません。本人が自ら二次被害を防ぎ、必要な問い合わせや権利行使を行うための、法的義務に基づくリスク・コミュニケーションです。
次の3つの項目は、本人通知の実務判断を大きく左右する要素を表しています。通知設計の入口として重要なため、方法は届くか、時期は防御に間に合うか、内容は本人が次の行動を判断できるかを読み取ってください。
郵送、電子メール、アプリ内通知、SMS、電話などから、本人に認識される合理的かつ適切な手段を事案ごとに選びます。
本人通知には一律の日数期限はありませんが、本人が被害防止措置を取れる時期を逃さない設計が求められます。
概要、対象となる個人データの項目、原因、二次被害又はそのおそれ、その他参考となる事項を中心に構成します。
同じ「知らせる」対応でも、本人通知、公表、容易に知り得る状態、窓口設置、委員会報告は役割が異なります。
ここで扱う本人通知は、個人情報取扱事業者が取り扱う個人データについて、漏えい、滅失、毀損その他の安全確保に係る事態が発生し、又は発生したおそれがあり、報告対象事態に該当する場合に、本人へ通知する義務を指します。
本人とは、その個人データによって識別される個人です。顧客、会員、従業員、退職者、採用応募者、取引先担当者、株主、患者、児童生徒、利用者、問い合わせ者など、企業が保有するデータの性質に応じて広く含まれます。法人名義の情報そのものは個人情報ではありませんが、役員名、担当者名、会社メールアドレス、所属部署、評価、取引履歴など、特定の個人を識別できる情報は個人情報になり得ます。
次の比較表は、漏えい等対応で混同しやすい概念の違いを表しています。本人通知の要否を誤らないために重要ですので、誰に、どの到達範囲で、何の目的で知らせるのかを読み分けてください。
| 概念 | 意味 | 本人通知との違い |
|---|---|---|
| 本人への通知 | 本人に直接知らせることです。 | 漏えい等対応の中心概念です。原則として個別到達性を重視します。 |
| 本人が容易に知り得る状態 | 本人が必要に応じて容易に確認できる状態です。 | オプトアウト等で使われることが多く、漏えい等の本人通知と同じではありません。 |
| 公表 | Webサイト、公告、プレスリリースなどで社会一般又は対象者層に知らせることです。 | 通知が困難な場合の代替措置になり得ますが、常に個別通知に代わるものではありません。 |
| 問い合わせ窓口の設置 | 本人が対象該当性や対応方法を確認できる窓口を用意することです。 | 代替措置又は補完措置として重要です。通知本文にも窓口を記載します。 |
| 個人情報保護委員会への報告 | 行政当局に事態を報告することです。 | 相手方、目的、記載粒度、様式が本人通知とは異なります。 |
そのため、ホームページに掲載しただけで本人通知が完了したと即断することは避けます。本人への通知が可能であれば、原則として本人に直接知らせる方法を検討し、通知が困難な対象者について本人の権利利益を保護するための代替措置を設計します。
通知義務の判断では、対象情報の分類と報告対象事態への該当性を先に確認します。
本人通知の要否を判断するには、まず対象情報が個人情報なのか、個人データなのか、漏えい等又はそのおそれがあるのか、さらに報告対象事態に該当するのかを順番に確認します。
次の4つの項目は、本人通知の入口判断に必要な基礎概念を表しています。どこで法26条の本人通知義務に接続するかを理解するため、個人情報と個人データの違い、漏えい等の種類、報告対象事態の範囲を読み取ってください。
生存する個人に関する情報で、氏名等により特定の個人を識別できるもの、又は個人識別符号が含まれるものです。顔画像、音声、メールアドレス、評価情報、購買履歴、問い合わせ履歴、アカウントIDなども該当し得ます。
個人情報データベース等を構成する個人情報です。顧客管理システム、会員DB、従業員台帳、採用管理システム、CRM、EC注文履歴、問い合わせ管理表などが典型です。
漏えいは外部流出、滅失は内容の喪失、毀損は意図しない変更や利用不能状態を指します。誤送付、誤送信、設定ミスによる閲覧可能状態、ランサムウェアによる暗号化も検討対象です。
すべての漏えい等が法定通知義務につながるわけではありません。施行規則7条の類型に該当する場合に、委員会報告と本人通知が問題になります。
次の比較表は、施行規則7条が定める報告対象事態の主要類型を表しています。本人通知義務と連動するため重要ですので、情報の性質、財産的被害、不正目的、本人数という4つの入口を確認してください。
| 類型 | 判断の焦点 | 実務上の注意 |
|---|---|---|
| 要配慮個人情報が含まれる場合 | 健康情報、病歴、犯罪歴など、本人への影響が大きい情報が含まれるかを見ます。 | 従業員、患者、児童生徒、相談者データでは特に早期に確認します。 |
| 財産的被害のおそれがある場合 | クレジットカード、口座、ポイント、認証情報などの悪用可能性を見ます。 | 本人がすぐ取れる措置を通知本文に落とし込みます。 |
| 不正目的のおそれがある行為による場合 | 不正アクセス、持ち出し、内部不正などの目的性を見ます。 | ログ解析が未了でも、おそれの段階で検討します。 |
| 本人の数が1,000人を超える場合 | 影響人数が1,000人を超える個人データの漏えい等かを見ます。 | 概算段階でも対象者群と通知手段を早く整理します。 |
強固な暗号化等により個人の権利利益を保護するために必要な措置が講じられている場合には、報告対象事態に該当しない可能性もあります。ただし、判断はデータ項目、暗号化状態、漏えい経路、第三者の取得可能性、二次被害可能性、本人数、委託関係を総合して行います。
本人通知は、委員会報告書をそのまま送る作業ではなく、本人向けに必要な情報へ編集する作業です。
個人情報保護法26条2項は、同条1項の報告対象事態がある場合に、本人へ当該事態が生じた旨を通知することを求めます。ただし、本人への通知が困難であり、本人の権利利益を保護するため必要な代替措置を講じる場合は、例外的な扱いを検討します。
次の判断の流れは、発覚直後から本人通知と代替措置までの検討順を表しています。順番を誤ると通知対象や文案が揺れるため、個人データ該当性、報告対象事態、通知困難性の分岐を読み取ってください。
発覚時刻、発見者、初動封じ込め、証拠保全を記録します。
DB、帳票、CSV、SaaS上のユーザーデータなど、個人情報データベース等との関係を確認します。
要配慮性、財産的被害、不正目的、本人数を中心に見ます。
行政向け報告と本人向け通知は目的が異なるため、内容を分けて設計します。
公表、問い合わせ窓口、対象該当性確認の手段を整えます。
郵送、メール、アプリ、SMS、電話などから到達性の高い手段を選びます。
委員会報告は、規則8条1項が定める項目を原則として報告フォームで行います。一方、本人通知は、本人の権利利益保護に必要な範囲で、本人が理解しやすい内容に編集する必要があります。
固定の様式ではなく、本人に内容が認識される合理的かつ適切な方法を事案ごとに選びます。
本人通知の方法について、法令上、固定の様式は定められていません。本人に直接知らせることを基本に、事業の性質と個人データの取扱状況に応じて、通知内容が本人に認識される方法を選びます。
次の3つの項目は、通知方法を選ぶときの評価軸を表しています。形式的に送るだけでは足りないため、本人へ直接届くか、実際に認識されるか、本人が内容を理解できるかを読み取ってください。
本人に直接知らせる行為であるため、単なるWeb掲載やプレスリリースだけでは足りない場面があります。連絡先を保有している場合は個別通知を基本に検討します。
メール送信、郵送、アプリ通知などが実際に本人に認識される可能性を確認します。旧住所、迷惑メール、休眠会員、通知オフ設定なども見ます。
専門用語や抽象的な原因説明を避け、本人が自分のリスクと次の行動を理解できる表現にします。問い合わせ先も明確にします。
次の比較表は、通知手段ごとの適した場面、長所、注意点を表しています。対象者群により届きやすい手段が異なるため、第一手段と第二手段を組み合わせて読むことが重要です。
| 方法 | 適する場面 | 長所 | 注意点 |
|---|---|---|---|
| 郵送文書 | 住所を把握している顧客、従業員、退職者、株主、高齢者層です。 | 到達証跡を残しやすく、正式性があります。 | 旧住所、家族による開封、発送ミス、封筒記載、印刷委託先管理に注意します。 |
| 電子メール | メールアドレスを主要連絡先として取得している会員、EC利用者、SaaS利用者です。 | 迅速で大量送信に適し、追加通知もしやすいです。 | フィッシングとの誤認、BCC・配信設定、なりすまし対策、リンク記載に注意します。 |
| アプリ内通知・会員画面通知 | ログイン頻度が高いサービス利用者です。 | 本人認証後に個別内容を表示できます。 | ログインしない本人には届きにくいため、メール等との併用を検討します。 |
| SMS | 携帯番号を正確に把握し、短い注意喚起を行う場合です。 | 開封率が比較的高く、緊急注意喚起に向きます。 | 文字数制約、詐欺SMSとの混同、詳細本文への誘導方法に注意します。 |
| 電話・口頭 | 緊急の被害防止、少数の重要対象者、他手段では間に合わない場合です。 | 即時性が高く、本人の疑問に対応できます。 | 事後確認のため、必要に応じて書面又は電子メール等を併用します。 |
| Web公表 | 本人への通知が困難な場合や、広く注意喚起が必要な場合です。 | 広く迅速に知らせられます。 | 個人が特定される内容を掲載しないようにします。個別通知の代替になるかは通知困難性を確認します。 |
| 問い合わせ窓口 | 対象者が自分の該当性を確認する必要がある場合です。 | 個別確認と二次被害防止に役立ちます。 | 本人確認手順、FAQ、受付時間、委託先コールセンター管理が重要です。 |
次の選択肢一覧は、複数連絡手段を持つ場合の実務設計を表しています。最初の通知で届かない対象者を残さないため、対象者群ごとの第一手段、第二手段、代替措置を読み取ってください。
メールを第一手段とし、アプリ内通知又はSMSを第二手段として検討します。休眠会員にはWeb公表と窓口を組み合わせます。
メールアプリ・SMS有効なメールアドレスがあればメールを使い、旧住所への郵送も検討します。連絡先が古い場合は代替措置の理由を記録します。
メール郵送従業員は社内メールや所属部署経由、退職者は住所や個人メールを確認します。人事窓口や社内掲示は補完措置として使います。
人事個人連絡先事案に応じて保護者宛の通知を検討します。本人の理解能力と保護者による被害防止の必要性を踏まえて設計します。
保護者補助通知電子メール通知では、件名を簡潔にし、会社名、サービス名、通知目的を冒頭で明示します。パスワード入力を求めるリンクは避け、公式サイトからログインする案内を優先します。添付ファイルを避け、配信リスト、差し込み項目、バウンス、問い合わせ急増を監視します。
本人通知の時期は、本人保護の蓋然性と通知による弊害を踏まえて判断します。
本人通知のタイミングは、施行規則10条及びガイドライン上、「当該事態の状況に応じて速やかに」と整理されています。何日以内という一律の法定期限はありませんが、本人が被害防止措置を取れる時期を逃すと通知の目的が損なわれます。
個人情報保護委員会への速報は、報告対象事態を知った後、速やかに行います。日数の目安は個別事案によりますが、当該事態を知った時点から概ね3〜5日以内とされています。確報は原則30日以内、不正目的のおそれがある行為による事態では60日以内です。本人通知は速報と同じ日に必ず行う制度ではありませんが、準備は同時に始めます。
次の時系列は、発覚直後から確報後までの作業と本人通知上の判断を表しています。どの時点で何を決めるかが重要ですので、速報期限だけでなく、第1報、追加通知、窓口運用までの順番を読み取ってください。
責任者へ報告し、ログ、媒体、送信記録、外部連絡を保全します。通知対象候補、二次被害の緊急性、連絡手段を洗い出します。
事実関係、対象データ、委託関係、原因仮説を整理します。早期注意喚起が必要な対象者がいるかを判断します。
委員会速報、委託元・委託先連絡、広報方針と並行して、本人通知第1報を出せるか、出さない場合の理由を記録します。
影響範囲の精査、配信、問い合わせ対応、FAQ更新、補足通知の要否を判断します。
委員会確報、再発防止策、経営報告を行い、本人向け追加説明、窓口継続期間、再発防止の概要公表を検討します。
通知を直ちに行わないことがあり得る場面もあります。たとえば、漏えいデータが掲示板等に掲載され、削除要請等の初期対応が完了しておらず、通知によりかえって被害が拡大するおそれがある場合です。また、事案がほとんど判明しておらず、その時点で通知しても本人が有効な防御措置を取れず、混乱が生じるおそれがある場合もあります。
すべてが判明するまで待つのではなく、現時点で判明している範囲と追加連絡方法を明確にします。
本人へ通知すべき事項は、漏えい等報告における報告事項のうち、概要、対象となる個人データの項目、原因、二次被害又はそのおそれ、その他参考となる事項を中心に整理されます。本人の権利利益を保護するために必要な範囲で、本人に分かりやすい表現にします。
次の比較表は、本人通知に入れる5つの中核項目と、読み手が求める情報を表しています。通知文の抜け漏れを防ぐために重要ですので、各項目で本人がどの疑問に答えを得るのかを確認してください。
| 中核項目 | 本人向けに伝える内容 | 書き方の要点 |
|---|---|---|
| 概要 | 発生又は発覚の時期、発生した事象、対象サービス・業務、影響範囲、初期対応です。 | 抽象的な「システム上の問題」ではなく、本人が全体像を理解できる粒度にします。 |
| 対象となる個人データの項目 | 氏名、住所、メール、電話、注文履歴、本人確認書類など、対象項目を示します。 | 本人ごとに項目が違う場合は、可能な限り当該本人に関係する内容だけを通知します。 |
| 原因 | 誤送信、設定不備、不正アクセス、委託先作業不備など、リスクの性質を示します。 | 攻撃手法や未修正箇所を過度に具体化せず、本人の防御に必要な範囲にとどめます。 |
| 二次被害又はそのおそれ | 不正利用、不審メール、ポイント悪用、なりすまし申込などの可能性を示します。 | 確認済み被害と今後注意すべき事項を分けて書きます。 |
| その他参考となる事項 | 問い合わせ窓口、本人確認方法、パスワード変更、追加通知予定、会社が求めない情報です。 | 本人が次に取れる措置を具体化します。企業側の弁解だけにしません。 |
対象となる個人データの項目は、確実に対象となった項目、対象となった可能性がある項目、対象外であることが確認された項目の3段階で整理します。クレジットカード番号、パスワード、マイナンバーなどが対象外であると確認できる場合は、不安軽減に役立ちます。ただし、確認が不十分な段階で断定することは避けます。
次の比較表は、原因類型ごとの本人向け記載粒度を表しています。本人のリスク理解と被害拡大防止を両立するため、何を書くかだけでなく、何を避けるかを読み取ってください。
| 原因類型 | 本人向け記載例 | 避ける記載 |
|---|---|---|
| メール誤送信 | 宛先設定の確認不足により、別のお客様に送信しました。 | 担当者名を不要に記載することです。 |
| 郵送誤送付 | 封入作業時の照合不備により、別の宛先に送付しました。 | 他の本人の住所等を明かすことです。 |
| 不正アクセス | 当社サーバに対する第三者の不正アクセスにより、情報が閲覧された可能性があります。 | 未修正の脆弱性や攻撃成功手順を詳細に記載することです。 |
| 委託先事故 | 当社委託先における作業手順の不備により発生しました。 | 委託先名の公表可否を未確認のまま断定することです。 |
| ランサムウェア | マルウェア感染により、一部データが暗号化され、外部流出の可能性を調査しています。 | 攻撃者との交渉内容など、本人の防御に不要な情報を記載することです。 |
二次被害の説明では、「現時点で確認されていません」と書く場合でも、何を確認したのか、今後本人が何に注意すればよいのかを併記します。メールアドレス、電話番号、住所、ログインID、パスワード、本人確認書類、金融情報が含まれる場合は、不審なメール、SMS、電話、同一パスワード、カード明細、ポイント残高、身に覚えのない請求や配送通知への注意を具体的に記載します。
次の重要ポイントは、本人通知の「その他参考となる事項」の使い方を表しています。この欄は企業側の弁解ではなく、本人の次の行動を支える欄として重要ですので、問い合わせ先、本人確認、追加通知、会社が求めない情報を読み取ってください。
問い合わせ窓口、受付時間、本人確認方法、パスワード変更、カード再発行、追加情報の掲載場所、追加通知の条件を示し、会社がメール又はSMSでパスワード、認証コード、金融機関情報を尋ねないことも明記します。
透明性は重要ですが、本人通知そのものが追加被害や混乱の原因にならないようにします。
本人通知では、できるだけ丁寧に説明する姿勢が重要です。一方で、他の本人を識別し得る情報や攻撃者に有用な情報を記載しすぎると、本人の権利利益を害する場合があります。
次の注意点一覧は、本人通知で慎重に扱うべき情報を表しています。過不足のない通知にするために重要ですので、透明性と被害拡大防止の境界を読み取ってください。
誤送信先、他の対象者の氏名、住所、メールアドレス、属性、取引内容を記載すると、新たな漏えいにつながる可能性があります。
不正アクセス事案では、本人がリスクを理解するための説明にとどめ、脆弱性の詳細や攻撃成功手順を過度に明らかにしません。
不正利用の可能性や外部流出の有無を断定するには根拠が必要です。調査中の場合は、現時点で確認されていないことと調査継続を分けて書きます。
委託先で発生した事案でも、本人から見ればサービス提供主体に説明責任があります。責任配分の議論と本人向け説明は分けて整理します。
公表文では本人以外も閲覧するため、さらに慎重な編集が求められます。個人が特定されるおそれがある事項、捜査・調査に支障を及ぼす事項、契約上未確認の委託先・取引先情報は、必要に応じて記載を制限します。
通知困難性を安易に認めず、対象者群ごとに理由と代替措置を記録します。
本人への通知が必要な場合でも、本人への通知が困難であり、本人の権利利益を保護するために必要な代替措置を講じる場合は、例外的な扱いを検討します。たとえば、本人の連絡先を保有していない場合や、連絡先が古く通知時点で連絡できない場合です。
次の判断の流れは、通知困難性と代替措置を検討する順番を表しています。個別通知を省略する結論を急がないために重要ですので、連絡先確認、複数手段の試行、代替措置の実効性を読み取ってください。
メール、住所、電話、アプリID、保護者連絡先などを対象者群ごとに確認します。
到達可能性が最も高い手段を選び、送付ログやバウンスを記録します。
郵送還付、メール不達、電話不通などの理由を確認します。
対象者群ごとに、なぜ個別通知が難しいかを説明できるようにします。
本人が自分の該当性を確認できる窓口、掲載場所、受付時間、更新方法を整えます。
代替措置としての公表文は、本人通知文よりさらに慎重に編集します。公表対象は社会一般であり、本人以外も閲覧するからです。個人が特定されるおそれがある事項や攻撃者に有用な情報は、必要な範囲にとどめます。
次の比較表は、代替措置を講じる際の確認項目を表しています。代替措置が形式だけで終わらないようにするため、通知困難性、本人確認、窓口運用、追加対応の観点を読み取ってください。
| 確認項目 | 実務上の見方 |
|---|---|
| 個別通知が困難な理由 | 対象者群ごとに、連絡先の不存在、旧住所、不達、本人特定の困難性を説明できるようにします。 |
| 本人の権利利益保護への実効性 | 公表や窓口が、本人の該当性確認や二次被害防止に実質的に役立つかを見ます。 |
| Web公表の見つけやすさ | 掲載場所、見出し、掲載期間、更新履歴を決めます。 |
| 問い合わせ時の本人確認 | 過度に厳しくせず、弱すぎて別の漏えいが起きない手順にします。 |
| 後日個別通知が可能になった場合 | 追加通知の条件と責任部署を決めます。 |
事故の発生場所と本人への説明責任は同じとは限らないため、契約と実態を早く確認します。
個人データの取扱いを委託している場合、報告対象事態に該当すれば、原則として委託元と委託先の双方が本人通知義務を負い得ます。もっとも、委託先が報告義務を負う委託元に対して、その時点で把握している報告事項を通知したときは、委託先側の報告義務と本人通知義務が免除される場面があります。
次の比較表は、委託先、クラウド、配送、グループ会社が関係する場面の整理を表しています。通知主体や説明内容を遅らせないために重要ですので、誰が個人データを取り扱い、誰が本人窓口になるのかを読み取ってください。
| 関係者 | 確認する点 | 本人通知上の注意 |
|---|---|---|
| 委託元・委託先 | 委託契約、初報期限、報告項目、ログ提供、文案レビュー、問い合わせ対応、費用負担、再委託先管理です。 | 委託先事故でも、本人から見たサービス提供主体としての説明を整えます。 |
| クラウドサービス提供事業者 | 個人データの取扱い有無、アクセス権限、暗号鍵管理、ログ閲覧権限、サポート実態です。 | クラウド提供事業者が報告義務を負わない場合でも、契約に基づく通知や協力を確認します。 |
| 配送事業者 | 配送物の中身の個人データ取扱いについて合意があるか、誤配送時の通知手順があるかを見ます。 | 自社として何を確認し、どの情報が第三者に閲覧された可能性があるかを説明します。 |
| グループ会社・共同利用 | 共同利用の公表事項、管理責任者、DB管理権限、本人との契約主体です。 | 複数社名で通知するか、代表会社が通知するか、問い合わせ窓口を早期に決めます。 |
委託契約では、「発覚後速やかに通知する」という抽象表現だけでは足りません。委員会速報の目安が概ね3〜5日であることを踏まえ、委託先から委託元への初報は、事案に応じて24時間以内又は遅くとも翌営業日までなど、より短い実務的期限を置くことが多いです。
原因類型により、本人が知るべきリスク、通知手段、追加対応が変わります。
本人通知の文案は、漏えい等の類型ごとに重点が変わります。メール誤送信、郵送誤送付、USB・PC・書類紛失、不正アクセス・ランサムウェア、従業員・退職者データ、未成年者データ、個人番号・マイナンバーでは、本人が取るべき措置も異なります。
次の選択肢一覧は、代表的な事故類型ごとの通知実務を表しています。原因ごとに本人の不安と必要行動が違うため、対象項目、回収状況、保護措置、追加通知の要否を読み取ってください。
宛先誤り、CC/BCC誤り、添付ファイル誤り、差し込み送信ミスを確認します。誤送信先への削除依頼、閲覧有無確認、二次利用禁止依頼の状況を記載できる範囲で示します。
削除依頼不審連絡誤送付先からの回収状況、開封有無、対象文書、記載項目を確認します。誰に誤送付したかを詳細に書くのではなく、本人の情報が閲覧された可能性を説明します。
回収状況封入照合暗号化、パスワード、リモートワイプ、保管場所、持ち出し許可、紛失から発覚までの時間を確認します。警察届出や第三者閲覧の有無も整理します。
暗号化警察届出ログ解析、外部専門機関、システム遮断、復旧、外部掲載有無など不確実性が多いため、第1報と追加通知を分ける設計が有効です。
第1報追加通知給与、評価、健康診断、扶養家族、マイナンバー、労務相談、ハラスメント相談、メンタルヘルス情報など機微性の高い情報を確認します。
人事労務退職者連絡本人だけでなく保護者又は法定代理人への通知を検討します。本人の理解能力と保護者による被害防止の必要性を踏まえます。
保護者16歳未満個人情報保護法と番号法の双方の報告対象に該当する可能性を確認します。税・社会保障手続、本人確認書類、再発行可否など通常の顧客情報とは異なる注意点があります。
番号法本人確認不正アクセスやランサムウェアでは、最終報告まで待つと本人の防御機会を失う可能性があります。第1報では確定している事実、対象となる可能性のある項目、本人が直ちに行う対応を示し、追加通知で影響範囲、原因、再発防止策、補償措置を更新します。
法務だけで文案を整えるのではなく、事実認定、配信、窓口、広報、再発防止を一体で管理します。
本人通知は、法務部だけでは完結しません。事実認定、送付先、配信、問い合わせ、広報、再発防止が別々に動くと、委員会報告、公表文、本人通知、FAQの説明が食い違うおそれがあります。
次の比較表は、本人通知を支える社内役割と主な責任を表しています。誰が何を決めるかを早期に分けるために重要ですので、技術調査、法的判断、本人範囲、広報、窓口、経営判断の分担を読み取ってください。
| 役割 | 主担当 | 主な責任 |
|---|---|---|
| インシデント責任者 | CISO、情報システム責任者、危機管理責任者 | 封じ込め、証拠保全、技術調査、復旧判断です。 |
| 法務責任者 | 法務部、企業内弁護士、外部弁護士 | 報告対象該当性、本人通知義務、文案、委託契約、紛争予防です。 |
| 個人情報保護責任者 | DPO相当、プライバシー担当 | 対象データ、本人範囲、通知方法、委員会報告です。 |
| 広報・IR | 広報部、IR担当 | 公表文、報道対応、上場会社の適時開示検討です。 |
| カスタマーサポート | CS、コールセンター | 問い合わせFAQ、本人確認、苦情対応です。 |
| 人事・労務 | 人事部、社労士、労務法務 | 従業員、退職者、応募者への通知です。 |
| 内部監査・内部統制 | 監査部、J-SOX担当 | 事後検証、統制改善、証跡確認です。 |
| 経営層 | 代表取締役、担当役員、取締役会 | リスク受容、重要方針、対外説明、再発防止資源の投入です。 |
通知文案を書き始める前に、社内用ファクトシートを作ります。次の比較表は、文案化の前に確定又は仮置きすべき情報を表しています。事実と評価を混在させないために重要ですので、未確定事項も含めてどの情報を集めるかを読み取ってください。
| 項目 | 整理する内容 |
|---|---|
| 発生日・発覚日 | いつ発生し、いつ誰が認識したかを記録します。 |
| 発見経路 | 社内検知、本人申告、委託先通知、外部通報、警察連絡などを整理します。 |
| 対象システム・業務 | サービス名、DB、業務プロセス、委託先を整理します。 |
| 対象情報・対象本人 | 氏名、住所、メール、認証情報、顧客、従業員、退職者、応募者などを整理します。 |
| 報告対象該当性 | 規則7条のどの類型か、又は非該当理由を整理します。 |
| 原因・二次被害 | 確定原因、暫定原因、未確定事項、確認済み被害、本人が取れる措置を整理します。 |
| 初期対応・通知手段 | 封じ込め、削除依頼、パスワードリセット、連絡先、代替措置を整理します。 |
次の3つの項目は、ファクトシートを本人向け文案へ変換するときの問いを表しています。本人の立場から再構成するために重要ですので、自分が対象か、何が対象か、次に何をすればよいかを読み取ってください。
対象者群、本人ごとの対象項目、対象外と確認できた情報を分けて示します。
いつ、どのように問題が起き、誰かに悪用される可能性があるかを、過度に専門化せず説明します。
本人が取れる措置、会社の対応、追加通知、問い合わせ窓口を明確にします。
文例は一般的なひな形であり、対象情報、原因、補償、委託先名、当局報告などは事実に基づき調整します。
本人通知文例は、個別事案の事実関係に合わせて修正します。特に、対象情報、原因、二次被害、補償、委託先名、警察相談、監督官庁報告、適時開示は、確認済みの事実と未確定事項を分けて慎重に記載します。
次の重要ポイントは、個別通知の標準的な構成を表しています。本人が自分のリスクと対応を理解するために重要ですので、件名、概要、対象項目、原因、二次被害、お願い、会社対応、窓口の順番を読み取ってください。
件名は「個人情報の漏えい等のおそれに関するお知らせとお詫び」のように簡潔にします。本文では、対象となる可能性のある項目、対象外と確認した項目、不審なメールやSMSへの注意、同一パスワード変更の検討、問い合わせ窓口を順に示します。
次の比較表は、3つの文例場面で何を強調するかを表しています。事案類型ごとに本人が知るべき情報が異なるため、回収状況、対象者確認、窓口設置などの違いを読み取ってください。
| 文例場面 | 中心に置く内容 | 記載上の注意 |
|---|---|---|
| 個別通知の標準文例 | 不正アクセスの可能性、対象項目、対象外確認、二次被害、本人が取る措置、会社対応、窓口です。 | パスワード、認証コード、カード情報をメール又はSMSで尋ねないことを明記します。 |
| 郵送誤送付の文例 | 封入作業時の確認不備、対象書類、回収状況、誤送付先への利用禁止依頼、再発防止です。 | 誰に誤送付したかを詳細に書かず、本人の情報が閲覧された可能性に焦点を当てます。 |
| 代替措置としての公表文例 | 対象期間、対象となる可能性がある情報、個別通知困難者の存在、問い合わせ窓口、本人確認方法です。 | 公表文を読んだ本人が、自分の該当性を確認できる導線を用意します。 |
個別通知では、「当社が運営するサービスにおいて、個人情報を含む一部データについて漏えい等が発生したおそれがあることが判明しました」といった冒頭に続けて、対象情報を箇条書きで示します。クレジットカード番号、パスワード、マイナンバーが対象に含まれていないことを確認できる場合は、その範囲で明記します。
二次被害については、「現時点で本件に起因する不正利用等は確認されていません」としつつ、今後、会社又はサービスを装った不審なメール、SMS、電話が送られる可能性があることを示します。リンクを開かないこと、他サービスで同一又は類似のパスワードを使っている場合は変更を検討すること、身に覚えのない請求やログイン通知を確認することを案内します。
郵送誤送付では、発送した書類の一部について、封入作業時の確認不備により、本人に関する情報を含む書類が別の宛先に送付されたことを説明します。対象となった可能性のある情報、回収済みか、誤送付先に内容の利用及び第三者提供を行わないよう依頼したかを記載します。
代替措置として公表する場合は、個別通知を進めている一方で、退会等により有効な連絡先を確認できない方が含まれるため、公表と問い合わせ窓口を設置することを説明します。本人確認方法、受付時間、会社がパスワードや金融機関情報をメール又はSMSで尋ねないことも併記します。
個別事案の見通しは事実関係で変わるため、一般的な制度説明として確認します。
一般的には、報告対象事態に該当する場合、個人情報保護委員会への報告と本人通知は別個の義務として整理されています。ただし、通知困難性や代替措置の要否は事案の内容で変わる可能性があります。具体的な対応は、対象情報、連絡先、二次被害可能性を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、本人通知について3〜5日以内という固定目安は示されていません。本人通知は「当該事態の状況に応じて速やかに」とされています。ただし、本人が取れる防御措置、通知による弊害、調査状況によって判断は変わる可能性があります。具体的な時点は、関係資料を整理して専門家に確認する必要があります。
一般的には、通知すべき事項がすべて判明するまで通知を待てるとは整理されていません。現時点で判明している範囲、未確定事項、追加で判明した場合の更新方法を示す実務が考えられます。ただし、通知により被害が拡大するおそれなど、個別事情で結論が変わる可能性があります。
一般的には、口頭で知らせる方法も選択肢になり得るとされています。ただし、本人が後から内容を確認できるようにする観点から、必要に応じて書面又は電子メール等を併用することが考えられます。具体的な方法は、対象者数、緊急性、連絡手段、証跡管理により変わります。
一般的には、本人への通知が困難な場合に、公表や問い合わせ窓口設置などの代替措置が認められる場面があります。一方で、本人の連絡先を保有し、合理的に通知できる場合は、個別通知を検討する必要があります。通知困難性の判断は対象者群ごとに変わる可能性があります。
一般的には、本人通知の中核項目に本人数そのものは含まれていません。委員会報告では本人数が報告事項ですが、本人通知では本人の権利利益保護に必要な範囲で記載します。公表文で社会的説明として人数を記載するかは、事案の規模や公表方針で変わる可能性があります。
一般的には、再発防止策だけでは本人通知の中心事項を満たしにくいと考えられます。概要、対象項目、原因、二次被害、本人が取り得る措置を示すことが重要です。ただし、再発防止策の記載粒度や公表範囲は、原因の確定状況やセキュリティ上の配慮で変わります。
一般的には、法定の本人通知義務が生じない場合でも、契約、利用規約、プライバシーポリシー、業法、顧客対応、被害防止の観点から自主的な連絡が検討されることがあります。ただし、自主通知でも誤認を招かない表現、問い合わせ体制、証跡保存が必要です。具体的な要否は個別事情によって変わります。
通知は送って終わりではなく、判断過程、送付結果、問い合わせ対応、追加通知まで記録します。
本人通知では、後日、個人情報保護委員会、本人、取引先、監査役、取締役会、裁判所、報道機関から、どのように判断したのかを問われる可能性があります。判断と実行の証跡を残すことが重要です。
次の比較表は、本人通知で保存すべき証跡を表しています。事後検証と再発防止に直結するため、発覚時刻、判断メモ、文案版管理、送付ログ、代替措置、問い合わせ履歴を読み取ってください。
| 証跡 | 残す理由 |
|---|---|
| 漏えい等発覚時刻と認識者 | 速報目安、通知判断、初動対応の起点を確認するためです。 |
| 報告対象該当性の検討メモ | 法26条と施行規則7条の該当性を後から説明するためです。 |
| 本人通知対象者リストの作成根拠 | 誰に通知したか、誰を除外したか、対象者群の根拠を示すためです。 |
| 通知文案の版管理とレビュー履歴 | 法務、経営、外部専門家、広報、CSの確認経緯を残すためです。 |
| 送付日時・送付方法・配信成否ログ | メール、郵送、SMS、電話の実施状況と再通知対象を把握するためです。 |
| 代替措置の判断理由 | 通知困難性と公表・窓口設置の実効性を説明するためです。 |
| 問い合わせ件数・苦情内容・FAQ | 追加通知やFAQ更新、再発防止策に反映するためです。 |
次の比較表は、方法、タイミング、記載事項のチェック観点を表しています。実務で抜け漏れを防ぐために重要ですので、通知手段、時期、本文内容がそれぞれ本人保護に結びついているかを読み取ってください。
| 領域 | 主なチェック項目 |
|---|---|
| 方法 | 本人に直接知らせる方法、対象者に到達しやすい手段、第一手段失敗時の第二手段、配信リストと差し込み項目、フィッシングと誤認されない設計、未成年者・高齢者・外国語利用者への配慮を確認します。 |
| タイミング | 報告対象事態を知った時点、委員会速報と本人通知準備の同時開始、本人が直ちに取るべき措置、通知を遅らせる理由と再評価時点、第1報と追加通知の設計、窓口稼働時刻を確認します。 |
| 記載事項 | 概要、対象個人データ、原因、二次被害、本人が取れる措置、問い合わせ窓口、未確定事項、他の本人情報の混入防止、技術詳細の書きすぎ、委員会報告や公表文との整合を確認します。 |
内部監査部門は、事後に通知判断が法令、社内規程、委託契約、インシデント対応手順に沿っていたかを検証します。検証結果は、個人データ台帳、委託先管理、アクセス権限管理、ログ監視、持ち出し管理、メール誤送信対策、教育訓練、危機対応演習に反映します。
低リスク事案の通知義務が見直される可能性があっても、現行実務では現行法令とガイドラインに基づいて対応します。
2026年1月9日に公表された個人情報保護法の制度改正方針では、漏えい等発生時について、本人の権利利益の保護に欠けるおそれが少ない場合は、本人への通知義務を緩和する方針が示されています。また、漏えい等報告についても、第三者確認を前提とした合理化、サイバー対処能力強化法に基づくインシデント報告との様式・窓口の一元化、報告基準の見直しに向けた整理が示されています。
次の重要ポイントは、改正動向を踏まえた現行実務の姿勢を表しています。制度が変わる可能性がある場面でも判断を先送りしないために重要ですので、現行法対応とリスク別通知能力の両方を読み取ってください。
今後の改正で通知義務が緩和される可能性があっても、現時点では現行の個人情報保護法、施行規則、ガイドライン、Q&Aに基づいて対応します。企業にとって重要なのは、通知件数を減らすことではなく、リスクの高い本人に適時で分かりやすく届ける能力を高めることです。
本人通知の方法・タイミング・記載事項は、企業の危機対応能力を可視化します。不十分な通知は、法令違反リスク、顧客不信、問い合わせ集中、報道批判、取引先監査、従業員との信頼関係悪化、訴訟・紛争リスクに直結します。一方で、事実に基づき、本人の立場から、速やかで分かりやすい通知を行う企業は、事故後の信頼回復の出発点を作れます。
個人情報保護法、施行規則、個人情報保護委員会のガイドラインとQ&Aを中心に整理しています。