企業法務、個人情報保護、セキュリティ、フォレンジック、内部監査を分断せず、初動から報告・再発防止までを証拠に基づいて進めるための実務整理です。
最初に、調査を単なるIT障害対応ではなく、証拠保全、法務判断、説明責任、再発防止をつなぐ統治手続として扱う視点を押さえます。
最初に、調査を単なるIT障害対応ではなく、証拠保全、法務判断、説明責任、再発防止をつなぐ統治手続として扱う視点を押さえます。
漏えいインシデントの原因調査手順は、個人情報、営業秘密、技術情報、契約情報、従業員情報、顧客情報、認証情報などの重要情報について、何が起きたのかを説明可能にするための実務プロセスです。単に「誰が悪いか」を探すのではなく、何が、いつ、どこで、どの範囲で、なぜ起き、なぜ防げず、なぜ検知が遅れ、なぜ被害が広がったのかを、証拠に基づいて整理します。
この調査では、被害拡大防止、証拠保全、個人情報保護法上の報告・本人通知、契約上の通知義務、監督官庁対応、警察・JPCERT/CC・IPA等との連携、顧客・取引先・従業員・株主への説明、懲戒・損害賠償・訴訟対応、取締役の善管注意義務、内部統制、委託先管理、再発防止策の実効性が一体として問われます。
次の判断の流れは、受付から継続的改善までの基本順序を示しています。各段階は後戻りしながら精度を上げるため、担当者は「いま確定していること」と「まだ確認中のこと」を分けて読み取ることが重要です。
第一報、発見日時、対象システム、既に行った操作を記録します。
被害拡大を止めながら、ログ、端末、画面、契約、連絡記録を失わないよう保全します。
報告期限、本人通知、契約通知、対外説明の期限管理を始めます。
事案類型、調査目的、対象範囲、証拠、担当者、報告期限を結び付けます。
時系列、漏えい経路、対象データ、対象者数、悪用可能性を検証します。
直接原因、検知遅延、被害拡大、根本原因を分け、報告書と再発防止策へ接続します。
期限管理では、速報、確報、不正目的等の確報期限を同じ予定表で見ます。下の比較では、日数が長いほど棒グラフの高さが高くなり、初動で短い期限から逆算する必要があると分かります。
漏えいの範囲、原因の層、事実・推測・評価の違い、調査体制を先にそろえることで、後の報告内容の揺れを防ぎます。
漏えいインシデントとは、企業が管理する情報について、権限のない者が閲覧、取得、複製、転送、公開、持ち出し、アクセス可能な状態に置くこと、またはそのおそれがある状態を指します。メール誤送信、クラウド共有設定ミス、Webサーバ設定不備、紛失・盗難、不正アクセス、ランサムウェア、内部者による持ち出し、委託先事故、SaaSやAPIの設定不備、ログイン情報の漏えいなどが典型例です。
個人情報保護法では、漏えいだけでなく滅失や毀損も問題になります。個人情報以外でも、営業秘密、技術情報、入札情報、M&A情報、未公表決算情報、認証情報、従業員情報、医療・金融・教育・公共分野の機微情報は重大な影響を及ぼす可能性があります。
次の比較表は、原因調査で分ける六つの層を示しています。直接起きた出来事だけで終わらせず、検知遅延や被害拡大、組織上の弱点まで読むことで、再発防止策の抜けを減らせます。
| 原因の層 | 典型的な問い | 例 |
|---|---|---|
| 発生原因 | 直接何が起きたか | メール宛先の誤指定、公開URL設定、不正ログイン、端末紛失 |
| 侵入原因 | 攻撃者または権限外利用者はどう入ったか | VPN脆弱性、RDP公開、認証情報流出、フィッシング、多要素認証未導入 |
| 漏えい原因 | なぜ情報が外部に出た、または閲覧可能になったか | 外部送信、共有設定、ダウンロード、圧縮・持ち出し、紙媒体紛失 |
| 検知遅延原因 | なぜすぐ気付かなかったか | ログ不足、アラート未監視、通報窓口不明、委託先連絡遅延 |
| 被害拡大原因 | なぜ範囲が広がったか | 権限過大、ネットワーク分離不足、バックアップ不備、停止判断遅延 |
| 根本原因 | 組織・統制上何が弱かったか | 資産台帳不備、委託先管理不足、教育不足、変更管理不備、経営関与不足 |
調査記録では、根拠の強さを分けて管理します。次の三つの項目は、対外説明や懲戒判断で意味が大きく異なるため、どの情報がどこに当たるかを読み分けることが重要です。
ログ、メールヘッダ、監視記録、端末イメージ、監視カメラ、入退室記録、本人供述などにより確認できる内容です。
証拠から合理的に推認できますが、直接証拠がまだない内容です。根拠資料と不確実性を合わせて残します。
法的評価、リスク評価、原因評価、再発防止上の重要度、対外説明上の判断です。事実とは別に管理します。
調査体制では、一つの指揮系統の下で複数の専門機能を動かします。下の表は、部署ごとに別々の時系列や対象者数を持たないよう、誰が何を担うかをそろえるための一覧です。
| 機能 | 主な担当 | 主要責任 |
|---|---|---|
| 統括責任 | 経営層、危機対策本部長、CISO、GC | 優先順位、権限付与、対外方針、予算決定 |
| 法務・規制対応 | 企業内弁護士、法務担当、外部弁護士 | 法令・契約・訴訟・証拠・通知・公表の判断 |
| 個人情報保護 | DPO、プライバシー担当、個人情報保護管理者 | 個人データ該当性、対象者数、本人通知、委託先管理 |
| 技術調査 | 情報システム、CSIRT、SOC、セキュリティ担当 | ログ収集、封じ込め、復旧、技術原因分析 |
| フォレンジック | 外部フォレンジック会社、専門家 | 証拠保全、イメージ取得、ログ解析、侵入経路・漏えい可能性分析 |
| 広報・顧客対応 | 広報、IR、営業、カスタマーサポート | 対外説明、FAQ、問い合わせ対応、風評管理 |
| 労務・内部調査 | 人事、労務法務、社労士、外部弁護士 | 内部者関与、懲戒、ヒアリング、従業員保護 |
| 内部監査・統制 | 内部監査、監査役、監査等委員 | 統制不備、取締役会報告、再発防止の実効性確認 |
| 委託先・調達 | 購買、ベンダー管理、契約法務 | 委託先連絡、契約条項、再委託、SLA、損害分担 |
情報資産、ログ、プレイブックを事故前に整えておくほど、発生後の原因調査は短く、根拠の強いものになります。
漏えいが疑われたときに最初に問われるのは、どの情報が、どのシステムに、どの権限で、どの期間、どの形式で保存されていたかです。この問いに答えられないと、対象データ、対象者数、漏えい可能性、本人通知の判断が遅れます。
平時から管理する情報には、システム名、管理部署、管理者、委託先、利用目的、保存データの種類、個人情報・要配慮個人情報・営業秘密の有無、データ件数、保存期間、バックアップ、アクセス権限、外部共有設定、API連携、ネットワーク接続、VPN、RDP、公開ポート、クラウド環境、ログの種類・保存期間・保存場所、復旧手順が含まれます。
次の比較表は、原因調査で重要となるログの種類を整理しています。どのログが誰の操作、どの通信、どのデータ移動を裏付けるかを平時に把握しておくと、発生後に証拠価値の高い記録を優先して保全できます。
| 区分 | 主なログ | 調査上の意味 |
|---|---|---|
| 認証 | VPN、IDaaS、AD、RADIUS、SAML、MFA、SSO | 誰が、いつ、どこから入ったか |
| 端末 | Windowsイベントログ、EDR、アンチウイルス、USB接続、プロセス実行 | 感染、ツール実行、持ち出し、権限昇格 |
| ネットワーク | ファイアウォール、プロキシ、IDS/IPS、DNS、NetFlow | 外部通信、C2、データ送信、横展開 |
| サーバ | Web、DB、OS、アプリケーション、管理操作 | 脆弱性悪用、SQL実行、ファイル取得 |
| クラウド | IAM、管理操作、ストレージアクセス、APIログ | 公開設定、権限変更、API利用、ダウンロード |
| SaaS | 監査ログ、共有ログ、ダウンロードログ、管理者ログ | 外部共有、アカウント侵害、データ取得 |
| メール | メールヘッダ、送受信ログ、添付ファイル、DLP、誤送信防止ログ | 誤送信、フィッシング、転送、外部持ち出し |
| 物理 | 入退室、監視カメラ、鍵管理、配送記録 | 紙・媒体・端末の紛失盗難、内部者関与 |
プレイブックは、発見から初動会議までに誰が何を確認するかを示す実行手順です。次の一覧では、事前に準備しておく事故類型を並べています。類型ごとに連絡先、証拠保全担当、法務連絡先、外部専門家、休日夜間の連絡方法まで読み取れる状態にします。
送信ログ、宛先、添付ファイル、削除依頼記録、DLP記録を扱います。
初動持出承認、暗号化、MDM、警察届、拾得照会、回収時の改ざん確認を扱います。
物理証拠公開URL、設定値、対象ファイル一覧、アクセスログ、検索キャッシュを扱います。
SaaS初期侵入、横展開、権限昇格、外部送信、暗号化、バックアップを扱います。
高リスクアクセスログ、USB、印刷、メール転送、ヒアリング、懲戒手続を扱います。
労務連携契約、SLA、再委託、委託先報告書、ログ提供義務、監査権を扱います。
契約第一報記録、証拠を消さない封じ込め、初動会議、トリアージ、調査計画を一気通貫で進めます。
発見直後は、正確な結論よりも後から検証できる記録が重要です。受付担当者は、通報日時、発見日時、発生推定日時、通報者、所属、連絡先、通報経路、異常と判断した根拠、対象システム・端末・データ・アカウント・取引先、既に行った削除・停止・再起動・復旧・連絡、画面やメールやログ、個人情報・要配慮個人情報・営業秘密・認証情報の可能性、被害が現在も進行しているかを残します。
次の判断の流れは、初動で何を先に決めるかを示しています。封じ込めと証拠保全の順番を固定せず、進行中の被害と失われやすい証拠の両方を読み取ることが重要です。
第一報時点、未確認、推測、要確認を分けて記録します。
漏えい、暗号化、破壊、外部公開、外部送信の継続を確認します。
変更前の状態、変更者、時刻、理由を必ず記録します。
揮発性証拠、ログ、画面、設定、契約、連絡記録を保全します。
次の6時間、24時間、72時間で何を確認するかを決めます。
トリアージでは、安全上の問いと法務上の問いを同時に見ます。下の表は、どの観点が高リスク化しやすいかを示しており、技術的には小さく見えても法務上重大になる場面を読み取れます。
| 観点 | 高リスクとなる例 |
|---|---|
| 情報の性質 | 要配慮個人情報、金融情報、認証情報、医療情報、未公表情報、営業秘密 |
| 対象者数 | 1,000人超、全顧客、全従業員、多数の取引先 |
| 漏えい経路 | 外部公開、不正アクセス、ランサムウェア、内部者持ち出し、ダークウェブ掲載 |
| 悪用可能性 | なりすまし、詐欺、金融被害、差別・偏見、二次被害、取引先攻撃 |
| 継続性 | 現在も外部アクセス可能、攻撃継続、バックドア残存 |
| 法的義務 | 個人情報保護法、業法、契約、適時開示、海外法令、監督官庁報告 |
| 社会的影響 | 重要インフラ、医療・金融・公共、報道可能性、顧客業務停止 |
調査計画では、事案類型ごとに仮説と最初に確認する証拠を結び付けます。下の表は、原因を早期に決め打ちせず、最短で検証できる証拠から着手するための対応関係です。
| 事案類型 | 初期仮説 | 最初に確認する証拠 |
|---|---|---|
| メール誤送信 | 宛先誤り、添付ファイル誤り、BCC/CC誤り | 送信ログ、メールヘッダ、宛先、添付ファイル、DLPログ |
| クラウド公開 | 共有URL、公開設定、権限継承、API設定 | 監査ログ、ACL変更履歴、アクセスログ、対象ファイル一覧 |
| Web誤掲載 | 公開ディレクトリ、検索インデックス、キャッシュ | Webログ、CMS操作履歴、公開期間、検索結果 |
| 不正アクセス | VPN/RDP/脆弱性/認証情報悪用 | VPNログ、IDaaSログ、EDR、ファイアウォール、脆弱性情報 |
| ランサムウェア | 初期侵入後の横展開、外部送信、暗号化 | 端末イメージ、EDR、イベントログ、外部通信、バックアップ |
| 内部者持ち出し | 過大権限、退職前持ち出し、不正目的 | アクセスログ、USB、印刷、メール転送、クラウドアップロード |
| 紛失盗難 | 端末・媒体・紙の管理不備 | 持出記録、暗号化状態、MDM、警察届、配送記録 |
| 委託先事故 | 委託先の管理不備、再委託、通知遅延 | 契約、SLA、委託先報告書、ログ、再委託先情報 |
調査範囲は、対象システム、端末、アカウント、期間、選定理由、除外理由、取得可能ログ、取得不能ログ、保存期間、欠落期間、時刻ずれ、追加調査の条件まで記録します。調査していない範囲を隠さず、限界を明示することが報告書の信頼性につながります。
デジタル、物理、人的、契約の各証拠を同じ証拠台帳で扱い、時系列と5W1Hへ落とし込みます。
証拠保全では、原本性、同一性、完全性、再現性、保管連鎖が重要です。デジタル証拠では、調査用コピーを作成し、ハッシュ値を取得し、原本を不用意に解析しない運用が基本になります。取得日時、取得者、取得方法、保管場所、ハッシュ値、ファイルサイズ、媒体番号、保全前後の操作、アクセス権を記録します。
漏えいインシデントで保全対象となる証拠は端末だけではありません。次の比較表では、証拠が分散する場所と注意点を整理しています。保存期間が短い証拠や揮発性の高い証拠から優先して保全することを読み取ってください。
| 証拠 | 具体例 | 注意点 |
|---|---|---|
| 端末証拠 | PC、スマホ、サーバ、仮想マシン | 電源断・再起動の影響、暗号化、メモリ証拠 |
| クラウド証拠 | IAM、管理操作、ストレージ、APIログ | 保存期間が短い場合があります。早期エクスポートが重要です。 |
| SaaS証拠 | 共有設定、ダウンロード、外部招待、監査ログ | 管理者権限、契約プランにより取得範囲が異なります。 |
| ネットワーク証拠 | FW、VPN、DNS、Proxy、IDS/IPS | NAT、時刻ずれ、ログローテーションに注意します。 |
| メール証拠 | 送受信ログ、ヘッダ、添付、転送設定 | 本文削除後もサーバログが残る場合があります。 |
| 認証証拠 | SSO、MFA、AD、IDaaS | 不審な国・端末・時刻・失敗ログも重要です。 |
| バックアップ | 復元ポイント、スナップショット | 復旧だけでなく改ざん前後比較に有用です。 |
| 開発環境 | Git、CI/CD、シークレット、チケット | 認証情報漏えい、ソースコード漏えいの調査に重要です。 |
物理証拠では、紙、USB、ノートPC、スマートフォン、外付けHDD、印刷物、配送物、廃棄書類の現物、写真、封印、保管場所、受領者、引渡記録を残します。人的証拠にあたるヒアリングは、関係者同士の口裏合わせや証拠削除を防ぐため、順序、質問項目、同席者、録音・議事録、労務上の配慮を設計します。
契約証拠も重要です。基本契約、個別契約、SLA、セキュリティ仕様書、個人情報取扱委託契約、DPA、再委託承諾書、事故通知条項、監査権、ログ提供義務、協力義務、秘密保持条項、損害賠償条項、責任制限条項、保守作業記録、変更申請、作業報告、委託先報告書を保全します。
時系列は原因調査の骨格です。下の表は、攻撃者や誤操作の行動だけでなく、自社の対応も同じ形式で記録するための列を示しています。信頼度の列により、確認済み、推測、要確認、矛盾ありを分けて読み取れます。
| 項目 | 内容 |
|---|---|
| 時刻 | タイムゾーン、秒単位、ログ時刻、確認時刻 |
| 事象 | 何が起きたか |
| 主体 | アカウント、端末、IP、人物、部署、委託先 |
| 対象 | システム、ファイル、データ、メール、端末 |
| 根拠 | ログ名、証拠番号、ヒアリング、画面、契約文書 |
| 評価 | 初期侵入、横展開、外部送信、閲覧、誤送信、復旧操作など |
| 信頼度 | 確認済み、推測、要確認、矛盾あり |
5W1Hは、単なるメモではなく、報告、本人通知、取引先説明、取締役会報告、再発防止策の骨格です。下の表では、それぞれの問いがどの調査項目に対応するかを確認できます。
| 要素 | 調査質問 |
|---|---|
| When | 発生日時、開始日時、終了日時、発見日時、報告日時、漏えい可能期間はいつか |
| Where | どのシステム、端末、クラウド、SaaS、拠点、委託先で起きたか |
| Who | 関与アカウント、利用者、攻撃者、内部者、委託先、影響対象者は誰か |
| What | どの情報、どのファイル、どのレコード、どの認証情報が対象か |
| Why | なぜ発生し、なぜ防げず、なぜ検知・封じ込めが遅れたか |
| How | どの経路、設定、操作、脆弱性、権限、媒体で漏えいしたか |
ログ時刻は、VPNがUTC、アプリがJST、クラウドが別タイムゾーン、端末がローカル時刻というようにずれる場合があります。全ログを共通時刻に正規化し、元時刻と変換後時刻を残すことが、誤った原因認定を避ける前提になります。
メール、クラウド、Web、不正アクセス、内部者、紛失、委託先の各類型で、最初に見る証拠と原因の掘り下げ方が変わります。
類型別調査では、共通の時系列と証拠台帳を使いながら、漏えい経路ごとの特有の証拠を確認します。次の一覧は、各類型で特に見落としやすい確認ポイントをまとめたもので、該当する事故の入口を選ぶために使います。
送信メールの原本、ヘッダ、添付ファイル、送信ログ、宛先、CC、BCC、メーリングリスト、DLPログ、削除依頼記録を確認します。
誤送信公開URL、設定値、対象ファイル一覧、監査ログ、ACL変更履歴、アクセスログ、検索キャッシュを確認します。
クラウド公開ディレクトリ、CMS履歴、デプロイ履歴、Webログ、検索ボット、外部アーカイブ、CDNキャッシュを確認します。
Web初期侵入、横展開、権限昇格、外部送信、閲覧可能性、バックアップ、攻撃者の痕跡を段階的に確認します。
高リスクアクセス権限、ダウンロード、印刷、USB、メール転送、クラウドアップロード、就業規則、秘密保持誓約を確認します。
労務紛失物、識別番号、持出承認、暗号化、MDM、リモートワイプ、警察届、拾得照会、回収時の痕跡を確認します。
物理委託先第一報、自社データの有無、対象者数、契約通知期限、監査権、再委託、委託先報告書の根拠を確認します。
契約不正アクセスやランサムウェアでは、攻撃の流れに沿って初期侵入、横展開、外部送信・閲覧可能性を分けて調べます。下の比較表は、それぞれの段階で何を見るかを整理しており、外部送信ログがないだけで安全と判断しないことを読み取れます。
| 段階 | 確認する証拠 | 原因分析の視点 |
|---|---|---|
| 初期侵入 | VPN、RDP、IDaaS、SSO、MFA、外部IP、脆弱性、フィッシング、漏えい認証情報 | どの経路で最初に入られ、資産台帳やパッチ管理が機能していたかを見ます。 |
| 横展開・権限昇格 | リモート実行、管理共有、PowerShell、スケジュールタスク、EDR停止、管理者権限 | ネットワーク分離、権限過大、管理者パスワード共通化、監視運用の弱さを見ます。 |
| 外部送信 | 大容量通信、異常送信先、クラウド接続、圧縮ツール、Rclone、C2通信、リークサイト | 実際の送信痕跡、送信可能性、ログ欠落、攻撃者グループの行動を見ます。 |
| 閲覧可能性 | 悪用アカウント権限、ファイルサーバ・DB・SaaSアクセス、閲覧・検索・コピー・ダウンロードログ | 外部送信が確認されなくても、アクセス可能だった情報範囲を見ます。 |
内部者調査では、過度な監視や不当な聴取を避けながら、証拠削除、口裏合わせ、端末破棄のリスクに備えます。従業員の私物端末、私的メール、SNS、個人クラウドを調べる場合は、同意、就業規則、業務関連性、プライバシー、証拠保全の適法性を慎重に検討します。
委託先事案では、委託先の説明をそのまま自社の事実認定にしません。自社としてどの証拠を確認したか、どの部分は委託先説明に依拠しているか、どの部分は未確認かを明確にします。
対象データ、対象者数、悪用可能性、根本原因、報告・通知・契約連絡を同じ調査線上で確認します。
影響範囲は「顧客情報が漏えいした可能性」といった大まかな表現では足りません。データセットごとに件数、重複、対象者区分、最新性、暗号化、マスキング、アクセス権限、外部送信・閲覧可能性、悪用可能性を確認します。
次の表は、調査対象データを種類ごとに分けるための一覧です。どの情報が含まれるかによって、報告、本人通知、契約連絡、悪用防止策の優先度が変わることを読み取れます。
| データセット | 確認事項 |
|---|---|
| 顧客情報 | 氏名、住所、電話番号、メール、購入履歴、決済情報、ID、パスワード |
| 従業員情報 | 人事評価、給与、マイナンバー、健康情報、懲戒情報、家族情報 |
| 取引先情報 | 担当者情報、契約条件、価格、見積、口座情報、秘密情報 |
| 営業秘密 | 技術情報、ソースコード、設計図、顧客リスト、販売戦略 |
| 認証情報 | ID、パスワード、APIキー、秘密鍵、トークン、証明書 |
| 監査・法務情報 | 契約書、訴訟資料、内部通報、不祥事調査資料、取締役会資料 |
対象者数は、個人情報保護委員会への報告要否、本人通知、FAQ、コールセンター規模、公表内容に直結します。レコード数と本人の数は一致しないため、重複、退会者、従業員、家族、取引先担当者、共同利用先や委託先データの混在を確認します。
根本原因は、技術・人・プロセス・ガバナンスに分けると再発防止策へ落とし込みやすくなります。下の表は、原因と対策の方向を対応させるための比較で、教育だけ、規程改定だけに偏らないよう確認するために使います。
| 分類 | 例 | 再発防止策の方向性 |
|---|---|---|
| 技術的原因 | 脆弱性、設定不備、暗号化不足、MFA未導入 | パッチ、設定標準、ゼロトラスト、DLP、EDR、暗号化 |
| 人的原因 | 誤操作、教育不足、権限濫用、疲労、引継不足 | 教育、二重確認、UI改善、業務量調整、牽制 |
| プロセス原因 | 承認不備、変更管理不足、棚卸不足、委託先連絡遅延 | 規程、ワークフロー、チェックリスト、レビュー、SLA |
| ガバナンス原因 | 経営関与不足、予算不足、責任不明確、監査不備 | 取締役会報告、KPI、内部監査、リスク評価、投資計画 |
法務判断では、報告対象となる類型と通知先を分けて見ます。次の3つの項目は、個人情報保護法、契約、業法・海外法・開示の入口を示しており、原因が未確定でも期限管理を始めます。
要配慮個人情報、財産的被害のおそれ、不正目的によるおそれ、本人の数が1,000人を超える場合などは、報告・本人通知の要否を早期に検討します。
24時間以内、直ちに、遅滞なく、合理的に可能な限り速やかになど、契約ごとの通知期限と通知内容を個別に管理します。
金融、医療、通信、教育、公共、重要インフラ、上場会社、海外顧客を扱う場合は、監督官庁、海外法、適時開示、情報共有の要否を確認します。
外部専門家の活用は、常に義務という扱いではありません。ただし、不正アクセス、ランサムウェア、重要情報、対象者数が多い事案、監督官庁・取引先・保険会社・裁判で客観的報告書が必要な事案、内部者関与が疑われる事案では、証拠保全と客観的分析の観点から有用です。
調査報告書、公表文、本人通知、経営報告、内部監査を分断せず、表現と根拠の整合性を保ちます。
調査報告書は、技術解析レポートだけではありません。経営、法務、監督官庁、取引先、本人、裁判所、監査役、内部監査が読んでも、事実、根拠、評価、限界、再発防止が理解できる必要があります。
次の一覧は、調査報告書に含める基本項目を示しています。調査対象にしなかった範囲や未解明事項も含めて読むことで、報告書が過度な断定に寄らないかを確認できます。
| 区分 | 主な内容 |
|---|---|
| 前提 | エグゼクティブサマリー、調査目的、前提、対象範囲、体制、期間、利用資料 |
| 範囲 | 調査対象、対象外範囲、その理由、ログ一覧、調査限界 |
| 時系列 | 事案発覚から現在までの対応時系列、技術的時系列、対象構成 |
| 影響 | 対象データ、対象者数、情報分類、漏えいまたは漏えいのおそれの程度 |
| 原因 | 発生原因、侵入原因、漏えい原因、検知遅延原因、被害拡大原因、根本原因 |
| 対応 | 法令・契約上の報告・通知・公表、封じ込め、復旧、再発防止策 |
| 残課題 | 未解明事項、追加調査の要否、添付資料、証拠一覧、用語集 |
報告書では、断定できることとできないことを明確に分けます。下の表は表現の強さを示しており、「確認されなかった」と「存在しない」が異なることを読み取るための基準になります。
| 区分 | 表現例 |
|---|---|
| 確定 | ログAにより、特定日時にアカウントXがファイルYをダウンロードしたことを確認しました。 |
| 高い可能性 | ログA、EDR記録B、外部通信Cを総合すると、外部送信が行われた可能性が高いと評価されます。 |
| 可能性あり | 当該期間のアクセスログが保存されていないため、閲覧可能性を排除できません。 |
| 確認されず | 調査対象ログの範囲では、外部送信を示す記録は確認されませんでした。 |
| 不明 | 攻撃者によりログが削除されており、当該期間の操作内容は不明です。 |
公表と本人通知では、正確性、迅速性、被害者保護、捜査・調査への影響、二次被害防止、取引先との整合性を調整します。下の時系列は、初回公表から経営・監査対応までの順番を示しており、各段階で更新情報を共有する場面を確認できます。
何が発生したか、対象情報、漏えいの有無または可能性、既実施措置、追加調査予定を整理します。
自分が対象か、どの情報が対象か、悪用の有無、注意が必要な連絡、問い合わせ窓口を明確にします。
重大性、対象者数、法令・契約対応、封じ込め状況、費用、再発防止投資、承認事項を示します。
責任者、期限、予算、技術対策、権限棚卸、ログ改善、委託先監査、訓練、再発指標を確認します。
再発防止策は、短期、中期、長期に分けます。短期ではアカウント停止、パスワード変更、MFA強制、公開停止、脆弱性修正を行い、中期では権限棚卸、ログ保管、EDR導入、DLP導入、委託先監査、規程改定を進め、長期ではセキュリティ投資計画、取締役会報告、訓練、内部監査、KPI管理へ接続します。
24時間、72時間、30日・60日の節目と、よくある失敗、調査項目、証拠台帳を実務で確認できる形にまとめます。
発覚後は、時間軸ごとに確認する事項が変わります。次の時系列は、初動、速報準備、確報対応へ進む順番を示しており、短い期限で何を確定し、長い期限で何を合理的に説明可能にするかを読み取れます。
発見日時、通報者、対象、既実施操作を記録し、情シス、セキュリティ、法務、個人情報保護、経営へ連絡します。ログ、端末、メール、クラウド設定、画面、契約を保全し、法的初期評価と外部専門家の要否も確認します。
仮説、対象範囲、証拠、報告期限、役割を確定し、個人情報保護委員会等への速報要否、対象データ、対象者数、技術解析、本人・取引先連絡、封じ込め確認、経営報告を進めます。
発生日時、発覚日時、事案概要、原因、対象情報、対象者数、漏えいまたはおそれの状況、本人通知方法、再発防止策、未解明事項と追加対応を整理します。
よくある失敗は、初動で証拠を消す、漏えいなしと早期断定する、法務への連絡が遅い、調査範囲の根拠がない、原因と再発防止策が対応していない、委託先任せにすることです。次の一覧では、失敗の種類ごとに予防の観点を読み取れます。
端末初期化、再起動、ログ削除、設定変更、バックアップ復元、メール削除の前に、状態、変更者、時刻、理由を記録します。
外部送信ログがないことだけで安全と扱わず、確認範囲、ログ欠落、閲覧可能性を分けて表現します。
速報期限、本人通知、契約通知、取引先説明は原因確定を待たずに準備します。
調査対象外とした範囲、理由、残存リスクを記録し、追加調査条件を残します。
教育や規程改定だけで終えず、技術、プロセス、人、ガバナンスの各原因へ対応させます。
委託先報告書を鵜呑みにせず、自社データへの影響、契約、報告義務、本人対応を自社として評価します。
原因調査マトリクスは、証拠、判断内容、法務上の意味を同じ行で確認するための実務表です。どの項目が報告期限、通知規模、公表判断、再発防止につながるかを横断的に読み取れます。
| 調査項目 | 確認する証拠 | 判断する内容 | 法務上の意味 |
|---|---|---|---|
| 発生日時 | ログ、通報、ヒアリング | 発生時点、発覚時点 | 報告期限、時効、契約通知期限 |
| 対象情報 | DB、ファイル、台帳 | 個人情報、要配慮、営業秘密 | 報告・本人通知・損害評価 |
| 対象者数 | データ抽出、重複除外 | 本人数、区分 | 報告対象、通知規模、公表判断 |
| 漏えい経路 | ログ、設定、通信、端末 | 外部送信、閲覧、誤送信、紛失 | 漏えい有無、悪用可能性 |
| 直接原因 | 操作履歴、脆弱性、認証 | 何が直接起きたか | 説明責任、責任分担 |
| 根本原因 | 規程、運用、権限、監査 | なぜ防げなかったか | 再発防止、取締役会報告 |
| 検知遅延 | 監視ログ、通報記録 | なぜ気付かなかったか | 改善計画、監査指摘 |
| 被害拡大 | 横展開、権限、ネットワーク | なぜ広がったか | 技術投資、統制改善 |
| 未解明事項 | ログ欠落、調査不能範囲 | 残存不確実性 | 表現管理、追加調査 |
証拠台帳は、証拠の所在と証拠価値を追えるようにするための最低限の一覧です。下の項目をそろえることで、誰がいつ何を取得し、どの事実を裏付けるかを後から検証できます。
| 項目 | 内容 |
|---|---|
| 証拠番号 | E-001等の一意識別子 |
| 証拠名 | VPNログ、端末イメージ、メール原本等 |
| 取得日時・取得者 | いつ、誰が取得したか |
| 取得方法 | エクスポート、イメージ取得、スクリーンショット等 |
| 原本場所・保管場所 | 元データの所在と証拠保管先 |
| ハッシュ値 | SHA-256等 |
| アクセス権 | 閲覧・解析できる者 |
| 関連事実 | どの事実を裏付けるか |
| 注意事項 | 欠落、時刻ずれ、暗号化、改ざん可能性 |
制度や実務上の一般的な考え方を整理します。個別の見通しや対応方針は、証拠と契約を確認したうえで専門家へ相談する必要があります。
一般的には、報告対象となる漏えい等またはそのおそれがある場合、原因が完全に確定していなくても速報期限が問題になります。ただし、情報の性質、対象者数、発覚時点、所管分野、海外法令の有無によって結論が変わる可能性があります。具体的な対応は、確認済み事実と未確認事項を整理したうえで弁護士等の専門家へ相談する必要があります。
一般的には、外部会社によるフォレンジック調査が常に義務付けられるものではありません。ただし、不正アクセス、ランサムウェア、重要情報、対象者数が多い事案、訴訟・監督官庁・取引先説明が想定される事案では、外部専門家による証拠保全と客観的分析が有用となる可能性があります。具体的な要否は、事案の重大性、社内の調査能力、証拠状況を踏まえて専門家へ相談する必要があります。
一般的には、ログがない場合でも、端末、クラウド監査ログ、メール、バックアップ、通信機器、委託先ログ、ヒアリング、設定履歴、外部通知、ダークウェブ監視などの代替証拠を検討します。ただし、代替証拠でどこまで説明できるかは証拠の質と範囲によって変わります。何が確認できず、なぜ確認できないのかを明記し、具体的な追加調査は専門家へ相談する必要があります。
一般的には、漏えい確定は権限外者への送信、取得、閲覧、公開などが証拠で確認された状態を指します。漏えいのおそれは、直接確認できないものの、外部送信可能性、閲覧可能性、ログ欠落、攻撃者の権限、公開状態などから漏えいを排除できない状態を指します。ただし、法的な報告・通知の要否は、情報の性質や事案類型によって変わる可能性があります。
一般的には、証拠保全前に本人へ接触すると、証拠削除、口裏合わせ、端末破棄のリスクが生じる可能性があります。一方で、過度な監視や不当な聴取は労務・プライバシー上の問題につながることがあります。内部者関与が疑われる場合は、法務、人事、外部弁護士、必要に応じてフォレンジック専門家が、証拠保全、ヒアリング順序、質問範囲、懲戒手続を設計する必要があります。
一般的には、契約上の通知義務や二次被害防止の観点から、原因確定前でも連絡が必要となる可能性があります。ただし、連絡時期や内容は契約条項、対象情報、相手方への影響、調査状況によって変わります。連絡文では、確認済み事実、未確認事項、対象可能性、相手方に求める措置、追加報告予定を分けることが重要です。
一般的には、原因に対応した具体策、責任者、期限、優先度、完了確認方法まで示すことが有効とされています。ただし、事案の規模、原因の複雑さ、既存統制、予算、監督官庁・取引先対応によって記載粒度は変わります。抽象的な教育や管理強化だけでなく、技術、運用、権限管理、委託先管理、監査、訓練、経営報告を組み合わせて検討します。
調査は発見後に慌てて始める単発作業ではなく、平時準備から経営報告まで続く説明責任の仕組みです。
漏えいインシデントの原因調査手順は、平時の情報資産管理、ログ保管、対応手順、契約管理、教育、監査、プレイブックがあって初めて、発生後に迅速かつ証拠に基づく調査として機能します。
次の重要ポイントは、ページ全体の要点を再確認するための一覧です。初動、原因の階層化、法務関与、未解明事項の管理、再発防止策の対応関係をまとめて読み取れます。
初動で証拠を消さず、直接原因、侵入原因、漏えい原因、検知遅延原因、被害拡大原因、根本原因を分け、法務を早期に入れ、確認済み・可能性・不明を明確に書き分けることが実務の中核になります。
企業法務の観点では、漏えいインシデントの原因調査手順は、コンプライアンス、内部統制、危機管理、取締役会の監督、顧客保護を結ぶ中核的手続です。技術的に高度な調査でも、法的説明に耐えなければ十分とはいえません。逆に、法的に整った報告書でも、証拠と技術的根拠が弱ければ信頼されません。企業は、法務、セキュリティ、個人情報保護、内部監査、経営、外部専門家を早期に統合し、事実に基づく、再現可能で、説明可能な原因調査を行うことが重要です。
漏えい対応、フォレンジック、インシデント対応、情報共有、公表、ランサムウェア対応、国際規格に関する中立的な資料名を整理します。