2σ Guide

漏えい記者会見・
プレス対応の実務

個人情報・機密情報・サイバー攻撃等の漏えい発生時に、企業法務、危機管理、広報、IR、セキュリティが連携して説明責任を果たすための実務を整理します。

72時間初動品質を左右
3から5日PPC速報の目安
30/60日確報期限の目安
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

漏えい記者会見・ プレス対応の実務

公表、通知、報告、情報共有を分けて設計するための基礎です。

動画を読み込み中…
2σ GUIDE ・ VIDEO
漏えい記者会見・ プレス対応の実務
公表、通知、報告、情報共有を分けて設計するための基礎です。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • 漏えい記者会見・ プレス対応の実務
  • 公表、通知、報告、情報共有を分けて設計するための基礎です。

POINT 1

  • 漏えい記者会見・プレス対応の全体像
  • 公表、通知、報告、情報共有を分けて設計するための基礎です。
  • 本人の権利利益を守ります
  • 被害拡大を防止します
  • 事実と推測を分けます

POINT 2

  • 漏えい記者会見・プレス対応で押さえる法令と用語
  • 漏えい等、速報、確報、事実、評価、推測を分けて使います。
  • 事実・評価・推測の区別
  • プレスリリースは会社の公式見解を文書で示す手段です。
  • 記者会見は代表者または責任者が説明し、質疑応答を受ける双方向の場です。

POINT 3

  • 漏えい記者会見を開くかを決める判断基準
  • 被害規模が大きい場合
  • 対象人数が多い、長期間漏えいしていた、重要情報を含む、複数サービスに影響する場合です。
  • 要配慮性が高い場合
  • 医療情報、健康情報、金融情報、認証情報、未成年情報、犯罪被害・相談履歴、位置情報などを含む場合です。

POINT 4

  • 漏えいプレス対応の初動72時間
  • 1. 拡散防止と証拠保全:責任者を指名し、法務、プライバシー、CISO/CSIRT、広報、経営、CS、IR、内部監査を招集します。
  • 2. 初期ステートメントと報告先整理:個人情報、営業秘密、認証情報、決済情報、医療情報、従業員情報、上場会社情報、海外データの分類を行います。
  • 3. 第一次対外対応:会見、プレスリリース、ウェブ掲示、個別通知、取引先説明、適時開示の組み合わせを決定します。
  • 4. 速報・本人通知・続報:報道・SNSを監視し、誤情報があれば訂正し、フォレンジック調査の中間結果を続報に反映します。

POINT 5

  • 漏えい対応の危機対策本部と役割分担
  • 平時の組織図ではなく、有事の意思決定単位で設計します。
  • 法務と広報の共同作業
  • 企業内弁護士、外部弁護士、役員の関与
  • 漏えい対応では、平時の組織図だけでは足りません。

POINT 6

  • 漏えい記者会見の事実管理表
  • 1. 事実管理表を更新:発覚日時、対象情報、対象人数、原因、封じ込め、二次被害、報告先を一元管理します。
  • 2. 確認区分を付けます:確認済み、調査中、未確認に分け、推測を公式文書へ混ぜないようにします。
  • 3. 本人保護と説明責任:本人通知、プレスリリース、会見資料、FAQへ展開します。
  • 4. 被害拡大防止:攻撃手法、脆弱性、捜査関連情報は専門機関や関係者との限定共有にします。

POINT 7

  • 漏えいプレスリリースの構成と表現
  • 最初の1分で本人が必要な情報に到達できる構成にします。
  • 初期プレスリリースの表現例
  • 漏えいプレスリリースは、謝罪だけで終わらせず、読者が最初の1分で被害防止に必要な情報を得られる構成にします。
  • 本人が知りたいのは、自分の何の情報が、どの範囲で、いつ、誰に、どのように漏れ、今何を確認すればよいかです。

POINT 8

  • 漏えい記者会見の進行と質疑応答
  • 1. 開会と資料確認:司会者が録音録画ルール、質問方法、配布資料を説明します。
  • 2. 代表者の謝罪と基本方針:会社としての責任、優先順位、本人保護、調査・再発防止の姿勢を示します。
  • 3. 事案概要と技術説明:発覚経緯、対象情報、対象人数、封じ込め、調査状況、技術的再発防止を説明します。
  • 4. 法令対応と本人保護:本人通知、当局報告、問い合わせ窓口、フィッシング注意喚起、今後の更新方法を示します。
  • 5. 質疑応答:確認済み事実と未確認事項を分け、分からない点は調査方法と次回説明予定を示します。

まとめ

  • 漏えい記者会見・ プレス対応の実務
  • 漏えい記者会見・プレス対応の全体像:公表、通知、報告、情報共有を分けて設計するための基礎です。
  • 漏えい記者会見・プレス対応で押さえる法令と用語:漏えい等、速報、確報、事実、評価、推測を分けて使います。
  • 漏えい記者会見を開くかを決める判断基準:本人保護、社会的影響、市場影響、報道状況、被害拡大防止で判断します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

漏えい記者会見・プレス対応の全体像

公表、通知、報告、情報共有を分けて設計するための基礎です。

漏えい記者会見・プレス対応は、謝罪文を整える作業だけではありません。個人情報保護法上の漏えい等報告・本人通知、上場会社の適時開示、サイバー攻撃時の被害拡大防止、顧客・取引先・従業員への説明、警察・規制当局・専門機関との連携、証拠保全、訴訟・行政処分・刑事手続への備え、ブランド毀損の最小化を短時間で統合する危機管理実務です。

経営者、法務、個人情報保護担当、コンプライアンス、広報、IR、情報システム、セキュリティ、内部監査、社外役員、外部専門家は、何を、いつ、誰が、どの順序で、どこまで公表するかを同じ事実管理に基づいて判断します。個別事案では、業法、契約、海外法、上場規則、刑事法、労働法、消費者法、金融規制などが重なります。

基本姿勢公表しないことと情報共有しないことは同じではありません。記者会見をしない場合でも、本人通知、当局報告、取引先連絡、専門機関への情報共有が必要になる場合があります。

次の一覧は、漏えい対応で区別すべき対外行為を表しています。読者にとって重要なのは、同じ事実を使っていても、目的、相手、必要な粒度が異なる点を読み取ることです。

行為主な相手重視する内容
当局報告個人情報保護委員会、所管官庁、警察など法令・ガイドライン・監督実務が求める項目と期限を満たします。
本人通知漏えい等に関係する本人本人が二次被害を避けるために必要な情報を優先します。
取引先連絡委託元、委託先、顧客、重要取引先契約上の通知、サービス継続、調査協力、被害防止を整理します。
適時開示投資家、市場、証券取引所投資判断に重要な事実、業績影響、今後の見通しを迅速かつ公平に示します。
プレスリリース社会、顧客、報道機関会社の公式見解、確認済み事実、本人保護策、問い合わせ先を文書で示します。
記者会見報道機関、社会、本人、取引先、投資家代表者や責任者が説明し、質疑応答に耐える説明責任を果たします。
情報共有JPCERT/CC、IPA、警察、業界団体、クラウド事業者など攻撃手法、痕跡、影響範囲、対策状況を被害拡大防止のために共有します。

次の5つのポイントは、漏えい記者会見・プレス対応の軸を示しています。どの軸も欠けると、本人保護、法令対応、企業統治のいずれかにひずみが出るため、全体像として一緒に確認することが重要です。

POINT 01

本人の権利利益を守ります

本人が自衛できる情報を早く届け、詐欺、なりすまし、不正ログインなどの二次被害を抑えます。

POINT 02

被害拡大を防止します

封じ込め、証拠保全、専門機関連携を進め、公開情報と限定共有情報を分けます。

POINT 03

事実と推測を分けます

確認済み、調査中、未確認の区分を明確にし、未確認の安心材料を断定しません。

POINT 04

複数のルールを同時に満たします

個人情報保護法、契約、上場規則、監督実務、海外法、刑事・労務対応を重ねて確認します。

POINT 05

統治上の説明責任を果たします

経営、取締役会、監査役、社外役員が判断に関与し、再発防止まで説明します。

Section 01

漏えい記者会見・プレス対応で押さえる法令と用語

漏えい等、速報、確報、事実、評価、推測を分けて使います。

一般に漏えいとは、秘密として管理されるべき情報、個人情報、顧客情報、技術情報、営業秘密、認証情報、決済情報、医療情報、従業員情報、取引先情報などが、権限のない者に知られ、閲覧され、取得され、または外部に出ることを指します。個人情報保護法実務では、外部流出だけでなく、滅失、毀損、不正アクセス、ランサムウェアによる暗号化、誤送信、媒体紛失、設定ミスによる閲覧可能化などを含む広い概念として漏えい等が扱われます。

プレスリリースは会社の公式見解を文書で示す手段です。記者会見は代表者または責任者が説明し、質疑応答を受ける双方向の場です。初期段階では、確認済み事実、調査中事項、当面の対応、問い合わせ先を短く示すホールディングステートメントを先に出し、続報で更新する方法が実務上有効です。

次の比較表は、法令・規則・実務指針がどの場面に関係するかを整理しています。読者にとって重要なのは、個人情報、上場会社情報、サイバー攻撃、契約、海外法が同時に動くため、担当部門ごとに別々の文書を作るだけでは整合性を保ちにくい点です。

領域実務上の確認事項プレス対応での読み取り方
個人情報保護法報告対象事態、速報、確報、本人通知、再発防止、公表要否を確認します。本人通知、当局報告、プレスリリース、記者会見を同じ文書にせず、目的ごとに粒度を変えます。
報告期限速報は発覚日から3から5日以内、確報は30日以内、不正目的のおそれがある場合は60日以内が目安です。行政報告の時間軸を、広報発表と本人通知の予定に接続します。
委託先・クラウド誰が報告・通知を行うか、公表前協議、再委託、監査、ログ提供義務を確認します。委託元と委託先の表現差が報道上の争点にならないよう、共同声明や同時発表を検討します。
上場会社業績影響、サービス停止、行政処分、信用毀損、重要契約への影響を確認します。TDnet、プレスリリース、会見、決算説明、IR面談の説明をそろえます。
サイバー攻撃警察、JPCERT/CC、IPA、専門機関、クラウド事業者との連携を確認します。公開情報と限定共有情報を分け、模倣攻撃や再攻撃を誘発する詳細は避けます。
契約・営業秘密・労務・刑事・海外法秘密保持、事故通知、損害賠償、従業員関与、刑事相談、越境データを確認します。国内広報だけでなく、取引先説明、社内説明、現地当局、英語開示まで整合させます。

事実・評価・推測の区別

会見で最も危険なのは、事実、評価、推測を混同することです。事実はログ、通信記録、メール送信記録、アクセス権限、外部専門家の解析、本人からの申告、当局・取引先からの連絡などで確認された事項です。評価は確認済み事実に基づく会社の判断です。推測は原因、攻撃者像、流出範囲、二次被害の有無など、まだ確定していない事項です。

注意「現時点で確認されていません」は使えますが、「ありません」と断定すると、後日の調査結果と矛盾した場合に虚偽説明と受け取られる可能性があります。
Section 02

漏えい記者会見を開くかを決める判断基準

本人保護、社会的影響、市場影響、報道状況、被害拡大防止で判断します。

漏えいが発生したからといって、常に記者会見を行うとは限りません。反対に、法令上の明文義務がないことだけを理由に、公表や会見を避けてよいわけでもありません。判断の中心は、本人保護、社会的影響、市場影響、説明責任、報道状況、被害拡大防止です。

次の一覧は、記者会見またはオンライン説明会を強く検討すべき典型場面を表しています。読者にとって重要なのは、単に人数の多さだけでなく、情報の性質、本人の自衛必要性、市場・公共性、報道先行の有無を合わせて読むことです。

被害規模が大きい場合

対象人数が多い、長期間漏えいしていた、重要情報を含む、複数サービスに影響する場合です。

要配慮性が高い場合

医療情報、健康情報、金融情報、認証情報、未成年情報、犯罪被害・相談履歴、位置情報などを含む場合です。

財産的被害の可能性がある場合

クレジットカード、銀行口座、ログインID、パスワード、本人確認書類、マイナンバーなどが関係する場合です。

サイバー攻撃が疑われる場合

ランサムウェア、暴露予告、ダークウェブ掲載、業務停止、取引先への波及がある場合です。

市場や公共性への影響がある場合

上場会社の投資判断、医療・金融・通信・教育・行政受託など公共性の高いサービスに関係する場合です。

報道や経営責任が先行している場合

SNS、攻撃者サイト、取引先発表で情報が広がり、過去事故、隠蔽疑惑、役員監督責任が争点になる場合です。

次の比較表は、会見を行う場合と、個別通知・プレスリリースで足りることが多い場合の境界を示しています。重要なのは、会見を開かない場合でも、何も公表しないという結論には直結しない点です。

判断場面会見を検討する方向リリース・個別通知中心の方向
対象者多数、特定が難しい、社会に広く注意喚起が必要です。限定的で、本人全員に直接連絡できます。
情報の性質要配慮情報、財産被害につながる情報、認証情報などを含みます。財産的被害や要配慮情報を含まず、影響が軽微です。
原因と封じ込め原因・範囲が調査中で、社会的な説明責任が重い状態です。原因が明確で、封じ込めと再発防止が完了しています。
報道状況外部報道、SNS、攻撃者公表が先行し、会社の説明が必要です。報道関心が低く、対象者保護が個別連絡で足ります。
公表リスク本人保護や市場説明の必要性が公表リスクを上回ります。公表により攻撃手法や脆弱性が拡散し、被害拡大のおそれがあります。

早すぎる会見では未確認情報を断定しやすく、遅すぎる会見では隠していたと受け取られやすくなります。実務上は、確認済み事実だけを示す初期ステートメントを速やかに出し、初期封じ込め、暫定的な影響範囲、本人保護策、当局報告方針、問い合わせ体制が整った段階で会見の要否を判断します。

Section 03

漏えいプレス対応の初動72時間

拡散防止、証拠保全、初期発信、続報準備を同時に進めます。

漏えい対応の品質は、最初の72時間で大きく決まります。次の時系列は、企業法務、広報、セキュリティ、経営が共同で確認すべき順番を示しており、時間が進むほど、技術対応だけでなく本人通知、当局報告、取引先説明、報道対応との整合性が重要になります。

発覚から2時間以内

拡散防止と証拠保全

責任者を指名し、法務、プライバシー、CISO/CSIRT、広報、経営、CS、IR、内部監査を招集します。影響システムの隔離、認証情報の無効化、ログ・端末・メール・バックアップ保全、未承認コメントの停止、事実管理表の作成を行います。

2時間から6時間

初期ステートメントと報告先整理

個人情報、営業秘密、認証情報、決済情報、医療情報、従業員情報、上場会社情報、海外データの分類を行います。PPC速報、所管官庁、警察、JPCERT/CC、IPA、取引所、金融機関、クラウド事業者への連絡要否を整理し、本人通知、プレス文案、想定問答、社内周知、窓口体制を準備します。

6時間から24時間

第一次対外対応

会見、プレスリリース、ウェブ掲示、個別通知、取引先説明、適時開示の組み合わせを決定します。社外発信文書は法務、広報、セキュリティ、事業部門、IRで確認し、登壇者、冒頭説明、技術説明、質疑応答ルール、追加発表基準を固めます。

24時間から72時間

速報・本人通知・続報

個人情報保護委員会への速報期限を管理し、本人通知、取引先説明、委託先・カード会社・決済事業者・保険会社への連絡を進めます。報道・SNSを監視し、誤情報があれば訂正し、フォレンジック調査の中間結果を続報に反映します。

重要セキュリティ部門が善意でログを上書きすると、法務が必要とする証拠を失うことがあります。反対に、証拠保全だけを優先しすぎると封じ込めが遅れます。弁護士、CISO、フォレンジック専門家が同じ事実管理表を見て判断することが必要です。
Section 04

漏えい対応の危機対策本部と役割分担

平時の組織図ではなく、有事の意思決定単位で設計します。

漏えい対応では、平時の組織図だけでは足りません。危機対応責任者を中心に、法務、プライバシー、CISO/CSIRT、フォレンジック、広報、IR、カスタマーサポート、事業部門、人事・労務、内部監査・監査役等をつなぎ、文書と説明を一元化します。

次の一覧は、危機対策本部で必要になる役割と、漏えい記者会見・プレス対応における読み取り方を示しています。読者にとって重要なのは、誰が最終判断を行い、誰が事実・法令・技術・伝え方を確認するかを初期段階で決めることです。

役割担当する判断対外説明での注意点
危機対応責任者代表取締役、CRO、CCO、CLO、事業責任者などが最終意思決定を担います。会社として何を把握し、何を優先し、どう是正するかを説明します。
法務統括個人情報保護法、契約、上場規則、訴訟、刑事、当局対応を統括します。言えることと言えないことを整理し、断定しすぎない表現を確認します。
プライバシー統括本人通知、対象者特定、データ項目、委託先関係を統括します。本人が自衛できる内容と時期を中心に説明します。
CISO/CSIRT封じ込め、調査、復旧、技術的原因、再発防止策を統括します。公表可能な技術情報と限定共有情報を分けます。
広報統括プレスリリース、会見、報道対応、SNS、ウェブ掲載を統括します。伝わる順序、誤解されにくい表現、問い合わせ導線を設計します。
IR統括適時開示、投資家説明、アナリスト対応を統括します。TDnet、会見、決算説明、英語開示を整合させます。
監査役・社外役員統制不備、経営監督、再発防止策の実効性を確認します。重大事案では、取締役会・監査役への報告履歴も重要になります。

法務と広報の共同作業

法務は事実、責任、法的リスクを確認し、広報は構成、平易さ、順序、報道され方を調整します。法務だけでは抽象的になりやすく、広報だけでは法的に不正確または過度に断定的になるおそれがあります。

企業内弁護士、外部弁護士、役員の関与

企業内弁護士は社内の意思決定と事業構造を理解し、外部弁護士は当局報告、プレス文案、想定問答、証拠保全、第三者調査、損害賠償リスク、役員責任、刑事対応のレビューで強みを発揮します。重大漏えいでは、取締役会、監査役、監査等委員、社外取締役へ、発覚日時、影響範囲、報告・通知・開示要否、業績影響、原因、統制不備、公表方針、再発防止策を報告します。

Section 05

漏えい記者会見の事実管理表

リリース、当局報告、本人通知、会見、取締役会報告の共通基盤です。

漏えい会見の準備では、必ず事実管理表を作成します。事実管理表は、プレスリリース、当局報告、本人通知、会見資料、想定問答、取締役会報告、訴訟対応の共通基盤です。

次の表は、事実管理表に入れるべき項目と管理上の注意を示しています。読者にとって重要なのは、どの項目が期限、本人通知、現在の安全性、二次被害説明、再発防止策に直結するかを読み取ることです。

項目記載内容管理上の注意
発覚日時誰が、いつ、どのように認識したかを記録します。法定報告期限の起算点になり得ます。
事案概要何が起きたかを整理します。断定と推測を分けます。
対象システムサービス名、サーバー、クラウド、委託先を管理します。攻撃者に有利な詳細は公開用から除外します。
対象情報氏名、住所、メール、電話、ID、パスワード、決済情報などを整理します。本人通知の中心項目です。
対象人数確定数、最大値、推計幅を管理します。数字の更新履歴を残します。
原因誤送信、設定ミス、不正アクセス、内部不正などを整理します。未確定の場合は仮説として管理します。
封じ込め停止、遮断、権限変更、パッチ、パスワードリセットを記録します。現在の安全性説明に必要です。
二次被害不正利用、フィッシング、なりすまし、金銭被害を確認します。「ない」と断定しない運用が重要です。
報告先・通知PPC、所管官庁、警察、取引所、本人通知の対象・方法・時期を管理します。期限と提出内容、なりすまし通知対策を管理します。
公表方針・再発防止リリース、会見、FAQ、SNS、暫定策、恒久策、監査、教育を管理します。各チャネルの内容整合性と具体性を確認します。

次の判断の流れは、事実管理表をどの文書へ展開するかを表しています。読者にとって重要なのは、確認済み、調査中、未確認の区分を保ったまま、用途ごとに必要な粒度へ変換する点です。

事実管理表から対外文書へつなぐ判断の流れ

事実管理表を更新

発覚日時、対象情報、対象人数、原因、封じ込め、二次被害、報告先を一元管理します。

確認区分を付けます

確認済み、調査中、未確認に分け、推測を公式文書へ混ぜないようにします。

対外発信する情報
本人保護と説明責任

本人通知、プレスリリース、会見資料、FAQへ展開します。

限定共有にとどめる情報
被害拡大防止

攻撃手法、脆弱性、捜査関連情報は専門機関や関係者との限定共有にします。

Section 06

漏えいプレスリリースの構成と表現

最初の1分で本人が必要な情報に到達できる構成にします。

漏えいプレスリリースは、謝罪だけで終わらせず、読者が最初の1分で被害防止に必要な情報を得られる構成にします。本人が知りたいのは、自分の何の情報が、どの範囲で、いつ、誰に、どのように漏れ、今何を確認すればよいかです。

次の一覧は、初期プレスリリースに入れる項目を順番に整理したものです。読者にとって重要なのは、謝罪、事案概要、対象情報、本人へのお願い、当局・専門機関連携、次回更新予定までが一つの発表でつながっているかを読み取ることです。

1

冒頭情報

タイトル、発表日、会社名、お詫び、現時点の位置付けを示します。

文書の前提
2

事案の概要

発覚経緯、対象となる可能性のある情報、対象人数または対象範囲、原因または調査状況を整理します。

確認区分
3

現在の対応

封じ込め、ログ保全、外部専門機関による調査、当局報告、警察相談、専門機関連携を示します。

被害防止
4

本人へのお願い

不審メール・SMS・電話への注意、パスワード変更、問い合わせ先、会社が尋ねない情報を明確にします。

二次被害防止
5

今後の予定

再発防止策、対象者への個別連絡、追加公表、次回更新予定を示します。

続報管理

初期プレスリリースの表現例

初期段階では、確認できている事実だけを述べ、対象項目や対象人数が更新される可能性を明示します。例として、「第三者による不正アクセスを受け、お客様情報の一部が外部に漏えいしたおそれがあることを確認しました」「現時点で対象となる可能性がある情報は、氏名、メールアドレス、電話番号、会員IDです」「クレジットカード番号、金融機関口座番号、パスワードの平文、マイナンバーが含まれる事実は、現時点では確認されていません」といった表現を使います。

次の比較表は、初期発表で避けたい表現と、より安全な表現の方向性を示しています。読者にとって重要なのは、断定、責任転嫁、抽象論を避け、本人が取れる行動と次回更新を具体化することです。

避けたい表現問題点望ましい方向性
漏えいはありません調査途中では危険です。現時点で確認されていません、と表現します。
二次被害はありません不正利用の発見には時間差があります。本件に起因すると確認された二次被害は把握していません、と表現します。
委託先の責任です責任転嫁と受け取られます。委託先と連携して調査・被害拡大防止を進めています、と説明します。
万全の対策をしていました事故発生後には空疎に聞こえます。これまでの対策と今回見直す領域を分けて示します。
現在調査中ですのみ本人が何を確認すればよいか分かりません。お客様にお願いしたい事項、問い合わせ先、次回更新予定を示します。
Section 07

漏えい記者会見の進行と質疑応答

代表者、技術責任者、法務・プライバシー責任者、広報の役割を分けます。

漏えい会見の目的は、報道機関を納得させることではありません。社会、本人、取引先、従業員、投資家に対して、確認済み事実、影響、現在の対応、本人が確認すべき事項、再発防止の方向性を正確に伝えることです。

次の判断の流れは、会見の進行を順番に表しています。読者にとって重要なのは、冒頭謝罪だけでなく、技術説明、法令対応、本人保護、質疑応答、次回更新までを一貫した説明にする点です。

漏えい記者会見の標準的な進め方

開会と資料確認

司会者が録音録画ルール、質問方法、配布資料を説明します。

代表者の謝罪と基本方針

会社としての責任、優先順位、本人保護、調査・再発防止の姿勢を示します。

事案概要と技術説明

発覚経緯、対象情報、対象人数、封じ込め、調査状況、技術的再発防止を説明します。

法令対応と本人保護

本人通知、当局報告、問い合わせ窓口、フィッシング注意喚起、今後の更新方法を示します。

質疑応答

確認済み事実と未確認事項を分け、分からない点は調査方法と次回説明予定を示します。

次の表は、登壇者ごとの役割を整理しています。読者にとって重要なのは、責任論、技術論、法令対応、進行管理を混ぜず、回答の矛盾を避けることです。

登壇者主な説明内容注意点
代表取締役または事業責任者会社としての責任、謝罪、基本方針を説明します。個別技術の詳細ではなく、会社が何を把握し、何を優先し、どう是正するかを説明します。
CISO・CSIRT責任者技術的事実、封じ込め、復旧、再発防止を説明します。攻撃者に有利な詳細を公表しすぎないようにします。
法務・プライバシー責任者個人情報保護法上の対応、本人通知、当局報告、委託先関係を説明します。報告内容、本人通知、プレス文案の整合性を保ちます。
広報責任者または司会者進行、質問整理、時間管理、追加資料案内を行います。会見後の個別取材ルールと追加質問対応を管理します。

質疑応答の基本原則

質疑応答では、質問に直接答え、確認済み事実と未確認事項を分け、分からないことは分からないと説明します。その場合でも、調査方法と次回説明の予定を示します。責任転嫁をせず、本人保護を最優先に置き、技術詳細を過度に公開せず、個人名、取引先名、委託先名は契約・法令・本人保護・公表済み情報を踏まえて慎重に扱います。

Section 08

漏えい記者会見・プレス対応のFAQ

想定問答は、確認済み事実と未確認事項を分ける一般情報型で作ります。

実際に情報は漏えいしたのですか。

一般的には、第三者がシステム内の一部情報にアクセスした可能性が確認されている段階と、外部持出し範囲まで確認されている段階を分けて説明します。ただし、ログ解析や外部専門機関の調査状況によって結論が変わる可能性があります。具体的な公表内容は、確認済みの対象情報と調査中事項を整理したうえで弁護士等の専門家へ相談する必要があります。

なぜ発表が遅れたのですか。

一般的には、発覚後に被害拡大防止、システム遮断、ログ保全、認証情報変更を行い、誤った情報を公表しないため対象範囲と本人保護に必要な事項を確認する流れになります。ただし、事案の規模、証拠関係、当局報告、本人通知の準備状況によって説明内容は変わります。具体的な対応方針は、資料を整理したうえで弁護士等の専門家へ相談する必要があります。

対象人数は何人と説明すればよいですか。

一般的には、影響を受けた可能性がある最大範囲、実際に外部アクセスがあった範囲、個別連絡の対象者を分けて説明します。ただし、ログ、データベース、送信記録、委託先資料の確認状況によって数字が更新される可能性があります。具体的な数値の公表は、更新履歴を残したうえで弁護士等の専門家へ相談する必要があります。

クレジットカード情報やパスワードの扱いはどう説明しますか。

一般的には、クレジットカード番号、金融機関口座番号、パスワードの平文、マイナンバーが対象に含まれる事実を確認しているかを分けて説明します。ただし、保管方式、暗号化、ハッシュ化、決済代行の利用状況、ログ解析の進展で結論が変わる可能性があります。具体的な表現は、技術担当と法務担当が確認したうえで弁護士等の専門家へ相談する必要があります。

二次被害はないと言えますか。

一般的には、現時点で本件に起因すると確認された二次被害を把握しているかを説明し、不審メール、SMS、電話への注意を促します。ただし、不正利用やなりすましは時間差で判明する可能性があります。具体的な説明は、問い合わせ記録や監視状況を整理したうえで弁護士等の専門家へ相談する必要があります。

ランサムウェアや身代金要求はどこまで説明しますか。

一般的には、攻撃手法の詳細、身代金要求の有無、交渉内容は、被害拡大防止や捜査・調査への影響を踏まえて慎重に扱うとされています。ただし、顧客・取引先が防御するために必要な情報は共有が必要になる場合があります。具体的な公開範囲は、警察、専門機関、外部専門家、弁護士等と協議する必要があります。

委託先の責任だと説明してよいですか。

一般的には、委託先システムの一部が関係している可能性があっても、顧客に対する説明責任や委託先管理の論点は委託元にも残るとされています。ただし、契約関係、実際の管理権限、原因、再委託の有無によって責任関係は変わります。具体的な表現は、契約書と事実関係を確認したうえで弁護士等の専門家へ相談する必要があります。

今後同じことは起きませんと言えますか。

一般的には、再発を保証する表現ではなく、実施済みの暫定措置と、今後見直すアクセス権限管理、監視体制、脆弱性管理、委託先管理、教育、訓練を説明します。ただし、原因究明の進展と再発防止策の実施状況によって説明内容は変わります。具体的な公表は、実施責任者と期限を整理したうえで弁護士等の専門家へ相談する必要があります。

Section 09

本人通知・IR・サイバー攻撃時の漏えいプレス対応

本人保護、市場説明、技術情報の公開範囲を同時に調整します。

本人通知は、単なる法令対応ではなく、被害防止の中心です。記者会見で謝罪しても、本人に必要な情報が届かなければ実務として失敗します。本人通知には、何が起きたか、対象情報の項目、漏えいまたはおそれの時期、現在確認されている影響、本人に求める対応、不審メール・SMS・電話への注意、問い合わせ窓口、会社が実施している対応、今後の更新方法を入れます。

次の比較表は、本人通知、上場会社のIR、サイバー攻撃対応で重視する観点を分けて示しています。読者にとって重要なのは、本人への注意喚起、市場への公平な開示、攻撃者に有利な情報を出さない配慮を同時に満たす必要がある点です。

領域中心となる説明実務上の注意
本人通知対象情報、本人が確認すべき事項、不審メール・SMS・電話への注意、問い合わせ窓口を示します。会社がパスワード、認証コード、クレジットカード番号を尋ねないことを明記します。
上場会社のIR適時開示の必要性、表題、事実、業績影響、今後の見通しを整理します。TDnet、プレスリリース、会見、決算説明、アナリスト対応、英語開示を整合させます。
業績影響調査費用、復旧費用、顧客離脱、行政対応費用、訴訟費用、保険金、契約解除影響を確認します。不確実な段階では、精査中であり開示すべき事項が判明した場合に速やかに公表する表現を使います。
ランサムウェア暗号化被害、外部流出のおそれ、業務停止、復旧見通し、顧客・取引先の対応を分けます。身代金要求、暴露サイト、攻撃者との交渉の詳細は慎重に扱います。
技術情報不正アクセス、通常と異なる通信、マルウェア感染、システム隔離、認証情報変更を説明します。IOC、IPアドレス、脆弱性、ログの特徴、侵害時刻などは限定共有にする場合があります。
注意喚起漏えい公表後は、会社を装った偽メールや偽SMSが出回ることがあります。プレスリリース、本人通知、FAQ、SNS、問い合わせ窓口の案内で、添付ファイルや不審リンクを開かないことを一貫して伝えます。
Section 10

委託先・誤送信・内部不正の漏えいプレス対応

類型ごとに、原因説明、責任関係、再発防止策の粒度を変えます。

漏えいの原因によって、発表主体、説明内容、注意すべき表現は変わります。委託先起因では、顧客との契約主体と技術的原因を把握する主体が分かれます。誤送信では、対象者が限定的でも情報の性質によって重大化します。内部不正では、従業員の処分、刑事手続、労務、営業秘密管理、管理監督責任が絡みます。

次の比較表は、3つの典型類型を横並びで示しています。読者にとって重要なのは、どの類型でも責任転嫁や断定を避け、本人保護と再発防止に必要な事実を中心に説明することです。

類型主な論点表現の基本再発防止策
委託先起因誰が発表するか、委託元・委託先の説明責任、契約上の通知義務、ログ提供、補償を確認します。委託先と連携して事実確認と被害拡大防止を進めていると説明します。事故通知条項、公表前協議、秘密保持、再委託、監査権限、保険、データ削除、ログ提供義務を見直します。
誤送信・CC/BCCミス宛先、添付ファイル、閲覧可能性、要配慮情報、1,000人超の報告対象該当性を確認します。誤送信先への削除依頼、二次利用禁止の依頼、対象者への説明を示します。BCC確認、送信承認、DLP、添付ファイル自動検査、宛先制御、研修を示します。
内部不正・従業員持出し処分、刑事告訴、労務手続、個人名、動機、管理監督責任、営業秘密管理を確認します。個人の問題と切り捨てず、会社としてアクセス権限、ログ監視、持出し制御、教育体制を検証すると説明します。退職者権限削除、USB・クラウド利用管理、メール転送制御、秘密保持教育、内部通報、監査ログを強化します。

次の一覧は、類型別対応で確認する契約・社内管理項目をまとめています。読者にとって重要なのは、対外説明の文言だけでなく、契約、規程、ログ、教育、監査まで見直すことです。

契約条項

事故通知、公表前協議、秘密保持、再委託、責任制限、補償、保険、データ返還・削除、ログ提供義務を確認します。

委託先管理

誤送信防止

BCC確認、送信承認、宛先制御、添付ファイル自動検査、教育を組み合わせます。

人的対策

内部不正対策

アクセス権限、ログ監視、持出し制御、退職者管理、内部通報、ヒアリング手続を整備します。

証拠保全
Section 11

問い合わせ・社内・SNSの漏えいプレス対応

会見後の問い合わせ品質が、本人保護と信頼回復を左右します。

漏えい発表後、最も重要な実務の一つが問い合わせ対応です。記者会見が整っていても、コールセンターが混乱すれば、本人の不安と不満は増幅します。社内コミュニケーション、SNS、公式サイト、検索結果対応も、同じ事実管理表に基づいて動かす必要があります。

次の一覧は、問い合わせ・社内・SNS対応の設計要素を示しています。読者にとって重要なのは、窓口での個別回答、従業員向け説明、公式サイト更新、誤情報訂正がそれぞれ独立せず、一貫した情報でつながっているかを読み取ることです。

窓口設計

専用電話番号、専用メール、ウェブフォーム、受付時間、対応言語、本人確認方法、対象者確認方法を決めます。

切り分け

苦情、補償、二次被害申告、報道問い合わせ、高齢者、障害者、未成年者、代理人対応を分けます。

禁止事項

未確認の対象外回答、心配ないという断定、個別の報道向けコメント、パスワードや認証コードの聞き取り、記録なしの終話、SNSでの個別回答を避けます。

エスカレーション

金銭被害、なりすまし、報道機関、弁護士、消費生活センター、警察、行政、集団訴訟、補償、法人顧客、生命・身体・安全に関わる情報は専門チームへつなぎます。

社内説明

発表済み事実、問い合わせ窓口、SNS注意、回答テンプレート、従業員自身の情報、証拠保全、調査協力依頼を説明します。

公式サイトとSNS

公式サイトにお知らせページと更新履歴を置き、SNSでは詳細説明を広げすぎず、公式ページへの誘導と重大な誤情報の訂正を中心にします。

SNSや検索結果では、攻撃者、元従業員、顧客、取引先、匿名アカウント、セキュリティ研究者が断片的な情報を出すことがあります。公式ページのタイトル、説明文、FAQを明確にし、最新情報が一次情報として見つかりやすい状態を作ります。ただし、不都合な情報を隠す姿勢は逆効果です。

Section 12

再発防止策と第三者調査の漏えいプレス対応

抽象的な教育徹底ではなく、原因に対応した具体策を示します。

すべての漏えいで第三者委員会が必要になるわけではありません。ただし、経営陣の関与または隠蔽疑惑、同種事故の反復、多数の本人や社会インフラ、内部統制の重大な欠陥、上場会社としての重い説明責任、行政処分・刑事事件・集団訴訟の可能性、委託先管理や海外拠点管理の構造問題がある場合は、外部調査や第三者委員会を検討します。

次の一覧は、再発防止策を技術面と組織面に分けて整理しています。読者にとって重要なのは、原因に対応した具体策になっているか、実施責任者と期限まで説明できるかを読み取ることです。

技術的再発防止策

多要素認証、特権ID管理、アクセス権限の棚卸し、ログ監視、脆弱性診断、ペネトレーションテスト、WAF、EDR、SIEM、DLP、パッチ管理、バックアップのオフライン化、復旧訓練、クラウド設定管理、暗号化、鍵管理、データ最小化を検討します。

技術対策

組織的再発防止策

個人情報管理責任者、インシデント対応手順、委託先監査、取扱規程、アクセス承認手続、証跡管理、内部監査、年次教育、標的型メール訓練、誤送信防止、退職者・異動者の権限削除、取締役会・監査役への定期報告を整備します。

組織対策

公表粒度

被害者と社会が納得できる程度に具体化しつつ、管理者画面のURL、具体的な認証方式、未修正脆弱性など、再攻撃を容易にする情報は出しすぎないようにします。

公開範囲

次の重要ポイントは、漏えい対応の倫理と結論をまとめています。読者にとって重要なのは、速さと正確さを対立させず、確認済み事実を速やかに示し、調査の進展に応じて更新する姿勢です。

漏えい対応は平時の統治能力を映します

データ分類、委託先管理、アクセス権限、ログ保全、CSIRT、広報訓練、当局報告手順、会見シナリオ、取締役会報告ルートを平時から整備している会社ほど、有事の説明は具体的で一貫します。

倫理的なプレス対応では、不都合な事実を隠さず、未確認の安心材料を断定せず、被害者に自衛の機会を与え、責任転嫁を避け、技術的に難しい内容を平易に説明し、追加情報が出たら更新し、再発防止策の実施状況を検証します。

Section 13

漏えい記者会見・プレス対応チェックリスト

初動、発表前、会見、会見後の確認項目を一気通貫で管理します。

チェックリストは、抜け漏れを防ぐだけでなく、関係部門が同じ順番で状況を確認するために使います。次の表は、初動から会見後までの項目を段階別にまとめたもので、読者にとって重要なのは、技術・法務・広報・IR・窓口・取締役会報告を同時に確認することです。

段階確認項目
初動発覚日時を記録し、危機対応責任者を指名し、法務、プライバシー、広報、CISO、経営を招集します。影響システムを封じ込め、ログ、端末、メール、クラウド監査ログを保全し、外部弁護士・フォレンジック専門家への依頼、事実管理表、未承認コメント停止、本人通知・当局報告・取引先連絡・適時開示の要否を検討します。
発表前発表文の事実が証跡と一致し、確認済み・調査中・未確認が分けられ、本人が確認すべき事項が明記されているかを確認します。攻撃者に有利な技術情報、当局報告、本人通知、TDnet・IR資料、コールセンターFAQ、社内説明、次回更新予定を照合します。
記者会見会見の目的と対象読者、登壇者の役割、3分以内の冒頭説明、想定問答、回答禁止事項、技術質問・法的責任質問の回答者、代表者の事実理解、会見後の追加質問対応、録画・議事録・報道保存体制を確認します。
会見後報道内容、誤報・誤解への訂正方針、FAQ更新、コールセンターの問い合わせ傾向、本人通知の到達状況、当局への追加報告要否、取締役会・監査役報告、フォレンジック調査の続報反映、再発防止策の責任者と期限を確認します。
Section 14

漏えい記者会見・プレス対応の結論

速さと正確さを対立させず、確認済み事実から更新します。

漏えい記者会見・プレス対応で最も重要なのは、速さと正確さを対立させないことです。発覚直後にすべてを確定することはできませんが、何も言わないことも実務上のリスクになります。確認済み事実を速やかに示し、未確認事項を明確に区別し、本人が確認すべき事項を具体的に伝え、調査の進展に応じて続報を出すことが基本です。

記者会見を開くかどうかは、法令上の一律義務ではなく、本人保護、社会的影響、市場影響、公共性、報道状況、説明責任に基づく経営判断です。会見を開く場合には、代表者の謝罪、技術責任者の事実説明、法務・プライバシー責任者の法令対応説明、広報の進行管理を統合し、当局報告、本人通知、適時開示、取引先説明、社内説明との整合性を確保します。

結論漏えい記者会見・プレス対応は、事故発生後に広報部だけが担う作業ではありません。企業法務、経営、セキュリティ、プライバシー、IR、内部監査、外部専門家が平時から共同で設計すべき、企業危機管理の中核機能です。
Reference

参考資料・根拠資料

公的・準公的資料を中心に整理しています。

個人情報・漏えい対応

  • 個人情報保護委員会「漏えい等の対応とお役立ち資料」
  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
  • 独立行政法人情報処理推進機構「情報漏えい発生時の対応ポイント集」

サイバー攻撃・専門機関連携

  • 国家サイバー統括室「サイバー攻撃被害に係る情報の共有・公表ガイダンス」
  • 国家サイバー統括室「サイバー攻撃による被害発生時のインシデント報告様式の統一について」
  • 警察庁「サイバー事案に関する相談窓口」
  • JPCERTコーディネーションセンター

適時開示・市場説明

  • 日本取引所グループ「適時開示制度の概要」
  • 日本取引所グループ「適時開示が求められる会社情報」