2σ Guide

データ侵害通知条項のポイント
企業法務・プライバシー・サイバー危機対応

漏えい時の通知条件、期限、証拠保全、当局報告、本人通知、公表、再委託先、費用負担を、契約条項として動く形に整理します。

24時間 重大事案の初回通知目安
72時間 GDPRの監督機関通知目安
30日 日本の確報の原則期限
本ページは株式会社Dプロフェッションズ(医師/医療機関/弁護士/弁護士法人ではありません)が運営しています。
一般的な情報提供を目的としており医療上の助言や法律相談等を行うものではありません。
広告(PR)を掲載しています。広告は編集内容や推奨を意味しません。
Video

データ侵害通知条項のポイント 企業法務・プライバシー・サイバー危機対応

漏えい時の通知条件、期限、証拠保全、当局報告、本人通知、公表、再委託先、費用負担を、契約条項として動く形に整理します。

動画を読み込み中…
2σ GUIDE ・ VIDEO
データ侵害通知条項のポイント 企業法務・プライバシー・サ
イバー危機対応
漏えい時の通知条件、期限、証拠保全、当局報告、本人通知、公表、再委託先、費用負担を、契約条項として動く形に整理します。
動画の文字起こし(全文テキスト)

2σ GUIDE ・ VIDEO

  • データ侵害通知条項のポイント 企業法務・プライバシー・サイバー危機対応
  • 漏えい時の通知条件、期限、証拠保全、当局報告、本人通知、公表、再委託先、費用負担を、契約条項として動く形に整理します。

POINT 1

  • データ侵害通知条項のポイントを全体像から押さえる
  • 漏えい時に誰が、何を、何時間以内に、どこまで協力するかを契約で動かすための実務を整理します。
  • 発生条件
  • 通知内容
  • 証拠保全

POINT 2

  • データ侵害通知条項の定義と重要性
  • 確定まで通知されない
  • 委託先が漏えいは確定していないとして数日間通知せず、委託元の当局報告や本人通知が遅れる可能性があります。
  • 通知が担当者で止まる
  • 通知先が営業担当者だけで、法務、セキュリティ、経営、広報に届かない可能性があります。

POINT 3

  • データ侵害通知条項で見る法令・規制上の期限
  • 日本法、GDPR、米国証券開示、令和8年改正法案への留意を整理します。
  • 類型を把握することは、契約上の初動通知期限を法令上の期限より前倒しで設計するために重要です。
  • 読者は、要配慮個人情報、財産的被害、不正目的、1,000人超の4類型を軸に確認してください。
  • 次の期限比較は、契約上の通知期限を考えるときの基準を示します。

POINT 4

  • データ侵害通知条項のポイント ― 条項設計の全体像
  • 1. 定義:データ侵害等、対象データ、個人データ、秘密情報、認証情報、委託者データを定義します。
  • 2. 予防・検知:侵害予防義務、安全管理措置、検知、内部エスカレーション義務を置きます。
  • 3. 初動通知:初動通知期限、通知先、通知内容、続報、最終報告を定めます。
  • 4. 調査・証拠保全:調査、封じ込め、復旧協力、ログ提供、証拠保全、フォレンジック協力を定めます。
  • 5. 外部対応:当局報告、本人通知、公表、再委託先への同等義務を定めます。
  • 6. 費用・改善:費用負担、損害賠償、責任制限の例外、監査、改善命令、解除、法令改正対応を定めます。

POINT 5

  • データ侵害通知条項のポイント ― 通知義務の発生条件
  • 1. 事故または不審事象を認識:漏えい、改ざん、利用不能、不正アクセス、マルウェア、誤公開、認証情報漏えい可能性を把握します。
  • 2. 相手方データや委託業務に影響し得るか:対象データ、サービス、アカウント、再委託先、クラウド環境への影響を確認します。
  • 3. 初回通知を行う:未判明事項を明示し、判明している範囲で期限内に通知します。
  • 4. 監視と記録を継続:軽微な事象でも、後に影響が判明した場合は速やかに通知できるよう記録します。

POINT 6

  • データ侵害通知条項のポイント ― 通知期限と起算点
  • 重大事案、漏えいのおそれ、軽微な運用ミスを分け、認識時点を明確にします。
  • 認識時点は、社内で止まらない設計にします
  • 法令上の速やかには、契約条項としては曖昧です。
  • 次の期限一覧は、事象の重大性に応じた初回通知、続報、最終報告の目安を示します。

POINT 7

  • データ侵害通知条項のポイント ― 初回通知・続報・最終報告
  • 1. 判明範囲の速報:概要、対象データ、影響可能性、暫定措置、未判明事項、次回報告予定を共有します。
  • 2. 重要新事実の更新:外部送信、対象件数、原因、影響範囲、封じ込め状況に重要な進展があれば直ちに通知します。
  • 3. 誤りの修正:初回通知内容に誤りが判明した場合は、速やかに訂正し、何が変わったのかを明示します。
  • 4. 確定情報の整理

POINT 8

  • データ侵害通知条項のポイント ― 調査・証拠保全・外部対応
  • 通知後の協力、ログ保全、報告書共有、当局報告、本人通知、公表までを定めます。
  • 外部対応は、法令義務を妨げない協議型にします
  • データ侵害通知条項には、通知だけでなく協力義務を置く必要があります。
  • 契約条項もインシデント対応と同じ発想で、検知、封じ込め、復旧、改善までをつなげることが重要です。

まとめ

  • データ侵害通知条項のポイント 企業法務・プライバシー・サ
  • データ侵害通知条項のポイントを全体像から押さえる:漏えい時に誰が、何を、何時間以内に、どこまで協力するかを契約で動かすための実務を整理します。
  • データ侵害通知条項の定義と重要性:日本法の漏えい等とグローバル契約のData Breachの違いを意識しながら整理します。
  • データ侵害通知条項で見る法令・規制上の期限:日本法、GDPR、米国証券開示、令和8年改正法案への留意を整理します。
  • 本動画は一般的な情報提供であり、法律上の助言ではありません。記載の数値・金額・期間は目安です。個別事情で結論は変わります。
Overview

データ侵害通知条項のポイントを全体像から押さえる

漏えい時に誰が、何を、何時間以内に、どこまで協力するかを契約で動かすための実務を整理します。

データ侵害通知条項とは、個人情報、顧客データ、営業秘密、システムログ、認証情報、決済情報、医療情報、従業員情報、AI学習用データ、クラウド上の業務データなどに漏えい、滅失、毀損、不正アクセス、不正取得、改ざん、利用不能、ランサムウェア暗号化、誤送信、誤公開などが発生した場合に、契約当事者がどのように通知し、協力し、証拠を保全し、当局・本人・取引先・投資家・メディアへの対応を調整するかを定める条項です。

データ侵害通知条項のポイントは、単に漏えい時は速やかに通知すると書くことではありません。通知義務の発生条件、通知期限、通知先、通知内容、調査・証拠保全、当局・本人・第三者への通知権限、再委託先・クラウド・SaaS対応、費用負担、広報・IR、運用可能性を具体化する必要があります。

次の重要ポイントは、条項設計で外せない10項目を示します。読者にとって重要なのは、通知だけでなく、証拠保全、続報、役割分担、費用、再委託先まで含めて一つの危機対応手順として読むことです。

01

発生条件

確定した漏えいだけでなく、おそれ、合理的疑い、重大なセキュリティインシデントをどこまで含めるかを定めます。

02

期限

24時間、48時間、72時間、日本法の速報・確報期限、海外法や証券開示期限との整合を取ります。

03

連絡先

法務、CISO、DPO、危機管理責任者、24時間窓口、バックアップ連絡先を具体化します。

04

通知内容

事故概要、発覚時刻、対象データ、本人・顧客数、原因、影響、暫定措置、未判明事項を初回通知と続報に分けます。

05

証拠保全

ログ保全、フォレンジック、証拠の保管・移転記録、改ざん防止、秘匿性の管理を定めます。

06

役割分担

当局報告、本人通知、公表、再委託先対応、費用負担、責任制限、改善計画をセットで整理します。

核心データ侵害通知条項は、事故が起きた後に責任だけを争う条項ではなく、事故直後に誰が、何を、何時間以内に、どの情報をもって、どこまで協力するかを動かす条項です。
Section 01

データ侵害通知条項の定義と重要性

日本法の漏えい等とグローバル契約のData Breachの違いを意識しながら整理します。

このページでいうデータ侵害通知条項とは、契約当事者の一方または双方が保有、処理、保管、送信、閲覧、解析、委託、再委託するデータについて、セキュリティ上またはプライバシー上の事故が生じた場合に、相手方へ通知し、調査、封じ込め、報告、本人対応、公表、再発防止に協力する義務を定める契約条項です。

日本の個人情報保護法実務では漏えい等という用語が重要です。一方、英米法、EU法、グローバル契約では、Security Incident、Data Breach、Personal Data Breach、Cybersecurity Incident、Unauthorized Access、Compromiseなどの用語が使われます。契約書でデータ侵害と書く場合、日本法上の漏えい等と同じ意味なのか、より広いサイバーインシデントを含むのかを明確にする必要があります。

次の比較一覧は、用語の射程を整理したものです。用語の違いを押さえることは、通知対象を狭くしすぎて初動が遅れるリスクを防ぐために重要です。読者は、日本法上の漏えい等、GDPR上のpersonal data breach、契約上のSecurity Incidentが必ずしも同じ範囲ではない点を読み取ってください。

用語主な意味条項での注意点
漏えい等個人データの漏えい、滅失、毀損その他安全確保に係る事態を中心に考えます。個人情報保護委員会への報告と本人通知の要否に関係します。おそれを含む類型があります。
Data Breach個人情報や顧客データの漏えい、不正アクセス、無権限開示などを含む文脈で使われます。海外法、クラウド、SaaS、委託先契約では、通知期限や報告主体が法域ごとに変わります。
Security Incident個人データ漏えいが未判明でも、サービスやデータに影響し得る重大なセキュリティ事故を含み得ます。通知範囲が広がりすぎないよう、相手方データや委託業務へ合理的に影響し得るものに絞る設計が考えられます。
Compromise認証情報、APIキー、管理者権限、秘密鍵などが侵害された状態を含みます。漏えいの確定前でも、二次被害防止や鍵ローテーションのため早期通知が必要になることがあります。

次の失敗例は、条項が不十分な場合に起きやすい実務上の問題をまとめたものです。失敗を先に把握することは、通知先、期限、ログ保全、再委託先、広報、費用を条項へ落とし込むために重要です。読者は、条項の空白がそのまま事故対応の遅れになる点を読み取ってください。

確定まで通知されない

委託先が漏えいは確定していないとして数日間通知せず、委託元の当局報告や本人通知が遅れる可能性があります。

通知が担当者で止まる

通知先が営業担当者だけで、法務、セキュリティ、経営、広報に届かない可能性があります。

ログが消える

委託先や再委託先がログを上書きし、侵害範囲や本人通知対象を特定できなくなる可能性があります。

再委託先で止まる

再委託先が事故を知っていても元請や委託元へ通知されず、サプライチェーン全体の対応が遅れる可能性があります。

公表内容で対立する

本人通知文やプレスリリースの表現をめぐり、当事者間で対立し、期限に間に合わない可能性があります。

費用負担が決まらない

調査費、通知費、問い合わせ対応費、復旧費の負担が決まっておらず、対応が遅れる可能性があります。

Section 02

データ侵害通知条項で見る法令・規制上の期限

日本法、GDPR、米国証券開示、令和8年改正法案への留意を整理します。

日本法では、個人情報保護法26条および個人情報保護委員会規則・ガイドラインに基づき、一定の漏えい等について個人情報保護委員会への報告と本人通知が必要になります。実務資料では、速報は発覚日から概ね3〜5日以内、確報は原則30日以内、不正目的のおそれがある場合は60日以内と整理されています。

次の一覧は、日本法上、漏えい等報告が必要になる代表的な類型を示します。類型を把握することは、契約上の初動通知期限を法令上の期限より前倒しで設計するために重要です。読者は、要配慮個人情報、財産的被害、不正目的、1,000人超の4類型を軸に確認してください。

類型実務上の例
要配慮個人情報を含む個人データの漏えい等またはそのおそれ診療情報、健康診断結果、障害情報、犯罪経歴などの漏えいです。
不正利用により財産的被害が生じるおそれがある個人データの漏えい等またはそのおそれクレジットカード番号、決済サービスのID・パスワードなどです。
不正目的による行為に起因する個人データ等の漏えい等またはそのおそれ不正アクセス、ランサムウェア、マルウェア、盗難、従業者の不正持出し、ウェブスキミングなどです。
本人の数が1,000人を超える個人データの漏えい等またはそのおそれ設定ミスによる公開、メールCC誤送信などです。

次の期限比較は、契約上の通知期限を考えるときの基準を示します。法令上の期限は委託元側の判断・決裁・通知文案作成の時間も必要にするため、委託先からの初動通知はそれより短くする点が重要です。読者は、3〜5日、30日、60日、72時間、4営業日の違いを読み取ってください。

制度・場面期限の目安契約設計での読み方
日本の速報発覚日から概ね3〜5日以内委託先が3〜5日目に初めて通知すると、委託元の速報準備時間が失われるため、契約上はより短い初動通知が必要です。
日本の確報原則30日以内受託者の最終報告は、委託者が確報を作成できるよう30日より前に設定します。
不正目的のおそれがある確報60日以内不正アクセスやランサムウェアでは調査期間が長くなるため、続報と段階的な情報提供を置きます。
GDPR原則72時間以内処理者から管理者への通知は、管理者の72時間判断を残すため、24時間以内や重大事案は直ちにとすることが多いです。
米国SECサイバー開示重要と判断した日から4営業日以内上場会社では、委託先事故でも重要性判断、取締役会、開示委員会、外部専門家との協議時間が必要です。
法改正への備え2026年6月14日時点では、個人情報保護法改正法案が国会に提出されています。契約では、適用法令、ガイドライン、監督当局の運用、業界基準が変わった場合に、合理的に協議して条項やセキュリティ別紙を改定する仕組みを置くことが実務的です。
Section 03

データ侵害通知条項のポイント ― 条項設計の全体像

通知だけでなく、検知、連絡、情報、制御、協力、責任、改善までを設計します。

データ侵害通知条項は、平時に読む文書というよりも、事故発生後の深夜、週末、海外拠点、再委託先、クラウドベンダー、外部フォレンジック会社、弁護士、広報、経営陣が同時に動く場面で使う危機対応手順です。

次の一覧は、条項に持たせるべき機能を整理したものです。機能別に見ることは、通知期限だけを決めても事故対応は動かないことを理解するために重要です。読者は、検知から改善まで一連の機能が契約に入っているかを読み取ってください。

DETECT

検知機能

どのような兆候で通知が始まるかを定めます。確定侵害だけでなく、おそれや合理的疑いを含めるかが中心です。

CONTACT

連絡機能

誰に、どの方法で、何時間以内に連絡するかを定めます。24時間窓口や代理連絡先も確認します。

INFO

情報機能

初回通知、続報、最終報告に何を含めるかを定めます。未判明事項を理由に通知を遅らせない設計が重要です。

CONTROL

制御機能

公表、本人通知、当局報告、証拠保全、システム停止を誰が判断するかを定めます。

COOPERATE

協力機能

調査、封じ込め、復旧、問い合わせ対応、監査に誰がどこまで協力するかを定めます。

LIABILITY

責任・改善機能

費用負担、損害賠償、責任制限、保険、補償、再発防止、改善計画を定めます。

次の時系列は、条項を置く順序の例を示します。順序を決めることは、契約レビュー時に抜け漏れを見つけるために重要です。読者は、定義から法令改正・優先関係まで、事故対応の流れに沿って条項を配置する点を読み取ってください。

01

定義

データ侵害等、対象データ、個人データ、秘密情報、認証情報、委託者データを定義します。

02

予防・検知

侵害予防義務、安全管理措置、検知、内部エスカレーション義務を置きます。

03

初動通知

初動通知期限、通知先、通知内容、続報、最終報告を定めます。

04

調査・証拠保全

調査、封じ込め、復旧協力、ログ提供、証拠保全、フォレンジック協力を定めます。

05

外部対応

当局報告、本人通知、公表、再委託先への同等義務を定めます。

06

費用・改善

費用負担、損害賠償、責任制限の例外、監査、改善命令、解除、法令改正対応を定めます。

Section 04

データ侵害通知条項のポイント ― 通知義務の発生条件

確定侵害、合理的疑い・おそれ、周辺セキュリティインシデントの3層で設計します。

最も危険な条項は、個人情報の漏えいが発生した場合に速やかに通知するとだけ書くものです。漏えいの確定まで通知しなくてよいと解釈され、個人情報以外の営業秘密、認証情報、APIキー、ソースコード、AIモデル、ログ、暗号鍵が抜ける可能性があります。

次の比較一覧は、通知義務の発生条件を3層で整理したものです。3層で分けることは、通知範囲を広げすぎず、しかし確定を待って初動が遅れることを避けるために重要です。読者は、確定侵害だけでなく、合理的疑いと相手方に影響し得る重大事象も検討対象になる点を読み取ってください。

対象に含める事象条項設計の読み方
第1層 確定侵害漏えい、滅失、毀損、不正アクセス、不正取得、無権限開示、改ざん、利用不能が実際に発生した場合です。当然に通知対象となります。定義では対象データを個人情報だけに限定しないことが重要です。
第2層 合理的疑い・おそれ不正アクセス痕跡、不審な外部通信、マルウェア、ランサムウェア、クラウド誤公開、外部専門家や公的機関からの連絡、端末紛失、認証情報漏えい可能性などです。確定を待たずに初回通知させ、未判明事項は未判明として続報で更新する設計にします。
第3層 周辺セキュリティインシデント委託先の本番環境への不正侵入、管理者権限奪取、サプライチェーン攻撃、重大脆弱性悪用、バックアップ破壊、長時間停止などです。相手方データ、委託業務、法令上・契約上の義務に合理的に影響し得るものに限定する調整が考えられます。

次の判断の流れは、通知対象かどうかを検討する一般的な順番を示します。分岐を置くことは、現場が確定を待ってしまうことや、逆にすべての軽微なアラートを通知して重要事案を埋もれさせることを避けるために重要です。読者は、相手方データや委託業務への合理的影響を軸に判断する点を読み取ってください。

通知トリガーの判断の流れ

事故または不審事象を認識

漏えい、改ざん、利用不能、不正アクセス、マルウェア、誤公開、認証情報漏えい可能性を把握します。

相手方データや委託業務に影響し得るか

対象データ、サービス、アカウント、再委託先、クラウド環境への影響を確認します。

はい
初回通知を行う

未判明事項を明示し、判明している範囲で期限内に通知します。

いいえ
監視と記録を継続

軽微な事象でも、後に影響が判明した場合は速やかに通知できるよう記録します。

Section 05

データ侵害通知条項のポイント ― 通知期限と起算点

重大事案、漏えいのおそれ、軽微な運用ミスを分け、認識時点を明確にします。

法令上の速やかには、契約条項としては曖昧です。事故発生時には、1時間、12時間、24時間の差が、被害拡大、証拠保全、当局報告、本人通知、広報、取締役会報告、保険通知に直結します。

次の期限一覧は、事象の重大性に応じた初回通知、続報、最終報告の目安を示します。期限を階層化することは、重大事案では早期に動き、軽微な事象では過剰通知を避けるために重要です。読者は、初回通知は短く、続報は重要進展ごと、最終報告は法令上の確報期限に間に合う時期に置く点を読み取ってください。

事象初回通知続報最終報告
重大侵害、ランサムウェア、不正アクセス、要配慮個人情報、決済情報、大量漏えい認識後直ちに、遅くとも12〜24時間以内です。24時間ごと、または重要進展の都度です。法令上の確報期限に間に合う時期で、通常30日以内を意識します。
漏えいのおそれ、調査中の不審通信、限定的誤送信認識後24〜48時間以内です。重要進展の都度です。影響範囲確定後の合理的期間内です。
軽微な運用ミスで相手方データ影響が限定的合理的期間内です。ただし法令・契約上の期限に間に合う必要があります。必要に応じます。必要に応じます。

次の重要ポイントは、通知期限の起算点をどう置くかを整理したものです。起算点を曖昧にすると、営業担当者や再委託先で情報が止まり、契約上の期限が空洞化します。読者は、どの部署や関係者の認識を会社の認識として扱うかを条項で調整する必要がある点を読み取ってください。

認識時点は、社内で止まらない設計にします

当該事象を知った時、合理的に疑うべき事実を認識した時、情報セキュリティ、システム運用、法務、コンプライアンス、委託業務管理部門、再委託先管理責任者が認識した時など、実務的な範囲を定めます。

次の比較一覧は、委託者側と受託者側でよく争点になる期限設計の考え方を示します。立場ごとに見ることは、交渉時に実現可能性と法令対応のバランスを取るために重要です。読者は、24時間通知を詳細報告ではなく初回速報として設計する点を読み取ってください。

立場重視する点調整案
委託者側法令報告、本人通知、広報、保険通知、取締役会報告の時間を確保したい立場です。重大事案は直ちに、通常は24時間以内、続報は24時間ごとまたは重要進展の都度とします。
受託者側未確認情報の通知で誤解を招くことや、全顧客個別対応の負担を避けたい立場です。初回通知は判明範囲でよいこと、未確認情報であること、詳細報告は合理的期間でよいことを明記します。
グローバル案件GDPR72時間、米国証券開示、業法上の報告期限が重なり得る立場です。海外法や業界規制に合わせ、重大事案では数時間以内の緊急通知も検討します。
Section 06

データ侵害通知条項のポイント ― 初回通知・続報・最終報告

完全な報告を待たず、判明範囲で通知し、続報で更新する設計にします。

初回通知は、完全な報告書である必要はありません。むしろ、完全性を求めすぎると通知が遅れます。判明している範囲で事故概要、対象データ、影響、暫定措置、次回続報予定を示し、未判明事項は未判明として扱います。

次の一覧は、初回通知に含めたい事項を整理したものです。初回通知項目を具体化することは、委託元が当局報告、本人通知、広報、保険通知、取締役会報告の準備を始めるために重要です。読者は、未判明事項を理由に通知を遅らせず、判明範囲で共有する点を読み取ってください。

区分初回通知で示す事項
時点・経緯発覚日時、発生推定日時、認識した部署・担当、事故の概要を示します。
影響範囲影響を受けた可能性のあるサービス、システム、環境、リージョン、アカウントを示します。
対象データ個人データ、要配慮個人情報、決済情報、認証情報、営業秘密、機密情報の有無を示します。
規模影響を受ける本人数、顧客数、レコード数の概算を示します。
事故類型漏えい、滅失、毀損、改ざん、利用不能、不正閲覧、不正取得の別を示します。
暫定対応暫定的な原因、実施済みの封じ込め措置、追加被害のおそれを示します。
外部対応当局、警察、本人、メディア、他顧客、保険会社への通知・相談状況を示します。
次の連絡次回続報予定時刻、連絡責任者、24時間連絡先を示します。

次の時系列は、初回通知から最終報告までの情報更新の流れを示します。段階を分けることは、最初の通知に過度な完全性を求めず、しかし重要な新事実を放置しないために重要です。読者は、続報で修正・補足し、最終報告で時系列、原因、影響範囲、再発防止を整理する点を読み取ってください。

初回

判明範囲の速報

概要、対象データ、影響可能性、暫定措置、未判明事項、次回報告予定を共有します。

続報

重要新事実の更新

外部送信、対象件数、原因、影響範囲、封じ込め状況に重要な進展があれば直ちに通知します。重大事案では少なくとも24時間ごとの更新を検討します。

訂正

誤りの修正

初回通知内容に誤りが判明した場合は、速やかに訂正し、何が変わったのかを明示します。

最終

確定情報の整理

事故の時系列、根本原因、影響範囲、対象データ項目、本人・顧客対応、復旧措置、再発防止策、未解決リスク、証拠保全状況、費用概算を示します。

Section 07

データ侵害通知条項のポイント ― 調査・証拠保全・外部対応

通知後の協力、ログ保全、報告書共有、当局報告、本人通知、公表までを定めます。

データ侵害通知条項には、通知だけでなく協力義務を置く必要があります。契約条項もインシデント対応と同じ発想で、検知、封じ込め、復旧、改善までをつなげることが重要です。

次の一覧は、受託者に求める協力義務を整理したものです。協力内容を具体化することは、通知だけ受けても原因や影響範囲が分からない状態を避けるために重要です。読者は、封じ込め、調査、証拠保全、当局・本人対応、再発防止が一体になっている点を読み取ってください。

封じ込め・復旧

侵害の封じ込め、原因調査、影響範囲の特定、復旧に協力します。

対応

証拠保全

ログ、監査証跡、アクセス記録、設定情報、通信記録、アラート、EDR情報を保全します。

保全ログ

外部専門家連携

外部フォレンジック会社と連携し、証拠の改ざん防止と調査品質を確保します。

専門家

法令対応支援

当局報告、本人通知、公表、問い合わせ対応に必要な情報を提供します。

報告

再発防止

再発防止策を策定・実施し、委託者の監査・確認に対応します。

改善

次の比較一覧は、システム停止・隔離の権限をどう定めるかを整理したものです。権限を明確にすることは、被害拡大防止とSLA、事業継続、顧客影響の対立を調整するために重要です。読者は、緊急時には措置を先に行い、事後通知で補う設計があり得る点を読み取ってください。

場面条項で定める内容
緊急封じ込め受託者は、緊急に必要な封じ込め措置を講じることができると定めます。
事前協議委託者データまたは委託業務に重大な影響がある場合、可能な限り事前に通知し協議すると定めます。
事後通知緊急で事前協議が困難な場合、措置後直ちに委託者へ通知すると定めます。
追加措置委託者は、合理的な根拠がある場合、委託者データ保護に必要な追加措置を要請できると定めます。
SLAとの関係措置によるSLA不達は、帰責性、緊急性、合理性を踏まえて扱うと定めます。

次の一覧は、ログ保全と報告書共有の範囲を整理したものです。範囲を段階化することは、委託者が法令報告に必要な事実情報を得つつ、受託者の他顧客情報やセキュリティ機微情報を守るために重要です。読者は、報告書全文ではなく、関係部分、要約版、マスキング版で合意する方法を読み取ってください。

論点定める内容
ログ保全義務侵害に関連するログを直ちに保全し、通常のローテーション、上書き、自動削除を停止します。
保全対象端末、仮想マシン、コンテナ、ストレージ、クラウド監査ログ、ID管理ログ、EDRログ、メールログ、WAFログ、VPNログ、管理画面操作ログを含めます。
記録保全日時、保全者、保全方法を記録します。
提供範囲法令、秘密保持、第三者権利に反しない範囲で、委託者データに関係する証拠と調査結果を提供します。
報告書共有委託者データに関係する部分、法令対応に必要な情報、第三者情報をマスキングした要約版などに段階化します。
秘匿性国際案件では、外部弁護士を起点にフォレンジック会社を起用し、報告書の宛先、目的、配布範囲を管理することがあります。

次の重要ポイントは、当局報告・本人通知・公表の役割分担です。役割分担を定めることは、法令上の義務を妨げず、かつ相手方名称や顧客名を含む発表で対立しないために重要です。読者は、事前承認ではなく、法令上許される限り事前通知・協議とする設計を読み取ってください。

外部対応は、法令義務を妨げない協議型にします

委託者データに関する当局報告や本人通知は原則として委託者が行い、受託者は必要情報を提供します。ただし、受託者が法令上自ら報告・通知・公表する必要がある場合は、法令上許され、実務上可能な限り事前に通知し協議します。

Section 08

データ侵害通知条項のポイント ― 再委託先・クラウド・SaaS対応

サプライチェーン全体に同等義務を流し、クラウド事業者の代行報告も整理します。

委託先が再委託先を使う場合、データ侵害通知条項は再委託先にも流し込む必要があります。委託先が優れた義務を負っていても、再委託先が事故を通知しなければ意味がありません。

次の一覧は、再委託先に関して定めるべき内容を整理したものです。再委託先まで見ることは、事故がサプライチェーンの途中で止まることを避けるために重要です。読者は、再委託先事故を受託者事故として扱い、通知期限を逆算する必要がある点を読み取ってください。

項目定める内容
同等義務再委託先に本契約と同等以上のデータ保護・侵害通知義務を負わせます。
受託者責任再委託先の事故を受託者の事故として扱い、受託者が委託者に通知・協力します。
期限の逆算再委託先から受託者への通知期限は、受託者から委託者への通知期限を満たせるよう設定します。
管理情報再委託先一覧、処理場所、処理内容、セキュリティ措置、連絡体制を管理します。
変更管理重要再委託先の変更時には、事前通知または承認を要する設計を検討します。

次の比較一覧は、契約類型ごとの注意点をまとめたものです。契約類型で分けることは、同じデータ侵害通知条項でも、SaaS、BPO、AI、M&A、金融・医療・公共案件で見るべきデータと規制が変わるために重要です。読者は、自社契約に近い類型で不足しやすい点を読み取ってください。

契約類型注意点
SaaS契約セキュリティインシデントの定義、通知期限、通知方法、ステータスページや管理画面通知で足りるか、顧客データへの影響判定、サブプロセッサ、ログ提供、データセンター地域、DPAを確認します。
BPO・コールセンター・人事労務委託紙、音声、チャット、メール、画面録画、本人確認資料、従業員データ、苦情情報を含め、誤送信、内部不正、私物端末利用、録音データ漏えいを想定します。
共同開発・AI・データ解析個人データだけでなく、仮名加工情報、匿名加工情報、統計情報、個人関連情報、学習データ、特徴量、モデル、プロンプト、評価データ、ログを検討します。
M&A・デューデリジェンスデータルーム侵害、アクセス権限ミス、ダウンロード制御不備、競合会社への誤開示を想定し、アクセスログ提供、閲覧者管理、返却・削除証明を定めます。
金融・医療・公共案件個人情報保護法に加えて、業法、監督指針、委託先管理基準、当局報告、監査、BCP、サイバーセキュリティ基準と接続します。

次の重要ポイントは、クラウド事業者による代行報告の扱いです。代行報告を整理することは、クラウド・SaaS環境で技術情報を持つ事業者と、法的責任を負う利用事業者の役割を混同しないために重要です。読者は、代行報告が利用事業者の責任を当然に免除するわけではない点を読み取ってください。

代行報告は、責任分担と内容確認をセットにします

クラウド事業者が直接当局報告を代行できるか、利用事業者が報告主体となりクラウド事業者が情報提供するか、共同で報告するかを整理します。報告前の内容確認、他顧客情報の保護、本人通知・公表内容との整合、追加照会への対応も定めます。

Section 09

データ侵害通知条項のポイント ― 費用負担・補償・責任制限

事故対応費用を明示し、責任制限の例外や別枠上限を検討します。

データ侵害では、調査費、弁護士費、当局報告、本人通知、コールセンター、信用監視、復旧、脆弱性診断、広報、監査、和解金、制裁金、営業停止、顧客解約など、多様な費用が発生し得ます。これらを損害賠償の一語に含めるだけでは、責任制限により回収できないことがあります。

次の一覧は、事故対応で発生し得る費用を整理したものです。費用の種類を具体化することは、責任制限条項に埋もれて対応費用を負担できなくなるリスクを減らすために重要です。読者は、技術調査費だけでなく、本人通知、問い合わせ、復旧、広報、監査、営業影響まで費用項目が広がる点を読み取ってください。

費用区分具体例
初動・調査初動調査費用、外部フォレンジック費用、弁護士費用、当局報告作成費用です。
本人・顧客対応本人通知の郵送・メール配信・翻訳費用、コールセンター、FAQ、専用窓口、信用監視、不正利用監視、再発行手数料です。
技術復旧・改善システム復旧・再構築、脆弱性診断、ペネトレーションテスト、再発防止策、監査費用です。
法的・行政対応損害賠償、和解金、制裁金、課徴金、行政対応費用です。ただし転嫁可能性は法域や性質によって変わります。
事業影響営業停止、SLA違約金、顧客解約、ブランド毀損に伴う対応費です。

次の比較一覧は、責任制限との関係で交渉されやすい論点を整理したものです。例外と上限を分けて考えることは、委託者の保護と受託者の予見可能性を両立するために重要です。読者は、故意・重過失、秘密保持、個人情報、通知義務違反、再委託先管理義務をどう扱うかを読み取ってください。

論点委託者側の見方受託者側の調整案
故意・重過失責任制限の例外または高い上限を求めます。例外範囲を限定し、通常過失との区別を明確にします。
秘密保持・個人情報秘密保持義務違反や個人情報保護義務違反は重く扱うことを求めます。無限定責任ではなく、別枠上限や保険金額を踏まえた上限を提案します。
事故対応費用調査費、通知費、問い合わせ対応費、復旧費を明示し、上限外または別枠にすることを求めます。合理的かつ必要な費用、受託者の帰責性がある範囲などに限定します。
顧客側原因委託者は過度な免責を避けたい立場です。顧客側設定ミス、認証情報管理不備、指示違反、管理外環境を免責または按分対象とします。
制裁金・課徴金相手方違反に起因する場合の補償を求めることがあります。法令上許容される範囲で、行政対応費や是正措置費を中心に整理します。
Section 10

データ侵害通知条項のポイント ― 立場別交渉とサンプル条項

委託者、受託者、グループ会社で交渉軸を分け、条項例の骨子を整理します。

データ侵害通知条項は、委託者側と受託者側で重視する点が異なります。委託者側は早期通知、情報提供、ログ保全、責任制限の例外を重視し、受託者側は通知範囲、未確認情報、他顧客情報、セキュリティ機微情報、費用負担の予見可能性を重視します。

次の比較一覧は、立場別の交渉ポイントを整理したものです。立場を分けることは、過度に一方的な条項ではなく、事故時に実際に動く合意を作るために重要です。読者は、早期通知と情報保護、法令義務と事前協議、費用負担と責任上限のバランスを読み取ってください。

立場重点ポイント
委託者・顧客側通知トリガーをおそれまで含め、初回通知は24時間以内、重大事案は直ちに、24時間窓口、再委託先通知、ログ保全、フォレンジック協力、情報提供、事故対応費用、責任制限の例外、監査権、改善命令、解除権を重視します。
受託者・ベンダー側通知トリガーを委託者データまたは委託業務に合理的に影響し得るものへ限定し、疑い段階は未確認情報と明記し、詳細報告は合理的期間、他顧客情報やセキュリティ機微情報の保護、法令上必要な報告の自由、費用負担の予見可能性を重視します。
グループ会社間形式的な契約にせず、管理者・処理者・委託元・委託先の役割、グローバルDPOへの通知、国別報告義務、本人通知文の言語、グループ横断フォレンジック権限、取締役会・監査委員会への報告を定めます。

次の一覧は、サンプル条項の骨子を、読者向けに分かりやすく分解したものです。骨子で見ることは、契約条文の長い文章に埋もれず、最低限必要な義務を確認するために重要です。読者は、定義、通知、通知事項、続報、協力、証拠保全、外部対応、再委託先、費用、存続の10要素を読み取ってください。

条項要素書く内容
定義委託者データ、個人データ、秘密情報、認証情報その他本契約で扱う情報について、漏えい、滅失、毀損、改ざん、不正アクセス、不正取得、無権限開示、利用不能、ランサムウェア暗号化、誤送信、誤公開、盗難、紛失、合理的なおそれを含めます。
初回通知データ侵害等を認識し、または合理的に疑うべき事実を認識した場合、直ちに、遅くとも24時間以内に、指定連絡先へ電子メールと緊急連絡手段で通知します。
通知事項概要、発覚日時、影響システム、対象データ、件数、事故類型、原因、二次被害、封じ込め、外部通知状況、責任者、次回報告予定を含めます。
続報重要な新事実が判明した場合は直ちに通知し、重大事案では少なくとも24時間ごとに続報を提供します。
協力封じ込め、原因究明、影響範囲特定、復旧、再発防止、当局報告、本人通知、公表、問い合わせ、保険請求、監査、訴訟に協力します。
証拠保全ログ、監査証跡、アクセス記録、通信記録、設定情報、端末、媒体、バックアップ、フォレンジックイメージを直ちに保全し、消失させないようにします。
外部対応当局、本人、顧客、取引先、証券取引所、メディアへの報告・通知・公表は原則として委託者が行い、受託者は法令上必要な場合に事前通知・協議します。
再委託先再委託先にも同等以上の通知、協力、証拠保全、秘密保持義務を課し、再委託先事故を受託者事故として扱います。
費用受託者の責めに帰すべき事由により発生した場合、合理的な調査費、外部専門家費、当局対応費、本人通知費、復旧費、再発防止費を補償対象として整理します。
存続契約終了後も、調査、報告、通知、紛争、当局対応、再発防止に必要な範囲で義務が存続するよう定めます。

次の一覧は、サンプル条項を修正するときの方向性を示します。修正ポイントを分けることは、委託者側で強化する場合と受託者側で限定する場合の交渉軸を明確にするために重要です。読者は、対象範囲、通知期限、ログ提供、費用負担、報告書共有を調整軸として読み取ってください。

受託者側の限定案

合理的なおそれを委託者データに影響する合理的なおそれへ限定し、初回通知を48時間以内に調整し、第三者情報・他顧客情報・セキュリティ機微情報のマスキングを明記する方法があります。

委託者側の強化案

重大事故時の緊急監査権、外部フォレンジック会社の共同選定権、問い合わせ窓口設置、信用監視サービス費用、責任制限の例外、即時解除権、机上演習への参加義務を追加する方法があります。

Section 11

データ侵害通知条項のポイント ― 悪い条項と修正例

曖昧な条項を、期限、起算点、対象、役割、費用まで具体化します。

悪い条項は、事故後に実務を止めます。速やかに通知するだけ、漏えいが発生した場合だけ、個人情報だけ、相手方承認がないと当局報告できない、再委託先が抜けている、事故対応費用が責任制限で消える、といった条項は、事故時の対応遅れにつながります。

次の比較一覧は、よくある悪い条項と修正方向をまとめたものです。修正方向を具体化することは、契約レビュー時に問題の所在を事業部や相手方へ説明しやすくするために重要です。読者は、曖昧な文言を期限、起算点、対象、続報、費用、再委託先へ分解して修正する点を読み取ってください。

悪い条項問題修正方向
速やかに通知するだけ期限、起算点、通知内容、続報、通知先が不明です。認識後24時間以内、重大事案は直ちに、初回通知事項と続報義務を明記します。
漏えいが発生した場合のみおそれ段階で通知されず、法令上・実務上の対応が遅れます。発生し、または発生した合理的なおそれがある場合とします。
個人情報だけを対象にする認証情報、営業秘密、ログ、ソースコード、暗号鍵、個人関連情報、AI学習データが抜けます。個人データ、秘密情報、認証情報、委託者データ、システム情報まで広げます。
当局報告に相手方承認が必要法令上の報告義務を妨げる可能性があります。法令上許され、実務上可能な限り事前協議します。ただし法令上必要な場合は除く形にします。
再委託先が抜けている事故が再委託先で止まり、元請や委託元へ通知されません。再委託先に同等義務を課し、再委託先事故を受託者事故として通知させます。
事故対応費用が責任制限で消える通知費用や調査費用が月額利用料上限に制限される可能性があります。事故対応費用を明示し、責任制限の例外または別枠上限を設定します。

次の重要ポイントは、契約締結後の社内運用です。条項を締結して終わりにしないことは、事故時に通知先や契約内容を探している間に期限を失わないために重要です。読者は、契約台帳に通知期限、通知先、再委託、海外処理、責任制限、監査権などのメタデータを持たせる必要がある点を読み取ってください。

契約台帳は、事故時に検索できる状態にします

個人データ取扱いの有無、データ分類、通知期限、通知先、再委託可否、海外処理国、当局報告支援義務、責任制限、サイバー保険、監査権、解除権をメタデータとして管理します。

Section 12

データ侵害通知条項のポイント ― 社内運用とチェックリスト

連絡先台帳、委託先リスク分類、机上演習、契約台帳を運用します。

データ侵害通知条項は、締結して終わりではありません。実際に使えるようにするには、法務、セキュリティ、IT、リスク管理、内部監査、広報、経営が連携し、連絡先台帳、委託先リスク分類、机上演習、契約台帳と接続する必要があります。

次の一覧は、契約締結後に運用すべき4つの仕組みを整理したものです。運用項目を分けることは、条項が紙の上だけで終わることを避けるために重要です。読者は、連絡先、リスク分類、演習、契約台帳が事故時の実効性を支える点を読み取ってください。

連絡先台帳

委託先ごとの緊急連絡先、法務、CISO、CSIRT、DPO、広報、IR、経営報告先、24時間対応可否、代理連絡先、海外拠点、時差対応、更新ルールを管理します。

連絡

委託先リスク分類

取り扱うデータの種類、件数、要配慮個人情報、決済情報、認証情報、外部接続、管理者権限、再委託、海外処理、代替困難性、事業影響で分類します。

分類

机上演習

ランサムウェア、クラウド誤公開、顧客データ持ち出し、ウェブスキミング、再委託先通知遅延、GDPR72時間、上場開示判断をシナリオにして確認します。

演習

契約台帳

通知期限、通知先、再委託可否、海外処理国、当局報告支援義務、責任制限、サイバー保険、監査権、解除権を検索できるようにします。

台帳

次の表は、条項レビュー用チェックリストです。レビュー項目を一覧にすることは、通知トリガー、期限、通知内容、証拠保全、外部対応、再委託先、費用、責任制限、法改正対応の抜け漏れを防ぐために重要です。読者は、契約書を確認しながら不足している項目を洗い出してください。

条項レビュー項目チェック
漏えいだけでなく、滅失、毀損、改ざん、不正アクセス、無権限開示、利用不能、ランサムウェア、誤送信、誤公開を含む
発生した場合だけでなく、発生したおそれ、合理的疑いを含む
対象データは個人情報だけでなく、委託者データ、秘密情報、認証情報、ログ、派生データを含む
初回通知期限が明確
重大事案の即時通知がある
通知先と24時間連絡手段がある
初回通知事項が列挙されている
未判明事項を理由に通知を遅らせない設計になっている
続報義務がある
最終報告義務がある
ログ・証拠保全義務がある
フォレンジック協力義務がある
当局報告・本人通知・公表の主体が明確
法令上の報告義務を妨げない文言になっている
再委託先への同等義務がある
再委託先事故を受託者事故として扱う
事故対応費用の負担が明確
責任制限との関係が整理されている
重大事故時の監査権・改善命令・解除権がある
契約終了後も事故対応義務が存続する
法改正・海外法・業法に追随する改定協議条項がある

次の表は、事故発生時チェックリストです。事故時に項目を分けて確認することは、契約上の通知期限と法令上の報告期限を同時に管理するために重要です。読者は、通知受領、ログ保全、当局報告、本人通知、公表、保険、取締役会報告、再発防止を順に確認してください。

事故発生時項目チェック
事故の発覚時刻を記録した
契約上の通知期限を確認した
法令上の報告期限を確認した
通知先に法務・CISO・DPO・経営・広報が含まれている
受託者または再委託先から初回通知を受けた
対象データの種類と件数を確認中
要配慮個人情報、決済情報、認証情報、大量個人データの有無を確認した
ログ保全を指示した
外部フォレンジック会社の起用要否を判断した
当局報告の要否を判定した
本人通知の要否を判定した
公表・広報・IRの要否を判定した
保険会社への通知要否を確認した
取締役会・監査役・監査委員会への報告要否を確認した
再発防止策と改善期限を設定した
Section 13

データ侵害通知条項のFAQ

通知期限、確定前通知、報告主体、報告書共有、責任制限、再委託先、法改正への備えを整理します。

FAQでは、個別契約への法律判断ではなく、一般的な制度・実務上の考え方として整理します。対象データ、事業分野、委託・再委託構造、海外法、業法、保険、当局対応の状況によって結論は変わるため、具体的な条項作成や事故対応は専門家へ相談する必要があります。

Q1. 速やかに通知するではだめですか。

一般的には、法令上の表現として速やかにが使われることはありますが、契約実務では期限、起算点、通知内容、通知先が不明確になりやすいとされています。委託元が当局報告・本人通知・広報・保険通知を行うには、認識後24時間以内などの外枠を置くことが検討されます。具体的な期限は、対象データと法域を踏まえて専門家へ相談する必要があります。

Q2. 漏えいが確定していない段階でも通知させるべきですか。

一般的には、不正アクセス、ランサムウェア、マルウェア、クラウド誤設定、再委託先事故では、確定を待つと法令上・実務上の対応が遅れる可能性があります。通知文には現時点で調査中、未確定と明記する方法があります。ただし、通知対象の広さは契約目的や受託者負担とのバランスで調整する必要があります。

Q3. 本人通知や当局報告は、必ず委託者が行いますか。

一般的には、委託者が本人・顧客との関係を持ち、法令上の報告主体となることが多いです。ただし、委託先も報告義務を負い得る場合があり、クラウド事業者による代行報告のような実務もあります。契約で役割分担を明確にし、法令上の義務を妨げない形にする必要があります。

Q4. 受託者はフォレンジック報告書全文を渡す必要がありますか。

一般的には、常に全文を渡す必要があるとは限りません。報告書には他顧客情報、脆弱性情報、セキュリティ機微情報、法的評価が含まれることがあります。ただし、委託者が法令報告・本人通知・影響判定を行うために必要な事実情報は提供されるべきです。要約版、関係部分、マスキング版を用いる方法が実務的です。

Q5. 責任制限条項がある場合、事故対応費用も上限にかかりますか。

一般的には、契約の書き方によって変わります。データ侵害対応費用を明示していない場合、一般の損害賠償上限に含まれる可能性があります。重大な個人情報事故では費用が利用料を大きく超えることがあるため、事故対応費用、故意・重過失、秘密保持違反、個人情報保護義務違反について、責任制限の例外または別枠上限を検討する必要があります。

Q6. 再委託先が事故を起こした場合、受託者は責任を負いますか。

一般的には、契約で明確にしておく必要があります。委託者側では、再委託先事故を受託者事故として扱い、受託者が通知・協力・費用負担を行う条項を求めることがあります。受託者側では、再委託先管理の範囲、不可抗力、クラウド共通基盤の事故、顧客側設定ミスとの関係を調整することが考えられます。

Q7. 法改正にどう備えればよいですか。

一般的には、適用法令、ガイドライン、監督当局の運用、業界基準が変更された場合に、当事者が合理的に協議して条項、運用、セキュリティ別紙を改定する条項を置くことが検討されます。2026年時点では個人情報保護法改正法案も国会提出されているため、固定的な条項ではなく変更に追随できる設計が望ましいとされています。

Section 14

データ侵害通知条項のポイントを実務へ落とし込む

5原則を満たす条項で、法令遵守、被害拡大防止、信用維持を支えます。

データ侵害通知条項のポイントは、事故が起きた後に誰が悪いかを争う条項ではなく、事故直後に誰が、何を、何時間以内に、どの情報をもって、どこまで協力するかを動かす条項にすることです。

次の5原則は、このページの実務上のまとめです。原則を一覧で確認することは、契約レビューや委託先管理で最低限の到達点を共有するために重要です。読者は、確定前通知、前倒し期限、通知内容・続報・ログ保全、再委託先、外部対応・費用・責任制限をセットで設計する点を読み取ってください。

01

確定を待たない

おそれ段階、合理的疑い、重大なセキュリティインシデントを適切に通知対象へ含めます。

02

法令期限より早くする

委託元が当局報告・本人通知・広報・保険通知を準備できるよう、契約上の初動通知期限を前倒しします。

03

通知内容を具体化する

初回通知、続報、最終報告、ログ保全、証拠管理、未判明事項の扱いを明確にします。

04

再委託先まで流す

再委託先・クラウド・SaaSにも同等義務を流し、通知期限を逆算します。

05

外部対応と費用を結ぶ

当局報告、本人通知、公表、事故対応費用、補償、責任制限をセットで整理します。

まとめこの5原則を満たす条項は、平時には委託先管理の品質を高め、有事には企業の説明責任、法令遵守、被害拡大防止、信用維持を支えます。
Reference

データ侵害通知条項の参考情報源

公的資料・法令・実務資料

  • 個人情報保護委員会, 個人情報の保護に関する法律についてのガイドライン 通則編
  • 個人情報保護委員会, 漏えい等の対応とお役立ち資料
  • e-Gov法令検索, 個人情報の保護に関する法律
  • 個人情報保護委員会ガイドライン, 委託先の監督に関する記述
  • 個人情報保護委員会ガイドライン, 委託元への通知による例外に関する記述
  • 個人情報保護委員会ガイドライン, 速報・確報・本人通知に関する記述
  • 個人情報保護委員会, クラウド事業者による代行報告事例
  • EUR-Lex, Regulation (EU) 2016/679, Article 4(12), Articles 33 and 34
  • Commission Implementing Decision (EU) 2021/915, Standard Contractual Clauses between controllers and processors
  • NIST CSRC, SP 800-61 Rev. 3, Incident Response Recommendations and Considerations for Cybersecurity Risk Management
  • U.S. Securities and Exchange Commission, Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure
  • 内閣法制局, 個人情報の保護に関する法律等の一部を改正する法律案