データ侵害通知条項のポイント ― 初回通知・続報・最終報告
完全な報告を待たず、判明範囲で通知し、続報で更新する設計にします。
初回通知は、完全な報告書である必要はありません。むしろ、完全性を求めすぎると通知が遅れます。判明している範囲で事故概要、対象データ、影響、暫定措置、次回続報予定を示し、未判明事項は未判明として扱います。
次の一覧は、初回通知に含めたい事項を整理したものです。初回通知項目を具体化することは、委託元が当局報告、本人通知、広報、保険通知、取締役会報告の準備を始めるために重要です。読者は、未判明事項を理由に通知を遅らせず、判明範囲で共有する点を読み取ってください。
| 区分 | 初回通知で示す事項 |
|---|---|
| 時点・経緯 | 発覚日時、発生推定日時、認識した部署・担当、事故の概要を示します。 |
| 影響範囲 | 影響を受けた可能性のあるサービス、システム、環境、リージョン、アカウントを示します。 |
| 対象データ | 個人データ、要配慮個人情報、決済情報、認証情報、営業秘密、機密情報の有無を示します。 |
| 規模 | 影響を受ける本人数、顧客数、レコード数の概算を示します。 |
| 事故類型 | 漏えい、滅失、毀損、改ざん、利用不能、不正閲覧、不正取得の別を示します。 |
| 暫定対応 | 暫定的な原因、実施済みの封じ込め措置、追加被害のおそれを示します。 |
| 外部対応 | 当局、警察、本人、メディア、他顧客、保険会社への通知・相談状況を示します。 |
| 次の連絡 | 次回続報予定時刻、連絡責任者、24時間連絡先を示します。 |
次の時系列は、初回通知から最終報告までの情報更新の流れを示します。段階を分けることは、最初の通知に過度な完全性を求めず、しかし重要な新事実を放置しないために重要です。読者は、続報で修正・補足し、最終報告で時系列、原因、影響範囲、再発防止を整理する点を読み取ってください。
判明範囲の速報
概要、対象データ、影響可能性、暫定措置、未判明事項、次回報告予定を共有します。
重要新事実の更新
外部送信、対象件数、原因、影響範囲、封じ込め状況に重要な進展があれば直ちに通知します。重大事案では少なくとも24時間ごとの更新を検討します。
誤りの修正
初回通知内容に誤りが判明した場合は、速やかに訂正し、何が変わったのかを明示します。
確定情報の整理
事故の時系列、根本原因、影響範囲、対象データ項目、本人・顧客対応、復旧措置、再発防止策、未解決リスク、証拠保全状況、費用概算を示します。