情報漏洩の緊急事態に備える
初動対応・報告・対策FAQ
情報漏洩は、企業活動において重大なリスクの一つです。発生時には迅速かつ適切な対応が求められ、対応の遅れや判断の誤りは被害の拡大や信用低下につながります。本記事では、情報漏洩が発生した際の基本的な対応手順や、よくあるご質問について分かりやすくご案内しています。万が一の事態に備え、安心して対応いただくための参考として、ぜひご活用ください。
対応支援資料をダウンロード
初動対応・基本理解
情報漏洩が発覚したら最初に何をすべきか
情報漏洩が発覚した直後は、冷静かつ迅速な行動が求められます。パニックに陥らず、まずは「被害拡大の防止」と「事実確認」を最優先事項として取り組むことが重要です。対応が遅れるほど、漏洩範囲が拡大し、復旧コストや社会的信用の回復に多大な影響を与えます。以下の3つのステップを基本として、即座に行動を開始してください。
① ネットワーク隔離・アクセス遮断
漏洩が疑われるシステムやネットワークへのアクセスを即座に遮断します。外部接続の切断、該当サーバーの隔離、関係アカウントの無効化を迅速に行い、被害の拡大を物理的に防止します。この段階での判断の速さが、全体の被害規模を左右します。
② ログ・証拠の保全
原因究明や法的対応のために、関連するログやデータの保全を最優先で行います。システムの再起動やデータの削除は証拠を破壊する恐れがあるため、絶対に避けてください。フォレンジック調査に備え、現状を可能な限り保持することが重要です。
③ 関係者のアクセス制限
漏洩に関与が疑われる関係者や、影響を受ける可能性のあるアカウントへのアクセスを制限します。内部不正が疑われる場合は特に注意深く対応し、証拠隠滅を防ぐための措置を講じます。同時に、社内に対策本部を設置し、対応方針を一本化することが重要です。
社内だけで対応することは可能ですか?
小規模な事案を除き、外部専門家の関与が強く推奨されます。情報漏洩対応にはIT(原因調査・封じ込め)、法務(報告・通知判断)、広報(公表対応)という複数の専門領域が同時に必要となります。初動で専門家と連携することで、被害とリスクを最小化できます。
フォレンジック調査とは何ですか?
フォレンジック調査とは、ログやデータの痕跡を専門的に分析し、漏洩原因・侵入経路・被害範囲を特定する調査です。不正アクセスの有無、流出データの特定、内部不正の有無などを明らかにします。カード情報漏洩等では実施が強く求められるケースがあります。
報告・公表・通知
個人情報保護委員会への報告義務と期限
情報漏洩が発生した場合、個人情報保護委員会への報告が義務付けられるケースがあります。多くの企業が「1000件未満なら報告不要」と誤解していますが、これは大きな間違いです。報告義務は「漏洩した情報の性質」によって判断され、件数だけでは決まりません。以下の条件に該当する場合は、件数に関係なく報告義務が発生します。
要配慮個人情報の漏洩
健康・病歴・犯罪歴などの要配慮個人情報が漏洩した場合は、件数に関係なく報告義務があります。これらの情報は本人の権利利益に重大な影響を与えるため、特に厳格な対応が求められます。
クレジットカード・口座情報の漏洩
金融関連情報は経済的被害に直結するため、漏洩件数に関わらず報告が必要です。カード情報の場合はカード会社への即時報告も並行して行う必要があります。
不正アクセス・不正取得による漏洩
外部からの不正アクセスや内部による不正取得が原因の場合、件数に関係なく報告義務が発生します。犯罪性が認められるため、警察への相談も検討が必要です。
不特定多数への拡散・1000件を超える漏洩
インターネット上への拡散が確認された場合、または1000件を超える個人情報が漏洩した場合は報告義務があります。ただし「1000件以下=不要」という理解は誤りであり、情報の性質を優先して判断します。
3〜5日
速報の期限
原則として3〜5日以内に速報を提出する必要があります。事態の把握が不完全でも、まずは速報を提出することが重要です。
30日
確報の期限
30日以内に確報を提出します。不正アクセス事案の場合は60日以内が期限となります。詳細な調査結果を反映させた報告が必要です。
60日
不正アクセス時の確報
不正アクセス事案については、調査に時間がかかるため確報の期限が60日以内に延長されています。
報告・公表・通知
本人通知の判断基準と実施方法
情報漏洩が発生した場合、影響を受ける本人への通知が必要となるケースがあります。通知は「本人の権利利益を害するおそれがある場合」に原則として必要とされます。ただし、通知の方法や範囲は漏洩内容とリスクレベルに応じて慎重に判断する必要があります。不適切な通知は混乱を招くだけでなく、二次被害を引き起こす可能性もあるため、専門家の助言を得ながら進めることが重要です。
通知が必要なケースの判断基準
以下の要素を総合的に考慮して、通知の要否と方法を決定します。
  • 漏洩した情報の種類と機密性(要配慮情報・金融情報・認証情報など)
  • 漏洩の規模と拡散の可能性
  • 不正利用のリスクの有無と深刻度
  • 本人が取るべき対策の必要性(パスワード変更・カード停止など)
特にクレジットカード情報や不正アクセスが関与するケースでは、本人が速やかに対策を取れるよう、通知の迅速性が極めて重要となります。
通知方法の選択基準
漏洩内容とリスクに応じて、以下の方法から適切な手段を選択します。
  • 原則:メール・郵送など直接通知
  • 補完:WEB公表(連絡不能時の代替手段)
  • 高リスク時:郵送など確実な手段を推奨
重要情報(クレカ・不正アクセス等)の場合、WEB公開だけでは不十分と判断される可能性があります。メール未達の場合は再送や郵送通知など、確実な手段を講じる必要があります。
漏洩の疑い段階での公表判断
被害拡大の恐れがある場合は「注意喚起」として公表・通知を検討します。ただし、不確定情報の公表は混乱を招くため、事実確認とのバランスが重要です。専門家と相談の上、タイミングと内容を見極める必要があります。
メール通知が届かない場合の対応
重要情報の漏洩でメール通知が届かない場合、WEB公開だけで対応することは不十分と判断される可能性があります。再送・郵送通知など、より確実な手段を検討する必要があります。通知の到達確認と記録を残すことも重要です。
お詫び品の必要性について
お詫び品に法的義務はありませんが、被害の重大性・社会的影響・他社事例を踏まえて判断します。ただし、過度な対応は逆効果となる場合もあり、バランスの取れた対応が求められます。
個別ケース対応
高リスクケースへの対応:ダークサイト・マイナンバー・クレジットカード
情報漏洩の中でも、特に深刻な影響が想定されるケースがあります。ダークサイトやリークサイトへの掲載、マイナンバーの漏洩、クレジットカード情報の流出などは、迅速かつ専門的な対応が不可欠です。それぞれのケースに特有のリスクと対応手順があるため、事前に理解しておくことが重要です。
ダークサイト・リークサイトへの掲載
ダークサイトやリークサイトに個人情報が掲載されたことが確認された場合は、以下の対応を迅速に実施します。
  • 証拠保全(画面保存・ログ確保)を最優先で実施
  • 警察への相談・被害届の検討
  • 個人情報保護委員会への報告判断
  • 対象者への注意喚起と対策の案内
初動の遅れは二次被害につながるため、発見次第即座に行動を開始してください。
マイナンバー・基礎年金番号の漏洩
マイナンバーや基礎年金番号は原則として変更できませんが、一定条件で変更が可能です。企業としては以下の対応が必要です。
  • 個人情報保護委員会への報告(原則必須)
  • 本人への通知と状況説明
  • 行政機関への相談案内
  • 不正利用防止のための注意喚起
マイナンバーは他の個人情報と比べてリスクが高く、慎重かつ迅速な対応が求められます。
クレジットカード情報の漏洩
クレジットカード情報の漏洩は極めて高リスクであり、以下の対応が必須です。
  • 即時報告(個人情報保護委員会・カード会社)
  • 本人への通知(メール未達の場合は郵送対応が望ましい)
  • フォレンジック調査の実施
  • 利用停止・再発行対応の案内
カード情報の漏洩は経済的被害に直結するため、スピードと確実性が最も重要となります。
郵便宛先一覧(氏名・住所)の漏洩
以下の条件をすべて満たす場合、原則として報告不要となるケースが多いです。
  • 要配慮情報が含まれていない
  • 不正アクセスによるものではない
  • 件数が1000件未満
  • 拡散していない・回収可能
ただし、回収不能・大量漏洩・拡散の可能性がある場合は報告対象となる可能性があるため、個別に判断が必要です。
法的責任・リスク
企業責任と法的リスク:誰が・どのように責任を負うか
情報漏洩が発生した場合、企業はさまざまな法的責任を問われる可能性があります。「従業員のミスだから仕方ない」「セキュリティソフトを入れていたから大丈夫」といった認識は誤りであり、企業として包括的な安全管理義務を果たしていることが求められます。責任の範囲とリスクを正しく理解し、適切な対策を講じることが重要です。
従業員のミスでも企業責任になりますか?
はい、なります。企業は使用者責任および安全管理義務違反を問われます。従業員の行為であっても、企業として適切な教育・監督・管理体制を整えていなかった場合、企業の責任が認められます。
委託先で漏洩した場合は?
原則として委託元企業が責任を負います。委託先の選定・監督義務が問われるため、委託契約におけるセキュリティ要件の明確化と定期的な監査が重要です。
セキュリティソフトだけでは免責されません
セキュリティソフトの導入は重要ですが、それだけでは責任を免れることはできません。個人情報保護法では、組織的・人的・技術的・物理的対策の総合的実施が安全管理義務として求められています。一つの対策に依存するのではなく、多層的なセキュリティ体制の構築が必要です。
公表しない場合のリスク
情報漏洩を公表しなかった場合、後から発覚した際に以下のリスクが高まります。
  • 行政指導・命令(是正措置・業務停止命令等)
  • 損害賠償請求(民事・集団訴訟のリスク)
  • 社会的信用の失墜・炎上リスク
  • 刑事罰の可能性(悪質な場合)
行政リスク
個人情報保護委員会による行政指導・命令・勧告。悪質な場合は刑事罰の対象となる可能性があります。
民事リスク
影響を受けた個人からの損害賠償請求。集団訴訟に発展するケースも増加しています。
社会的リスク
メディア報道・SNSによる風評被害。信用回復には多大な時間とコストがかかります。
対象となる個人情報の範囲
「個人情報」の範囲:何が対象になるのか
個人情報保護法における「個人情報」の定義は、多くの企業が考えるよりも広範です。「特定の個人を識別できる情報」はすべて個人情報に該当し、単体では識別できなくても、他の情報と組み合わせることで識別可能になる情報も対象となります。法改正後は解釈が広くされる傾向にあり、自社の扱う情報がどこまで対象になるかを正確に把握することが重要です。
基本的な個人情報
氏名・住所・電話番号・メールアドレス・顧客ID・会員番号などは、典型的な個人情報です。これらの情報が単独で存在する場合はもちろん、他の情報と組み合わさっている場合も個人情報として扱われます。
IPアドレス・Cookie
IPアドレスやCookieは、単体では個人情報に該当しない場合があります。しかし、会員情報・ログイン情報と紐づく場合は個人情報として扱われます。法改正後は広く解釈される傾向にあり、注意が必要です。
従業員・応募者情報
履歴書・職務経歴書・評価情報など、従業員や応募者に関する情報もすべて個人情報に該当します。DB化されていなくても、今後DB化される可能性がある場合や要配慮情報を含む場合は対象となります。
名刺情報・企業メールアドレス
名刺情報(氏名・会社名・メール)は原則として個人情報に該当します。法改正・ガイドライン上も「業務用情報であっても個人情報」と整理されています。企業の代表メール(info@〜)は原則として個人情報には該当しませんが、担当者個人と紐づく場合や利用履歴と結びつく場合は個人情報として扱われる可能性があります。

ハッシュ化・匿名化の注意点:復元可能なハッシュ化・疑似匿名化は「個人情報」として扱われます。完全匿名化された場合のみ個人情報ではなくなりますが、実務では「匿名化したつもり」が最も危険です。匿名化の基準を満たしているかを専門家に確認することを推奨します。
DB(データベース)・DB化に関して
「個人データ」とは何か:DB化の有無で何が変わるか
個人情報保護法では、「個人情報」と「個人データ」で義務の内容が異なります。「個人データ」とは、個人情報のうち、検索・整理が可能な状態で体系的に管理されたものを指します。顧客管理システム・Excel名簿・CRMなどがこれに該当します。DB化の有無によって安全管理義務のレベルや事故時の評価が変わるため、自社の情報がどの区分に該当するかを正確に把握することが重要です。
DB化の有無による義務の違い
個人データ(DBあり)
安全管理義務のレベルが高く、開示・訂正対応義務が適用されます。事故時の評価も厳しくなります。
単なる個人情報(DBなし)
一部義務が異なりますが、保護対象であることには変わりありません。
「DB化されていないから軽微」という考えは誤りです。「DBかどうか」より「リスク」で判断されます。履歴書1枚の漏洩でも重大と評価される場合があり、紙媒体でも高リスクであれば報告対象となります。
よくある誤解:紙・PDF・メールの扱い
  • 紙の書類(履歴書・名簿):ファイリングされ検索可能な状態であれば「個人情報データベース等」に該当する可能性があります。
  • PDFの履歴書:フォルダ管理+検索可能であればDB扱いの可能性あり。単なる保存のみの場合は個人情報として扱われます。実務ではDB扱いされるケースが増えています。
  • メール添付の個人情報:単体ではDBとは言えませんが、メールボックスで検索可能・整理蓄積されている場合はDBに準ずる扱いになる可能性があります。
重要なのは「DBかどうか」より「漏洩時のリスク」で判断することです。漏洩時のリスク判断はDBかどうかに依存しません。
実務対応・判断
再発防止策と実務判断の核心
情報漏洩への対応は、発生後の初動対応だけで完結するものではありません。再発を防止し、組織のセキュリティ成熟度を継続的に高めていくことが、真の意味でのリスク管理です。技術・運用・人の3つの側面から包括的な対策を講じ、継続的な改善サイクルを確立することが不可欠です。
技術的対策
アクセス制御の強化・多要素認証の導入・暗号化の実施・ログ監視体制の整備など、技術的なセキュリティ基盤を強化します。最新の脅威に対応できるよう、定期的な脆弱性診断とパッチ適用も重要です。
運用的対策
セキュリティポリシーの整備・アクセス権限の定期的な見直し・インシデント対応手順の策定と訓練・内部監査の実施など、運用面での管理体制を確立します。ルールを文書化し、全社員が遵守できる環境を整備します。
人的対策
全社員を対象としたセキュリティ教育・フィッシング訓練・新入社員向け研修・管理職向け意識向上プログラムなど、人的リスクを低減するための教育・訓練を継続的に実施します。セキュリティ意識の向上は最もコストパフォーマンスの高い対策の一つです。
3
対策の柱
技術・運用・人の3側面から包括的な再発防止策を講じることが重要です。
100%
継続的改善
セキュリティ対策は一度きりではなく、継続的な改善が不可欠です。
情報漏洩対応は「初動の速さ」「判断の正確性」「専門家との連携」の3点で決まります。「対応力」そのものが企業価値に直結します。
対応支援
万が一に備えて:対応支援資料のダウンロード
情報漏洩は「いつ・どこで・どのような形で」発生するか予測できません。だからこそ、事前の準備と知識の蓄積が最も有効な保険となります。本サイトでご紹介した対応フローや判断基準を、ぜひ貴社のインシデント対応計画に組み込んでください。また、より詳細な対応手順やチェックリスト、各種書類のテンプレートは、対応支援資料としてダウンロードいただけます。
1
初動対応チェックリスト
情報漏洩発覚直後に実施すべき事項を時系列で整理したチェックリスト。パニック時でも確実に初動対応を行えます。
2
報告・通知判断フロー
個人情報保護委員会への報告要否、本人通知の要否と方法を判断するためのフローチャート。法的要件に基づいた判断を支援します。
3
お詫び文・通知文テンプレート
関係者への通知や公表に使用できる文面テンプレート。状況に応じてカスタマイズ可能な形式で提供します。
4
再発防止策策定ガイド
技術・運用・人の3側面から再発防止策を策定するためのガイド。具体的な施策例と導入ステップを掲載しています。
📋 対応支援資料をダウンロード
情報漏洩対応に必要な書類・テンプレート・チェックリストをまとめてダウンロードいただけます。万が一の事態に備え、事前にご準備ください。
🔒 専門家への無料相談
情報漏洩対応の専門家による無料相談を実施しています。事前の対策策定から、実際のインシデント発生時の対応まで、幅広くサポートいたします。

lp040.sanku.net

個人情報漏洩、その時あなたはどうしますか?

株式会社サンクネットが、企業の「もしも」に全力で応えます。 インシデント発生から事業再開まで、30年の実績で貴社に伴走します。 無料相談はこちら 個人情報漏洩対応FAQ