トラブル対応B共通中級

情報漏洩が発生したときの対応フロー

個人情報・機密データの漏洩発生時に取るべき初動対応から報告・再発防止まで、受託者・発注者双方の実務フローを解説

情報漏洩が起きた瞬間に何が始まるか

このセクションでは、情報漏洩が発覚した直後から発生する法的・実務的な課題と、対応を急ぐ理由を整理する。

Webシステム開発を手掛ける受託会社B社が、顧客管理システムの脆弱性を外部から指摘されたのは金曜日の夕方だった。担当エンジニアは「念のため確認します」とだけ返答し、週明けまで詳細調査を先送りにした。月曜日に調べると、約3,000件の顧客個人情報がすでに外部に流出していた可能性が浮上した。この判断の遅れは後に深刻な問題を引き起こす。発注者への報告が遅れた理由として「確認が取れるまで報告したくなかった」と説明したが、発注者はそれを「隠蔽しようとしていた」と受け取り、両者の信頼関係は完全に崩壊した。

情報漏洩が発覚した瞬間、複数の時計が同時に動き始める。

まず法的な時計として、2022年改正個人情報保護法により、一定規模以上の個人情報漏洩事案は個人情報保護委員会への速報(おおむね3〜5日以内)と本報告(30日以内)が義務づけられている。報告を怠ると命令・勧告の対象となり、従わない場合は刑事罰も課される。

次に社会的な時計として、被害拡大を防ぐための封じ込め作業がある。漏洩したデータが二次利用・転売される前に、アクセス制御の変更や該当データの削除依頼など、実務的な封じ込め措置を取らなければならない。これは時間との戦いである。

さらに契約上の時計として、業務委託契約や秘密保持契約(NDA)に定められた通知義務がある。多くの契約では「漏洩を知った時点で速やかに」相手方に通知する義務が課されており、通知遅延それ自体が契約違反になり得る。

受託者・発注者を問わず、情報漏洩対応で最も避けるべきは「確認が取れるまで様子を見る」という態度である。情報漏洩の初動対応は、確証が得られる前から動き始めることが求められる。

72時間以内にやるべき初動対応フロー

このセクションでは、漏洩発覚後72時間以内に実行すべきアクションを受託者・発注者双方の立場で具体的に整理する。

フェーズ1:発覚から1時間以内

封じ込めの開始

漏洩を疑うインシデントを認知したら、最初にすることは「被害を広げないこと」である。

  1. 該当システム・サービスへのアクセスを制限または一時停止する
  2. 問題が疑われるアカウント・APIキー・接続情報の無効化または変更を行う
  3. 影響範囲の初期評価として、どのデータが・いつから・どのような経路で露出した可能性があるかを把握する

この時点では原因の完全特定より「止める」ことを優先する。サービス停止によるビジネス影響より、漏洩拡大による被害の方が通常はるかに大きい。

最初の報告ライン確保

組織内のインシデント対応責任者(CISO、情報セキュリティ担当、経営者など)に即時報告する。個人で抱え込まず、意思決定できる人間を早期に巻き込む。

受託者の場合は、この段階で発注者への第一報を入れることを強く推奨する。「現在調査中。詳細は○時間以内に報告する」という形でも構わない。確証がなくても通知義務は発生している可能性があり、後に「知っていたのに報告しなかった」と認定されるリスクを避けるべきである。

フェーズ2:6時間以内

証拠保全

調査と修正を急ぐあまり、証拠を消してしまうミスがよく起きる。アクセスログ・エラーログ・システムログは改ざんや上書きが起きないよう、別媒体にバックアップを取る。後の原因調査・法的手続き・保険申請に不可欠なデータである。

影響範囲の特定

「何件のデータが・どのような属性で・どの期間において」露出したかを可能な範囲で確認する。この数字が後の報告義務の要否判断に直接影響する。

個人情報保護法上の報告義務が生じる「要配慮個人情報」とは、人種・信条・病歴・犯罪歴・障害情報などを指す。一般的な氏名・メールアドレス・住所のみのケースと比べ、報告要件が異なる。

対外コミュニケーション方針の決定

広報窓口、SNS対応、顧客への通知方法について、組織として統一した対応方針を決める。担当者が個別に情報を出すと、内容の齟齬や憶測を招く。特に外部メディアからの取材対応は、広報または経営判断に委ねる体制を作る。

フェーズ3:72時間以内

法的報告の準備と初動報告

個人情報保護委員会への速報が必要かどうかを判断する(詳細は次セクション参照)。必要な場合、速報様式に従い初動段階で把握している範囲を報告する。「不明」「調査中」の項目があってもよい。

影響を受けた当事者へのファーストコンタクト

漏洩した個人情報の主体(本人)への通知が必要かどうかを判断し、必要であれば通知内容・タイミング・手段を決定する。通知文には「何が起きたか」「現時点での対応状況」「本人が取るべき行動(パスワード変更など)」を明記する。

法定報告義務:個人情報保護委員会への届出と本人通知

このセクションでは、改正個人情報保護法(2022年全面施行)に基づく事業者の報告・通知義務の要件とプロセスを解説する。

報告義務が生じるケース

改正法では、以下に該当する漏洩・滅失・毀損が発生した場合に報告義務が生じる(個人情報保護法26条)。

  1. 要配慮個人情報を含む場合:人種・信条・病歴・障害・犯罪歴等
  2. 財産的被害の生じるおそれがある場合:クレジットカード番号・銀行口座情報等
  3. 不正の目的による漏洩と疑われる場合:不正アクセス・内部不正等
  4. 1,000件を超える個人情報が関与する場合:件数の多い一般的な顧客データ漏洩

これらに該当しない小規模な漏洩(例:社内の特定個人に対する誤送信など)は法定の報告義務が生じないケースもあるが、契約上の通知義務は別途存在する可能性がある。

速報と本報告の二段階プロセス

速報(おおむね3〜5日以内)

発生を知った時点から「おおむね3〜5日以内」に個人情報保護委員会に速報を行う。速報は「現時点で判明している範囲」を報告するもので、全容が解明されていなくてもよい。提出先は個人情報保護委員会の「個人情報等の漏えい等の報告フォーム」を利用する。

本報告(30日以内、不正アクセス等は60日以内)

速報後、原則30日以内(不正アクセス等が原因の場合は60日以内)に確定した情報をまとめた本報告書を提出する。本報告には以下の項目が求められる。

  • 漏洩等が発生した年月日・発覚した年月日
  • 漏洩等の概要と原因
  • 漏洩した個人情報の項目・件数
  • 二次被害の発生有無と可能性
  • 本人への通知の実施状況
  • 再発防止策

本人通知のタイミングと内容

本人通知は「速やかに」行うことが原則だが、「本人への通知が困難な場合」や「通知することで本人の利益を害する恐れがある場合」は例外的に本人通知の代替として公表(Webサイト等への掲示)でもよい。

通知文の要素として最低限含めるべき内容:

  • 何が起きたかの事実説明(過不足なく、平易な言葉で)
  • 漏洩した個人情報の種類と範囲
  • 二次被害を防ぐための本人の対応(パスワード変更・不審な連絡への警戒等)
  • 問い合わせ先の設置

「お詫び文」として謝罪のみを並べ、具体的な情報が乏しい通知は不誠実とみなされ、二次的なクレームを招く。事実を簡潔かつ誠実に伝えることが最善である。

受託者と発注者、それぞれの責任と役割分担

このセクションでは、情報漏洩が受託開発・外部委託の文脈で発生した場合の、受託者・発注者それぞれの法的責任と実務上の役割を整理する。

個人情報保護法における「委託先の管理義務」

個人情報保護法では、個人データの取り扱いを外部に委託する発注者(委託元)は、委託先の監督義務を負う(同法25条)。つまり、受託者(委託先)のミスで情報が漏洩した場合でも、発注者は「適切な委託先の選定と管理を怠った」として責任を問われる可能性がある。

発注者としての管理義務の実践例:

  • 委託先の情報セキュリティ管理体制の事前確認(ISMSや Pマーク取得状況など)
  • 業務委託契約への情報セキュリティ条項・漏洩時の通知義務の明記
  • 定期的なセキュリティ監査または報告の実施
  • 委託する個人データの範囲を必要最小限に限定する設計

受託者の責任範囲と契約上の義務

受託者が個人情報を取り扱う場合、個人情報保護法上の義務を直接負う「個人情報取扱事業者」に該当する可能性がある。また契約上も、秘密保持義務・情報セキュリティ遵守義務・漏洩時の通知義務・損害賠償義務が課されていることが多い。

受託者として特に注意すべき点:

通知義務の発動タイミング:契約に「速やか」「直ちに」と書かれている場合、確証が得られる前でも疑義が生じた段階で発注者に通知する義務があると解釈される可能性が高い。「確認できてから報告しよう」という判断が契約違反になるリスクに注意する。

サブコントラクター(再委託)の管理:受託したシステム開発の一部を別の業者に再委託している場合、その再委託先が漏洩元となっても、発注者に対する責任は原則として受託者が負う。再委託先の選定・管理・契約も丁寧に行う必要がある。

損害賠償の範囲交渉:漏洩規模によっては賠償請求が受託金額を大幅に超えることがある。受託費用の範囲内に損害賠償上限を設ける契約条項(損害賠償上限条項)を事前に交渉・盛り込んでおくことが重要である。

発生後の当事者間協力体制

漏洩が判明した後は、受託者・発注者が対立するのではなく、連携して対応に当たることが双方にとって最善である。

実務上の協力事項:

  • 受託者による技術的封じ込めと原因調査の実施・逐次報告
  • 発注者による個人情報保護委員会への報告(窓口は原則として発注者が担う)
  • 本人通知文の共同作成と配信手段の調整
  • 対外発表・メディア対応の統一窓口の設定

漏洩事案で最もよく見られる悪手は、受託者が発注者への報告を遅らせ、発注者が「なぜ早く言わなかったのか」と激怒するパターンである。これは対立を深め、連携対応を不可能にする。初報を素早く入れ、「一緒に対応しよう」という協力姿勢を示すことが、信頼関係維持と被害最小化の両方に寄与する。

再発防止策と事後対応の完結

このセクションでは、インシデント収束後に行うべき原因分析・技術的改善・契約見直しと、事後対応の完結までのフローを整理する。

原因分析と根本対策

インシデントが収束した後、原因分析を「見つかった脆弱性の修正」で終わらせてはならない。表面的な事象の背景にある「なぜそれが起きたのか」を掘り下げる。

代表的な根本原因の類型:

技術的要因:SQLインジェクション・不適切なアクセス制御・認証情報のハードコード・暗号化の欠如・ログ管理の不備。これらは技術的負債や開発工程での確認不足から発生することが多い。

運用的要因:アクセス権限の見直し不足(退職者のアカウントが残存、など)・パスワードポリシーの不徹底・セキュリティアップデートの遅延・定期的な脆弱性スキャンの未実施。

契約・体制的要因:情報セキュリティ要件が契約に明記されていない・インシデント対応手順が未整備・担当者のセキュリティリテラシー教育が不十分。

再発防止策の実装優先順位

全ての対策を同時に行うことは現実的でない。優先順位の付け方として「悪用された場合の被害の大きさ」×「実際に起きる可能性」でリスクを評価し、高リスク項目から着手する。

短期(1ヶ月以内)で対応すべき事項:

  • 今回の漏洩を直接引き起こした脆弱性の修正
  • アクセス権限の棚卸しと最小権限原則の適用
  • 異常ログイン・大量データアクセス等の監視・アラート設定

中期(3〜6ヶ月)で対応すべき事項:

  • セキュリティ診断(ペネトレーションテスト・コードレビュー)の実施
  • インシデント対応手順書の整備・訓練
  • 開発フローへのセキュリティレビュー工程の組み込み

顧客・ステークホルダーへの継続的コミュニケーション

漏洩事案は通知で終わりではない。事後の対応状況・再発防止策の完了・問い合わせへの真摯な対応を通じて、信頼回復に努める必要がある。

顧客対応窓口は、専用のメールアドレスや電話番号を設置し、担当者名を明示して対応することが誠実さの証明となる。また、問い合わせへの回答は「担当部門に確認して折り返します」で終わらせず、実際に折り返しを行う。約束した期日に連絡がないことへのクレームは、漏洩そのものへの不満と同等かそれ以上の二次被害をもたらす。

事後の契約・体制見直し

インシデントを踏まえて、既存の業務委託契約・秘密保持契約・情報セキュリティポリシーを見直す機会とする。

見直しの観点:

  • 情報漏洩発生時の通知義務(タイミング・方法・相手先)の明記
  • 損害賠償条項の上限・範囲の見直し
  • 受託者のセキュリティ管理体制要件の明文化
  • 定期的なセキュリティ報告・監査の実施義務

情報漏洩は再発しないよう対策を講じても、ゼロリスクにすることはできない。重要なのは「起きないようにする」努力と並行して「起きたときにどう動くか」を事前に合意しておく体制を整えることである。それが受託者・発注者双方のリスク軽減につながる。

参考文献

  • 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」(2022年改正対応版) https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
  • 個人情報保護委員会「個人データの漏えい等の事案が発生した場合等の対応について」 https://www.ppc.go.jp/personalinfo/legal/leakAction/
  • IPA(情報処理推進機構)「中小企業の情報セキュリティ対策ガイドライン」 https://www.ipa.go.jp/security/guide/sme/about.html
I

ISVD

一般社団法人社会構想デザイン機構

関連記事

トラブル対応

契約書に書いていないことが起きたら

トラブル対応

メンバー離脱 — チーム崩壊を防ぐ

トラブル対応

一方的な契約条件変更への対処