顧客名簿、従業員情報、会員データなどを扱う事業者にとって、メールの誤送信、USBメモリーの紛失、クラウドの設定ミス、不正アクセス、ランサムウェア被害などは、いつ起きてもおかしくない事態です。発覚した直後は、「個人情報保護委員会に報告しなければならないのか」「本人に通知が必要か」「いつまでに何をすべきか」が分からず、対応が後手に回りがちです。
本記事では、個人情報の漏えい等が疑われる場面での初動対応の流れと、個人情報保護委員会への報告(速報・確報)や本人通知の要否の考え方を、個人情報保護委員会の公表資料に沿って整理します。すべての漏えいで直ちに報告義務が生じるわけではありませんが、発覚直後に事実関係・影響範囲・報告期限を並行して整理しておくことが重要です。なお、結論は漏えいした情報の種類・件数・原因などの個別事情により異なります。
漏えい等の発覚直後は、報告要否、本人通知、取引先対応を早めに整理することが重要です。資料を確認したうえで、今後の対応方針を検討しましょう。
Contents
個人情報漏えい時にまず確認したい結論
- すべての漏えいで直ちに報告義務が生じるわけではなく、報告対象事態に当たるかどうかで変わります。
- ただし、発覚直後は初動対応・事実確認・報告要否の判断を同時並行で進める必要があります。
- 報告対象事態に当たる場合、個人情報保護委員会への速報・確報と、本人への通知が問題になります。
- 判断を誤らないために、漏えいした情報の種類・件数・原因が分かる資料を早期に整理することが重要です。
この記事で分かること
- 発覚直後の初動対応の流れ
- 個人情報保護委員会への報告対象事態の4類型
- 速報・確報の期限と考え方
- 本人通知の要否・内容・時期
- 委託先・委託元のどちらが報告するか
- 弁護士に相談するタイミングと準備すべき資料
個人情報の「漏えい等」とは
検索では「個人情報の漏えい」という言葉がよく使われますが、個人情報保護法上、報告や本人通知の対象になるのは主に「個人データの漏えい等」です。個人データとは、個人情報データベース等を構成する個人情報をいい、検索できるように整理された顧客名簿や会員データなどが典型例です。
「漏えい等」には、次の3つが含まれます。
- 漏えい:個人データが外部に流出すること(誤送信、誤送付、不正アクセスによる窃取など)
- 滅失:個人データの内容が失われること(データの誤消去、媒体の滅失など)
- 毀損:個人データの内容が意図しない形で変更され、又は利用できなくなること(ランサムウェアによる暗号化など)
また、漏えい等が確実に生じたと断定できなくても、「漏えい等が発生したおそれ」がある段階で報告要否の検討対象になり得ます。たとえば、不正アクセスの痕跡が確認された場合や、第三者から漏えいのおそれについて連絡を受けた場合などです。
よくある原因の例
- メール誤送信、CCとBCCの誤りによる宛先の流出
- 書類・USBメモリー・ノートPCの紛失や盗難
- クラウドストレージのアクセス権設定ミス
- 外部からの不正アクセス、ウェブサイトの改ざん
- ランサムウェアによる暗号化
- 従業員による個人データの持ち出し
発覚直後の初動対応
漏えい等が疑われる場合、技術的な復旧と並行して、事実関係の把握と報告要否の検討を進めます。
まず行うこと
- 責任者・管理部門・経営層への内部報告
- 被害拡大の防止(システム停止、アカウント停止、パスワード変更、アクセス権限の見直し)
- 証拠の保全(ログ、メール、送信履歴、アクセス記録、通信記録、端末、クラウド設定など)
- 誤送信・誤送付先への削除・回収の依頼
- 事実関係の調査、影響範囲の特定、原因の究明
- 委託先、クラウド事業者、セキュリティ会社、保険会社、取引先への連絡要否の検討
不正アクセスやランサムウェアが疑われる場合は、ログの保全や侵害範囲の特定にあたり、IT・セキュリティの専門家と連携が必要になることがあります。
初動で避けたいこと
- 事実確認が不十分なまま、断定的な説明を社外に行うこと
- 原因調査の前に、ログや証拠を消してしまうこと
- 報告対象事態に当たるかどうかの判断を先送りにすること
- 本人通知文や公表文の内容が部署ごとに食い違うこと
- 委託元・委託先・取引先への連絡を放置すること
- 技術的な復旧だけを優先し、法令上の対応を後回しにすること
個人情報保護委員会への報告が必要になる場合
個人情報取扱事業者は、その取り扱う個人データについて、個人の権利利益を害するおそれが大きい一定の事態(報告対象事態)が生じたときは、個人情報保護委員会への報告が必要です(個人情報保護法第26条第1項)。報告対象事態は、施行規則第7条で次の4類型が定められています。
| 類型 | 内容 | 例 |
|---|---|---|
| 第1号 | 要配慮個人情報が含まれる個人データの漏えい等(又はそのおそれ) | 診療情報を含むUSBメモリーの紛失、従業員の健康診断結果の漏えい |
| 第2号 | 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等(又はそのおそれ) | ECサイトからのクレジットカード番号の漏えい、決済機能のあるサービスのID・パスワードの漏えい |
| 第3号 | 不正の目的をもって行われたおそれがある行為による個人データ等の漏えい等(又はそのおそれ) | 不正アクセス、ランサムウェアによる暗号化、書類・媒体の盗難、従業員による持ち出し、ウェブサイト改ざんによる入力情報の送信 |
| 第4号 | 個人データに係る本人の数が1,000人を超える漏えい等(又はそのおそれ) | 設定ミスにより多数の個人データが閲覧可能な状態、メール一括送信でのCC誤りによる多数の宛先流出 |
第1号から第3号は、対象人数が1人であっても報告対象になり得ます。第4号は人数が1,000人を超える場合の類型です。
なお、漏えい等が発生した個人データについて、高度な暗号化その他の秘匿化措置が講じられている場合には、報告や本人通知が不要となる場合があります。ただし、これは漏えい等の時点の技術水準に照らして第三者が見読困難であり、かつ復号の手段(鍵など)が適切に管理されていることが前提となるなど、個別の判断が必要です。
報告先の確認(権限委任・マイナンバー)
報告先は、原則として個人情報保護委員会です。ただし、一定の業種では報告の権限が事業所管大臣に委任されており、その場合は委任先の省庁へ報告することになります。委任先は更新されることがあるため、報告前に最新の報告先を確認する必要があります。
また、漏えいした情報にマイナンバー(個人番号)が含まれる場合は、特定個人情報の漏えい等として、通常の個人データとは別の枠組みでの対応・報告が問題になります。マイナンバーが含まれるか不明な場合も含め、報告フォームや報告先を確認する必要があります。
速報と確報の違い
報告対象事態に当たる場合、報告は速報と確報の2段階で行います。
| 区分 | 時期の目安 | 主な内容 |
|---|---|---|
| 速報 | 速やか(公式資料上の目安として概ね3~5日以内) | その時点で把握している事態の概要 |
| 確報 | 原則30日以内/不正の目的をもって行われたおそれがある場合は60日以内 | 調査結果を踏まえた詳細 |
速報は、報告対象事態を知った後、速やかに行う第一報です。発覚直後は事実関係が十分に判明していないことも多いため、その時点で把握している範囲で報告します。確報は、事案の詳細をまとめて行う報告で、速報時点で判明していなかった事項を、その後の調査を踏まえて報告します。確報後に新たな事実が判明した場合には、追加で報告することが考えられます。
報告対象事態に当たるかは、漏えいした情報の種類や件数を確認したうえで判断する必要があります。速報の期限が迫っている場合は、早めに対応方針を整理することが重要です。
本人通知が必要になる場合
報告対象事態を知ったときは、原則として本人への通知も必要になります(個人情報保護法第26条第2項)。
通知の時期
本人通知の時期は、「当該事態の状況に応じて速やかに」とされており、速報のような固定の日数は定められていません。もっとも、確報では本人への対応の実施状況も報告することになるため、実務上は確報までに通知を行うか、その目途を立てておくことが求められます。
通知すべき内容
本人に通知する内容としては、概要、漏えい等が発生した個人データの項目、原因、二次被害又はそのおそれの有無及びその内容、本人が講じ得る措置、問合せ先などが挙げられます。本人にとって分かりやすい方法・表現で行う必要があります。
通知の方法と困難な場合の代替措置
通知の方法としては、文書の郵送や電子メールの送信などが想定されます。連絡先が不明であるなど、本人への通知が困難な場合には、事案の公表やお問合せ窓口の設置といった代替措置を講じることが考えられます(第26条第2項ただし書)。一方で、本人に通知できる場合は、公表のみでは代替措置として認められないとされている点に注意が必要です。
本人ごとに漏えいした項目が異なる場合は、それぞれの本人に応じた内容を通知する必要があります。二次被害を防ぐ観点から、本人が注意すべき事項(不審なメールへの注意、パスワード変更など)を併せて伝えることが望まれます。
委託先・委託元で漏えいが起きた場合
個人データの取扱いを外部に委託している場合、委託先で漏えい等が起きたときの報告義務の所在が問題になります。
- 委託に伴い提供した個人データが委託先で漏えいした場合、その個人データは委託元にとっても「その取り扱う個人データ」に当たるため、委託元・委託先の双方が報告義務を負うのが原則です。
- ただし、委託先が、報告義務を負う委託元に対し、報告事項のうちその時点で把握しているものを通知したときは、委託先の報告義務は免除されます(個人情報保護法第26条第1項ただし書、施行規則第9条)。この場合、委託元が報告を行うことになります。
- クラウドサービスの利用などで、提供先が個人データを取り扱わないこととなっている場合には、別途の整理が必要です。
- 委託以外の根拠(本人の同意に基づく第三者提供など)で提供した個人データが提供先で漏えいした場合、提供元には報告義務がないとされています。提供の根拠を確認することが重要です。
委託契約書や秘密保持契約、委託先からの報告体制、再発防止策の確認も併せて行う必要があります。
よくあるケース別の注意点
メール誤送信・CCとBCCの誤り
宛先を誤って送信した場合や、本来BCCに入れるべきメールアドレスをCCに入れて一括送信した場合、流出した情報の種類や対象人数によって報告要否が変わります。多数の宛先にメールアドレスが見える状態になった場合は、対象人数次第で報告対象になり得ます。
書類・USB・ノートPCの紛失や盗難
紛失・盗難した媒体に含まれる情報の種類(要配慮個人情報・財産的被害のおそれのある情報など)や件数を確認します。盗難は不正の目的をもって行われたおそれがある類型に当たり得ます。
クラウド設定ミス
アクセス権の設定ミスによりインターネット上で個人データが閲覧可能な状態になっていた場合、閲覧可能だった対象人数などにより報告対象になり得ます。
不正アクセス・ウェブサイト改ざん
外部からの不正アクセスやウェブサイトの改ざんは、不正の目的をもって行われたおそれがある類型に当たり得ます。侵害範囲や窃取された情報を確認します。
ランサムウェア
ランサムウェアにより個人データが暗号化され復元できなくなった場合も、報告対象になり得ます。侵害範囲、暗号化・窃取された情報、復旧状況を確認します。令和7年10月1日以降は、関係省庁の共通様式により報告できる枠組みが設けられています。報告先・様式は最新の案内を確認してください。
従業員による持ち出し・採用応募者や従業員情報
従業員が個人データを不正に持ち出した場合は、不正の目的をもって行われたおそれがある類型に当たり得ます。採用応募者や従業員の情報も個人データに当たり得ます。雇用管理情報に含まれる場合の報告先など、整理が必要な点があります。
マイナンバーを含む場合
マイナンバーが含まれる場合は、特定個人情報の漏えい等として別の枠組みでの対応が問題になります。
報告・本人通知の前に確認すべき資料
- 発覚日時・発生日時、社内で把握した部署・担当者
- 漏えい等が疑われる情報の項目(氏名、住所、連絡先、要配慮個人情報、クレジットカード情報、ID・パスワード、マイナンバーの有無など)
- 対象人数(確定値・概数)
- 原因が分かる資料(送信履歴、アクセスログ、サーバーログ、クラウド設定、端末情報など)
- 誤送信・誤送付先、委託先、取引先とのやり取り
- 委託契約書、秘密保持契約、プライバシーポリシー、社内規程
- 本人通知案、公表文案、個人情報保護委員会への報告案
- 再発防止策案
- (サイバー攻撃の場合)セキュリティ調査結果、侵害範囲、復旧状況
弁護士に相談するタイミング
漏えい等の対応では、報告要否や本人通知の判断、対外的な説明の文案など、法令と実務の両面からの検討が必要になります。弁護士に相談することで、報告要否、本人通知、公表、取引先対応の方針を整理することができます。次のような場面では、早めの相談が考えられます。
- 漏えい等のおそれを把握した直後
- 報告対象事態に当たるか判断に迷うとき
- 速報の期限が迫っているとき
- 本人通知文・公表文の文案を作成するとき
- 委託元・委託先・取引先への説明が必要なとき
- 不正アクセス、ランサムウェア、内部不正、マイナンバーが関係するとき
- 顧客・従業員・取引先から問い合わせや損害賠償請求を受けたとき
- 再発防止策、社内規程、委託先管理を見直すとき
当事務所では、弁護士が公認会計士の資格も有しており、個人情報の漏えい等への対応について、法令面の検討に加え、社内体制・委託先管理などの観点も踏まえてご相談に対応できる場合があります。
漏えい等の発覚直後は、報告要否、本人通知、取引先対応を早めに整理することが重要です。資料を確認したうえで、今後の対応方針を検討しましょう。対象分野・事案・予約状況により対応が異なる場合がありますので、最新の案内をご確認ください。
よくある質問
個人情報が1件漏えいしただけでも報告が必要ですか。
情報の種類により異なります。要配慮個人情報が含まれる場合、財産的被害が生じるおそれがある場合、不正の目的をもって行われたおそれがある場合には、対象人数が1人でも報告対象事態に当たり得ます。これらの類型に当たらず、かつ1,000人を超えない場合には、法律上の報告義務は生じないことがあります。資料を確認したうえで判断する必要があります。
メールを誤送信した場合、必ず個人情報保護委員会に報告しますか。
必ず報告するとは限りません。送信した個人データに要配慮個人情報や財産的被害のおそれがある情報が含まれるか、対象人数が1,000人を超えるかなどによって判断が変わります。CCとBCCの誤りで多数の宛先にメールアドレスが見える状態になった場合などは、対象人数次第で報告対象になり得ます。
本人通知はいつまでに行う必要がありますか。
本人通知の時期は「当該事態の状況に応じて速やかに」とされており、速報のような固定日数の定めはありません。もっとも、確報では本人への対応の実施状況を報告することになるため、実務上は確報までに通知を行うか、その目途を立てておくことが求められます。
速報と確報は何が違いますか。
速報は発覚後速やか(公式資料上の目安として概ね3~5日以内)に行う第一報、確報はその後の詳細な報告で、原則として発覚日から30日以内(不正の目的をもって行われたおそれがある場合は60日以内)に行います。
漏えいのおそれだけでも報告が必要ですか。
「漏えい等のおそれ」がある段階でも、報告対象事態に当たれば報告が必要になり得ます。確実に漏えいしたと断定できなくても、不正アクセスの痕跡や第三者からの連絡などにより漏えいのおそれが認められる場合は、報告要否を早期に検討する必要があります。
委託先で漏えいした場合、委託元も報告が必要ですか。
委託に伴い提供した個人データが委託先で漏えいした場合、委託元・委託先の双方が報告義務を負うのが原則です。ただし、委託先が報告事項のうち把握している内容を委託元に通知したときは、委託先の報告義務が免除される扱いがあります(法第26条第1項ただし書)。委託契約の内容や連絡体制を確認する必要があります。
ランサムウェア被害では何を確認すべきですか。
暗号化により個人データが復元できなくなった場合も報告対象になり得ます。侵害範囲、暗号化・窃取された情報の種類と件数、復旧状況、外部のセキュリティ調査結果などを確認します。令和7年10月1日以降は、関係省庁の共通様式により報告できる枠組みが設けられています。報告先・様式は最新の案内を確認する必要があります。
本人通知ができない場合はどうすればよいですか。
連絡先が不明であるなど本人への通知が困難な場合は、事案の公表や問合せ窓口の設置といった代替措置を検討します(法第26条第2項ただし書)。一方、本人に通知できる場合は、公表のみでは代替措置として認められないとされている点に注意が必要です。
公表は必ず必要ですか。
個人情報保護法上、漏えい等の事実を必ず公表しなければならないわけではありません。本人通知が困難な場合の代替措置として公表が問題になるほか、上場会社では適時開示が別途問題になる場合があります。公表の要否は事案により異なるため、影響範囲を踏まえて検討する必要があります。
まとめ
- 発覚直後は、技術的な復旧と並行して、事実関係の把握・証拠保全・報告要否の検討を進める。
- 報告対象事態の4類型に当たるかどうかで、報告義務の有無が変わる。
- 報告は速報(速やか・目安として概ね3~5日以内)と確報(原則30日以内、不正の目的のおそれがある場合は60日以内)の2段階。
- 報告対象事態を知ったときは、本人通知(事態の状況に応じて速やかに)も検討する。
- 委託先・委託元のいずれが報告するかは、提供の根拠や通知の有無により変わる。
- 漏えいした情報の種類・件数・原因が分かる資料を早期に整理し、判断に迷う場合は早めに相談する。
監修者・執筆者
弁護士法人ひょうご支所 神戸みらい法律会計事務所
弁護士・公認会計士 藤井 貴之
所属:兵庫県弁護士会
取扱分野:企業法務、個人情報・情報セキュリティに関する法律相談 ほか
24時間365日受付