個人情報漏えい等インシデント対応マニュアル
概要
〔会社名〕が保有する個人情報の漏えい、滅失、毀損その他の個人情報の安全の確保に係る事態(以下「漏えい等」)が発生した、または発生したおそれがある場合の対応手順を定めます。
- 改正個人情報保護法(令和 4 年 4 月施行)により、一定の漏えい等は 個人情報保護委員会への報告および本人通知が義務化 されています
- 検知から初動までのスピードが、被害拡大の抑止と信頼維持を左右します
- 本マニュアルは、情報セキュリティインシデント対応マニュアル(MAN-004)を補完し、個人情報に特化した運用を定めます
法令上の報告義務(個人情報保護法 第 26 条)
次の いずれかに該当 する場合は、報告・通知の義務があります。
| 区分 | 該当事由 |
|---|---|
| ① 要配慮個人情報 | 病歴、犯罪歴、人種、信条等の要配慮個人情報が漏えい等した、またはそのおそれ |
| ② 財産的被害のおそれ | クレジットカード番号、口座情報、ID/パスワード等の漏えい等 |
| ③ 不正アクセス等 | 不正アクセス、サイバー攻撃、ランサムウェア、内部不正による漏えい等 |
| ④ 1,000 人超 | 1,000 人を超える本人に係る漏えい等 |
報告期限
- 速報:事態を知った時から おおむね 3〜5 日以内 に個人情報保護委員会へ
- 確報:事態を知った時から 30 日以内(③ 不正アクセス等の場合は 60 日以内)
全体フロー
検知 → 一次受付(人事/CS/開発等) → CSIRT 招集 → 初動(封じ込め)
↓
本人通知 ← 個情委 確報 ← 影響範囲確定 ← 速報 ← 事実関係の確定
↓
再発防止策の実施 → 事後レビュー
ステップ 1:検知・一次受付
検知の経路
- システムアラート(不正アクセス、ログ異常、エラー急増)
- 社員からの報告(誤送信、紛失、誤操作)
- 取引先・顧客からの問合せ
- 外部からの指摘(セキュリティリサーチャー、報道、SNS)
- 個人情報保護委員会・JPCERT/CC 等からの通知
一次受付者の対応(5 分以内)
- 報告者の連絡先と内容を記録(5W1H)
- 状況のスナップショット取得(画面キャプチャ、ログ、メール原本)
- CSIRT(情報セキュリティ部 + 法務部 + 人事部 + 広報)に即時エスカレーション
- 報告者には「内容を確認のうえ折り返す」と伝え、SNS 投稿等を控えるよう要請
受付シート(記録項目)
- 検知日時/報告日時/報告者
- 事象の概要(何が、いつ、どこで、誰に、どのように)
- 影響範囲の初期見立て
- 既知の被害(金銭、健康、信用)
- 第一報の伝達先
ステップ 2:CSIRT 招集と初動
CSIRT 構成
| 役割 | 担当 |
|---|---|
| インシデント責任者 | CISO(または情報セキュリティ部長) |
| 技術調査 | 情報セキュリティ部、開発部 |
| 法務・コンプラ | 法務部 |
| 顧客対応 | カスタマーサポート部 |
| 広報 | 広報部 |
| 社内 | 人事部 |
| 経営連絡 | 社長室 |
初動(〜数時間)
- 被害拡大の 封じ込め(該当アカウント停止、ネットワーク遮断、サービス一時停止)
- 証拠保全(ログ、メモリイメージ、メール原本)
- タイムラインの作成開始
- 外部支援の判断(フォレンジック専門会社、弁護士、サイバー保険)
ステップ 3:事実関係の確定
調査により次の事項を確定する。
- 漏えい等の 対象データ の項目・件数
- 対象 本人 の特定可能性
- 漏えい等の 原因(外部攻撃、内部不正、ヒューマンエラー、システム不具合等)
- 漏えい等が発生した 期間
- 漏えい等の 二次被害(不正利用、なりすまし、フィッシング等)の発生有無
- 法令上の 報告義務の該当性(前掲 ① 〜 ④)
ステップ 4:速報(個人情報保護委員会)
速報の手段
- 個人情報保護委員会のオンラインフォーム(推奨)
- 報告書様式(個情委 Web サイトに最新版あり)
速報の内容
- 概要(事象、発生日時、検知日時)
- 漏えい等した個人情報の項目および本人数(判明している範囲で)
- 原因(推定を含む)
- 二次被害の有無、おそれ
- 再発防止策(検討中の事項を含む)
- 連絡先(CSIRT 代表)
期限
- 事態を知った時から おおむね 3〜5 日以内
- 不明な事項は「現在調査中」と記載してよい
ステップ 5:本人通知
通知が必要な場合
- 法令上、速報の要件に該当する場合は 本人通知も義務
- 通知方法:書面、電子メール、ログイン後の通知、Web 公表 + 個別通知の組合せ等
- 本人の連絡先が不明な場合は、Web 公表等の 代替措置 が認められる
通知の内容
- 漏えい等した個人情報の項目
- 漏えい等の概要、発生原因
- 二次被害またはそのおそれの有無、内容
- 既に講じた措置と今後の対応
- 本人が取り得る対応(パスワード変更、カード会社への連絡等)
- 問合せ窓口
通知文の作成
- 法務部・広報部レビューを必須とする
- カスタマーサポート向けの 想定問答 をセットで準備
- メディア向けプレスリリース(必要な場合)も並行で準備
ステップ 6:確報
提出期限
| 事案 | 期限 |
|---|---|
| 通常の漏えい等 | 事態を知った時から 30 日以内 |
| 不正アクセス、不正取得、サイバー攻撃 | 事態を知った時から 60 日以内 |
確報の内容
- 速報項目の詳細・確定情報
- 漏えい等した本人数の確定値
- 影響範囲、原因の調査結果
- 二次被害の有無
- 講じた措置、今後の対応、再発防止策
ステップ 7:原因究明・再発防止策
原因究明
- 5 Why 分析、フィッシュボーン分析等を用いて根本原因を特定
- 技術的要因、組織的要因、人的要因に分類
再発防止策(例)
- 技術:脆弱性パッチ、アクセス制御強化、ログ監視強化、暗号化適用範囲拡大
- 組織:規程改定、決裁プロセス見直し、棚卸し頻度引上げ
- 人的:教育・研修、訓練の実施、表彰/懲戒の見直し
報告
- 取締役会または経営会議に報告
- 監査役、内部監査部門への報告
- 必要に応じプレスリリース、Web 公表
ステップ 8:事後レビュー
- インシデント終了後 30 日以内に振り返り会議を実施
- 検知・初動・調査・通知・復旧の各段階の良かった点/改善点を整理
- マニュアル・規程・教材の更新につなげる
- 関係者・関係部門への共有(感謝・労いも忘れずに)
ログ・記録の保存
- インシデント関連の記録(タイムライン、調査報告書、通知書、個情委への報告書、メール、議事録)は 5 年以上 保存
- アクセス制限のあるストレージに保存し、改ざん防止措置を講じる
やってはいけないこと
- 事実関係が確定する前に、不正確な情報を社外公表する
- 個情委への速報を遅らせる目的で、原因究明を引き延ばす
- 影響を受ける本人に通知する前に、SNS で先行発表する
- 報告書を提出する前に 証拠を改変・削除する
- 漏えい等を当事者の責任にして組織的対応を遅らせる
- 「これは漏えいではない」と現場が独断で判断する
よくある質問(FAQ)
Q1. 誤送信メールも報告対象ですか? A. 1,000 人以下、かつ要配慮個人情報・財産的被害のおそれのある情報・不正アクセス等を含まない場合は、法令上の報告義務はありません。ただし、当事者への謝罪・回収依頼は必要です。社内記録として CSIRT への報告は行ってください。
Q2. メール誤送信が即時に削除依頼で対応できた場合は? A. 「漏えい等のおそれ」に該当するかが判断ポイントです。受信側が削除に同意し、第三者開示がなされていない蓋然性が高ければ「おそれは低い」と整理できる場合がありますが、判断は法務部・CSIRT で行ってください。
Q3. 取引先のシステムが攻撃を受けて当社の情報が漏れた A. 委託先での漏えいは委託元(〔会社名〕)の責任とみなされる場合があります。委託先と連携して事実関係を把握し、必要であれば〔会社名〕として個情委への報告・本人通知を行います。
Q4. 本人の連絡先が分からない場合は? A. 個別通知が困難な場合は、Web サイトでの公表、報道発表など 代替措置 が認められます。代替措置の内容は CSIRT・法務部で決定してください。
Q5. 取締役会への報告のタイミングは? A. 重大インシデントは速やかに(事態を知った時から 24 時間以内 を目安に)経営に第一報を入れます。詳細報告は事実関係の確定後、速やかに行います。
関連規程・マニュアル
- 個人情報管理規程(V-001)
- 情報セキュリティ規程(V-002)
- 特定個人情報取扱規程(V-003)
- クラウドサービス利用規程(V-009)
- 情報セキュリティインシデント対応マニュアル(MAN-004)
- 危機管理規程(IX-002)