情報漏洩が発覚したら?取引先・顧客への報告手順と注意点
情報漏洩は、いまやどの企業にとっても他人事ではありません。
2024年の調査によると、上場企業における個人情報漏洩・紛失事故は189件にのぼり、過去4年連続で最多を更新しました。
漏洩した個人情報は約1,586万人分にも達しています。
万が一、自社で情報漏洩が発覚した場合、最も重要なのは取引先や顧客への適切な報告です。
報告が遅れたり、対応を誤ると、法的な罰則だけでなく企業の信用を大きく損なうことになります。
この記事では、情報漏洩が発覚した際の報告手順と注意点について、2022年改正の個人情報保護法をふまえてわかりやすく解説します。
情報漏洩が発覚した際の初動対応
情報漏洩が発覚した場合、最初の数時間の対応がその後の被害規模を大きく左右します。
ここでは、初動対応として必ず実施すべきステップを紹介します。
1. 漏洩の拡大を防止する
まず最優先で行うべきは、被害の拡大防止です。
該当するシステムやサーバーへのアクセスを遮断し、不正アクセスが原因の場合はアカウントのパスワード変更やネットワークの切り離しを速やかに実施してください。
メールの誤送信が原因であれば、送信先への削除依頼を直ちに行いましょう。
2. 証拠を保全する
次に重要なのが証拠の保全です。
ログファイルやアクセス記録、メールの送受信履歴など、漏洩に関連するデータは消去や上書きされないよう保全します。
証拠保全は、後の調査や原因究明に不可欠であり、場合によっては警察への届出にも必要となります。
3. 対策チームを招集する
初動対応と並行して、社内の対策チーム(インシデント対応チーム)を招集しましょう。
情報システム部門、法務部門、広報部門、経営層を含めたチームで、今後の対応方針を決定します。
外部のセキュリティベンダーやフォレンジック調査会社への依頼が必要かどうかも、この段階で判断してください。
個人情報保護委員会への報告義務と手順
2022年4月に施行された改正個人情報保護法により、一定の条件に該当する情報漏洩は、個人情報保護委員会への報告が法的義務となりました。
以前は努力義務でしたが、現在は違反した場合に罰則が科される可能性があります。
報告が義務となる4つのケース
以下のいずれかに該当する場合、報告義務が発生します。
| No. | 報告義務が発生するケース |
|---|---|
| 1 | 要配慮個人情報(健康情報、犯歴など)が漏洩した場合 |
| 2 | 不正利用により財産的被害のおそれがある個人データが漏洩した場合 |
| 3 | サイバー攻撃など不正の目的によって漏洩が発生した場合 |
| 4 | 漏洩対象者が1,000人を超える場合 |
速報と確報の2段階で報告する
報告は「速報」と「確報」の2段階で行います。
| 区分 | 期限 | 内容 |
|---|---|---|
| 速報 | 発覚から3〜5日以内 | その時点で把握できている情報を報告 |
| 確報 | 発覚から30日以内(不正目的の場合は60日以内) | 調査結果をふまえ、すべての必須項目を報告 |
報告は、個人情報保護委員会のWebサイト上にあるオンラインフォームから行います。
期限に遅れることがないよう、初動対応の段階から報告の準備を進めておくことが重要です。
取引先・顧客への報告手順
個人情報保護委員会への報告と並行して、漏洩の影響を受ける取引先や顧客への報告も速やかに行わなければなりません。
ここでは、報告の流れと盛り込むべき内容を整理します。
顧客(漏洩対象の本人)への通知
改正個人情報保護法では、報告義務が生じるケースにおいて、漏洩の対象となった本人への通知も義務化されています。
通知には、以下の内容を盛り込みましょう。
| 通知項目 | 内容の例 |
|---|---|
| 事態の概要 | いつ、何が、どのように発生したか |
| 漏洩した情報の項目 | 氏名、住所、メールアドレス、クレジットカード番号など |
| 原因 | 不正アクセス、メールの誤送信、USBの紛失など |
| 二次被害のリスク | フィッシング詐欺、不正利用の可能性と注意喚起 |
| 講じた対策・今後の対応 | パスワードリセット、監視体制の強化、再発防止策 |
| 問い合わせ窓口 | 専用の相談窓口・電話番号・対応時間 |
通知は原則としてメールや郵送による個別通知が基本ですが、対象者が多数または特定できない場合は、Webサイトでの公表やプレスリリースでの対応も認められています。
取引先企業への報告
顧客データを共有している取引先がある場合、その企業への報告も忘れてはいけません。
取引先への報告では、以下の点に注意しましょう。
・顧客への公表より24〜48時間前に事前通知する
・共同対応の必要性を協議する
・二次被害を防ぐための追加対策を共有する
・契約上の責任分担を確認する
取引先への通知なくメディアで発表してしまうと、信頼関係の大きな損失につながるため、必ず事前の連絡を行ってください。
情報漏洩対応でよくある失敗と注意点
情報漏洩が発覚した際の対応には、多くの企業が陥りやすい落とし穴があります。
ここでは、代表的な失敗パターンとその対策を解説します。
失敗1:報告の遅延
「調査が完了してから報告しよう」と考えて対応が遅れるケースが非常に多く見られます。
しかし、速報はあくまでその時点で把握できている情報で構いません。
完璧な情報を揃えようとして期限を超過してしまうと、法令違反となるだけでなく、「隠蔽しようとしていたのではないか」という疑念を持たれるリスクもあります。
失敗2:顧客通知より先にメディアに報じられる
当局への報告を優先するあまり、漏洩対象の本人への通知が後回しになってしまうケースです。
顧客がニュースで自分の情報漏洩を知るという事態は、企業への不信感を決定的にします。
当局への速報と顧客への通知はほぼ同時に進めるのが鉄則です。
失敗3:あいまいな説明で不信感を招く
「一部のお客様情報に影響が生じた可能性があります」といった抽象的な表現は、かえって不安をあおります。
漏洩した情報の項目、対象人数、原因をできる限り具体的に伝えることが信頼回復の第一歩です。
失敗4:再発防止策が不明確
報告の際に「今後このようなことがないよう努めてまいります」という定型文だけでは不十分です。
具体的な再発防止策(セキュリティシステムの強化、社員教育の実施、アクセス権限の見直しなど)を明示しましょう。
罰則とリスクを把握しておく
改正個人情報保護法では、改善命令に違反した場合の罰則として以下が定められています。
| 対象 | 罰則 |
|---|---|
| 従業員個人 | 1年以下の懲役 または 100万円以下の罰金 |
| 法人 | 最大1億円以下の罰金 |
さらに、民事上の損害賠償請求や、企業ブランドへの長期的なダメージも無視できません。
適切な報告と誠実な対応が、企業を守る最大の防御策です。
よくある質問
Q. 情報漏洩が発覚したら、最初にすべきことは何ですか?
A. 最初にすべきことは、漏洩の拡大を防ぐための初動対応です。
該当システムやアカウントの遮断・停止、漏洩範囲の特定、証拠の保全を速やかに行います。
その上で、社内の対策チームを招集し、個人情報保護委員会への速報(発覚から3〜5日以内)を準備してください。
Q. 取引先や顧客への報告はいつまでに行うべきですか?
A. 法律上、漏洩対象の本人への通知は「速やかに」行うことが求められています。
実務上は、個人情報保護委員会への速報と同時期に実施するのが一般的です。
取引先には、顧客への公表より24〜48時間前に事前通知することが望ましいとされています。
Q. 個人情報保護委員会への報告が義務になるのはどのようなケースですか?
A. 2022年4月の改正個人情報保護法により、以下の4つのケースで報告が義務化されました。
①要配慮個人情報(健康情報など)の漏洩、②財産的被害のおそれがある漏洩、③不正アクセスなど不正目的による漏洩、④1,000人超の個人データが対象となる漏洩です。
Q. 報告義務に違反した場合、どのような罰則がありますか?
A. 個人情報保護委員会の改善命令に違反した場合、従業員個人には1年以下の懲役または100万円以下の罰金、法人には最大1億円以下の罰金が科される可能性があります。
さらに、民事上の損害賠償請求や企業の信用・ブランド価値の低下といったリスクも生じます。