改正個人情報保護法とサイバーセキュリティ対策 ~漏えい時72時間報告の実務対応~
2022年4月に全面施行された改正個人情報保護法により、個人データの漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が事業者に義務付けられました。
特に一定の要件に該当する漏えいでは、発覚後「概ね3~5日以内」(実務上は72時間以内が目安)に速報を提出する必要があり、サイバー攻撃による漏えい事案では迅速かつ正確な初動対応が求められます。
本記事では、改正法のポイントから、漏えい発覚後72時間でやるべき実務対応、そして漏えいを未然に防ぐためのサイバーセキュリティ対策までを、企業の担当者向けにわかりやすく解説します。
改正個人情報保護法で義務化された「漏えい報告」の基本
改正個人情報保護法は2022年4月に全面施行され、最大の変更点のひとつが「漏えい等報告・本人通知の義務化」です。
従来は努力義務でしたが、改正後は法的義務となり、違反状態を放置すると個人情報保護委員会からの勧告・命令の対象となり、命令違反の場合は法人に対して最大1億円の罰金が科される可能性もあります。
報告義務が生じる4つの類型
個人情報保護委員会への報告が必須となるのは、以下4つのいずれかに該当する漏えい等が発生した場合です。
| 類型 | 概要 |
|---|---|
| ①要配慮個人情報 | 人種・信条・病歴・犯罪歴など、取扱いに特に配慮が必要な情報の漏えい |
| ②財産的被害のおそれ | クレジットカード番号や送金情報など、悪用されれば財産的被害が生じるおそれのある情報 |
| ③不正目的による行為 | ランサムウェア感染、不正アクセス、内部不正など、不正の目的をもって行われた可能性のある漏えい |
| ④1,000人超の漏えい | 対象となる本人の数が1,000人を超える漏えい等 |
重要なのは、④の件数基準は①~③のいずれにも該当しない場合の独立要件であり、①~③は1件でも報告義務が発生する点です。
「速報」と「確報」の2段階報告
漏えい等の報告は「速報」と「確報」の2段階で行うのが特徴です。
| 区分 | 期限 | 内容 |
|---|---|---|
| 速報 | 発覚後概ね3~5日以内 (実務上は72時間が目安) |
その時点で把握している範囲で速やかに報告 |
| 確報 | 発覚後30日以内 (不正目的の場合は60日以内) |
原因、被害範囲、再発防止策などを詳細に報告 |
つまり「完全な情報が揃ってから報告する」のではなく、「まず速報を出して、詳細は追って確報で出す」というスピード重視の枠組みに変わっている点がポイントです。
漏えい発覚から72時間の実務対応フロー
サイバー攻撃による情報漏えいが発覚した場合、最初の72時間の動きが被害拡大防止と法令遵守の両面で決定的に重要になります。
以下、時間軸に沿った実務対応のフローを整理します。
0~24時間:事実確認と封じ込め
漏えいの疑いを検知した最初の1日は、被害の拡大を止める「封じ込め」に全力を注ぐ時間です。
- 感染が疑われる端末・サーバをネットワークから隔離(LANケーブル抜線・Wi-Fi切断)
- ただし電源は原則切らない(メモリ上の証跡が消えるため、フォレンジック調査に支障)
- 影響範囲の初期調査(侵入経路・侵害済みアカウント)
- 経営層・法務部門への第一報
- 社内CSIRTまたは外部インシデント対応ベンダーへの連絡
この段階で重要なのは、慌てて痕跡を消してしまわないこと。ログや端末状態はそのまま保全することが、後の原因究明と確報に必要になります。
24~48時間:被害範囲の特定と証跡保全
2日目は「何が、どれだけ、誰に関して漏れたのか」を明確にするフェーズです。
- 漏えい対象の個人データ項目と件数の特定
- アクセスログ・認証ログ・メールログの保全
- フォレンジック解析(外部ベンダーが入ることが多い)
- 報告義務の対象となる4類型のいずれに該当するか確認
- 本人通知の対象範囲(データ件数・属性)を確定
特にログの保全は時間との勝負で、ログローテーションで上書きされてしまうと原因究明が不可能になります。
48~72時間:速報提出と本人通知の準備
3日目は、個人情報保護委員会への速報と本人通知の準備に集中します。
- 個人情報保護委員会への速報提出(オンライン窓口から)
- 本人通知の文面作成と通知方法の確定(メール・郵送・サイト掲載)
- 主要取引先への事前連絡
- プレスリリース・Webサイト公表のタイミングと内容の決定
- 社内の問い合わせ窓口(コールセンター等)の体制整備
速報の段階で情報が不完全でも問題ありません。むしろ「分からないこと」を正直に記載し、続報の予定を明記することが求められます。
漏えい事故を未然に防ぐサイバーセキュリティ対策
72時間以内の対応体制を整えることと同じくらい重要なのが、「そもそも漏えいを起こさない」ための予防的セキュリティ対策です。
近年のインシデントはランサムウェア感染や標的型メール攻撃を起点とするケースが大半を占めており、多層防御が不可欠です。
最優先で実装すべき3つの技術的対策
| 対策 | 役割 |
|---|---|
| EDR (Endpoint Detection and Response) |
端末上の不審な挙動を検知・記録し、侵害後の被害拡大を止める。72時間対応の「ログ保全」の基盤にもなる。 |
| メールセキュリティ (サンドボックス・DMARC) |
標的型攻撃メール・なりすましメールの遮断。侵害の最大の入口であるメールを守る。 |
| 多要素認証(MFA) と権限管理 |
パスワード漏えいだけでは突破されない仕組みを作り、特権アカウントの悪用を防ぐ。 |
運用・体制面で準備しておくべきこと
技術対策を導入しても、運用が伴わなければ意味がありません。
- インシデント対応手順書(プレイブック)の整備:発覚時に「誰が・何を・どの順で」行うかを文書化
- 連絡網の整備:経営層、法務、広報、外部ベンダー、弁護士への即時連絡フロー
- 定期的な標的型メール訓練:従業員が「怪しい」と気づける感度を維持する
- CSIRT構築または外部SOC契約:24時間監視と初動対応の体制確保
- 机上演習(卓上訓練)の実施:年1回以上、漏えいシナリオでの意思決定を訓練
特に中小企業の場合、社内にCSIRTを持つのは現実的でないケースも多いため、外部の24時間SOCサービスやMDR(Managed Detection and Response)サービスの活用が有効です。
まとめ:「72時間の法令対応」と「日頃の予防」を両輪で
改正個人情報保護法による漏えい等報告の義務化は、単なるコンプライアンス上の負担ではなく、「有事の際に企業の信頼を守るための社会的な枠組み」と捉えるべきものです。
72時間以内の速報という短いタイムリミットの中で、正確な報告と本人通知を行うためには、「漏えいを検知できる仕組み」と「発覚後に動ける体制」の両方が必要です。
c-compe.comでは、EDR・メールセキュリティ・MDRなど、漏えい対策に直結する法人向けセキュリティソフトを複数ベンダー横並びで比較できます。自社に最適な組み合わせを検討する際は、ぜひお気軽にお問い合わせください。