ア　個情法に基づく個人データ漏えい等の対応（第26条）

概要を述べると、個人データの漏えい等又はそのおそれのある事案（以下「漏えい等事案」という）が発生した場合、被害拡大防止、事実関係調査等の一定の対応が必要であり、個人の権利利益を害するおそれが大きい事態（以下「報告対象事態」という。）が発生した場合は個情委への報告、本人への通知が必要となる。以下、詳述する。

まず、漏えい等事案について述べると、個人データの「漏えい」とは、個人データが外部に流出することをいい、例えば社内の別の部署への誤送信は漏えいにあたらない。次に、「滅失」とは、個人データの内容が失われることをいい、個人データが格納された記録媒体の紛失などがこれに当たる（コピーがある場合は該当しない）。「毀損」とは、個人データの内容が意図せず変更されたり利用不能になったりすることをいい、例えばランサムウェアによる暗号化がこれに当たる（バックアップからデータを復元できる場合は該当しない）。

漏えい等事案が発生した場合、その内容に応じて、個情法ガイドライン（通則編）上、以下の措置を講じなければならないとされている⁴⁵。

次に、報告対象事態について述べると、個情法第26条では、次のケースが報告対象事態にあたるとされている。

報告対象事態が発生した場合の個情委への報告は、速報と確報の二段階に分けて実施する必要がある。

速報は、報告対象事態を知った後、速やかに（個情法ガイドライン（通則編）によれば概ね3～5日以内）、概要や漏えい等した個人データの数などの報告事項⁷（個情法施行規則第8条、第10条参照）のうち、その時点で把握しているものを報告しなければならない。報告期限の起算点となる「知った」時点については、いずれかの部署が当該事態を知った時点を基準とするとされている。

確報は、報告対象事態を知った日から30日以内（サイバー攻撃等の場合は60日以内）に、報告事項を報告しなければならない。もっとも、サイバー攻撃等の場合には60日以内であっても確報を行うことが難しいケースも多いと考えられ、個情法ガイドライン（通則編）によれば、確報を行う時点において、合理的努力を尽くしたものの全ての事項を報告することができない場合は、確報を行った後で追完することも可能とされている。

次に、本人への通知については、状況に応じて速やかに行うこととされている。ただし、事案がほとんど判明しておらず、通知をしても本人のためにならず、かえって混乱が生じるような場合は、その時点では通知をしなくてもよいとされている。通知内容は、個情委への報告事項の一部であり、通知の方法は、文書の郵送、電子メールの送信等の様式に決まりはないが、本人に分かりやすい形での通知が望ましいとされている。また、本人への通知が困難である場合は、本人の権利利益を保護するために必要な代替措置を講ずることによる対応が認められる⁸。

イ　各分野における留意点

報告対象事態については、原則として個情委へ報告する必要があるが、分野や業種によっては、個情委から権限の委任を受けている府省庁に対する報告が必要となる⁹。

また、業法、分野別のガイドラインに基づく対応が必要となることもありうる。例えば、金融分野の事業者については、顧客情報の保護の観点から、金融分野の業法（銀行法第12条の2・銀行法施行規則第13条の6の5の2等）に基づき、その取り扱う個人顧客に関する個人データの漏えい等が発生し、又は発生したおそれがある事態を知ったときは、金融庁長官等に速やかに報告する必要があるとされている。具体的な対応は、①金融分野における個人情報保護に関するガイドライン、②金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針、③金融機関における個人情報保護に関するＱ＆Ａに規定されている。

ウ　特定個人情報（個人番号をその内容に含む個人情報）の漏えい等

特定個人情報の漏えい等についても、番号利用法等により、個人データの漏えい等と同様、個情委への報告や本人への通知が必要となる報告対象事態が規定されており、例えば、①情報提供ネットワークシステム等に記録された特定個人情報又は個人番号利用事務・個人番号関係事務（これらについてはQ18を参照）を処理するために使用する情報システムで管理される特定個人情報の漏えい等、②不正の目的をもって行われたおそれのある行為による特定個人情報の漏えい等、③特定個人情報が、電磁的方法により不特定多数の者に閲覧された事態、④100人を超える特定個人情報の漏えい等が報告対象事態にあたるとされている（番号利用法第29条の4、行政手続における特定の個人を識別するための番号の利用等に関する法律第29条の4第1項及び第2項に基づく特定個人情報の漏えい等に関する報告等に関する規則第2条参照）。もっとも、報告対象事態に該当しない場合であっても、個情委に報告するよう努めることとされている（特定個人情報の適正な取扱いに関するガイドライン（事業者編）別添2 3A参照）。

なお、特定個人情報の漏えい等事案が発覚した場合の、講ずべき措置や個情委への報告及び本人への通知については、個人データの漏えい等事案が発覚した場合と同様である。

エ　認定個人情報保護団体の対象事業者

認定個人情報保護団体とは、個情委の認定を受け、業界・事業分野ごとの個人情報等の適正な取扱いの確保を目的として所定の業務を行う法人であり、業界の特性に応じた自主的なルールとして、対象事業者に適用する個人情報保護指針を作成するよう努めなければならないとされている（個情法第54条）。例えば、後述するプライバシーマークの運用を担う一般財団法人日本情報経済社会推進協議会（JIPDEC）は、プライバシーマーク付与事業者をその対象事業者とする認定個人情報保護団体であり、個人情報保護指針も公表している¹⁰。

認定個人情報保護団体は、対象事業者において発生した漏えい等事案について自主的取組みとして、対象事業者から漏えい等事案の情報を受け付けることは有効であるとされている。また、必要に応じて、漏えい等事案の報告を受け付ける体制を確立し、実効的な指導・助言等を行うことが望ましいとされている¹¹。ただし、個情委等への報告義務の対象となる漏えい等事案については、報告事項を個情委等が求める内容とできる限り一致させるなど、対象事業者の過度な負担とならないよう努める必要があるとされている（個人情報の保護に関する法律についてのガイドライン（認定個人情報保護団体編））。

このように、認定個人情報保護団体の対象事業者である場合は、当該団体の個人情報保護指針に基づき、漏えい等事案が発生した場合に当該団体に報告する必要が生じる可能性がある点に注意が必要である。

オ　プライバシーマーク付与事業者

個人データの漏えい等が発生した事業者がプライバシーマーク（Pマーク）付与事業者（Q51も参照）である場合、プライバシー付与に関する規約第11条に基づき、契約上の義務として、事故等の発生に際して、可及的速やかにJIPDEC等の関係審査機関に報告しなければならない。同規約にいう「事故等」の範囲は、不正・不適正取得、目的外利用、不正利用といったものも含まれており、漏えい等に限られないため留意が必要である。

カ　海外法令

以上のほか、事業者が取り扱っている個人データについて海外法令が適用される場合には、当該法令に基づく当局対応が必要となる。例えば、GDPRが適用される場合は、個人データ侵害に関する監督機関への通知義務及び本人への通知義務が課される（Q84も参照）。

ア　検知・認識

インシデントへの対応は、インシデントを検知・認識することから始まる。検知の契機は、システムやネットワークの監視を行う担当者等からの連絡や、外部の業者等からの指摘などがあるが、大まかには、自ら検知するか、外部業者等の第三者からの連絡を受ける形で認識することとなる。

自ら検知することは難しいケースも多いため、検知・認識の機会を増やすためには、外部からの連絡を適切に受け付けることができるようにしておくことが肝要である。例えば、ウェブサイトを運営している場合には、問合せ窓口を整備する、又は、ドメイン情報をWhoisサービスで検索した場合に表示される技術連絡担当者の連絡先を適切にメンテナンスしておくべきである。

なお、個情法ガイドライン（通則編）においては、サイバー攻撃事案において個人データの漏えい等のおそれがある事態に該当しうる事例として、「不正検知を行う公的機関、セキュリティ・サービス・プロバイダ、専門家等の第三者から、漏えいのおそれについて、一定の根拠に基づく連絡を受けた場合」が挙げられているため、外部からの連絡には注意が必要である。

イ　トリアージ

トリアージは、インシデントを検知・認識した後、限られたリソースの中でどのように対応するか、優先順位等をどうするか等を決定する作業である。トリアージの過程で、インシデントの検知が誤りであったことがわかれば、当該インシデント対応としては、その場で終了ということになる。どのように対応すべきか方針を決定するためには、事実関係の整理が重要である。つまり、いつ、どこで、何が、どのように起こったのか、また、当事者や関係者が誰かという点を整理し、判断に必要な事実関係を的確に把握しなければならない。

トリアージの流れは一般的には次のとおりである¹。

1. 得られた情報に基づいて、事実関係を確認し、その情報を得たCSIRTが対応すべきインシデントか否かを判断する。その際には、必要に応じて、インシデントの報告者等と情報をやり取りして詳細を確認する。
2. CSIRTが対応すべきインシデントではないと判断した場合は、その判断の根拠を自組織のポリシーなどに照らして可能な範囲で詳細に、報告者に回答したり、情報をやり取りした関係者に報告したりする。
3. CSIRTが対応する、しないにかかわらず、関係者に速やかな対応を依頼すべき、又は情報提供すべきと判断した場合は、注意喚起などの情報発信を行なう。
4. CSIRTが対応すべきと判断した場合には、インシデントを「インシデント対応」の対象とする。

ウ　初動対応・調査（初期調査、詳細調査）

トリアージの結果、インシデント対応部署において対応を行うことを決定した場合には、インシデント対応をスタートさせることになる。まずは事実関係の詳細を整理し、とりまとめを行い、被害原因及び被害範囲を調査し、被害の拡大を防止するための措置を速やかに講じる必要がある。

被害の拡大防止措置としては、例えば、ある端末において不正プログラムの感染が疑われる場合に、当該端末を社外及び社内のネットワークから切り離すなどの措置などが挙げられる。初動対応においては、インシデントによる被害の拡大防止のために、封じ込めを行うことも重要である。必要に応じて情報システムの全部又は一部を一時的に停止するという業務継続に影響を及ぼす判断を下すこともあり得るため、その判断権限を有する者をインシデント対応チームに含めておく必要がある。

被害の原因を特定し、調査・解析を行うに当たっては、ログの保全やマルウェア感染端末の確保等を行い、デジタル・フォレンジック²を実施し、必要な証拠を保全等することが重要である。例えば、不正プログラムの感染が疑われるコンピュータを再起動すると、揮発性メモリに保存されているデータが失われることがあるので注意を要する。デジタル・フォレンジックについては、自社において実施することが困難である場合には、外部事業者に委託することになる。外部委託に当たっては、IPAが公開する「情報セキュリティサービス適合サービスリスト」³中、「デジタルフォレンジックサービス」に掲載されている事業者及びサービスが参考になる。

また、被害範囲の特定のために、脅威インテリジェンスサービス（Q58参照）などのウェブモニタリングサービスを活用することも考えられる。漏えいした情報が、どこかのサーフェスウェブやダークウェブにアップロードされている可能性もあるため、このようなサービスを活用することで、自社から漏えいした情報の流通・拡散状況を可能な範囲でモニタリングし、被害範囲を特定した上で必要な対策をとることができる。例えば、漏えいした個人情報がダークウェブ上に流通していることが判明すれば、それを本人に伝えてIDやパスワードの変更等を促し、二次被害の防止につなげることも可能である。

エ　対外対応

対外対応について、対応すべきステークホルダーには、①関係行政機関、②警察などの法執行機関、③攻撃者又は加害者、④関連する契約の相手方、⑤情報漏えいが発生した場合の被害者等が挙げられる。本項では、④について紹介し、残りはそれぞれQ7、Q8において説明する。対外対応に関連して、インシデントに関する情報を公表するかどうか、また、公表するとしてどのような情報をどのタイミングで公表するかについても検討が必要である。

なお、フィッシングサイトへ対応する場合には、テイクダウン活動として、JPCERT/CCやフィッシング対策協議会等に対して、フィッシングサイトのテイクダウンを依頼することも考えられる。

オ　再発防止策

最後に再発防止策についてであるが、今後、同種のインシデントの発生を防止するために、その原因を究明し、再発防止策を実施することも重要である。加えて、インシデント対応終了後の総括として、インシデントの経緯、対応策、反省点や改善点に関する詳細を記録として残しておくことが重要である。このような記録が、今後のサイバーセキュリティ対策の参考となるためである。

ア　取引先への連絡

取引先との契約に基づき提供・開示を受けたデータについて漏えい等が発生した場合、当該取引先との契約において、秘密情報の守秘に関する条項が定められている場合には、漏えい等が発生した場合に当該条項に違反する可能性が考えられるため、契約内容をよく確認することが重要である。契約によっては、開示時に「秘密」と明示していなければ「秘密情報」に該当しないなど、「秘密情報」がかなり狭義に定められているものもあり、このような場合には漏えい等した情報が秘密情報に該当しないと整理することも可能であろう。また、契約相手に対する報告義務についても、規定内容は多岐にわたっており、たとえば、秘密情報の漏えい等が発生した場合の報告義務が定められている場合もあれば、広くサイバーセキュリティインシデント発生時（又はそのおそれの発生時）の報告義務が定められている場合もある。

イ　委託先への連絡と調査依頼等

企業が、情報システムの開発や保守運用を委託先に行わせることも多い。このように委託先を利用している場合には、サイバーセキュリティインシデントが発生した際には、委託先に連絡して調査依頼をすることとなる。調査の結果、サイバーセキュリティインシデントの発生原因が委託先に起因することが判明した場合には、当該委託先との契約等に基づき、責任追及をすべきか否か等も検討する必要が生じる。

上記のほか、(1)ウの調査で紹介したデジタル・フォレンジックを行うために、外部事業者にフォレンジック調査を委託することが必要となる場合も多いと思われる。

また、サイバー保険に加入している場合には、保険会社への連絡も必要である（サイバー保険に関しては、Q65を参照）。

ウ　クレジットカード情報の漏えい等

クレジットカード情報の漏えい等が発生した場合には、クレジットカード会社との関係についても留意が必要である。例えば、ECサイトを運営する事業者においてクレジットカード情報が漏えい等したケース⁴を想定すると、まず、クレジットカード会社が、モニタリングシステムを通じて情報の漏えい元と判断したECサイトに対して連絡することを契機として、インシデント対応が始まることがある。また、クレジットカード情報の漏えい等事案においては、原則としてフォレンジック機関によるフォレンジック調査が行われる。なお、インシデントの規模や内容によりPCI SSCが認定するフォレンジング機関（PFI:PCI Forensic Investigator）による調査となることに留意を要する。そして、クレジットカード会社がクレジットカードのユーザに対して不正利用された金額の補償等を行っている場合、クレジットカード会社とECサイト運営事業者の間で、当該補填金額を最終的に誰が負担するかという観点で協議等を行う必要がある（その他クレジットカード情報の取り扱いについては、Q16を参照）。