不正アクセスにより個人情報が漏洩した可能性がある。どのような手順で対応をすべきか？

掲載情報の概要

• 改訂日: 2025年9月3日
• 掲載趣旨
  • 不正アクセスによる個人情報漏洩の可能性がある場合、迅速かつ適切な対応が求められます。対応を誤ると、被害が拡大し、企業の信頼を大きく損なう可能性があります。
  • 本記事では、不正アクセスによる個人情報漏洩の疑いがある場合に、外部への通報も含めて企業が取るべき対応について、具体的な手順を解説します。
• 参照元
  • 生成AIにより原稿案を作成し、編集したものです。

---

はじめに

• 近年、企業を狙ったサイバー攻撃は巧妙化・悪質化しており、不正アクセスによる個人情報の漏洩事件が後を絶ちません。万が一、自社で個人情報の漏洩が疑われる事態が発生した場合、パニックに陥らず、冷静かつ迅速に対応することが極めて重要です。

• 対応の基本は、「事実関係の調査」「被害拡大の防止」「関係者への報告・通知」の3つの柱です。これらを並行して、かつ迅速に進める必要があります。特に、2022年4月に施行された改正個人情報保護法では、漏洩時の個人情報保護委員会への報告が義務化されるなど、企業の責任がより一層重くなっています。

• 本記事では、不正アクセスによる個人情報漏洩の疑いがある場合に、外部への通報も含めて企業が取るべき対応について、具体的な手順を解説します。

---

本文

1. 初動対応：被害の拡大を防ぐ

不正アクセスの可能性を検知したら、まず最初に行うべきは被害の拡大を防ぐための措置です。

• ネットワークからの隔離: 漏洩が疑われるサーバーや端末を速やかにネットワークから切り離し、被害の拡大を阻止します。
• 証拠の保全: 不正アクセスの証拠（ログファイルなど）を保全します。後の調査で極めて重要な情報となりますので、上書きや削除をしないように注意が必要です。
• 専門家への相談: 自社に専門家がいない場合は、速やかに外部のセキュリティ専門業者に連絡し、技術的な支援を依頼します。

2. 事実関係の調査

次に、何が起こったのか、どのような情報が漏洩した可能性があるのかを正確に把握するための調査を行います。

• 影響範囲の特定: どのシステムが、いつ、どのような手口で不正アクセスを受けたのかを調査し、影響範囲を特定します。
• 漏洩した情報の特定: 漏洩した可能性のある個人情報の項目（氏名、住所、電話番号、クレジットカード情報など）と対象人数を特定します。
• 原因の究明: なぜ不正アクセスを許してしまったのか、システムや運用上の脆弱性を調査し、原因を究明します。

3. 外部への報告・通知

事実関係がある程度判明したら、法令に基づき、関係各所への報告・通知を行います。

個人情報保護委員会への報告

特定の個人情報（要配慮個人情報、財産的被害が生じるおそれがある情報など）の漏洩等が発生した場合、**速報として事態を認識してから3〜5日以内**、確報として30日以内（不正な目的による漏洩の場合は60日以内）に個人情報保護委員会へ報告する義務があります。

• 報告内容:
  
  • 概要
  • 漏洩した個人情報の項目
  • 漏洩した個人情報の件数
  • 原因
  • 二次被害の有無とその内容
  • 本人への対応状況
  • 再発防止策

本人への通知

漏洩した情報によって個人の権利利益を害するおそれが大きい場合には、速やかに本人へ通知する義務があります。

• 通知内容:
  
  • 漏洩した事態が発生した旨
  • 漏洩した個人情報の項目
  • その他、本人に注意を促すために必要な情報（例：パスワードの変更依頼、不審な連絡への注意喚起など）
• 通知方法:
  
  • メール、書面、ウェブサイトでの公表など、状況に応じて適切な方法を選択します。

その他の関係機関への連絡

状況に応じて、以下の機関への連絡も検討します。

• 警察: 所轄の警察署に相談して、不正アクセス禁止法違反や窃盗などの被害届を提出します。
• IPA（情報処理推進機構）: 技術的な助言や支援を求めることができます。
• JPCERT/CC: 不正アクセスの手口に関する情報提供や注意喚起を依頼します。
• クレジットカード会社: クレジットカード情報が漏洩した場合は、速やかにカード会社に連絡し、不正利用の防止を依頼します。
• 【参考】連絡先が分からなかったら
  • サイバーセキュリティ関連の相談及び届け出窓口の探し方【Check & Action】

4. 再発防止策の策定と実施

調査で明らかになった原因を元に、具体的な再発防止策を策定し、実行します。

• 技術的対策:
  
  • セキュリティパッチの適用
  • ファイアウォールやWAF（Web Application Firewall）の見直し・導入
  • アクセス制御の強化
  • 不正侵入検知システム（IDS/IPS）の導入
• 組織的対策:
  
  • 従業員へのセキュリティ教育の徹底
  • インシデント対応体制の見直し
  • 情報管理規程の改定

---

まとめ

不正アクセスによる個人情報漏洩は、どの企業にとっても起こりうるリスクです。万が一の事態に備え、日頃からインシデント発生時の対応フローを整備し、定期的に訓練を行っておくことが重要です。 もし漏洩の可能性が発覚した場合は、本記事で解説した手順を参考に、慌てずに、しかし迅速かつ誠実に対応を進めてください。適切な対応は、企業の信頼回復への第一歩となります。

参考文献リスト

• 個人情報保護委員会. (n.d.). 漏えい等報告・本人への通知の義務化について. Retrieved from https://www.ppc.go.jp/personalinfo/legal/rouei/
• 独立行政法人情報処理推進機構（IPA）. (n.d.). 情報漏洩発生時の対応ポイント. Retrieved from https://www.ipa.go.jp/security/anshin/mgdayori/2012/20121024.html
• 警視庁. (n.d.). 不正アクセス行為の禁止等に関する法律（不正アクセス禁止法）. Retrieved from https://www.npa.go.jp/laws/joubun/fuseiaccess.html