サイバー犯罪が増加した近年においては、個人情報としてパソコンやスマートフォンのメールアドレスやパスワードだけでなく、社内ネットワークにログインするパスワード、認証IDも狙われています。

そして万が一、企業が重要な機密情報や個人情報等を漏えいさせてしまった場合は、以下の通り2段階での個人情報保護委員会への報告義務が課せられています。

• 速報：3～5日以内に情報漏えいの事実・背景・影響範囲などの概要を報告
• 確報：30日以内に被害内容や影響範囲、再発防止策などの詳細を報告

本記事では企業の情報漏えい発生における個人情報保護委員会への報告義務について解説します。正しく対処し、被害を最小に抑えましょう。

改正個人情報保護法とは

2022年年4月1日より施行された改正個人情報保護法では、本人の権利保護が強化され、個人の情報開示請求や利用停止・消去請求権、第三者への提供禁止請求権の要件が緩和されました。

一方で企業や事業者の責務が追加され、情報漏えい等が発生した際の報告義務が新たに発生しました。同様に企業・事業者の不適切な個人情報の取り扱いへの罰則が最大で1億円に引きあがり、以前より厳罰化されています。

漏えい等報告が必要なケース

企業や団体で情報漏えいが発生した場合、漏えいした情報が以下の要素を含んでいた場合は必ず個人情報保護委員会へ報告する必要があります。

要配慮個人情報が含まれる個人データの漏えい

要配慮個人情報とは、「社会的差別の原因となるおそれのある個人情報」にあたります。

• 人種
• 信条
• 社会的身分
• 病歴
• 犯罪歴
• 身体および精神の障害

上記の要配慮個人情報が漏えいすると、差別や偏見により、社会的生活に不利益を被る可能性があります。例えば「健康診断の結果」や「犯罪の被害に遭った事実」などもこれに相当します。

一方で「犯罪の瞬間をとらえた防犯カメラ映像」など事実の推測にとどまる情報は、要配慮個人情報にあたりません。

不正利用により財産的被害が生じるおそれがある個人データ

• クレジットカード番号
• 口座番号
• インターネットバンキングのID・パスワード
• 生年月日
• 企業秘密

財産的被害が生じるおそれがある個人データとは、クレジットカード番号、口座番号、あるいは漏えいによって利益が滅失する企業秘密などがその一例です。

特にクレジットカード番号の漏えいは、暗証番号やセキュリティコードを割り出せてしまう可能性があるため、流出次第、個人情報保護委員会へ速やかに報告しなければなりません。

ただし、口座番号下4桁のみとその有効期限の組合せや、銀行口座情報のみの流出など、流出した情報の組み合わせによっては、「不正利用により財産的被害が生じるおそれがある個人データ」とはみなされない場合もあります。

不正が目的で行われた個人データの漏えい

不正アクセスやマルウェア感染などのサイバー攻撃によるものや、従業員や第三者による情報持ち出しなどの不正行為により個人情報が漏えいしたケースをいいます。具体的には以下のような状況です。

• 不正アクセス
• マルウェア感染
• ランサムウェア感染
• 個人情報の盗難
• 企業の従業員による個人情報の第三者への提供

この場合は、「不正アクセスの痕跡が確認された」「警察やセキュリティの専門家から情報持ち出しの連絡があった」など、「漏えいのおそれある」段階においても報告義務があります。

漏えいした個人データの数が一定数以上を越えた

1,000人以上個人情報が流出するおそれがある場合は、個人情報保護委員会への速やかな報告・本人へ通知する必要があります。この時に漏えいした個人情報の内容や性質は考慮されないので、大規模な情報漏えいが発生した時点で報告が必要になります。

条例要配慮個人情報が含まれる保有個人情報の漏えい等

条例要配慮個人情報とは、地方公共団体の条例で独自に規定されているもので、「要配慮個人情報とは別に、本人に対する不当な差別・偏見・その他の不利益が生じないよう取扱いに特に配慮を要する個人情報」のことです。

該当する可能性がある情報は以下のようなものがあげられます。

• 性的指向
• 性自認
• 妊娠の有無
• 出産歴の有無
• 育児に関する情報
• 身体的・精神的障害の有無や通院歴
• 疾病の有無や通院歴
• 経済的困窮に関する情報
• DV被害に関する情報
• 虐待被害に関する情報

条例要配慮個人情報に該当する具体的な個人情報は、地方公共団体によって異なります。これらの情報の漏えい等が発生した場合は、報告義務に該当するかどうかを速やかに確認したうえで、必要に応じて個人情報保護委員会への報告・個人情報所有者への通知を行いましょう。

被害全容の調査は、自社内で完結させるには知識面・リソース面の問題があるケースが多いです。スピード対応が可能な調査会社であれば、即日中に打ち合わせを設定してくれるところもあるので、情報漏えいの発覚時点でなるべく早く相談することをおすすめします。

情報漏えいが発生したら、個人情報保護委員会へ報告する

情報漏えいが発生した企業・事業者・行政は個人情報保護委員会へ情報漏えいについて速報と確報の2段階で報告する必要があります。

• 速報：3～5日以内に情報漏えいの事実・背景・影響範囲などの概要を報告
• 確報：30日以内に被害内容や影響範囲、再発防止策などの詳細を報告

速報：3～5日以内に個人情報保護委員会へ報告

企業や組織が個人情報の漏えい等の事実を確認した場合、情報漏えいの事実を確認した日から3〜5日以内に個人情報保護委員会へ報告する義務があります。報告内容の一例は以下の通りです。

• 情報漏えい等の事実
• 情報漏えいが発生した背景
• 影響範囲

確報：速報から30日以内に調査結果の詳細を報告

個人情報保護委員会へ通報後、発覚から30日以内（※不正な目的で行われた場合は60日以内）に、情報漏えい被害の調査結果や影響範囲、再発防止策などを調査し、再度個人情報保護委員会への詳細に報告する必要があります。報告は以下の内容を含む必要があります。

• 漏えい等の概要
• 漏えい等が発生（したおそれのある）個人データの項目
• 漏えい等が発生（したおそれのある）個人データの所有者数
• 調査で判明した情報漏えいの原因
• 二次被害（のおそれ）の有無と内容
• 個人データ所有者への対応実施状況
• 情報漏えい等の事案の公表状況
• 再発防止策
• その他、新たに制定した個人情報の保護策の再評価など

このように2度目の個人情報保護委員会への報告は詳細な調査を行うことが必要です。しかし、サイバー攻撃などデジタル機器の調査は自社だけで行うと、専門人材の不足や、漏えいした個人情報の持ち主への連絡に時間がとられ、調査が不完全となってしまいます。

そのため、データ漏えいが発生した場合は、第三者機関となる調査会社と連携して調査を進めることが推奨されます。

特にフォレンジック調査会社は、デジタル機器のデータ保全やアクセス調査に関する専門技術を保有しています。この技術によりデジタル機器から情報漏えいの証拠を発見・改ざんが起こらないよう保全し、個人情報の流出経路や流出範囲を的確に把握します。調査で判明した内容は調査報告書にまとめるため、個人情報保護委員会へそのまま報告することも可能です。

もし情報漏えい等が発生し、正確な調査が必要になった場合は、以下に紹介するような信頼できる調査機関に相談しましょう。

個人情報保護法における漏えい等の罰則

情報漏えいが発生したにも関わらず、報告・調査を怠った場合は、違反者個人と法人は国から以下の罰則が科せられます。

違反者個人への罰則

• 措置命令違反…1 年以下の懲役又は100 万円以下の罰金
• 個人情報データベース等の不正流用…1年以下の懲役又は50万円以下の罰金
• 報告義務違反…50 万円以下の罰金

法人への罰則

• 措置命令違反…1億円以下の罰金
• 個人情報データベース等の不正流用…1億円以下の罰金
• 報告義務違反…50万円の罰則

個人情報漏えい時に個人情報保護委員会へ報告する流れ

企業や団体で個人情報の漏えいが発覚した、または個人情報漏えいの恐れがあると判明した場合は、以下の手順で個人情報保護委員会へ報告を行いましょう。

1. 漏えいの被害状況、背景、影響範囲を特定する
2. 3～5日以内に個人情報保護委員会に報告する（速報）
3. 漏えいした情報の種類とデータ量を調査する
4. 漏えいした情報にアクセスした可能性がある人物を調査・特定する
5. 漏えいした情報の被害を最小限に抑える対策を講じる
6. 漏えいした情報の本人や関係者に通知する
7. 30日以内に個人情報保護委員会へ情報漏えいの調査結果について詳細を報告する（確報）

情報漏えいが発覚したら、速やかに個人情報保護委員会へ被害状況を報告する必要があります。その後企業で情報漏えいの調査を外部機関などと協力して行い、より詳細な内容を再度個人情報保護委員会へ報告しましょう。

ただし、調査・報告を怠った場合や嘘の内容を委員会へ報告すると企業へ罰則が加えられます。

情報漏えいの調査には報告書の作成が必要

企業や団体で情報漏えいが発生した場合、個人情報保護委員会へ確報を行う際は事前に調査を行う必要があります。報告書には漏えい等の事実、原因や経緯、被害の程度、新たな個人情報の保護方法など、一度目の報告よりも詳細に報告することが求められます。

一方で情報漏えいが発生した企業や団体は、情報が漏えいした本人に対して流出したデータの内容や情報漏えいの概要について通知を行うことも義務付けられており、件数によっては本人への通知対応に人手が割かれ、報告書作成の時間がなくなってしまう可能性も高いです。

このような場合は、電子機器上のデータ保全・収集を行うフォレンジック調査専門業者に相談すると、一般的な方法では取得が困難な電子機器上のログやデータを調査し、報告書で調査結果を提出します。

フォレンジック調査専門業者が作成した報告書は、個人情報保護委員会をはじめとする行政機関に提出が可能です。したがって企業では、個人への対応にリソースをさくことが可能です。

デジタルデータの情報漏えいにはフォレンジック調査がおすすめ

昨今はマルウェア感染などのサイバー攻撃から、メールの宛先の間違いといった人的ミスにいたるまでさまざまな要因で数千人から数万人の個人情報が流出することがあります。したがって情報漏えいが発生した場合は、電子機器を調査し、調査内容を個人情報保護委員会に報告する必要があります。

しかし、デジタルデータは改ざん・削除が容易なため、一般的な方法でコピーやバックアップを作成しても証拠として機能しないこともあります。したがってデータに改ざんや削除がない事を証明する、フォレンジックと呼ばれる電子的な情報やデータを収集・解析することで、事件や犯罪の真相を究明する手法を活用する必要があります。

情報漏えいの事実を確認する場合、フォレンジック調査を応用することで、パソコンやスマートフォンなどの端末やネットワークのログ、電子メールのやり取りの内容、マルウェアの感染経路、不正アクセスの形跡などの情報を収集・解析することができます。

フォレンジック調査の流れ

フォレンジック調査は以下の流れで行われます。

1. ヒアリングで調査内容をすり合わせる
2. デジタル機器の保全作業
3. デジタルデータの解析・分析
4. 証拠隠滅されたデータの復元
5. 調査結果を報告書にまとめて報告

フォレンジック調査が可能なデータ例

• パソコン・スマートフォンのアクセス履歴
• 開いたファイルの履歴
• 外付けHDDやUSBメモリなど外部接続機器の接続履歴
• インターネットおよび社内サーバアクセス履歴
• プログラムの実行履歴
• 削除したファイル・メール・アプリの有無
• Office文書のプロパティ情報
• 画像・動画データ
• 電話帳のデータ
• チャット履歴

フォレンジック調査では意図的に削除されたデータを復旧させることも可能です。社内不正の証拠を隠滅された場合でも、早期に対応すれば復元できる可能性が高いです。なお、ただのデータ復旧業者ではデータが復元できたとしても法的な証拠能力が失われてしまうため、高いデータ復旧技術を兼ね備えたフォレンジック調査会社まで速やかに相談しましょう。

情報漏えいのフォレンジック調査に強い、おすすめのフォレンジック調査会社がデジタルデータフォレンジックです。

フォレンジック調査会社に相談するメリット

フォレンジック調査を外部の専門業者に相談するメリットには以下のものが挙げられます。

行政機関に提出できる報告書が作成できる

フォレンジック調査会社が作成する報告書は、正規の手順でフォレンジック調査が行われているため、データの改ざんや削除がないことを客観的に証明できる証拠となります。したがって個人情報保護委員会をはじめ警察や裁判所に証拠として提出することが可能です。

ダークウェブ上に流出した情報を特定可能

ダークウェブとはインターネット上に存在する、一般的な検索エンジンでは検索不可能なサイトです。匿名性が高いため、犯罪に使用される場合が多いです。

主にランサムウェアやマルウェア感染によって個人情報やパスワードなどが漏えいすると、ダークウェブ上で売買が行われる場合があります。

売買された個人情報やパスワードは、企業へのサイバー攻撃や犯罪組織の資金源に活用されてしまうため、知らない間に加害者になってしまいます。

フォレンジック調査ではダークウェブ上も調査するため、個人情報や企業情報の流出の有無や流出した情報の特定が可能です。

セキュリティの脆弱性を特定できる

マルウェアやランサムウェアによって情報が流出した場合、フォレンジック調査を実施することで、マルウェアの侵入経路を特定することが可能です。またマルウェアが侵入を試みた形跡がないかなど確認し、企業のセキュリティの脆弱性を特定することができます。

国内の個人情報漏えい事件

上記は、過去10年のの主な情報漏えい事件の一覧です。過去の大規模な情報漏えいでは3千万人以上の大規模なものや、銀行口座からの不正な引出しなど二次被害を被っている事例もあります。

個人情報が漏えいする理由

個人情報が漏えいする理由には以下のものが考えられます。

• 外部からの不正アクセス
• ネットワーク機器（VPN/RDP機器など）の設定不備
• 人的ミス
• 社内の個人情報取り扱い規定が未整備
• 社員の個人情報取り扱い意識の低さ
• 社内のセキュリティに重大な不備がある

1000人以上に及ぶ大規模な情報漏えいは、個人情報の持ち出しを確認する体制が未整備であったり、ベンダーと企業でセキュリティの保守契約を締結していないなど、企業体制の不備に起因している場合もあります。

特に電子データの情報漏えいは、社内体制によっては第三者に指摘されるまで発覚しない場合もあります。情報漏えいが発覚した時点で、大量の個人情報がサイバー犯罪者の手に渡っている可能性もあるため、外部の調査企業に相談した方が正確に個人情報保護委員会に事態を報告できる場合があります。

電子データの漏えいにより電子端末の調査が必要な場合は、データの改ざん、上書きなくデータを保全しなければ、正確な調査結果を報告することが困難です。

フォレンジック調査会社であれば、元の電子データを改ざんすることなくデータを保全し、正しい手順で調査を行うため、個人情報保護委員会など第三者機関にも提出が可能です。

フォレンジック調査会社の数は近年増加していますが、相談件数が多く幅広いインシデントに対応できるフォレンジック調査会社は以下の企業です。

【徹底調査】デジタルデータフォレンジックの評判は？口コミや評価、料金体系からサービスを調査

2024.3.5

フォレンジックとは「パソコンやHDD、スマートフォンなどのデジタル端末に残されたログやデータ類を抽出し、サイバーセキュリティ調査や法的紛争支援などを行う」技術です。 近年はデジタル技術の急拡大により、

まとめ

マルウェア感染や人的ミスにより企業で情報漏えいが発生した場合は、期限内に2回個人情報保護委員会へ報告する必要があります。2度目の報告の際には、情報漏えいの被害の全容を報告しなければなりませんが、デジタルデータの調査は専門知識が必要なため、期限の1か月では十分な調査ができない可能性もあります。デジタルデータが流出した場合は、外部のフォレンジック調査会社に相談し、委員会に提出可能な資料を作成してもらい、委員会への報告や再発防止に取り組みましょう。