IT/AI救済センター

コラム / セキュリティ /

個人情報漏えい発覚から48時間 ─ 広報・法務・技術の三方向で動く実務プレイブック

📖 約9分 / 公開日: 2026/05/31

## 漏えい発覚の最初の3時間で、被害額は10倍動く

個人情報保護委員会への報告義務が「速報3〜5日以内、確報30日以内」になったのは2022年4月の改正個人情報保護法施行から。条文を読めば期限は数日あるように見えますが、現場で本当に問われるのは最初の3時間です。

Webアプリのアクセスログを止めるか残すか。フォレンジック調査を内製でやるか外注に出すか。漏えい範囲を「最大値で開示」するか「確定後に開示」するか。ここでの判断ミスが、半年後の集団訴訟の和解金を1桁変えます。

過去に支援した EC事業者の事例。深夜2時に CSRFトークン経由のセッション乗っ取りが発覚し、当直のエンジニアが慌てて Webサーバを再起動してしまった。ログは飛び、攻撃者がどの会員データを持ち出したか後から特定できなくなりました。実害が出た会員は数百人だったはずなのに、「全会員10万人分が漏えい可能性あり」として開示せざるを得ず、解約と問い合わせ対応のコストは1億円を超えた。技術判断ひとつで、ここまで損失が膨らみます。

## 封じ込めの前に、ログ保全を10分で完了させる

漏えいの疑いが出た瞬間、エンジニアの本能は「攻撃経路を塞ぐ」方向に動きます。ところがそれを優先すると、被害範囲の特定が永久に不可能になる。

具体的にやるのは、Webサーバの該当プロセスを kill せず、IDS/IPS のアラートログを別ボリュームへ即時コピーすること。AWSなら CloudTrail・VPC Flow Logs・WAF Logs を S3 へ Object Lock 付きで凍結します。Object Lock は Governance mode ではなく Compliance mode を選んでください。社内の悪意ある改ざんも防がねばならない局面で、Governance mode は管理権限で解除できてしまいます。

データベースのスナップショットは攻撃発覚時点のものを必ず取得。RDS なら手動スナップショット、Aurora では Backtrack ではなくクローンを推奨します。Backtrack は対象クラスタを過去状態に戻す機能で、フォレンジック調査の証拠保全には向きません。

オンプレや専用サーバなら、`/var/log` 全体と PHP-FPM、Nginx、MySQL の binary log を別ホストへ rsync で複製した上で、ディスク全体の dd イメージを取得します。10分で済む保全作業を惜しんで、何千万円の損害賠償リスクを抱える事案を何件も見てきました。封じ込めはこの保全が終わってから動きます。

## 6時間以内に、弁護士・フォレンジック・PRを三方向で手配する

社内法務だけで個人情報保護法の運用判断を完結させるのは、率直に言って無理です。改正法の解釈と監督官庁との実務やり取りは、サイバー事案を専門に扱う弁護士でなければ捌けない。

森・濱田松本、TMI、西村あさひの大手3事務所にはサイバー専門チームがあり、初動の緊急受任は3〜5時間で動きます。中堅事務所では牛島総合法律事務所が実績豊富。顧問契約のない事務所でも、緊急受任を受けてくれます。一方、夜間休日の連絡経路を持たない事務所は除外してください。最初の電話に出ない事務所と契約しても48時間は捌けません。

フォレンジックは PwC、デロイト トーマツ、KPMG コンサルティングが定番ですが、価格は最低でも300〜800万円から。中小企業の現実的な選択肢としては、ラックの JSOC マネージドサービスや IIJ のセキュリティオペレーションセンターが80〜200万円台で動いてくれます。クラウドネイティブな事案であれば、Mandiant(Google Cloud 傘下)や CrowdStrike の Incident Response も検討対象に入ります。

広報は、漏えい規模が10万件を超える、あるいはエンドユーザーが個人である場合は外部PR代理店を入れたほうが安全です。井之上パブリックリレーションズや共同ピーアールが危機管理広報に強い。社内で書いた初動の謝罪文には、無意識に責任回避の言い回しが混じります。それが切り取られて炎上の燃料になるパターンを、繰り返し見てきました。

## 24時間以内 ─ 報告書ドラフトと本人通知文の作成

個人情報保護委員会への報告書は、「事実関係・原因・被害状況・再発防止策」を埋める書式です。速報段階で全てが確定する必要はありません。不明な箇所は「調査中」で出してよい。ここで「確定するまで報告を遅らせる」判断をした企業が、後に行政指導と勧告を受けるケースが2023年以降続いています。

本人通知は、対象が500人を超えるなら個別メールではなく、Webサイト上の掲示と新聞紙面広告の併用が標準です。読売・朝日・日経の朝刊3紙への半5段広告で約400〜800万円が目安。これを「Webだけで済まそう」とした事例は、ほぼ全てが訴訟または集団訴訟に発展しています。

通知文には禁止表現があります。「現時点で二次被害は確認されておりません」は、時間経過で破綻するため後で訴訟の材料になる。「不正アクセス」と「漏えい」は法的に意味が異なるため、確定する前に「漏えい」と書かない。「お詫び申し上げます」だけでは不十分で、「再発防止策の概要」を必ず含めること。これが集団訴訟回避の最低条件です。

メールでの個別通知を選ぶ場合、SPF/DKIM/DMARC の認証が崩れていると、肝心の通知メールが大量に迷惑メールフォルダに落ちて到達しません。漏えい通知が届かなかった、と後から本人に主張されると、過失加算の材料になります。送信前に Postmark や SendGrid のドメイン認証ステータスを必ず確認してください。

## 48時間で並列稼働させる5領域

時間軸を48時間に置いたとき、報告書フォーマットの確定、本人通知文面の承認と発送、フォレンジック契約締結、社内対応窓口(コールセンター含む)の設置、影響を受けたシステムの代替経路または恒久対策の決定 ─ これらを並列で動かす必要があります。

中小企業で、社内人員だけでこれを48時間で完了させるのは現実的ではありません。サイバー保険に加入していれば、損害保険会社が提携する弁護士・フォレンジック・PRをワンストップで動かしてくれます。三井住友海上の「サイバープロテクター」、東京海上日動の「サイバーリスク保険」、損保ジャパンの「ネット情報セキュリティ保険」が法人向けの選択肢。年間保険料は売上規模で15〜200万円程度、漏えい1件あたりの補償上限が3000万〜3億円が標準的なラインです。

未加入企業に「今から入る」選択肢はありません。漏えい発覚後の加入は補償対象外です。これだけは事前にやっておく必要があります。

## 半年後の集団訴訟で問われる3つの指標

漏えい発覚から3〜6ヶ月後、弁護士事務所からの集団訴訟通知または個別訴訟の準備書面が届きます。初動対応の質が、ここでの和解金額を10倍以上動かす。

具体的な指標は、漏えい発覚から本人通知までの時間(24時間以内が水準)、再発防止策の具体性(脆弱性診断の継続契約・SOCの常時監視・ISMSの取得計画)、被害者への補償内容(金券・モニタリングサービスの提供)。この3点で「過失の重さ」が法廷で評価されます。

ベネッセ事件(2014年発覚、約3504万件)の和解金は1件あたり3300円が判例として残りました。NTT西日本子会社の事案(2023年発覚、約928万件)では、初動の遅さと再委託管理の杜撰さが追加で問われ、想定賠償額が上振れる方向で進んでいます。漏えい1件あたり数千円から1万円 ─ これが現代の相場だと考えてください。1万件の漏えいで賠償だけで数千万円、ここに対応コスト・売上損失・採用への悪影響が乗ります。

## 防げない事案だからこそ、48時間の品質に投資する

漏えい事案そのものを完全には防げません。Cloudflare の WAF と Bot Management で大半の自動化攻撃は止まりますが、内部不正や標的型は止まらない。防げないからこそ、最初の48時間の品質に投資します。

年間保険料20万円のサイバー保険、四半期に一度のインシデント対応訓練、フォレンジック企業との事前NDA締結、緊急時連絡先リストの月次更新。どれも数十万円の世界です。1件の漏えい事案で動く金額の1%以下で、被害を10分の1に圧縮できます。

「うちは個人情報をそこまで持っていない」と言う中小企業ほど、メールアドレスと氏名だけで1万件を抱えていることが多い。それで漏えい対応コストは数千万円を簡単に超えます。今すぐ48時間プレイブックを作って、関係者の連絡先と判断フローを紙に落としてください。発覚当日に作るプレイブックは、絶対に間に合いません。

関連コラム

具体的な状況をご相談ください

記事の内容に該当しそうなら、まずは60分の無料相談でご相談を。

60分無料相談を予約
緊急 AI診断 60分予約