「不正アクセスに遭って情報が漏洩したら、どうすればよいのだろう」
「情報漏洩を報告するときに、どのような内容が必要か知りたい」
このように悩んでいる方も多いのではないでしょうか。
情報漏洩が発覚した際は、迅速かつ誠実な対応が欠かせません。初動に時間がかかるほど被害が拡大し、企業の信用失墜や業務停止など多大な影響が出る恐れがあります。
この記事では情報漏洩が起こった場合の報告方法や、不正アクセスによる情報漏洩が起こった場合の対処法について解説します。
なお「すぐにでも不正アクセスに合った場合の対応方法を知りたい!」という方は、下記の資料を無料ダウンロードしてご覧ください。
対応手順をマニュアル化していますので、社内周知や社員研修にご活用いただけます。
\不正発覚した時に企業としてどう対応しますか?/
また、不正アクセスの原因、手口、対策を解説した記事も以下にアップしていますのでご興味がある方は併せてご覧ください。
目次
不正アクセスによる情報漏洩が発生した際は報告が義務づけられた
2022年4月1日から改正後の個人情報保護法が施行され、不正アクセスによる情報漏洩が発生した場合に報告が義務づけられました。
データの保存期間に関わらず、下記2つが必須になっています。
- 個人情報保護委員会への報告
- 個人情報が漏洩した被害者本人への通知
また改正された新法では、次のような事態に該当する場合に報告が必要です。
■個人情報保護委員会への報告が必要になる事態
| 事態 | 詳細 |
|---|---|
| 1.要配慮個人情報が含まれる事態 | 従業員の個人情報が含まれる場合
例:健康診断の結果、病歴、人種、社会的身分など |
| 2.財産的被害が生じる恐れがある事態 | ECサイトに保存された顧客のクレジットカード情報や、銀行口座情報などが漏洩した場合 |
| 3.不正の目的をもって行われた漏洩等が発生した事態 | 不正アクセスによって情報漏洩が発生した場合 |
| 4.1,000件(行政機関は100件)を超える漏洩等が発生した事態 | 大規模な情報漏洩が発生した場合 |
例えばECサイトに不正アクセスされ、顧客のクレジットカード情報が1,000件以上漏洩した場合は、上記の2~4に該当します。
報告が義務化されたことにより、法令違反に対する罰則も「罰金30万円以下」から「50万円以下」に強化されました。
もし関係機関や被害者への報告が遅れた場合、どのようなリスクがあるのでしょうか。続けて解説します。
不正アクセスの報告が遅れることによるリスクの例
不正アクセスが発覚してから報告が遅れることで、下記のようなリスクが起こり得ます。
■不正アクセスの報告が遅れた場合のリスク
| リスク | 例 |
|---|---|
| 二次被害につながる可能性 | Webサイトが改ざんされ、サイトの訪問者を悪意あるサイト(フィッシングサイトなど)に誘導される |
| 被害が拡大する可能性 | ウイルス感染を放置し、会社のネットワークで感染被害を拡大させてしまう |
| 企業の信用失墜につながる可能性 | 報告などの対応が遅れ、企業の信用やイメージダウンを招く |
例えば2016年には、JTBへの海外からの不正アクセスで個人情報が流出し、報告が遅れたことが問題視されて大きく報道されました。
報告義務を怠ったり遅れたり、被害者に対する説明に不備があったりすると、被害者から法的措置を取られるリスクも高まります。不正アクセスの被害は企業内だけで解決しようとせず、外部に情報を公開する前提で対応することが大切です。
それでは不正アクセスに遭った場合、「いつ・どこに・どのように」報告すればよいのでしょうか。早速見ていきましょう。
不正アクセスによる被害が起こった場合の報告先6つと方法
不正アクセスによる被害が起こった場合、報告するのは次の6つです。
・上司や上層部
・個人情報保護委員会
・行政機関
・公式サイト
・サイバー犯罪相談窓口
・IPA
なお「サイバー犯罪相談窓口」と「IPA」への報告は必須ではありません。しかし、今後のサイバー犯罪の防止や技術を発展させるために、報告しておくことがおすすめです。
それでは、ひとつずつ解説します。
【報告先1】上司や上層部へ報告する
不正アクセスの被害が発覚したら、ただちに上司や上層部など責任者に報告しましょう。
不正アクセスは企業や顧客、取引先にも関わる問題のため、個人の判断で動くことは危険です。
例えば下記のような異変があったときが、報告するタイミングです。
・不審なアクセスログや通信ログを検知したとき
・IDやパスワードが変更されているとき
・見覚えのないファイルやフォルダを見つけたとき
また日頃からセキュリティ教育や管理ルールを徹底しておき、問題発生時に社員が報告しやすい体制を構築しておくことが重要です。
【報告先2】個人情報保護委員会へ報告する
次に、個人情報保護委員会のホームページから報告を行います。速報と確報の2回に分けて実施しましょう。
■個人情報保護委員会に報告する対象の事態と期日
| 項目 | 詳細 |
|---|---|
| 報告対象の事態 | 1.要配慮個人情報 2.財産的被害が発生するおそれがある場合 3.不正アクセス等故意によるもの 4.1,000人(行政機関は100人)を超える漏洩等 |
| 期日 | 速報:事態の発生の認識後、速やかに(おおむね3〜5日以内) 確報:30日以内(3の場合は60日以内) |
報告する際はホームページ内の「漏えい等報告フォーム」から、下記の手順で進めます。
・「問1 マイナンバーは含まれていますか。」に回答してフォームに進む
・「新規報告」または「続報」をクリック
・報告内容を入力する
■個人情報保護委員会へ報告する内容
| 項目 | 報告内容 |
|---|---|
| 報告者の概要 | 氏名、法人番号、住所、電話番号 など |
| 事態の概要 | 発生日、発覚日、事案の種類、発見者 など |
| 事実経過 | 不正アクセスが発生してからの経緯 |
| 漏洩した個人情報に係る人数 | 漏洩した情報の種類、人数 など |
| 発生原因 | 不正アクセス・不正利用・盗難・紛失・誤送付 など |
| 二次被害の有無 | 二次被害の有無とその内容 |
| 本人への対応状況 | 漏洩した被害者への対応状況 |
| 公表の実施状況 | ホームページにて公表・記者会見・資料配布 など |
| 再発防止策のための措置 | 実施した措置やこれからの対応 |
参考:個人情報保護委員会|特定個人情報の漏洩等事案が発生した場合の対応について
「発生原因」では、不正アクセスによって攻撃された箇所や攻撃手段も詳しく記載します。例えば「ECサイトへのパスワードリスト型攻撃」などです。
報告の記載例は下記ページから確認できますので、参考にしてみてください。
【報告先3】行政機関に報告する
特定業種の事業者は、まず管轄する行政機関に報告する必要があります。行政機関に報告が必要なのは、主に次のような事業者です。
■行政機関に報告が必要な事業者の例
| 業種 | 報告先 |
|---|---|
| 電気通信業 | 総合通信局又は沖縄総合通信事務所 |
| 放送業 | |
| 警察共済組合 | 警察庁 |
| 郵便事業 | 総務省 |
参考:個人情報保護委員会|個人情報保護法に基づく権限の委任を行う業種等及び府省庁
例えば電気通信業の場合、本社を管轄する総合通信局に対し、電話またはメールで状況を連絡することになります。
報告先や報告内容の詳細は下記サイトに掲載されていますので、事前に目を通しておきましょう。
参考:個人情報保護委員会|個人情報保護法に基づく権限の委任を行う業種等及び府省庁
【報告先4】公式サイトで報告する
顧客の個人情報を多く扱うサイトの場合、情報が漏洩した恐れがあることを公式サイトで報告・謝罪しましょう。
不正アクセスが発覚した場合、個人情報が漏洩した被害者への「本人向け通知」も義務づけられています。
「本人向け通知」は本人へ直接文書や電子メールを送ることが原則ですが、顧客数が多いECサイトなどの場合は、公式サイト上で公表することも認められています。
公式サイトで報告すべき内容は、下記の通りです。
・不正アクセスに遭ったサイト名と発覚日時
・発覚した経緯
・発生原因
・漏洩した情報の件数
・二次被害の有無(データの書き換え、クレジットカードの不正使用など)
もし公表時に発生原因が特定できていない場合は、「現在、第三者機関の協力を得て調査しております」のように記載しましょう。
発生した問題に対して、誠実かつ迅速に対処しているとわかるように伝えることも重要です。
「具体的にどのような報告文がよいのか知りたい」方は、下記の記事をご一読ください。ECサイトで不正アクセスが発覚したときの報告例を紹介しています。
【報告先5】サイバー犯罪相談窓口に報告する
不正アクセスの被害に遭った場合は、最寄りの警察署か都道府県警察サイバー犯罪相談窓口に相談しましょう。
サイバー犯罪相談窓口への報告は必須ではありません。しかし、相談することで不正アクセス禁止法に基づき、再発防止のための援助を受けることが可能です。
サイバー犯罪相談窓口に報告する際は、あらかじめ下記を実施しておきましょう。
・不正アクセスに遭った証拠(ログ)を可能な限り取得・保管する
・被害に遭ったPC以外のPCやファイアウォールも確認する
PCをシャットダウンすると証拠が書き換わる恐れがあるので、基本的にスリープ状態にしておくことが大切です。
なお全国のサイバー犯罪相談窓口は下記ページから確認できますので、管轄の窓口をチェックしておくことをおすすめします。
参考:警察庁|サイバー犯罪対策
【報告先6】IPAに報告する
IPAでも不正アクセスによる被害の届け出を受け付けているので、報告しておきましょう。
IPAとは「独立行政法人 情報処理推進機構」の略で、コンピュータウイルスやセキュリティに関係する調査・情報提供を行う独立行政法人です。
IPAへの報告は必須ではないものの、次の研究に役立つ情報を提供することで、将来的に被害を減少させることにつながります。
- ウイルス感染被害の拡大や再発の防止
- 不正アクセス被害の実態把握
- 同様の被害発生の防止
IPAに届出を提出する際は、下記の公式サイトをご覧ください。
参考:IPA|コンピュータウイルス・不正アクセスに関する届出について
ここまで、不正アクセスによる被害が起こった場合の報告先6つを解説してきました。
- 上司や上層部
- 個人情報保護委員会
- 行政機関
- 公式サイト
- サイバー犯罪相談窓口
- IPA
しかし、いざ不正アクセスが発覚した場合、どのような手順で対処すればよいか混乱してしまうケースも多いです。
初動をスムーズに起こすことができれば、顧客や取引先からのイメージダウンを防げる可能性も高まります。
ここからは、不正アクセスによる情報漏洩が起きた場合の対応方法を解説しますので、ぜひ続けてご覧ください。
不正アクセスによる情報漏洩が起きた場合の対応方法
不正アクセスが発覚した場合、下記の手順で対応を進めていきましょう。
1. サーバーを物理的に遮断する
2. 不正アクセスによる被害の証拠を保管する
3. 事態の概要をまとめる
4. 関係機関へ報告する
5. 公式サイトで報告する
まずは被害に遭ったサーバーをネットワークから物理的に遮断し、隔離します。そのまま接続し続けていると、再び不正アクセスされて情報漏洩が拡大する恐れがあるためです。
またIDやパスワードが流出した可能性に備えて、アカウント情報を変更しておくことも重要です。元のID・パスワードから推測されにくいものに設定しましょう。
次にサーバーのアクセスログを確認し、不正アクセスによる被害の証拠を集めて保管しておきます。一定期間が経過するとログが削除される可能性があるため、速やかに取得します。
証拠を保管した後は、各機関や公式サイトに報告するために情報を整理しましょう。
下記のように5W1Hで経緯をまとめることで、内容の不備を防げる上、状況を知らない相手にも伝わりやすい文章になります。
| 項目 | 詳細 |
|---|---|
| だれが(Who) | 不正アクセスに遭った当事者、企業 |
| なにを(What) | 不正アクセスされたサイト名、機器名など |
| いつ(When) | いつ発生し、いつ発覚したのか |
| どこで(Where) | どこで不正アクセスが行われたのか |
| なぜ(Why) | なぜ不正アクセスされたのか、発生原因 |
| どうやって(How) | 不正アクセスの情報 |
整理できた後は関係機関に報告し、公式サイト上で公表しましょう。
なお不正アクセスが発覚した際の対応や、その後に取るべき動きについては下記の記事で詳しく解説しています。ぜひあわせてご一読ください。
また「社内で情報共有できるような資料が欲しい」という方向けに、不正アクセス被害を受けた後の対応手順マニュアルを用意しております。ぜひ下記から無料ダウンロードの上、ご覧ください。
\不正発覚した時に企業としてどう対応しますか?/
万が一不正アクセスによる情報漏洩が発生した場合、原因調査や顧客対応などに追われて業務を停止せざるを得なくなるケースもあります。
そのため不正アクセスの被害を防ぐ方法を知った上で、日常的に対策しておくことが重要です。続けて解説しますので、ぜひご覧ください。
不正アクセスによる情報漏洩の対策として何をすべきか
不正アクセスによる情報漏洩を防止するために、今すぐ行うべき対策は次の4点です。
1. 個人情報の漏洩についての社員研修を行う
2. 守秘義務について書面を取り交わしておく
3. 使用中のソフトやWebサイトの脆弱性について対策する
4. セキュリティソフトを導入する
まずは社員研修を行い、すべての社員に個人情報の取り扱いに関する知識を身につけてもらうことが重要です。情報を社外に持ち出さないことはもちろん、作業ミスや誤操作を防ぐための体制構築やマニュアル作成も検討しましょう。
また使用中のOSやソフトウェアは定期的にアップデートし、サイバー攻撃を受ける隙をなくすことも欠かせません。
さらに、セキュリティソフトや不正検知サービスの導入も効果的です。脆弱性を発見できるだけではなく、不正アクセスを検知して遮断してくれるサービスもあります。
不正アクセスによる情報漏洩の対策方法は、下記の記事でも詳しく解説していますので、あわせてご一読ください。
まとめ:情報漏洩が発生した際は丁寧な報告と謝罪が重要
不正アクセスによる情報漏洩が発生したときは、関係機関や被害者本人へ迅速に報告することが大切です。
報告が遅れるほど被害が拡大したり、企業の信用失墜につながったりする恐れがあります。下記6つの報告先をチェックしておき、速やかに対応できるようにしておきましょう。
・上司や上層部
・個人情報保護委員会
・行政機関
・公式サイト
・サイバー犯罪相談窓口
・IPA
あらかじめ不正アクセスの証拠を保存しておき、詳細な報告ができるように情報をまとめておくことも欠かせません。公式サイトで報告すべき内容は下記の通りです。
・不正アクセスに遭ったサイト名と発覚日時
・発覚した経緯
・発生原因
・漏洩した情報の件数
・二次被害の有無(データの書き換え、クレジットカードの不正使用など)
また不正アクセスによる情報漏洩が発覚した場合に備え、対応手順をマニュアル化しておくことがおすすめです。
下記の資料では、不正アクセスの被害に遭った後の手順をまとめています。無料ダウンロードの上、社内研修や周知にご活用ください。
\不正発覚した時に企業としてどう対応しますか?/
