不正アクセス

不正アクセスが発生した場合の報告先6つ!対処法や再発防止策も紹介

「不正アクセスに遭って情報が漏洩したら、どうすればよいのだろう」
「情報漏洩を報告するときに、どのような内容が必要か知りたい」
このように悩んでいる方も多いのではないでしょうか。

情報漏洩が発覚した際は、迅速かつ誠実な対応が欠かせません。初動に時間がかかるほど被害が拡大し、企業の信用失墜や業務停止など多大な影響が出る恐れがあります。

この記事では情報漏洩が起こった場合の報告方法や、不正アクセスによる情報漏洩が起こった場合の対処法について解説します。

なお「すぐにでも不正アクセスに合った場合の対応方法を知りたい!」という方は、下記の資料を無料ダウンロードしてご覧ください。

対応手順をマニュアル化していますので、社内周知や社員研修にご活用いただけます。

\不正発覚した時に企業としてどう対応しますか?/

また、不正アクセスの原因、手口、対策を解説した記事も以下にアップしていますのでご興味がある方は併せてご覧ください。

不正アクセスによる情報漏洩が発生した際は報告が義務づけられた

2022年4月1日から改正後の個人情報保護法が施行され、不正アクセスによる情報漏洩が発生した場合に報告が義務づけられました。

データの保存期間に関わらず、下記2つが必須になっています。

  • 個人情報保護委員会への報告
  • 個人情報が漏洩した被害者本人への通知

また改正された新法では、次のような事態に該当する場合に報告が必要です。

■個人情報保護委員会への報告が必要になる事態

事態詳細
1.要配慮個人情報が含まれる事態従業員の個人情報が含まれる場合

例:健康診断の結果、病歴、人種、社会的身分など

2.財産的被害が生じる恐れがある事態ECサイトに保存された顧客のクレジットカード情報や、銀行口座情報などが漏洩した場合
3.不正の目的をもって行われた漏洩等が発生した事態不正アクセスによって情報漏洩が発生した場合
4.1,000件(行政機関は100件)を超える漏洩等が発生した事態大規模な情報漏洩が発生した場合

参考:個人情報保護委員会|改正個人情報保護法 特集

例えばECサイトに不正アクセスされ、顧客のクレジットカード情報が1,000件以上漏洩した場合は、上記の2~4に該当します。

報告が義務化されたことにより、法令違反に対する罰則も「罰金30万円以下」から「50万円以下」に強化されました。

もし関係機関や被害者への報告が遅れた場合、どのようなリスクがあるのでしょうか。続けて解説します。

不正アクセスの報告が遅れることによるリスクの例

不正アクセスが発覚してから報告が遅れることで、下記のようなリスクが起こり得ます。

■不正アクセスの報告が遅れた場合のリスク

リスク
二次被害につながる可能性Webサイトが改ざんされ、サイトの訪問者を悪意あるサイト(フィッシングサイトなど)に誘導される
被害が拡大する可能性ウイルス感染を放置し、会社のネットワークで感染被害を拡大させてしまう
企業の信用失墜につながる可能性報告などの対応が遅れ、企業の信用やイメージダウンを招く

例えば2016年には、JTBへの海外からの不正アクセスで個人情報が流出し、報告が遅れたことが問題視されて大きく報道されました。

報告義務を怠ったり遅れたり、被害者に対する説明に不備があったりすると、被害者から法的措置を取られるリスクも高まります。不正アクセスの被害は企業内だけで解決しようとせず、外部に情報を公開する前提で対応することが大切です。

それでは不正アクセスに遭った場合、「いつ・どこに・どのように」報告すればよいのでしょうか。早速見ていきましょう。

不正アクセスによる被害が起こった場合の報告先6つと方法

不正アクセスによる被害が起こった場合、報告するのは次の6つです。

■不正アクセス被害を受けたときの報告先
・上司や上層部
・個人情報保護委員会
・行政機関
・公式サイト
・サイバー犯罪相談窓口
・IPA

なお「サイバー犯罪相談窓口」と「IPA」への報告は必須ではありません。しかし、今後のサイバー犯罪の防止や技術を発展させるために、報告しておくことがおすすめです。

それでは、ひとつずつ解説します。

【報告先1】上司や上層部へ報告する

不正アクセスの被害が発覚したら、ただちに上司や上層部など責任者に報告しましょう。

不正アクセスは企業や顧客、取引先にも関わる問題のため、個人の判断で動くことは危険です。

例えば下記のような異変があったときが、報告するタイミングです。

■上司や上層部へ報告するタイミングの例
・不審なアクセスログや通信ログを検知したとき
・IDやパスワードが変更されているとき
・見覚えのないファイルやフォルダを見つけたとき

また日頃からセキュリティ教育や管理ルールを徹底しておき、問題発生時に社員が報告しやすい体制を構築しておくことが重要です。

【報告先2】個人情報保護委員会へ報告する

次に、個人情報保護委員会のホームページから報告を行います。速報と確報の2回に分けて実施しましょう。

■個人情報保護委員会に報告する対象の事態と期日

項目詳細
報告対象の事態1.要配慮個人情報
2.財産的被害が発生するおそれがある場合
3.不正アクセス等故意によるもの
4.1,000人(行政機関は100人)を超える漏洩等
期日速報:事態の発生の認識後、速やかに(おおむね3〜5日以内)
確報:30日以内(3の場合は60日以内)

報告する際はホームページ内の「漏えい等報告フォーム」から、下記の手順で進めます。

■個人情報保護委員会へ報告する手順
・「問1 マイナンバーは含まれていますか。」に回答してフォームに進む
・「新規報告」または「続報」をクリック
・報告内容を入力する

■個人情報保護委員会へ報告する内容

項目報告内容
報告者の概要氏名、法人番号、住所、電話番号 など
事態の概要発生日、発覚日、事案の種類、発見者 など
事実経過不正アクセスが発生してからの経緯
漏洩した個人情報に係る人数漏洩した情報の種類、人数 など
発生原因不正アクセス・不正利用・盗難・紛失・誤送付 など
二次被害の有無二次被害の有無とその内容
本人への対応状況漏洩した被害者への対応状況
公表の実施状況ホームページにて公表・記者会見・資料配布 など
再発防止策のための措置実施した措置やこれからの対応

参考:個人情報保護委員会|特定個人情報の漏洩等事案が発生した場合の対応について

「発生原因」では、不正アクセスによって攻撃された箇所や攻撃手段も詳しく記載します。例えば「ECサイトへのパスワードリスト型攻撃」などです。

報告の記載例は下記ページから確認できますので、参考にしてみてください。

参考:個人情報保護委員会|不正アクセス事例

【報告先3】行政機関に報告する

特定業種の事業者は、まず管轄する行政機関に報告する必要があります。行政機関に報告が必要なのは、主に次のような事業者です。

■行政機関に報告が必要な事業者の例

業種報告先
電気通信業総合通信局又は沖縄総合通信事務所
放送業
警察共済組合警察庁
郵便事業総務省

参考:個人情報保護委員会|個人情報保護法に基づく権限の委任を行う業種等及び府省庁

例えば電気通信業の場合、本社を管轄する総合通信局に対し、電話またはメールで状況を連絡することになります。

報告先や報告内容の詳細は下記サイトに掲載されていますので、事前に目を通しておきましょう。

参考:個人情報保護委員会|個人情報保護法に基づく権限の委任を行う業種等及び府省庁

【報告先4】公式サイトで報告する

顧客の個人情報を多く扱うサイトの場合、情報が漏洩した恐れがあることを公式サイトで報告・謝罪しましょう。

不正アクセスが発覚した場合、個人情報が漏洩した被害者への「本人向け通知」も義務づけられています。

「本人向け通知」は本人へ直接文書や電子メールを送ることが原則ですが、顧客数が多いECサイトなどの場合は、公式サイト上で公表することも認められています。

公式サイトで報告すべき内容は、下記の通りです。

■公式サイトで公表するときに盛り込むべき項目
・不正アクセスに遭ったサイト名と発覚日時
・発覚した経緯
・発生原因
・漏洩した情報の件数
・二次被害の有無(データの書き換え、クレジットカードの不正使用など)

もし公表時に発生原因が特定できていない場合は、「現在、第三者機関の協力を得て調査しております」のように記載しましょう。

発生した問題に対して、誠実かつ迅速に対処しているとわかるように伝えることも重要です。

「具体的にどのような報告文がよいのか知りたい」方は、下記の記事をご一読ください。ECサイトで不正アクセスが発覚したときの報告例を紹介しています。

【報告先5】サイバー犯罪相談窓口に報告する

不正アクセスの被害に遭った場合は、最寄りの警察署か都道府県警察サイバー犯罪相談窓口に相談しましょう。

サイバー犯罪相談窓口への報告は必須ではありません。しかし、相談することで不正アクセス禁止法に基づき、再発防止のための援助を受けることが可能です。

サイバー犯罪相談窓口に報告する際は、あらかじめ下記を実施しておきましょう。

■報告する前にやるべきことの例
・不正アクセスに遭った証拠(ログ)を可能な限り取得・保管する
・被害に遭ったPC以外のPCやファイアウォールも確認する

PCをシャットダウンすると証拠が書き換わる恐れがあるので、基本的にスリープ状態にしておくことが大切です。

なお全国のサイバー犯罪相談窓口は下記ページから確認できますので、管轄の窓口をチェックしておくことをおすすめします。

参考:警察庁|サイバー犯罪対策

【報告先6】IPAに報告する

IPAでも不正アクセスによる被害の届け出を受け付けているので、報告しておきましょう。

IPAとは「独立行政法人 情報処理推進機構」の略で、コンピュータウイルスやセキュリティに関係する調査・情報提供を行う独立行政法人です。

IPAへの報告は必須ではないものの、次の研究に役立つ情報を提供することで、将来的に被害を減少させることにつながります。

  • ウイルス感染被害の拡大や再発の防止
  • 不正アクセス被害の実態把握
  • 同様の被害発生の防止

IPAに届出を提出する際は、下記の公式サイトをご覧ください。

参考:IPA|コンピュータウイルス・不正アクセスに関する届出について

ここまで、不正アクセスによる被害が起こった場合の報告先6つを解説してきました。

  1. 上司や上層部
  2. 個人情報保護委員会
  3. 行政機関
  4. 公式サイト
  5. サイバー犯罪相談窓口
  6. IPA

しかし、いざ不正アクセスが発覚した場合、どのような手順で対処すればよいか混乱してしまうケースも多いです。

初動をスムーズに起こすことができれば、顧客や取引先からのイメージダウンを防げる可能性も高まります。

ここからは、不正アクセスによる情報漏洩が起きた場合の対応方法を解説しますので、ぜひ続けてご覧ください。

不正アクセスによる情報漏洩が起きた場合の対応方法

不正アクセスが発覚した場合、下記の手順で対応を進めていきましょう。

■不正アクセスによる情報漏洩が起きた場合の対応手順
1. サーバーを物理的に遮断する
2. 不正アクセスによる被害の証拠を保管する
3. 事態の概要をまとめる
4. 関係機関へ報告する
5. 公式サイトで報告する

まずは被害に遭ったサーバーをネットワークから物理的に遮断し、隔離します。そのまま接続し続けていると、再び不正アクセスされて情報漏洩が拡大する恐れがあるためです。

またIDやパスワードが流出した可能性に備えて、アカウント情報を変更しておくことも重要です。元のID・パスワードから推測されにくいものに設定しましょう。

次にサーバーのアクセスログを確認し、不正アクセスによる被害の証拠を集めて保管しておきます。一定期間が経過するとログが削除される可能性があるため、速やかに取得します。

証拠を保管した後は、各機関や公式サイトに報告するために情報を整理しましょう。

下記のように5W1Hで経緯をまとめることで、内容の不備を防げる上、状況を知らない相手にも伝わりやすい文章になります。

項目詳細
だれが(Who)不正アクセスに遭った当事者、企業
なにを(What)不正アクセスされたサイト名、機器名など
いつ(When)いつ発生し、いつ発覚したのか
どこで(Where)どこで不正アクセスが行われたのか
なぜ(Why)なぜ不正アクセスされたのか、発生原因
どうやって(How)不正アクセスの情報

整理できた後は関係機関に報告し、公式サイト上で公表しましょう。

なお不正アクセスが発覚した際の対応や、その後に取るべき動きについては下記の記事で詳しく解説しています。ぜひあわせてご一読ください。

また「社内で情報共有できるような資料が欲しい」という方向けに、不正アクセス被害を受けた後の対応手順マニュアルを用意しております。ぜひ下記から無料ダウンロードの上、ご覧ください。

\不正発覚した時に企業としてどう対応しますか?/

万が一不正アクセスによる情報漏洩が発生した場合、原因調査や顧客対応などに追われて業務を停止せざるを得なくなるケースもあります。

そのため不正アクセスの被害を防ぐ方法を知った上で、日常的に対策しておくことが重要です。続けて解説しますので、ぜひご覧ください。

不正アクセスによる情報漏洩の対策として何をすべきか

不正アクセスによる情報漏洩を防止するために、今すぐ行うべき対策は次の4点です。

■情報漏洩を防ぐために行うべき対策
1. 個人情報の漏洩についての社員研修を行う
2. 守秘義務について書面を取り交わしておく
3. 使用中のソフトやWebサイトの脆弱性について対策する
4. セキュリティソフトを導入する

まずは社員研修を行い、すべての社員に個人情報の取り扱いに関する知識を身につけてもらうことが重要です。情報を社外に持ち出さないことはもちろん、作業ミスや誤操作を防ぐための体制構築やマニュアル作成も検討しましょう。

また使用中のOSやソフトウェアは定期的にアップデートし、サイバー攻撃を受ける隙をなくすことも欠かせません。

さらに、セキュリティソフトや不正検知サービスの導入も効果的です。脆弱性を発見できるだけではなく、不正アクセスを検知して遮断してくれるサービスもあります。

不正アクセスによる情報漏洩の対策方法は、下記の記事でも詳しく解説していますので、あわせてご一読ください。

まとめ:情報漏洩が発生した際は丁寧な報告と謝罪が重要

不正アクセスによる情報漏洩が発生したときは、関係機関や被害者本人へ迅速に報告することが大切です。

報告が遅れるほど被害が拡大したり、企業の信用失墜につながったりする恐れがあります。下記6つの報告先をチェックしておき、速やかに対応できるようにしておきましょう。

■不正アクセスの被害を受けた場合の報告先
・上司や上層部
・個人情報保護委員会
・行政機関
・公式サイト
・サイバー犯罪相談窓口
・IPA

あらかじめ不正アクセスの証拠を保存しておき、詳細な報告ができるように情報をまとめておくことも欠かせません。公式サイトで報告すべき内容は下記の通りです。

■公式サイトで公表するときに盛り込むべき項目
・不正アクセスに遭ったサイト名と発覚日時
・発覚した経緯
・発生原因
・漏洩した情報の件数
・二次被害の有無(データの書き換え、クレジットカードの不正使用など)

また不正アクセスによる情報漏洩が発覚した場合に備え、対応手順をマニュアル化しておくことがおすすめです。

下記の資料では、不正アクセスの被害に遭った後の手順をまとめています。無料ダウンロードの上、社内研修や周知にご活用ください。

\不正発覚した時に企業としてどう対応しますか?/

ピックアップ記事

  1. 転売屋対策に効果のある13個の方法を紹介!転売が引き起こすリスクとは?
  2. サイバー攻撃とは?26種類の手口と事例、対策を徹底紹介
  3. テレワークで気を付けるべきこと・必要なセキュリティ対策8つ
  4. フィッシングサイトを検知する3つの方法!企業が受ける被害例も紹介
  5. 【2024年最新】クレジットカードの不正利用被害は過去最高額!クレカ不正の発生状…

関連記事

  1. 不正アクセス

    ChatGPTを使った不正利用とは?4つの事例や被害を防ぐ対策を紹介

    ChatGPTは、大量の言語を学習して自然な文章が生成できる人工知能(…

  2. 不正アクセス

    不正アクセスを早期発見!モニタリングの重要性や方法を解説

    「不正アクセスのモニタリングは必要?」「不正アクセスのモニタリング…

  3. 不正アクセス

    不正アクセスを防ぐ9つの対策とは?不正手口や4つの対処法も解説

    不正アクセスとは、本来アクセス権限を持たない者がサーバや情報システムの…

  4. 不正アクセス

    フィッシング攻撃とは?5つの手法やリスク、予防と対策まで徹底解説

    フィッシング攻撃とは、個人情報を抜き取ろうとする詐欺手法です。フィッシ…

  5. 不正アクセス

    個人情報漏洩時の3つの罰則規定を詳しく解説|企業の漏洩リスクや対策も紹介

    個人情報の漏洩には、罰則や多額の損害賠償の支払いといったリスクが存在し…

フィッシング対策状況を今すぐチェック。「フィッシング対策セルフチェックシートWebサイトのなりすまし対策に!鉄壁PACK for フィッシング
クレジットカードの不正利用対策はしていない!?独自調査レポート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード
自社の商品の転売状況を「転売チェッカー」で調べてみませんか?

おすすめ記事

  1. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  2. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  3. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  4. QRコード決済は危険?不正利用される原因や安全に使える電子決…
  5. 不正アクセスとは?主な4つの手口と対策、被害事例を紹介
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正アクセス

    なりすましによる不正アクセスの被害内容と具体的な対策(不正検知)について
  2. EC構築・ノウハウ

    抽選販売による転売対策とは?事例・有効な対策方法4つを紹介
  3. 不正検知・ノウハウ

    メタバースでなりすましされた場合のリスクとは?対策6つを紹介!
  4. 不正検知・ノウハウ

    2016年改正、2018年施行の割賦販売法。2020年3月が対応期限で東京オリン…
  5. 不正アクセス

    【見本あり】ネットショップの詐欺サイトとは?見分け方・被害を防ぐ対策
PAGE TOP