IT & Information security Journal

  1. UNITIS
  2. セキュリティと法律
  3. 「個人情報の漏えい対応だけではない」セキュリティインシデントの対応フロー

「個人情報の漏えい対応だけではない」セキュリティインシデントの対応フロー

近年、委託先企業がランサムウェア攻撃に遭うケースが相次いでいます。ランサムウェア攻撃により、個人情報が漏えいしたおそれがある場合には、個人情報保護法に則った対応が求められますが、TMI総合法律事務所 パートナーで、TMIプライバシー&セキュリティコンサルティング株式会社 取締役の寺門 峻佑弁護士は「個人情報の漏えい対応だけを考えて、セキュリティインシデントに対応していてはいけない」と指摘します。

ランサムウェアによるセキュリティインシデントが発生してしまった場合、どのような対応を、どんな順番で取るべきなのか。2024年12月10日に、寺門弁護士がセキュリティインシデント発生時の全体的な対応フローを解説した講演の模様を紹介します。

この記事のポイント


  • 委託元企業は、情報漏えいが発生したのが委託先であったとしても、エンドユーザーに対する責任を負わなければならず、またエンドユーザーからは加害者的な位置付けとして見なされることになる

  • セキュリティインシデントが発生した場合、個人情報保護法対応や顧客対応の観点から、インシデント対応チームを迅速に編成することが重要になる

  • 平時からの対応としては、インシデント対応チームを編成しておくことに加えて、各種体制整備や対策の前提となる「データマッピング」と「リスクアセスメント」を行うことが重要

ランサムウェア攻撃を受けた場合の法的責任

IPA(独立行政法人情報処理推進機構)が発表した「情報セキュリティ10大脅威 2025 組織編」1 では、「ランサム攻撃による被害」が1位となり、10年連続でランクインしています。

また,昨今では「サプライチェーンや委託先を狙った攻撃」(同2位)も大きな脅威になっており、自社が起用している委託先を含めたサプライチェーン全体を、ランサムウェアなどからどう守るかを考えていかなければなりません。寺門弁護士は、委託先がランサムウェア攻撃により情報漏えい等の被害を被った場合に、委託元・委託先企業および攻撃者に発生する法的責任の典型例について、下図のとおり説明します。

委託先がランサムウェア攻撃を受けた場合に発生する法的責任の典型例
委託先がランサムウェア攻撃を受けた場合に発生する法的責任の典型例

攻撃者は、不正アクセス禁止法違反や、ランサムウェアを使った脅迫による恐喝罪といった刑事責任を問われ、損害賠償責任も負うこととなります。しかし、攻撃者当人を見つけ出すことは至極困難です。

また特に、委託元企業(上図左下)は、情報漏えいが発生したのが委託先であったとしても、エンドユーザーに対する責任を負わなければならない点に注意が必要です。委託元企業から委託先に対して民事責任を追及することはできますが、エンドユーザーからは、委託元企業も加害者的な位置付けとして見なされることになります。

ランサムウェア被害時の「身代金」「取引先」対応

また、ランサムウェア被害の特殊性として、データの「身代金」が要求される点があげられます。

寺門弁護士いわく、身代金を支払って解決することは「基本的には許されない」という考え方が一般的です。その理由の1つとして、身代金の支払いが法令に抵触する可能性があげられます。たとえば、米国ではブラックリストに載っているテロリスト集団への資金供与に対して大きな制裁金を課すOFAC規制 2 があり、身代金の支払いが違法になるケースもあります。また、身代金を払ったとしても、攻撃者がデータを戻してくれたり、盗んだデータの流出を控えてくれたりする保証はありません。

さらに、ランサムウェア被害に遭うと、通常であれば、取引先に対する適切な説明が求められ、対応が完了するまで取引をいったん停止されることもあります。被害に遭ったことを隠して身代金を払って解決してしまうことは、取引先を欺くことになり、信頼を失うことに繋がります。また、身代金を支払ったことが明るみに出れば企業倫理が問われ、世間からバッシングを受けることにもなりかねません。

そうならないためにも「被害に遭ったら迅速に対応して復旧する。そして取引先に対してきちんと説明できるような準備を平時から行っておいてほしい」と、寺門弁護士は強調しました。

ランサムウェア身代金は払っていいのか? 法令や判断基準、事前策を弁護士が解説

委託元・委託先企業がとるべき個人情報保護法対応

委託元企業の場合

委託先でランサムウェア攻撃による情報漏えいが発生した場合、委託元企業には、個人情報保護法上どのような対応が求められるのでしょうか。

個人情報保護法では、個人情報取扱事業者 3 が取り扱う個人データの漏えい等であって、個人の権利利益を害するおそれが大きいものが生じた際には、個人情報保護委員会に報告することが義務付けられています。

具体的な報告対象は以下のとおりで、ランサムウェア攻撃による情報漏えいは「不正の目的をもって行われたおそれがある行為による漏えい等」に該当します。

  • 要配慮個人情報が含まれる個人データの漏えい等
    (例:従業員の健康診断の結果、電子カルテなど)

  • 不正に利用されることにより財産的被害が生じるおそれがある個人データの漏えい等
    (例:クレジットカード情報、決済サービスのログインID/パスワード)

  • 不正の目的をもって行われたおそれがある行為による漏えい等
    (例:不正アクセス、ランサムウェアによる暗号化、内部不正による情報盗取)

  • 個人データにかかる本人の数が1,000人を超える漏えい等
    (例:システムの設定ミス等による個人データが閲覧可能な状態)

ランサムウェアによってシステム内のデータのすべてが暗号化されてしまった場合に、現場部門や経営層から「個人情報が漏れた証拠がなければ報告する必要はないのではないか」との質問を法務部門・セキュリティ部門が受けることもあるようですが、寺門弁護士は「法律上、そのようなルールにはなっていない。あくまでも漏えい、滅失、毀損のおそれがあれば報告対象となるので、それらの可能性が合理的に否定できない以上は、報告の対象になる」と説明します。

個人情報の漏えい(のおそれ)が判明した場合、3~5日以内(営業日換算ではない)に個人情報保護委員会に「速報」を出さなければなりません。その後、ランサムウェア被害の場合であれば60日以内に調査のうえ、再発防止策まで策定して「確報」を行うことになります。

この60日という期間について、寺門弁護士は「猶予が長いように感じるかもしれないが、フォレンジック調査や原因究明を行ったうえでの報告になるため、実際には間に合わせるのが難しい」と語ります。インシデントを検知した場合、セキュリティ部隊はまず現状復旧に動くことになりますが、「並行して法対応を迅速に進めるためにも、法務部門にも一報入れることを意識していただきたい」と寺門弁護士は提言しました。

委託先企業(受託企業)の場合

自社が委託先企業として、さまざまな企業から業務委託を受けている場合、インシデントの発生時には、委託元企業への報告や協議が必要になります。

個人情報に限らず、顧客企業から預かった営業秘密、仕様書、設計図面などが漏えいすれば、顧客企業にとってクリティカルな事態になりかねないため、しっかり事態を把握したうえで説明を行うことが肝要です。

TMI総合法律事務所 パートナー 寺門 峻佑弁護士
TMI総合法律事務所 パートナー 寺門 峻佑弁護士

セキュリティインシデント発生時の対応フロー

こうした個人情報保護法に則った対応は重要ですが、一方で「個人情報の漏えい対応だけを考えて、セキュリティインシデントに対応していてはいけない」と寺門弁護士は提言します。企業が保有する情報は個人情報に限らず、たとえば、顧客から預かった仕様書や設計図面、そのほか営業秘密なども含まれます。

それでは、セキュリティインシデントが発生してしまった場合、どのような対応を、どんな順番でとるべきなのでしょうか。寺門弁護士はセキュリティインシデントが発生した際に、委託元企業(個人情報取扱事業者)がとるべき対応の全体フローを紹介しました。

初動から第1報までの対応


対応 備考

① インシデント検知

各部門から、CSIRT事務局に連絡

② インシデント対応チームの編成

CSIRT事務局が、関係部門に連携し、チームを編成

  • 社内
    社長/CIO、情報セキュリティ/個人情報責任者、広報、法務

  • 社外
    弁護士、フォレンジックベンダー、PR会社等

インシデント検知後、ただちにチーム組成することが非常に重要

③ トリアージ、影響調査

影響範囲、粒度などを総合考慮した優先順位付け


  • 想定される影響範囲(どの範囲で、どんな影響・被害か)

  • 二次被害防止等の検討・実施

  • 証跡・ログ等の保全

  • 調査対応のスコープ・期限・役割等(フォレンジックを含む)

  • プレスリリース対応(いつ、どのレベルで、どこに)

  • 当局報告対応(いつ、どのレベルで、どこに)

  • 顧客対応(いつ、どの範囲の顧客に、どんな方法で)

  • その他(コールセンターや第三者委員会の要否など)

迅速かつ適切に優先順位付けすることがインシデント対応の方向性を決定する(様々なケースへのシミュレーションを平時からしておくことが有効)

④ 個人情報保護委員会その他関連当局への報告(速報)

その時点で把握している事項(事実関係、影響範囲・被害内容、二次被害の可能性、今後の調査や対応方針等)について概要報告

海外法令対応(域外適用有無、属地主義、現地法人対応等)に留意

⑤ 警察その他関連機関との連携

サイバー攻撃事案の場合、警察には必ず相談し(被害回復の努力の証跡)、プレスリリースでも言及することが望ましい

⑥ 早期の通知・対外公表(第1報)

対外公表の要否を判断のうえで対応
(内容は、当局報告と同等)
※適示開示、個人情報保護法、民事責任 等

まずは事実関係を把握したうえで(①)、外部リソースを含めたインシデント対応チームの編成(②)をすぐに行う必要があります。その際、セキュリティ担当者だけでなく、意思決定権者となるCEOやCIO、個人情報責任者、対外的な説明にあたる広報、法務、さらに外部の弁護士やフォレンジックベンダー、PR会社などに声をかけなければなりません。

このチーム編成に何日もかかるようだと、個人情報保護法に定められている速報の期限(3~5日以内)に間に合わなくなってしまいます。また、そもそもランサムウェア攻撃によってサービスが提供できない状況になった場合には、当日〜翌日には顧客への説明が求められることからも、対応チームは迅速に編成することが重要になります。

チームが組成できたら、③トリアージ、影響調査を行います。影響範囲の想定、二次被害防止策の策定、証拠ログの保全のほか、調査会社に依頼するうえでのスコープ・期限・役割分担の確認、プレスリリースや当局(個人情報委員会、警察、監督省庁など)への報告をいつ、どのレベルで、どこに行うかの決定、さらに顧客対応の方針やコールセンターの設置要否の判断などが、このステップで行うべき内容です。

こうして定めた方針にもとづいて、個人情報保護委員会や警察等の関連当局への報告・連携、対外公表を進めることとなります。

第1報以降の対応


対応 備考

⑦ 顧客対応(第1次)

早期の通知・対外公表後の問合せ対応
(対応記録、想定Q&A、定例会等)
※(必要に応じて)問い合わせ窓口・コールセンターの設置

クレーム対応、レピュテーション回復の取組みの2つの側面がある。タイムリーな回答が大切

⑧ フォレンジック調査と再発防止策の策定

情報システム部門等を中心に、専門の調査会社を起用のうえ、発生原因等についてのフォレンジック調査を行い、調査結果をもとに再発防止策を策定する

調査会社の調査着手に時間を要することも多く、調査会社への早期のコンタクト開始がポイント
※平時からの関係性構築の重要性

⑨ 各種データへの影響調査

法務部門や営業部門等を中心に、サイバー攻撃の対象サーバ等に含まれていた各種データ(個人データ、取引先の営業秘密等のデータ、自らの営業秘密等のデータ等)を精査する

ランサムウェア事案では暗号化され把握が困難になり関係各部署へのヒアリングで把握するほかないケースも
※平時からのデータマッピングの重要性

⑩ 個人情報保護委員会その他関連当局への報告(確報・続報)

速報の内容をアップデートして報告(事実関係、影響範囲・被害内容、二次被害可能性等、今後の調査や対応方針、再発防止策等)
60日の期限内に間に合わない場合は、期限内に確報を出したうえで、続報により情報アップデート

⑪ 通知・対外公表(第2報・最終報告)

個人情報保護法上の本人通知および対外公表に加え、取引先通知・従業員通知・対外公表を検討のうえ実施

速報、続報、最終報告、のケースが多い

⑫ 顧客対応(第2次)

その後の通知・対外公表後の問合せ対応(対応記録、想定QA、定例会等)
※(必要に応じて)問い合わせ窓口・コールセンターの設置

クレーム対応、レピュテーション回復の取組みの2つの側面がある。タイムリーな回答が大切

当局への報告や対外公表が終わった後は、顧客に丁寧な説明をしていかなければなりません。インシデントを公表すると問い合わせが殺到するため、スムーズに対応するための想定Q&Aを用意したり、質問内容をしっかりと記録したりする必要があります。また、重要な顧客に対しては定例会を実施したりすることも考えられます。

さらに、フォレンジックベンダーからあがってくるレポートをもとに、再発防止策を策定することとなります。また。法務部門・営業部門を中心として、各種データへの影響調査を行う必要もあります。取引先や顧客から「うちのデータは漏れたのか、漏れてないのか」「どの範囲のデータに影響があったのか」など、厳しい追及を受けることになると思われるため、そうした問い合わせにきちんと対応できる体制が非常に重要になります。

「説明責任」を果たすための平時からの取組み

こうした一連の有事対応を見据えて、委託元企業はどういった平時対応を実施すべきなのでしょうか。

寺門弁護士は、有事において即座にインシデント対応チームを立ち上げられるよう、平時からチーム編成を行っておくことが重要だと指摘します。特に、内部人材だけでなく外部でも、複数のフォレンジックベンダーと関係性を構築しておく、依頼する弁護士を決めておくといった周到さが求められます。

有事に備えたチーム組成例とポイント
有事に備えたチーム組成例とポイント

また、有事に備えては下表のような体制整備・対策が有効であると寺門弁護士は紹介しました。


対応 ポイント等
サイバー攻撃による情報漏えい防止 インシデント対応マニュアルの策定および運用
  • 検知から初動、速報までをスムーズに対応できるか
  • 重要システムは、定期的な訓練または演習が必要
CSIRT設置
  • 全社的な情報セキュリティに係る企画、決定、調整、管理を担う
  • 経営層による最終的な意思決定を行う
外部委託先管理 外部委託先選定基準・クラウド導入基準の策定および運用 自社が目指すセキュリティ水準を踏まえ、業界標準やベストプラクティスから取捨選択して策定
民事責任・契約上の責任への対応 顧客との契約でのセキュリティに関する取り決め
  • セキュリティに関する仕様や責任範囲、料金(開発費に含むのか、別途か)を、契約上で明確化
  • セキュリティ対策を含まない場合は、その旨を契約書に明示

ただし、いずれの体制整備・対策をとるうえでも欠かせない前提となるのが「データマッピング」と「リスクアセスメント」です。

「自社が保有するデータの状況やそのリスクについて理解できていない企業がとても多いように感じる。その状態でランサムウェア被害に遭い、データがすべて暗号化されてしまうと、取引先からの追及に対して『どんなデータを持っていたか分かりません』としか答えられなくなってしまう」(寺門弁護士)

そのため、平時から「自分たちがどこにどんなデータを持っていて、誰がそれらにアクセスできる状態になっているのか」「ランサムウェア攻撃を受けた場合に致命的なダメージを受けるような情報を持っているのか、それらをどう管理しているのか」を把握するよう努めなければならないと語り、寺門弁護士は講演を結びました。

(文:渡邊智則)

  • 独立行政法人情報処理推進機構(IPA)「情報セキュリティ10大脅威 2025」(2025年1月30日、2025年5月22日最終更新、2025年6月25日最終閲覧)↩︎
  • 米国財務省 外国資産管理局「Office of Foreign Assets Control↩︎
  • ここでいう「個人情報取扱事業者」とは、個人情報保護法において、個人情報データベース等を事業の用に供している者を指します。↩︎
寺門 峻佑

寺門 峻佑

TMI総合法律事務所 弁護士

日本国・ニューヨーク州弁護士、TMIプライバシー&セキュリティコンサルティング株式会社取締役、情報処理安全確保支援士(第011789号)、情報セキュリティ監査人補。内閣サイバーセキュリティセンタータスクフォース、経済産業省大臣官房臨時専門アドバイザー、防衛省陸上自衛隊通信学校非常勤講師、滋賀大学データサイエンス学部インダストリアルアドバイザー等を歴任。国内および海外のデータ利活用における個人情報保護法対応・情報漏えいインシデント対応を中心としたデータ・プライバシー領域、eコマース・プラットフォーム/アプリ/AI開発・ライセンスを中心としたIT法務、IT関連を中心とした不正調査・国内外紛争案件を主に取り扱う。米国Wikimedia Foundation, Inc.法務部、エストニアのLaw Firm SORAINENでの勤務経験も有する。

UNITIS@unitis_desk

最新情報をフォローする

UNITISは、IT・セキュリティ担当者へ、実務家・専門家による解説や他社事例等を伝えるメディアです。セキュリティ・法律の専門家による実務解説や分析、第一線の実務家による事例・ノウハウをお届けします。

最新情報をフォローする

あわせて読みたい

この記事をシェアする

TOP