個人情報漏えい・セキュリティ事故の初動対応ガイド（委託・再委託の場合）

IT企業にとって、個人情報の漏えいやセキュリティ事故が発生した際の「初動対応」は事業の信頼を守る上で極めて重要です。特に、自社サービスの提供に委託先や再委託先（下請け）が関わっている場合、「誰が誰に」「いつ何を」報告・連絡すべきかが複雑になりがちです。法律の専門知識がない経営者や実務担当者でも迷わず動けるよう、本記事では個人情報漏えい事故発生直後の実務対応について解説します。焦りや不安が大きい事故対応ですが、ポイントを押さえておけばリスクを最小化し、取引先や顧客からの信頼維持につなげることができます。

個人情報漏えい発生！最初に取るべき行動とは

事故が発覚した直後は混乱しがちですが、初動で押さえるべき基本ステップがあります。個人情報保護委員会のガイドラインでは、漏えい等の事案が発覚した場合に事業者が講ずべき措置として次の5点を挙げています

事業者内部での報告と被害拡大防止策

まず社内の関係部署や上層部へ事態を迅速に報告します。同時にシステム遮断やパスワード変更など、被害が広がらないための応急措置を取ります。

事実関係の調査と原因の究明

漏えい原因（サイバー攻撃か人的ミスか等）を調査し、流出した情報の内容や範囲を把握します。証拠保全もこの段階で重要です。

影響範囲の特定

何人の、どのような個人情報が影響を受けたのか、二次被害の恐れはあるかを確認します。

再発防止策の検討・実施

原因に応じて、再発を防ぐためのセキュリティ強化策や教育・監督体制の見直しを検討します。可能なものは直ちに実施します。

監督官庁への報告と本人への通知

一定の場合には、法令上所定の機関への報告および本人への通知が義務となります。
初動対応ではこれら法定の対外対応を速やかに行うことが求められます。

上記のうち特に⑤について、本記事では詳しく解説します。いつまでに・誰に・何を報告すべきかを正しく理解し、社内報告から外部通知まで素早く着手することが重要です。ではまず、法律上の報告義務の内容とタイミングを確認しましょう。

個人情報保護法が定める報告・通知義務とは

報告義務の概要（監督機関への報告）

2022年4月の改正個人情報保護法施行により、一定の個人データ漏えい等が発生した場合、事業者には所管機関への報告義務が課されています。報告先は基本的に「個人情報保護委員会（PPC）」ですが、業種によっては権限委任された所管府省庁が報告先となります。

報告義務の対象となる事態（報告対象事態）は、次のいずれかに該当する場合です

①要配慮個人情報（機微情報）を含む個人データの漏えい等が発生、またはそのおそれがある場合
例：顧客の病歴データやマイナンバーなど、慎重な取扱いが必要な情報が含まれていた場合。

②個人データの不正利用によって財産的被害（経済的な被害）が生じるおそれがある場合
例：クレジットカード情報や口座情報が流出し、不正利用されるリスクがある場合。

③不正の目的（サイバー攻撃や内部不正など）によって漏えい等が発生した、またはそのおそれがある場合
例：ハッカーによる不正アクセスや、従業員の悪意ある持ち出しが疑われる場合。

④漏えい等により1000人を超える個人に関する情報が影響を受けた、またはそのおそれがある場合
例：大量の顧客データベースが流出した可能性がある場合。

上記に該当する事故が発生したとき、事業者は法第26条に基づき速やかに所管機関へ報告しなければなりません。なお、「高度に暗号化されている」など漏えいしても個人の権利利益を害するおそれがない場合には報告不要とされるケースもあります。

しかし判断が難しい場合は専門家に相談しつつ、基本は報告する方向で検討すべきでしょう。

報告先：個人情報保護委員会 or 所管省庁

報告は原則として個人情報保護委員会に対して行います。ただし、同委員会が業種ごとに監督権限を他の府省庁に委任している場合、その所管官庁が報告先となります。

例えば、電気通信事業や金融業など一部の分野では、報告を受け付けるのが各事業所管省庁（総務省や金融庁等）となっています。自社の業種が該当するかどうか、日頃から確認しておきましょう。報告先を誤ると対応遅れにつながりますので注意が必要です。

参考例： ソフトバンク株式会社では、2025年に発覚した大規模な委託先による個人情報流出事故において、6月3日付で監督官庁および関係機関へ報告したと公表しています。

ソフトバンクは電気通信事業者であるため、所管官庁である総務省に対して報告を行ったものと考えられます。このように、自社が属する業界の監督官庁を把握し、その指示に従って報告することが肝要です。

速報・確報のタイミングと内容

報告は二段階で行うことが義務付けられています。

一度目は事故の速報（初報）、二度目は詳細が判明した段階での確報（最終報告）です。それぞれの目安期限は以下の通りです。

速報: 報告対象事態を知ったとき速やかに（発覚から概ね3～5日以内）

確報: 30日以内（※不正目的の攻撃など悪質な場合は猶予60日以内）

事故を把握したら、まず数日のうちに分かっている範囲の情報で速報を出します。速報段階では原因調査や被害状況が完全には掴めていなくても、「現時点で把握している内容」を報告すれば差し支えないとされています。

重要なのは遅滞なく当局に第一報を入れることです。後から判明した事実や追加情報は確報で補足・修正すればよいので、速報を怠ることのないよう注意しましょう。

報告の内容

報告（速報・確報）時に提出すべき事項は、ガイドラインで9項目に整理されています

報告フォーム（個人情報保護委員会HPにオンラインフォームがあります）に沿って入力しますが、主な項目は次の通りです。

①概要（いつ、何が発生し、誰が発見したか等の基本情報。委託元・委託先の別や事実経過も含む）
②漏えい等した個人データの項目（氏名、住所、メール、クレジット情報など具体的に）
③影響を受けた本人の数（何人分のデータか概数）
④原因（判明している範囲で原因や手口）
⑤二次被害の有無・内容（情報悪用による被害が出たか、その恐れ）
⑥本人への対応状況（本人通知を行ったか否か、今後の予定）
⑦公表の実施状況（報道発表やWebで公表したか否か）
⑧再発防止策（講じた、または講じる予定の対策）
⑨その他参考事項（上記に当てはまらない伝達すべき情報）

速報では判明していない項目もあるかもしれませんが、把握している範囲で記入します。確報時には不足情報を補完し、再発防止策など事故後の対応も含めて報告することになります。

本人への通知義務とポイント

重大な個人情報漏えいが起きた場合、被害に遭った本人（情報の本人）への通知も法律上の義務となります。

通知が必要となるケース（通知対象事態）も、先ほどの報告対象事態と同じ4類型です。つまり、要配慮情報が含まれる場合や1000人超の漏えい等が発生した場合などには、被害に遭った可能性のあるすべての個人に対し通知を行わなければなりません。

通知のタイミング

法律上、「報告対象事態を知ったときは状況に応じて速やかに通知を行うこと」とされています。具体的に「○日以内」といった期限は明示されていませんが、ガイドラインでは以下の点を考慮して判断するとされています

①その時点で把握している事態の内容（何がどこまで分かっているか）
②通知を行うことで本人の権利利益が保護される可能性（早く知らせれば被害防止に役立つか）
③通知を行うことで生じる弊害（通知の結果、捜査やセキュリティ確保に支障が出ないか 等）

要は、可能な限り早く通知することが原則ですが、調査中の段階で通知することでかえって混乱を招く場合などは多少の猶予も認められる、というニュアンスです

もっとも、「必要な事項が全て判明するまで通知を待ってよい」という意味ではないので注意が必要です。
被害拡大防止のために有益であれば、判明している範囲で速やかに本人に知らせるべきでしょう。

通知の方法と内容

通知方法は原則として書面交付やメール送信等、本人に確実に届けられる手段で行います。多数の本人に通知する場合は、状況によっては代替措置（例えばWeb上での告知と問い合わせ窓口設置など）も認められています。

通知すべき内容としてガイドラインで挙げられているのは以下の5項目です

①概要（何が起きたかの概略）
②対象となる個人データの項目（漏えいした情報の種類）
③原因（可能な範囲で原因や経緯）
④二次被害の有無・内容（判明している被害やそのリスク）
⑤その他参考事項（本人が取るべき対応策の案内等）

加えて、問い合わせ先の連絡先も明記します。例えば「この件に関する専用窓口」を設置して電話番号やメールを案内するなどの対応が望ましいです。実際、前述のソフトバンクの事例では専用の問い合わせ窓口が設置され、電話番号が公表されています。

本人からの不安や質問に答えられる体制を整えることで、被害者であるお客様の権利利益を保護し、信頼回復に努めることができます。

それでは次に、委託や再委託が絡む場合に焦点を当てて、複数の関係者間での報告・連絡フローについて詳しく見ていきます。

委託・再委託の場合の報告フロー：誰が誰に何を伝えるべきか

クラウドサービス提供やシステム開発では、業務の一部を外部企業に委託することが日常的に行われています。このサプライチェーン上で事故が発生した場合、報告責任がどのように分担されるのか整理しておきましょう。

委託元・委託先それぞれの報告義務

原則として、個人データの取扱いを他社に委託している場合でも、委託元（データを委ねた会社）と委託先（データを預かり処理する会社）の双方が、それぞれ個人情報保護法上の報告義務を負います。

漏えい等が発生した場所がどちらであっても、データを扱う両者ともが「個人情報取扱事業者」として責任を持つためです。したがって、本来であれば委託元企業も委託先企業も、それぞれ自分の立場でPPC等への報告と本人通知を行う義務があるとされています。

しかし実務上、同一の事故について委託元・先が重複して報告・通知するのは非効率ですし、本人への通知も二重に届けば混乱を招きかねません。そこで法律には例外規定が設けられています。委託先が事故の必要情報を速やかに委託元へ通知した場合、委託先自身の報告義務・通知義務は免除されます。

これは委託元が主体となって一元的に対応する方が合理的だからです。

具体的には、委託先企業が漏えい事案を知ったら、先述の報告事項9項目のうち判明している事項をすべて3～5日以内を目安に委託元へ連絡します。

例えば「○月○日に当社委託先である○○社で個人情報漏えいの恐れが判明。現時点で判明している範囲では顧客△△名の氏名・住所が含まれる。原因は調査中…」といった内容です。こうした通知を受けた委託元企業が、監督官庁への報告と本人通知を取りまとめて実施することになります。

委託先から情報提供を受けた以上、委託元はその時点で事故を認知したことになるため、遅滞なく自社の責任で個人情報保護委員会に報告を行う必要があります。

報告書は委託元・委託先の連名で提出することも可能です

委託先企業の対応

委託先企業側は自らの報告義務が免除されるとはいえ、委託元による報告書作成や本人通知に協力する義務があります。例えば原因調査の結果や再発防止策の策定状況など、委託元に提供すべき情報があれば速やかに共有します。同様に、本人通知についても委託元主導で行われる場合、通知文面の作成や問い合わせ対応で委託先が協力する場面もあるでしょう。

まとめると「委託先→委託元へ迅速に必要情報を通知」→「委託元が一括して当局報告・本人通知」という流れです

委託元・先の密な連携が不可欠であり、どのような情報をどのタイミングで共有するかを日頃から取り決めておくことが重要です。次に、この取り決めをきちんと行う方法について見てみましょう。

事前の取り決めと契約での明文化

委託先で事故が発生した場合に備え、委託元としては平時から初動対応フローを委託先と確認し、契約書に盛り込んでおくことが望ましいとされています。

例えば、「個人情報漏えいの疑いが生じた場合は○時間以内に委託元へ報告すること」や「委託元の許可なく公表しないこと」などを契約条項で定めます。また、再委託（孫請け）を行う場合は事前に委託元の許諾を得ることも契約上しっかり規定すべきポイントです。

実務上の注意点: サイバー攻撃や紛失事故では、「情報漏えいが発生した確証」はすぐ得られず「漏えいのおそれ」がある状態が長引くケースも多いものです

しかし個人情報保護法では、この「漏えいのおそれ」が生じた段階でも報告義務が発生します
そのため、疑わしい事態が起きたら委託先はすぐ委託元に連絡するという姿勢が必要です

たとえば「社内PCがマルウェア感染し個人データ流出の懸念がある」段階でも、委託元に相談なく独断で様子見するのは厳禁です。委託元企業側も、委託先がためらわず報告できるよう日頃から「何かあったらまず連絡を」と伝えておき、契約にもその旨を明文化しておきましょう

再委託先（孫請け）で事故が起きた場合

IT業界では、委託先がさらに別の企業に業務を再委託するケースもあります。その再委託先で事故が起きた場合も基本的な考え方は同じです。つまり、再委託先（孫請け）はまず自らの直接の契約相手である委託先（一次受け）に報告し、委託先はそれを受けて委託元に報告します。

そして最終的には委託元が当局報告・本人通知を行います。再委託が重層的になっている場合でも、階層を一つずつ遡って情報共有するイメージです。情報が伝わるのに時間を要するため、各段階での迅速な連絡がより一層重要になります。

現実には、再委託構造が不透明で委託元が事故を把握していなかったという事例もあります。2025年ソフトバンクの事案では、一次委託先のUFジャパン社が委託元であるソフトバンクに無断で協力会社（実質的な再委託先）と契約し、同社が契約ルールに反した個人情報の扱いをしていたことが後から判明しました。

さらにUFジャパン社はソフトバンクが行ったセキュリティ監査に虚偽報告をしていたことも発覚しています。このケースでは、再委託先で起きた不正行為が即座に共有されず被害を拡大させてしまいました。

教訓: 委託元は再委託の有無を含めたサプライチェーン全体の見える化と、契約順守の徹底が不可欠です。再委託を禁止または許可制にすることはもちろん、許可した場合も契約で「再委託先にも同等の個人情報保護義務を負わせ、事故時は速やかに報告させること」を義務付けます。

万一無断の再委託が発覚した場合には契約違反として厳正に対処する姿勢を示すことも、他の委託先含め信頼維持には重要です。ソフトバンクの例でも、同社は問題発覚後ただちにUF社への委託業務を停止し、契約解除を実施しています。

以上、委託・再委託時の社内外報告フローを確認しました。要約すれば「データを預けた側（委託元）と預かった側（委託先）が協力し、迅速に情報共有して対応する」ということです。続いて、初動対応で陥りがちなミスとその対策について見てみましょう。

初動対応でよくあるミスとその防止策

重大インシデントの初動対応はプレッシャーが大きいため、対応を誤るケースも少なくありません。以下にありがちな初動ミスと、その防止策をまとめます。

報告・通知の遅延

発覚から報告まで時間が空いてしまうケースです。原因として「社内で隠蔽しようとした」「どの時点で報告義務が生じるか判断に迷った」「原因解明や対策が完了するまで報告を待ってしまった」等が挙げられます。

しかし報告の遅れは違法となるだけでなく、被害拡大や信頼失墜を招きます。実際、2024年に発生した卒業アルバムデータ流出事件では、印刷会社がサイバー攻撃を11月に把握しながら「アルバム納品を優先」して公表を先延ばしにした結果、半年後に被害が判明し混乱を生みました。

このような事態を避けるには、「疑わしきは速やかに報告」の原則を周知徹底することです。社内規程で発覚から〇日以内の当局報告を義務付け、経営層も「悪い情報ほど早く上げよ」という風土を作りましょう。法的義務の発生有無が判断つかない場合でも、弁護士等に相談しつつ早めに監督機関へ連絡・相談するくらいの積極性が望まれます。

関係者への連絡漏れ

インシデント対応では社内外で連絡すべき相手が多岐にわたります。これを失念すると後々トラブルになります。例えば委託元への報告を失念した委託先が、後日になってから事故を伝えたために委託元の対応が後手に回った、というケースがあります。

また社内でも、現場担当者が経営陣への報告を怠り独断対応してしまい重大判断を誤る例などもあります。防止策としては、あらかじめ連絡フローを図解し、誰が・いつ・誰に報告するかを決めておくことです。例えば「事故発覚→即座にCSIRT（社内事故対応チーム）および役員に報告→法務担当が当局対応、営業担当がお客様対応…」というように役割と報告系統を明文化します。連絡先リストも整備し、営業時間外でもすぐ連絡が取れる体制（緊急連絡網の整備）を構築しておきましょう。

契約条項で定めておくべき初動対応ルール

委託先との契約書には、個人情報の取扱いに関する安全管理義務だけでなく、事故発生時の具体的な対応手順や連絡方法を明記しておくことが重要です。以下に契約に盛り込むべき主な初動対応ルールを挙げます。

事故・疑義発生時の速やかな連絡義務

「個人情報の漏えい、滅失、毀損その他の事故またはそのおそれを認識した場合、委託先は○時間以内に委託元に報告すること」といった条項を定めます。ここでポイントは「漏えいのおそれを認識した場合」も含めることです。些細な疑いでもまず連絡させることで、判断遅れによる報告遅延を防ぎます。

報告内容の具体例提示

連絡時に伝えるべき事項（日時、概要、判明している範囲の被害状況等）を列挙しておくと、委託先は何を報告すればよいか明確になりスムーズです。法律上の報告事項9項目を参考に、「少なくとも以下の情報を含めて報告すること…」と書いておくとよいでしょう。

再委託時の義務

委託先がさらに再委託する場合には、事前に委託元の許可を得ることとし、許可した場合も再委託先に対し本契約と同等の情報保護義務・事故対応義務を契約で課すことを義務付けます。

無断で再委託した場合の罰則（契約解除や損害賠償）も明記します。これによりサプライチェーン全体での初動対応網を担保します。

公表や本人通知の役割分担

対外公表や本人通知は委託元の判断で行うこと、委託先は勝手に公表・通知しないことを定めます。ただし、委託先自身に法令上報告・通知義務が生じる場合に委託元が対応しないときは委託先が行う、といった例外も規定しておくと安心です。

事故調査・再発防止への協力義務

委託先は事故原因の調査や被害拡大防止策の実施、再発防止策の策定について委託元に協力することを義務化します。証拠保全やフォレンジック調査への協力、必要データの提出など具体的に列挙しておくと良いでしょう。ソフトバンクの事例でも、同社は委託先で使用していたPC全台のフォレンジック調査や関係者ヒアリングを実施しています。

こうした調査に委託先が非協力的だと真相究明が進みませんので、契約でコミットさせます。

違反時の措置

委託先がこれら初動対応ルールに違反した場合に備え、契約解除や損害賠償請求が可能であること、必要に応じて違約金条項なども定めます。実際にソフトバンクは委託先の契約違反（無断再委託や情報管理ルール違反）を理由に契約解除を行っています。