情報漏洩発生時の公表タイミング
情報漏洩が発生した場合、いつ、どのように公表するかは非常に重要な判断です。
速やかな公表が求められる理由
- 被害者保護(二次被害防止)
- 漏洩した情報が悪用される前に、被害者(顧客等)が対策を取れるようにする必要があります。例えば、パスワードの変更やクレジットカードの利用停止など、被害者自身が取るべき行動を促すことができます。
- 法的報告義務との整合性
- 個人情報保護法では、一定規模以上の個人情報漏洩の場合、本人への通知と個人情報保護委員会への報告が義務付けられています。この義務を果たすタイミングと、対外公表のタイミングを整合させる必要があります。
- 後から発覚した場合の信用失墜リスク
- 情報漏洩を隠していたことが後から発覚すると、漏洩そのものよりも「隠蔽していた」ことへの批判が大きくなります。適切なタイミングでの公表が、長期的な信頼維持につながります。
公表を検討すべきタイミング
| 段階 | タイミング | 公表内容 |
|---|---|---|
| 第一報 | 被害範囲の概要が判明した時点 | 発生した事実、影響範囲の概要、対応状況 |
| 第二報 | 調査の進捗に応じて | 詳細な被害範囲、原因の特定状況、追加対策 |
| 最終報 | 調査完了後 | 確定した被害範囲、原因、再発防止策、被害者への対応 |
公表前に確認すべきこと
- 弁護士への相談
- 公表文の内容、法的リスク、報告義務の履行状況について確認を受けてください。お詫び文の表現一つで、後の訴訟に影響する可能性があります。
- 個人情報保護委員会への報告状況
- 個人情報漏洩の場合、個人情報保護委員会への報告が先行または同時に行われているか確認してください。詳しくは「ランサムウェアと法的責任」をご参照ください。
- 警察との連携状況
- 捜査に支障がないか、公表内容について警察と調整が必要か確認してください。特に犯人の特定につながる可能性がある情報は、公開範囲を慎重に検討する必要があります。
お詫び文に含めるべき5つの要素
お詫び文には、以下の5つの要素を必ず含めてください。
要素1:事実関係の概要
- いつ、何が起きたか
- 「○年○月○日、弊社システムへの不正アクセスが発生しました」など、事実を簡潔に記載します。
- どのような情報が漏洩したか(可能性を含む)
- 漏洩した情報の種類(氏名、住所、電話番号、メールアドレス、クレジットカード情報等)を明示します。まだ調査中の場合は「漏洩した可能性がある情報」として記載します。
- 被害範囲(人数、データの種類)
- 影響を受けた人数、対象となるデータの範囲を可能な限り具体的に記載します。「最大○万件」のように上限を示す形式でも構いません。
要素2:原因と経緯
- どのような攻撃を受けたか
- 「ランサムウェアと呼ばれる悪意あるプログラムによる攻撃」など、一般の方にもわかる表現で説明します。
- 侵入経路(判明している場合)
- 調査で判明している場合は記載しますが、捜査上の都合で公開できない情報もあります。その場合は「詳細は捜査機関と連携の上、調査中」等と記載します。
- 発覚の経緯
- いつ、どのように異常を発見したか、どのように対応を開始したかを時系列で説明します。
要素3:被害者への影響と対応
- 漏洩した情報の内容
- 被害者が「自分の何の情報が漏れたのか」を理解できるよう、具体的に記載します。
- 想定される二次被害リスク
- フィッシング詐欺やなりすましなどの二次被害リスクと、その防止策を説明します。
- 被害者への個別連絡方法
- 対象者への個別連絡をどのように行うか(メール、郵送等)を明記します。
要素4:再発防止策
- 実施済みの対策
- すでに実施した緊急対策を記載します。「外部からのアクセスを遮断」「セキュリティ専門会社による調査を開始」等。
- 今後実施予定の対策
- システムの改修、セキュリティ体制の強化など、具体的な再発防止策を記載します。
- 第三者機関による検証(実施する場合)
- 外部のセキュリティ専門機関による監査や検証を行う場合は、その旨を記載します。
要素5:問い合わせ窓口
- 専用窓口の設置
- 本件に関する問い合わせ専用の窓口を設置し、その連絡先を記載します。
- 連絡先情報
- 電話番号、メールアドレス、受付時間を明記します。フリーダイヤルの設置が望ましいです。
- よくある質問(FAQ)ページ
- Webサイトに詳細なFAQページを設置し、そのURLを案内します。
顧客向けお詫び文テンプレート
顧客向けのお詫び文を作成する際の構成要素と書き方を解説します。
メール・書面でのお詫び文
お詫び文は以下の構成で作成します。
- 件名の書き方
- 「お客様情報流出に関するお詫びとご報告」「不正アクセスによる個人情報漏洩のお詫びとお知らせ」など、内容が明確にわかる件名にします。
- 冒頭の謝罪文
- 最初に謝罪の意を表明します。「このたびは、多大なるご迷惑とご心配をおかけし、深くお詫び申し上げます」等。
- 事実関係の記載順序
- ①発生した事実→②漏洩した情報→③影響範囲→④原因→⑤経緯の順で記載します。
- 被害者への影響説明
- 「お客様の情報がどのように悪用される可能性があるか」「ご注意いただきたいこと」を具体的に説明します。
- 問い合わせ窓口の記載
- 専用窓口の連絡先、受付時間を明記します。
- 締めの謝罪文
- 「重ねて深くお詫び申し上げます」「再発防止に努めてまいります」等で締めくくります。
お詫び文作成のポイント
| ポイント | 詳細 |
|---|---|
| 事実を正確に記載 | 憶測や推測は避け、確認された事実のみを記載する |
| 過度な言い訳を避ける | 「想定外の攻撃だった」等の言い訳は逆効果 |
| 被害者の不安に寄り添う | 「ご心配をおかけして」「ご不安かと存じます」等の表現を含める |
| 具体的な対応を明示 | 「今後の対応」「補償の有無」「問い合わせ先」を明確に |
プレスリリーステンプレート
報道機関向けのプレスリリースを作成する際の構成要素を解説します。
プレスリリースの構成
- タイトル
- 事実を端的に伝えます。「弊社システムへの不正アクセスによる情報漏洩に関するお詫びとお知らせ」等。センセーショナルな表現は避けてください。
- リード文(概要)
- 最初の3〜4行で概要を伝えます。「いつ」「何が起きたか」「被害規模」「対応状況」を簡潔に記載します。
- 本文(詳細な事実関係)
- 時系列での経緯、漏洩した情報の詳細、原因(判明している範囲で)、調査状況を記載します。
- 今後の対応
- 被害者への対応、再発防止策、公表予定(追加情報がある場合)を記載します。
- 問い合わせ先
- 報道機関向けの問い合わせ先(広報部門)と、一般顧客向けの問い合わせ先を分けて記載します。
プレスリリース作成のポイント
- 5W1Hを明確に
- When(いつ)、Where(どこで)、Who(誰が)、What(何を)、Why(なぜ)、How(どのように)を明確に記載します。
- 専門用語は避ける
- 「ランサムウェア」「不正アクセス」等の用語を使う場合は、一般の方にもわかる説明を添えます。
- 憶測を含めない
- 確認されていない情報や推測は記載しません。「調査中」と明記する方が適切です。
- 追加情報提供のスケジュールを示す
- 「詳細が判明次第、追ってお知らせします」「○月○日に追加報告を予定しています」等。
記者会見の準備と想定Q&A
大規模な情報漏洩の場合、記者会見が必要になることがあります。
記者会見を行う判断基準
| 条件 | 判断の目安 |
|---|---|
| 漏洩規模 | 数万件以上の個人情報漏洩 |
| 社会的影響 | 公共性の高い事業、社会インフラに関わる事業 |
| 報道状況 | すでに報道されている、SNSで拡散している |
| 企業規模 | 上場企業、知名度の高い企業 |
会見で伝えるべきこと
- 経営トップからの謝罪
- 社長または担当役員が直接謝罪することで、組織としての責任を示します。
- 事実関係の説明
- 現時点で判明している事実を正確に説明します。
- 被害者への対応
- 被害者への連絡方法、問い合わせ窓口、補償の検討状況等を説明します。
- 再発防止策
- 具体的な再発防止策と、実施スケジュールを説明します。
想定Q&A(質問と回答方針)
- Q: いつ被害を把握したのか
- 方針:時系列を正確に説明します。発見から公表までの時間が長い場合は、その理由(被害範囲の特定、警察との調整等)も説明します。
- Q: なぜ対策していなかったのか
- 方針:過去に実施していた対策を説明したうえで、今回の攻撃がその対策を上回るものであったことを説明します。ただし、「想定外」を言い訳にしないよう注意が必要です。
- Q: 身代金は払ったのか
- 方針:捜査上の理由、または会社方針として回答を控えることが一般的です。「捜査に支障をきたす可能性があるため、回答を控えさせていただきます」等。
- Q: 経営責任をどう考えるか
- 方針:真摯に受け止める姿勢を示します。「経営責任を重く受け止めております」「再発防止に全力を尽くしてまいります」等。具体的な処分については「検討中」でも構いません。
- Q: 補償はあるのか
- 方針:検討状況を説明します。確定していない場合は「現在検討中です」「被害状況を踏まえて判断します」等。安易に補償を約束することは避けてください。
公表時の注意点
避けるべき表現
| 避けるべき表現 | 理由 | 推奨表現 |
|---|---|---|
| 「完全に安全です」 | 断定的な表現は後に問題になる | 「現時点で○○の対策を講じています」 |
| 「想定外の攻撃だった」 | 言い訳に聞こえる | 「高度な攻撃を受けました」 |
| 「被害は軽微です」 | 被害者軽視と受け取られる | 「影響範囲を確認中です」 |
| 「当社に落ち度はない」 | 責任逃れと受け取られる | 「原因を調査中です」 |
| 「具体的なことはお答えできない」 | 隠蔽と受け取られる | 「○○の理由により、現時点では回答を控えます」 |
公表のタイミングと方法
- 金曜夕方は避ける
- 土日に問い合わせ対応ができないため、被害者の不安を増幅させます。週明けに持ち越すと「週末に発表して隠そうとした」と批判される可能性もあります。
- 個別通知とプレスリリースの順序
- 可能であれば、被害者への個別通知を先行または同時に行います。報道で知るよりも、直接連絡を受ける方が被害者の心証は良くなります。
- SNSでの拡散への備え
- 公表と同時にSNSで拡散されることを想定し、FAQ等の準備を整えてから公表します。
よくある質問(FAQ)
- Q: 調査中でも公表すべきですか?
- A: 被害者保護の観点から、被害範囲の概要が判明した段階で第一報を公表することが推奨されます。「詳細は調査中」と断った上で、現時点で判明している事実を公表してください。調査完了を待って公表を遅らせると、被害者が二次被害対策を取る機会を逃してしまいます。また、後から「隠蔽していた」と批判されるリスクもあります。
- Q: 被害範囲が確定するまで公表を待ってよいですか?
- A: 被害範囲の確定に時間がかかる場合でも、概要が判明した段階で公表することが推奨されます。個人情報保護法では、漏洩の「おそれ」がある段階で報告義務が発生します。最大の想定被害範囲を示した上で「詳細は調査中」とする方が、後から範囲が拡大するより印象が良い場合が多いです。
- Q: 弁護士に相談せずにお詫び文を出してよいですか?
- A: お詫び文やプレスリリースは法的効果を持つ文書となる可能性があるため、公開前に必ず弁護士の確認を受けることを強くお勧めします。不適切な表現が後の訴訟で不利に働いたり、必要な免責事項が欠けていることで責任範囲が広がったりする可能性があります。緊急時でも、弁護士への確認を省略すべきではありません。
- Q: 補償について言及する必要がありますか?
- A: 公表の段階で補償内容を確定させる必要はありません。「補償については検討中です」「被害状況を踏まえて判断します」等の表現で問題ありません。ただし、クレジットカード情報等の金銭的被害につながる情報が漏洩した場合は、カード再発行費用の負担等、早期に対応を明らかにすることが望ましいケースもあります。
関連記事
- ランサムウェアとは?仕組み・感染経路・対策を徹底解説
- ランサムウェア感染時の対応手順|初動から復旧まで
- ランサムウェアと法的責任|報告義務・損害賠償・身代金の法的論点
- 取引先への情報漏洩通知|書き方と送付タイミング完全ガイド
- ランサムウェア被害事例と教訓
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
