【概要】個人情報保護法に基づく報告義務の枠組み
【注記】本セクションは法令の概要を紹介するものであり、法的助言ではありません。最新の法令・ガイドラインをご確認のうえ、具体的な対応は弁護士にご相談ください。
ランサムウェア被害において、個人情報が漏洩した可能性がある場合は、個人情報保護法に基づく報告義務が発生する可能性があります。
報告義務が発生する条件
2022年4月に施行された改正個人情報保護法により、一定の要件を満たす漏えい等が発生した場合、個人情報保護委員会への報告と本人への通知が義務化されました。
- 報告義務が発生する「漏えい等」の類型
- 要配慮個人情報の漏えい等、不正アクセス等による漏えい等、財産的被害のおそれがある漏えい等、1,000人を超える漏えい等の4類型が報告義務の対象。
- ランサムウェア被害との関係
- ランサムウェア被害は「不正アクセス等による漏えい等」に該当する可能性が高い。この場合、漏えいした個人データの件数が1件であっても報告義務が発生しうる。
- 「おそれ」の段階での報告
- 漏えい等が「発生した」場合だけでなく、「発生したおそれ」がある場合も報告義務の対象となる。ランサムウェア感染が確認された時点で、漏えいの「おそれ」があると判断される可能性がある。
2022年改正法による報告義務化
2022年4月の改正以前は、漏えい等の報告は努力義務でしたが、改正法により法的義務となりました。
- 改正前後の違い
- 改正前は「望ましい」とされていた報告が、改正後は「しなければならない」義務となった。
- 罰則の存在
- 報告義務に違反した場合、個人情報保護委員会による勧告・命令の対象となりうる。命令違反には罰則(法人に対して1億円以下の罰金等)が規定されている。
報告が必要なケースの判断フロー
- ステップ1:個人データの取り扱いの有無
- ランサムウェア感染したシステムで個人データを取り扱っていたか確認。取り扱いがなければ個人情報保護法上の報告義務は発生しない。
- ステップ2:漏えい等の「おそれ」の有無
- 攻撃者がデータにアクセスした可能性があるか、データが外部に送信された痕跡があるかなどを確認。不正アクセスがあった場合は「おそれ」があると判断されることが多い。
- ステップ3:報告義務の類型該当性
- 不正アクセスによる漏えい等に該当する場合、1件でも報告義務が発生しうる。判断に迷う場合は、早めに専門家に相談することが推奨される。
届出先と報告の一般的な流れ
【注記】本セクションは一般的な流れを紹介するものであり、個別の状況によって対応が異なります。具体的な対応は弁護士にご相談ください。
個人情報保護委員会への報告(速報・確報)
個人情報保護委員会への報告は、速報と確報の2段階で行います。
- 速報
- 漏えい等を知った時から概ね3〜5日以内に報告。この時点で判明している事項を報告し、詳細は後日の確報で補完する。
- 確報
- 漏えい等を知った日から原則60日以内(不正アクセス等による場合は30日以内)に報告。調査結果に基づく詳細な情報を報告する。
- 報告すべき項目の概要
- 概要、漏えい等が発生した個人データの項目、漏えい等が発生した個人データの件数、原因、二次被害のおそれ、本人への対応状況、再発防止策など。
報告フォーマットの詳細については、「ランサムウェア被害報告書作成ガイド」をご参照ください。
本人への通知義務
報告義務が発生する場合、原則として本人への通知も義務となります。
- 通知が必要なケース
- 個人情報保護委員会への報告義務が発生する場合、原則として本人への通知も必要。
- 通知方法と内容
- 書面、電子メール、Webサイトでの公表など、状況に応じた方法で通知。概要、漏えい等が発生した個人データの項目、本人が取りうる措置などを通知する。
- 通知が困難な場合の代替措置
- 本人への個別通知が困難な場合は、Webサイトへの掲載や問い合わせ窓口の設置など、代替措置を講じることも認められている。
警察・IPAへの届出
個人情報保護委員会への報告とは別に、警察やIPAへの届出も推奨されます。
- 警察への届出
- ランサムウェア被害は犯罪被害であり、警察への届出が推奨される。法的義務ではないが、復号ツールの提供を受けられる可能性や、捜査協力によるメリットがある。
- IPAへの届出
- IPA(情報処理推進機構)のコンピュータウイルス・不正アクセス届出制度への届出も推奨される。統計情報の収集、注意喚起への活用に貢献。
感染時の対応全般については、「ランサムウェア感染時の対応手順」をご参照ください。
報告・届出先一覧
| 届出先 | 根拠法令等 | 期限 | 義務/任意 | 連絡先 |
|---|---|---|---|---|
| 個人情報保護委員会 | 個人情報保護法 | 速報3-5日、確報30-60日 | 義務(該当時) | Webフォーム |
| 警察 | - | 速やかに | 任意(推奨) | #9110、最寄り警察署 |
| IPA | - | 任意 | 任意(推奨) | Webフォーム |
| 業界監督官庁 | 各業法 | 業界規則による | 業種により異なる | 各官庁 |
| 取引所(上場企業) | 上場規則 | 適時 | 義務(該当時) | 各取引所 |
報告義務違反の一般的なリスク
【注記】本セクションは一般的なリスクを紹介するものであり、個別の状況によって異なります。
行政上の措置
報告義務に違反した場合、個人情報保護委員会による行政上の措置の対象となる可能性があります。
- 勧告
- 法令違反があった場合、改善のための勧告が行われることがある。
- 命令
- 勧告に従わない場合、命令が発出されることがある。命令違反には罰則が適用される。
- 公表
- 命令を受けた場合、その事実が公表されることがある。レピュテーションへの影響が懸念される。
罰則規定
個人情報保護法上の罰則規定について、概要を紹介します。
- 報告義務違反
- 虚偽報告や報告拒否に対しては、50万円以下の罰金が規定されている。
- 命令違反
- 個人情報保護委員会の命令に違反した場合、法人に対して1億円以下の罰金が規定されている。
報告義務違反を避けるために
報告義務違反を避けるためには、事前の体制整備が重要です。
- 事前の体制整備
- インシデント発生時の報告フローを事前に策定し、関係者(法務、広報、経営層等)の役割を明確にしておく。
- 判断に迷った場合
- 報告義務の有無の判断に迷う場合は、早めに弁護士や専門家に相談することが推奨される。「報告すべきかどうか分からない」ケースでは、報告しておく方がリスクが低い場合もある。
【参考】経営者責任に関する一般論
【注記】本セクションは一般論の紹介であり、個別のケースについては必ず弁護士にご相談ください。
近年、サイバーセキュリティ対策と経営者責任の関係が議論されています。
取締役の善管注意義務とサイバーセキュリティ
会社法上、取締役は会社に対して善管注意義務を負っています。
- 善管注意義務の概要
- 取締役は、善良な管理者の注意をもって、その職務を行う義務を負う(会社法330条、民法644条)。
- サイバーセキュリティとの関係に関する議論
- サイバーセキュリティ対策を怠り、会社に損害が生じた場合、善管注意義務違反が問われる可能性があるとの議論がある。ただし、どの程度の対策が「善管注意義務」を満たすかは明確ではなく、個別の判断となる。
- 経営判断の原則との関係
- 経営判断については、一定の裁量が認められる(経営判断の原則)。セキュリティ投資の判断も、情報収集、検討、合理的な判断プロセスを経ていれば、結果として被害が発生しても直ちに善管注意義務違反とはならない可能性がある。
株主代表訴訟のリスク
理論的には、サイバーセキュリティ対策の不備によって会社に損害が生じた場合、株主代表訴訟の対象となる可能性が指摘されています。
- 海外事例への言及
- 米国では、情報漏洩事件後に経営陣が株主代表訴訟の対象となった事例がある。日本でも同様のリスクが全くないとは言えない。
- 現時点での実態
- 日本において、サイバーセキュリティ対策の不備を理由とする株主代表訴訟が提起され、取締役の責任が認められた事例は、現時点では把握されていない。
経営者が取るべき姿勢
経営者責任のリスクを軽減するためには、以下のような姿勢が重要とされています。
- セキュリティ投資の適切な意思決定
- セキュリティリスクを認識し、合理的な投資判断を行うこと。判断プロセスを記録に残しておくことも重要。
- 体制整備への関与
- インシデント対応体制、報告体制の整備に経営層として関与すること。「知らなかった」では済まされない可能性がある。
身代金支払いに関する法的議論の概要
【注記】身代金支払いの是非は高度な経営判断であり、法的リスクも伴います。必ず弁護士・専門家にご相談ください。
身代金の支払いについては、法的なリスクが指摘されています。
支払いが法的に問題となりうるケース
- 外為法(外国為替及び外国貿易法)
- 攻撃者が経済制裁対象国・団体(北朝鮮、ロシアの特定団体等)に関連している場合、身代金の送金が外為法違反となる可能性がある。ランサムウェアグループの多くは国際的な制裁対象に関連しているとされる。
- 犯罪収益移転防止法
- 身代金が犯罪収益であることを認識したうえでの送金は、犯罪収益移転防止法上の問題となる可能性がある。
- マネーロンダリングへの関与リスク
- 暗号資産での送金は、マネーロンダリングに利用される可能性があり、結果的に犯罪に加担するリスクがある。
国際的なガイドラインの動向
各国の当局は、身代金支払いについて一般的に推奨しない立場を取っています。
- 米国OFACガイダンス
- OFAC(米国財務省外国資産管理室)は、制裁対象への支払いは制裁法違反となる可能性があると警告。被害者であっても免責されない可能性を示唆している。
- 英国NCSCの見解
- 英国NCSC(国家サイバーセキュリティセンター)は、身代金支払いを推奨しないことを明確にしている。
- EU等の動向
- EUでも同様に、身代金支払いを推奨しない方向性が示されている。
日本における現状
日本においては、身代金支払いを明確に禁止する法令は現時点ではありませんが、推奨されていません。
- 政府の見解
- 日本政府としても、身代金支払いは推奨しないとの立場を取っている。
- 推奨されない理由
- 復号の保証がない、再攻撃のリスクがある、犯罪組織への資金提供となる、外為法等の法的リスクがあるなど。
【再掲】身代金支払いの是非は高度な経営判断であり、必ず弁護士・専門家にご相談ください。
【重要】専門家への相談が必要なケース
ランサムウェア被害対応において、法的な判断が必要な場面では、専門家への相談が不可欠です。
弁護士への相談が推奨される場面
- 報告義務の有無の判断
- 個人情報保護法上の報告義務が発生するかどうかの判断。特に「おそれ」の有無の判断は難しい場合がある。
- 身代金支払いの検討
- 身代金支払いを検討せざるを得ない状況になった場合。法的リスクの評価、意思決定プロセスの記録など。
- 損害賠償請求への対応
- 情報漏洩により第三者から損害賠償を請求された場合の対応。
- 行政機関からの照会対応
- 個人情報保護委員会、警察、その他監督官庁からの照会への対応。
専門家の探し方
- IT・サイバーセキュリティに詳しい弁護士
- ランサムウェア被害対応は専門性が高いため、IT・サイバーセキュリティ分野に詳しい弁護士に相談することが望ましい。
- 日弁連の弁護士検索
- 日本弁護士連合会のWebサイトで、専門分野から弁護士を検索可能。
- セキュリティベンダーからの紹介
- フォレンジック業者やセキュリティベンダーが、提携している弁護士を紹介してくれる場合もある。
相談時に準備すべき情報
- 被害状況の整理
- いつ、何が起きたか、影響を受けたシステム・データの範囲、個人データの有無と件数など。
- 対応経緯の記録
- これまでに取った対応、関係機関への連絡状況、社内での意思決定の経緯など。
よくある質問(FAQ)
- Q: 個人情報が漏洩した「おそれ」だけでも報告が必要ですか?
- A: はい、漏えい等が「発生したおそれ」がある場合も報告義務の対象となりえます。ランサムウェア感染が確認された時点で、攻撃者がデータにアクセスした可能性がある場合は、「おそれ」があると判断される可能性が高いです。「おそれ」の有無の判断は難しい場合もあるため、判断に迷う場合は早めに弁護士に相談することをお勧めします。詳細は弁護士にご相談ください。
- Q: 報告期限に間に合わない場合はどうすればよいですか?
- A: 速報は「概ね3〜5日以内」とされていますが、正当な理由がある場合は、判明している範囲で速やかに報告し、詳細は追って報告することも認められています。重要なのは、報告を怠ることではなく、現時点で判明している情報を速やかに報告することです。期限に間に合わない可能性がある場合は、その旨も含めて報告することが推奨されます。詳細は弁護士にご相談ください。
- Q: 身代金を支払った場合、法的責任を問われますか?
- A: 身代金支払い自体を直接禁止する日本の法令は現時点ではありませんが、状況によっては外為法違反等の法的リスクがあります。特に、攻撃者が経済制裁対象に関連している場合は注意が必要です。また、支払ったこと自体が公になった場合のレピュテーションリスクもあります。身代金支払いの検討が必要な状況になった場合は、必ず事前に弁護士に相談してください。詳細は弁護士にご相談ください。
- Q: サイバー保険に加入していれば経営者責任は軽減されますか?
- A: サイバー保険への加入は、経営者がセキュリティリスクを認識し、対策を講じていることの一つの証左となりえます。ただし、保険に加入しているだけで善管注意義務を果たしていることにはならず、総合的な対策が必要です。保険加入に加えて、適切なセキュリティ投資、体制整備、教育・訓練などを行っていることが重要です。詳細は弁護士にご相談ください。
- Q: 中小企業でも経営者の法的責任を問われることはありますか?
- A: 理論的には、企業規模に関わらず、取締役の善管注意義務は存在します。ただし、中小企業に大企業と同等のセキュリティ投資を求めることは現実的ではなく、企業規模に応じた「合理的な対策」を講じているかが判断基準となると考えられます。重要なのは、リスクを認識したうえで、できる範囲での対策を講じ、その判断プロセスを記録しておくことです。詳細は弁護士にご相談ください。
関連ページへの導線
ランサムウェア対策 関連ページ
基礎から学ぶ
法的対応
インシデント対応
予防と備え
【重要なご注意】免責事項
本記事は一般的な情報提供を目的としており、法的助言を提供するものではありません。
- 個別のケースについては必ず弁護士にご相談ください
- 法令や解釈は変更される可能性がありますので、最新の情報は専門家にご確認ください
- 身代金支払いの判断は高度な経営判断であり、法的リスクも伴います。必ず弁護士・専門家にご相談ください
- 実際に被害に遭われた場合は、以下の公的機関にもご相談ください
- 警察相談専用ダイヤル:#9110
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 個人情報保護委員会:03-6457-9685
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
