報告が必要なケースと期限の確認
報告義務の発生条件
ランサムウェア攻撃による被害が発生した場合、個人情報保護法に基づく報告義務が発生する可能性があります。
2022年4月に施行された改正個人情報保護法では、個人データの漏洩、滅失、毀損(以下「漏えい等」)が発生し、個人の権利利益を害するおそれが大きい場合に、個人情報保護委員会への報告と本人への通知が義務化されました。
報告義務が発生する要件は以下の通りです。
- 不正アクセスによる漏えい等(またはそのおそれ)
- ランサムウェア攻撃は、システムへの不正アクセスを伴います。攻撃者がデータを窃取した可能性がある場合、これに該当します。二重恐喝型ランサムウェアでは、暗号化に加えてデータ窃取が行われるため、報告義務が発生する可能性が高くなります。
- 要配慮個人情報の漏えい等(またはそのおそれ)
- 病歴、犯罪歴、人種、信条などの要配慮個人情報が含まれる場合、1件でも報告義務が発生します。
- 財産的被害のおそれがある漏えい等
- クレジットカード情報や銀行口座情報など、財産的被害につながる可能性がある情報の漏えい等が対象です。
- 1,000人を超える漏えい等(またはそのおそれ)
- 対象となる個人データの本人の数が1,000人を超える場合も報告義務が発生します。
重要なのは、「漏えい等が発生した」場合だけでなく、「漏えい等のおそれがある」場合も報告義務の対象となる点です。ランサムウェア攻撃では、攻撃者がデータを窃取したか否かを完全に確認することは困難な場合が多く、「おそれがある」として報告を行うケースが一般的です。
報告期限
報告義務が発生した場合の報告期限は以下の通りです。
| 報告先 | 報告種別 | 期限 | 備考 |
|---|---|---|---|
| 個人情報保護委員会 | 速報 | 速やかに(概ね3〜5日以内) | 事態を把握した時点で速やかに報告 |
| 個人情報保護委員会 | 確報 | 30日以内(不正アクセスの場合) | 全ての報告事項を報告(60日以内の場合もあり) |
| 本人 | 通知 | 速やかに | 事態の状況に応じて速やかに |
速報は、事態の全容が判明していなくても、把握している範囲で報告することが求められます。「調査中」「不明」という回答も許容されています。
不正アクセスによる漏えい等の場合、確報の期限は30日以内です。ただし、意図せず漏えい等が発生した場合(例:従業員のミスによる漏えい)は60日以内となります。ランサムウェア攻撃は不正アクセスに該当するため、30日以内が適用されることが多いと考えられます。
報告が不要なケース
以下のような場合は、報告義務が発生しない可能性があります。
- 漏えい等の「おそれ」がないと判断できる場合
- 暗号化のみが行われ、データの外部持ち出しが行われていないことが技術的に確認できる場合などです。ただし、この判断は慎重に行う必要があります。
- 個人データが含まれていない場合
- 暗号化されたデータに個人情報が含まれていない場合は、個人情報保護法上の報告義務は発生しません(ただし、他の法令や契約に基づく報告が必要な場合があります)。
- 高度な暗号化等の措置が講じられていた場合
- 漏えい等した個人データについて、高度な暗号化等の秘匿化措置が講じられていた場合、個人の権利利益を害するおそれが低いとして報告義務が免除される可能性があります。
判断に迷う場合は、報告を行うことを推奨します。報告義務の有無の最終的な判断については、弁護士などの専門家にご相談ください。詳しくはランサムウェアと法的責任のページもご参照ください。
個人情報保護委員会への報告(速報・確報)
速報の目的と内容
速報は、情報漏洩等の事態が発生したことを、個人情報保護委員会に第一報として伝えるものです。
- 速報の目的
- 速やかに事態の発生を報告し、個人情報保護委員会が状況を把握できるようにすることが目的です。詳細な調査結果は求められていません。
- 「調査中」「不明」の記載
- 速報の時点では、被害の全容が判明していないことが一般的です。判明していない項目については、「調査中」「不明」と記載することができます。
- 報告のタイミング
- 事態を把握した時点で速やかに報告します。「速やかに」とは、概ね3〜5日以内が目安とされています。
速報に記載すべき項目
速報には、以下の項目を記載します(把握している範囲で)。
- 事案の概要
- 何が起きたかを簡潔に記載します。「ランサムウェアによるファイル暗号化が発生し、攻撃者による個人データの窃取のおそれがある」など、状況を端的に説明します。
- 漏えい等が発生した個人データの項目
- 影響を受けた可能性がある個人データの種類を記載します。「氏名、住所、電話番号、メールアドレス」など、できるだけ具体的に記載します。不明な場合は「調査中」と記載します。
- 漏えい等が発生した個人データの件数
- 影響を受けた可能性がある本人の数を記載します。正確な件数が不明な場合は、「約○○件」「最大○○件」「調査中」などと記載します。
- 原因(判明している範囲で)
- 事態の原因を記載します。「VPN機器の脆弱性を悪用した不正アクセス」「フィッシングメールによるマルウェア感染」など、判明している範囲で記載します。詳細は確報で報告します。
- 二次被害の有無・内容
- 漏えいした個人データが悪用されたことによる二次被害が発生しているか、または発生のおそれがあるかを記載します。「現時点で二次被害の報告なし」「調査中」などと記載します。
- 本人への通知状況
- 影響を受けた本人への通知の状況を記載します。「○月○日に通知予定」「準備中」などと記載します。
- 公表の有無
- 事態を公表したか、または公表予定があるかを記載します。公表予定がある場合は、予定時期も記載します。
- 今後の対応方針
- 調査の継続、再発防止策の検討、本人への通知など、今後予定している対応を記載します。
確報の目的と内容
確報は、詳細な調査結果と再発防止策を報告するものです。
- 確報の目的
- 速報で報告した内容について、調査結果を踏まえた詳細情報と、再発防止策を報告します。速報で「調査中」としていた項目についても、確報までに確定させることが求められます。
- 報告期限
- 不正アクセスによる漏えい等の場合は、事態を把握した日から30日以内に報告します。30日以内に全ての事項を報告することが困難な場合は、報告が可能な事項から報告し、残りの事項については追完報告を行います。
確報に追加すべき項目
確報では、速報の内容に加えて、以下の項目を追加・更新します。
- 詳細な被害範囲
- 漏えい等が発生した個人データの項目と件数を、調査結果に基づき確定します。「調査の結果、○○件の個人データが漏えいした可能性があることを確認」などと記載します。
- 根本原因分析の結果
- フォレンジック調査などにより判明した、事態の根本原因を詳細に記載します。「VPN機器の脆弱性(CVE-XXXX-XXXXX)を悪用され、認証情報が窃取された」など、技術的な詳細も含めます。
- 再発防止策の具体的内容
- 講じた再発防止策、および今後講じる予定の再発防止策を具体的に記載します。「VPN機器のファームウェア更新を実施」「多要素認証の導入を○月までに完了予定」などと記載します。
報告方法
個人情報保護委員会への報告は、以下の方法で行います。
- 報告フォームによる報告(推奨)
- 個人情報保護委員会のWebサイトに設置されている報告フォームから報告します。24時間利用可能で、入力項目に沿って必要事項を記載できます。
- 書面による報告
- 所定の報告書様式をダウンロードし、記載の上、郵送または持参により報告することも可能です。緊急の場合はFAXでの報告も受け付けています。
報告フォームや様式は、個人情報保護委員会のWebサイトで最新版を確認してください。報告システムの利用方法についても、同サイトで案内されています。
警察への届出と情報提供
警察への届出の意義
ランサムウェア攻撃は犯罪です。警察への届出は、以下の観点から重要な意味を持ちます。
- 捜査協力による復号ツール提供の可能性
- 警察は、国際的な捜査協力や摘発したサイバー犯罪グループから得た情報を基に、復号ツールを提供できる場合があります。復号ツールの活用については別途詳しく解説しています。
- 被害拡大防止への貢献
- 届出によって得られた情報は、同種の攻撃への対策や注意喚起に活用されます。他の組織の被害防止に貢献できます。
- 被害届と情報提供の違い
- 「被害届」は、犯罪被害を正式に届け出るものです。一方、「情報提供」は、被害の内容を警察に伝え、情報共有を行うものです。いずれの形式でも、警察との連携は可能です。
届出先
警察への届出は、以下の窓口で受け付けています。
- 都道府県警察のサイバー犯罪相談窓口
- 各都道府県警察には、サイバー犯罪に関する相談窓口が設置されています。事業所の所在地を管轄する警察の窓口に相談します。
- 警察相談専用ダイヤル(#9110)
- 全国どこからでも、電話一本で最寄りの警察本部の相談窓口につながります。緊急の場合や、どこに相談してよいか分からない場合に利用できます。
届出に必要な情報
警察への届出・相談の際は、以下の情報を準備しておくとスムーズです。
- 被害発生日時
- ランサムウェア攻撃が発生した日時(検知した日時)を記録します。できるだけ正確な日時を把握しておきます。
- 被害の状況
- 暗号化されたファイルの範囲、影響を受けたシステムの数、業務への影響などを整理します。
- ランサムウェアの種類(わかる場合)
- 画面に表示された脅迫文や、暗号化されたファイルの拡張子などから、ランサムウェアの種類が特定できる場合は、その情報を伝えます。
- 身代金要求の内容
- 身代金の金額、支払い方法(ビットコインアドレスなど)、支払い期限、攻撃者との連絡手段(Torサイト、メールアドレスなど)を記録します。脅迫文のスクリーンショットや画像があれば保存しておきます。
- 対応状況
- これまでに行った対応(ネットワーク切断、バックアップからの復旧など)を時系列で整理します。
届出に際して、証拠となるデータ(脅迫文のスクリーンショット、ログファイルなど)は消去せず保全しておくことが重要です。フォレンジック調査との連携も検討してください。
IPAへの届出
コンピュータウイルス届出制度
IPA(情報処理推進機構)は、コンピュータウイルスやランサムウェアなどの不正プログラムに関する届出を受け付け、情報の収集・分析を行っています。
- 制度の概要
- コンピュータウイルスに感染した、または感染の被害を受けた場合に、IPAに届け出る制度です。届出は任意ですが、被害情報の共有を通じて社会全体のセキュリティ向上に貢献できます。
- 届出の対象
- ランサムウェアはコンピュータウイルスの一種として、届出の対象に含まれます。感染の有無に関わらず、発見した場合も届出が可能です。
届出方法
IPAへの届出は、以下の方法で行います。
- Webフォームによる届出
- IPAのWebサイトに設置されている届出フォームから、必要事項を入力して届け出ます。
- 届出に必要な情報
- 発見・感染日時、ウイルス名(わかる場合)、感染経路、被害状況、対策状況などを記載します。匿名での届出も可能です。
届出のメリット
IPAへの届出を行うことで、以下のメリットがあります。
- 被害情報の共有による社会貢献
- 届出情報は、IPAが発行する注意喚起や統計情報に活用されます。他の組織の被害防止に役立てられます。
- IPAからの助言・情報提供
- 届出内容によっては、IPAから対処方法の助言や、類似事例に関する情報提供を受けられる場合があります。
- 統計データへの反映
- 届出情報は、「情報セキュリティ10大脅威」などの統計資料に反映され、社会全体のセキュリティ意識向上に活用されます。
社内報告書の作成ポイント
社内報告書の目的
社内報告書は、以下の目的で作成します。
- 経営層への報告
- インシデントの概要、被害状況、対応状況、今後の見通しを経営層に報告し、必要な意思決定を仰ぎます。
- 事後検証のための記録
- 何が起きたか、どのように対応したかを記録として残し、後日の検証に活用します。監査対応や、保険請求の際の証跡としても使用します。
- 再発防止策策定の基礎資料
- インシデントの原因を分析し、再発防止策を検討するための基礎資料とします。訓練・演習の改善にも活用できます。
社内報告書の構成
社内報告書は、以下の構成で作成することを推奨します。
- エグゼクティブサマリー
- 報告書全体の要約です。インシデントの概要、被害状況、現在のステータス、主要な対応事項を、1ページ程度で簡潔にまとめます。経営層が短時間で状況を把握できるようにします。
- インシデント概要(時系列)
- インシデントの発生から現在までの経緯を、時系列で整理します。検知日時、初動対応、調査の進捗、関係者への報告など、主要なイベントを日時とともに記録します。
- 被害状況
- 暗号化されたシステム・ファイルの範囲、業務への影響、データ漏洩の可能性、金銭的被害(見込みを含む)などを記載します。
- 対応経緯
- 実施した対応(ネットワーク切断、バックアップからの復旧、関係機関への報告など)を詳細に記録します。対応の判断理由も記載しておくと、後日の検証に役立ちます。
- 原因分析
- インシデントの原因を分析します。直接的な原因(例:VPN機器の脆弱性)だけでなく、根本的な原因(例:パッチ適用プロセスの不備)も含めて分析します。不正アクセスの経路特定も重要です。
- 再発防止策
- 原因分析を踏まえ、再発防止のために講じる対策を記載します。技術的対策、運用的対策、組織的対策に分けて整理すると分かりやすくなります。バックアップ戦略の見直しなども検討します。
- 今後の対応計画
- 復旧完了までのロードマップ、再発防止策の実施スケジュール、関係者への追加報告予定などを記載します。
作成のポイント
社内報告書を作成する際は、以下の点に留意します。
- 事実と推測を明確に区別する
- 調査で確認された事実と、推測・仮説は明確に区別して記載します。「確認された事項」と「調査中・推定」を分けて記載するとよいでしょう。
- 時系列での整理
- 複雑なインシデントは、時系列で整理することで全体像が把握しやすくなります。日時を正確に記録し、タイムラインとして整理します。
- 定量的な情報の記載
- 被害件数、復旧時間、復旧コストなど、定量的な情報を可能な限り記載します。経営判断や保険請求の際に必要となります。
報告書作成チェックリスト
報告漏れを防ぐため、以下のチェックリストを活用してください。
個人情報保護委員会への報告チェックリスト
| 報告種別 | チェック項目 | 期限 | 完了 |
|---|---|---|---|
| 速報 | 報告義務の有無を判断した | 事態把握後速やかに | □ |
| 速報 | 事案の概要を記載した | 事態把握後速やかに | □ |
| 速報 | 漏えい等が発生した個人データの項目を記載した | 事態把握後速やかに | □ |
| 速報 | 漏えい等が発生した個人データの件数を記載した(概数可) | 事態把握後速やかに | □ |
| 速報 | 原因を記載した(判明している範囲で) | 事態把握後速やかに | □ |
| 速報 | 二次被害の有無・内容を記載した | 事態把握後速やかに | □ |
| 速報 | 本人への通知状況を記載した | 事態把握後速やかに | □ |
| 速報 | 今後の対応方針を記載した | 事態把握後速やかに | □ |
| 速報 | 報告フォームまたは書面で報告した | 概ね3〜5日以内 | □ |
| 確報 | 詳細な被害範囲を確定した | 30日以内 | □ |
| 確報 | 根本原因分析の結果を記載した | 30日以内 | □ |
| 確報 | 再発防止策を具体的に記載した | 30日以内 | □ |
| 確報 | 報告フォームまたは書面で報告した | 30日以内 | □ |
警察・IPA・社内報告チェックリスト
| 報告先 | チェック項目 | 備考 | 完了 |
|---|---|---|---|
| 警察 | 被害発生日時を記録した | 正確な日時を把握 | □ |
| 警察 | 被害状況を整理した | 影響範囲、業務への影響 | □ |
| 警察 | 身代金要求の内容を記録した | スクリーンショット保存 | □ |
| 警察 | サイバー犯罪相談窓口に届け出た | または#9110 | □ |
| IPA | コンピュータウイルス届出フォームから届け出た | 任意だが推奨 | □ |
| 社内 | エグゼクティブサマリーを作成した | 経営層向け要約 | □ |
| 社内 | 時系列のインシデント概要を作成した | 日時を正確に記録 | □ |
| 社内 | 原因分析を実施した | 直接原因・根本原因 | □ |
| 社内 | 再発防止策を策定した | 技術・運用・組織 | □ |
業界別の追加報告先
業種によっては、監督官庁への報告が必要な場合があります。
| 業種 | 報告先 | 備考 |
|---|---|---|
| 金融機関 | 金融庁、財務局 | 金融機関向け対策参照 |
| 医療機関 | 厚生労働省、地方厚生局 | 医療機関向け対策参照 |
| 電気通信事業者 | 総務省 | 電気通信事業法に基づく報告 |
| 上場企業 | 証券取引所 | 適時開示の要否を検討 |
該当する業種の場合は、個人情報保護委員会への報告と併せて、業界監督官庁への報告の要否を確認してください。
よくある質問(FAQ)
- Q: 速報の期限に間に合わない場合はどうすればよいですか?
- A: 速報は、把握している範囲で速やかに報告することが求められています。全ての項目が判明していなくても、「調査中」「不明」と記載して報告することが可能です。期限を過ぎてしまった場合でも、気づいた時点で速やかに報告してください。報告が遅れた理由についても、報告書に記載しておくとよいでしょう。
- Q: 漏えいしたかどうか不明な場合も報告すべきですか?
- A: 「漏えい等のおそれがある」場合も報告義務の対象となります。ランサムウェア攻撃では、攻撃者がデータを窃取したかどうかを完全に確認することは困難な場合が多いため、「おそれがある」として報告することが一般的です。判断に迷う場合は、報告を行うことを推奨します。報告しなかった場合の法的リスクは、報告した場合よりも大きい傾向にあります。
- Q: 警察に届け出ると公表されますか?
- A: 警察への届出内容が、被害企業の意向に反して公表されることは原則としてありません。ただし、捜査の過程で、同種の攻撃への注意喚起などが行われる場合に、匿名化された形で事例が紹介されることはあります。届出時に、公表に関する懸念があれば、相談窓口に伝えておくとよいでしょう。
- Q: 業界監督官庁への報告も必要ですか?
- A: 金融機関、医療機関、電気通信事業者など、業種によっては業界固有の報告義務が課されている場合があります。個人情報保護委員会への報告とは別に、業界監督官庁への報告が必要かどうかを確認してください。また、上場企業の場合は、証券取引所への適時開示の要否も検討が必要です。
- Q: 報告書は誰が作成すべきですか?
- A: 一般的には、情報システム部門が技術的な内容を担当し、法務部門が法的な観点からの確認、広報部門が対外公表関連を担当するなど、複数の部門が連携して作成することが多いです。報告書作成の責任者を明確にし、各部門からの情報を集約する体制を整えておくことが重要です。インシデント対応計画の中に、報告書作成の担当を定めておくとスムーズです。
関連リンク
- ランサムウェアとは?仕組み・感染経路・対策・復旧方法を徹底解説
- ランサムウェアと法的責任|報告義務・損害賠償・身代金の法的論点
- ランサムウェア感染時の対応手順|初動から復旧までの完全マニュアル
- 情報漏洩お詫び文の書き方|テンプレートと例文集
- 取引先への情報漏洩通知|報告書の書き方と連絡のポイント
まとめ
ランサムウェア被害が発生した場合、適切な報告を行うことは、法令遵守の観点からも、被害拡大防止の観点からも重要です。
個人情報保護委員会への報告は、速報(概ね3〜5日以内)と確報(30日以内)の2段階で行います。速報の時点では全ての情報が判明していなくても、把握している範囲で報告することが求められています。警察やIPAへの届出も、被害情報の共有と復号ツール提供の可能性の観点から推奨されます。
報告書の作成は負担が大きい作業ですが、本記事で紹介したチェックリストを活用し、漏れのない報告を行ってください。報告義務の有無や記載内容の最終判断については、弁護士などの専門家への相談をお勧めします。
ご注意・免責事項
- 本記事は一般的な情報提供を目的としており、法的助言を提供するものではありません
- 報告義務の有無、報告内容の最終判断については、弁護士などの専門家にご相談ください
- 個人情報保護委員会の報告様式・報告システムは変更される場合があります。最新情報は個人情報保護委員会のWebサイトでご確認ください
- 実際に被害に遭われた場合は、以下の公的機関にご相談ください
- 警察相談専用ダイヤル:#9110
- 消費生活センター:188
- IPA情報セキュリティ安心相談窓口:03-5978-7509
- 記載内容は作成時点の情報であり、法令改正等により変更される場合があります
ランサムウェア総合対策ナビ
更新履歴
- 初稿公開
