個人情報保護法が義務づける『漏えい時の72時間ルール』
サイバー攻撃や不正アクセスによる情報漏えいは、企業規模に関係なく突然発生します。2022年の個人情報保護法改正により、“72時間以内”を目安に個人情報保護委員会へ速報を提出すること が求められるようになりました。
この72時間という基準は、被害拡大の防止や証拠保全の観点から国際的にも標準とされており、初動の遅れは法令違反や信用失墜につながる可能性があります。
しかし実際の現場では、
「まず何を確認すべきか」
「端末の電源は切ってよいのか」
「どの時点で報告義務が発生するのか」
といった基本的な判断に迷うケースが少なくありません。
ここでは、72時間ルールの正確な意味と、企業が最初に取るべき初動対応 をわかりやすく整理します。
72時間以内に企業が行うべきこと
漏えいの可能性が生じた時点から、企業は次の流れで対応を進める必要があります。
事案の把握(発生直後〜数時間以内)
- 何が起きたのか
- 影響範囲(端末・サーバー)
- 個人情報が含まれる可能性
この段階では「漏えい確定」でなくても構いません。
“漏えいの可能性がある” と判断した時点で動き始めることが重要です。
速報の提出(72時間以内)
判明している範囲で、
- 事案の概要
- 想定される影響
- 現在の対応状況
を個人情報保護委員会へ報告します。
事実が揃っていなくても、速報は必ず提出します。
確報の提出(事実判明後)
- 原因
- 被害範囲
- 再発防止策
を整理し、あらためて報告します。
初動で絶対にやってはいけない行為
誤った初動は、被害拡大や証拠消失につながります。
特に次の行為は避ける必要があります。
・パソコンの電源を切る
電源を落とすと、攻撃の痕跡やログが消える可能性があります。
電源は切らず、ネットワークから切り離す のが基本です。
・自分でウイルス駆除を行う
自己判断で駆除すると証拠が消え、原因調査が困難になります。
駆除は専門家の指示があるまで行わない ことが重要です。
・社内だけで対応しようとする
判断の遅れや報告の遅延につながります。
早期に外部の専門家へ相談する ことが最も効果的です。
・証拠となるデータを削除する
「危なそうだから消す」は厳禁です。
メール・ファイル・端末はそのまま保全 します。
実務で使える初動フロー
サイバー事故は「何から手をつけるべきか」が分からず混乱しがちです。
そこで、企業規模に関係なく使える “初動の型” をまとめます。
発生直後(最初の30分)
- 何が起きたのか
- 影響範囲
- 個人情報が含まれる可能性
1時間以内に行うこと
- 電源は切らず、ネットワークから切り離す
- ログや画面のスクリーンショットを保存
- 関係者へ共有
数時間以内に行うこと
- セキュリティ事業者へ連絡
- 必要に応じて警察へ相談
- 加入している場合は、サイバー保険の事故受付へ連絡
外部の支援を活用することで、
- 72時間以内の報告
- 原因調査
- 社内対応の整理
といった作業をスムーズに進められるケースもあります。
72時間以内に行うこと
- 個人情報保護委員会へ速報を提出(事実が揃っていなくても提出が必要)
まとめ
情報漏えいは、どんな企業にも起こり得るリスクです。
そして、発生した瞬間から「72時間以内の対応」が求められるため、初動の判断と行動がすべてを左右します。
大切なのは、
- 何が起きたかを早く把握する
- 電源を切らず、証拠を残す
- 社内だけで抱え込まない
- 必要に応じて外部の専門家や保険代理店へ相談する
という、シンプルな流れを社内で共有しておくことです。
平時の準備が、非常時の落ち着きにつながる。
そのための一助として、今回の内容が皆さまの安心につながれば幸いです。
お問い合わせ
サイバー事故への備えや、初動対応の進め方について不安がある場合は、
保険代理店として、実務に基づいた一般的なアドバイスや初動フローの整理を無料でサポートしています。
「自社の状況に合わせて初動フローを整えたい」
「社内で共有できる形にまとめたい」
といったご相談にも対応しています。
必要なポイントを、専門家の視点からわかりやすくお伝えします。