【サイバーセキュリティ】「情報漏洩したら届け出が必要なの?」がなくなる ― 中小企業が知らないと危ない報告義務のルール
「うちの会社で情報漏洩が起きたら、どこかに届け出なきゃいけないんですか?」
アクセルパートナーズが中小企業の経営者からいただく質問の中で、最も「知らないと危ない」ものがこれです。答えはシンプルです。はい、届け出が必要です。 しかも、届け出には明確な期限があり、遅れれば法令違反になります。
2022年4月の個人情報保護法改正により、一定の条件に該当する個人情報の漏洩が発生した場合、個人情報保護委員会への報告と本人への通知が法的義務になりました。これは企業規模に関係なく、すべての事業者に適用されるルールです。にもかかわらず、多くの中小企業がこのルールを知らないまま、あるいは「うちには関係ない」と思い込んだまま、日々の業務を続けています。
このコラムを読み終えたとき、あなたは「漏洩が起きたときに何を・いつまでに・誰に届け出ればよいか」を明確に理解し、いざという時に迷わず行動できる状態になっています。
この記事でわかること
- セキュリティインシデント(情報セキュリティに関する事故や問題)の報告義務について、中小企業が陥りがちな「4つの誤解」
- 初動対応で成果を出している企業の共通点
- 「報告必要/不要」を判断する実践的なフレームワーク
- 明日から使える初動対応フローと具体的なアクションプラン
1. 良かれと思ってやっている「4つの誤った初動対応」
セキュリティインシデントが発生したとき、多くの中小企業は「何かしなければ」と思いながらも、正しい判断ができずに動けなくなります。あるいは、良かれと思って取った行動が、結果的に事態を悪化させてしまうこともあります。
ここでは、中小企業が良かれと思ってやってしまいがちな4つのパターンを紹介します。
誤解1:良かれと思って「漏洩が確定してから報告しよう」と待っている
「まだ漏洩したかどうか確定していないから、調査結果が出てから報告しよう」。これは最も危険な判断ミスのひとつです。
個人情報保護法では、漏洩の報告義務は「漏洩が発生し、又は発生したおそれがある事態」を知った時点で発生します。つまり、「確定」を待つ必要はないのです。「おそれ」の段階で報告義務が発生します。
具体的な報告期限は以下のとおりです。
| 報告の種類 | 期限 | 報告内容 |
|---|---|---|
| 速報 | 事態を知った日から3〜5日以内 | 把握している範囲で報告(未確定の部分は「調査中」でよい) |
| 確報 | 30日以内(不正アクセスの場合は60日以内) | 調査結果・再発防止策を含む詳細な報告 |
速報の段階では、すべての事実が判明している必要はありません。「何が起きたか」「いつ発覚したか」「現時点で把握している被害範囲」を報告すれば十分です。
「確定してから報告しよう」と待っている間に速報の期限(3〜5日)を過ぎてしまうと、それ自体が法令違反になります。調査に時間がかかる場合でも、まず速報を出すことが最優先です。
誤解2:良かれと思って「被害が小さいから報告不要」と判断している
「流出したのは5件だけだから、大した問題ではない」。件数だけで報告の要否を判断するのは危険です。
個人情報保護法で報告が必要とされるのは、以下の4つのケースのいずれかに該当する場合です。
| 報告が必要なケース | 具体例 | 件数の条件 |
|---|---|---|
| 要配慮個人情報の漏洩 | 従業員の健康診断結果、病歴などが流出 | 1件でも報告必要 |
| 財産的被害が生じるおそれ | クレジットカード情報、口座情報が漏洩 | 1件でも報告必要 |
| 不正の目的をもって行われたおそれ | 不正アクセスによる情報窃取、ランサムウェア被害 | 1件でも報告必要 |
| 1,000件を超える漏洩 | メール誤送信で大量の個人情報が流出 | 1,000件超で報告必要 |
注目すべきは、上の3つのケースでは件数に関係なく報告が必要だということです。たとえ1件の漏洩であっても、それが要配慮個人情報であったり、不正アクセスによるものであったりすれば、報告義務が発生します。
たとえば、「従業員1名の健康診断結果が入ったメールを誤送信してしまった」というケースでも、要配慮個人情報の漏洩に該当するため、報告義務があります。
「被害が小さいから報告しなくてよい」という判断基準は存在しません。 報告の要否は件数ではなく、漏洩した情報の性質と、漏洩が起きた原因によって判断する必要があります。
誤解3:良かれと思って「IT部門だけで対応して経営層に未報告」にしている
「IT担当に任せておけば大丈夫だろう」「経営層を巻き込むほどの話ではない」。技術的な問題はIT担当者が解決すればよい、と考える気持ちはわかります。
しかし、セキュリティインシデントは技術の問題ではなく、経営の問題です。
個人情報保護委員会への報告は、事業者としての義務です。つまり、報告の責任は経営者にあるのです。IT担当者が技術的な対処をしている間に報告期限が過ぎてしまえば、法令違反の責任を問われるのは経営者です。
また、セキュリティインシデントの対応には、以下のような経営判断が必要な場面が多数あります。
| 経営判断が必要な場面 | 判断内容 |
|---|---|
| 事業継続の判断 | 被害を受けたシステムを停止するか、業務を継続するか |
| 外部公表の判断 | 顧客や取引先にいつ・どのように公表するか |
| 専門家への依頼判断 | フォレンジック調査(原因特定のための専門調査)を外部に依頼するか |
| 費用の承認 | 復旧作業・調査・損害賠償にかかる費用の承認 |
| 再発防止策の決定 | 組織体制・業務プロセスの見直しを含む再発防止策の決定 |
IT部門だけで抱え込むと、これらの判断が遅れ、被害が拡大するリスクがあります。インシデントが発生したら、まず経営層に報告する。これが鉄則です。
誤解4:良かれと思って「顧客連絡を後回しにして原因調査を優先」している
「原因がわからないまま顧客に連絡しても混乱させるだけだ」。この判断も、一見合理的に見えますが、法的にはリスクがあります。
2022年改正の個人情報保護法では、報告義務のある漏洩が発生した場合、本人への通知も法的義務とされています。つまり、個人情報保護委員会への報告だけでなく、漏洩の対象となった本人にも通知しなければならないのです。
本人への通知は「速やかに」行うことが求められています。ここで重要なのは、通知の時点で原因が完全に判明している必要はないということです。
本人への通知に含めるべき内容は以下のとおりです。
| 通知項目 | 内容 |
|---|---|
| 漏洩した個人情報の項目 | 氏名、メールアドレス、電話番号 など |
| 漏洩の概要 | いつ、どのような経緯で漏洩が発生したか |
| 二次被害の防止策 | 不審なメールや電話に注意する、パスワードを変更する など |
| 問い合わせ窓口 | 本人が質問や相談をできる連絡先 |
原因調査はもちろん重要ですが、本人への通知と原因調査は並行して進めるべきです。顧客への連絡を後回しにすると、二次被害(漏洩した情報を使った詐欺やなりすまし)が発生するリスクが高まります。
さらに、SNSやメディアを通じて漏洩の事実が先に広まってしまった場合、企業の信頼は大きく損なわれます。自社から先に誠実に通知することが、信頼回復への第一歩です。
2. インシデント対応で成果を出している企業の3つの共通点
では、セキュリティインシデントが発生した際に適切に対応できている企業は、何が違うのでしょうか。アクセルパートナーズの支援先の中から、共通する3つの特徴をお伝えします。
焦点:「技術的な対処」ではなく「報告・通知の期限」に目を向けている
適切に対応できている企業は、インシデント発生時に最初に確認するのが「報告期限はいつか」です。
技術的な原因究明に没頭するのではなく、まず以下の3つの期限を確認します。
| 確認する期限 | 内容 |
|---|---|
| 速報の期限 | 事態を知った日から3〜5日以内に個人情報保護委員会に報告 |
| 本人通知の期限 | 速やかに(法律上の具体的な日数の定めはないが、速報と同時期が目安) |
| 確報の期限 | 30日以内(不正アクセスの場合は60日以内)に詳細報告 |
この3つの期限をタイムラインに落とし込み、逆算して行動するのが成功する企業の特徴です。「技術的な調査が終わってから報告する」のではなく、「報告期限から逆算して、いつまでに何を把握する必要があるか」を考えるのです。
行動:「事後対応」ではなく「事前準備」を済ませている
インシデント対応がうまくいく企業は、漏洩が起きる前に対応フローを整備しているのが最大の特徴です。
具体的には、以下の準備が完了しています。
- インシデント対応マニュアルが文書化されている(誰が・何を・いつまでにやるかが明確)
- 報告先の連絡先リストが最新の状態で管理されている
- 個人情報保護委員会への報告フォームの場所と記入方法を事前に確認している
- 外部の専門家(弁護士・フォレンジック調査会社)の連絡先を把握している
- 年1回以上のインシデント対応訓練を実施している
「うちはまだ被害に遭っていないから大丈夫」と思うかもしれません。しかし、IPAの「情報セキュリティ10大脅威2025」によれば、中小企業を標的としたサイバー攻撃は年々増加しています。「起きるかもしれない」ではなく「起きたときにどう動くか」を準備しておくことが、被害を最小限に抑える鍵です。
量:「単発の対応」ではなく「再発防止まで含めた一連のプロセス」を実行している
インシデント対応で成果を出している企業は、「報告して終わり」にしないのが特徴です。
確報の提出後も、以下のようなプロセスを確実に実行しています。
- 原因の根本分析:表面的な原因だけでなく、なぜそれが起きたのかを掘り下げる
- 再発防止策の実施:技術的対策だけでなく、運用ルールや教育の見直しも含める
- 対応プロセスの振り返り:今回の対応で改善すべき点を洗い出し、マニュアルを更新する
- 全社共有:インシデントの概要と再発防止策を社内全体に共有する
この「振り返りと改善」のサイクルを回すことで、同じ事故を二度と起こさない体制が構築されていきます。1回のインシデント対応を「失敗」ではなく「組織の学びの機会」として活かすかどうかが、企業の成長を左右するのです。
3. 報告義務の「全体像×判断基準×初動対応フロー」フレームワーク
ここまでの内容を踏まえ、中小企業がセキュリティインシデントの報告義務に対応するための実践的なフレームワークを紹介します。「報告義務の全体像」「報告必要/不要の判断基準」「初動対応フロー」の3本の柱で整理します。
柱1:報告義務の全体像 ― 「どの法律が、何を求めているか」を把握する
セキュリティインシデントに関連する報告義務は、複数の法律・制度にまたがっています。中小企業が押さえておくべき主な報告先と根拠法令は以下のとおりです。
| 報告先 | 根拠法令・制度 | 対象となるインシデント | 報告期限 |
|---|---|---|---|
| 個人情報保護委員会 | 個人情報保護法 | 個人情報の漏洩・滅失・毀損 | 速報3〜5日以内、確報30日以内(不正アクセスは60日以内) |
| 警察 | 刑法(不正アクセス禁止法等) | 不正アクセス、ランサムウェア被害など犯罪被害 | 速やかに(期限の定めなし) |
| IPA(独立行政法人 情報処理推進機構) | 情報セキュリティ早期警戒パートナーシップ | コンピュータウイルス・不正アクセスの被害 | 任意だが早期の届出が推奨 |
| 所管省庁 | 業法(金融庁、厚労省など) | 業種特有の規制に基づくインシデント | 業法による |
最も重要なのは個人情報保護委員会への報告です。これは法的義務であり、違反した場合は最大1億円の罰金が科される可能性があります。
警察への届出は、不正アクセスやランサムウェアなど犯罪被害の場合に行います。これは法的な報告義務ではありませんが、犯罪の証拠保全や捜査への協力のためにも、早期の届出が推奨されています。
IPAへの届出は任意ですが、届出された情報はサイバー攻撃の傾向分析に活用され、他の企業への注意喚起にもつながります。社会全体のセキュリティ向上に貢献するという意味でも、積極的な届出が望まれます。
柱2:報告必要/不要の判断基準 ― 「この事態は報告が必要か?」を判断する
実際にインシデントが発生したとき、最も悩むのが「この事態は報告が必要なのか、不要なのか」の判断です。以下のフローで判断できます。
判断フロー:
ステップ1:個人情報の漏洩・滅失・毀損が発生した、またはその「おそれ」があるか?
- はい → ステップ2へ
- いいえ → 個人情報保護法上の報告義務なし(ただし、犯罪被害の場合は警察への届出を検討)
ステップ2:以下の4つのいずれかに該当するか?
| 判断基準 | 具体例 |
|---|---|
| A. 要配慮個人情報が含まれる | 健康診断結果、病歴、障害の有無、人種、信条に関する情報 |
| B. 財産的被害が生じるおそれがある | クレジットカード番号、銀行口座情報、決済関連情報 |
| C. 不正の目的をもって行われたおそれがある | 不正アクセス、ランサムウェア、従業員による持ち出し |
| D. 漏洩件数が1,000件を超える | メール誤送信、システムの設定ミスによる大量流出 |
- A〜Dのいずれかに該当 → 報告義務あり(速報3〜5日以内、確報30日以内)
- いずれにも該当しない → 法律上の報告義務なし(ただし、自主的な対応は推奨)
判断に迷う場合の具体例:
| ケース | 判断 | 理由 |
|---|---|---|
| メールの誤送信(宛先間違い)で10件の氏名・メールアドレスが漏洩 | 報告義務なし(原則) | 要配慮情報・財産情報を含まず、不正の目的もなく、1,000件以下 |
| ランサムウェア感染でPCのデータが暗号化された | 報告義務あり | 不正の目的をもって行われたおそれがある(C該当) |
| 従業員が退職時に顧客リストを無断でコピーして持ち出した | 報告義務あり | 不正の目的をもって行われたおそれがある(C該当) |
| 社内システムの設定ミスで顧客情報が一時的に外部から閲覧可能になっていた | 状況による | 閲覧可能だった情報の内容と件数による。不正アクセスの痕跡があればC該当 |
| USBメモリを紛失したが、暗号化されていた | 報告義務なし(原則) | 高度な暗号化がされていれば「漏洩が発生したおそれ」が低いと判断可能 |
重要: 判断に迷う場合は、「報告する」方向で判断するのが安全です。報告が不要だったとしても罰則はありませんが、報告が必要だったのに報告しなかった場合は法令違反になります。
柱3:初動対応フロー ― 「最初の72時間で何をやるか」を明確にする
セキュリティインシデントの対応では、最初の72時間(3日間)が極めて重要です。この期間の行動が、被害の拡大を防げるか、法令を遵守できるかを左右します。
【発覚直後〜数時間以内】
| 順序 | 対応内容 | 担当 | ポイント |
|---|---|---|---|
| 1 | 事実の確認・記録 | 発見者 | 「いつ」「何が」「どこで」を記録。スクリーンショットやログを保全 |
| 2 | 管理者・経営層への報告 | 発見者→管理者 | 電話や対面で即座に。メールだけでは気づかないリスクあり |
| 3 | 被害拡大の防止措置 | IT担当 | ネットワーク遮断、該当アカウントの停止、パスワード変更 |
【発覚後1日目〜3日目】
| 順序 | 対応内容 | 担当 | ポイント |
|---|---|---|---|
| 4 | 被害範囲の調査 | IT担当・管理者 | 何の情報が、何件、どの範囲に漏洩したかを調査 |
| 5 | 報告義務の判断 | 経営者・管理者 | 柱2の判断基準に基づき、報告が必要か判断 |
| 6 | 個人情報保護委員会への速報 | 経営者 | 報告が必要と判断した場合、速やかに速報を提出 |
| 7 | 本人への通知 | 管理者 | 漏洩対象者に通知(把握している範囲でよい) |
| 8 | 警察への届出 | 経営者 | 犯罪被害の場合、所轄の警察署に届出 |
【発覚後4日目〜30日目】
| 順序 | 対応内容 | 担当 | ポイント |
|---|---|---|---|
| 9 | 原因の詳細調査 | IT担当・外部専門家 | 必要に応じてフォレンジック調査を実施 |
| 10 | 再発防止策の策定 | 全社 | 技術的対策・運用ルール・教育の見直しを含む |
| 11 | 個人情報保護委員会への確報 | 経営者 | 30日以内(不正アクセスは60日以内)に詳細報告 |
| 12 | 社内共有・マニュアル更新 | 管理者 | インシデントの教訓を全社で共有、対応手順を改善 |
4. 今すぐ準備する「インシデント報告対応キット」
ここまでのフレームワークを踏まえ、中小企業が今すぐ準備できる具体的なアクションを紹介します。インシデントが起きてからでは遅い準備ばかりです。今日のうちに着手しましょう。
ステップ1:連絡先リストを作成する(所要時間:1時間)
インシデント発生時にすぐに連絡できるよう、以下の連絡先リストを作成しておきます。
| 連絡先 | 具体的な情報 | 備考 |
|---|---|---|
| 社内の個人情報保護責任者 | 氏名・電話番号・メールアドレス | 休日・夜間の連絡方法も確認 |
| 社内のIT担当者 | 氏名・電話番号・メールアドレス | 外部委託の場合はベンダーの緊急連絡先 |
| 個人情報保護委員会 | 報告フォームURL・電話番号 | Webサイトで最新情報を確認 |
| 所轄の警察署 | サイバー犯罪相談窓口の電話番号 | 各都道府県警のサイバー犯罪相談窓口 |
| IPA(情報処理推進機構) | 届出窓口のURL・電話番号 | 情報セキュリティ安心相談窓口:03-5978-7509 |
| 顧問弁護士 | 氏名・電話番号 | IT・個人情報に詳しい弁護士が望ましい |
| サイバー保険会社 | 保険証券番号・緊急連絡先 | 加入している場合 |
| フォレンジック調査会社 | 会社名・連絡先 | 事前に候補を2〜3社リストアップ |
ポイント: このリストは紙でも印刷しておくことをお勧めします。サイバー攻撃を受けた場合、社内のシステム(メール・チャット・ファイルサーバー)が使えなくなる可能性があるためです。デジタルでアクセスできない状態でも連絡が取れる手段を確保しておくことが重要です。
ステップ2:インシデント対応マニュアルを作成する(所要時間:3〜5時間)
柱3で紹介した初動対応フローを、自社の体制に合わせてカスタマイズし、マニュアルとして文書化します。
マニュアルに含めるべき項目:
- 目的と適用範囲 ― このマニュアルは何のためのものか、誰が対象か
- インシデントの定義 ― どのような事態が「インシデント」に該当するか
- 役割分担 ― 誰が何を担当するか(責任者・管理者・IT担当・窓口担当)
- 初動対応フロー ― 発覚から72時間以内にやるべきことの手順
- 報告義務の判断基準 ― 報告が必要か不要かを判断するためのフローチャート
- 報告・通知のテンプレート ― 個人情報保護委員会への報告フォームの記入例、本人への通知文のひな形
- 外部連絡先リスト ― ステップ1で作成したリスト
- 証拠保全の手順 ― ログの取得、スクリーンショットの保存、端末の保全方法
特に重要なのは「報告・通知のテンプレート」です。インシデント発生時は混乱の中で作業することになるため、ゼロから文書を作成するのは極めて困難です。事前にテンプレートを用意しておけば、必要な情報を埋めるだけで報告書が完成します。
本人通知のテンプレート(例):
件名:個人情報の漏洩に関するお詫びとお知らせ
○○様
平素より弊社をご利用いただき、誠にありがとうございます。このたび、弊社において○○様の個人情報が漏洩した可能性があることが判明いたしました。
【漏洩した可能性のある情報】○○、○○
【発覚日】○年○月○日
【概要】○○(簡潔に経緯を記載)現在、原因の調査と再発防止策の策定を進めております。不審なメールや電話にはくれぐれもご注意ください。
ご不明な点がございましたら、下記窓口までお問い合わせください。
【問い合わせ窓口】○○(電話番号・メールアドレス)
ステップ3:報告義務の判断フローを社内に周知する(所要時間:1〜2時間)
柱2で紹介した判断基準を、A4サイズ1枚のフローチャートにまとめ、社内に掲示・共有します。
フローチャートに含めるべき内容:
- 「個人情報の漏洩・滅失・毀損が発生した、またはそのおそれがあるか?」
- 「以下の4条件のいずれかに該当するか?」(要配慮個人情報/財産的被害/不正目的/1,000件超)
- 該当する場合 → 「速報3〜5日以内、確報30日以内(不正アクセスは60日以内)」
- 該当しない場合 → 「法的義務なし。ただし社内記録と自主的対応を推奨」
このフローチャートは、全従業員が見られる場所に掲示することが大切です。インシデントは誰が最初に発見するかわかりません。従業員全員が「これは報告が必要かもしれない」と気づけるようにすることが、初動の速さにつながります。
ステップ4:インシデント対応訓練を実施する(所要時間:2〜3時間)
マニュアルを作成したら、年に1回以上の訓練を実施します。訓練は大がかりなものである必要はありません。30分〜1時間の机上訓練(テーブルトップエクササイズ)で十分な効果が得られます。
訓練シナリオの例:
シナリオA:メール誤送信
営業担当者が、顧客50社分の見積一覧表(担当者名・連絡先・取引金額を含む)を、誤って別の取引先にメール送信してしまった。送信から2時間後に気づいた。
シナリオB:ランサムウェア感染
月曜日の朝、出社した従業員がPCを起動すると、画面に「ファイルを暗号化した。復元には500万円をビットコインで支払え」というメッセージが表示されていた。ファイルサーバーのデータもアクセスできなくなっている。
シナリオC:元従業員による情報持ち出し
先月退職した元従業員が、在職中に顧客データベースをUSBメモリにコピーして持ち出していたことが判明した。元従業員は競合他社に転職している。
それぞれのシナリオに対して、「報告義務はあるか」「誰に最初に連絡するか」「速報の期限はいつか」「本人通知は必要か」を参加者に考えてもらいます。
訓練後は、気づいた課題をマニュアルに反映することを忘れずに。「連絡先が古かった」「判断基準が曖昧だった」「マニュアルの場所がわからなかった」など、実際に手を動かすことで見えてくる改善点を確実に潰していきます。
ステップ5:継続的な体制維持の仕組みを作る(継続的に実施)
インシデント対応体制は、一度作ったら終わりではありません。以下のサイクルで継続的に維持・改善します。
年間の運用サイクル:
| 頻度 | 実施内容 | 所要時間 |
|---|---|---|
| 毎月 | 連絡先リストの更新確認 | 15分 |
| 四半期ごと | セキュリティ情報のキャッチアップ(IPAの注意喚起など) | 30分 |
| 半年ごと | インシデント対応マニュアルの見直し | 1時間 |
| 年1回 | インシデント対応訓練の実施 | 2〜3時間 |
| 随時 | 法改正や制度変更への対応 | 状況による |
費用の目安:
| 対応項目 | 費用の目安 |
|---|---|
| インシデント対応マニュアルの作成 | 自社対応なら0円/外部支援なら10〜30万円 |
| インシデント対応訓練 | 自社対応なら0円/外部講師なら5〜15万円 |
| フォレンジック調査(事後対応) | 100〜500万円(被害規模による) |
| サイバー保険 | 年間5〜30万円(企業規模・補償内容による) |
| セキュリティ対策ツール | 月額5,000〜2万円程度 |
フォレンジック調査の費用は高額ですが、サイバー保険に加入していれば保険でカバーできる場合があります。 また、セキュリティ対策ツールの導入にはIT導入補助金(最大90%補助)を活用できる可能性があります。「もしも」のための備えは、事前に整えておくほど費用を抑えられます。
5. 法改正の動向と今後に備えるべきこと
セキュリティインシデントの報告義務を取り巻く制度は、年々強化される方向に進んでいます。ここでは、中小企業が今後注意すべき動向を整理します。
個人情報保護法の次期改正に向けた動き
個人情報保護法は3年ごとに見直しが行われることが法律で定められています。2022年改正の次の改正に向けた議論が、個人情報保護委員会で進められています。
今後強化が見込まれるポイントとしては、以下が挙げられます。
- 報告義務の対象範囲の拡大:現在は4類型に限定されている報告義務の対象が、さらに拡大される可能性
- 罰則の強化:違反企業への罰金のさらなる引き上げ
- プロファイリング規制:AIを活用した個人情報の自動分析に対する規制の導入
- 越境移転の厳格化:海外クラウドサービスへのデータ保管に対する規制の強化
サプライチェーンセキュリティの強化
経済産業省が推進する「サイバーセキュリティ経営ガイドライン」では、サプライチェーン全体のセキュリティ確保が重要視されています。
これは中小企業にとって、2つの意味があります。
- 取引先からセキュリティ対策状況の報告を求められる機会が増える
- 自社のインシデントが取引先にも影響する場合、迅速な情報共有が求められる
大企業との取引がある中小企業は、自社のインシデント対応体制を「取引先に説明できる状態」にしておくことが、取引関係を維持するうえでもますます重要になっています。
SECURITY ACTIONとの連携
IPA(情報処理推進機構)が推進するSECURITY ACTIONは、中小企業がセキュリティ対策に取り組むことを自己宣言する制度です。
SECURITY ACTION二つ星を宣言するためには、「情報セキュリティ基本方針の策定・公開」と「5分でできる!情報セキュリティ自社診断の実施」が必要です。この取り組みの中に、インシデント対応の体制整備も含まれています。
SECURITY ACTIONの宣言は、IT導入補助金の申請要件にもなっています。つまり、インシデント対応体制の整備は、補助金活用への道にもつながるのです。
業種別の追加的な報告義務
個人情報保護法に加えて、業種によっては追加の報告義務がある場合があります。
| 業種 | 追加の報告先 | 根拠 |
|---|---|---|
| 金融業 | 金融庁 | 金融商品取引法、銀行法など |
| 医療・介護 | 厚生労働省 | 医療法、介護保険法など |
| 電気通信事業 | 総務省 | 電気通信事業法 |
| 個人番号(マイナンバー)取扱事業者 | 個人情報保護委員会 | マイナンバー法(番号法) |
自社がどの業法の対象になるかを確認し、追加の報告義務がある場合はマニュアルに反映しておきましょう。
まとめ:「報告義務を知っている」ことが最大の防御策
セキュリティインシデントは、どんなに対策を施しても完全には防げません。しかし、「起きたときにどう動くか」を知っているかどうかで、被害の大きさは天と地ほど変わります。
このコラムで紹介した「報告義務の全体像×判断基準×初動対応フロー」フレームワークと、5つのステップの準備キットを活用すれば、「何を届け出ればいいかわからない」という状態から抜け出せるはずです。
今日からできる3つのアクション:
- 連絡先リストを作成する(個人情報保護委員会・警察・IPA・社内責任者の連絡先を1枚にまとめる)
- 報告期限を経営層と共有する(速報3〜5日以内、確報30日以内、不正アクセスは60日以内)
- 判断フローチャートをA4サイズ1枚にまとめて社内に掲示する
大事なのは、「完璧なマニュアル」を作ることではなく、「最低限の準備」を今日始めること。 連絡先リストを1枚作るだけでも、インシデント発生時の初動速度は格段に速くなります。
アクセルパートナーズのサポート
アクセルパートナーズでは、中小企業のインシデント対応体制の整備を包括的にサポートしています。
「インシデント対応マニュアルを作りたい」「報告義務の判断基準を整理したい」「インシデント対応訓練を実施したい」という方は、まずは無料相談からお気軽にお問い合わせください。
インシデント対応体制の構築から、SECURITY ACTION二つ星の取得支援、IT導入補助金を活用したセキュリティツールの導入まで、貴社の状況に合わせたご提案をいたします。
お問い合わせはこちら:
- 電話:0120-659-057(平日 9:30〜18:00)
- Webフォーム:お問い合わせページよりご連絡ください
アクセルパートナーズ 取締役・中小企業診断士
国内Sier企業でシステムエンジニア、PM、研修講師、法人営業を経験。 人と組織の成長を支えるマネジメントに携わる。2023年 中小企業診断士登録。2025年 アクセルパートナーズの理念や行動指針に強く共感し、取締役として参画。
