実際に情報漏洩が起きた時、私たちはどのように対応すべきでしょうか？　情報漏洩はある日突然発覚します。その状況下で臨機応変に対応できる人が、どれだけいるでしょうか。気も動転するでしょうし、何をどうしたら良いか、分からなくなるのが普通です。警察から連絡を受けた時は頭が真っ白になりました、と告白した経営者もいます。
本稿では、情報漏洩時に迅速に対応できるよう、よくあるケース別に、必要な対応をチェックリスト形式でまとめています。いざという時に備え、ダウンロードして、貴社の行動基準を策定するためにご利用ください。

ダウンロード：　情報漏洩対応チェックリスト

個人情報保護法で情報漏洩時の報告義務が必要になったため、初動対応がより一層重要になりました。情報漏洩被害の拡大防止面でも、事前に自社内での行動基準を決めておくことが大切です。
※実際の情報漏洩時には、深刻な被害が予想されます。本稿および情報漏洩対応チェックリストは、被害発生時のイメージとしてご理解いただき、必ず専門家にご相談のうえご対応をお願いいたします。

目次

• 情報漏洩対応で、真っ先にやるべきこと！
• メール誤送信・Web誤公開時の対応例
• 紛失・盗難時の対応例
• 外部攻撃の対応例
• 内部犯行の対応例

情報漏洩対策で真っ先にやること！

情報漏洩が発生した時、真っ先にとるべき対応は何でしょうか？　それは２次被害の拡大防止であり、具体的にいえば情報の隔離です。以下では、情報漏洩のよくあるケース別に対応例をご説明します。実際には、このあとのチェックリストを参考にして対処を進めます。

• メールを誤送信した場合：
  間違って送付したメールの削除を依頼し、拡散を防ぐようにします。

• Webに誤情報を公開した場合：
  速やかに誤った情報を削除し、キャッシュが残っていれば削除処理を行います。

• PCやスマホを紛失した場合：
  対象機器のアカウント停止やログインパスワードを変更し、他のネットワークに侵入させないようにします。
  
  ※事前対策としては、対象機器に暗号化やロックをかけておきます。事前の準備により、漏洩後の被害を抑えることができます。事前対策については、追って別記事で解説予定です。

• 外部から不正アクセスの場合：
  不正アクセスのあった機器やサイトを停止します。停止できない場合でも不正アクセスされた情報を、他のネットワークから遮断することは不可欠です。
  
  ※事前対策としては、ログ取得や監査ツールの準備により、状況確認や原因特定、対処に有効です。また、ファームウェアのアップデートも定期的に行うことも必要です。事前対策については、追って別記事で解説予定です。

• 内部不正による犯行の場合：
  情報漏洩した機器（ファイルサーバー等）のID停止やアクセス制限を実施し、被害の拡大を防ぐとともに証拠の保全を行います。
  
  ※事前対策としては、ログ取得や監査ツールの準備により、状況確認や原因特定、対処に有効です。事前対策については、追って別記事で解説予定です。

このように、真っ先に対応するべきことは被害の拡大防止です。ひとたび情報漏洩が起きれば、色々なことに対応しなければなりません。それらは情報漏洩対応チェックリストにまとめてありますが、ここでしっかり頭に入れていただきたいのは、被害の拡大防止が何よりも重要である、ということです。被害の拡大防止のために、情報や対象機器を隔離すると覚えてください。

なお個々の対応策は情報漏洩の原因により異なりますが、全てに共通するのは次のステップです。

メール誤送信 / Web誤公開時の対応例

メールの誤送信やWeb上に誤った情報を公開した場合、どのように対応すべきでしょうか。ここでは情報漏洩対応チェックリスト（PDF版）の内容を、そのまま記載してご説明します。

誤送信・誤公開とは？
　（例１）：電子メールの宛先を間違えて送信する
　（例２）：Web管理の設定ミスによる、非公開情報の公開

真っ先にすべき対応は？
　→　メール宛先ミス：　送付先への削除依頼
　→　Web上で誤公開：　すみやかな情報の削除

※実際の情報漏洩時には、深刻な被害が予想されます。本稿および情報漏洩対応チェックリストは、被害発生時のイメージとしてご理解いただき、必ず専門家にご相談のうえご対応をお願いいたします。

＜発覚＞

□　発覚した経緯は、次のうちどちらですか？
　・本人の自己申告
　・ミスを発見した第三者からの連絡
　　　→　連絡先を控える

＜初動と一次対応＞

□　誤送信・誤公開したのは自社の情報だけですか、他社の情報も含まれますか？
　※　業務委託先の情報なら、他社の情報になります
　→　他社の情報が含まれる場合は、情報の所有者に連絡します

□　誤送信・誤公開された情報は、どのような内容ですか？
　□　個人情報が含まれますか？
　　・個人情報とは、取引先・社員など個人に関する情報です
　　→　個人情報の漏えいは、個人情報保護法に準拠した対応が必要です
　　□　個人情報は何件程度の数（情報量）ですか？（基準：1000人を超えるか）
　　□　個人情報は要配慮個人情報が含まれていますか？（人種、病歴など）
　　□　個人情報は財産的被害が生じる恐れがありますか？（カード情報など）
　　□　個人情報は不正目的をもって行われた漏洩でしたか？
　　※上記に該当する場合は、個人情報保護委員会への報告義務が発生します
　　　速報として、概ね3-5日以内に報告が必要となります

　□　クレジットカードなどの金融情報が含まれますか？
　　→　含まれる場合は、カード会社など金融機関に連絡します

　□　公共性の高い情報が含まれますか？
　　・公共性の高い情報とは、発電所、通信設備のように社会インフラに影響する情報です
　　→　特別法などの規制がある場合、法令に則った対応になります

　□　取引先の情報が含まれますか？
　　→　取引先に連絡し、先方の意向に沿った対応をします

　□　機密情報が含まれますか？
　　・機密情報とは図面データなど、外部に出せない情報です
　　→　機密性の重要度に応じて、経営判断をします

□　誤送信・誤公開された、情報のタイプは？
　□　メールには添付ファイルがありましたか？
　□　関連リンクがありましたか？
　□　Webにはダウンロードできるファイルがありましたか？

□　誤送信・誤公開された情報は、何らかの形で保護されていましたか？
　・パスワードで保護されていた
　・暗号化されていた
　・何ら保護はなく、平文の状態だった

□　誤送信・誤公開に気づいたのは、何月何日何時ですか？

□　なぜ、誤送信・誤公開が起きてしまったのですか？
　・単純な操作ミス、確認不足など
　・システムの不具合
　・運用ルールの違反（公開・送信時のダブルチェックなど規定作業の未実施など）

<１次対応のまとめ>

　→　誤公開（自社サイト）の場合、すぐに情報を削除するか、アクセスを制限します
　→　誤公開（他社サイト）の場合、すぐに情報の削除を依頼します
　→　メール誤送信の場合、受信者にお詫びし、メールの削除を依頼します

＜検討と公表＞

　→　予想される２次被害を確認します
　→　事態の重要度を判断します
　→　個人情報が含まれる場合には、本人への通知とお詫びをします
　→　クレジットカード情報など、金融情報が含まれる場合は、カード停止を促すよう対応します
　→　漏洩規模や社会的影響など必要に応じて、 監督官庁（例：クレジットカード情報など、
　　　金融情報が含まれる場合は金融庁） および 個人情報保護委員会 に届け出ます
　→　社会的な影響が大きいと判断した場合は、Webなどを通じて公表します

<復旧>

　→　システムの不具合が原因の場合、プログラムを修正し、システムを復旧させます
　→　Webページの設定を確認し、正しく表示されていることを確認します
　→　検索サイトに残ったキャッシュを削除します

<再発防止>

　→　違反や管理ミスがあった場合は、適切な処分を行います
　→　情報管理の作業手順やチェックの仕組みを見直します

紛失・盗難時の対応例

情報機器を紛失、盗難した場合は、どのように対応すべきでしょうか。ここでも情報漏洩対応チェックリスト（PDF版）の内容を、そのまま記載してご説明します。

盗難・紛失とは？
　（例１）：PCの入ったカバンを電車に置き忘れる
　（例２）：ポケットに入れたUSBメモリがないことに気づく

真っ先にすべき対応は？
　→　対象物（PCやスマホなど）のアカウント停止、ログインパスワードの変更

※実際の情報漏洩時には、深刻な被害が予想されます。本稿および情報漏洩対応チェックリストは、被害発生時のイメージとしてご理解いただき、必ず専門家にご相談のうえご対応をお願いいたします。

＜発覚＞

□　発覚した経緯は、次のうちどれですか？
　・紛失者の自己申告
　　→　紛失した場所の管理者（鉄道会社の窓口、店舗の担当者など）へ連絡
　・警察からの連絡
　　→　警察の連絡先を書き留める
　・取得者からの連絡
　　→　取得者の連絡先を書き留める

＜初動と１次対応＞

□　失ったのは、自社の情報だけですか、他社の情報も含まれますか？
　※　業務委託先の情報なら、他社の情報になります
　→　他社の情報が含まれる場合は、情報の所有者に連絡します

□　紛失・盗難にあった対象物（PC、スマホ、USBメモリなど）は、なにですか？
　□　対象物には、シリアルナンバーなど、識別できる記号がありましたか？
　□　対象物のメーカー名、モデル名、色、サイズなど、特徴を詳しく教えてください
　→　対象物（PC、スマホ等）のアカウント停止、ログインパスワードの変更

□　失った情報は、どのような内容ですか？
　□　個人情報が含まれますか？
　　・個人情報とは、取引先・社員など個人に関する情報です
　　→　個人情報の漏えいは、個人情報保護法に準拠した対応が必要です
　　□　個人情報は何件程度の数（情報量）ですか？（基準：1000人を超えるか）
　　□　個人情報は要配慮個人情報が含まれていますか？（人種、病歴など）
　　□　個人情報は財産的被害が生じる恐れがありますか？（カード情報など）
　　□　個人情報は不正目的をもって行われた漏洩でしたか？
　　※上記に該当する場合は、個人情報保護委員会への報告義務が発生します
　　　速報として、概ね3-5日以内に報告が必要となります

　□　クレジットカードなどの金融情報が含まれますか？
　　→　含まれる場合は、カード会社など金融機関に連絡します

　□　公共性の高い情報が含まれますか？
　　・公共性の高い情報とは発電所、通信設備のように社会インフラに影響する情報です
　　→　特別法などの規制がある場合、法令に則った対応になります

　□　取引先の情報が含まれますか？
　　→　取引先に連絡し、先方の意向に沿った対応をします

　□　機密情報が含まれますか？
　　・機密情報とは図面データ等、外部に出せない情報です
　　→　機密性の重要度に応じて、経営判断をします

□　失った情報は、パスワードなどで保護されていましたか？
　・パスワードで保護されていた
　・暗号化されていた
　・何ら保護はなく、平文の状態だった

□　紛失・盗難にあった対象物は、鞄や入れ物に入っていましたか？
　□　鞄や入れ物の特徴（色、形、素材など）を詳しく教えてください

□　紛失・盗難に気づいたのは、何月何日何時ですか？

□　失った場所は、どこですか？
　→　鉄道、店舗に連絡します

□　なぜ、紛失・盗難にあってしまったのですか？
　（例：眠ってしまった、トイレで席を外したなど、その時の状況を詳しく）

<１次対応のまとめ>

→　対象物（PC、スマホ等）のアカウント停止、ログインパスワードの変更
→　他社の情報が含まれる場合は、情報の所有者に連絡します
→　鉄道、店舗に連絡します
→　警察に届け出ます
→　紛失盗難にあった機器が、オークションや中古市場に出回っていないか確認します

＜検討と公表＞

→　予想される２次被害を確認します
→　事態の重要度を判断します
→　個人情報が含まれる場合には、本人への通知とお詫びをします
→　クレジットカード情報など、金融情報が含まれる場合は、カード停止を促すよう対応します
→　漏洩規模や社会的影響など必要に応じて、 監督官庁（例：クレジットカード情報など、
　　金融情報が含まれる場合は金融庁） および 個人情報保護委員会 に届け出ます
→　社会的な影響が大きいと判断した場合は、Webなどを通じて公表します

<再発防止>

→　自社の情報管理ポリシーに則り、再発防止策を講じ、周知徹底します

外部攻撃時の対応例

外部攻撃（不正アクセスや不正プログラム）を受けた場合は、どのように対応すべきでしょうか。ここでも情報漏洩対応チェックリスト（PDF版）の内容を、そのまま記載してご説明します。

外部攻撃を受けた場合とは？
　（例１）：ウィルス等の不正プログラムに感染し、情報が漏洩した場合
　（例２）：システムの脆弱性等から不正アクセスを許し、情報漏洩した場合

真っ先にすべき対応は？
　→　不正アクセスがあった機器・サイトの停止、または隔離（他のネットワークから切断）

※実際の情報漏洩時には、深刻な被害が予想されます。本稿および情報漏洩対応チェックリストは、被害発生時のイメージとしてご理解いただき、必ず専門家にご相談のうえご対応をお願いいたします。

＜発覚＞

□　発覚した経緯は、次のうちどれですか？
　・風評を含む外部からの指摘
　　→　指摘してくれた方の連絡先を書き留め
　・ウィルス対策ソフト、ネットワーク監視サービスなどからの連絡
　・ランサムウェアによる身代金要求があった

＜初動と１次対応＞

□　失ったのは、自社の情報だけですか、他社の情報も含まれますか？
　※　業務委託先の情報なら、他社の情報になります
　→　他社の情報が含まれる場合は、情報の所有者に連絡します

□　外部攻撃を受けた機器は、なにですか？
　→　対象物（PC、スマホなど）のアカウント停止、ログインパスワードの変更
　→　対象物（PC、スマホなど）のネットワークからの切り離し

□　外部攻撃を受けた範囲は、どこまでですか？（ネットワークのすべてなのか、一部なのか？）
　→　攻撃を受けたネットワークのサービス停止、外部からの隔離

□　漏洩した情報は、どのような内容ですか？
　□　個人情報が含まれますか？
　　・個人情報とは、取引先・社員など個人に関する情報です
　　→　個人情報の漏えいは、個人情報保護法に準拠した対応が必要です
　　□　個人情報は何件程度の数（情報量）ですか？（基準：1000人を超えるか）
　　□　個人情報は要配慮個人情報が含まれていますか？（人種、病歴など）
　　□　個人情報は財産的被害が生じる恐れがありますか？（カード情報など）
　　□　個人情報は不正目的をもって行われた漏洩でしたか？
　　※上記に該当する場合は、個人情報保護委員会への報告義務が発生します
　　　速報として、概ね3-5日以内に報告が必要となります

　□　クレジットカードなどの金融情報が含まれますか？
　　→　含まれる場合は、カード会社など金融機関に連絡します

　□　公共性の高い情報が含まれますか？
　　・公共性の高い情報とは発電所、通信設備のように社会インフラに影響する情報です
　　→　特別法などの規制がある場合、法令に則った対応になります

　□　取引先の情報が含まれますか？
　　→　取引先に連絡し、先方の意向に沿った対応をします

　□　機密情報が含まれますか？
　　・機密情報とは図面データなど、外部に出せない情報です
　　→　機密性の重要度に応じて、経営判断をします

□　漏洩した情報は、パスワードなどで保護されていましたか？
　・パスワードで保護されていた
　・暗号化されていた
　・何ら保護はなく、平文の状態だった

□　外部攻撃に気づいたのは、何月何日何時ですか？

<調査・検討>

→　漏洩情報の内容から事態の深刻度を判断します
→　必要に応じて専門業者に調査を依頼します
　　・JPCERT/CC　　※主に不正アクセス、マルウェア感染、DoS/DDoS攻撃などに対応
　　・JNSA：サイバーインシデント緊急対応企業一覧
→　必要に応じて警察（警視庁サイバー警察局）に相談します
　　・警察庁：サイバー警察局 相談窓口
→　サーバーなどに残された情報はバックアップをとり、証拠を保全します
→　実態が解明されるまでは、システムの再稼働は控えます
→　バックアップに不正プログラムがないことを確認し、再発防止措置を取った後、
　　システムを復旧します

＜公表＞

→　他社の情報が含まれる場合は、情報の所有者に連絡します
→　個人情報が含まれる場合には、本人への通知とお詫びをします
→　クレジットカード情報など、金融情報が含まれる場合は、カード停止を促すよう対応します
→　漏洩規模や社会的影響など必要に応じて、 監督官庁（例：クレジットカード情報など、
　　金融情報が含まれる場合は金融庁） および 個人情報保護委員会 に届け出ます
→　社会的な影響が大きいと判断した場合は、Webなどを通じて公表します

<再発防止>

→　自社の情報管理ポリシーに則り、再発防止策を講じ、周知徹底します
　　・システムの脆弱性修正、パッチ適用など
　　・ウィルス対策ソフトの導入、変更、最新化の徹底など
　　・フィッシングサイト、標的型メールに対応した定期的な教育など
→　必要に応じて、情報漏洩の被害にあった方へ補償をします

内部犯行時の対応例

内部の人間による犯行で情報が漏洩した場合は、どのように対応すべきでしょうか。ここでも情報漏洩対応チェックリスト（PDF版）の内容を、そのまま記載してご説明します。

内部犯行とは？
　・内部の人間が不正に情報を持出し、外部の業者等に販売・譲渡するケースです

真っ先にすべき対応は？
　→　対象サイト（ファイルサーバーなど）の停止、アクセス制限
　→　内部犯行者が使用した機器の確保（証拠の保全）

※実際の情報漏洩時には、深刻な被害が予想されます。本稿および情報漏洩対応チェックリストは、被害発生時のイメージとしてご理解いただき、必ず専門家にご相談のうえご対応をお願いいたします。

＜発覚＞

□　発覚した経緯は、次のうちどれですか？
　・顧客からの連絡（架空請求を受けた、個人情報が不正に利用されているなど）
　　→　連絡先を控える
　・マスコミからの連絡
　　→　連絡先を控える
　・情報が漏洩しているとの風評が広まった
　・名簿を買い取るよう、脅迫を受けた

＜初動と１次対応＞

□　内部犯行の当事者が、まだ社内にいる可能性がありますか？
　・まだ社内にいる可能性あり（特定できない場合は、いることを想定する）
　　→　証拠隠滅されないように注意する
　・社内にいる可能性はない
　　→　以下のプロセスへ

□　持ち出された情報は、自社の情報だけですか、他社の情報も含まれますか？
　※　業務委託先の情報なら、他社の情報になります
　→　他社の情報が含まれる場合は、情報の所有者に連絡します

□　漏洩した情報の保管場所は、どこですか？
　→　対象サイト（ファイルサーバーなど）
　　　該当サイト（サーバー）の停止、アクセス制限
　→　執務室、倉庫、書類保管場所（※物理的な書類など）
　　　立ち入り制限もしくは残りの書類を施錠できる場所に退避

□　なにを（PC、USBメモリ、紙など）、持ち出されましたか？

□　漏洩した情報は、どのような内容ですか？
　□　個人情報が含まれますか？
　　・個人情報とは、取引先・社員など個人に関する情報です
　　→　個人情報の漏えいは、個人情報保護法に準拠した対応が必要です
　　□　個人情報は何件程度の数（情報量）ですか？（基準：1000人を超えるか）
　　□　個人情報は要配慮個人情報が含まれていますか？（人種、病歴など）
　　□　個人情報は財産的被害が生じる恐れがありますか？（カード情報など）
　　□　個人情報は不正目的をもって行われた漏洩でしたか？
　　※上記に該当する場合は、個人情報保護委員会への報告義務が発生します
　　　速報として、概ね3-5日以内に報告が必要となります

　□　クレジットカードなどの金融情報が含まれますか？
　　→　含まれる場合は、カード会社など金融機関に連絡します

　□　公共性の高い情報が含まれますか？
　　・公共性の高い情報とは、発電所、通信設備のように社会インフラに影響する情報です
　　→　特別法などの規制がある場合、法令に則った対応になります

　□　取引先の情報が含まれますか？
　　→　取引先に連絡し、先方の意向に沿った対応をします

　□　機密情報が含まれますか？
　　・機密情報とは、図面データなど外部に出せない情報です
　　→　機密性の重要度に応じて、経営判断をします

□　持ち出された情報は、保管時に何らかの形で保護（対策）されていましたか？
　・パスワードで保護されていた
　・暗号化されていた
　・何ら保護はなく、平文の状態だった
　・施錠できる適切な場所で保管されていた
　・だれでも閲覧できる場所に置かれていた

□　内部犯行に気づいたのは、何月何日何時ですか？

<調査・検討>

→　漏洩情報の内容から事態の深刻度を判断します
→　必要に応じて専門業者に調査を依頼します
　　・JPA：情報セキュリティに関する技術的なご相談
　　・JNSA：サイバーインシデント緊急対応企業一覧
→　必要に応じて警察（警視庁 サイバー警察局 不正アクセス対策）に相談します
　　・警察庁：サイバー警察局 不正アクセス対策
→　サーバーなどに残された情報はバックアップをとり、証拠を保全します
→　実態が解明されるまでは、システムの再稼働は控えます
→　バックアップに不正プログラムがないことを確認し、
　　再発防止措置を取った後、システムを復旧します
　　また、脆弱性などの解消（改修、パッチ適用）を行います

＜公表＞

→　他社の情報が含まれる場合は、情報の所有者に連絡します
→　個人情報が含まれる場合には、本人への通知とお詫びをします
→　クレジットカード情報など、金融情報が含まれる場合は、カード停止を促すよう対応します
→　漏洩規模や社会的影響など必要に応じて、 監督官庁（例：クレジットカード情報など、
　　金融情報が含まれる場合は金融庁） および 個人情報保護委員会 に届け出ます
→　社会的な影響が大きいと判断した場合は、Webなどを通じて公表します

<再発防止>

→　自社の情報管理ポリシーに則り、再発防止策を講じ、周知徹底します
　　・情報へのアクセス件の見直し
　　・システムの脆弱性が原因の場合は、改修やパッチ適用
　　・重要情報を扱う業務での相互牽制できる体制の構築
　　・外部記憶装置（外付けHDD、USBメモリ）を制限するツールの導入
　　・クラウドストレージへのアクセスを制限する
　　・書類などの保管ルール（施錠できる場所への保管、鍵の管理など）
→　必要に応じて、情報漏洩の被害にあった方へ補償をします

以上となります。
お読みいただき、ありがとうございました。

情報漏洩対応チェックリスト（PDF版ダウンロード）

※本記事の掲載事例は現時点での当社調べの内容です。

本記事の作成者：石川
所属：株式会社ティエスエスリンク / 営業部

最新の事例でわかる、情報漏洩対策のポイント【2023年版】

情報漏洩対策のポイントを、最新の事例をもとに解説します。漏洩した場合、損害額はどれ位になるのか？　漏洩の原因は何か？　企業はどのような対策を講じるべきか？　さらには万一漏洩した場合の対応手順まで、一気に解説していきます。