漏えい等が起きたときの初動対応|まず社内で何を確認するか
この記事を、次の案件で使える形に。
読んだ確認観点を、次に使える“型”にして手元に残せます。
契約・広告表示・社内説明など、用途別に確認できます。
個人情報の漏えい等が起きたとき、対応の成否を分けるのは最初の数日間の動きです。慌てて場当たり的に動くと、被害が広がったり、後から「何をしたか説明できない」状態になったりします。逆に、確認すべきことを順番に押さえれば、落ち着いて対応できます。
実務では、メール誤送信、添付ファイルの誤送付、USB紛失、紙書類の置き忘れ、共有リンクの設定ミス、不正アクセス、委託先での事故などが起こり得ます。本記事では、個人情報保護委員会への速報・確報の詳細ではなく、社内でまず何を確認し、どの順番で動くべきか——初動対応の入口を整理します。
第8話・第9話で、安全管理措置と社内管理ルールを学びました。第10話は、それでも事故が起きてしまったときの初動対応です。なお、速報・確報の要件・期限・書式などの詳細は、個人情報漏えい時の「速報」「確報」報告義務を徹底解説で扱います。本記事はその手前の「社内初動マニュアルの入口」と位置づけてお読みください。
読んだだけで終わると、次の案件でまたゼロから考えることになります。
社内説明の文面も、確認メモも、AIへの指示文も、毎回イチから。用途別に実務ツールを確認できます。
用途別に実務ツールを確認する→迷ったら、用途を選ぶだけの 1分診断 →
まず結論|「止める・集める・判断する・記録する」
漏えい等が疑われたら、初動対応の基本は次の4つです。この順番を頭に入れておくだけで、何から動けばよいか迷いにくくなります。
- 被害拡大を止める(封じ込め)
- 事実情報を集める(事実確認)
- 報告・通知・公表の要否を判断する
- 判断過程と対応内容を記録する
| フェーズ | やること | 主担当 | 法務の確認ポイント | 関連記事 |
|---|---|---|---|---|
| ① 止める | 被害拡大の封じ込め | 情シス・発見部署 | 証拠保全・契約上の通知義務 | 第8話 |
| ② 集める | 事実確認・影響範囲の把握 | 情シス・法務 | 個人データ該当性・対象範囲 | 第2話 |
| ③ 判断する | 報告・通知・公表の要否 | 法務・経営層 | 報告対象事態の該当性 | 速報・確報の詳細 |
| ④ 記録する | 判断過程・対応の記録 | 法務 | 後日の説明・監査に備える | 本記事 第12章 |
漏えい等とは何か
個人情報保護法でいう「漏えい等」とは、漏えい、滅失、毀損その他の個人データの安全の確保に係る事態を指します(法第26条)。漏えいだけでなく、データが失われる滅失や、改ざん・破損による毀損も含まれます。
| 区分 | 意味 | 典型例 | 初動で確認すること |
|---|---|---|---|
| 漏えい | 本来見られるべきでない者に見られる・流出する | 誤送信、不正アクセス、紛失による流出 | 誰に・どの範囲で流出したか |
| 滅失 | 個人データが失われ復元できない | 誤消去、媒体の破損・紛失 | 復元可能か・バックアップの有無 |
| 毀損 | 改ざん・破損で正確性や利用可能性が損なわれる | ランサムウェアによる暗号化・改ざん | 影響範囲・復旧可否 |
重要なのは、漏えい等が「確定」した場合だけでなく、「発生したおそれ」がある段階でも初動対応の対象になるということです。「漏えいしたか確定するまで何もしない」のは危険です。同時に、個人データかどうか、対象人数、情報の種類、要配慮個人情報の有無などを確認していきます。
初動対応の流れ
事故の発覚から初期対応までの流れを、ステップで整理します。すべてを一人で抱えず、各ステップで適切な部署と連携することがポイントです。
- 発見・受付(誰かが気づき、窓口に上がる)
- 初期封じ込め(被害拡大を止める)
- 社内エスカレーション(法務・経営層等へ報告)
- 事実確認(何が起きたか整理)
- 影響範囲の把握(対象・人数・情報の種類)
- 報告対象事態の可能性確認
- 本人通知・公表の要否検討
- 委託元・委託先・取引先への連絡
- 再発防止策
- 記録保存
| ステップ | 対応内容 | 主担当 | 残すべき記録 |
|---|---|---|---|
| ① 発見・受付 | 窓口での受付 | 発見部署・窓口 | 受付日時・発見者 |
| ② 初期封じ込め | 被害拡大の停止 | 情シス | 封じ込め措置の内容 |
| ③ エスカレーション | 社内報告 | 発見部署・法務 | 報告先・時刻 |
| ④ 事実確認 | 事実の整理 | 情シス・法務 | 確認した事実 |
| ⑤ 影響範囲の把握 | 対象の特定 | 情シス・各部署 | 対象・人数・項目 |
| ⑥ 報告対象事態の確認 | 該当性の判断 | 法務 | 判断根拠 |
| ⑦ 通知・公表の検討 | 本人通知等の要否 | 法務・広報 | 判断内容 |
| ⑧ 外部連絡 | 委託元・取引先連絡 | 法務・営業 | 連絡記録 |
| ⑨ 再発防止策 | 原因分析・対策 | 情シス・各部署 | 対策内容 |
| ⑩ 記録保存 | 対応記録の保管 | 法務 | 一連の対応記録 |
まず確認すべき事実関係
初動では、事実を急いで整理する必要があります。法務・総務・情シスが最初に確認すべき事実を整理しました。分からないことを空欄で放置せず、「判明済み・未判明・調査中」に分けて管理すると、状況が見えやすくなります。
| 確認項目 | 確認内容 | 判明していない場合の対応 | 主な関係部署 |
|---|---|---|---|
| 発覚日時 | いつ気づいたか | 受付記録から確認 | 発見部署 |
| 発生日時 | いつ発生した可能性があるか | 調査中として管理 | 情シス |
| 発見者 | 誰が気づいたか | ヒアリングで確認 | 発見部署 |
| 事故の種類 | 誤送信・紛失・不正アクセス等 | 類型を仮置きし更新 | 情シス・法務 |
| 対象となる情報 | どんな情報か | 判明分から整理 | 各部署 |
| 個人データか | 個人データに当たるか | 該当性を確認 | 法務 |
| 対象人数 | 何人分か | 暫定値+調査中 | 情シス・各部署 |
| 要配慮個人情報の有無 | 機微情報を含むか | 含む可能性も想定 | 法務・人事 |
| 財産的被害のおそれ | 金銭被害につながるか | 性質から評価 | 法務 |
| 不正アクセス等の有無 | 悪意ある行為か | ログ等から確認 | 情シス |
| 第三者の閲覧可能性 | 外部に見られたか | 可能性として管理 | 情シス |
| 回収・削除の可否 | 回収・削除できたか | 依頼状況を記録 | 各部署 |
| 委託先・SaaSの関与 | 外部サービスが関係するか | 関係先を確認 | 法務・情シス |
| 海外・外国事業者の関与 | 国外が関係するか | 保存先を確認 | 法務・情シス |
被害拡大を止めるための初期封じ込め
漏えい等が疑われたら、原因調査と並行して、被害拡大を防ぐ対応が必要です。「原因がすべて分かってから動く」のでは遅れます。事故の類型に応じて、できる封じ込めから着手します。
| 事故類型 | 初期対応 | 法務の注意点 | 記録すべきこと |
|---|---|---|---|
| メール誤送信 | 誤送信先へ破棄(削除)依頼・二次利用(転送・公開)の禁止依頼 | 依頼文の記録・破棄合意の有無(メールは技術的な引き戻し=回収は困難) | 送信先・依頼日時・破棄合意 |
| 共有リンク設定ミス | リンク停止・公開設定解除 | アクセス履歴の保全 | 停止日時・アクセス有無 |
| 不正アクセス | アカウント停止・パスワード変更 | ログ保全・証拠保全 | 停止措置・ログ |
| 外部公開設定ミス | 公開設定の解除 | 公開期間・閲覧の確認 | 公開期間・解除日時 |
| USB・端末・書類の紛失 | 探索・遠隔ロック | 紛失範囲・回収可否 | 紛失状況・捜索結果 |
| 委託先での事故 | 委託先へ停止・調査依頼 | 契約上の通知義務の確認 | 連絡記録・依頼内容 |
法務は、封じ込めと並行して、証拠保全、関係者ヒアリング、外部連絡文の確認、契約上の通知義務の確認も行います。慌ててログを上書きしたり、証拠を消してしまったりしないよう注意が必要です。
社内連絡ルートと役割分担
漏えい等対応では、誰に・いつ・何を共有するかが重要です。事故が起きてから連絡先を探すのでは遅れます。事前にインシデント対応フローと連絡網を決めておくことが、初動の速さを左右します。
| 部署 | 主な役割 | 連携ポイント | 主な成果物 |
|---|---|---|---|
| 発見部署 | 第一報・初期情報の提供 | 窓口へ速やかに連絡 | 第一報メモ |
| 法務 | 報告・通知の要否判断・記録 | 事実を集約し判断を主導 | 判断記録・通知文 |
| 総務 | 物理面・全社連絡の調整 | 連絡網の運用 | 連絡記録 |
| 情シス | 封じ込め・調査・ログ保全 | 技術的事実を共有 | 調査結果・ログ |
| 人事 | 従業員情報関連の対応 | 要配慮情報の扱いを確認 | 対応記録 |
| 営業・CS | 顧客・本人からの問い合わせ対応 | 問い合わせ状況を共有 | 問い合わせ記録 |
| 広報 | 公表・対外説明の検討 | 公表判断を法務と調整 | 公表文案 |
| 経営層 | 重大事案の意思決定 | 報告・公表の最終判断 | 承認記録 |
| 監査・内部統制 | 対応の妥当性確認 | 記録の確認 | 確認記録 |
報告対象事態に当たるかの入口判断
個人情報保護委員会への報告が必要になるかは、報告対象事態に該当するかで決まります。報告対象事態は、施行規則で次の4類型が定められており、いずれも「発生した場合」だけでなく「発生したおそれがある場合」を含みます。
| 確認観点(報告対象事態の類型) | 見るべき内容 | 注意点 | 詳細記事 |
|---|---|---|---|
| 要配慮個人情報を含むか | 病歴・健康情報・犯罪歴等を含むか | 1件でも該当し得る | 速報・確報の詳細 |
| 財産的被害が生じるおそれがあるか | クレジットカード番号・決済情報等 | 不正利用のおそれを評価 | 速報・確報の詳細 |
| 不正の目的をもって行われたおそれがあるか | 不正アクセス・不正持ち出し・第三者による窃取等 | 単なるミスか、不正目的の関与が疑われるか(従業者による持ち出しも含む) | 速報・確報の詳細 |
| 本人の数が1,000人を超えるか | 対象人数 | おそれの段階でも対象 | 速報・確報の詳細 |
なお、報告対象事態に当たるかは、漏えい等した個人データの内容だけでなく、高度な暗号化等により秘匿化され、第三者が内容を判読できない状態だったかなども含めて判断します(秘匿化措置が講じられていれば、報告・本人通知の対象とならない場合があります)。詳細な判断は速報・確報の記事で整理します。
「件数が少ないから絶対に報告不要」とは言えません。1,000人を超えなくても、要配慮個人情報・財産的被害のおそれ・不正の目的のいずれかに該当すれば、報告対象事態になり得ます。報告対象事態に該当する場合、個人情報保護委員会への報告は速報と確報の二段階です。ここで重要なのが速報の起算点で、速報は事実が完全に確定した時点ではなく、事業者(いずれかの部署)が漏えい等の発生またはそのおそれを「知った時」から速やかに(目安として概ね3〜5日以内)提出する必要があります。確報は原則30日以内(不正の目的による場合は60日以内)です。社内決裁や原因分析の確定を待つうちに速報期限を過ぎると、報告遅延となりかねない点に注意してください。期限・書式・提出方法などの詳細は個人情報漏えい時の「速報」「確報」報告義務を徹底解説をご確認ください。
本人通知・公表の入口判断
報告対象事態に該当する場合は、本人への通知も問題になります(法第26条第2項)。本人通知では、本人が被害拡大を防いだり、適切に対応したりするために必要な情報を、本人にとって分かりやすい方法で伝えることが求められます。ただし、通知の内容・方法・タイミングは、事案により検討が必要です。
なお、本人への通知が困難な場合(連絡先を保有していない、不正アクセスで通知先リストが失われた等)であって、本人の権利利益を保護するために必要な代わりの措置(ウェブサイトでの公表、問い合わせ窓口の設置など)をとるときは、個別の本人通知に代えることができます(法第26条第2項ただし書)。「連絡先が分からないので通知できず違法」と硬直するのではなく、速やかに代替措置へ切り替える判断ができるようにしておくことが実務上重要です。
なお、「公表」は、法令上の本人通知とは別に、信用・広報・取引先対応の観点から検討されることがあります。法的な通知義務と、広報上の公表は、分けて考えると整理しやすくなります。
| 確認項目 | 見るべき内容 | 実務上の注意 | 主な関係部署 |
|---|---|---|---|
| 通知対象 | 誰に通知するか | 対象本人を特定する | 法務・各部署 |
| 通知内容 | 何を伝えるか | 本人が対応できる情報を | 法務 |
| 通知方法 | どう伝えるか | 事案に応じた方法を選ぶ | 法務・広報 |
| 通知時期 | いつ通知するか | 状況に応じ速やかに | 法務 |
| 公表の要否 | 公表するか | 信用・広報の観点も検討 | 広報・経営層 |
| 問い合わせ対応 | 窓口・想定問答 | 対応のばらつきを防ぐ | 営業・CS |
本人通知をめぐっては「本人に謝罪すれば委員会報告は不要」という誤解がありますが、これは正しくありません。報告対象事態に該当すれば、本人対応とは別に、委員会への報告が問題になります。
委託先・SaaS・クラウドで発生した場合
委託先やSaaS・クラウドサービスで漏えい等が発生した場合でも、自社の対応が不要になるわけではありません。「委託先で起きた事故だから自社は関係ない」とは言えません。SaaS・クラウドは、委託に当たる場合、第三者提供に近い場合、提供に当たらない整理が問題になる場合などがあり得ますが、いずれの場合でも、自社が取り扱う個人データに関する事故として、事実確認・契約や利用規約の確認・報告通知の要否検討が必要です。委託の場合、委託先が委託元に所定事項を通知したときは委託先の報告義務が免除され、委託元が報告・通知の主体になり得ます。
| 確認項目 | 見るべき内容 | 契約・運用上の注意 | 関連記事 |
|---|---|---|---|
| 委託元・委託先の役割 | どちらが報告・通知するか | 役割分担を契約で明確に | 契約条項 |
| 委託元への通知 | 法令上の委託元通知か契約上の事故報告か | 法令上の委託元通知は報告対象事態を知った後速やかに(目安3〜5日以内)。契約ではより短い速報期限を定めることもある | 契約条項 |
| 再委託先の有無 | 再委託先での事故か | 再委託の管理状況 | 第7話 |
| ログ・調査協力 | 委託先の調査協力 | 証拠保全の依頼 | 第14話 |
| 本人通知の主体 | 誰が通知するか | 重複・漏れを防ぐ | 速報・確報の詳細 |
| 委員会報告の主体 | 誰が報告するか | 免除の要件を確認 | 速報・確報の詳細 |
委託契約の通知条項や役割分担は個人情報と契約条項、SaaS・クラウドの確認は第14話で扱います。
誤送信・紛失・不正アクセスなど事故類型別の初動
事故の類型ごとに、初動で押さえるポイントは少しずつ異なります。代表的な類型を整理します。
| 類型 | 初期封じ込め | 確認事項 | 法務の注意点 |
|---|---|---|---|
| メール誤送信 | 誤送信先へ破棄(削除)・二次利用禁止の依頼 | 送信先・内容・人数 | 破棄依頼・合意状況の記録 |
| 添付ファイル誤送付 | 削除依頼・開封確認 | ファイル内容・対象 | 要配慮情報の有無 |
| 郵送・FAX誤送付 | 返送・破棄依頼 | 送付先・内容 | 連絡記録の保全 |
| USB・PC・スマホ紛失 | 探索・遠隔ロック | 暗号化の有無・内容 | 紛失範囲の評価 |
| 紙書類の置き忘れ | 回収・捜索 | 記載情報・回収可否 | 第三者閲覧の可能性 |
| 共有リンク設定ミス | リンク停止・解除 | 公開期間・アクセス | アクセス履歴の保全 |
| 不正アクセス | アカウント停止・遮断 | 侵入経路・影響範囲 | ログ保全・証拠保全 |
| ランサムウェア | 感染端末の隔離 | 暗号化範囲・復旧可否 | 専門家連携・証拠保全 |
| 委託先からの漏えい連絡 | 委託先へ調査依頼 | 役割分担・通知主体 | 契約上の通知義務 |
| 生成AIへの誤入力 | 入力停止・設定確認 | 入力内容・送信先 | 外部提供等の論点 |
不正アクセスやランサムウェアは専門的な対応が必要になることが多く、情シスや外部専門家との連携が重要です。生成AIへの誤入力は「社内利用だから問題ない」とは言えず、入力先のサービスや設定によっては外部への提供等の論点が生じ得ます(AI法務ガイド参照)。
初動対応で残すべき記録
漏えい等対応では、対応内容と判断過程を記録することが重要です。「回収できたから記録は不要」とはなりません。記録は、後日の説明、監査、再発防止、本人対応、当局対応のすべてで役立ちます。
| 記録項目 | 記録内容 | 残す理由 | 主な管理部署 |
|---|---|---|---|
| 発覚日時 | 気づいた日時 | 時系列の起点 | 法務 |
| 発生日時 | 発生した可能性のある日時 | 原因分析の基礎 | 情シス |
| 発見者・報告者 | 誰が報告したか | 経緯の確認 | 法務 |
| 事故概要 | 何が起きたか | 全体像の把握 | 法務・情シス |
| 対象情報 | どんな情報か | 影響評価 | 各部署 |
| 対象人数 | 何人分か | 報告対象事態の判断 | 情シス |
| 影響範囲 | どこまで及ぶか | 対応範囲の確定 | 情シス・法務 |
| 初期封じ込め | とった措置 | 対応の証跡 | 情シス |
| 社内報告先 | 誰に報告したか | 連携の記録 | 法務 |
| 外部連絡先 | 委託先・取引先等 | 連絡の証跡 | 法務・営業 |
| 報告対象事態の判断 | 該当性と根拠 | 判断の説明 | 法務 |
| 本人通知の判断 | 通知の要否と内容 | 対応の妥当性 | 法務 |
| 委託先・取引先連絡 | 連絡内容 | 役割分担の記録 | 法務 |
| 再発防止策 | 講じた対策 | 改善の証跡 | 各部署 |
| 承認者 | 判断した者 | 責任の所在 | 経営層 |
再発防止策の立て方
初動対応が落ち着いたら、原因分析と再発防止策に移ります。同じ事故を繰り返さないために、原因に応じた対策を講じ、社内ルール(第8話・第9話)に反映します。
| 原因 | 再発防止策 | 主な関係部署 | 関連する社内ルール |
|---|---|---|---|
| 誤送信 | 宛先確認・送信前チェック・添付制限 | 各部署・情シス | 第9話 |
| 権限設定ミス | 権限棚卸し・承認フロー・外部共有制限 | 情シス | 第9話 |
| 紛失 | 持ち出しルール・暗号化・台帳管理 | 総務・情シス | 第9話 |
| 委託先事故 | 契約条項・委託先監督・報告義務の見直し | 法務 | 契約条項 |
| 不正アクセス | MFA・ログ監視・パッチ管理 | 情シス | 第8話 |
| 教育不足 | 研修・マニュアル・確認テスト | 人事・法務 | 第8話 |
事前に準備しておくべき社内フロー
漏えい等は、発生してから体制を作ると対応が遅れます。平時のうちに、次のような準備をしておくと、いざというときに落ち着いて動けます。
| 準備項目 | 内容 | 主な担当部署 | 見直しタイミング |
|---|---|---|---|
| インシデント受付窓口 | 事故の第一報を受ける窓口 | 法務・情シス | 体制変更時 |
| 社内連絡網 | 誰に連絡するかの一覧 | 総務・法務 | 定期見直し |
| 初動対応チェックリスト | 何を確認するかの一覧 | 法務 | 事案発生後 |
| 事故報告書式 | 記録のフォーマット | 法務 | 運用変更時 |
| 本人通知テンプレート | 通知文の雛形 | 法務 | 制度変更時 |
| 委託先通知条項 | 委託契約の通知規定 | 法務 | 契約見直し時 |
| 取引先連絡文案 | 取引先への説明文 | 法務・営業 | 運用変更時 |
| 広報・公表判断フロー | 公表の判断基準 | 広報・法務 | 体制変更時 |
| 役員報告基準 | 経営層への報告基準 | 経営層・法務 | 定期見直し |
| 記録保管ルール | 記録の保管方法 | 法務 | 定期見直し |
これらの整備状況は、第15話:個人情報保護法対応チェックリストでも総点検します。
よくある誤解と正しい理解
漏えい等対応をめぐる代表的な誤解を整理します。
| よくある誤解 | 正しい理解 | 実務上の注意 |
|---|---|---|
| 漏えいが確定するまで何もしなくてよい | 「おそれ」の段階でも初動対応の対象 | 確定を待たず封じ込めを始める |
| 件数が少なければ報告不要 | 要配慮・財産的被害・不正目的なら少数でも対象になり得る | 類型該当性を確認する |
| 社内だけの誤送信なら問題にならない | 社内でも、本来アクセス権限のない者に個人データが共有された場合は漏えい等に当たり得る | 送信先・閲覧権限・内容・回収削除状況を確認する |
| 委託先で起きた事故だから自社は関係ない | 委託元として対応の主体になり得る | 役割分担を確認する |
| 本人に謝罪すれば委員会報告は不要 | 報告対象事態なら報告は別途必要 | 本人対応と報告は別論点 |
| 回収できたから記録は不要 | 判断過程・対応の記録が重要 | 記録を残す |
| 情シスが対応すれば法務は関係ない | 報告・通知判断は法務が関与 | 部署横断で対応する |
| 公表しなければ外部に知られないので安全 | 隠す姿勢はかえって信用を損なう | 適切な対応・記録を優先する |
| 生成AIに誤入力しても社内利用だから問題ない | 入力先・設定により外部提供等の論点がある | 入力内容・送信先を確認する |
漏えい等対応では、事故報告書・初動対応チェックリスト・本人通知文案・委託先確認メモ・再発防止策・社内報告メモなどを、短時間で整理する必要があります。「漏えい初動対応メモ」「事故報告書」「本人通知文案」「委託先確認メモ」「再発防止策整理」といったたたき台づくりを効率化したい法務・総務・情シス担当者の方には、個人情報保護法対応AIプロンプト集が補助ツールとして役立ちます(最終的な内容の確認・判断は担当者ご自身で行ってください)。
個人情報保護法対応AIプロンプト集を見るそのほかのツールは 商品一覧/LegalOS法律相談 もご覧いただけます。
企業法務担当者が最初に聞くべき質問
事業部門や情シスから「個人情報が漏れたかもしれない」と相談されたとき、法務がまず聞くべき質問を整理します。順に確認すれば、報告・通知の要否判断に必要な材料が揃います。
| 質問 | 確認意図 | 問題になりやすい回答 | 次に見る論点 |
|---|---|---|---|
| いつ発覚しましたか | 時系列の起点 | 「数日前かもしれない」 | 初動の遅れの有無 |
| いつ発生した可能性がありますか | 発生時期 | 「分からない」 | 影響期間の特定 |
| 何の情報ですか | 対象情報 | 「いろいろ含む」 | 情報の種類 |
| 個人データですか | 該当性 | 「たぶん」 | 個人データ該当性(第2話) |
| 何人分ですか | 対象人数 | 「数えていない」 | 1,000人超の判断 |
| 要配慮個人情報は含まれますか | 機微情報の有無 | 「健康情報がある」 | 報告対象事態の該当性 |
| 第三者が閲覧・取得した可能性は | 漏えいの実態 | 「あるかもしれない」 | 影響範囲の評価 |
| 既に削除・回収・停止できましたか | 封じ込め状況 | 「まだ」 | 初期封じ込め |
| 委託先・SaaS・外部サービスは関係しますか | 外部関与 | 「クラウドに保存」 | 委託先対応(第14話) |
| 本人や取引先から問い合わせは来ていますか | 外部反応 | 「来ている」 | 問い合わせ対応 |
| ログや証拠は保全していますか | 証拠保全 | 「消したかも」 | 証拠保全の徹底 |
このシリーズでの次の学び方
漏えい等の初動対応を押さえたら、次は場面別の管理と全体の総点検に進みます。第11話・第12話では採用情報・従業員情報の管理を、第13話では営業まわりを、第14話ではSaaS・クラウド利用時のチェックを、第15話では全体をチェックリストとして整理します。
| 話数 | タイトル | 主なテーマ | リンク |
|---|---|---|---|
| 第1話 | 個人情報保護法とは?企業法務担当者が最初に押さえる基本 | 全体像・最初に押さえる考え方 | 記事を読む |
| 第2話 | 個人情報・個人データ・保有個人データの違い | 混同しやすい用語の整理 | 記事を読む |
| 第3話 | 個人情報取扱事業者とは?中小企業・スタートアップも対象になるのか | 対象事業者性の入口 | 記事を読む |
| 第4話 | 利用目的の特定・通知・公表 | ポリシーの前に押さえる基本 | 記事を読む |
| 第5話 | 個人情報を取得するときの注意点 | フォーム・名刺・問い合わせ対応 | 記事を読む |
| 第6話 | 目的外利用とは何か | 別目的で使うリスク | 記事を読む |
| 第7話 | 第三者提供・委託・共同利用の違い | 外部提供で迷う基本 | 記事を読む |
| 第8話 | 安全管理措置とは? | 組織的・人的・物理的・技術的措置 | 記事を読む |
| 第9話 | 個人情報の社内管理ルール | アクセス権限・持ち出し・保存期間 | 記事を読む |
| 第10話 | 漏えい等が起きたときの初動対応 | まず社内で何を確認するか(本記事) | 本記事 |
| 第11話 | 採用活動と個人情報 | 履歴書・職務経歴書・不採用者情報 | 記事を読む |
| 第12話 | 従業員情報の管理 | 人事評価・健康情報・退職者情報 | 記事を読む |
| 第13話 | 営業リスト・名刺情報・メール配信 | 営業まわりの個人情報保護法チェック | 記事を読む |
| 第14話 | SaaS・クラウドサービス利用時のチェック | 契約前に見るべき項目 | 記事を読む |
| 第15話 | 個人情報保護法対応チェックリスト | 企業法務担当者の保存版 | 記事を読む |
まとめ|止める・集める・判断する・記録する
漏えい等が起きたときは、まず被害拡大を止め、事実を集め、報告・通知・公表の要否を判断し、対応記録を残すことが基本です。確定を待たず、「おそれ」の段階から動くことが大切です。報告対象事態に該当する場合は、個人情報保護委員会への報告や本人通知が必要になり得るため、初動段階から法務・情シス・総務・経営層が連携しましょう。
初動は、慌てるほど混乱します。「止める・集める・判断する・記録する」の順番を頭に入れ、事前にインシデント対応フローを準備しておけば、落ち着いて対応できます。速報・確報の要件・期限・書式などの詳細は個人情報漏えい時の「速報」「確報」報告義務を徹底解説をご確認ください。
次回・第11話では、「採用活動と個人情報|履歴書・職務経歴書・不採用者情報の管理」を解説します。多くの個人情報を扱う採用の場面で、何に気をつけるかを整理します。
- 個人情報保護委員会「漏えい等の対応とお役立ち資料」
https://www.ppc.go.jp/personalinfo/legal/leakAction/ - 個人情報保護委員会「漏えい等報告・本人への通知の義務化について」
https://www.ppc.go.jp/news/kaiseihou_feature/roueitouhoukoku_gimuka/ - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - 個人情報保護委員会「Q&A」
https://www.ppc.go.jp/personalinfo/faq/ - e-Gov法令検索「個人情報の保護に関する法律」
https://laws.e-gov.go.jp/law/415AC0000000057 - e-Gov法令検索「個人情報の保護に関する法律施行規則」
https://laws.e-gov.go.jp/law/428M60020000003
※ 本記事は2026年6月時点の現行法・個人情報保護委員会の公的資料をもとに、企業法務実務の一般的な整理として解説したものです。報告・通知の要否や具体的な対応は事案により異なるため、実務対応にあたっては最新の法令・ガイドラインをご確認のうえ、必要に応じて専門家にご相談ください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
この記事の確認観点を、実務の型に変える。
読んだ内容を、確認メモ・文例・AI指示文に落とせます。
