漏えい対応/委託・同意/社内規程/対外文面を、実務書式まで一気に作る
個情法は「条文理解」よりも、報告書・通知・規程・社内運用の文面を揃えられるかで差が出ます。
- 漏えい時:速報/確報・社内報告・顧客通知の叩き台
- 委託:契約条項・委託先管理・チェックリスト
- 同意/外部送信:説明文・同意取得・表示文面
- 規程:社内ルール整備(運用に落とす)
※機密情報の入力範囲・マスキングは社内ルールに従ってください。一般的情報提供であり、個別案件の法的助言ではありません。
【2025年最新】個人情報漏えい時の「速報」「確報」報告義務を徹底解説
~個人情報保護法26条・施行規則7条・8条の実務対応ガイド~
「速報と確報、結局どこまでやればいいのか分からない」
「とりあえず報告しないとマズい気がするが、判断に自信がない」
「期限を過ぎたらどうなるのか不安」
── 漏えい対応で一番のリスクは、「対応が遅れること」ではなく、「判断を誤ること」です。本記事では、その判断に必要な法的要件と実務ポイントを網羅的に解説します。
2022年4月の個人情報保護法改正により、一定の個人データ漏えい等が発生した場合の個人情報保護委員会への報告と本人への通知が「義務化」されました。さらに2024年4月には施行規則が改正され、報告対象が拡大されています。
本記事では、漏えい等報告の「速報」と「確報」の違い、報告が必要な4つの類型、具体的な報告事項、期限、そして2024年改正のポイントまで、実務担当者が押さえるべき内容を網羅的に解説します。
【この記事でわかること】
- ✓ 漏えい等報告が義務となる4つの類型
- ✓ 速報(3~5日以内)と確報(30日/60日以内)の違い
- ✓ 報告すべき9つの事項と報告方法
- ✓ 2024年4月改正で追加されたWebスキミング対応
- ✓ 報告義務違反の罰則と行政指導リスク
目次
- 1漏えい等報告とは
- 2報告が義務となる4つの類型
- 3「速報」と「確報」の違い
- 4報告事項の詳細
- 5報告先と報告方法
- 6本人通知義務
- 7【2024年4月改正】報告対象の拡大
- 8委託先で漏えいが発生した場合
- 9報告義務違反の罰則
- 10実務対応のポイント
- 11実務で本当に必要なのは「判断を助ける型」
1. 漏えい等報告とは
漏えい等報告とは、個人情報取扱事業者が取り扱う個人データについて、漏えい・滅失・毀損(以下「漏えい等」)が発生した場合に、個人情報保護委員会への報告及び本人への通知を行う義務のことです。
ただし、すべての漏えい等が対象ではなく、「個人の権利利益を害するおそれが大きいもの」(施行規則7条で定める4類型)に限定されています。
【法的根拠】
個人情報保護法第26条第1項
「個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるものが生じたときは、個人情報保護委員会規則で定めるところにより、当該事態が生じた旨を個人情報保護委員会に報告しなければならない。」
2022年4月1日の改正法施行前は「努力義務」でしたが、改正により「法的義務」となりました。報告義務違反は行政指導・勧告の対象となり、命令に従わない場合は罰則の適用もあります。
2. 報告が義務となる4つの類型
すべての漏えい等が報告義務の対象となるわけではありません。個人情報保護法施行規則第7条では、以下の4つの類型のいずれかに該当する場合に報告義務が生じると定めています。
| 類型 | 内容 | 具体例 |
|---|---|---|
| ①要配慮個人情報 | 要配慮個人情報が含まれる個人データの漏えい等(規則7条1号) | ・病歴を含む契約者リストの漏えい ・診療情報を記載したUSBメモリの紛失 |
| ②財産的被害 | 不正利用により財産的被害が生じるおそれがある個人データの漏えい等(規則7条2号) | ・クレジットカード番号の漏えい ・送金機能付きサービスのID・パスワードの漏えい |
| ③不正の目的 | 不正の目的をもって行われたおそれがある漏えい等(規則7条3号) | ・不正アクセスによる情報窃取 ・ランサムウェア攻撃 ・従業員による不正持ち出し |
| ④1,000人超 | 本人の数が1,000人を超える漏えい等(規則7条4号) ※「1,000人ちょうど」は義務対象外。ただし実務上は報告が望ましい。 |
・設定ミスで1,000人超の個人データが閲覧可能に ・メールの誤送信で1,000人超の宛先を露出 |
【図解】報告義務の判断フロー
以下4類型のいずれかに該当?
①要配慮個人情報 ②財産的被害のおそれ
③不正の目的 ④1,000人超
(任意報告は可)
【重要】上記4類型のいずれにも該当しない漏えい等については、法的な報告義務はありません。ただし、任意で報告することは可能です。
報告を要しない場合
以下の場合は、4類型に該当しても報告を要しない場合があります。
- 高度な暗号化等の秘匿化がされている場合:漏えい等時点の技術水準に照らし第三者が見読困難であり、かつ復号等の手段(鍵等)が適切に管理されているとき
※報告を要しないかどうかは、暗号化強度・復号手段の管理状況等を踏まえて個別に判断する必要があります。詳細は個人情報保護委員会Q&Aをご確認ください。
3. 「速報」と「確報」の違い
個人情報保護委員会への報告は、「速報」と「確報」の2段階で行います(施行規則8条)。
| 項目 | 速報 | 確報 |
|---|---|---|
| 期限 | 概ね3~5日以内 (事態を知った時点から) ※法令上は「速やかに」が原則 |
30日以内 (事態を知った日から) ※不正の目的の場合は60日以内 |
| 報告内容 | その時点で把握している事項 | 全ての報告事項 (判明次第追完可) |
| 目的 | 委員会が事態を早急に把握するため | 詳細な調査結果の報告 |
【図解】報告タイムライン
発覚日
(Day 0)
速報期限
3~5日以内
(目安)
確報期限
30日以内
(不正目的は60日)
※速報で全事項を報告できれば、1回で速報・確報を兼ねることも可能(その後追加情報が判明した場合は追完)
【期限計算の注意点】
- 速報の「3~5日」には土日祝日も含まれます(PPCガイドライン上の目安であり、法令上は「速やかに」報告が原則です)
- 確報の30日目(60日目)が土日・祝日・年末年始閉庁日の場合は、翌日が期限
- 法人の場合、いずれかの部署が事態を知った時点が起算点
なお、速報の時点で全ての事項を報告できる場合は、1回の報告で速報と確報を兼ねることができます。
4. 報告事項の詳細
施行規則第8条第1項各号に定められた報告事項は以下の9項目です。
| No. | 報告事項 | 記載内容 |
|---|---|---|
| 1 | 概要 | 発生した事態の概要(発覚日時、発生期間等) |
| 2 | 漏えい等した個人データの項目 | 氏名、住所、メールアドレス、クレジットカード番号等 |
| 3 | 本人の数 | 漏えい等の対象となった本人の人数(最大値で報告可) |
| 4 | 原因 | 不正アクセス、設定ミス、紛失、誤送信、内部不正等 |
| 5 | 二次被害又はそのおそれの有無及び内容 | クレジットカードの不正利用、詐欺メールの送信等 |
| 6 | 本人への対応の実施状況 | 本人への通知の実施状況、連絡方法、時期等 |
| 7 | 公表の実施状況 | プレスリリース、自社HP掲載等の状況 |
| 8 | 再発防止のための措置 | セキュリティ強化、アクセス権限見直し、研修実施等 |
| 9 | その他参考となる事項 | 他の行政機関等への報告状況、適時開示の状況等 |
【ポイント】速報では、上記のうちその時点で把握している事項のみ報告すれば足ります。確報では全項目の報告が求められますが、合理的努力を尽くしても判明しない事項は、判明次第追完することができます。
5. 報告先と報告方法
報告先
原則として個人情報保護委員会に報告します。ただし、事業所管大臣に権限が委任されている業種については、当該事業所管大臣に報告します。
【権限委任されている主な業種の例】
- 金融機関 → 金融庁
- 通信事業者 → 総務省
- 医療機関 → 厚生労働省
※権限委任の有無・報告先は業種ごとに異なります。最新の「権限の委任(簡略版/詳細版)」一覧で確認してください。
報告方法
個人情報保護委員会への報告は、原則として委員会ウェブサイト上の「漏えい等報告フォーム」に入力する方法により行います。
報告フォームURL:https://www.ppc.go.jp/personalinfo/legal/leakAction/
6. 本人通知義務
個人情報保護委員会への報告義務がある事態が生じた場合、本人への通知も義務となります(法26条2項)。
通知すべき事項
- 概要
- 漏えい等が発生した個人データの項目
- 原因
- 二次被害又はそのおそれの有無及びその内容
- その他参考となる事項(本人が取り得る措置等)
通知の時期
「事態の状況に応じて速やかに」行う必要があります。具体的な日数の定めはありませんが、本人が二次被害を防止するための措置を取れるよう、早期の通知が求められます。
通知方法
文書の郵送、電子メールの送信等、本人に直接知らせる方法が原則です。本人に通知することが困難な場合(連絡先が不明等)は、代替措置として自社HPでの公表等が認められます。
【注意】本人への通知が可能な場合は、公表のみでは代替措置として認められません。個人情報保護法上は公表義務はありませんが、適時開示義務がある上場会社は別途開示が必要な場合があります。
7. 【2024年4月改正】報告対象の拡大
2024年4月1日施行の改正施行規則により、報告対象が拡大されました。主な改正点は「Webスキミング」への対応です。
改正の背景:Webスキミングとは
Webスキミングとは、ECサイト等の入力フォームに悪意のあるスクリプトを仕込み、利用者が入力した個人情報(氏名、住所、クレジットカード番号等)を直接攻撃者に送信する手口です。
この場合、個人情報は事業者のデータベースに登録される前に窃取されるため、従来の「個人データ」の定義には該当せず、報告義務の対象外でした。
【図解】Webスキミングの仕組み
利用者
ECサイト
(不正スクリプト埋込)
事業者DB
→ 従来は「個人データ」に該当せず報告義務なし → 2024年改正で報告対象に
改正内容
施行規則7条3号(不正の目的をもって行われたおそれがある漏えい等)について、報告対象が以下のとおり拡大されました。
【改正後の規則7条3号】
「不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為による個人データ(当該個人情報取扱事業者が取得し、又は取得しようとしている個人情報であって、個人データとして取り扱われることが予定されているものを含む。)の漏えい等が発生し、又は発生したおそれがある事態」
改正により報告対象となり得る事例
- Webスキミング:ECサイトの決済ページで入力した情報が攻撃者に送信
- フィッシング等:「取得しようとしている個人情報」が第三者に送信された疑いがある場合、当該行為との関係(自社に対する行為か等)を踏まえ、規則7条3号の対象となり得ます
- 紙のアンケート改ざん:送付先住所を改ざんされ、返送された個人情報が攻撃者に到達
※該当性の判断は個別事案ごとに整理が必要です。詳細はPPCガイドライン(通則編)をご確認ください。
8. 委託先で漏えいが発生した場合
個人データの取扱いを委託している場合、委託先で漏えい等が発覚したときは、原則として委託元・委託先ともに報告義務を負い得ます。ただし、委託先が速やかに委託元へ必要事項を通知した場合は、委託先の報告義務が免除されます。
【よくある誤解に注意】
「委託先で漏えいしたのだから、委託先が委員会に報告してくれるだろう」は間違いです。最終的な報告義務(と責任)は、委託元にあります。
【図解】委託先で漏えいが発生した場合の報告フロー
パターンA:委託先が通知した場合
委託先 → 委託元へ通知
委託元がPPCへ報告
(委託先の報告義務は免除)
パターンB:委託先が通知しない場合
委託先 ✗ 委託元へ通知なし
双方がPPCへ報告義務
(それぞれが報告する必要あり)
委託先の報告義務の免除
委託先が速やかに委託元に対して必要な事項を通知した場合は、委託先の報告義務は免除されます(法26条1項但書)。
この場合、委託元が個人情報保護委員会への報告と本人への通知を行う責任を負います。
クラウドサービス利用時の注意
クラウドサービス提供事業者が「個人データを取り扱わない」契約形態の場合、クラウド事業者は報告義務を負いません。この場合、利用事業者が報告義務を負います。
ただし、利用事業者の報告をクラウド事業者が代行することは可能です。
9. 報告義務違反の罰則
漏えい等報告義務違反に対しては、以下の行政上・刑事上の措置が取られる可能性があります。
| 措置 | 内容 |
|---|---|
| 指導・助言 | 個人情報保護委員会から是正を求められる(法147条) |
| 勧告 | 違反行為の中止等の勧告(法148条1項) |
| 命令 | 正当な理由なく勧告に従わない場合の命令(法148条2項) |
| 罰則 | 命令違反:1年以下の懲役又は100万円以下の罰金(法178条) 法人両罰:1億円以下の罰金(法184条) |
※刑事罰は「命令違反」等の一定類型が対象です。報告未了はまず行政対応(指導→勧告→命令)ルートに乗るのが通常です。
【図解】違反時のエスカレーションフロー
指導・助言
是正を求められる
勧告
違反行為の中止等
命令
勧告に従わない場合
罰則
懲役1年以下
罰金1億円以下
2023年度の行政指導・助言件数は333件に上り、個人情報保護委員会は積極的に指導を行う傾向にあります※。報告義務を履行しないことは、企業のレピュテーションリスクにも直結します。
10. 実務対応のポイント
漏えい等発生時に適切な対応ができるよう、平時からの準備が重要です。
① インシデント対応マニュアルの整備
- 漏えい等発生時の初動対応フロー
- 報告義務該当性の判断基準
- 報告担当部署・責任者の明確化
- 速報・確報の作成テンプレート
② 委託先管理の徹底
- 委託契約への漏えい時の通知義務条項の追加
- 委託先のセキュリティ体制の定期的な監査
- インシデント発生時の連絡体制の確認
③ 2024年改正への対応
- Webサイトのセキュリティ対策強化(WAF導入等)
- 入力フォームの改ざん検知システムの導入
- 情報セキュリティ規程・漏えい等報告規程の改訂
④ 従業員教育
- 漏えい等発生時の報告義務の周知
- インシデント発見時の即時報告の徹底
- 定期的なセキュリティ研修の実施
【実務担当者が実際に詰まりやすいポイント】
- 速報の時点で、どこまで事実を固める必要があるか
- 委託先からの情報が不十分な場合の扱い
- 本人通知を「いつ・どの粒度」で出すべきか
- 社内で判断が割れた場合の対応
11. 実務で本当に必要なのは「判断を助ける型」
本記事では、漏えい等報告制度の全体像と法的要件を整理しました。しかし実務では、毎回ゼロから考えていては初動が遅れます。
特に以下の場面では、「該当性判断」「速報/確報の切り分け」「本人通知文案の作成」を「その場で」求められます。
■ 漏えい対応で「すぐに使える」実務支援ツール
当社では、これらの実務判断を支援するため、条文・ガイドラインに基づかない創作を禁止した
『個人情報保護法 AIプロンプト集(全42本)』
を提供しています。
- 漏えい等該当性の判断プロンプト
- 速報/確報ドラフト生成
- 本人通知文案のたたき台作成
など、インシデント対応に必要なプロンプトを網羅しています。
まとめ
個人データの漏えい等が発生した場合、個人情報保護法26条に基づき、個人情報保護委員会への報告と本人への通知が義務付けられています。報告は「速報」(概ね3~5日以内)と「確報」(30日又は60日以内)の2段階で行う必要があります。
2024年4月の改正により、Webスキミング等への対応として報告対象が拡大されました。企業は、インシデント対応マニュアルの整備、委託先管理の徹底、Webセキュリティ対策の強化等、平時からの備えが重要です。
報告義務違反は行政指導・勧告の対象となり、命令違反には刑事罰も規定されています。漏えい等が発生した際は、迅速かつ適切な対応を行い、企業としての信頼を維持することが求められます。
📌 漏えい対応の実務を効率化しませんか?
本記事で解説した「速報」「確報」の作成、該当性判断、本人通知文案の起草—— これらをAIで効率化する『個人情報保護法 AIプロンプト集(全42本)』を提供しています。
インシデント対応(第5章)だけでなく、プライバシーポリシー作成、委託先管理、開示請求対応など、日常業務もカバー。
【免責事項】
本記事は2025年1月時点の法令・ガイドラインに基づいて作成しています。法令は改正される可能性がありますので、最新の情報は個人情報保護委員会のウェブサイト等でご確認ください。また、本記事は一般的な情報提供を目的としたものであり、個別の法的アドバイスを構成するものではありません。具体的な事案については、弁護士等の専門家にご相談ください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
