個人情報漏えい時の初動対応

個人情報保護委員会への速報は「発覚から概ね3〜5日以内」、確報は「30日以内（不正アクセス等は60日以内）」です。速報は暫定的な内容で構いませんが、初動の遅れは法的リスクに直結します。

（1）初動対応チームの組成。法務、情報セキュリティ、システム運用、広報、経営層の代表者を集めます。「誰が最終的な対応方針を決めるのか」をこの段階で明確にしておくことが極めて重要です。

（2）事実関係の初期確認。何が漏えいしたか、いつ発生したか、どこから漏えいしたか、影響件数の概算、原因——これらをわかる範囲で確認します。なお、漏えい範囲の確定が遅れる原因の一つに個人情報の定義の誤解があります（関連：社内AIガイドラインの作り方）。

（3）報告義務の該当性の判断。「要配慮個人情報の漏えい」「財産的被害のおそれ」「不正アクセス」「1,000人超」のいずれかに該当するかを判断します。迷ったら該当する前提で進めてください。

（4）影響範囲の暫定確定。「最悪ケースの想定範囲」と「現時点で確認できている範囲」を分けて整理します。

（5）速報の提出。事実と推定を区別して記載してください。明らかに誤った情報の報告は確報での訂正が困難になります。

（6）コミュニケーション方針の決定。当局、本人、取引先、メディアのそれぞれに対する方針を決めます。本人通知の文面に時間をかけすぎないこと。SNS等で先に情報が拡散するリスクがあります。

PIAでデータの取扱い状況を可視化しておけば、影響範囲の特定が格段に速くなります（関連：PIAの始め方）。SaaS・クラウドの委託構成を整理しておけば、DPA上のインシデント報告義務を即座に確認できます（関連：SaaS・クラウド利用時の個人データ管理）。

法律事務所LEACTでは、インシデントの初期段階から弁護士が関与し、事実確認・方針策定・当局報告・本人通知・再発防止策の策定までを一貫して支援しています。