個人情報漏えい発生時の報告義務と実務対応ガイド
なぜ今、漏えい報告の実務を押さえておく必要があるのか
2022年4月に施行された改正個人情報保護法により、一定の個人データ漏えい等が発生した場合に個人情報保護委員会への報告と本人への通知が義務化されました。ランサムウェア被害やメール誤送信、内部不正など、漏えいの経路は多様化しており、「発生してから調べる」では間に合わないのが現実です。
さらに2026年4月7日に閣議決定・国会提出された改正法案では課徴金制度の導入が盛り込まれており、法的リスクは一段と高まる見込みです。
本記事では、現行法の報告義務の全体像と初動フロー、そして改正動向を中小企業の実務目線で整理します。
1. 報告が必要な「4類型」とは
個人情報の保護に関する法律施行規則(以下「規則」)は、個人情報保護委員会への報告が必要な事態として以下の4類型を定めています(規則第7条)。
| # | 類型 | 代表的な具体例 |
|---|---|---|
| 1 | 要配慮個人情報を含む漏えい等 | 病歴・信条・犯罪歴・障害の有無などが含まれるデータの流出 |
| 2 | 財産的被害のおそれがある漏えい等 | クレジットカード番号・銀行口座・暗証番号などを含むデータの流出 |
| 3 | 不正の目的による漏えい等 | 不正アクセス、内部不正持ち出し、ランサムウェアによる窃取 |
| 4 | 1,000人超の漏えい等 | 件数・規模にかかわらず1,000人を超える本人に係る漏えい |
**ポイント:類型は「OR」の関係です。**1件でも要配慮個人情報が含まれていれば類型1に該当し、件数が1,000件以下でも報告義務が発生します。また、実際に漏えいした「確実な事実」だけでなく、漏えいした「おそれ」がある段階でも対象になります。
報告不要となる主なケース
- 暗号化されており復号鍵が漏えいしていない場合など、実質的に個人データが第三者に閲覧されないと合理的に判断できる場合
- 誤送信等はしたものの、受信者から確実に削除・廃棄されたことが確認できた場合
ただし判断は慎重に行い、不明な点は個人情報保護委員会の相談窓口に確認することを推奨します。
2. 速報・確報の期限と提出内容
報告は2段階で行います。
速報(第1報)
| 項目 | 内容 |
|---|---|
| 提出先 | 個人情報保護委員会(Webシステム「PPC報告ポータル」経由) |
| 期限 | 事態を知った日から概ね3〜5日以内 |
| 記載内容 | 発生した事態の概要、漏えい等した個人データの項目、発生日時、影響を受ける本人数(判明している範囲) |
「知った日」とは担当者個人が知った日ではなく、組織として把握した日と解釈されます。現場担当者が報告を受けたにもかかわらず上長に伝えず期限を過ぎた、という状況でも義務違反と判断されるリスクがあります。
確報(最終報告)
| 項目 | 内容 |
|---|---|
| 提出先 | 個人情報保護委員会(同ポータル) |
| 期限(原則) | 事態を知った日から30日以内 |
| 期限(例外) | 類型3(不正アクセス等)に該当する場合は60日以内 |
| 記載内容 | 漏えい等の発生原因・経緯、影響を受けた本人数(確定値)、再発防止策、本人への通知状況 |
速報時点で判明していなかった情報を補完するイメージです。原因調査と並行して作業が進むため、社内で担当者・作業スケジュールを早期に確定させることが重要です。
3. 本人通知の要件
報告義務の対象となる事態が生じた場合は、本人への通知も義務です(法第26条第2項)。
通知の方法
- 本人への直接連絡(メール・郵送など)
- 直接連絡が困難な場合は、自社ウェブサイトでの公表・問い合わせ窓口の設置等の代替措置
通知のタイミング
「速やかに」とされており、法令上の具体的な日数は設定されていませんが、個人情報保護委員会のガイドラインは速報・確報と同様に迅速な対応を求めています。発覚後、初動確認が終わり次第着手するのが実務上の目安です。
通知内容(最低限含めるべき事項)
- 漏えい等した個人データの項目
- 漏えい等の原因・概要
- 二次被害防止のために本人が取れる対策(例:パスワード変更、カード差し止め等の案内)
- 問い合わせ先
4. 報告しないとどうなるか
法的なサンクションは段階的に設計されています。
| ステップ | 内容 |
|---|---|
| 指導・助言 | 個人情報保護委員会による任意の改善指示 |
| 勧告 | 違反行為の停止・改善を求める公式勧告(公表される場合あり) |
| 命令 | 勧告に従わない場合に発出。違反した場合は1年以下の拘禁刑または100万円以下の罰金 |
| 報告徴収・立入検査への非応答・虚偽報告 | 50万円以下の罰金 |
罰金の金額自体は大企業には軽微に見えますが、行政処分・勧告が公表されることによるレピュテーション損害の方が中小企業にとっては深刻です。取引先・顧客からの信頼失墜が事業継続を脅かす事態に直結します。
5. 発生時の初動フロー(時系列チェック)
下表は、漏えい等を「知った」瞬間から確報提出・再発防止策実施までの標準フローです。
| 経過時間の目安 | やること | 担当 |
|---|---|---|
| 発覚直後〜数時間 | ①事実確認(何が、いつ、誰の情報が、どの経路で)② 被害拡大防止措置(該当システム・アカウントの遮断等)③ 経営者・情報セキュリティ責任者への報告 | 現場担当+IT |
| 当日〜翌日 | ④ 社内対応チームの立ち上げ(法務・広報・IT・経営の関与確認)⑤ 類型該当判断(4類型のどれに当たるか)⑥ 証拠保全(ログ・機器のバックアップ) | 対応チーム |
| 3〜5日以内 | ⑦ 個人情報保護委員会への速報提出(PPC報告ポータル)⑧ 所管省庁への報告が必要か確認(金融機関・医療機関等は別途報告義務あり) | 責任者 |
| 速報後〜30日(不正アクセス等は60日)以内 | ⑨ 原因調査・被害範囲の確定 ⑩ 本人への通知(直接連絡または代替措置)⑪ 確報提出(再発防止策を含む最終報告) | 対応チーム |
| 確報後〜 | ⑫ 再発防止策の実施・記録 ⑬ 社内規程・体制の見直し | 全社 |
チェックポイント: 多くの中小企業では「⑤類型該当判断」で迷います。疑わしい場合は「該当する」前提で速報を出し、確報で事実確認後の詳細を記載するほうが安全です。委員会への過剰報告は問題になりませんが、報告漏れは義務違反です。
6. 2026年改正法案で何が変わる見込みか
2026年4月7日に閣議決定・国会提出された「個人情報の保護に関する法律等の一部を改正する法律案」(いわゆる令和8年改正)では、漏えい対応に関連する以下の変更が見込まれています(2026年6月現在、国会審議中。以下は法案の内容であり、成立・施行後に有効となります)。
課徴金制度の導入(新設)
現行法の罰則(罰金・拘禁刑)に加え、違反行為によって得た財産的利益に相当する額の課徴金を納付させる制度が新設される見込みです。
- 繰り返し違反:過去10年以内に課徴金を受けた事業者には算定額の1.5倍
- 自主申告減額:違反事実を自発的に報告した場合は50%減額
課徴金の具体的な算定方法は政令で定められる予定であり、2026年6月時点では確定していません。ただし「違法に得た利益の吐き出し」を基本とする構造であるため、個人データを不正に売買・利用したケースへの抑止力として機能することが想定されています。
本人通知義務の一部緩和
現行では報告対象事態が生じた場合に原則として本人通知が必要ですが、改正法案では「サービス利用者の内部識別子(それ単体では意味を持たない情報)のみが漏えいした場合」など、本人の権利利益の保護に欠けるおそれが少ない場合は通知不要となる条件が追加される見込みです。
違法な第三者提供の報告対象化
現行では「漏えい・滅失・毀損」が報告対象ですが、違法な第三者提供も新たに報告対象に加えられる見込みです。意図的な不正提供も含まれるため、実務上の報告件数が増加する可能性があります。
団体訴訟(適格消費者団体による差止請求等)は今回見送り
消費者団体が事業者に対して差止請求・被害回復を求める制度については、今回の改正では導入が見送られました。引き続き審議の動向を注視する必要があります。
施行見込み
法案が成立した場合、施行は公布日から2年以内の政令で定める日とされています。2026年夏ごろの公布を仮定すると、2028年春ごろの施行が見込まれます。ただし国会審議の状況により変動し得るため、個人情報保護委員会の公式サイトで最新情報を確認してください。
個人情報保護法の2026年改正の全体像については、個人情報保護法2026年改正の要点:課徴金・AI利活用・中小企業の対応も合わせてご参照ください。
7. 中小企業が今すぐ整備すべき3つのこと
(1) 報告担当者と連絡体制の明文化
漏えいが発覚した際に「誰が」「何をするか」が曖昧なまま3〜5日が経過するケースが多発しています。インシデント対応フロー(連絡先・判断基準・報告窓口)を1枚の手順書にまとめ、年1回以上の訓練を行いましょう。
(2) 保有個人データの棚卸しと類型マッピング
自社が保有するデータに要配慮個人情報や財産情報が含まれているか把握できていないと、類型判断ができません。データマップ(何の情報を、どこに、どの形式で保管しているか)の作成が第一歩です。個人情報保護法 中小企業の対応チェックリストを活用して現状を確認してください。
(3) PPC報告ポータルへのアクセス確認
個人情報保護委員会の「PPC報告ポータル」はGビズIDまたは法人番号での事前登録が必要です。インシデント発生後に初めてアクセスすると登録手続きに時間がかかります。事前にアクセス確認・アカウント登録を済ませておくことを強く推奨します。
8. 関連する法令・ガイドラインの整理
| 法令・ガイドライン | ポイント |
|---|---|
| 個人情報の保護に関する法律(第26条) | 漏えい等報告・本人通知の根拠条文 |
| 個人情報の保護に関する法律施行規則(第7〜10条) | 4類型・速報・確報の期限の具体的規定 |
| 個人情報の保護に関する法律についてのガイドライン(通則編) | 委員会の解釈・運用指針 |
| 番号法(マイナンバー法) | マイナンバーを含む漏えいは別途報告義務あり |
| 各業種の主務省庁ガイドライン | 金融庁・厚生労働省等の業種別上乗せ規制 |
なお、インターネットを介した不正アクセスや情報漏えいに対する国家レベルの新たな対応の枠組みとして、能動的サイバー防御法の成立と中小企業への影響も参考にしてください。
まとめ
個人情報漏えい等が発生した場合の報告義務を整理すると以下のとおりです。
- 4類型のいずれかに該当すれば件数を問わず報告義務が発生する
- 速報は発覚から3〜5日以内、確報は30日(不正アクセス等は60日)以内
- 本人通知は速やかに行い、二次被害防止のための情報を含める
- 報告しない場合は罰金・拘禁刑のほか、勧告の公表によるレピュテーション損害がある
- 2026年改正法案では課徴金制度が新設される見込み(施行は2028年ごろ見込み)
漏えいは「起きないように防ぐ」ことが第一ですが、「起きたときに正しく動ける」体制を整えることが法令遵守と信頼維持の両面で不可欠です。
現行の個人情報保護法と2026年改正案の対比については、個人情報保護法2026年改正 中小企業向けガイドもあわせてご確認ください。