Keenadu バックドアに感染した社内端末が、業務データを外部に送信していた事実が確認された場合、企業は 個人情報保護法に基づく報告義務 と 顧客への通知義務 を 2 つ同時に負う。発覚から 72 時間以内の初動対応の質で、その後の社会的評価、賠償リスク、株価インパクトが大きく左右される。
本記事では、中堅企業の CSIRT またはインシデント対応窓口担当者が、Keenadu 感染による情報漏えいインシデントが発生した際にそのまま使える 顧客通知テンプレート、個人情報保護委員会への報告手順、弁護士・PR 会社対応フロー を提示する。
漏えい発覚から初動 72 時間のタイムライン
個人情報保護委員会のガイドラインでは、個人データの漏えい等の事態を知った時から速やかに(概ね 3 ~ 5 日以内に速報、30 日以内に確報) 報告することが求められる。中堅企業向けの現実的なタイムラインは以下の通り。
横にスクロールして確認できます
| 時間帯 | 対応事項 |
|---|---|
| 発覚後 0 時間から 6 時間 | CSIRT 招集、事実確認、感染端末の隔離、フォレンジック保全 |
| 6 時間から 24 時間 | 経営層報告、弁護士・PR 会社召喚、影響範囲の初期評価 |
| 24 時間から 48 時間 | 個情委への速報準備、警察相談(被害届の必要性判断) |
| 48 時間から 72 時間 | 個情委速報送信、社内対応方針の決定、顧客通知文の起案 |
| 3 日から 7 日 | 顧客通知の発送、プレスリリース判断、コールセンター開設 |
| 7 日から 30 日 | 個情委確報送信、顧客対応、再発防止策の策定・実装 |
SECURITY OPERATION
日常の脆弱性運用、情シス1人で回せる体制にしませんか?
月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。
個人情報保護委員会への報告手順
報告義務の発生条件
個人情報保護法第 26 条および同法施行規則により、以下のいずれかに該当する場合、個情委への報告義務が発生する。
- 要配慮個人情報の漏えい等
- 不正アクセス等故意による漏えい等
- 1,000 人を超える漏えい等
- 財産的被害が生じるおそれがある場合(クレジットカード番号、ID/パスワード等)
Keenadu 感染による漏えいは 「不正アクセス等故意による漏えい等」 に該当するため、漏えい人数の多寡を問わず報告義務が発生する。
速報の提出方法
個情委への報告は、以下のオンラインフォームから提出する。
- 個人情報保護委員会 公式ウェブサイト「個人データの漏えい等の報告」フォーム
- 報告書様式: 個人情報保護委員会指定のテンプレート
速報に記載する内容
速報段階では、判明している情報のみで提出可能である。空欄を埋めようと焦って事実確認が不十分な情報を入れるよりも、確認済み事項のみを記載するのが鉄則。
横にスクロールして確認できます
| 項目 | 記載例 |
|---|---|
| 概要 | 当社が業務利用している Android タブレット端末において、ファームウェア由来のバックドアプログラム(通称 Keenadu)の感染が確認され、当該端末に保存されていた個人データが外部送信された可能性があることが判明した |
| 漏えい等が発生した個人データの項目 | 顧客氏名、住所、電話番号、メールアドレス(該当する範囲のみ) |
| 漏えい等が発生した個人データに係る本人の数 | 約 X 名(推計) |
| 原因 | 中国製 Android タブレットの工場出荷時に組み込まれていたバックドアプログラムによる、個人データの外部送信 |
| 二次被害またはそのおそれ | 不審な電話、メール、SMS 等の発生可能性あり。クレジットカード情報は対象外と確認 |
| 対応状況 | 該当端末の物理回収、ネットワーク遮断、アカウントパスワードリセット完了 |
| 公表予定 | 確認次第、当社ウェブサイトに掲載予定 |
| 再発防止策 | 中国製 Android タブレットの全社利用禁止、MDM 検知ルール強化、調達ポリシー改訂 |
確報の提出
速報から 30 日以内(不正アクセス等故意の場合は 60 日以内)に確報を提出する。確報では、フォレンジック調査結果、漏えい人数の確定、根本原因、最終的な再発防止策をすべて記載する必要がある。
顧客通知テンプレート
通知対象者の特定
個人情報保護法では「本人への通知」が原則とされる。中堅企業では以下のステップで通知対象を特定する。
- 感染端末に保存されていたデータベースの抽出(フォレンジック結果)
- 端末が業務上アクセスしていた CRM、メール、Salesforce 等のログ確認
- 通信ログから外部送信された可能性のあるデータの推定
- 「外部送信された可能性がある個人」のリスト化
すべてが推定で確定できない場合でも、安全側に倒して広めに通知する のがベストプラクティスである。
通知文テンプレート(メール)
件名: 【重要】個人情報の漏えいの可能性に関するお知らせとお詫び
[宛名] 様
平素より当社サービスをご利用いただき、誠にありがとうございます。
このたび、当社が業務で利用しておりました情報端末において、
工場出荷時に組み込まれていたバックドアプログラム(通称 Keenadu)の
感染が確認され、当該端末に保存されていたお客様情報が
外部へ送信されていた可能性があることが判明いたしました。
謹んでお詫び申し上げますとともに、本件の概要および当社の対応状況を
下記の通りご報告申し上げます。
----------
1. 発生事象
(事実の客観的な記載)
2. 原因
(中国製 Android タブレットの工場出荷時に組み込まれた
バックドアプログラムによる外部送信)
3. 漏えいの可能性のある情報
(具体的な項目を列挙: 氏名、住所、電話番号、メールアドレス等)
4. 漏えいの可能性のある期間
(端末利用開始日から隔離日までの期間)
5. 当社の対応状況
- 当該端末の即時隔離および物理回収
- 関連アカウントのパスワード強制リセット
- 個人情報保護委員会への報告
- 警察当局との連携
- 再発防止策の策定と実施
6. お客様にお願いしたい事項
- 当社を装った不審な電話、メール、SMS にご注意ください
- 心当たりのない請求、契約、登録通知は当社までご確認ください
7. お問い合わせ窓口
専用フリーダイヤル: 0120-XXX-XXX
受付時間: 平日 9 時から 20 時、土日祝 10 時から 18 時
専用メールアドレス: incident-XXXX@example.com
----------
このたびはご迷惑をおかけし、誠に申し訳ございません。
今後、再発防止に全力で取り組んでまいります。
[年月日]
[会社名]
[役職] [氏名]
通知文作成時の注意点
- 過小評価する表現を避ける(「軽微な」「念のため」等の表現は後で批判の対象になる)
- 過剰演出も避ける(不必要に深刻に書くと風評被害が拡大する)
- 顧客が取るべき行動を明示する(パスワード変更、不審な連絡への注意等)
- 問い合わせ窓口を必ず設置する(フリーダイヤルが理想、最低でも専用メール)
- 発信者を CEO または取締役クラスとする(カスタマーサポート部門名義は避ける)
弁護士・PR 会社の起用フロー
弁護士起用のタイミング
発覚から 24 時間以内に サイバーインシデント対応に強い弁護士事務所 を起用する。中堅企業にとっては顧問弁護士で対応しきれないため、専門事務所への直接相談が現実的。
弁護士に依頼する主な業務は以下の通り。
- 個情委報告書のレビュー
- 顧客通知文のリーガルチェック
- 警察対応(被害届の作成、サイバー警察への相談)
- 賠償請求への対応
- 報道対応の法的助言
PR 会社起用のタイミング
中堅企業で B2C サービスを提供している、上場企業である、業界で知名度が高い、メディア露出経験があるなどの場合、PR 会社の起用を検討する。
PR 会社に依頼する主な業務は以下の通り。
- プレスリリースの起案
- 記者会見の要否判断、開催準備
- メディア露出のモニタリング
- ソーシャルメディア炎上対策
- 株主・投資家向け IR 対応
起用先の事前選定
インシデント発生後に弁護士・PR 会社を探していると初動が遅れる。平時から候補先と顔合わせをしておく のが CSIRT 体制の基本である。多くの中堅企業はこの平時準備を怠っており、いざという時に右往左往するケースが頻出する。
警察への対応
サイバー警察(都道府県警察のサイバー犯罪対策課、警察庁サイバー警察局)への相談・被害届提出は以下の判断軸で実施する。
- 既知の犯罪組織の関与が示唆される場合は積極的に被害届
- 被害規模が小さい場合でも、IPA / JPCERT/CC 経由で情報共有
- 株主代表訴訟リスクがある上場企業は被害届を出した記録を残す
警察は犯人検挙が目的であり、自社の業務復旧支援は行わない。警察対応とフォレンジック調査・業務復旧は別動隊で並行進行 させるのが鉄則。
メディア対応のガイドライン
プレスリリースの判断基準
以下のいずれかに該当する場合はプレスリリースを発行する。
- 上場企業である
- 漏えい人数が 1 万人を超える
- 業界での知名度が高い
- 既にメディアに察知されている兆候がある
- 顧客通知だけで完結しない規模である
記者会見の判断基準
漏えい人数が 10 万人を超える、被害が継続中である、影響が広範な場合は記者会見を検討する。中堅企業のレベルでは記者会見を行うケースは稀だが、万が一の備えは必要となる。
インシデント収束後のレポート
インシデント収束後、以下のレポートを取締役会・監査委員会に提出する。
- インシデント発生から収束までの完全タイムライン
- 影響範囲(顧客数、データ項目、地域、期間)
- 直接コスト(フォレンジック、弁護士、PR、コールセンター、賠償)
- 間接コスト(株価影響、信用毀損、解約、商談機会損失)
- 再発防止策(技術的対策、組織的対策、規程改訂)
- 同業他社との比較・教訓
これらを社内のナレッジベースに保管し、CISO・情シス・経営層が後から参照できる状態にしておく。
関連記事
- Keenadu バックドアの確認方法と対策(pillar 記事)
- Keenadu 企業一括チェック手順|情シス向け実務ガイド
- MDM で中国 OEM 製 Android タブレットを検知する
- 中国タブレット社内購入禁止ポリシー テンプレート
参考資料・出典
- 個人情報保護委員会「個人データの漏えい等の事案が発生した場合等の対応について」
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
- 警察庁サイバー警察局 公開資料
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
- JPCERT コーディネーションセンター「インシデント対応マニュアル」
- 独立行政法人情報処理推進機構(IPA)インシデント対応関連ガイドライン
サプライチェーン攻撃対策のご相談
インシデント対応は発生してから整備するものではなく、平時から CSIRT 体制、通知テンプレート、弁護士・PR 会社の事前選定までを完了させておくべきものです。GXO 株式会社では、中堅企業向けに、CSIRT 体制構築支援、インシデント対応プレイブック策定、テンプレート提供、サプライチェーン攻撃対策の包括ヒアリングを無料でご提供しています。インシデント対応体制の整備にお悩みの場合は、お気軽にご相談ください。
GXOの見解
営業DXやCS改善はツール導入ではなく、相談につなげる条件、データ定義、運用KPI、現場入力負荷を整えることが先である。
GXOは既存SaaSを活かしながら、CRM/FAQ/AI/業務フローを接続する方が投資対効果を出しやすいと見る。
GXOは、CRM、SaaS連携、FAQ/RAG、営業・CS業務改善を横断して支援します。
実務判断のポイント
この記事は、経営者、営業責任者、CS責任者、マーケ責任者、情シス向けです。CRM再設計、営業AI支援、FAQ/RAG、SaaS棚卸し、KPI設計を自社で進めるか、外部の専門家と整理するかを判断する材料として使えます。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。Keenadu被害発生時の顧客通知テンプレート|個情委報告手順2026に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
横にスクロールして確認できます
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの実務補足
営業DXやCS改善はツール導入ではなく、相談につなげる条件、データ定義、運用KPI、現場入力負荷を整えることが先である。
GXOは既存SaaSを活かしながら、CRM/FAQ/AI/業務フローを接続する方が投資対効果を出しやすいと見る。
GXOは、CRM、SaaS連携、FAQ/RAG、営業・CS業務改善を横断して支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、CRM改善、CS自動化、SaaS連携開発、運用改善へ接続。さらに、既存SaaSを活かす設計で開発リスクを抑え、継続改善にする。
実行までの進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
FAQ
まず何から確認すべきですか?
最初に確認すべきなのは、対象業務、対象データ、責任者、判断期限です。情報収集だけで終えると、導入可否や対応優先順位を決められません。
社内だけで進めるべきですか?
既存業務の棚卸しは社内で進められます。ただし、要件定義、セキュリティ、費用対効果、ベンダー比較が絡む場合は、外部視点を入れた方が手戻りを抑えやすくなります。
GXOにはどの段階で相談できますか?
構想段階、予算化前、RFP作成前、既存システムの見直し段階から相談できます。CRM再設計、営業AI支援、FAQ/RAG、SaaS棚卸し、KPI設計の相談を入口に、実装や運用改善まで整理できます。
参考情報
- 制度、価格、仕様、脆弱性、法務、セキュリティに関する判断は、公開時点の公式情報と一次情報を確認したうえで更新してください。






