Keenadu バックドアに感染した社内端末が、業務データを外部に送信していた事実が確認された場合、企業は 個人情報保護法に基づく報告義務 と 顧客への通知義務 を 2 つ同時に負う。発覚から 72 時間以内の初動対応の質で、その後の社会的評価、賠償リスク、株価インパクトが大きく左右される。
本記事では、中堅企業の CSIRT またはインシデント対応窓口担当者が、Keenadu 感染による情報漏えいインシデントが発生した際にそのまま使える 顧客通知テンプレート、個人情報保護委員会への報告手順、弁護士・PR 会社対応フロー を提示する。
漏えい発覚から初動 72 時間のタイムライン
個人情報保護委員会のガイドラインでは、個人データの漏えい等の事態を知った時から速やかに(概ね 3 ~ 5 日以内に速報、30 日以内に確報) 報告することが求められる。中堅企業向けの現実的なタイムラインは以下の通り。
| 時間帯 | 対応事項 |
|---|---|
| 発覚後 0 時間から 6 時間 | CSIRT 招集、事実確認、感染端末の隔離、フォレンジック保全 |
| 6 時間から 24 時間 | 経営層報告、弁護士・PR 会社召喚、影響範囲の初期評価 |
| 24 時間から 48 時間 | 個情委への速報準備、警察相談(被害届の必要性判断) |
| 48 時間から 72 時間 | 個情委速報送信、社内対応方針の決定、顧客通知文の起案 |
| 3 日から 7 日 | 顧客通知の発送、プレスリリース判断、コールセンター開設 |
| 7 日から 30 日 | 個情委確報送信、顧客対応、再発防止策の策定・実装 |
個人情報保護委員会への報告手順
報告義務の発生条件
個人情報保護法第 26 条および同法施行規則により、以下のいずれかに該当する場合、個情委への報告義務が発生する。
- 要配慮個人情報の漏えい等
- 不正アクセス等故意による漏えい等
- 1,000 人を超える漏えい等
- 財産的被害が生じるおそれがある場合(クレジットカード番号、ID/パスワード等)
Keenadu 感染による漏えいは 「不正アクセス等故意による漏えい等」 に該当するため、漏えい人数の多寡を問わず報告義務が発生する。
速報の提出方法
個情委への報告は、以下のオンラインフォームから提出する。
- 個人情報保護委員会 公式ウェブサイト「個人データの漏えい等の報告」フォーム
- 報告書様式: 個人情報保護委員会指定のテンプレート
速報に記載する内容
速報段階では、判明している情報のみで提出可能である。空欄を埋めようと焦って事実確認が不十分な情報を入れるよりも、確認済み事項のみを記載するのが鉄則。
| 項目 | 記載例 |
|---|---|
| 概要 | 当社が業務利用している Android タブレット端末において、ファームウェア由来のバックドアプログラム(通称 Keenadu)の感染が確認され、当該端末に保存されていた個人データが外部送信された可能性があることが判明した |
| 漏えい等が発生した個人データの項目 | 顧客氏名、住所、電話番号、メールアドレス(該当する範囲のみ) |
| 漏えい等が発生した個人データに係る本人の数 | 約 X 名(推計) |
| 原因 | 中国製 Android タブレットの工場出荷時に組み込まれていたバックドアプログラムによる、個人データの外部送信 |
| 二次被害またはそのおそれ | 不審な電話、メール、SMS 等の発生可能性あり。クレジットカード情報は対象外と確認 |
| 対応状況 | 該当端末の物理回収、ネットワーク遮断、アカウントパスワードリセット完了 |
| 公表予定 | 確認次第、当社ウェブサイトに掲載予定 |
| 再発防止策 | 中国製 Android タブレットの全社利用禁止、MDM 検知ルール強化、調達ポリシー改訂 |
確報の提出
速報から 30 日以内(不正アクセス等故意の場合は 60 日以内)に確報を提出する。確報では、フォレンジック調査結果、漏えい人数の確定、根本原因、最終的な再発防止策をすべて記載する必要がある。
顧客通知テンプレート
通知対象者の特定
個人情報保護法では「本人への通知」が原則とされる。中堅企業では以下のステップで通知対象を特定する。
- 感染端末に保存されていたデータベースの抽出(フォレンジック結果)
- 端末が業務上アクセスしていた CRM、メール、Salesforce 等のログ確認
- 通信ログから外部送信された可能性のあるデータの推定
- 「外部送信された可能性がある個人」のリスト化
すべてが推定で確定できない場合でも、安全側に倒して広めに通知する のがベストプラクティスである。
通知文テンプレート(メール)
通知文作成時の注意点
- 過小評価する表現を避ける(「軽微な」「念のため」等の表現は後で批判の対象になる)
- 過剰演出も避ける(不必要に深刻に書くと風評被害が拡大する)
- 顧客が取るべき行動を明示する(パスワード変更、不審な連絡への注意等)
- 問い合わせ窓口を必ず設置する(フリーダイヤルが理想、最低でも専用メール)
- 発信者を CEO または取締役クラスとする(カスタマーサポート部門名義は避ける)
弁護士・PR 会社の起用フロー
弁護士起用のタイミング
発覚から 24 時間以内に サイバーインシデント対応に強い弁護士事務所 を起用する。中堅企業にとっては顧問弁護士で対応しきれないため、専門事務所への直接相談が現実的。
弁護士に依頼する主な業務は以下の通り。
- 個情委報告書のレビュー
- 顧客通知文のリーガルチェック
- 警察対応(被害届の作成、サイバー警察への相談)
- 賠償請求への対応
- 報道対応の法的助言
PR 会社起用のタイミング
中堅企業で B2C サービスを提供している、上場企業である、業界で知名度が高い、メディア露出経験があるなどの場合、PR 会社の起用を検討する。
PR 会社に依頼する主な業務は以下の通り。
- プレスリリースの起案
- 記者会見の要否判断、開催準備
- メディア露出のモニタリング
- ソーシャルメディア炎上対策
- 株主・投資家向け IR 対応
起用先の事前選定
インシデント発生後に弁護士・PR 会社を探していると初動が遅れる。平時から候補先と顔合わせをしておく のが CSIRT 体制の基本である。多くの中堅企業はこの平時準備を怠っており、いざという時に右往左往するケースが頻出する。
警察への対応
サイバー警察(都道府県警察のサイバー犯罪対策課、警察庁サイバー警察局)への相談・被害届提出は以下の判断軸で実施する。
- 既知の犯罪組織の関与が示唆される場合は積極的に被害届
- 被害規模が小さい場合でも、IPA / JPCERT/CC 経由で情報共有
- 株主代表訴訟リスクがある上場企業は被害届を出した記録を残す
警察は犯人検挙が目的であり、自社の業務復旧支援は行わない。警察対応とフォレンジック調査・業務復旧は別動隊で並行進行 させるのが鉄則。
メディア対応のガイドライン
プレスリリースの判断基準
以下のいずれかに該当する場合はプレスリリースを発行する。
- 上場企業である
- 漏えい人数が 1 万人を超える
- 業界での知名度が高い
- 既にメディアに察知されている兆候がある
- 顧客通知だけで完結しない規模である
記者会見の判断基準
漏えい人数が 10 万人を超える、被害が継続中である、影響が広範な場合は記者会見を検討する。中堅企業のレベルでは記者会見を行うケースは稀だが、万が一の備えは必要となる。
インシデント収束後のレポート
インシデント収束後、以下のレポートを取締役会・監査委員会に提出する。
- インシデント発生から収束までの完全タイムライン
- 影響範囲(顧客数、データ項目、地域、期間)
- 直接コスト(フォレンジック、弁護士、PR、コールセンター、賠償)
- 間接コスト(株価影響、信用毀損、解約、商談機会損失)
- 再発防止策(技術的対策、組織的対策、規程改訂)
- 同業他社との比較・教訓
これらを社内のナレッジベースに保管し、CISO・情シス・経営層が後から参照できる状態にしておく。
関連記事
- Keenadu バックドアの確認方法と対策(pillar 記事)
- Keenadu 企業一括チェック手順|情シス向け実務ガイド
- MDM で中国 OEM 製 Android タブレットを検知する
- 中国タブレット社内購入禁止ポリシー テンプレート
参考資料・出典
- 個人情報保護委員会「個人データの漏えい等の事案が発生した場合等の対応について」
- 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
- 警察庁サイバー警察局 公開資料
- 経済産業省「サイバーセキュリティ経営ガイドライン Ver 3.0」
- JPCERT コーディネーションセンター「インシデント対応マニュアル」
- 独立行政法人情報処理推進機構(IPA)インシデント対応関連ガイドライン
サプライチェーン攻撃対策のご相談
インシデント対応は発生してから整備するものではなく、平時から CSIRT 体制、通知テンプレート、弁護士・PR 会社の事前選定までを完了させておくべきものです。GXO 株式会社では、中堅企業向けに、CSIRT 体制構築支援、インシデント対応プレイブック策定、テンプレート提供、サプライチェーン攻撃対策の包括ヒアリングを無料でご提供しています。インシデント対応体制の整備にお悩みの場合は、お気軽にご相談ください。