個人情報保護法の改正議論では「72時間以内」「速報短縮」「本人通知の厳格化」といった運用面の論点が増えている。大企業は法務部とセキュリティ専任組織で回せるが、中小企業では兼任担当者 1〜3 名で全部を回すケースが多い。本記事では「法令の解説」ではなく、中小企業が明日から実装できる体制設計にフォーカスして、IT / 法務 / 経営層の連携、インシデント対応フロー、社内規程テンプレートを整理する。法的解釈に関わる判断は、必ず顧問弁護士に確認してほしい。

本記事の立ち位置|既存ガイドとの違い

GXO ではすでに「個人情報保護法2026年改正ポイント|漏えい報告実務と罰則強化への対応」という一般ガイドを公開している。本記事はそれを読んだ読者が、次の一歩として実装側に降りるためのコンテンツである。

  • 一般ガイド(既存):法改正の論点・90分対応フロー・4体制の要約
  • 本記事:中小企業特有の体制設計・RACI・規程テンプレ・兼任運用の勘所

読者は「社内 1〜3 名で漏えい報告義務に対応する現実解」を求めている前提で読んでいただきたい。

中小企業が詰まる 5 つの壁

現場で中小企業のセキュリティ責任者と話していると、共通して同じ壁で詰まっている。

壁1:「誰が」委員会報告を書くのか決まっていない

事故が起きた瞬間、IT 担当・総務・経営層の誰が報告書のドラフトを握るか不明確。結果として速報期限を逃す。

壁2:72時間以内の意思決定者が不在

夜間・休日に事故が発覚しても、報告判定できる経営層の連絡経路が決まっていない。

壁3:弁護士との契約が事後

事故が起きてから顧問弁護士を探す、あるいは顧問はいるが個情法に強くないケース。平時の契約がないと有事に動けない。

壁4:データの所在が不明

どのシステム・どのクラウドに何の個人データがあるか、棚卸しが未了。範囲特定で数時間溶かす。

壁5:規程はあるが運用されていない

プライバシーポリシー・個人情報取扱規程は 5 年前の整備のまま。改定の仕組みがなく、新 SaaS 導入時に更新されない。

セクションまとめ: 「誰が・いつまでに・何を使って」の 3 点が決まっていないのが中小企業で最も多い根本問題。規程はあっても使えない形になっている。

IT / 法務 / 経営層の RACI 早見表

漏えい報告の主要タスクを RACI(Responsible / Accountable / Consulted / Informed)で整理する。中小企業の兼任体制に合わせ、最小構成でも回せるようにした。

タスクIT 情シス法務(社内 or 顧問弁護士)経営層広報
検知・初動隔離RIII
影響範囲の技術的特定RCII
個情法該当性判断CRAI
速報ドラフト作成CRAC
個人情報保護委員会への報告送信CRAI
本人通知文面作成IRAR
本人通知の送付実行RCIC
プレスリリース判断ICAR
再発防止計画RCAI
(R=実行責任 / A=最終責任 / C=相談 / I=情報共有)

兼任時の割り当て例(従業員 50〜200 名規模)

  • 情シス担当 1 名:R の技術系をすべて担当
  • 管理部長(兼法務窓口):法務 R の一次ドラフトを担当し、顧問弁護士に送る
  • 代表取締役 or 担当役員:A 全般、72時間以内の判断窓口
  • 広報兼務者:本人通知文面の文言調整・プレス判断支援

この 4 役を平時に明文化しておくだけで、有事の速度は大きく変わる。

セクションまとめ: 最小 4 役(IT・管理部門・経営・広報)で RACI を明文化。兼任でも良いので「役割が存在する」ことが最重要。

72時間対応のタイムテーブル|中小企業版

GDPR の 72時間ルールは日本法ではそのまま適用されないが、国際整合の議論取引先監査要件として中小企業でも事実上求められるケースが増えている。日本の個情法の速報期限(3〜5日)とあわせて、中小企業が現実的に回せるタイムテーブルを設計する。

0〜3時間:検知・一次確認・経営層第一報

  • 検知元から情シス担当への連絡(監視ツール・従業員通報・外部連絡)
  • 対象システムの隔離
  • 経営層の連絡網で第一報

3〜12時間:範囲特定と顧問弁護士への連絡

  • アクセスログ・通信ログの保全
  • 影響人数・データ種別の初期推計
  • 顧問弁護士にサマリー共有し、個情法該当性を相談

12〜24時間:報告義務判定と速報ドラフト

  • 「1,000人超・要配慮・不正アクセス・財産被害のおそれ」のいずれかに該当するか確定
  • 該当する場合、速報ドラフトを法務 + 経営層で確認

24〜48時間:個人情報保護委員会への速報送信

  • 個情法の速報期限(3〜5日以内)より前倒しで送る前提
  • 取引先・監督官庁(業種別)にも並行して連絡

48〜72時間:本人通知の送付準備・プレス判断

  • 本人通知文面の最終化
  • プレスリリースを出すか、ホームページ掲載に留めるかを経営層が判断

72時間以降〜30日:確報・再発防止

  • 技術的調査を深堀りし、確報(30日以内、不正アクセス等は60日以内)を提出
  • 再発防止計画を策定し、次回の監査・取引先報告に備える

セクションまとめ: 72時間を「3+9+12+24+24時間」に 5 分割すると、兼任体制でも各フェーズで何をやるかが明確になる。

個情法 漏えい報告体制の構築を中小企業向けにGXOがご支援します

RACI 表の作成、社内規程テンプレの御社化、顧問弁護士との連携設計、72時間タイムテーブルの訓練まで、情シス・管理部門 1〜3 名で回せる運用に落とし込みます。初月の机上訓練までセットです。

個情法 漏えい報告体制の構築を無料相談する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

社内規程テンプレートの必須 8 項目

中小企業が新たに整備すべき「個人情報漏えい対応規程」に最低限含めたい 8 項目を示す。雛形作成時のチェックリストとして使ってほしい。

項目1:目的と適用範囲

  • 個人情報保護法の遵守とステークホルダー保護を目的に明記
  • 全社員・契約社員・派遣社員・業務委託先を含む

項目2:定義

  • 個人情報・要配慮個人情報・漏えい等・インシデントの定義
  • 個人情報保護委員会の公式ガイドラインに準拠

項目3:体制と責任者

  • 個人情報保護管理者(通常は担当役員)の明記
  • IT・法務・広報・経営の連絡経路図

項目4:検知と初動

  • 検知経路(監視ツール・通報・外部連絡)の明示
  • 初動隔離の権限委譲(情シス担当に即時判断権)

項目5:報告義務判定基準

  • 個情法の該当 4 類型を具体例付きで記載
  • 判定迷う場合は顧問弁護士に必ず相談する旨を明記

項目6:個人情報保護委員会・本人への報告・通知

  • 速報・確報の期限と担当
  • 本人通知の方法(メール・郵送・ホームページ掲載)の基準

項目7:記録保存と再発防止

  • インシデントレポートの保存期間(最低 5 年推奨)
  • 再発防止計画の責任者と期限

項目8:訓練と見直し

  • 年1回の机上訓練
  • 規程の見直しは年1回または法改正時

【重要】公式ガイドラインの参照と顧問弁護士相談

規程作成時の条文・用語は個人情報保護委員会の公式ガイドラインを一次情報として必ず参照し、法的解釈は顧問弁護士の確認を経ることを推奨する。本記事の内容は一般的な実装指針であり、個別の法的判断を代替するものではない。

セクションまとめ: 規程は「検知 → 判定 → 報告 → 記録 → 訓練」の 5 ステップで構成。8 項目をチェックリスト化すれば中小企業でも 2〜4 週で起案できる。

兼任運用で形骸化しないための 3 つの仕掛け

規程を作っても運用されない、が中小企業の最大の失敗パターン。次の 3 つの仕掛けで形骸化を防げる。

仕掛け1:年1回の机上訓練(2時間)

「架空の漏えい事例」を用意し、RACI の各役割が 72時間タイムテーブルをシミュレート。実際にドラフトまで書いてみる。

仕掛け2:新 SaaS 導入時の規程影響チェック

新しい SaaS・クラウドサービス導入時に、個人データの取扱いが変わるかをチェックする運用フロー。稟議書のテンプレに 1 項目追加するだけで機能する。

仕掛け3:経営会議での四半期レビュー

四半期に一度、経営会議で「個人データ関連のリスク・規程改定の要否」を 15 分で報告。経営層が関心を持つ仕組みが形骸化を防ぐ最大の鍵。

セクションまとめ: 訓練・稟議連動・経営四半期報告の 3 点セットで、規程が「飾り」から「使える運用」に変わる。

FAQ

Q1. 顧問弁護士がいない場合、どう契約すればいいですか?

まずは個情法に強い弁護士事務所の無料相談を利用して相性確認を。月額顧問契約(中小企業向けなら月 3〜10 万円規模が一般的)を結ぶか、スポット契約 + リテイナーで有事に即応できる体制を組むのが現実解です。具体的な料金相場は法律事務所ごとに異なりますので直接ご確認ください。

Q2. 従業員 30 名でも RACI や規程は必要ですか?

必要です。必要な役割を 1 名が兼任する構成でも、RACI を明文化することで「誰が動くか」が迷わなくなります。規程は A4 10 ページ程度のコンパクトな版で十分機能します。

Q3. サイバー保険に加入していれば、体制整備は簡略化できますか?

保険は金銭的補填であって、報告義務・本人通知の法的義務を免除するものではありません。ただし保険会社の事故対応サービス(弁護士紹介・広報支援)は体制の補完として有効です。

参考情報

  • 個人情報保護委員会「個人情報保護法ガイドライン」
  • 個人情報保護委員会「漏えい等の報告・本人への通知に関する Q&A」
  • IPA「情報セキュリティ10大脅威 2026」
  • 総務省「サイバーセキュリティ戦略」

まとめ

  • 中小企業は「誰が・いつまでに・何を使って」が曖昧で詰まる
  • 最小 4 役の RACI 明文化が第一歩
  • 72時間を 5 フェーズに分割して兼任体制でも回せる設計に
  • 規程テンプレ 8 項目で短期起案、年1訓練で形骸化を防ぐ
  • 法的解釈は必ず顧問弁護士に確認

個情法 漏えい報告体制の構築はGXOにご相談ください

RACI 表・規程テンプレ・72時間タイムテーブル・机上訓練まで、中小企業の兼任体制に最適化した実装パッケージでご提供します。顧問弁護士様との連携設計もお任せください。

個情法 漏えい報告体制の構築を無料相談する

※ 営業電話はしません | オンライン対応可 | 相談だけでもOK

関連記事