title: "個人情報の漏えい等報告が過去最多1万9千件超|報告義務の実務と速報・確報の手順" description: "個人情報保護委員会の令和6年度年次報告で漏えい等報告が過去最多の19,056件に。漏えい時の報告義務、速報・確報の期限と手順、再発防止の体制整備、チェックリストを法務・経営・PMS・情シス向けに整理する。" keyword: "個人情報保護委員会 年次報告 漏えい報告 報告義務 過去最多 実務" slug: "ppc-annual-report-19056-leak-reports-2026-20260625" date: "2026-06-25" updatedAt: "2026-06-25" category: "セキュリティ" tags: ["個人情報保護","漏えい報告","報告義務","コンプライアンス","ガバナンス"] author: "GXO株式会社" lead_summary: "漏えい等報告が過去最多に。報告義務は他人事ではない。速報・確報の手順と再発防止体制を今すぐ点検すべき。"
個人情報の漏えい等報告が過去最多1万9千件超|報告義務の実務と速報・確報の手順
結論:漏えい報告は「起きてから考える」では間に合わない
2025年6月、個人情報保護委員会が令和6年度(2024年度)の年次報告を公表した。報告された漏えい等事案の処理件数は 19,056件 にのぼり、前年度の12,120件から 約57%増 と過去最多を更新した(出典:個人情報保護委員会「令和6年度 年次報告」)。
この数字が示すのは、特定の業界や大企業だけの問題ではないということだ。報告の多くは数百〜千人規模のヒューマンエラー(誤送付・誤交付・誤廃棄)であり、どの会社でも起こりうる類型である。
押さえるべき1点:漏えいは「防ぐ」だけでなく「起きた時に正しく報告できる」体制まで作って初めて統制が成立する。報告義務は努力目標ではなく法的義務である。
漏えいが起きてから報告手順を調べ始めると、速報の期限(おおむね3〜5日以内)に間に合わない。本記事は、報告義務の実務、速報・確報の手順、再発防止の体制整備を、法務・経営・PMS(個人情報保護マネジメント)・情シスの担当者向けに整理する。自社が「報告義務を果たせる体制」になっているかを外部の視点で点検したい場合は、インシデント対応体制まで含めたセキュリティ顧問(リテイナー)や、漏えいの起点を洗い出すセキュリティの脆弱性診断から着手するとよい。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
なぜ「報告義務」が経営リスクとして急浮上しているのか
2022年4月の改正個人情報保護法の全面施行により、一定の漏えい等事案について 個人情報保護委員会への報告と本人への通知が義務化 された。それ以前は努力義務だった報告が、法的義務に変わったのである。
年次報告の件数推移を見ると、この義務化の影響がはっきり表れている。
| 年度 | 漏えい等報告の処理件数 | 傾向 |
|---|---|---|
| 令和4年度(2022年度) | 約7,685件 | 報告義務化の初年度 |
| 令和5年度(2023年度) | 12,120件 | 大幅増 |
| 令和6年度(2024年度) | 19,056件 | 過去最多(前年比約57%増) |
※令和4年度の件数は報道ベースの概数。令和5・6年度は個人情報保護委員会の年次報告に基づく。
件数が増えている理由は、攻撃が激化しているだけではない。報告すべき事案を正しく報告する企業が増えたという側面も大きい。逆に言えば、報告義務を知らずに放置していた事案が、今後は「報告漏れ」として問われやすくなったということである。
報告漏れや虚偽報告は、個人情報保護委員会による指導・勧告・命令、さらには命令違反時の罰則の対象となりうる。漏えいそのものよりも、報告を怠ったことが企業の信頼を損なう局面は少なくない。
報告義務が発生する4つの類型
すべての漏えいに報告義務があるわけではない。個人情報保護法施行規則は、報告・通知義務が生じる事案を次の4類型に整理している。
| 類型 | 内容 | 例 |
|---|---|---|
| 要配慮個人情報 | 病歴、犯罪歴など機微情報の漏えい等 | 健診結果、診療情報の誤送付 |
| 財産的被害のおそれ | 不正利用で財産被害が生じうる情報 | クレジットカード番号、口座情報の流出 |
| 不正目的の漏えい | 不正アクセスなど故意による事案 | ランサムウェア、Webサイトへの不正侵入 |
| 1,000人超 | 漏えい等した本人の数が1,000人を超える | 大規模な誤送信、DB流出 |
このいずれかに該当すれば、件数の多寡にかかわらず報告義務が生じる。「1人分だから報告不要」とは限らない点に注意が必要だ。要配慮個人情報や不正アクセス起因であれば、1件でも報告対象になる。
PMS担当や情シスがまず整備すべきは、「この事象は報告対象か」を現場が即座に判断できるフローである。判断を迷っている間に速報期限が過ぎる、という失敗が最も多い。
漏えい発生時の「速報」と「確報」の手順
報告は一度ではない。速報(一次報告)と確報(最終報告)の2段階で行う。
| 区分 | 期限の目安 | 報告内容 |
|---|---|---|
| 速報 | 事態を知った後、速やかに(おおむね3〜5日以内) | 判明している範囲の概要、対象データ、件数の見込み、原因の暫定見解、対応状況 |
| 確報 | 事態を知った日から30日以内(不正目的の場合は60日以内) | 確定した事実関係、被害範囲、原因、再発防止策、本人への対応状況 |
※期限は個人情報保護委員会のガイドライン・施行規則に基づく目安。委託先で漏えいが起きた場合は委託元に通知する経路も整理しておく必要がある。
実務上の流れは次のようになる。
- 検知・初動:事象を把握したら、被害拡大の停止(該当サーバ隔離、アカウント停止、送信先への削除依頼など)を最優先で行う。
- 報告対象の判定:前章の4類型に照らし、報告義務の有無を確認する。
- 速報の提出:判明している範囲で、個人情報保護委員会へ速報する。確定していなくてよい。
- 本人通知:本人が容易に知り得る状態に置く(個別通知、または通知が困難な場合は公表など代替措置)。
- 調査・確報:原因と被害範囲を確定させ、再発防止策を添えて確報する。
ここで重要なのは、**速報は「完璧な情報が揃ってから」ではなく「速やかに」**という点だ。調査完了を待っていると速報期限を超える。「分かっている範囲で速報し、続報で補う」が正しい運用である。
委託先で起きた漏えいは誰が報告するのか
年次報告で見逃せないのが、委託先(処理を外注した先)からの漏えいの存在感である。報告者本人からの漏えいは誤送付などヒューマンエラーが中心だが、委託先からの漏えいは不正アクセス起因の割合が高い傾向にある(出典:個人情報保護委員会「令和6年度 年次報告」)。
SaaS、業務システム運用、データ入力、印刷・発送などを外注している企業は、自社が直接漏らさなくても、委託先経由で報告義務を負う立場になりうる。
| 論点 | 確認すべきこと |
|---|---|
| 報告の主体 | 委託先で漏えいが起きた場合、原則として委託元(個人情報取扱事業者)が報告義務を負う |
| 通知経路 | 委託先から委託元へ遅滞なく通知する契約条項があるか |
| 監督責任 | 委託先の安全管理措置を点検・監督しているか |
| 連絡先の整備 | 緊急時に委託先の責任者へ即時に到達できるか |
委託契約に「漏えい時の即時通知義務」「協力義務」が明記されていないと、委託先からの一報が遅れ、速報期限に間に合わない。この点は法務・購買部門と連携して契約を点検すべきである。
再発防止の体制整備:5つの柱
確報には再発防止策の記載が求められる。場当たり的な対策ではなく、恒常的な体制として整備しておくべき柱を整理する。
| 柱 | 内容 | 失敗例 |
|---|---|---|
| 報告フロー | 誰が・いつまでに・どこへ報告するかの社内手順 | 担当者不在で初動が遅れる |
| ヒューマンエラー対策 | 誤送信防止、宛先確認、廃棄ルール、権限最小化 | 個人の注意任せで再発する |
| 技術的防御 | 不正アクセス対策、脆弱性管理、ログ取得 | 古いシステムを放置 |
| 委託先管理 | 契約条項、安全管理点検、通知経路 | 契約に通知義務がない |
| 教育・訓練 | 全社員への定期教育、模擬訓練 | 一度きりの研修で形骸化 |
特に中堅・中小企業では、「報告フロー」と「委託先管理」が抜けているケースが目立つ。技術対策に予算を割いても、いざ漏えいした時に誰が報告するか決まっていなければ、報告義務違反のリスクが残る。
不正アクセス起因の漏えいに備えるなら、脆弱性の把握と継続的な監視が前提になる。自社の防御状態を客観的に確認したい場合は、脆弱性診断で攻撃の入口を洗い出し、セキュリティ顧問(リテイナー)で平時からの体制を整えるのが現実的だ。万一の発生時に備えるなら、インシデント対応の連絡先と手順を事前に確保しておく。
漏えい報告 対応チェックリスト
平時に次の項目を点検しておくと、いざという時に速報期限を守れる。
- 漏えい等を検知した時の第一報の連絡先(社内・委託先・専門家)が明文化されている
- 報告義務が生じる4類型を現場が判断できる
- **速報(3〜5日目安)と確報(30日/60日)**の期限と提出先を把握している
- 個人情報保護委員会への報告フォーム・経路を事前に確認している
- 本人通知の方法(個別通知・公表など代替措置)を定めている
- 委託契約に漏えい時の即時通知義務・協力義務がある
- 被害拡大停止の初動手順(隔離・停止・削除依頼)がある
- 再発防止策を確報に書ける体制(原因分析・是正)がある
- 全社員向けの定期教育・訓練を実施している
- 不正アクセスに備えた脆弱性管理・ログ取得・監視がある
このチェックリストで2つ以上「いいえ」がある場合、漏えい時に報告義務を果たせないリスクが高い。
よくある質問(FAQ)
Q. 漏えいした人数が少なければ報告しなくてよいか。 A. いいえ。要配慮個人情報、財産的被害のおそれ、不正目的による漏えいは、1件でも報告対象になりうる。人数1,000人超はそれ自体が報告対象だが、人数が少なくても他の類型に該当すれば義務が生じる。
Q. 原因や被害範囲が確定していなくても速報すべきか。 A. はい。速報は判明している範囲で速やかに行う。確定を待つ必要はなく、続報(確報)で補完する運用が正しい。
Q. 委託先(SaaS・運用ベンダー)で漏えいが起きた場合、誰が報告するのか。 A. 原則として委託元である個人情報取扱事業者が報告義務を負う。委託先からの遅滞ない通知を受けられるよう、契約と連絡経路を事前に整備しておく必要がある。
Q. 報告を怠るとどうなるか。 A. 個人情報保護委員会による指導・勧告・命令の対象となりうる。命令違反には罰則も定められている。漏えいそのものより報告漏れの方が、信頼面で重い結果を招くこともある。
Q. 本人への通知が困難な場合はどうするか。 A. 個別通知が困難なときは、公表など本人が容易に知り得る状態に置く代替措置が認められている。具体的な方法はガイドラインを確認する。
この記事を読むべき人
- 自社が漏えいした時の報告手順が整っていない法務・総務・PMS担当
- 委託先・SaaS経由の漏えいで報告義務を負うか不安な経営・購買担当
- 不正アクセス起因の漏えいに備え、防御と監視を強化したい情シス・セキュリティ担当
- 漏えい報告件数の増加を受け、取締役会・監査で説明責任を問われる経営層
GXOに相談すべきタイミング
- 漏えい時の報告フローや社内規程を整備したいが、何から手をつければよいか分からない
- 委託先・自社システムの脆弱性や攻撃の入口を客観的に把握したい
- 不正アクセスに備え、平時の監視・有事の対応体制を確保したい
- すでにインシデントが発生し、初動と報告を専門家と進めたい
GXOでは、セキュリティ診断、脆弱性評価、コンプライアンス対応支援、インシデント対応、そして平時からのセキュリティ顧問(リテイナー)を組み合わせ、「漏えいを防ぐ」だけでなく「起きた時に正しく報告できる」体制づくりを支援する。
本記事の点検項目は、漏えい等報告 対応チェックリストとして無料ダウンロードできる。社内規程の整備や委託契約の見直し、取締役会・監査向けの説明資料に活用してほしい。
関連サービス
関連記事
参考資料
- 個人情報保護委員会「令和6年度 個人情報保護委員会 年次報告」 https://www.ppc.go.jp/aboutus/report/annual_report_2024/
- 個人情報保護委員会「年次報告・上半期報告」 https://www.ppc.go.jp/aboutus/report/
- 個人情報保護委員会「漏えい等の対応とお役立ち資料」(漏えい等報告・本人通知の制度概要) https://www.ppc.go.jp/personalinfo/legal/leakAction/
本記事は2026年6月25日時点の公開情報をもとに作成。報告義務の要件、期限、手続きの詳細は、個人情報保護委員会の最新のガイドライン・施行規則を必ず確認すること。本記事は法的助言ではない。
速報期限に間に合わず報告漏れを問われる前に、対応体制を整えませんか
GXOでは、報告フロー整備、脆弱性診断、委託先管理、インシデント対応、平時のセキュリティ顧問を組み合わせ、有事に報告義務を果たせる体制づくりを支援します。
※ 既存の社内規程・委託契約がなくても相談可 | 法務・情シス・経営の同席歓迎
