GXO
インシデント対応

個人情報漏えい等の報告処理17,139件|事故後に証拠不足へ気づく会社の100点監査

8分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

サイバーセキュリティ

結論:報告手順より前に、対象範囲と事実を復元できる証拠を作る

個人情報保護委員会は2026年7月7日、令和7年度年次報告を公表しました。概要によると、個人情報取扱事業者等に関する「漏えい等事案に関する報告の処理」は17,139件、指導・助言は455件、勧告は2件でした。

17,139件は、委員会が処理した報告件数です。「17,139社が事故を起こした」「17,139件の独立したサイバー攻撃があった」という意味ではありません。数字を恐怖訴求に使うのではなく、平時の証拠準備が必要な規模感として読みます。

同報告は、サイバーセキュリティ連絡会を四半期ごとに開催し、不正アクセス発生時のフォレンジック調査活用に関する着眼点を整理したことも示しています。事故後に調べ始めるのではなく、調査できるログ、端末、委託先契約、連絡網を事故前に用意します。

この記事は、顧客・従業員・会員・取引先の個人データを扱う経営者、管理部門責任者、個人情報保護責任者、兼任情シス向けです。

FREE CONSULTATION

この記事の内容について、専門家に相談できます

AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。

無料で相談する

年次報告から確認できる監視・監督の状況

横にスクロールして確認できます

区分令和7年度令和6年度
民間事業者等の漏えい等報告処理17,139件19,056件
民間事業者等への報告徴収19件148件
民間事業者等への指導・助言455件395件
民間事業者等への勧告2件1件
行政機関等の漏えい等報告処理2,278件1,951件

件数の増減だけで自社リスクは判断できません。自社の保有データ、外部委託、アクセス権、公開範囲、ログ、復旧能力を個別に確認します。

事故時に露呈する6つの準備不足

  1. 個人データの所在が分からない。 SaaS、Excel、端末、メール、バックアップ、委託先に分散しています。
  2. 委託先の役割を説明できない。 再委託、ログ提供、初動期限、費用負担が契約にありません。
  3. 対象者と件数を数えられない。 正本、重複、保存期間、削除状況が不明です。
  4. ログはあるが証拠にならない。 時刻同期、利用者ID、変更前後、保存期間、改ざん防止が不足します。
  5. 復旧を優先して証拠を消す。 端末初期化、ログ削除、再起動で原因調査を難しくします。
  6. 法務・広報・技術が別々に動く。 事実、対象、対外説明、再発防止の版が食い違います。

FREE DOWNLOAD

中小企業のDX推進 5ステップガイド

多様な企業の導入実績から抽出した、失敗を防ぐDX推進の5つのステップを継続解説。

GXO式「個人データ事故対応5ゲート100点」

横にスクロールして確認できます

ゲート配点満点の証拠レッドフラグ
データ台帳20種類、本人、件数、目的、場所、保存期限、ownerを記録「顧客DB」だけ
委託・責任分界20委託/再委託、連絡、ログ、調査、報告、費用を契約化ベンダーへ丸投げ
検知・ログ20ID、時刻、端末、操作、変更、外部送信、保全手順を確認30日で上書き
初動・調査25封じ込め、証拠保全、影響判定、専門家連携、意思決定を訓練まず初期化する
報告・再発防止15法令・契約別判断、説明版管理、原因、是正、再検証を記録報告して終了

合計点に関係なく緊急改善する条件

  • 要配慮個人情報、クレジットカード、認証情報、個人番号の所在を説明できない
  • 委託先から24時間以内に一次報を受ける契約・連絡先がない
  • 管理者操作、外部送信、削除、権限変更のログが残らない
  • 証拠保全前に端末・サーバーを初期化する手順になっている
  • 報告要否や本人通知の法的判断を、技術担当だけに任せている

法的な報告・通知要否は、個別事実と最新の法令・ガイドラインを基に専門家と判断します。

仮想記入例:会員サイトの不正アクセス

横にスクロールして確認できます

ゲート得点不足
データ台帳12/20旧バックアップと退会者データを未記録
委託・責任分界9/20保守会社の再委託先とログ提供期限が不明
検知・ログ8/20Webログ30日、管理画面の変更前後なし
初動・調査11/25復旧担当が端末を再起動済み
報告・再発防止7/15対外説明の承認者が未定
合計47/100証拠保全と影響範囲判定を最優先

公開停止、資格情報失効、ログ・端末・クラウド証跡の保全を並行し、旧バックアップと委託先を含めて対象期間・データ・本人を絞ります。復旧版は元環境と分離し、原因が残る状態で再公開しません。

最小事故対応台帳

横にスクロールして確認できます

項目記録内容
事象検知時刻、検知者、症状、対象system
Data種類、本人、概数、機密区分、保存場所
Accessaccount、IP、端末、権限、侵入・操作期間
Evidencelog、image、hash、保全者、保全時刻、保管先
Containment遮断、失効、隔離、影響、実施者
Decision報告・通知・公表の判断者、根拠、期限
Recoveryclean環境、再発防止、再検証、監視強化
Cost調査、復旧、通知、法務、休業、保険、再発防止

委託先へ確認する12問

  1. 自社データをどのsystem、region、backupに保存するか
  2. 再委託先と役割を一覧で提示できるか
  3. 特権ID、外部接続、保守端末をどう管理するか
  4. 管理操作と外部送信のログ項目・保存期間は何か
  5. 異常を何分で検知し、何時間で連絡するか
  6. 証拠を誰がどの形式で保全・提供するか
  7. 初動、フォレンジック、復旧の費用分担はどうなるか
  8. 契約終了時にdata、backup、logをどう返却・削除するか
  9. 事故時の連絡先は夜間・休日も有効か
  10. 本人影響と件数をどのデータで算定するか
  11. 報告・通知・公表文の事実確認へ協力するか
  12. 是正後の再検証と監視強化をどう証明するか

30日で事故前の証拠を作る

  • 1週目:重要個人データ、SaaS、委託先、管理者IDを棚卸し
  • 2週目:ログ項目、時刻同期、保存期間、証拠保全手順を確認
  • 3週目:連絡網、責任分界、法務・広報・技術の判断表を作成
  • 4週目:架空事故で封じ込め、保全、影響判定、復旧、報告判断を訓練

GXOのインシデント対応支援では、初動、証拠保全、原因調査、復旧、再発防止を支援します。事故前の技術的な弱点確認は脆弱性診断、継続的な運用改善はセキュリティ顧問・運用支援へ接続します。

FAQ

17,139件は漏えい事故の件数ですか

年次報告に記載された、個人情報取扱事業者等に関する「漏えい等事案に関する報告の処理」の件数です。企業数や独立事故数と同一ではありません。

フォレンジックは事故後に依頼すればよいですか

依頼先だけでなく、ログ保存、端末・クラウド証跡、時刻同期、初期化禁止、連絡・契約を事前に準備しないと調査可能性が下がります。

報告や本人通知の要否をこの記事で判断できますか

できません。個別事実と最新の法令・ガイドラインを確認し、個人情報保護委員会、法務・弁護士等の専門家と判断してください。

出典・確認日

件数は公表資料の集計区分に従い、事故社数・被害者数・独立した攻撃件数とは扱っていません。本記事は法的助言ではありません。配点と仮想例はGXO独自です。

ISSUE HUB

セキュリティリスクを減らしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

FREE DOWNLOAD

この記事と関連する 実践資料

費用相場、選定チェックリスト、補助金活用など、続きをより深く掘り下げた資料を無料でダウンロードできます(営業電話なし / 即DL / 社内共有OK)。

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK