結論:報告手順より前に、対象範囲と事実を復元できる証拠を作る
個人情報保護委員会は2026年7月7日、令和7年度年次報告を公表しました。概要によると、個人情報取扱事業者等に関する「漏えい等事案に関する報告の処理」は17,139件、指導・助言は455件、勧告は2件でした。
17,139件は、委員会が処理した報告件数です。「17,139社が事故を起こした」「17,139件の独立したサイバー攻撃があった」という意味ではありません。数字を恐怖訴求に使うのではなく、平時の証拠準備が必要な規模感として読みます。
同報告は、サイバーセキュリティ連絡会を四半期ごとに開催し、不正アクセス発生時のフォレンジック調査活用に関する着眼点を整理したことも示しています。事故後に調べ始めるのではなく、調査できるログ、端末、委託先契約、連絡網を事故前に用意します。
この記事は、顧客・従業員・会員・取引先の個人データを扱う経営者、管理部門責任者、個人情報保護責任者、兼任情シス向けです。
FREE CONSULTATION
この記事の内容について、専門家に相談できます
AI・DX・セキュリティに関するご質問やお見積もりなど、お気軽にお問い合わせください。
年次報告から確認できる監視・監督の状況
横にスクロールして確認できます
| 区分 | 令和7年度 | 令和6年度 |
|---|---|---|
| 民間事業者等の漏えい等報告処理 | 17,139件 | 19,056件 |
| 民間事業者等への報告徴収 | 19件 | 148件 |
| 民間事業者等への指導・助言 | 455件 | 395件 |
| 民間事業者等への勧告 | 2件 | 1件 |
| 行政機関等の漏えい等報告処理 | 2,278件 | 1,951件 |
件数の増減だけで自社リスクは判断できません。自社の保有データ、外部委託、アクセス権、公開範囲、ログ、復旧能力を個別に確認します。
事故時に露呈する6つの準備不足
- 個人データの所在が分からない。 SaaS、Excel、端末、メール、バックアップ、委託先に分散しています。
- 委託先の役割を説明できない。 再委託、ログ提供、初動期限、費用負担が契約にありません。
- 対象者と件数を数えられない。 正本、重複、保存期間、削除状況が不明です。
- ログはあるが証拠にならない。 時刻同期、利用者ID、変更前後、保存期間、改ざん防止が不足します。
- 復旧を優先して証拠を消す。 端末初期化、ログ削除、再起動で原因調査を難しくします。
- 法務・広報・技術が別々に動く。 事実、対象、対外説明、再発防止の版が食い違います。
GXO式「個人データ事故対応5ゲート100点」
横にスクロールして確認できます
| ゲート | 配点 | 満点の証拠 | レッドフラグ |
|---|---|---|---|
| データ台帳 | 20 | 種類、本人、件数、目的、場所、保存期限、ownerを記録 | 「顧客DB」だけ |
| 委託・責任分界 | 20 | 委託/再委託、連絡、ログ、調査、報告、費用を契約化 | ベンダーへ丸投げ |
| 検知・ログ | 20 | ID、時刻、端末、操作、変更、外部送信、保全手順を確認 | 30日で上書き |
| 初動・調査 | 25 | 封じ込め、証拠保全、影響判定、専門家連携、意思決定を訓練 | まず初期化する |
| 報告・再発防止 | 15 | 法令・契約別判断、説明版管理、原因、是正、再検証を記録 | 報告して終了 |
合計点に関係なく緊急改善する条件
- 要配慮個人情報、クレジットカード、認証情報、個人番号の所在を説明できない
- 委託先から24時間以内に一次報を受ける契約・連絡先がない
- 管理者操作、外部送信、削除、権限変更のログが残らない
- 証拠保全前に端末・サーバーを初期化する手順になっている
- 報告要否や本人通知の法的判断を、技術担当だけに任せている
法的な報告・通知要否は、個別事実と最新の法令・ガイドラインを基に専門家と判断します。
仮想記入例:会員サイトの不正アクセス
横にスクロールして確認できます
| ゲート | 得点 | 不足 |
|---|---|---|
| データ台帳 | 12/20 | 旧バックアップと退会者データを未記録 |
| 委託・責任分界 | 9/20 | 保守会社の再委託先とログ提供期限が不明 |
| 検知・ログ | 8/20 | Webログ30日、管理画面の変更前後なし |
| 初動・調査 | 11/25 | 復旧担当が端末を再起動済み |
| 報告・再発防止 | 7/15 | 対外説明の承認者が未定 |
| 合計 | 47/100 | 証拠保全と影響範囲判定を最優先 |
公開停止、資格情報失効、ログ・端末・クラウド証跡の保全を並行し、旧バックアップと委託先を含めて対象期間・データ・本人を絞ります。復旧版は元環境と分離し、原因が残る状態で再公開しません。
最小事故対応台帳
横にスクロールして確認できます
| 項目 | 記録内容 |
|---|---|
| 事象 | 検知時刻、検知者、症状、対象system |
| Data | 種類、本人、概数、機密区分、保存場所 |
| Access | account、IP、端末、権限、侵入・操作期間 |
| Evidence | log、image、hash、保全者、保全時刻、保管先 |
| Containment | 遮断、失効、隔離、影響、実施者 |
| Decision | 報告・通知・公表の判断者、根拠、期限 |
| Recovery | clean環境、再発防止、再検証、監視強化 |
| Cost | 調査、復旧、通知、法務、休業、保険、再発防止 |
委託先へ確認する12問
- 自社データをどのsystem、region、backupに保存するか
- 再委託先と役割を一覧で提示できるか
- 特権ID、外部接続、保守端末をどう管理するか
- 管理操作と外部送信のログ項目・保存期間は何か
- 異常を何分で検知し、何時間で連絡するか
- 証拠を誰がどの形式で保全・提供するか
- 初動、フォレンジック、復旧の費用分担はどうなるか
- 契約終了時にdata、backup、logをどう返却・削除するか
- 事故時の連絡先は夜間・休日も有効か
- 本人影響と件数をどのデータで算定するか
- 報告・通知・公表文の事実確認へ協力するか
- 是正後の再検証と監視強化をどう証明するか
30日で事故前の証拠を作る
- 1週目:重要個人データ、SaaS、委託先、管理者IDを棚卸し
- 2週目:ログ項目、時刻同期、保存期間、証拠保全手順を確認
- 3週目:連絡網、責任分界、法務・広報・技術の判断表を作成
- 4週目:架空事故で封じ込め、保全、影響判定、復旧、報告判断を訓練
GXOのインシデント対応支援では、初動、証拠保全、原因調査、復旧、再発防止を支援します。事故前の技術的な弱点確認は脆弱性診断、継続的な運用改善はセキュリティ顧問・運用支援へ接続します。
FAQ
17,139件は漏えい事故の件数ですか
年次報告に記載された、個人情報取扱事業者等に関する「漏えい等事案に関する報告の処理」の件数です。企業数や独立事故数と同一ではありません。
フォレンジックは事故後に依頼すればよいですか
依頼先だけでなく、ログ保存、端末・クラウド証跡、時刻同期、初期化禁止、連絡・契約を事前に準備しないと調査可能性が下がります。
報告や本人通知の要否をこの記事で判断できますか
できません。個別事実と最新の法令・ガイドラインを確認し、個人情報保護委員会、法務・弁護士等の専門家と判断してください。
出典・確認日
- 個人情報保護委員会「令和7年度年次報告の公表について」(2026年7月7日公表、7月14日確認)
- 令和7年度個人情報保護委員会年次報告・概要PDF(2026年7月14日確認)
件数は公表資料の集計区分に従い、事故社数・被害者数・独立した攻撃件数とは扱っていません。本記事は法的助言ではありません。配点と仮想例はGXO独自です。







