GXO
インシデント対応

セキュリティインシデント報告チェックリスト|漏えい・不正アクセス・ランサムウェア発生時の初動

14分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

セキュリティ

セキュリティインシデントが起きたとき、最初に必要なのは「どこへ報告すべきか」を検索し続けることではありません。被害拡大を止める、証跡を消さない、個人情報や取引先への影響を切り分ける、経営判断に必要な事実をそろえる。この順番を外すと、復旧が遅れ、報告内容も曖昧になります。

個人情報保護委員会は、漏えい等報告について、速報は発覚後速やかに、確報は原則30日以内、不正目的のおそれがある場合は60日以内という期限を示しています。また、ランサムウェア事案による個人データの漏えい等またはそのおそれについて、政府全体の方針に従い共通様式で報告できる旨を案内しています。JPCERT/CCは、国内が関連するインシデントに対応するCSIRTとして、報告受付、対応支援、手口分析、再発防止の助言などを行うと説明しています。

この記事では、2026年7月2日時点で確認できる一次情報を基に、インシデント発生時の報告・復旧・証跡保全の実務チェックリストを整理します。未確定の制度改正や罰則を断定せず、現場が迷いやすい「誰が、何を、どの順番で確認するか」に絞ります。

目次

結論:報告先より先に事実確認と証跡保全を固定する

インシデント対応では、報告先の一覧表だけでは足りません。報告は、事実確認の結果として行うものです。最初に社内で決めるべきなのは、次の5点です。

横にスクロールして確認できます

論点すぐ決めること決めない場合のリスク
指揮系統経営判断者、技術責任者、広報・法務窓口担当者が個別判断し、対応が分裂する
影響範囲影響システム、個人情報、取引先、顧客接点報告要否や復旧優先順位を誤る
証跡保全ログ、端末、サーバー、クラウド操作履歴復旧作業で原因調査に必要な証跡を消す
外部連絡PPC、JPCERT/CC、警察、所管先、取引先必要な連絡が遅れ、信用低下につながる
復旧判断切り離し、バックアップ、暫定復旧、本復旧攻撃経路を残したまま再開する

報告義務の有無は、個人情報の種類、件数、不正アクセスの有無、業法、契約条件、被害の性質によって変わります。自社だけで判断できない場合は、技術調査と法務確認を同時に進める体制が必要です。

SECURITY OPERATION

日常の脆弱性運用、情シス1人で回せる体制にしませんか?

月次棚卸・重大度判定・パッチ適用代行まで含む「セキュリティ運用伴走」プラン。単発対応からの卒業で、止まらない運用体制を作ります。

運用プランを相談する

誰が読むべきか

この記事は、経営者、CIO、情シス、セキュリティ担当、Webサイト運用責任者、SaaS管理者、開発保守責任者に向けています。

特に次の状況では、単なるチェックリストではなく、外部支援を含む初動体制を準備すべきです。

  • Webサイトが改ざんされ、フォーム入力情報や決済情報への影響が疑われる
  • ランサムウェア感染、暗号化、脅迫メール、データ持ち出しの主張がある
  • 顧客情報、従業員情報、採用応募者情報、取引先担当者情報を扱っている
  • クラウド管理者、VPN、メール、SaaSの不正ログインが疑われる
  • 既存ベンダーだけではログ分析や復旧判断ができない
  • 取引先からセキュリティ事故報告書や再発防止策の提出を求められている

GXOとして初回相談すべきテーマは、単発の注意喚起ではありません。ハッキングされたサイトの復旧、ランサムウェア初動、システム復旧、ログ調査、再発防止、月次セキュリティ運用、開発保守体制の見直しです。

最初の24時間で確認すること

発覚直後は、全てを完璧に調べるより、被害拡大を止めながら後で説明できる事実を残すことが重要です。

横にスクロールして確認できます

時点実施すること注意点
発覚直後画面、メール、ログ、アラート、時刻、発見者を記録証跡を消す再起動・初期化を急がない
初動影響端末・サーバー・アカウントを切り離す業務停止影響と証跡保全を両方見る
事実確認個人情報、決済情報、認証情報、業務データへの影響を切り分ける推測で件数や原因を断定しない
社内報告経営、情シス、法務、広報、営業責任者へ共有外部説明の文言を統一する
外部相談必要に応じてJPCERT/CC、警察、専門会社、弁護士へ相談技術調査と報告判断を分けて進める
復旧判断暫定復旧、本復旧、顧客対応、再発防止の順に整理攻撃経路が残ったまま戻さない

初動で避けるべき行動は、証跡を取らずにサーバーを作り直す、感染端末を初期化する、原因未確認のまま全顧客へ断定的に説明する、復旧を急いで同じ認証情報を再利用する、といった対応です。

FREE DOWNLOAD

中小企業の脆弱性対応 月次運用テンプレ

情シス1人体制でも回せる脆弱性棚卸・対応フローのテンプレート(Excel版)。

報告先を切り分ける判断表

報告先は一律ではありません。個人情報、犯罪被害、業法、契約、サプライチェーンの観点で切り分けます。

横にスクロールして確認できます

状況確認すべき主な相談・報告先実務上のポイント
個人データの漏えい等またはそのおそれ個人情報保護委員会PPCの要件と期限を確認し、速報と確報を分ける
不正アクセス、詐欺、脅迫、ランサムウェア被害警察、JPCERT/CC、専門会社犯罪被害の証跡と復旧調査を並行する
取引先データや委託業務への影響取引先、委託元、契約窓口契約上の通知期限・報告様式を確認する
業法・所管規制の対象所管省庁、監督機関、業界団体業種別ガイドラインと契約条件を確認する
Webサイト改ざん・マルウェア配布JPCERT/CC、ホスティング事業者、開発保守会社改ざん範囲、外部送信、検索結果汚染を確認する
社内システム停止・復旧不能保守会社、クラウド事業者、復旧支援会社バックアップの安全性と復旧順序を確認する

JPCERT/CCへの報告は、法令上の報告義務と同じ意味ではありません。国内が関連するインシデントの調整や助言を受けるための実務的な相談先として位置付けます。

PPC漏えい等報告で確認する項目

個人情報保護委員会は、漏えい等報告が必要な場合として、要配慮個人情報が含まれる場合、財産的被害のおそれがある場合、不正目的のおそれがある行為による場合、一定規模を超える場合などを示しています。報告期限についても、速報と確報で扱いが分かれます。

社内では、次の情報を早期に集められるようにしておきます。

横にスクロールして確認できます

項目確認内容収集元
発覚日時誰が、いつ、何を見て発覚したかアラート、メール、問い合わせ、監視通知
事案概要漏えい、滅失、毀損、不正アクセス、誤送信など初動記録、ヒアリング
対象データ顧客、従業員、応募者、取引先担当者などDB、ファイルサーバー、SaaS
情報の種類要配慮個人情報、認証情報、決済情報、連絡先などデータ台帳、システム仕様
対象人数判明範囲と未確定範囲を分けるログ、DB抽出、バックアップ
原因判明事項と調査中事項を分けるログ分析、フォレンジック
二次被害不正利用、なりすまし、詐欺連絡の有無顧客問い合わせ、監視結果
再発防止暫定策と恒久策を分ける技術調査、運用改善計画

速報段階で全てが確定している必要はありません。重要なのは、確認済みの事実、未確認の事項、今後の調査予定を混ぜずに書く姿勢です。

復旧とフォレンジックを分ける

インシデント対応で最も危険なのは、「早く復旧したい」という判断だけで証跡を消してしまう対応です。ハッキングされたWebサイト、ランサムウェア感染、クラウドアカウント侵害では、復旧と調査を分けて設計します。

横にスクロールして確認できます

領域復旧で見ること調査で見ること
Webサイト改ざんページの停止、フォーム閉鎖、脆弱箇所の修正改ざん経路、外部送信、管理者アカウント、ログ
サーバーネットワーク隔離、クリーン環境への移行侵入経路、永続化、横展開、マルウェア痕跡
PC端末隔離、業務代替機の用意感染時刻、添付ファイル、認証情報流出
クラウド管理者権限の停止、キー再発行操作履歴、APIキー、外部共有、異常ログイン
バックアップ復旧可能な世代の確認攻撃前の世代か、暗号化・改ざんされていないか

GXOの現場感では、復旧支援が必要な相談は「セキュリティ診断」よりも緊急度が高く、判断材料が不足したまま始まることが多い領域です。初回対応では、原因の断定よりも、止血、証跡保全、復旧順序、外部説明の土台づくりを優先します。

平時に整備すべき証跡と体制

インシデント時に使える情報は、平時に保存・整理している情報に限られます。平時の準備は、発生後の調査費用を安く見せるためではなく、復旧時間と説明不能リスクを下げるための投資です。

横にスクロールして確認できます

領域平時に用意するものインシデント時の効果
資産管理サーバー、SaaS、ドメイン、管理者、委託先の一覧影響範囲と連絡先を早く特定できる
ログ認証、管理操作、Web、メール、クラウド、EDRのログ侵入経路と被害範囲を追跡できる
バックアップ世代、保管場所、復旧手順、復旧訓練記録復旧可能性を判断できる
個人情報台帳どのシステムに何の個人情報があるかPPC報告要否と対象人数を確認できる
連絡体制経営、情シス、法務、広報、外部専門家、保守会社初動で連絡漏れを減らせる
契約確認委託先、SaaS、取引先との通知義務通知期限と責任分界を確認できる
訓練机上演習、復旧訓練、報告書作成演習本番時の判断遅れを減らせる

NIST Cybersecurity Frameworkは、サイバーリスク管理を改善するための枠組みとして使われています。日本企業がそのまま法令対応として使うものではありませんが、資産把握、保護、検知、対応、復旧の観点で自社体制を点検する補助線になります。

GXOに相談すべきタイミング

次のいずれかに該当する場合は、記事を読み進めるだけでなく、早めに外部支援を入れるべきです。

  • サイト改ざん、マルウェア配布、フォーム情報の外部送信が疑われる
  • ランサムウェア、暗号化、脅迫、データ持ち出しの主張がある
  • 顧客情報、従業員情報、採用情報、決済情報への影響が疑われる
  • 復旧を急ぎたいが、原因調査や証跡保全も必要
  • 既存ベンダーが保守範囲外として対応できない
  • 取引先や顧客に提出する報告書・再発防止策が必要
  • インシデント後に、監視、ログ管理、バックアップ、権限管理を継続改善したい

GXOでは、インシデント対応支援脆弱性診断セキュリティ顧問・運用支援DX・システム開発レガシーシステム刷新を組み合わせ、初動対応、復旧、再発防止、継続運用まで整理します。問い合わせ窓口はお問い合わせです。

インシデント発生時の初動・復旧・報告整理が必要な方へ

GXOが、被害範囲の切り分け、証跡保全、復旧順序、PPC報告に必要な情報整理、再発防止策、月次セキュリティ運用まで実務目線で支援します。

インシデント対応・復旧を相談する

緊急時は、現在判明している事実、発覚時刻、影響システム、保守会社、取得済みログの有無を整理してご相談ください。

FAQ

個人情報漏えいか不明な段階でもPPCに報告すべきですか?

報告要否は、対象データ、漏えい等のおそれ、件数、不正目的の有無などで変わります。速報段階では未確定の事項が残る場合もあります。まずは確認済み事実と調査中事項を分け、PPCの公式案内や専門家の助言に基づいて判断します。

JPCERT/CCに連絡すれば法令上の報告は完了しますか?

完了しません。JPCERT/CCはインシデント対応の調整・支援を行う組織であり、個人情報保護委員会への漏えい等報告や、業法・契約上の通知とは別に考える必要があります。

復旧を急ぐ場合、ログ取得より先にサーバーを作り直してよいですか?

状況によりますが、証跡を残さずに初期化すると、侵入経路、影響範囲、再発防止策を説明できなくなる可能性があります。業務停止の影響が大きい場合でも、可能な範囲でスナップショット、ログ、設定情報を保全してから復旧手順を進めます。

平時に最初に整備すべきものは何ですか?

資産一覧、個人情報台帳、管理者アカウント一覧、ログ保存先、バックアップ復旧手順、緊急連絡先です。これらがないと、発生後に報告要否も復旧順序も判断しにくくなります。

一次情報・参考情報

本稿では2026年7月2日に確認したPPC、JPCERT/CC、NISTの公開情報を参照しています。個別事案の報告義務、本人通知、取引先通知、警察相談、所管省庁対応は、被害内容、契約、業法、個人情報の種類によって変わるため、実対応では公式窓口と専門家確認を併用してください。

ISSUE HUB

セキュリティリスクを減らしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK