「もし顧客情報が漏えいしたら、どのシステムに・どの項目が・何件あるかを、その日のうちに答えられますか?」――この問いに即答できる中堅企業は、決して多くありません。 理由は単純で、個人情報が あちこちのシステムに分散しているからです。基幹システム、表計算ファイル、各部署が独自に立ち上げた小さな業務ツール、そして本連載のテーマである バイブコーディング(ChatGPT・Claude・Cursor・GitHub Copilot などで自社開発したシステム)――これらに顧客名・メールアドレス・電話番号などが散らばり、全体像を把握している人が誰もいない、という状態が珍しくありません。
個人情報の漏えいが起きたとき、企業には個人情報保護法に基づく報告・通知の義務が生じます。このとき求められるのは「漏えいした個人データの項目」「本人の数」「原因」といった 具体的な事実 です。ところが、そもそも「自社のどこに、どんな個人情報が、何件あるか」を把握していなければ、これらを正確に出すことはできません。逆に言えば、平時に個人情報の所在を 1 枚の表に整理しておくだけで、有事の対応速度が大きく変わります。
本記事は連載「バイブコーディング危機」第 22 回(防衛策の実装編)として、個人情報マッピング(データマッピング)の意義、Excel 1 枚で作る 12 列のテンプレート、棚卸しの 30 日工程、そして 漏えい時に個人情報保護委員会へ的確に報告するための前提づくり を、個人情報保護委員会・IPA・JIS Q 15001 を一次ソースに整理します。
目次
- なぜ「個人情報の所在」が分からなくなるのか
- 個人情報マッピングとは何か
- 漏えい時に何を求められるか:報告義務の基礎
- Excel 1枚で作る12列のテンプレート
- 棚卸しの30日工程
- バイブコーディングのDBがマッピングを難しくする理由
- 更新を止めないための運用ルール
- 中堅・中小企業が陥りやすい5つの失敗
- 国内・国際の文脈:個情委・IPA・JIS Q 15001
- よくある質問(FAQ 10問)
- 参考一次ソース
- まとめ
- 関連記事
なぜ「個人情報の所在」が分からなくなるのか
個人情報が分散する背景には、ここ数年の業務システムの増え方があります。
システムが「気づけば増えている」
クラウドサービスの普及と、生成 AI による自社開発の容易化によって、企業のシステムは増えやすくなりました。各部署が「便利だから」と SaaS を契約し、現場が「自分たちで作れるから」とバイブコーディングで小さなツールを立ち上げる――こうして、情報システム部門が把握しきれないシステムが増えていきます。それぞれが顧客情報や従業員情報を抱えているのに、全体像を持つ人がいない、という状態が生まれます(この「把握しきれないシステム」の棚卸しは、本連載第 23 回で詳しく扱います)。
表計算ファイルに個人情報が眠る
正式なシステムだけでなく、各担当者の手元の表計算ファイル・メールの添付・共有フォルダにも、個人情報は散らばります。「顧客リスト_最新版.xlsx」のようなファイルが、誰のどのフォルダに何個あるか――これを正確に把握している企業は多くありません。
「動いているから」確認しない
バイブコーディングのシステムは、動いてさえいれば、内部にどんな個人情報を持っているかを改めて確認する機会がありません。開発した本人が退職すれば(本連載第 8 回のテーマ)、中身を知る人すらいなくなります。
要点:個人情報の所在が分からなくなるのは、特定の誰かの怠慢ではなく、システムが増えやすく・把握しにくい構造そのものが原因です。だからこそ、意図的に「所在を一覧化する」という作業が必要になります。
個人情報マッピングとは何か
個人情報マッピング(データマッピング) とは、自社が扱う個人情報について、「どのシステム・ファイルに」「どんな項目が」「何件」「どんな形で」存在するかを一覧に整理する作業です。難しい専門ツールは必要なく、まずは Excel 1 枚(1 つの表)から始められます。
マッピングで分かること
- どのシステムに、どんな個人情報があるか(所在)
- どんな項目を持っているか(氏名・住所・電話・メール・要配慮情報など)
- おおよそ何件あるか(本人の数)
- 暗号化されているか、保管期間はどうか(守られ方)
- 誰が管理責任者か(責任の所在)
「守る」ことの土台になる
個人情報を守るには、まず「何を・どこで守るのか」が分かっていなければなりません。マッピングは、すべての個人情報保護施策の 土台 です。本連載第 21 回で扱ったログ管理も、第 23 回で扱う IT 棚卸しも、「どこに何があるか」という前提があって初めて機能します。
IPAの情報資産台帳との関係
IPA(情報処理推進機構)の「中小企業の情報セキュリティ対策ガイドライン(第 4.0 版)」には、付録として 情報資産管理台帳(Excel 形式)が用意されています。これは、情報資産の名称・種類・利用業務・保管場所・利用者・管理者などを記録し、各資産の重要度を評価するためのものです(IPA: 中小企業の情報セキュリティ対策ガイドライン)。個人情報マッピングは、この情報資産台帳の「個人情報に特化した部分」と考えると分かりやすいでしょう。ゼロから作るのが不安なら、この台帳をベースにするのが堅実です。
漏えい時に何を求められるか:報告義務の基礎
なぜマッピングを急ぐべきかは、漏えいが起きたときに求められる対応を知ると、よく分かります。
報告・通知の義務(個人情報保護法)
個人データの漏えい等が発生し、個人の権利利益を害するおそれが大きい一定の事態に該当する場合、企業は 個人情報保護委員会への報告 と 本人への通知 が義務付けられています(個人情報保護委員会: 漏えい等報告・本人への通知の義務化について)。
報告が必要になる主な事態
個人情報保護委員会の解説によると、報告対象となるのは、おおむね次のような事態です。
- 要配慮個人情報(健康・病歴など、取り扱いに特に配慮を要する情報)が含まれる漏えい等
- 不正に利用されることで財産的被害が生じるおそれがある漏えい等
- 不正の目的をもって行われたおそれがある漏えい等
- 1,000 人を超える本人に係る漏えい等
報告は「速報」と「確報」の2段階
報告は 2 段階で行います。
- 速報:事態を知ってから速やかに(個人情報保護委員会の解説では概ね 3〜5 日以内)、判明している範囲で報告します
- 確報:事態を知ってから 30 日以内(不正の目的によるおそれがある漏えい等の場合は 60 日以内)に、すべての報告事項を報告します
報告に求められる項目
報告には、概要・漏えい等が発生した個人データの 項目・本人の数・原因・二次被害の有無・本人への対応状況・公表の状況・再発防止措置などを含めることが求められます。「項目」と「本人の数」は、まさに個人情報マッピングがあれば即座に答えられる情報です。マッピングが無いと、漏えいの混乱の中で、これらを一から調べることになります。
なお、「72 時間以内」という期限は、欧州の一般データ保護規則(GDPR)の規定としてよく知られていますが、日本の個人情報保護法では上記の「速報(概ね 3〜5 日)・確報(30 日/不正目的 60 日)」が基準です。両者を混同しないよう注意してください。
Excel 1枚で作る12列のテンプレート
ここでは、中堅企業がまず作るべき個人情報マッピングの 12 列を示します。1 行が「1 つのシステム・ファイル」に対応します。
| 列 | 項目 | 記入例・補足 |
|---|---|---|
| 1 | システム/ファイル名 | 顧客管理システム、給与計算 Excel など |
| 2 | 所管部署 | 営業部、人事部など |
| 3 | 管理責任者 | 氏名・役職 |
| 4 | 保管場所・形態 | 社内サーバー、クラウド、PC ローカルなど |
| 5 | 個人情報の項目 | 氏名・住所・電話・メール・口座など |
| 6 | 要配慮個人情報の有無 | 健康情報などを含むか(有/無) |
| 7 | おおよその件数 | 本人の数の概算 |
| 8 | 取得元・利用目的 | 何のために集めたか |
| 9 | 暗号化・保護の状況 | 暗号化の有無、アクセス制限 |
| 10 | 保管期間・削除ルール | いつまで保持し、いつ消すか |
| 11 | 外部提供・委託の有無 | 第三者提供・委託先の有無 |
| 12 | 最終確認日 | この行を最後に確認した日付 |
この12列が効く理由
- 5・6・7 列(項目・要配慮の有無・件数)は、漏えい時に報告が求められる中心情報です
- 6 列(要配慮個人情報の有無)は、報告義務の判断に直結します
- 9 列(暗号化)は、適切に暗号化されていれば報告が不要になる場合がある点で重要です(個人情報保護委員会の解説でも、高度な暗号化等の保護措置を講じた個人データは報告不要とされています)
- 11 列(外部提供・委託)は、漏えいが委託先で起きた場合の責任範囲を考えるうえで欠かせません
「完璧」より「まず1行」
最初から全システムを完璧に埋めようとすると、着手できません。まず、最も重要な顧客データベースの 1 行を埋めることから始めてください。1 行埋めれば、列の意味と必要な情報源が具体的に分かり、残りが進めやすくなります。
棚卸しの30日工程
マッピングは、30 日を目安に段階的に進めるのが現実的です。
ステップ1(〜10日):洗い出し
各部署に「個人情報を扱っているシステム・ファイルを挙げてください」と依頼し、リストを集めます。このとき、正式なシステムだけでなく、手元の表計算ファイル・共有フォルダ・各部署が独自に立ち上げたツールも対象に含めるよう、明確に伝えます。バイブコーディングで作ったツールは、現場に直接ヒアリングしないと出てこないことが多いものです。
ステップ2(〜20日):記入
洗い出したシステムごとに、12 列を埋めていきます。件数は概算で構いません。暗号化や保管期間が不明な場合は「未確認」と記し、後で埋めます。「分からない」を空欄ではなく「未確認」と明記することで、後で何を調べるべきかが見えます。
ステップ3(〜30日):レビューと優先順位づけ
埋まったシートを見渡し、リスクの高いもの――件数が多い、要配慮情報を含む、暗号化されていない、管理責任者が不明――を洗い出します。これらは、追加の保護措置(暗号化・アクセス制限・本連載第 21 回のログ管理)を優先的に検討する対象になります。
工程のまとめ
| 期間 | やること | 成果物 |
|---|---|---|
| 〜10 日 | 全部署からシステム・ファイルを洗い出し | 対象一覧(ドラフト) |
| 〜20 日 | 12 列を記入(不明は「未確認」) | マッピングシート(初版) |
| 〜30 日 | レビュー・リスク優先順位づけ | 優先対応リスト |
バイブコーディングのDBがマッピングを難しくする理由
バイブコーディングで作ったシステムは、個人情報マッピングを難しくする要因をいくつも抱えています。
どんなデータを持っているか分からない
AI に「会員機能を作って」と指示して作ったシステムは、内部に氏名・メール・電話番号などを保持していても、それを一覧化したドキュメントが無いことが普通です。データベースの中身を直接確認しないと、何の個人情報を持っているか分からないのです。
不要なデータまで保持していることがある
AI は「念のため」として、要求されていない項目まで保存する設計を出すことがあります。たとえば、必要が無いのに生年月日や住所を保持しているケースです。マッピングの過程で「そもそもこの項目は本当に必要か」を見直すと、保持する個人情報そのものを減らせます。これは漏えい時のリスクを下げる、有効な対策です。
暗号化・削除の仕組みが無いことがある
「個人情報は暗号化して保存し、不要になったら削除する」という配慮は、明示的に指示しない限り、AI が自動で盛り込むとは限りません。マッピングの 9 列(暗号化)・10 列(保管期間・削除)を埋める過程で、これらの不備が浮かび上がります。
作った本人がいない
開発担当が退職していれば(本連載第 8 回)、システムの中身を知る人がいません。この場合、データベースの構造を直接読み解く、あるいは外部の支援を受けて中身を把握する、といった作業が必要になります。
更新を止めないための運用ルール
マッピングは、一度作って終わりではありません。システムは増減し、扱う個人情報も変わるため、更新され続けて初めて意味を持ちます。
更新のきっかけを決める
「新しいシステムを導入したとき」「個人情報の項目を追加したとき」「委託先を変えたとき」――こうした 更新のきっかけ(トリガー)を明確にし、その都度マッピングを直すルールにします。あわせて、最低でも年 1 回は全体を見直す定期レビューを設けます。
責任者を決める
更新を担う責任者を決めないと、マッピングはすぐに古くなります。情報システム部門、または個人情報保護の担当者を責任者とし、各部署が変更を報告する流れをつくります。
「最終確認日」を活用する
テンプレートの 12 列目「最終確認日」は、各行がどれだけ古いかを見える化します。確認日が古い行から優先的に見直すことで、現実的に更新を回せます。
中堅・中小企業が陥りやすい5つの失敗
1. 正式なシステムだけを対象にする
基幹システムは整理したものの、手元の表計算ファイルや現場のバイブコーディングツールを対象から外すケースです。漏えいは、こうした「見えていないところ」で起きやすいものです。
2. 完璧を目指して着手できない
全項目を完璧に埋めようとして、いつまでも始められないケースです。まず重要な 1 行を埋め、徐々に広げる進め方が現実的です。
3. 作って放置する
一度作ったきり更新せず、内容が現実と乖離するケースです。更新のきっかけと責任者を決め、定期レビューで鮮度を保ちます。
4. 件数を「正確に」出そうとして止まる
件数を 1 件単位で正確に出そうとして作業が止まるケースです。まずは概算で構いません。漏えい時に正確な件数を出すための 前提(どこに何があるか)を整えることが目的です。
5. 暗号化・保管期間の列を空けたままにする
所在と項目だけ埋めて、暗号化・保管期間を空欄にするケースです。これらは漏えい時の報告要否やリスク評価に直結するため、「未確認」と明記して後で必ず埋めます。
国内・国際の文脈:個情委・IPA・JIS Q 15001
個人情報マッピングの考え方は、国内の主要な枠組みでも前提とされています。
個人情報保護委員会のガイドライン
個人情報保護委員会は、個人情報の適正な取り扱いに関する ガイドライン(通則編など) と、漏えい等が起きた際の 報告・通知の解説 を公開しています(個人情報保護委員会)。自社が保有する個人情報を把握していることは、これらの義務を果たす大前提です。
IPA「中小企業の情報セキュリティ対策ガイドライン」
前述のとおり、IPA のガイドラインには 情報資産管理台帳 の Excel テンプレートが付属します(IPA: 中小企業の情報セキュリティ対策ガイドライン)。個人情報マッピングを、より広い情報資産の管理の一部として位置づけられます。
JIS Q 15001(プライバシーマークの基準)
JIS Q 15001 は、個人情報保護マネジメントシステムの日本産業規格で、プライバシーマーク制度の基準にもなっています。自社が保有する個人情報の特定(どこに何があるかの把握)は、このマネジメントシステムの出発点に位置づけられています(プライバシーマーク制度については JIPDEC を参照)。
よくある質問(FAQ 10問)
Q1. 個人情報マッピングは、専用ツールが必要でしょうか?
A. いいえ。まずは Excel 1 枚(1 つの表)から始められます。本記事の 12 列をベースに、最も重要なシステムの 1 行を埋めることから着手してください。専用ツールは、規模が大きくなってから検討すれば十分です。
Q2. 件数は正確に出さないといけないでしょうか?
A. マッピングの段階では概算で構いません。目的は、漏えい時に正確な件数を出すための「前提(どこに何があるか)」を整えることです。正確な件数は、有事に該当システムを調べて確定します。
Q3. 「72 時間以内に報告」と聞いたことがありますが、本当でしょうか?
A. 「72 時間」は欧州の GDPR の規定としてよく知られているもので、日本の個人情報保護法とは異なります。日本では、速報を速やかに(概ね 3〜5 日以内)、確報を 30 日以内(不正の目的によるおそれがある場合は 60 日以内)に行うのが基準です。
Q4. すべての漏えいを報告しなければならないのでしょうか?
A. すべてではありません。要配慮個人情報を含む、財産的被害のおそれがある、不正の目的による、1,000 人を超える――といった一定の事態に該当する場合に、報告・通知が義務付けられます。詳細は個人情報保護委員会のガイドラインを確認してください。
Q5. 暗号化していれば、漏えいしても報告は不要でしょうか?
A. 個人情報保護委員会の解説では、高度な暗号化その他、本人の権利利益を保護するために必要な措置を講じた個人データについては、報告が不要とされています。だからこそ、マッピングで暗号化の状況を把握しておくことが重要です。
Q6. バイブコーディングで作ったシステムの中身が分かりません。どうすればよいでしょうか?
A. データベースの構造を直接確認するのが基本です。開発者が退職していて社内に分かる人がいない場合は、外部の支援を受けて中身を把握する方法もあります。把握できた内容をマッピングに反映していきます。
Q7. 部署が多く、洗い出しが進みません。
A. 「個人情報を扱うシステム・ファイルを挙げてください」と各部署に依頼し、正式なシステムだけでなく手元の表計算ファイルや独自ツールも対象に含めるよう明確に伝えます。現場へのヒアリングが、見えないツールの発見につながります。
Q8. マッピングはどれくらいの頻度で更新すればよいでしょうか?
A. システム導入・項目追加・委託先変更といった「きっかけ」のたびに更新し、加えて最低年 1 回は全体を見直すのが目安です。各行の「最終確認日」を見て、古い行から優先的に確認します。
Q9. マッピングを作ると、何が一番変わりますか?
A. 漏えい時に「どこに・何の項目が・何件あるか」を即座に答えられるようになります。これにより、報告・通知・社内対応のすべてが速くなります。また、作る過程で不要な個人情報の保持や暗号化の不備が見つかり、平時のリスクも下げられます。
Q10. まず何から始めればよいでしょうか?
A. 最も重要な顧客データベースについて、本記事の 12 列を 1 行だけ埋めることから始めてください。1 行埋めれば必要な情報源が具体的に分かり、残りのシステムへ広げやすくなります。
参考一次ソース
- 個人情報保護委員会(公式)
- 個人情報保護委員会「漏えい等報告・本人への通知の義務化について」
- 個人情報保護委員会「漏えい等の対応とお役立ち資料」
- IPA「中小企業の情報セキュリティ対策ガイドライン」(情報資産管理台帳テンプレート付属)
- JIPDEC(プライバシーマーク制度・JIS Q 15001 関連)
- IPA「安全なウェブサイトの作り方」
まとめ
- 個人情報が漏えいしたとき、企業は「どの項目が・何件か」を含む 具体的な事実 の報告を求められます
- バイブコーディングで増えた小さなシステムや手元の表計算ファイルに、個人情報は 分散 しがちです
- 個人情報マッピングは、どのシステムに・どんな項目が・何件・どう守られているかを一覧化する作業で、Excel 1 枚から始められます
- 漏えい時の報告は 速報(概ね 3〜5 日)・確報(30 日/不正目的 60 日) が基準で、「72 時間」は欧州 GDPR の規定です。混同しないでください
- テンプレートの 12 列のうち、項目・要配慮の有無・件数・暗号化は、報告の要否と内容に直結します
- 棚卸しは 洗い出し(〜10 日)→ 記入(〜20 日)→ レビュー(〜30 日) の順が現実的で、まず重要な 1 行から始めます
- マッピングは 更新のきっかけと責任者を決め、年 1 回の見直しで鮮度を保ちます
「動くシステム」を作ることと、「個人情報をどこで・どう守るか」を把握することは別の課題です。Excel 1 枚の所在地図が、有事の対応速度と平時のリスク低減を、同時に支えます。
個人情報マッピングと漏えい対応の体制づくりを相談したい方へ
GXO の セキュリティ顧問(リテイナー)サービスでは、中堅企業向けに次のようなご相談を承っています。
- 個人情報マッピングの作成支援:全システム・ファイルの洗い出しと 12 列テンプレートの記入
- バイブコーディング DB の中身把握:開発者不在のシステムが保持する個人情報の調査
- 暗号化・保管期間の見直し:マッピングで見つかった不備への対応設計
- 漏えい時の対応フロー策定:速報・確報・本人通知に向けた社内手順の整備
- 不要な個人情報の削減:保持する個人情報そのものを減らすリスク低減
関連記事
- 第 1 回 バイブコーディング危機 概論 + 7 リスク類型
- 第 2 回 SQL Injection の現実 5 パターン
- 第 3 回 認可漏れの現実 5 シーン
- 第 4 回 サービス停止の財務影響:江崎グリコ 4 ヶ月の教訓
- 第 5 回 DELETE FROM データ消失 + AI が書かない 6 安全機構
- 第 6 回 ランサムウェアに気づかない 6 ヶ月
- 第 7 回 法令違反の罠:電子帳簿 + 特商法 + 改正個情法
- 第 8 回 退職者がブラックボックスを残す日
- 第 9 回 バックアップが動いてない、を発見する方法
- 第 10 回 MFA を「あとで入れる」と言って入れない
- 第 11 回 AI 生成コードのセキュリティスキャン手順(SAST / DAST / SCA)
著者: GXO株式会社 初回公開: 2026 年 6 月 11 日 最終更新: 2026 年 6 月 11 日 連載: バイブコーディング危機 第 22 回(全 30 回予定 / 第 5 週・防衛策の実装編)