個人情報漏えい・誤送信の72時間対応｜APPI第26条 報告義務4類型・速報3〜5日・確報30日の実務

「お客様の個人情報を含むメールを誤送信してしまった」「社員のPCがマルウェア感染し、顧客リストの流出が疑われる」「委託先のクラウド設定ミスで、外部から個人データが閲覧できる状態になっていた」——個人情報の漏えい・滅失・毀損は、どれだけ予防策を講じても発生確率をゼロにできない経営リスクです。「起きたときの初動72時間」で、その後の損害規模・行政処分・レピュテーションがほぼ決まります。

このページでは、約120社の顧問契約を担当する弁護士法人ブライトが、APPI（個人情報保護法）第26条の漏えい等報告義務、個人情報保護委員会への速報・確報の期限と内容、本人通知の要否判断、そして社内対応の72時間タイムラインを、中堅・中小企業の経営者・法務担当者・情報システム部の目線で解説します。

漏えい等の対応は、「報告義務の有無を判断する」「期限内に報告する」「本人通知する」「再発防止策を策定・実施する」の4つを並行で進める時間との戦いです。事前に対応フローを準備していないと、初動が遅れて法令違反・損害拡大の連鎖を招きます。

この記事でわかること

• APPI第26条 漏えい等報告義務が生じる4類型
• 個人情報保護委員会への速報（おおむね3〜5日以内）・確報（30日／60日以内）の期限と内容
• 本人通知の要否判断と通知方法（個別通知・代替措置）
• 誤送信・不正アクセス・委託先事故 など発生原因別の初動チェックリスト
• 社内対応の72時間タイムラインと役割分担

この記事のポイント

• 報告義務の有無は「漏えい等」の発生または「発生のおそれ」を把握した時点で判断
• 速報期限は「概ね3〜5日以内」、確報期限は原則30日・不正目的事案は60日
• 本人通知は原則必須、ただし困難な場合は代替措置（公表＋問合せ窓口）で代用可

この記事の監修者

和氣 良浩（わけ よしひろ）

弁護士法人ブライト｜代表弁護士／パートナー弁護士

弁護士歴20年（2006年登録）／大阪弁護士会／大阪大学法学部卒

専門：顧問弁護士・企業法務・M&A・経営権紛争・事業再生

APPI第26条 報告義務が生じる4類型

条文と施行規則の構造

個人情報保護法（APPI）第26条第1項は、個人データの漏えい・滅失・毀損その他の事態が発生した場合、個人情報保護委員会への報告義務を課しています。この義務は、施行規則第7条で具体化された4類型のいずれかに該当する場合に発生します。

• 類型1：要配慮個人情報の漏えい等（病歴・障害・犯罪歴・人種・信条等）
• 類型2：財産的被害が発生するおそれがある漏えい等（クレジットカード番号・口座番号・パスワード等）
• 類型3：不正アクセス等の不正な目的による漏えい等（外部からのサイバー攻撃・内部不正による持ち出し等）
• 類型4：1,000人を超える本人に係る漏えい等

これら4類型のいずれかに該当する場合、報告義務が発生します。「件数が少なければ報告不要」というのは類型4のみに当てはまる話で、要配慮個人情報・財産的被害・不正目的の事案は1件でも報告対象です。

「漏えい等」と「漏えいのおそれ」

報告義務は、「漏えい等が発生」した場合だけでなく、「発生したおそれがある」場合にも生じます。例えば、ノートPCを紛失したが情報がパスワードで保護されている場合、即座に「漏えい等」と確定はしませんが、「発生したおそれ」として報告対象になり得ます。

「おそれ」の判断は事案ごとですが、「合理的に発生していないと判断できる根拠が示せない場合は報告対象として扱う」のが実務上の安全策です。

除外要件

報告義務が免除されるのは、「高度な暗号化等の技術的措置により、個人データの漏えいによる影響が現実的にない」と評価できる場合に限られます。施行規則・ガイドラインで具体的な水準が示されており、軽微な暗号化や形式的なパスワード設定では除外されません。

個人情報保護委員会への報告：速報と確報

速報の期限と内容

漏えい等またはそのおそれを把握したら、速報を「おおむね3〜5日以内」に個人情報保護委員会へ提出します。速報は、把握できている範囲で最低限の情報を提出すれば足り、後続の確報で詳細を補う構造です。

速報で求められる主な記載項目：

• 事業者の概要（名称・代表者・連絡先）
• 漏えい等の発生概要（発生日時・覚知日時）
• 原因（推定原因を含む）
• 個人データの項目（氏名・住所・電話番号・メールアドレス等の特定）
• 本人の数（推定値）
• 二次被害・三次被害発生の有無
• これまでに講じた対応

確報の期限と内容

確報は、原則として把握から30日以内に提出します。ただし、不正アクセス等の不正な目的による漏えい等（類型3）は60日以内です。確報では、原因の特定・影響範囲の確定・再発防止策まで含めた詳細な報告が求められます。

確報の主要記載項目：

• 速報項目の確定値（本人数・項目・原因の確定）
• 本人通知の状況
• 本人への対応（謝罪・補償等）
• 再発防止策（組織的・人的・物理的・技術的安全管理措置の見直し）
• 公表の有無と方法

提出方法

個人情報保護委員会への報告は、原則として同委員会が運営する報告フォームから提出します。各種認証付き個人事業主・特定の業種は所管省庁経由となる場合があり、医療・金融・通信等は業界別ガイドラインの確認が必要です。

本人通知の要否判断

原則：本人通知が必要

APPI第26条第2項は、漏えい等報告対象事態が発生した場合、速やかに本人への通知を行うことを義務付けています。本人通知は、本人が二次被害を防ぐ行動（パスワード変更・カード利用停止等）を取るために必須の措置です。

本人通知の方法

個別通知が原則ですが、状況に応じて以下の方法を選択します。

• 個別通知（メール・郵送）：原則。本人が確認できる連絡先がある場合の標準
• 電話通知：緊急性が高い場合。記録性の確保が必要
• 代替措置：本人連絡先が不明・通知が著しく困難な場合に限り、ウェブサイトでの公表＋問合せ窓口の設置で代用可

通知文に記載する内容

• 漏えい等の事実関係（発生日時・原因・対象項目）
• 本人に生じうる影響
• 講じた対応・再発防止策
• 本人が取るべき行動（パスワード変更・カード利用停止等の助言）
• 問合せ窓口（電話・メール・受付時間）
• 謝罪

通知文の文面は、過度に技術的にならず、本人が即座に行動できるレベルに具体化することが重要です。法令義務を超えて、本人に対する説明責任の履行であるという視点で文面設計します。

原因別の初動チェックリスト

誤送信（メール・FAX・郵送）

• 送信先の特定（誰に・何件届いたか）
• 送信先への事情説明と削除・返送の依頼
• 送信先からの削除・返送完了報告の取得
• 取得できた場合の「漏えいのおそれ」評価の見直し
• 本人通知の判断と実施
• 再発防止策の策定（送信前確認フロー・自動チェックツールの導入）

誤送信は発生原因の中で最頻出ですが、送信先の協力で「実質的に閲覧されていない」と評価できる場合は報告免除の判断余地があります。送信先からの削除完了報告書の取得が、その評価の鍵です。

不正アクセス・サイバー攻撃

• 該当システムのネットワーク隔離・サービス停止判断
• フォレンジック調査の即時依頼（外部専門業者）
• 侵入経路・取得データ範囲の特定
• 関係省庁・JPCERT/CC等への情報共有判断
• 他のシステムへの横展開の有無確認
• 類型3（不正目的）として確報期限60日への切替

不正アクセス事案は、フォレンジック調査の専門業者を即時にアサインできるかが復旧スピードを決めます。顧問弁護士＋セキュリティ専門ベンダーとの平時連携が事前に整っていることが望まれます。

委託先・クラウド事業者からの漏えい

• 委託先からの第一報の確認と継続的な情報取得
• 委託契約上の通知義務・協力義務の履行確認
• 委託元（自社）としての報告義務の判断（自社が報告主体）
• 委託先の対応に依存せず、独立して期限内に報告
• 委託先への原因究明・再発防止の要求
• 必要に応じて委託先への損害賠償請求の準備

委託先で発生した漏えいでも、APPI上の報告義務主体は委託元です。委託先からの情報提供が遅れたとしても、自社の報告期限が延びるわけではありません。委託契約での通知期限・協力義務の整備が事前対策の中心になります（委託先管理 APPI第25条 参照）。

内部不正・退職者による持ち出し

• 当該従業員のアクセス権限の即時停止
• PC・社用端末・社内システムのログ保全
• 関係者ヒアリングと事実関係の文書化
• 不正競争防止法に基づく差止仮処分・損害賠償の検討
• 類型3（不正目的）としての報告
• 刑事告訴の判断

内部不正事案は、APPI報告に加えて営業秘密侵害（不正競争防止法）の論点が並行します。詳細は 退職時のPC・ノウハウ流出対応 も参照してください。

72時間タイムラインと社内役割分担

0〜6時間：覚知と初動指揮

• 覚知時刻の記録（後の期限計算の起点）
• 緊急対策本部の招集（経営層・情シス・法務・広報）
• 顧問弁護士への連絡
• 事実関係の暫定把握と影響範囲の仮特定
• 被害拡大防止措置（システム停止・アクセス遮断）

6〜24時間：事実調査と方針決定

• 関係者ヒアリングと証拠保全
• 原因の絞り込み（仮説立案と検証）
• 個人情報保護委員会への報告義務該当性の判断
• 本人通知の要否・方法・タイミングの判断
• 外部公表の要否判断（社告・プレスリリース）
• 取締役会・経営会議への報告

24〜72時間：報告・通知の実行

• 個人情報保護委員会への速報提出（3〜5日以内が期限）
• 本人通知文の作成・確認・送付
• 問合せ窓口の設置と運用開始
• 外部公表（必要な場合）
• 関係省庁・取引先・主要顧客への個別連絡
• 確報に向けた追加調査の継続

役割分担の標準形

• 経営層：方針判断・対外発信・最終承認
• 情報システム部：技術的調査・被害拡大防止・ログ保全
• 法務・コンプライアンス：報告義務判断・通知文作成・行政対応
• 広報：プレスリリース・問合せ対応・メディア対応
• 顧客対応：本人通知の発信・問合せ窓口運用
• 顧問弁護士：法的助言・行政との折衝・損害賠償対応

顧問弁護士による漏えい対応支援

漏えい対応は、「平時の整備」と「有事の即応」の両輪で機能します。発生してから外部弁護士を探すと、初動24時間を逃して法令違反・損害拡大を招くリスクが高まります。

弁護士法人ブライトの顧問契約では、平時の整備と有事の即応を一体で提供しています。

• 漏えい対応マニュアル・通知文テンプレートの整備
• 緊急対策本部の運用設計・図上演習の実施
• セキュリティ専門ベンダーとの連携体制構築
• 漏えい発生時の24時間以内対応（報告書作成・通知文レビュー・行政対応）
• 委託先で発生した漏えいへの対応支援（委託先管理 APPI第25条 参照）
• 内部不正事案での損害賠償・刑事告訴の実行

まとめ

個人情報の漏えい等対応は、APPI第26条の報告義務を起点に、本人通知・社内対応・再発防止策の4つを並行で進める「時間との戦い」です。報告対象4類型・速報期限3〜5日・確報期限30日（または60日）・本人通知の原則の理解が、対応品質を分けます。

平時に対応マニュアル・通知文テンプレート・社内役割分担・外部専門家との連携体制を整えておくことで、有事の初動24時間で間違わずに動ける組織が作れます。整備状況に不安がある場合は、顧問弁護士関与で一度の整備フェーズを通すことをお勧めします。プライバシーポリシー・委託先管理・目的外利用の各論点と併せて、本シリーズの他記事も併せてご参照ください。