本文へスキップ
株式会社オブライト
Business DX2026-07-13

情報漏えいが起きたら最初の24時間に何をするか — 中小企業の初動ガイド

情報漏えいに気づいてから最初の24時間、中小企業は何をすべきか。隠さない・広げない・記録するという初動の原則とチェックリスト、やってはいけないことを中立的に整理する。


情報漏えいへの初動対応とは、被害の発生に気づいてから最初の24時間程度の間に、被害の拡大を防ぎ、必要な連絡や記録を行うための一連の動きを指す。中小企業では専門部署がないことも多く、いざというときに何から手をつければよいか分からないという声は少なくない。本稿では、初動対応の基本原則と、最初の24時間で確認すべき項目を整理する。

背景

情報漏えいは、外部からの不正アクセスだけでなく、メールの誤送信や設備の紛失、委託先経由の事故など、様々な経路で発生し得る。原因や規模にかかわらず、発覚直後の対応の巧拙が、その後の被害の広がりや取引先・顧客からの信頼回復のしやすさに影響すると考えられている。あらかじめ初動の流れを把握しておくことは、実際に事故が起きた際の混乱を減らすことにつながる。

初動対応の3原則

情報漏えいの初動対応では、一般に次の3つが原則とされる。第一に「隠さない」こと。事実を隠したり過小に扱ったりすると、後になって発覚した際の信頼低下がより大きくなる傾向がある。第二に「広げない」こと。被害が疑われるシステムやアカウントを速やかに切り離し、被害範囲がそれ以上拡大しないようにする。第三に「記録する」こと。いつ、誰が、何に気づき、どう対応したかを時系列で記録しておくことは、後の報告や再発防止の検討に不可欠になる。

リスクの構造 なぜ初動が重要なのか

情報漏えいの被害は、発覚直後の対応次第で範囲が変わり得る。たとえば、不正アクセスに気づいてからネットワークを遮断するまでの時間が長引けば、その分だけ被害が拡大する可能性がある。また、対外的な説明が後手に回ると、取引先や顧客からの信頼低下、風評面での影響が長引くことにもつながりかねない。初動の遅れは、技術的な被害だけでなく、事業継続や取引関係にも波及するリスクを持つ。

最初の24時間チェックリスト

以下は、情報漏えいの疑いに気づいた際、最初の24時間を目安に確認・実施したい項目の例である。実際の対応は事案の内容や規模によって異なるため、あくまで一般的な流れとして参考にしていただきたい。

- 被害範囲の特定: どのシステム・データ・関係者が影響を受けた可能性があるかを確認する
- 被害の拡大防止: 疑わしいアカウントの無効化、該当システムのネットワーク遮断などを検討する
- パスワードの変更: 影響を受けた可能性があるアカウントのパスワードを速やかに変更する
- 社内の情報共有: 経営層・関係部署に事実関係を共有し、対応体制を決める
- 専門機関・警察相談窓口への相談: 状況に応じて警察のサイバー犯罪相談窓口や外部の専門家に相談する
- 取引先への一報: 影響が及ぶ可能性がある取引先には、判明している範囲で早めに一報を入れる
- 記録の作成: 気づいた時刻、対応内容、判断の根拠を時系列で記録する

個人情報が関係する場合の報告義務について

漏えいした情報に個人情報が含まれる場合、個人情報保護法に基づき、一定の要件を満たす事案では個人情報保護委員会への報告や本人への通知が義務付けられている場合がある。報告が必要となる要件や期限、対象となる情報の範囲は事案によって異なるため、判断に迷う場合は自己判断せず、個人情報保護委員会の公式サイトや弁護士など専門家に早めに確認することを強く推奨する。

やってはいけないこと

初動対応では、良かれと思った行動が状況を悪化させることもある。証拠となり得るログやファイルを安易に削除・上書きしてしまうと、後の原因調査が難しくなる。また、事実関係が固まる前に断定的な発表を行うと、後の訂正が新たな信頼低下を招くこともある。担当者個人の判断だけで対外対応を進めるのではなく、社内の意思決定ラインを明確にしておくことも重要である。

- 証拠になり得るログ・端末・ファイルを削除、初期化する
- 事実関係が固まる前に対外的な断定発表をする
- 個人の判断だけで公表や関係者対応を進める
- 大したことはないと自己判断し、確認や相談を先送りする

平時の備え

初動対応をスムーズに行うためには、平時からの備えが土台になる。誰が第一報を受け、誰が意思決定するかという連絡体制をあらかじめ決めておく、警察や専門家の相談窓口の連絡先を控えておく、ログを一定期間保存する設定にしておくといった準備は、いずれも大きな投資を伴わずに進められる。

対策マップ 平時と発生後

段階やるべきこと目的
平時連絡体制・相談窓口の整理発生時の初動を早める
平時ログの保存設定確認原因調査を可能にする
発生直後被害範囲の特定・拡大防止被害の最小化
発生直後記録の作成報告・再発防止の根拠
発生後数日専門機関・関係者への報告要否の確認法的義務への対応

よくある質問

情報漏えいに気づいたら、まず誰に連絡すればよいですか?

一般的には社内の責任者への報告が最初の一歩とされる。その上で、状況に応じて警察のサイバー犯罪相談窓口や外部のセキュリティ専門家、顧問弁護士などへの相談を検討したい。個人情報が関係する可能性がある場合は、個人情報保護委員会への確認も選択肢に入る。

小規模な会社でも報告義務は発生しますか?

事業規模にかかわらず、個人情報保護法上の要件を満たせば報告義務が生じ得ると理解しておくのが安全である。ただし要件の詳細は事案ごとに異なるため、自己判断せず個人情報保護委員会の公式情報や専門家に確認することを推奨する。

取引先への一報はどのタイミングで行うべきですか?

事実関係を精査してから一報するのが理想だが、判明までに時間がかかる場合は、分かっている範囲の情報と調査中である旨を早めに伝える方が、後の信頼への影響が小さいとされることが多い。具体的な判断は事案の内容によるため、専門家に相談しながら進めることが望ましい。

まとめ

情報漏えいの初動対応は、隠さない・広げない・記録するという3原則を軸に、最初の24時間でやるべきことを事前に把握しておくことが土台になる。個人情報が関わる場合の報告義務など、法的な判断が必要な場面では自己判断せず、個人情報保護委員会や弁護士など専門機関への確認を優先したい。中小企業のITリスク対策全般については中小企業のITリスク対策ガイド、被害発生の主な原因の一つであるランサムウェアについては中小企業のためのランサムウェア対策基礎、事後対応にかかる費用の備えについては中小企業のためのサイバー保険基礎もあわせて参考にしていただきたい。

お気軽にご相談ください

お問い合わせ