対応体制
営業時間外
千葉県で情報漏洩対策に強い弁護士・法律事務所一覧
営業時間外
ただいま営業中 08:00 - 26:00
ただいま営業中 00:00 - 23:59
ただいま営業中 00:00 - 23:59
ただいま営業中 00:00 - 23:59
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
営業時間外
情報漏えいは、大企業だけの問題ではありません。個人情報保護委員会が受け付けた民間事業者からの漏えい等報告は19,056件にのぼり、そのうち漏えい等した人数が1,000人以下の事案が88.3%を占めています。顧客名簿や従業員情報を扱う企業であれば、規模を問わず備えが必要です。
| 民間事業者の漏えい等報告 | 件数・割合 |
|---|---|
| 報告件数 | 19,056件 |
| 漏えい等した人数が1,000人以下の事案 | 88.3% |
警察庁が把握したランサムウェア被害でも、中小企業が約6割を占めています。復旧に1,000万円以上を要した組織が半数を超え、1か月未満で復旧できた組織は5割強にとどまりました。データを暗号化するだけでなく、窃取した情報の公開をほのめかして金銭を要求する手口も確認されています。
千葉県警察は、県内の中小企業支援機関や大学、民間企業とサイバーセキュリティパートナーシップを構築しています。県内企業にとっても、情報漏えい対策は情報システム部門だけで完結する課題ではなく、経営、法務、広報を含めて準備すべき問題です。
出典:個人情報保護委員会|令和6年度年次報告・警察庁|令和7年におけるサイバー空間をめぐる脅威の情勢等について・千葉県警察|サイバーセキュリティパートナーシップ
近年の情報漏えい対応では、攻撃を防ぐ対策だけでなく、発覚後に事実を確認し、期限内に報告できる体制まで問われます。
2025年10月1日以降、ランサムウェアによって個人データが漏えいした場合や、そのおそれがある場合には、政府共通の様式を使って報告できるようになりました。
もっとも、報告様式が共通化されても、報告義務の有無や本人通知の要否を企業側で判断しなければならない点は変わりません。攻撃の痕跡が残っている段階から、IT事業者と弁護士を交えて対応したほうが判断しやすくなります。
生成AIに顧客情報、取引先の未公開資料、社内の人事情報などを入力すると、利用規約やサービスの設定によっては、第三者提供や安全管理措置の問題が生じます。
生成AIを一律に禁止するだけでは、私物アカウントなどを使った無断利用を把握しにくくなります。入力してよい情報の範囲、会社指定のサービス、承認手続、ログの確認方法を社内規程に落とし込むことが現実的です。
出典:個人情報保護委員会|生成AIサービスの利用に関する注意喚起等について
感染端末のメールやファイルを慌てて削除すると、侵入経路や漏えい範囲を調査する手掛かりまで失うおそれがあります。IPAは、ランサムウェアや内部不正への初動として、端末をネットワークから切り離し、メールやファイルを削除せず、証拠を保全する対応を示しています。
誰が端末を操作するか、社内のどこへ報告するか、外部の専門家へいつ連絡するかまで平時に決めておく必要があります。
発覚直後は、原因を断定するよりも、被害の拡大防止と証拠保全を優先します。担当者だけで処理せず、経営責任者、情報システム、法務、広報を含む対応チームを立ち上げてください。
報告対象か判断できないまま時間が経過すると、速報期限への対応が難しくなります。被害範囲が分からない段階でも、弁護士へ相談して法的な論点だけ先に整理することは可能です。
出典:個人情報保護委員会|漏えい等の対応とお役立ち資料・情報処理推進機構|中小企業のためのセキュリティインシデント対応の手引き
外部へのデータ送信が確認できなくても、漏えいの「おそれ」として報告対象になることがあります。フォレンジック調査を担当するIT事業者と弁護士が連携すれば、技術調査の結果を報告書や本人通知へ反映しやすくなります。
送信先、公開期間、閲覧記録、含まれていた情報を調べ、個人情報保護委員会への報告や本人通知が必要かを判断します。取引先から預かった情報が含まれる場合は、委託契約に定められた連絡義務も確認が必要です。
顧客名簿や技術情報を持ち出された場合は、アクセスログ、メール、USBメモリの利用記録などを保全します。情報が不正競争防止法上の営業秘密に当たるときは、使用や開示の差止め、損害賠償請求を検討できる場合があります。
委託先で事故が起きても、自社が取り扱う個人データについて説明や報告を求められることがあります。契約書を確認し、調査への協力、費用負担、顧客対応、再発防止策を協議します。
漏えいが起きた事実だけで賠償範囲が決まるわけではありません。原因、企業が講じていた安全管理措置、二次被害の内容、事故後の対応を分けて検討し、回答書や交渉方針を整えます。
出典:e-Gov法令検索|個人情報の保護に関する法律・e-Gov法令検索|不正競争防止法・e-Gov法令検索|民法
情報漏えい対応では、法務だけでなく技術調査や広報対応も必要です。フォレンジック事業者やセキュリティ会社と連携できる弁護士であれば、調査と法的判断を並行して進めやすくなります。
出典:個人情報保護委員会|個人情報の保護に関する法律についてのガイドライン(通則編)・情報処理推進機構|組織における内部不正防止ガイドライン
事務所の所在地だけで選ぶ必要はありません。事故発生時はオンライン会議やデータ共有を使う場面も多いため、千葉県内の拠点の有無に加え、連絡の速さと対応体制を比べることが大切です。
弁護士費用は、漏えいの規模よりも、依頼する作業の範囲によって大きく変わります。相談だけで終わる場合と、調査会社との連携、行政報告、本人通知、記者発表、損害賠償交渉まで依頼する場合では必要な工数が異なるためです。
見積りを依頼するときは、次の費用が含まれているか確認してください。
フォレンジック調査費用は、通常、弁護士費用とは別に発生します。相談前に、事故の概要、対象システム、情報の種類、想定人数、希望する対応範囲をまとめておくと、見積りの条件をそろえて比較できます。
すべての事案が法定報告の対象になるわけではありません。要配慮個人情報が含まれる場合、財産的被害が生じるおそれがある場合、不正な目的による漏えいが発生した場合、1,000人を超える漏えいが発生した場合などが報告対象です。
ただし、対象外と判断した根拠は記録しておく必要があります。判断に迷う場合は、速報期限を意識して早めに弁護士へ相談してください。
出典:個人情報保護委員会|漏えい等報告・本人への通知の義務化について
自己判断で初期化したり、メールやファイルを削除したりするのは避けてください。IPAは、ランサムウェア被害の初動例として、端末をネットワークから切り離し、メールやファイルを削除せず、端末の電源を切らない対応を示しています。実際の操作は、自社の情報システム担当者や調査会社の指示に従います。
まず、アカウントの停止とアクセスログの保全を行います。持ち出された情報が営業秘密に当たる場合は、不正競争防止法に基づく使用・開示の差止めや損害賠償請求を検討できることがあります。刑事告訴を検討する場合も、端末やログを消さずに証拠を残すことが欠かせません。
出典:e-Gov法令検索|不正競争防止法・情報処理推進機構|組織における内部不正防止ガイドライン
入力した情報やサービスの利用条件によっては問題になります。個人データを含むプロンプトがサービス提供者に取り扱われる場合、本人の同意なく行う第三者提供に当たらないかを確認しなければなりません。学習利用の有無、保存期間、管理者によるログ確認、国外移転なども確認対象です。
出典:個人情報保護委員会|生成AIサービスの利用に関する注意喚起等について
相談できます。事故発生時の連絡網、個人情報保護委員会への報告手順、本人通知のひな型、委託先との契約、退職者のアクセス権限、生成AIの利用規程などを事前に確認しておけば、発覚後の迷いを減らせます。顧問契約を検討する場合は、緊急時の対応範囲も契約前に確認してください。
不正アクセスやランサムウェアなど犯罪の可能性がある場合は、千葉県警察の相談窓口や最寄りの警察署へ相談できます。技術的な初動については、IPAの情報セキュリティ相談窓口も案内されています。
弁護士を自社で探せない場合は、千葉県弁護士会の法律相談を利用できます。同会では、中小企業の経営者を対象とした「ひまわりほっとダイヤル」も案内しています。すでに漏えいが発覚しているときは、予約時に緊急性と報告期限があることを伝えてください。