関係当局との連絡マニュアル

1. 目的

本マニュアルは、情報セキュリティインシデント発生後に行う影響度評価を経て、関係当局への通報が必要かどうかを判断するための基準と対応手順を示す。

このマニュアルは、通報要否の検討段階以降に参照するものであり、通報が必要と判断された場合には、関係者との連携体制の確立・文書作成・提出までの流れを規定する。

---

2. 適用範囲

このマニュアルは、以下の状況において適用される：

• 社内でセキュリティインシデントが発生

• 影響度評価まで完了している（例：漏えい件数、対象情報、外部拡散の有無）

• 「通報義務があるかどうか」の判断が必要な場合

※ 本マニュアルは委託元や顧客への報告対応には適用しない。

---

3. 主な関係者と役割

役割	主な行動
ISMS事務局	判断プロセスの主導、法的義務の整理、対応記録管理
顧問弁護士／法務	通報義務の法的評価、当局対応助言
経営層（CEO等）	重大インシデント時の最終判断・責任者対応
インシデント関連部門	ヒアリング協力、記録提供

---

4. 判断までの流れ（位置づけ）

このマニュアルは、次のプロセスの中の**「ステップ7〜8」**に位置づけられる：

1. 社内通報
2. 初動確認
3. 調査チーム編成
4. ヒアリング・記録
5. 影響評価　←★
6. 重大性判定　←★
7. 法的義務チェック　←このマニュアル参照
8. 通報方針決定　　　←このマニュアル参照
9. 対応記録・報告

---

5. 通報要否の判断手順

ステップ1：判断基準に基づくスクリーニング

以下のいずれかに該当する場合は、「通報義務の可能性あり」として次ステップに進む：

• 個人情報または特定個人情報の漏えい・滅失・改ざんが発生

• 顧客・従業員等の外部関係者に不利益が及ぶ可能性がある

• 第三者による不正アクセス・攻撃・閲覧・取得があった

• ファイル共有、誤送信等により情報が意図せず外部へ届いた可能性がある

• クレームや外部からの問い合わせ・通報が発生している

---

ステップ2：関係法令に基づく確認（法令チェック）

法令・ガイドライン	概要	通報先
個人情報保護法（PPC）	個人情報の漏えい等が発生し、本人に被害が及ぶ可能性がある場合は、72時間以内の報告が必要	PPC
マイナンバー法	特定個人情報の漏えい等が発生した場合、報告義務あり	PPC（特定個人情報）
サイバーセキュリティ基本法／警察法など	サイバー攻撃・不正アクセス等において、必要に応じてJPCERTや警察への相談が推奨される	IPA、JPCERT、所轄警察署

---

ステップ3：判断に迷う場合の対応

• 判断に迷う場合（例：件数が少ないが再流出懸念あり 等）は、速やかに法務または顧問弁護士に相談する。

• Slackや口頭での相談でもよいが、必ず概要・関係者・対象ファイルなどの記録を残すこと。

---

6. 通報方針の決定

通報が必要と判断された場合は、以下を確定する：

項目	内容
通報先	PPC、IPA、警察、JPCERT等
通報内容	事案概要、被害範囲、再発防止策、ログ等
提出期限	PPCの場合は72時間以内が原則
通報責任者	ISMS事務局長または代表取締役
社内共有	経営層・関係部門・監査役等に展開する場合あり

判断記録と提出記録は「ISMS/記録様式・台帳/通報判断」に保存。

---

7. 注意事項

• Slackやチャットでの通報可否の議論も含め、すべてのやりとりを記録に残すこと

• 通報不要と判断した場合でも、その理由と協議者名を記録に残すこと

• 社外説明（顧客・メディア等）との連携が必要な場合は、別途経営判断のもと広報を調整する

---

改訂履歴

改定日	版	改定内容	承認
2025-08-01	-	初版作成（影響評価後の判断マニュアル。改訂者: ISMS事務局補佐）	-
2026-06-10	1.0	GitHubリポジトリ（airs/isms）へ移行（改訂履歴の列構成を標準（改定日/版/改定内容/承認）に変更。旧表の版数「Ver. 1.0」・改訂者は改定内容欄に転記）	加藤匡邦