「委託先で、情報が漏れたかもしれません」——外部のエンジニアや業務委託先からこの一報が入った瞬間、発注者であるあなたの頭の中には複数の疑問が同時に押し寄せます。技術的な復旧は委託先がやってくれるはずだが、自分は何をすればいいのか。自社にも法的な義務があるのか。そもそも、誰に何を確認すれば状況を判断できるのか。
業務委託やフリーランスへの委託が当たり前になった一方で、「委託先で漏洩が起きたとき、発注者として何をすべきか」を体系的に整理できている中堅・中小企業は多くありません。社内に情報セキュリティ専任も法務専任もいない状況では、いざというときに動けず、対応の遅れがそのまま被害と法的責任の拡大につながってしまいます。
特に厄介なのが、「委託先に任せきりでよいのか」という判断です。技術対応は委託先に委ねるとしても、個人情報保護法の世界では、委託元(発注者)にも独自の報告義務が課されることがあります。これを知らずに「漏れたのは委託先だから自社は関係ない」と動かずにいると、発注者自身が法令違反に問われかねません。
この記事では、業務委託先やフリーランスエンジニアで情報漏洩が発生したときに、発注者が取るべき対応を「一報を受けた直後から収束まで」の時系列で解説します。委託先にやらせること/発注者が自ら判断すべきことを切り分け、個人情報保護委員会への報告義務の有無や期限、本人への通知の要否までを、法務専任がいなくても判断できる形でまとめました。
なお、本記事は「漏洩が発生した後」の対応に集中します。漏洩を未然に防ぐための契約設計・アクセス権管理・技術的予防策については、別の機会に整理した内容に譲り、ここでは「起きてしまったとき、どう動くか」だけを深掘りします。
業務委託先の情報漏洩で発注者が最初に直面する判断
委託先からの一報を受けたとき、発注者は大きく3つの混乱に直面します。
1つ目は、役割分担の混乱です。サーバーの隔離やログの解析、原因究明といった技術的な対応は、当然ながら実際にシステムを触っている委託先が担います。では発注者である自分は、ただ報告を待っていればよいのか。それとも、何か主体的に動くべきことがあるのか——この線引きが見えていません。
2つ目は、法的義務の混乱です。情報漏洩には個人情報保護法上の報告義務がある、という話はなんとなく知っている。しかし、漏れたのは自社のサーバーではなく委託先の環境です。それでも自社に報告義務が及ぶのか。委託先が報告してくれれば自社は何もしなくてよいのか。この点を誤解すると、発注者自身が義務を怠ったと評価されるおそれがあります。
3つ目は、確認先の混乱です。状況を判断するには情報が要るのに、誰に何を聞けば必要な事実が揃うのかが分からない。委託先に「どうなっていますか」と漠然と尋ねても、断片的な答えしか返ってこず、社内の経営層や顧客に説明できる材料が集まりません。
結論を先に述べます。委託先で漏洩が起きても、発注者には「任せきりにできない固有の役割」があります。 技術対応こそ委託先が担いますが、監督・意思決定・法令対応・委託先への確認は発注者の仕事です。この役割を理解して動けるかどうかで、初動の質が大きく変わります。以降では、その役割を時系列の手順に落として解説していきます。
情報漏洩インシデント対応の全体像|発注者の役割を時系列で把握する
個別の手順に入る前に、まず全体像をつかんでおきましょう。情報セキュリティのインシデント対応は、独立行政法人情報処理推進機構(IPA)が公開する手引きなどでも、おおむね「発見・報告 → 初動対応(封じ込め・証拠保全)→ 調査 → 報告 → 復旧 → 再発防止」という流れで整理されています(IPA「中小企業のためのセキュリティインシデント対応の手引き」)。
ただし、これらの一般的なフレームは「自社のシステムで漏洩が起きた」ケースを前提にしています。委託先で起きた場合は、各フェーズで「委託先がやること」と「発注者がやること」を分けて考える必要があります。発注者の役割は、技術作業そのものではなく、その周囲にある監督・判断・対外対応に集中します。
フェーズ | 委託先(実行者)がやること | 発注者(あなた)がやること |
|---|---|---|
発見・一報 | 異常の検知、発注者への速やかな報告 | 一報の受領、記録の開始、確認すべき事項の洗い出し |
初動・封じ込め | ネットワーク遮断・隔離、証拠保全、被害拡大の停止 | 封じ込めと証拠保全を「正しく」行うよう指示・確認、社内体制の立ち上げ |
調査 | 漏洩範囲・件数・原因の特定、フォレンジック | 調査結果を発注者目線で確認、不足情報の追加要求 |
報告 | 委託先としての報告義務への対応(または委託元への通知) | 自社の報告義務の判定、個人情報保護委員会への報告・本人通知 |
復旧 | システムの復旧、脆弱性の修正 | 復旧計画の承認、顧客・関係者への説明 |
再発防止 | 技術的な再発防止策の実施 | 再発防止策の確認、契約・監督体制の見直し |
この表からわかるように、発注者の役割は「技術を理解して手を動かすこと」ではありません。正しい手順を委託先に踏ませ、自社が果たすべき法的義務を判断し、対外的な責任を引き受けることです。この前提を持ったうえで、次の章から各フェーズを具体的に見ていきます。
一報を受けてからの初動対応(最初の数時間〜数日)
発覚直後の数時間から数日が、インシデント対応の質を大きく左右します。この段階で発注者がやるべきことは、大きく「委託先への封じ込め・証拠保全の指示」「委託先への事実確認」「社内体制の立ち上げ」の3つです。
委託先に封じ込めと証拠保全を指示する
技術的な封じ込めや証拠保全は委託先が実行しますが、発注者からも「正しいやり方で行うこと」を明確に伝えておく必要があります。担当者が慌てて誤った操作をすると、被害が拡大したり、後の原因究明に必要な証拠が失われたりするためです。
特に伝えておきたいのは次の点です。
- 被害拡大の停止を最優先にする: 不正アクセスが疑われる場合は、該当サーバーや端末をネットワークから切り離し、攻撃者のアクセス経路を断つ。
- 安易に電源を切らない・初期化しない: 慌てて電源を落としたり再インストールしたりすると、メモリ上の情報やログが消え、原因究明が困難になります。隔離は「ネットワークからの切り離し」を基本とし、端末そのものの処置は証拠保全とセットで判断する。
- ログ・証拠を保全する: アクセスログ、通信記録、改ざんされたファイルなどを、後から調査・報告に使えるよう保存しておく。
- 専門的な調査(フォレンジック)の要否を判断する: 不正アクセスや内部不正の疑いが強い場合は、委託先だけで判断せず、外部の専門業者によるフォレンジック調査を検討する。
発注者がこれらをすべて自分で実行できる必要はありません。重要なのは、「証拠を消さない」「被害を止める」という原則を委託先と共有し、勝手な処置を防ぐことです。
委託先に確認すべき事項リスト
状況を判断するには、委託先から正確な事実を引き出す必要があります。「どうなっていますか」と漠然と尋ねるのではなく、確認すべき項目をあらかじめリスト化しておくと、必要な情報を漏れなく集められます。
確認項目 | 確認の目的 |
|---|---|
何が漏れたか(情報の種類) | 個人情報か、要配慮個人情報か、クレジットカード情報か等。報告義務の判定に直結する |
どれだけ漏れたか(件数・人数) | 1,000人を超えるかどうかは報告義務の判定基準になる |
いつ発生し、いつ発覚したか | 報告期限の起算点(発覚日)を確定するために必要 |
原因は何か | 不正アクセス、内部不正、誤操作、誤送信など。原因により判定が変わる |
封じ込めの状況 | 被害が止まっているか、まだ進行中か |
第三者への提供・流出の有無 | 外部に渡った形跡があるか、ダークウェブ等で確認されているか |
委託先自身の報告対応の状況 | 委託先が個人情報保護委員会へ報告するのか、発注者への通知で対応するのか |
最後の「委託先自身の報告対応の状況」は特に重要です。後述するように、委託元(発注者)と委託先の双方が報告義務を負う構造になっているため、「どちらが報告するのか」を早い段階で委託先と握っておかないと、対応の抜け漏れが生じます。
社内エスカレーションと対応体制の立ち上げ
委託先とのやり取りと並行して、社内の対応体制を立ち上げます。インシデント対応は一担当者だけで完結できるものではありません。
- 責任者を決める: 誰がこのインシデント対応の意思決定者かを明確にする。
- 関係部門・経営層に報告する: 法務(または顧問弁護士)、広報、経営層に状況を共有する。報告先と顧客への影響が大きい場合は、早い段階で経営層を巻き込む。
- 記録を取り続ける: いつ・誰が・何を確認し、どう判断したかを時系列で記録する。この記録は、後の委員会報告や、対応の妥当性を説明する際の根拠になります。
法務専任がいない企業では、この段階で顧問弁護士や外部の専門家に相談するかどうかを早めに判断しておくと、後の報告義務の判定がスムーズになります。
委託元(発注者)にも報告義務はあるのか
ここからが、多くの発注者が最も不安を抱える論点です。「漏れたのは委託先なのだから、報告は委託先がやるべきで、自社は関係ないのでは」——この感覚は、残念ながら正しくありません。
委託元・委託先の二重の報告義務構造
個人情報保護委員会の見解によれば、個人データの取扱いを委託している場合、漏えい等の報告対象となる事態が生じたときは、原則として委託元・委託先の双方がそれぞれ報告義務を負います(個人情報保護委員会「委託先において個人データが漏えいしてしまった場合の対応」)。
つまり、漏洩が発生したのが委託先の環境であっても、その個人データの取扱いをもともと委託していた発注者(委託元)にも、独立した報告義務がかかるということです。「委託先が報告するから自社は何もしなくてよい」という前提で動かずにいると、発注者自身が報告義務を怠ったと評価されるおそれがあります。
委託先が委託元に通知すれば免除される仕組み
ただし、双方が同じ内容を別々に報告するのは非効率です。そこで個人情報保護法には、報告を一本化するための仕組みが用意されています。
委託先は、報告すべき事項を委託元に速やかに通知したときは、自らの委員会への報告義務が免除されます(個人情報保護委員会の見解)。この場合、最終的に個人情報保護委員会へ報告するのは委託元、つまり発注者です。委託先から委託元への通知は、速報と同様に「報告対象事態を知った後、速やかに」行う必要があるとされています。
整理すると、実務上は次のいずれかの形に落ち着くのが一般的です。
- 委託先が委託元に通知し、委託元(発注者)が報告する: 委託先の義務は免除され、発注者が委員会へ報告する。
- 委託元・委託先が連名で報告する: 双方が報告義務を負う場合、連名で報告することも認められています(個人情報保護委員会「連名での報告」に関する見解)。
いずれにせよ、「委託先に任せきりでよい」というケースは原則として存在しません。 委託先が通知してくる場合は発注者が報告主体になり、連名なら発注者も当事者として関与します。だからこそ、初動の段階で「どちらが報告するのか」を委託先と明確に取り決めておくことが欠かせないのです。
個人情報保護委員会への報告が必要かを判定する
ここまでで「報告義務が委託元にも及びうる」ことを確認しました。次に判断すべきは、「そもそも今回の漏洩は、個人情報保護委員会への報告が必要なケースなのか」です。すべての漏洩が報告対象になるわけではありません。
報告対象事態の4類型で判定する
個人情報保護委員会は、報告および本人通知が義務付けられる「報告対象事態」を次の4類型と定めています(個人情報保護委員会「漏えい等報告・本人への通知の義務化について」)。発注者は、委託先から集めた事実をこの4つに照らして判定します。
類型 | 内容 | 自社ケースの確認ポイント |
|---|---|---|
1. 要配慮個人情報 | 病歴、犯罪歴、人種、信条など、配慮を要する情報が含まれる漏洩 | 委託先に渡していたデータに健康・医療情報や前科などが含まれていなかったか |
2. 財産的被害のおそれ | クレジットカード番号やネットバンキングのID・パスワードなど、不正利用で財産的被害が生じうる情報の漏洩 | 決済情報・認証情報を委託先が扱っていなかったか |
3. 不正の目的による行為 | 不正アクセスや故意の持ち出しなど、不正の目的をもって行われたおそれがある漏洩 | 原因がサイバー攻撃や内部不正ではなかったか |
4. 1,000人超 | 漏洩した(またはそのおそれのある)本人の数が1,000人を超える事態 | 漏洩件数が1,000人を超えていないか |
ここで重要なのは、類型1〜3については、漏洩した人数がたった1人であっても報告対象になるという点です。「件数が少ないから報告は不要」とは限りません。一方、類型4は人数が基準なので、1,000人を超えるかどうかで判定します。
委託先から集めた「何が・どれだけ・どんな原因で漏れたか」の情報を、この4類型に当てはめれば、自社が報告すべきケースかどうかを判断できます。判断に迷う場合は、委員会への報告は安全側に倒す(報告する方向で検討する)のが実務上の基本姿勢です。
速報・確報の期限と報告内容
報告対象事態に該当すると判定したら、次は期限です。報告は「速報」と「確報」の2段階で行います(個人情報保護委員会「漏えい等報告・本人への通知の義務化について」)。
- 速報: 事態を知った日(発覚日)からおおむね3〜5日以内に、その時点で把握している内容を報告する。
- 確報: 発覚日から30日以内(不正の目的によるおそれがある事態の場合は60日以内)に、確定した内容を報告する。
ここで誤解を正しておきます。情報漏洩の報告期限を「72時間以内」と覚えている方がいますが、「72時間以内」はEUの一般データ保護規則(GDPR)のルールであり、日本の個人情報保護法のルールではありません。 日本では速報が「おおむね3〜5日以内」、確報が「30日以内(不正目的の場合60日以内)」です。海外の基準と混同して期限を見誤らないよう注意してください。
報告は個人情報保護委員会のウェブサイト上の報告フォームから行います。期限の起算点が「発覚日」であることからも、初動で記録を取り、発覚日を明確にしておくことの重要性がわかります。
本人への通知が必要なケース
報告対象事態に該当する場合、個人情報保護委員会への報告だけでなく、漏洩した個人データの本人への通知も原則として必要になります。つまり、自社の顧客や取引先の担当者など、情報が漏れた当事者に対して、発生した事態を知らせる義務が生じます。
本人通知は、本人が二次被害(不正利用やなりすまし等)を防ぐ行動を取れるようにするためのものです。通知すべき内容や、本人への連絡が困難な場合の代替措置(公表など)については、個別の状況に応じた判断が必要になるため、報告対象事態に該当すると判明した時点で、顧問弁護士など専門家に相談しながら進めるのが安全です。
委託先で起きた漏洩であっても、その本人にとっての「情報を預けた相手」は発注者です。本人対応の窓口や説明責任は、最終的に発注者が引き受けることになる点を念頭に置いておきましょう。
漏洩の収束と再発防止・契約見直し
報告と本人通知を終えても、対応はそこで完結しません。収束フェーズでは、原因究明の結果を踏まえた再発防止と、委託関係そのものの見直しに取り組みます。
まず、委託先の調査によって判明した原因に対応する再発防止策を確認します。脆弱性の修正、アクセス権限の見直し、運用ルールの改善など、技術面の対策は委託先が実施しますが、発注者はその内容が原因に対して妥当かを確認し、承認する立場にあります。
次に、委託先との責任・費用負担の協議です。今回の漏洩がどちらの過失によるものか、調査・対応にかかった費用や損害をどう分担するかは、契約内容と事実関係をもとに整理します。感情的な対立になりやすい局面ですが、記録に基づいて冷静に協議することが大切です。
さらに、今回の経験を契約や監督体制の見直しにつなげます。委託契約・秘密保持契約(NDA)におけるセキュリティ条項、再委託の可否や条件、インシデント発生時の連絡・報告義務の取り決めなどを点検し、不足があれば次回の契約更新時に反映します。
そして見落とされがちなのが、今後の漏洩を防ぐための予防策です。アクセス権限の最小化、データの暗号化、委託先の選定基準、定期的な監督など、インシデントが起きる前に手を打つべき対策は多岐にわたります。本記事は「起きてしまった後」の対応に焦点を当てているため、予防策の詳細は別途整理した内容に譲りますが、収束フェーズはまさに、その予防体制を見直す絶好のタイミングです。
フリーランス個人に委託している場合の注意点
ここまでの手順は、委託先が一定のセキュリティ体制を持つ企業であることを暗黙の前提にしてきました。しかし、委託先がフリーランスエンジニアなど「個人」である場合には、いくつか特有の難しさが加わります。
第一に、封じ込めや証拠保全を正しく実行させる難しさです。組織であれば情報セキュリティ担当やルールが存在しますが、個人の委託先にはそうした体制がないことが多く、「電源を切らない」「ログを残す」といった基本動作が徹底されないおそれがあります。発注者がより踏み込んで、具体的な手順を伝えてリードする必要があります。
第二に、本人がパニックになる・事態を過小に報告するリスクです。個人にとって、発注者からの信頼を失うことや責任を問われることへの不安は大きく、無意識に事態を小さく見せようとしたり、報告が遅れたりすることがあります。発注者は「隠さず正直に共有することが最善の対応である」という姿勢を明確に伝え、責めるよりまず事実を集めることを優先しましょう。
第三に、報告義務の主体としての発注者の比重が増す点です。委託先が個人で、委員会報告の知識や体制を持たない場合、実務的には発注者が報告手続きを主導することになります。前述した「委託先が委託元に通知すれば免除される」仕組みは個人委託でも同じですが、通知や連携が滞りやすいぶん、発注者側が手綱を握る覚悟が要ります。
これらの難しさは、裏を返せば事前の備えが効きやすいことを意味します。個人に委託する際こそ、連絡体制やインシデント時の対応手順を契約段階で取り決めておくと、いざというときの混乱を大きく減らせます。
よくある質問(FAQ)
Q. 委託先で個人情報が漏えいした場合、委託元(発注者)にも報告義務がありますか? A. 原則としてあります。個人データの取扱いを委託している場合、報告対象事態が生じると委託元・委託先の双方が報告義務を負うのが基本です。「漏れたのは委託先だから自社は無関係」という前提で動かずにいると、発注者自身が義務を怠ったと評価されるおそれがあります。
Q. 委託先と委託元のどちらが個人情報保護委員会に報告するのですか? A. 委託先が報告すべき事項を委託元に速やかに通知した場合、委託先の報告義務は免除され、委託元(発注者)が報告します。また、双方が義務を負う場合は連名で報告することも認められています。いずれにせよ「委託先に任せきりでよい」ケースは原則ありません。
Q. 漏えい報告の期限はいつまでですか? A. 発覚日からおおむね3〜5日以内に「速報」、発覚日から30日以内(不正の目的によるおそれがある場合は60日以内)に「確報」を行います。なお「72時間以内」はEUのGDPRのルールで、日本の個人情報保護法とは異なります。
Q. 報告が必要になるのはどんな漏洩のときですか? A. 報告対象事態は4類型です。(1)要配慮個人情報を含む、(2)財産的被害のおそれがある(カード番号等)、(3)不正の目的による行為(不正アクセス等)、(4)1,000人を超える漏洩。類型1〜3は1人の漏洩でも対象になります。
Q. 本人への通知はどんな場合に必要ですか? A. 報告対象事態に該当する場合、委員会への報告とあわせて、漏洩した個人データの本人への通知も原則として必要です。本人が二次被害を防げるようにするためのもので、連絡が困難な場合は公表などの代替措置を検討します。
Q. 委託先で漏洩が起きたとき、発注者は委託先に何を確認すればよいですか? A. 「何が・どれだけ・いつ漏れたか」「原因」「封じ込めの状況」「第三者への流出の有無」「委託先自身の報告対応の状況」を確認します。これらは報告義務の判定と、どちらが報告するかの取り決めに直結します。
まとめ|発生後の手順を持てば委託先漏洩にも動じない
業務委託先やフリーランスエンジニアで情報漏洩が起きたとき、発注者が取るべき対応は、一連の流れとして整理できます。
- 一報を受領し、記録を開始する(発覚日を明確にする)
- 委託先に封じ込めと証拠保全を正しく指示し、事実を確認する(確認事項リストを活用)
- 社内体制を立ち上げる(責任者・法務・経営層を巻き込む)
- 自社の報告義務を判定する(報告対象事態の4類型に照らす)
- 個人情報保護委員会へ報告し、本人に通知する(速報3〜5日/確報30日・60日)
- 収束させ、再発防止と契約見直しにつなげる
委託先で起きた漏洩であっても、発注者には「監督・判断・法令対応・対外責任」という固有の役割があります。技術対応を委託先に委ねつつも、報告義務の判定や報告主体としての対応は発注者が引き受けなければなりません。「委託先に任せきり」は原則として成り立たない、というのがこの記事の最も重要なメッセージです。
逆に言えば、この手順をあらかじめ持っておけば、いざ一報を受けても慌てずに動けます。次のアクションとして、自社向けのインシデント対応フローのドラフトを作成し、現在委託している相手との連絡体制(誰に・どの連絡手段で・いつまでに一報を上げてもらうか)を確認しておくことをおすすめします。発生後の備えと、発生前の予防策の両輪が揃ってはじめて、外部委託のリスクは管理可能なものになります。
