＜目次＞
1. 漏えい等報告の様式追加に関する規則改正案
2. 今後のスケジュール

1. 漏えい等報告の様式追加に関する規則改正案

個人情報保護委員会は、2025年7月9日、個人データの漏えい等報告の様式を追加する旨の規則改正案及び告示案を公表し、7月10日から8月8日までパブリックコメントを実施しています（パブリックコメント募集ページ）。
個人情報保護法では、不正の目的をもって行われたおそれがある当該個人情報取扱事業者に対する行為により、個人データの漏えい、滅失又は毀損が発生した場合は、個人情報保護委員会や事業所管大臣に漏えい等報告を行うことが義務付けられています（個人情報保護法26条1項、個人情報保護法施行規則7条3号）。個人情報保護委員会への報告様式は、個人情報保護法施行規則8条3号により定められていますが、実務上は個人情報保護委員会のウェブサイト上の報告フォームが同号に従った内容となっており、報告フォームに沿って報告を行えばよいことになっています。
今般の規則改正案は、この報告様式に、「ランサムウェア事案共通様式」という様式を追加するものです。

2025年5月23日、能動的サイバ⁠ー防御に関するサイバ⁠ー対処能力強化法及び同整備法が公布され、サイバ⁠ー対処能力強化法5条に規定された特別社会基盤事業者（※1）においては、サイバー攻撃被害等の発生を認知したときは、事業所管大臣等に報告することが義務付けられました。これにより、特別社会基盤事業者は、サイバ⁠ー対処能力強化法や個人情報保護法など複数の法令に基づき同一事案を報告することが義務付けられることになりますが、各法令に基づきそれぞれ報告することとすると報告負担が大きいことから、各監督官庁への報告様式が統一されることとなりました（サイバー攻撃による被害が発生した場合の報告手続等に関する申合せ）。
そこで、現行の漏えい等報告様式に加え、ランサムウェア事案においては（※2）、ランサムウェア事案共通様式によっても報告することができるよう規則改正が行われようとしています。

もっとも、本規則改正による企業への影響はほとんどないと考えらえます。
本規則改正は、報告様式を追加するものであり、現行の報告様式も引き続き様式として指定されていますので、特別社会基盤事業者に当たらない企業においては、引き続き現行の報告様式を用いて報告を行うことも法令上は許容されると考えられます。もっとも、実務上「ランサムウェア事案共通様式」による報告を推奨される可能性もありますので、今後の個人情報保護委員会の情報発信に留意する必要があります。
また、「ランサムウェア事案共通様式」は、現行の報告様式に比べ、「業務への影響」として「重要インフラサービス維持レベルについて」、「影響を受けたシステム」並びに「攻撃技術情報」として「ランサムノート（身代金を要求する文言等）」、「暗号化されたファイルの拡張子」、「ランサムウェアの類型」、「侵入方法」、「ランサムウェアの特徴（インディケータ情報）」を記載する欄は追加されているものの、それ以外の項目は、現行の報告様式と同様です。
これらの追加事項は、特別社会基盤事業者のみならず一般企業においてもランサムウェア攻撃を受けた際に把握すべき事項でしょう。漏えい等発生時の社内での調査・報告事項を定めた規程やフローが既に個人情報保護法に基づく漏えい等報告の内容に沿ったものになっている場合は、上記の追加事項も事実調査の一環で把握できる状態にあると思われるものの、本規則改正を契機として、改めて規程やフローに従って対応すれば、これらの情報が把握できる状態となっているか確認することが考えられます。

※1…経済安全保障推進法50条1項に定める特定社会基盤事業者のうち、特定重要電子計算機を使用するもの（サイバ⁠ー対処能力強化法）
※2…DDoS攻撃を受けた場合の「DDoS攻撃事案共通様式」は個人情報保護法に基づく漏えい等報告の様式には追加されていません。

2. 今後のスケジュール

本規則改正案に関するパブリックコメントは8月8日まで募集され、施行は10月1日からと予定されております。

関連記事

• 特集記事「個人情報の漏えい等報告についてのFAQ」
• 特集記事「ランサムウェア攻撃を受けた際の実務対応」

以　上