マイナンバー(特定個人情報)を取り扱う企業・団体が、サイバー攻撃によって情報漏えいのおそれが生じた場合に使用するのが、「ランサムウェア事案共通様式」です。
この様式は、各省庁への報告を一本化し、初動対応の負担を軽減する目的で整備されています。
✅ この記事でわかること
- ランサムウェアとは何か
- なぜ「共通様式」が必要なのか
- 報告が必要となるケースと提出先
- 社内で準備しておくべきこと(実務対策)
- 実際に起きた事例(中小企業編)
1.ランサムウェアとは?
ランサムウェアとは、ウイルス感染によりデータを暗号化し、「元に戻したければ身代金(Ransom)を支払え」と要求するサイバー攻撃の一種です。
攻撃者はシステムを停止させるだけでなく、マイナンバーや従業員情報を盗み取って「漏えいを公表する」と脅迫するケースも増加しています。
2.ランサムウェア事案共通様式とは?
マイナンバーを含む個人情報が漏えい、またはそのおそれがある場合、
本来は複数の機関(個人情報保護委員会、厚労省、自治体など)に個別報告が必要でした。
しかし、実務上は 「被害直後に複数報告は負担が大きい」 という声が多く、政府間で協議のうえ、
「ひとつの共通様式で報告可能」 となりました。
目的:初動対応の迅速化・被害拡大の防止
3.報告が必要となるケース
| 報告が必要なケース | 内容 |
|---|---|
| 実際に漏えいが確認された場合 | マイナンバー又は個人情報が流出 |
| 漏えいの可能性がある場合 | 攻撃・暗号化などによりアクセス不明 |
ポイント:漏えいが確定していなくても、「おそれ」があれば報告対象です。
4.提出先と手続きの流れ
| ステップ | 対応 |
|---|---|
| ① 事案の発生確認 | システム停止、原因調査 |
| ② 共通様式の作成 | 被害状況・件数・対応策を記入 |
| ③ 官公署へ報告 | 個人情報保護委員会など |
📌 報告様式は以下で公開されています
参考:個人情報保護委員会
https://www.ppc.go.jp/legal/rouei/
5.【実例】中小企業で発生した事案
事例:従業員50名の製造業(マイナンバーを社内PCで管理)
- 社内NASが暗号化され、ランサムウェア画面が表示
- システムが停止し給与計算が間に合わず
- マイナンバー管理フォルダにアクセス履歴があり、漏えいの可能性
- 共通様式を使用し、個人情報保護委員会へ報告
- 外部専門業者により復旧・情報拡散は防止
教訓:社内でのバックアップ不足と二重認証未設定が原因
6.社労士が確認しておくべき実務ポイント
| 内容 | 対策例 |
|---|---|
| マイナンバー管理 | USB保存禁止、クラウド分割管理 |
| バックアップ | オフライン保管(週1) |
| 事案対応フロー | 報告書のテンプレート準備 |
| 委託先(社労士含む)の責任範囲 | 委託契約書で定義 |
7.まとめ:ランサムウェアは「情報漏えいリスク」だけではない
現代のランサムウェアは、「データ窃取 → 公表脅迫」 が主流です。
マイナンバーを扱う企業は、システムの安全管理だけでなく、法的報告義務も理解しておく必要があります。
共通様式は“最後の備え”
しかし、本当に必要なのは 「事前の対策」 です。
📩 労務管理・個人情報の安全対策でお困りですか?
マイナンバー管理や情報漏えいリスクの社内ルール整備もサポートしています。
お気軽にご相談ください。
