2025年5月23日にいわゆる能動的サイバー防御に関するサイバー対処能力強化法及び同整備法¹が公布され² 、同年7月1日に、内閣官房内閣サイバーセキュリティセンター（NISC）を改組する形で「国家サイバー統括室」が新設されるなど、本年も、サイバーセキュリティ法制に関する大きな動きが見られます。

そのような中、同年5月29日に開催された第43回サイバーセキュリティ戦略本部会合において、「サイバー空間を巡る脅威に対応するため喫緊に取り組むべき事項」が決定され、インシデント報告について民間の負担を軽減するため、順次様式の統一を実施し、報告先の一元化についても必要な制度改正等を行うこととされました。同時に、同会合資料5として「インシデント報告様式の統一について」という資料が公開されています。この資料では、現状、サイバー対処能力強化法、各インフラに関する業法、個人情報の保護に関する法律（以下「個情法」といいます）、警察への相談という個別のセキュリティインシデント報告制度等について、今後、被害報告一元化に向けた方針とそのタイムラインが示され、また、段階的な措置として、DDoS攻撃³及びランサムウェアに関する統一報告様式の運用が2025年10月1日から開始される予定とされています。

この動きは、昨年末から今年初めにかけて多発したDDoS攻撃への対応、そして、ここ数年大きな脅威となっているランサムウェア対応に与える実務上の影響が大きいと思われるため、本レターでは、現行のセキュリティインシデント報告に関する各制度をおさらいしつつ（インシデント報告に関する制度は様々なものがありますが、代表的なものを紹介します）、今般公開された被害報告一元化の方針とそのタイムライン、そして、公開された統一報告様式を紹介します。

個人データの漏えい、滅失、毀損その他の個人データの安全の確保に係る事態（以下「漏えい等」といいます）であって個人の権利利益を害するおそれが大きいものとして個人情報保護委員会規則で定めるもの（以下「報告対象事態」といいます）が発生した場合、個人情報保護委員会等への報告義務及び本人通知義務が課されます（個情法26条）。サイバー攻撃を受けた場合、個人データの漏えい等が発生することも多いため、実務上よく用いられるセキュリティインシデント報告制度の一つです。

（1）「漏えい等」及びその「おそれ」
サイバー攻撃対応との関係では、「漏えい」及び「毀損」該当性が問題となることが多いところです。「漏えい」とは、個人データが外部に流出することをいい、「毀損」とは、個人データの内容が意図しない形で変更されることや、内容を保ちつつも利用不能な状態となることをいいます。ランサムウェアによる暗号化は毀損の典型例です。

また、報告対象事態には、漏えい等の発生が確実な場合だけでなく、その「おそれ」がある場合も含まれます（個人情報の保護に関する法律施行規則（以下「個情法施行規則」といいます）7条各号）。ここでいう漏えい等の「おそれ」とは、その時点で判明している事実関係からして、漏えい等が疑われるものの漏えい等が生じた確証がない場合をいいます（個人情報の保護に関する法律についてのガイドライン（通則編）（以下「GL通則編」といいます）3-5-3-1⁴）。

（2）報告対象事態
報告対象事態は、個情法施行規則7条各号に4つの類型が定められており、サイバー攻撃によって個人データの漏えい等（またはそのおそれ）が発生した場合は、同条3号（不正の目的をもって行われたおそれがある個人データの漏えい等）に該当します⁵。その他の報告対象事態としては、医療情報などの要配慮個人情報が含まれる場合、クレジットカード番号等の財産被害が生じるおそれがある情報が含まれる場合、件数が1,000を超える場合があります。

（3）報告の手続（報告先・報告期限・報告事項・報告方法など）
報告先は、原則として個人情報保護委員会ですが、報告受理権限の委任がある場合は、委任先の省庁等となります（個情法150条1項）。

報告期限は、法令上は、時間重視の「速報」と内容重視の「確報」の二段階に分かれています⁶。「速報」は、報告対象事態を知った時からお概ね3～5日以内が目安となり（GL通則編3-5-3-3）、「確報」は原則として30日以内（サイバー攻撃の場合は60日以内）となります（個情法施行規則8条2項）。速報はあくまで目安ですが、確報は法定の期限として遵守する必要がある点に留意が必要です。

報告事項は次のとおりです（個情法施行規則8条1項）。

報告方法は、個人情報保護委員会が報告先の場合、基本的には同委員会のウェブサイトのフォームに入力する方法による報告となりますが、それが難しい場合は個情法施行規則別記様式第1に定める報告書を提出する方法によることとなります（個情法施行規則8条3項）。

（4） その他個人情報に関連するインシデント報告制度
その他、個情法では、公的部門に対する規律として、行政機関等における保有個人情報の漏えい等に係る個人情報保護委員会への報告義務（個情法68条）が定められており、また、マイナンバーを含む個人情報（特定個人情報）の漏えい等が発生した場合には、マイナンバー法⁷29条の4に基づき、個人情報保護委員会への報告義務が課されることとなります。

（1） 各業法に基づく事故報告義務
業法の規制を受ける事業者（インフラ事業者を含む）においては、各業法に基づく所管官庁等への法令上の報告義務が課されていることがあります。

例えば、電気通信事業法28条は、電気通信事業者に対し、通信の秘密の漏えいや重大な事故等が発生した場合、又はそのおそれがあると認められる場合には、その旨をその理由又は原因とともに、遅滞なく、総務大臣に報告する義務を課しています。

（2）重要インフラ情報連絡その他のガイドライン等に基づく任意の報告
重要インフラ事業者等⁸は、サイバーセキュリティ戦略本部が策定した「重要インフラのサイバーセキュリティに係る行動計画」（2024年3月8日改定、以下「重要インフラ行動計画」といいます）において、法令に基づく制度ではありませんが、重要インフラ事業者等からの情報連絡として、重要インフラサービス障害を含むシステムの不具合や予兆・ヒヤリハットに関する情報のうち、①法令等で重要インフラ所管省庁への報告が義務付けられている場合、②関係主体が国民生活や重要インフラサービスに深刻な影響があると判断した場合であって、重要インフラ事業者等が情報共有を行うことが適切と判断した場合、③そのほか重要インフラ事業者等が情報共有を行うことが適切と判断した場合、所管省庁を通じて内閣官房（内閣サイバーセキュリティセンター）に報告するものとされています。NISCウェブサイトには、情報共有の手引書のほか、情報連絡の様式など公開されています。

その他、ガイドラインや告示等に基づき公的機関への報告が推奨されているケースがあり、例えば、コンピュータウイルス・不正アクセス検知時には、独立行政法人情報処理推進機構（IPA）に届け出ることが望ましいとされています⁹。

サイバー攻撃を受けたということは、サイバー犯罪の被害に遭ったということになります（一例を挙げると、不正アクセス禁止法¹⁰違反や、不正指令電磁的記録に関する罪（刑法168条の2、168条の3）など）ので、法的な義務というわけではありませんが、警察へ通報・相談することが望ましいとされています¹¹。

警察に対するサイバー犯罪被害の報告については、特有の報告事項や期限はありません。報告すべき事項については、事案に応じて様々なものが考えられますが、例えば、被疑者の追跡・特定に必要不可欠な攻撃元のIPアドレス、マルウェアのハッシュ値等の被害サーバ等に記録されたIoC¹²情報等が挙げられます。また、期限という観点では、こうした記録・サイバー犯罪の痕跡などは一定の期間で消失するおそれがあることから、警察による捜査活動を迅速に開始するためには、早期の通報・相談が重要となります。

一方で、被害組織としては、事業活動を継続する必要性もあることから、インシデント対応に追われる中で捜査協力として様々な負担を強いられるのではないか、警察において適切に情報が取り扱われず、さらなるレピュテーション低下などのリスクがあるのではないかといった懸念から、警察に対する通報・相談がためらわれているという指摘もあります。この点については、警察側も、業務への影響が最小限となるよう被害組織による早期復旧等に考慮した初動捜査を行うこと、情報の取り扱いについては被害組織の意向を確認・配慮することなどを掲げています ¹³。

（1）現状の報告等の制度と課題
サイバー攻撃被害等のセキュリティインシデントが発生したとき、被害組織は、複数の法制度等に基づき、複数の省庁等に対する報告や相談を個別に行わなければなりません。具体的には、上記Ⅱ.で紹介したとおり、個情法とマイナンバー法に基づく漏えい等報告は個人情報保護委員会等に、各業法に基づく報告は各所管省庁に（所管省庁を通じてNISCへ共有が行われることもあります）、また、サイバー犯罪被害者としての通報／相談は警察に、と分かれます。さらに、後記（2）のとおり、今後、基幹インフラ事業者には、サイバー対処能力強化法に基づくセキュリティインシデントの報告義務も加わります。これらの報告等のための様式はすべて異なる（あるいは様式自体がない）ため、被害組織は、それぞれの報告制度に沿った対応を個別に行わなければならず、手続上の負担が大きいということが従来から指摘されてきました。これは、迅速かつ効果的な民間から政府への積極的な情報共有の障害にもなり得ます。

現状、個人情報保護委員会とサイバーセキュリティ関係機関は協定を締結しており、各々の報告制度を相互に紹介しあうこととされていますが、それ以上に、報告様式の統一や、窓口の統一はなされておらず、今後の課題となっていたところ、今般の報告一元化に向けた取組は、こうした課題を解決することを目指すものと位置づけられると考えられます。

（2）サイバー対処能力強化法に基づく報告も包含した一元的報告システムの段階的構築
サイバー対処能力強化法5条は、同法に規定する「特別社会基盤事業者」（いわゆる基幹インフラ事業者とほぼ同義¹⁴のため、以下「基幹インフラ事業者」といいます）が「特定侵害事象」¹⁵（サイバー攻撃被害等）の発生を認知した場合、各々の事業の所管大臣及び内閣総理大臣¹⁶への報告を義務付けています。この報告義務の施行は同法の公布（2025年5月23日）から1年6か月以内（2026年11月23日まで）とされており、基幹インフラ事業者にとっては、現行の各種報告等に加えてさらに報告義務の対象が増えることになります。
このように、政府への報告や情報共有制度が複雑化してきていることから、政府は、今般成立したサイバー対処能力強化法を含めた各種報告制度に基づく報告等を一元的に管理するためのシステムを段階的に整備することを目指しています。

具体的なタイムラインは、大きく2段階に分かれます。まず第1段階目では、システム構築に先行して、2025年10月1日より、一部の類型のセキュリティインシデント（DDoS攻撃、ランサムウェア）の報告に関する統一報告様式の運用を開始し、その後、第2段階目として、サイバー対処能力強化法に基づく報告義務の施行（2026年11月23日まで）に併せて、報告受付システムの整備を進め、同法に基づく報告窓口を一元化するとともに、関係省庁への共有も可能としていく方針です。この報告受付システムが整備されることで、被害組織は、一つのシステムを通じて、所管省庁や個人情報保護委員会への報告、警察への相談をまとめて行うことが可能となり、実務上の負担緩和が期待されます。

（3） DDoS攻撃事案及びランサムウェア事案についての統一報告様式の先行
第1段階目として先行する共通様式の対象は、DDoS攻撃事案とランサムウェア事案の2つです。これらの事案は、被害発生時からサイバー攻撃によるものであることが明白であり、組織のITシステムが稼働を停止し、組織としての通常の運営が困難になり、最優先で原因究明調査や復旧対応を実施する必要がある中（特にランサムウェア事案ではそのような事態が頻発します）、並行して各業法に基づく報告、個情法やマイナンバー法に基づく漏えい等報告、警察への相談を個別に行うとなると被害組織の負担が大きくなると考えられ、被害件数も多いところです。そうした理由から、先行して統一報告様式の運用対象となったと考えられます。

なお、潜伏型サイバー攻撃（検知されないよう侵入し、長期間にわたり潜伏して情報窃取やインフラ機能の破壊などの内部工作を行うサイバー攻撃）については、先行的な統一報告様式の対象からは外されていますが、第2段階目のサイバー対処能力強化法の施行後は、同法に基づく報告も含めて、一元的な報告の対象となるものと考えられます。

DDoS攻撃事案及びランサムウェア事案については、2025年10月1日より、被害組織が「DDoS攻撃事案共通様式」又は「ランサムウェア事案共通様式」（「インシデント報告様式の統一について」資料5-3及び資料5-4）をそれぞれ用いて、所管省庁や個人情報保護委員会への報告及び警察への通報・相談¹⁷を行うことが可能になる（別途法令等で定める様式への添付も可能）予定です。

その際、政府がサイバーセキュリティ事案の情報集約を行うため、原則として、各共通様式に基づく報告先機関がその内容をNISC（2025年5月29日付で公開された様式ではNISCとなっていますが、実際には同年7月1日に発足する国家サイバー統括室となると考えられます。以下同じ。）に共有します¹⁸。NISCは、報告された内容を整理分析のうえ、被害者がわからないようにした上で、被害の拡大防止のため、注意喚起等に活用することがあるとしています。

（1）DDoS攻撃事案共通様式について
現行法上、DDoS攻撃を受けた企業は、その事象自体をトリガーとして政府に被害報告をする法的義務はありませんが、DDoS攻撃によってインフラサービスの停止等を引き起こした場合には、各種業法に基づく事故報告の対象となる可能性があります。また、上記Ⅱ．2.（2）の重要インフラ事業者等による情報連絡制度では、「DDoS攻撃等の大量アクセス」は、発生事象における原因の類型の一つに挙げられています。2025年10月からは、これらの業法やガイドライン等に基づく報告、警察への通報・相談にこの様式を用いることとなると考えられます。

DDoS攻撃事案共通様式は、報告者の概要、業務への影響（事案の概要、事実経過）、影響を受けたシステム（影響を受けた機器の種類・台数、システムの稼働状況等）、攻撃技術情報、公表の実施状況や今後の予定が記載事項となっています。

このうち、業務への影響については、重要インフラ行動計画に定める重要インフラ事業者等は、重要インフラサービスのサービス維持レベルの逸脱の有無や他の事業者等への波及の可能性についても記載することとされています。また、攻撃技術情報については、DDoS攻撃について、その攻撃方法の類型や通信プロトコルの種類、送信元情報や送信先情報、通信量といった技術的な記載欄が設けられているため、この様式を用いる際には、技術部門との連携が不可欠と考えられます。

（2）ランサムウェア事案共通様式について
ランサムウェア事案の場合、DDoS攻撃事案とは異なり、被害組織が保有するデータの窃取や暗号化などの被害が生じることから、実務上、個情法やマイナンバー法に基づく漏えい等報告が必要となるケースが多いです。

そこで、ランサムウェア事案共通様式については、所管省庁への報告に加えて、別紙として個人データの漏えい等に関する項目が追加されており、個情法とマイナンバー法による漏えい等報告も同時に行うことができるようになっています。

具体的には、個人情報取扱事業者による漏えい等報告、行政機関等による漏えい等報告、マイナンバーの漏えい等報告という3種類の別紙様式が用意され、該当する別紙様式を共通様式に追加して提出することになると考えられます¹⁹。

ランサムウェア事案共通様式は、DDoS攻撃事案共通様式と概ね同様の構成となっていますが、攻撃技術情報として、ランサムノート（身代金を要求する文言等）の内容、暗号化されたファイルの拡張子、ランサムウェアの類型、侵入方法、マルウェアの特徴（インディケータ情報）といったものが記載事項となっています。

なお、別紙様式の記載内容は、現状の個情法に基づく個人情報保護委員会への漏えい等報告の様式から大きく変わるところはないと考えられます。

セキュリティインシデントに関する報告一元化は、上記のとおり、2025年10月1日から、第1段階として、DDoS攻撃事案、ランサムウェア事案について、統一報告様式の運用が開始される予定です。そのために、所要の制度改正やパブリックコメント等を実施する予定であるとのことです（本レター発出現在、パブリックコメントの募集は未確認です）。公開された様式は確定版というわけではなく、当然、パブリックコメントを経て修正される可能性もあると考えられます。関連して、法令に基づくインシデント報告制度の場合、規則の別紙等として報告様式が付属している場合があります（例えば個情法施行規則など）ので、統一報告様式を用いるために規則改正等を要する可能性もあります。

そして、システム化による窓口一元化は、サイバー対処能力強化法の施行（2026年11月23日まで）に合わせて行われる予定です。個情法の3年ごと見直しに関する法改正も、2026年春には行われる可能性があり、漏えい等報告制度も改正対象に含まれていますので、今後は、サイバー対処能力強化法の施行に向けた準備状況、個情法の改正状況、今般示された報告窓口一元化の状況を注視する必要があると考えられます。

いずれにせよ、今回の様式一元化は、日々増加するサイバー攻撃に対応する被害組織の報告負担を軽減するとともに、政府のサイバー安全保障分野での対応能力の向上や対応の迅速化にも資することを目的とするものと考えられますので、これらの目的達成が期待されます。