データ侵害通知・インシデントレスポンス（法務的側面）

山崎行政書士事務所
9月12日
読了時間: 7分

— 72 時間ルールと NIST ベース運用を“同居”させる設計原理 —

著者：山崎行政書士事務所クラウド法務・アーキテクチャ支援チーム

発行日：2025-09-12

要旨（Abstract）

本稿は、GDPR/APPI/HIPAA/米州州法などの通知義務を起点に、NIST SP 800‑53 / NIST CSF の統制とAzure 運用実装を結び付け、**「法令に従った迅速な通知」×「NIST ベースの技術・組織対応」**を現実的に両立させる方法を示す。焦点は次の 5 点である。

いつ・誰に・何を通知するかの法的要件、2) 72 時間の起算点（“become aware”）の解釈、3) 例外（強固な暗号化等）と高リスク判定、4) NIST IR/RS カテゴリに沿う計画・報告・改善の統制ライン、5) 契約（SLA/免責）と責任分界、証跡パックの標準化である。

1. 通知義務の骨格（GDPR／APPI／米国）

1.1 GDPR：監督機関 72 時間・本人通知「高リスク」

監督機関通知（Art.33）：管理者（Controller）は72 時間以内に監督機関へ報告（遅延時は理由説明）。処理者（Processor）は遅滞なく管理者に通知。通知には、侵害の性質、データ主体・レコードの類型と概数、DPO 連絡先、想定結果、講じた／予定する措置を含める。
本人通知（Art.34）：侵害が自然人の権利・自由に“高いリスク”をもたらす恐れがある場合、本人へ不当な遅延なく通知。強固な暗号化などでデータが判読不能な場合、または追加措置により高リスクがもはや見込まれない場合は例外。
起算点：72 時間は**「侵害を認識した時点（reasonable certainty）」から起算。リスク評価の過程も記録義務（Art.33(5)）**に含め、非届出判断でも事実・影響・是正を文書化する。

1.2 日本 APPI：速報／確報（二段階）と該当類型

速報：認識後できる限り速やかに（実務上 3–5 日目安）。
確報：原則30 日以内、悪意ある不正取得や国外要因が疑われる場合は 60 日以内。
対象類型（例）：機微情報、不正おそれ、財産的被害のおそれ、大量件数など。
本人通知：必要に応じ実施。匿名化・暗号化で本人権利侵害リスクが低い場合は通知不要となり得る。

1.3 米国：HIPAA と州法

HIPAA：500 名以上の ePHI 侵害は60 日以内に HHS（OCR）へ。本人通知は不当な遅延なく／遅くとも 60 日。
州法：全州で通知法が存在。多くは「不合理な遅延なく」＋30/45/60 日基準を設定。暗号化のセーフハーバーを設ける州も多い。
PCI DSS：法令ではないが契約準拠義務としてインシデント報告・フォレンジック連携が求められる。

2. NIST と“法務要件”の結合点（統制マッピング）

2.1 企画（Plan）と責任分界

IR‑8（Incident Response Plan）：通知先・権限委譲・代行条件を明記。Art.33/34 の要件を計画の必須セクションに反映。
IR‑6（Incident Reporting）：社内→法務→当局／本人の報告ラインを時間 SLA 付きで定義。連絡先台帳と代替ルート（停電・SaaS 障害時）を用意。
SA‑9（外部サービス）：クラウド／委託先との通知・協力条項、ログ提供 SLA、費用負担を契約に織り込む（Shared Responsibility の明文化）。

2.2 応答（Respond）と改善（Improve）

CSF/RS：**RS.RP（計画）／RS.CO（コミュニケーション）／RS.AN（分析）／RS.MI（緩和）／RS.IM（改善）**を 72 時間運用に直結。
“法務クロック”の可視化：技術時系列（MTTD/MTTR）と法務時系列（T+24/T+48/T+72）を一本化したインシデント・ランブックで運用。

3. 72 時間の“中で”何を終えるか（時限ロードマップ）

3.1 T+0～T+24：検知・封じ込め・把握

最初の 60～90 分で暫定封じ込め（資格情報失効／NSG・WAF ルール／キー再発行）、証跡保全（WORM・ハッシュ）、事実認定。
技術要約 v1（A4 1 枚）：侵害の種類（機密性／完全性／可用性）、影響資産、データ種、件数上限、暫定措置。

3.2 T+24～T+48：通知判断の確定

GDPR の“リスク／高リスク”を被害規模×再識別可能性×継続性でスコア化。暗号化／疑似匿名化が有効なら本人通知の例外を検討。
APPI 類型適合の有無と速報内容を確定。州法／HIPAA の併存もチェック。

3.3 T+72：当局通知（GDPR）／速報（APPI）

監督機関向けフォームの必須 5 点（性質／件数類型／DPO 連絡先／結果／措置）を固めて提出。遅延時は理由を明記。
非届出判断の場合もArt.33(5) 記録で証跡化。

4. 本人通知・公表の作法（例外と実務の折衝）

4.1 例外要件の適用と注意

強固な暗号化により判読不能であれば本人通知不要になり得る。ただし**鍵管理が第三者影響下にない設計（BYOK/HSM）**であること、バックアップ／ログの残余リスクも評価する。
“高リスクでなくなった”と主張する場合、封じ込め・ローテ・アクセス取消がいつ／どう効いたかを時系列に示す。

4.2 本人通知の骨子（平易な言語・行動指示）

何が起きたか（事実）
何が対象か（データ類型／期間／件数の範囲）
想定される結果（フィッシング／成りすまし等）
取った措置・今後の措置（パスワードリセット、監視強化、補償等）
受け手が取るべき行動（パスワード変更、二段階認証、有償監視の案内等）
問合せ先／DPO 連絡先

5. 契約・責任分界・保険

5.1 クラウド／委託先

SLA は稼働率クレジット中心で、侵害損害の補償は限定されがち。通知協力・ログ提出・現地調査・フォレンジック費用の負担配分をSA‑9相当の条項で具体化。
再委託（サブプロセッサ）と越境（Residency/GRS/ASR）はDPA/SCCで拘束し、暗号鍵の支配者を自社側に置く（BYOK/HSM）。

5.2 自社の賠償とサイバー保険

対顧客・対規制の費用（通知・コールセンター・モニタリング・弁護士・和解）を保険の適用範囲で確認。間接損害免責や賠償上限に留意。
CSF/ID（資産・供給網）× 予算・保険で財務アーキテクチャを設計。

6. 監査可能性：証跡パックとチェーン・オブ・カストディ

提出可能性のある標準パック

通知判断ファイル（法的根拠、類型、例外の適用可否）
技術タイムライン（検知→封じ込め→根絶→復旧、時刻は UTC で統一）
アラート ID／KQL／クエリ結果、監査ログの保全先（WORM/Immutable）、エビデンスのハッシュ（SHA‑256）
本人通知文・当局フォーム控え、メディア対応 Q&A
ポストモーテム（再発防止・統制更新：IR‑3 テスト計画／RS.IM 改善）

7. 組織運用：法務×IT×広報の“同時計”運用

7.1 役割と RACI（抜粋）

CISO/CSIRT：技術判断、封じ込め、影響推定、証跡確保（A/R）
法務・DPO：通知要否判断、当局・本人文書、契約発動（A）
広報・経営：メッセージ統制、投資家・顧客・社内アナウンス（C/I）
委託先：ログ・原因・是正に関する協力（R）

7.2 72 時間対応の指標化

法務 SLA：T+24 で通知ドラフト、T+48 で確定、T+72 提出
技術 SLA：MTTD ≤ 15 分、MTTR（封じ込め） ≤ 2 時間、影響件数上限の 24h 推定
品質：誤検知率、取りこぼし率、再現試験合格率（四半期）

8. 山崎行政書士事務所のご支援（PR）

当事務所は、法令と技術を同じ成果物に落とし込むことに特化しています。

72 時間運用パック：Art.33/34・APPI 速報/確報テンプレ、当局フォーム雛形、本人通知ドラフト、メディア Q&A をAzure/Sentinel の時系列証跡と1 セットで提供。
契約・SCC・DPA：Shared Responsibility 条項、ログ提供 SLA、鍵管理（BYOK/HSM）条項、越境時の補完的措置を技術設計と整合。
ポストモーテム演習：CSF/RS準拠の演習脚本、KPI/OKR、改善サイクル（RS.IM）を定着。金融・医療・公共を含む規制業種の案件経験をテンプレート化し、**“通知の正確性 × 速度 × 監査耐性”**を同時に満たす運用へ移行します。