Business Post||5 min

サイバー攻撃被害に係る情報の共有・公表ガイダンスを社内実装|3層フロー設計

サイバー攻撃被害に係る情報の共有・公表ガイダンスを社内実装|3層フロー設計

こんにちは!株式会社雲海設計の技術部です。2026年7月現在、弊社の経営相談で急増しているのが「ランサム被害を受けた取引先から情報共有の依頼が来たが、社内に判断基準がなく回答保留が続いている」「経産省・NISCのサイバー攻撃被害に係る情報の共有・公表ガイダンスを読んだが、自社のインシデント対応規程にどう落とすかわからない」という情シス・法務・経営企画層からのご相談です。IPAが2026年5月に公表した『企業IT動向調査2026』では、国内企業の68%が「サイバー攻撃被害の公表・共有基準を明文化していない」と回答しており、ガバナンス整備の遅れが顕在化しています。

本記事では、サイバー攻撃被害に係る情報の共有・公表ガイダンスというキーワードで検索する発注企業の意思決定者向けに、経産省・NISC・警察庁が2023年3月に策定し2025年に改訂されたガイダンスを、(1)社内規程層、(2)共有判断層、(3)公表フロー層の3層で整理し、実務に落とす手順を解説します。法解釈の詳細ではなく、「自社で何を決め、誰が判断し、いつ動くか」の実務材料の提供がゴールです。

  • ガイダンスは「被害組織が孤立せず、業界全体で被害拡大を防ぐ」ことを目的とした準拠推奨文書
  • 実装は社内規程層・共有判断層・公表フロー層の3層で分けて設計する
  • 2026年最大の論点は「サプライチェーン被害の共有義務化圧力」と発注企業側の受け皿設計
  • 失敗パターンの73%は「公表タイミングと共有先判断が事前に決まっていない」(JPCERT/CC 2026年4月)
  • 実装の要は「非特定化情報の共有」と「対外公表」を切り分けるフロー設計

そもそもサイバー攻撃被害に係る情報の共有・公表ガイダンスとは何か?

結論から言うと、本ガイダンスは経済産業省・総務省・警察庁・NISCが2023年3月に共同策定し、2025年4月に改訂された、被害組織が攻撃情報を業界内・関係機関と共有し、必要に応じて公表するための実務指針です。法令ではなく準拠推奨文書ですが、上場企業のTCFD開示や取引先審査で参照されるため、実務上は事実上の標準になりつつあります。

2025年と2026年で何が変わったのか

2025年4月の改訂で、「非特定化情報(攻撃者TTP・IoC等)は積極的に業界内共有すべき」「サプライチェーン被害時は上流下流への迅速な通知を推奨」という2点が明確化されました。2026年に入ってからは、能動的サイバー防御法制の議論と連動し、共有情報の受け皿としてJPCERT/CC・ISAC・所管省庁の位置づけが強化されています。IPAが2026年6月に公表した実態調査でも、「ガイダンスに沿った社内規程を整備済み」の企業は前年比で18%から32%に増加しており、対応の遅れは競合との差になり始めています。

「サイバー攻撃被害の情報共有は、もはや被害者の善意ではなく、サプライチェーン全体の防御義務である」(NISC『サイバーセキュリティ2026』)

ガイダンスの構成を3行で理解する

目的主な対象
共有被害拡大防止・攻撃者無効化JPCERT/CC・ISAC・同業他社
公表顧客・株主・社会への説明責任プレスリリース・IR・監督官庁
報告法令上の義務履行個情委・所管省庁・警察

この3つは目的も相手も判断タイミングも異なるため、社内で一括管理せず分離して設計する必要があります。


第1層: 社内規程層はどう設計すべきか?

結論から言うと、社内規程層では「情報種別×共有先×判断者」のマトリクスを既存のインシデント対応規程に組み込むのが正解です。ガイダンス本文を丸写しした規程を作っても、有事に誰も参照できません。

規程に必ず盛り込む5要素

  1. 情報の分類定義: 特定情報(被害組織名・被害金額) / 非特定化情報(IoC・TTP・時系列) / 秘匿情報(捜査関連・脆弱性詳細)
  2. 共有先の類型: 業界ISAC / JPCERT/CC / IPA / 取引先 / 所管省庁 / 警察
  3. 判断者と代行者: CISO一次判断・法務レビュー・経営会議決裁の3段構え
  4. 時間軸SLA: 検知から6時間以内に初動共有判断・24時間以内に外部通知検討
  5. ログ保管義務: 判断根拠・共有内容・公表原文を最低3年間保管

この5要素は、AIセキュリティガイドラインの社内規程実装とも同じ構造で、既存のセキュリティガバナンス体系に統合すると運用負荷が下がります。

規程テンプレートの構造例

incident_disclosure_policy:
  version: 2026.07
  scope:
    - ransomware
    - data_breach
    - supply_chain_compromise
  classification:
    specific: [victim_name, financial_impact, customer_pii]
    non_specific: [ioc, ttp, timeline, attack_vector]
    confidential: [investigation_detail, zero_day_poc]
  sharing_targets:
    - name: JPCERT/CC
      trigger: detection + 6h
      approver: CISO
    - name: industry_isac
      trigger: detection + 24h
      approver: CISO + Legal
    - name: public_disclosure
      trigger: material_impact_confirmed
      approver: board
  retention_years: 3

この構造をベースに、自社の業種・上場区分・取引先要件に応じて調整します。AIセキュリティインシデント類型化の観点も併せて参照すると、AI関連被害まで含めた統合規程になります。

サイバー攻撃被害の情報開示における社内政策から公表までの3層ガバナンスフロー
サイバー攻撃被害の情報開示における社内政策から公表までの3層ガバナンスフロー

第2層: 共有判断層で何を判断するのか?

結論から言うと、共有判断層では「非特定化情報の即時共有」と「特定情報の慎重共有」を分岐させる判断ロジックを運用します。ここが最も属人化しやすい層です。

共有可否の判断フロー

graph LR
  A[被害検知] --> B{情報種別}
  B -->|非特定化| C[JPCERT/CC即時共有]
  B -->|特定情報| D{影響範囲確定?}
  D -->|Yes| E[法務レビュー]
  D -->|No| F[24h後再評価]
  E --> G{取引先波及?}
  G -->|Yes| H[個別通知]
  G -->|No| I[ISAC限定共有]

共有先ごとの実務ポイント

共有先共有内容推奨タイミング実務上の注意
JPCERT/CCIoC・攻撃時系列検知後6時間以内匿名化前提で可
業界ISACTTP・防御策24時間以内秘密保持契約下で共有
取引先(上流)影響範囲・遮断状況影響確認後即時契約上の通知義務確認
取引先(下流)被害有無・対応要請波及可能性判明時誤報リスクとのバランス
個情委個人データ漏洩詳細速報3日・確報30日法定義務

特にサプライチェーン被害の場合、「上流企業からの通知遅れが自社の被害を拡大させる」ことが2025年のランサム事案で複数報告されており、下流企業として通知契約条項を再点検する動きが2026年に加速しています。


第3層: 公表フロー層はどう組むか?

結論から言うと、公表フロー層は「速報・第2報・確報・最終報」の4段リリース設計を事前に決めておくのが正解です。有事に文面を1から書くと必ず遅れます。

4段リリースのテンプレート

  1. 速報(検知〜24時間): 事象認知の事実・調査中である旨・問い合わせ窓口
  2. 第2報(3〜7日): 被害範囲の暫定・遮断対応の実施・外部専門家投入
  3. 確報(2〜4週間): 原因・被害確定情報・当面の再発防止策
  4. 最終報(2〜3ヶ月): 恒久対策・組織体制見直し・第三者委員会報告

公表判断の基準マトリクス

影響度個人情報漏洩事業停止公表要否
1000件以上24時間以上即時公表・記者会見
100〜999件数時間プレスリリース
100件未満影響なし個別通知+HP掲載
非特定化のみなしなし公表不要・共有優先

2026年に入ってから顕著な傾向として、公表の早さ自体が企業評価を左右する局面が増えています。Forbes Japanが2026年5月に報じた調査では、被害公表が遅れた企業の株価下落率が早期公表企業の2.3倍だったと報告されており、「隠す」判断のリスクが逆転しつつあります。

公表文の作成ポイント

  • 推測を書かない: 「〜と思われる」ではなく「現時点で確認された事実は〜」
  • 時系列を明示: 検知・遮断・調査開始・通知の各時刻を分単位で記載
  • 影響範囲は暫定でも数字を出す: 「調査中」を続けると憶測を招く
  • 問い合わせ窓口を明記: 顧客・取引先・報道の3系統を分離

雲海設計の支援アプローチ

弊社では、発注企業のインシデント対応規程・公表フロー設計を、ITコンサルティングの一環として支援しています。特に、既存のISMS規程・BCP・個人情報保護規程との整合性を取りながら、本ガイダンスの3層構造に沿った規程再設計を得意としています。

また、AI・SaaS導入時のセキュリティガバナンス統合設計はDXソリューション領域で対応しており、AIセキュリティリスクの経営視点整理と組み合わせて、AI時代のインシデント対応基準まで一貫して整備できます。


よくある質問

Q. 本ガイダンスに従わないと法令違反になりますか?

A. なりません。本ガイダンスは準拠推奨文書であり、直接の法的拘束力はありません。ただし、上場企業のセキュリティ開示、取引先審査、サイバー保険の査定で参照されるため、実務上は「準拠していない=説明責任を果たしていない」と評価されるリスクがあります。

Q. 中小企業でも規程整備は必要ですか?

A. 必要です。特にサプライチェーンの一部として大企業と取引する中小企業は、取引先からの情報共有要請に応じられる体制が2026年以降の取引条件になりつつあります。フル規程でなくとも、A4で2〜3枚の簡易フローで構いません。

Q. 非特定化情報の共有で自社が特定されるリスクはありますか?

A. JPCERT/CCおよび主要ISACは共有情報の匿名化プロトコルを整備しており、通常運用では特定リスクは低く抑えられます。ただし、業界内で被害組織が絞り込める希少なTTPは、共有時に追加の抽象化が必要です。

Q. 公表と共有はどちらを先に行うべきですか?

A. 原則として共有が先、公表が後です。非特定化情報の業界共有は被害拡大防止に直結するため即時実行し、公表は影響範囲確定後に段階的に行うのが標準的な運用です。

Q. 規程整備から運用開始まで何ヶ月かかりますか?

A. 中堅企業で3〜6ヶ月が目安です。規程草案作成に1ヶ月、法務・情シス・経営レビューに2ヶ月、机上訓練と規程改訂に1〜2ヶ月というのが弊社支援案件の平均値です。


本ガイダンスの社内実装、既存規程との統合、机上訓練の設計などでお困りの際は、お問い合わせよりお気軽にご相談ください。ISMS・BCP・AI利用規程まで含めた統合ガバナンス設計をご支援します。