大企業の事例では、数億円の対応費用が発生し、中小企業では倒産の可能性もあることから、インシデント時は適切かつ迅速な初動対応が求められます。ランサムウェア感染の疑いがある時点で、フォレンジック調査会社に相談することを推奨します。本記事では、その後の報告や報告先について、被害報告のあり方を実務対応ベースで詳しく解説します。

＼法人様は相談から最短30分でWeb打ち合わせを開催／

ランサムウェアの発見

ランサムウェア感染の第一段階は、従業員やシステム管理者による「異常の発見」です。
ファイル名の変更、アクセス不能、脅迫メッセージの表示などが主な兆候として挙げられます。こうしたサインを見逃さず、早期に異変を察知できる体制が被害最小化の鍵となります。

主な感染の兆候

• ファイルの暗号化や拡張子の変更
• デスクトップに脅迫メッセージが表示される
• アプリケーションが強制終了する
• ネットワークやサーバへのアクセスができない

こうした異常に気づいたときは、即座にシステム担当者へ報告することが鉄則です。
「おかしいな」と感じたその瞬間が、感染拡大を止められる最後のチャンスかもしれません。

社内への迅速な報告(システム担当・上長・経営層)

感染が疑われる場合、ただちに情報システム部門やCSIRT（セキュリティインシデント対応チーム）に報告する必要があります。
もし社内で報告フローが整っていないと、初動が遅れ、被害が拡大するリスクがあります。
普段から「誰に」「どうやって」報告すべきかを社員に周知し、通報ルートの明確化を図っておくことが非常に重要です。

報告先の例

• 情報システム部門（IT部）
• CSIRT（社内セキュリティ対策チーム）
• 上長・部門長（業務影響の把握のため）
• 経営層（意思決定とリスク評価のため）

早期報告が、二次被害の抑止と、的確な初動判断のカギになります。

感染端末の隔離とフォレンジック調査会社へ相談

報告を受けたら、まず行うべきは感染端末やネットワークの隔離です。ネットワークから遮断し、他の端末への拡大を防ぎます。また、この段階でフォレンジック調査会社に相談することで感染端末の隔離対応のアドバイスや、初期調査を行うことができます。

初期対応で行うべきこと

• 感染端末のネットワーク遮断
• USBなどの外部接続機器の取り外し
• システムログの保全（削除や上書きを防ぐ）
• 初期的な挙動の観察と感染経路の特定

社内の対応と並行して、外部専門家にデータ保全のアドバイスをもらうことも忘れずに行いましょう。

＼法人様は相談から最短30分でWeb打ち合わせを開催／

経営層・関係部署への一次報告

初期調査の結果をもとに、経営層や関係部署に対して一次報告を行います。これは単なる情報共有ではなく、今後の対外対応・社内方針の判断材料となります。情報が不十分だったり曖昧だったりすると、対応判断を誤るリスクがあるから、報告内容は正確かつ簡潔にまとましょう。

一次報告に含めるべき情報

• 感染が発覚した日時と経緯
• 被害範囲（影響した部門・システム・データ）
• 現在の対応状況と進捗
• 想定される今後のリスクと対策方針

外部機関への届け出と顧客対応

被害の規模や内容によっては、外部機関への報告義務が発生します。まず、どのような状況で外部への届け出が必要となるか、代表的なケースを挙げておきます。

• 顧客や従業員の個人情報が流出した可能性がある場合
  　情報漏洩は、個人情報保護法上の報告義務対象になるだけでなく、顧客の信頼にも大きく影響します。
• 公共性の高いサービスに影響が出た場合（例：金融、医療、教育など）
  　社会インフラや公益性のあるサービスが停止・改ざんされることで、利用者への被害が波及する恐れがあります。
• 報道・SNSなどで拡散される可能性がある場合
  　社会的影響が大きいと判断される場合は、予防的に報告・説明を行うことでダメージコントロールが可能になります。
• 業界団体や監督官庁が報告義務を定めている場合
  　業界独自のガイドラインにより、一定の条件下での報告が義務づけられていることがあります。特に金融や医療分野では要注意です。

主な届け出先と対応

外部への届け出先は複数ありますが、目的や立場によって役割が異なるため、対象を誤らないことが肝心です。

● 警察（都道府県警のサイバー犯罪対策課）

ランサムウェアは明確な犯罪行為であるため、刑事事件としての捜査対象になります。感染が発覚した段階で警察に相談することで、犯罪性の有無や今後の対応の助言を得ることができます。

警察への届け出は義務ではありませんが、捜査協力や後の保険申請、信用回復に役立つ証明にもなるため、対応は慎重に行うべきです。
また、証拠保全のためにログやメール、感染端末のデータを改変せずに保持しておくことも重要です。

● 個人情報保護委員会（PPC）

個人情報が漏洩した、またはそのおそれがある場合、個人情報保護法第26条に基づき、速やかな報告義務が発生します。
報告内容には以下が含まれます。

• インシデントの概要
• 漏洩した可能性のある情報の種類・件数
• 影響を受けた人数や範囲
• 原因と再発防止策

また、欧州のGDPRと同様に、原則72時間以内の報告が推奨されているため、初動対応中でも報告準備を並行して進めるべきです。

情報漏えい時における個人情報保護委員会への報告義務についてはこちら

● 所管省庁・業界団体

特定の業界に属する企業は、それぞれの監督官庁への報告が求められるケースがあります。

• 金融業：金融庁
• 医療機関：厚生労働省
• 学校法人・教育機関：文部科学省

また、業界団体（例：IT連盟、医療情報システム連絡協議会など）が設けるガイドラインに従って、定められた手順で報告を行うことも求められます。これらは企業単体では判断しづらいため、法務部門や外部の専門家との連携が不可欠です。

顧客・取引先への通知／発生した被害の共有・公表

ランサムウェアの被害が顧客に影響を及ぼす場合、早期かつ誠実な顧客対応が企業ブランドを守る鍵になります。
対応を誤ると、炎上リスクや訴訟・契約解除など、二次被害が拡大するおそれもあります。

特に個人情報や機密データの流出を隠ぺいすると罰金が科せられることがあります。被害を通知することは、企業に求められるコンプライアンスです。被害通知には次のような対応が一般的です。

• 影響を受けた顧客への早期連絡
• お詫びと現状説明、今後の対応方針
• 専用窓口の設置やQ&Aの公開

仮にランサムウェアの被害を調査・公表する場合は、法的な調査報告書を発行できる第三者機関に「調査」を依頼し、侵入経路・影響範囲・対応状況などを把握した上で、適切なタイミングで公表を行いましょう。この際、ホームページ、プレスリリース、マスコミ向けの記者会見など、複数の方法から段階的に公表を行うことも検討しておきましょう。

システム復旧と最終報告書の作成

ランサムウェア感染によるインシデント対応が一段落したら、次に必要なのはシステムの復旧と最終報告書の作成です。
ここでの対応が甘いと、業務の再開に支障が出るだけでなく、再感染リスクや信用回復の失敗につながる可能性があります。

システムを元通りにするだけでなく、「なぜ起きたのか」「どう再発を防ぐのか」を明確にし、社内外へ共有することが求められます。

システム復旧

ランサムウェア感染後の復旧は、ただシステムを「元に戻す」作業ではありません。
感染経路の完全遮断、再感染リスクの排除、安全な再構築までを一貫して行うことが求められます。
焦って復旧を急ぐと、再感染やマルウェアがシステムに存在したままといった最悪の二次被害に繋がりかねないので、順を追って慎重に進めましょう。

最終報告書に含めるべき項目

最終報告書は経営層・取締役会への提出を基本とし、場合によっては監督官庁や取引先、保険会社などにも共有することがあります。
また、社会的影響が大きい場合や、信頼回復が求められるケースでは、プレスリリースや説明会で一部を開示することも検討すべきです。

• 発生から終息までの時系列
• 被害状況と影響範囲
• 原因分析（感染経路や脆弱性）
• 対応内容と再発防止策
• 費用・損失の概算（必要に応じて）

ランサムウェア感染時のフォレンジック調査会社への相談方法

＼法人様は相談から最短30分でWeb打ち合わせを開催／