デバイス紛失時の緊急対応フローは、報告の受領、技術的なデータ保護、外部機関への連絡、事後評価の4ステップで迅速に遂行する必要があります。

情報システム部門は、従業員から連絡を受けた瞬間にマニュアルを起動させ、1分1秒を争うスピード感でリモート操作を実行しなければなりません。また、報告を受けた担当者は、責める姿勢ではなく、状況を正確に把握するためのヒアリングに徹することが重要です。

1. 従業員からの紛失報告と状況の把握

紛失発覚直後のステップは、事実関係を正確に把握し、被害の範囲を特定することです。

従業員には、いつ、どこで、どの端末を、どのような状況で紛失したかを即座に報告させます。この際、あらかじめ紛失報告フォーマットを用意しておくと、必要情報の漏れを防げます。特に、端末内に個人情報や取引先情報、認証情報といったどのようなデータが残っていたかを確認することが、その後の公表判断に直結します。

2. MDMによるリモートロック・ワイプの実行

技術的な最優先対応は、MDMを使用して端末を操作不能にすることです。

まずはリモートロックをかけ、第三者の操作を封じます。その後、端末が見つかる見込みが低い場合や、極めて重要な機密が含まれる場合は、データを完全に消去するリモートワイプを実行します。ただし、ワイプを実行すると位置情報の追跡もできなくなるため、実行のタイミングには判断が必要です。

3. 通信キャリアへの回線停止依頼

スマートフォンやSIM内蔵PCの場合、不正利用による高額請求や通信経由のデータ抜き取りを防ぐため、回線停止を行います。

NTTドコモやKDDI、ソフトバンクといった通信キャリアの法人窓口へ連絡し、音声通話およびデータ通信の利用中断を申請します。各キャリアは紛失・盗難に対応する窓口を設けていますが、夜間・休日の対応可否や受付時間は契約形態によって異なるため、緊急連絡先を事前に確認してリストアップしておくことが、危機管理として求められます。

4. 警察への遺失届と受理番号の取得

端末の紛失・盗難が判明した際は、速やかに最寄りの警察署または交番へ遺失届を提出し、受理番号を控える必要があります。

警察への届出は、単に端末を探すためだけではなく、会社として善管注意義務を遂行したという証拠になります。保険請求や、万が一情報が流出した際の法的責任の軽減においても、受理番号の有無は極めて重要な意味を持ちます。

5. 顧客・関係各所への報告と公表判断

流出した可能性があるデータに個人情報や取引先の機密が含まれる場合、法的な報告義務が発生します。

2022年4月施行の改正個人情報保護法では、漏洩が発生し、個人の権利利益を害するおそれがある場合には、個人情報保護委員会への報告と本人への通知が義務化されました。報告期限は、概ね3〜5日以内に速報を行い、30日以内（不正目的による事案は60日以内）に確報を提出することが定められています。法務部門や広報部門と連携し、影響範囲を特定した上で、迅速かつ誠実な情報開示を行う必要があります。