「社内ネットワークに繋がっていれば安全」——これは10年前の考え方です。 現在のセキュリティの主流概念は「ゼロトラスト（Zero Trust）」です。「どんな場所・どんな端末からのアクセスも信頼しない。すべてのアクセスを確認する」という考え方です。難しそうに聞こえますが、士業事務所の規模であれば、Microsoft 365の設定を整えるだけで、ゼロトラストに近い状態を実現できます。 なぜ「社内だから安全」が通用しなくなったか テレワークの普及——社内ネットワーク外からのアクセスが日常になりました。「社内にいるかどうか」でセキュリティレベルが変わる設計は、現実に合わなくなっています。テレワーク中の職員は「社外」にいますが、業務データへのアクセスは必要です。 クラウドへの移行——データがサーバー室にある時代は終わりました。Microsoft 365やGoogleドライブにあるデータは、インターネット経由でどこからでもアクセスできます。「社内ネットワーク」の境界に意味がなくなっています。境界型セキュリティの前提が崩れています。 内部脅威の増加——退職者

情報セキュリティの整備は、リスク管理のためだけではありません。適切に整備された事務所は、それを「顧問先への信頼の証」として活用できます。 「うちの事務所はこのようなセキュリティ体制を整えています」と説明できることが、顧問先の選定基準において差別化要因になります。同等のサービス・料金の士業が複数いる場合、情報管理への真剣な取り組みが選ばれる理由になり得ます。 顧問先がセキュリティを気にし始めている背景 個人情報保護法の改正（2022年）以降、中小企業でも個人情報管理の義務が強化されました。顧問先企業も「委託先のセキュリティ管理」を確認する義務を持ちます。委託先のセキュリティ管理が不十分な場合、委託元も管理責任を問われる可能性があります。 税理士・社労士事務所は、顧問先の個人情報・財務情報を預かる「委託先」です。顧問先がセキュリティ管理の強化を求め始めた場合、「うちの士業事務所は大丈夫か」という問いかけが来る可能性があります。2026年度にはSCS評価制度が開始され、取引先のセキュリティ評価が可視化される仕組みが整備されます。 「セキュリティ体制説明

SCS★3の制度開始は2026年10月の予定です。 2026年4月時点から逆算すれば、制度開始まで約半年あります。計画的に準備を進めることができれば、小規模の事務所でも★3取得の申請ができる状態になります。この記事では、士業事務所がSCS★3を取得するまでの現実的なロードマップを整理します。 フェーズ1：現状把握（1〜2ヶ月） 最初にやることは「今の状態を知る」ことです。★3の26項目に対して、現在の自事務所がどの程度対応しているかを確認します。 具体的な作業はIT資産台帳の作成です。PC・スマートフォン・ルーター・クラウドサービスの一覧を作りながら、同時にBitLockerの設定状況、MFAの設定状況、バックアップの状況を確認します。 この作業の結果として「対応済み」「設定はされているが文書化なし」「未対応」の3区分で★3の各項目を仕分けします。これが次のフェーズの優先順位の根拠になります。 所要時間の目安は、担当者1名が集中して取り組めば2〜4週間です。外部の支援を受ける場合はより短縮できます。みまもりの無料診断では、この棚卸し作業を支援しま

SCS評価制度★3は、26項目の要求事項で構成されています。 経済産業省の資料はどうしても行政文書的な表現になっており、「これが自分の事務所の何に相当するのか」がすぐには分かりにくい。この記事では、★3の26項目を弁護士事務所をはじめとする、士業事務所の実務に引き付けた言葉で説明します。「自分の事務所に何をすればいいか」が具体的にイメージできることを目的としています。 カテゴリ1：組織・体制（4項目） セキュリティの責任者を決めること—— 「誰がIT・セキュリティを管理するか」を決め、その役割を明文化することが求められます。所長が兼任する場合でも、「所長がセキュリティ管理を担当する」と明記した規程が必要です。「誰でも担当」は「誰も担当していない」のと同義です。 セキュリティポリシーの策定—— 「情報管理の基本ルール」を文書化することです。既に個人情報取扱規程を整備している事務所は、その内容にセキュリティ管理の観点を追加することで対応できます。IPAのガイドラインにひな型があります。 従業員へのセキュリティ教育—— 年1回以上の教育実施と記録が求め

新しいスタッフを採用するタイミングは、IT・セキュリティ体制を見直す絶好の機会です。 なぜなら、「今まで問題なかった運用」が、人が増えることで問題を引き起こすことがあるからです。また、新しい人間を迎える際に整備することで、「最初から正しい習慣」で仕事を始めてもらえます。入社後に「以前の職場ではこうしていたから」という習慣を持ち込まれる前に、事務所のルールを明確にすることが重要です。 採用時に必ず整備すべき3点 アカウントの発行手順を決める—— Microsoft 365・Googleアカウント・給与ソフト・クラウドサービス、これらのアカウントをどう発行し、どの権限を付与するかの手順を文書化してください。「その都度考える」運用では、権限の付け漏れや過剰付与が起きます。入社時のチェックリストとして「〇〇のアカウントを発行、□□の権限を付与、△△の研修を実施」という形で明文化してください。 アクセス権限を役割に合わせて設定する—— 新スタッフが担当する業務の範囲を確認し、必要最小限の権限を付与します。「とりあえず全部見られるように」という設定は内部漏洩