弁護士事務所の情報漏洩対策、「うちは大丈夫」が一番危ない理由
- 5月14日
- 読了時間: 4分
弁護士事務所へのITセキュリティ相談を受けるとき、最初の問いかけとして必ず聞くことがあります。
「辞めた職員のID、ちゃんと削除しましたか?」
大半の方が、少し間を置いてから「……たぶん大丈夫だと思います」と答えます。
「たぶん」という時点で、すでに問題がある状態です。
弁護士事務所が扱う情報は、士業の中でも特に性質が重い。依頼人の氏名・住所にとどまらず、離婚協議の経緯、刑事事件の内容、企業の内部紛争、相続財産の全容——いずれも「絶対に外に出てはいけない情報」です。
これが漏洩した場合、問題は損害賠償だけではありません。弁護士法や弁護士職務基本規程に基づく懲戒請求が、現実的なリスクとして浮上します。業務停止処分ともなれば、依頼人への影響だけでなく、事務所の存続そのものに関わります。
にもかかわらず、相談を受けてIT環境を確認すると、「これで大丈夫」と言える状態にある事務所はほとんどありません。
よく見かける「穴」の実態
実際に多いのは、次の3パターンです。
退職者のアカウントが残ったまま——
Microsoft 365やGoogleのアカウントを「退職したら本人に削除してもらう」方針の事務所があります。本人が本当に削除したかどうか、事務所側には確認する手段がありません。退職後も外部からアクセスされていても、気づく仕組みがない状態です。特に問題なのは、メールアカウントです。退職した職員が半年後に「先生のメールアドレス」として顧問先に連絡を取ることが、技術的には可能な状態になっています。
共有フォルダのアクセス権限が全員フラット——
「全職員が全フォルダを見られる」状態の事務所は珍しくありません。担当していない案件の情報まで誰でも開ける状態は、内部漏洩リスクと直接つながります。悪意がなくても、「間違えて開いてしまった」「別件の調査中に見えてしまった」ことが情報管理上の問題になります。守秘義務は「漏らさない」だけでなく、「漏れない仕組みを作る」ことも含むと理解する必要があります。
「個人のスマホでLINEに転送」が黙認されている——
急ぎの案件対応で、個人のLINEを使って資料を送受信する慣習が残っている事務所があります。管理下を離れたデータの追跡は不可能です。退職後も個人スマートフォンにデータが残り続けます。「送ってしまったデータは消せない」という事実を、経営者自身が認識していないケースがほとんどです。
「高いセキュリティ機材を入れなければ」は誤解
IT整備と聞くと、高額なシステム導入が必要だと思われがちです。実際には違います。
すでにMicrosoft 365を使っているなら、その中に含まれているEntra ID・Microsoft Defender・Intuneで、アカウント管理・多要素認証・端末制御の大半は対応できます。新しいツールを買い足すより、今あるものを正しく設定する方が、現実的で費用対効果も高い。
弁護士事務所に必要なのは「過剰な防御」ではなく、「穴をふさぐこと」です。
情報漏洩が起きたとき、何を問われるか
弁護士職務基本規程第23条は、「依頼者について職務上知り得た秘密を保持しなければならない」と定めています。
しかしこれは「意図的に漏らさない」という消極的な義務にとどまらず、「漏れないための管理体制を整える」という積極的な義務としても解されるようになっています。
退職者によるデータ持ち出しが原因の漏洩であっても、「そういう状態になっていた」ことが管理責任として問われます。「自分は悪くない」では、懲戒手続きの中で通用しません。
整えておくべき状態の具体的なイメージ
以下が整っていれば、顧問先から「情報管理はどうなっていますか」と聞かれたとき、落ち着いて答えられます。
誰がどの端末・フォルダにアクセスできるかが把握されている。退職者のアカウントが即日無効化できる手順がある。案件フォルダへのアクセスが担当者に限定されている。PC紛失時に遠隔でロック・データ消去できる設定になっている。多要素認証が全職員に適用されている。
これが今の状態になっていないなら、「整備が必要な状態」です。逆に言えば、ここを整えるだけで、多くのリスクは大幅に低下します。
まずは現状の確認から
「何から手をつければいいか分からない」という方に向けて、無料のIT簡易診断を行っています。5〜15名規模の士業事務所を主な対象に、現状のIT環境とセキュリティ上の課題を整理するところから始めます。高額な機材を導入する前に、今の状態を把握することが先決です。
詳しくは下記ページをご覧ください。
▶ 士業向けIT・セキュリティ整備サービス
行政書士事務所みまもり
セキュリティ研究者・デジタルフォレンジックエンジニア
成田 浩志
