弁護士事務所の情報漏洩対策、「うちは大丈夫」が一番危ない理由

弁護士事務所へのITセキュリティ相談を受けるとき、最初の問いかけとして必ず聞くことがあります。

「辞めた職員のID、ちゃんと削除しましたか？」

大半の方が、少し間を置いてから「……たぶん大丈夫だと思います」と答えます。「たぶん」という時点で、すでに問題がある状態です。

弁護士事務所が扱う情報は、士業の中でも特に性質が重い。依頼人の氏名・住所にとどまらず、離婚協議の経緯、刑事事件の内容、企業の内部紛争、相続財産の全容——いずれも「絶対に外に出てはいけない情報」です。

これが漏洩した場合、問題は損害賠償だけではありません。弁護士法や弁護士職務基本規程に基づく懲戒請求が、現実的なリスクとして浮上します。業務停止処分ともなれば、依頼人への影響だけでなく、事務所の存続そのものに関わります。

にもかかわらず、相談を受けてIT環境を確認すると、「これで大丈夫」と言える状態にある事務所はほとんどありません。

よく見かける「穴」の実態

実際に多いのは、次の3パターンです。

退職者のアカウントが残ったまま——Microsoft 365やGoogleのアカウントを「退職したら本人に削除してもらう」方針の事務所があります。本人が本当に削除したかどうか、事務所側には確認する手段がありません。退職後も外部からアクセスされていても、気づく仕組みがない状態です。

共有フォルダのアクセス権限が全員フラット——「全職員が全フォルダを見られる」状態の事務所は珍しくありません。担当していない案件の情報まで誰でも開ける状態は、内部漏洩リスクと直接つながります。

「個人のスマホでLINEに転送」が黙認されている——急ぎの案件対応で、個人のLINEを使って資料を送受信する慣習が残っている事務所があります。管理下を離れたデータの追跡は不可能です。

IT整備と聞くと、高額なシステム導入が必要だと思われがちです。実際には違います。すでにMicrosoft 365を使っているなら、その中に含まれているEntra ID・Microsoft Defender・Intuneで、アカウント管理・多要素認証・端末制御の大半は対応できます。

弁護士職務基本規程第23条は、「依頼者について職務上知り得た秘密を保持しなければならない」と定めています。これは「意図的に漏らさない」だけでなく、「漏れないための管理体制を整える」という積極的な義務としても解されています。

退職者によるデータ持ち出しが原因の漏洩であっても、「そういう状態になっていた」ことが管理責任として問われます。

誰がどの端末・フォルダにアクセスできるかが把握されている。退職者のアカウントが即日無効化できる手順がある。案件フォルダへのアクセスが担当者に限定されている。PC紛失時に遠隔でロック・データ消去できる設定になっている。多要素認証が全職員に適用されている。

これが今の状態になっていないなら、整備が必要です。

▶ 士業向けIT・セキュリティ整備サービス

行政書士事務所みまもり / セキュリティ研究者・デジタルフォレンジックエンジニア成田浩志