顧問先がSCS対応を求めてきたとき——士業事務所はどう答え、どう支援するか

「先生の事務所のセキュリティ対策、教えてもらえますか」

SCS評価制度が普及する中で、顧問先企業からこう聞かれる場面が来ます。特に製造業・金融機関・IT企業・医療機関を顧問先に持つ士業事務所は、早い段階でこの問いかけを受ける可能性があります。

この問いかけに「分かりません」「特に何もしていません」と答えることが顧問関係にどう影響するか——想像していただければ分かります。「情報を預けているが、管理されていないようだ」という印象は、顧問関係の継続に影響します。

問いかけには2つの側面がある

顧問先からのセキュリティに関する問いかけには、2つの側面があります。

1つは「委託先として士業事務所自身のセキュリティが整っているか」の確認です。顧問先が自社のセキュリティ管理を強化する流れの中で、委託先にも同水準を求める動きが出てきています。これはSCS★3取得の話につながります。

もう1つは「顧問先自身がSCS対応を求められており、どう進めればいいか相談したい」というものです。「うちの顧問先から取引先のセキュリティ評価を求められた。どうしたらいいか」という相談が士業事務所に来るケースが想定されます。これは士業事務所が顧問先を支援する場面です。

どちらの問いかけにも対応できる状態を作ることが、SCS制度への実務的な対応です。

自事務所のセキュリティ体制を説明できる状態を作ることが先決です。

具体的には、「セキュリティ体制説明書」をA4用紙1〜2枚で作成し、顧問契約時または求められた際に提示できる状態にしておくことをお勧めします。

記載内容の例——多要素認証の全員設定済み。ディスク暗号化（BitLocker）の全PC適用済み。退職者アカウントの即日無効化手順あり。バックアップの定期実施と復元確認実施済み。インシデント発生時の連絡体制と対応手順書の整備。SCS★3に向けた対応状況（2026年度取得予定等）。

「整えています」と言えることと「説明できる資料がある」ことの両方が必要です。口頭だけでは、顧問先の記録に残りません。書面として提示できることで、「真剣に取り組んでいる事務所」という印象が確実に伝わります。

現実的な支援の形は以下の通りです。

初期整理の支援——

現状のIT環境を把握するためのヒアリングと、★3の26項目に対する現状評価の整理は、士業が対応できる部分です。チェックリスト形式で確認し、「どこが不足しているか」を整理する作業は、必ずしもIT専門家が必要な作業ではありません。

専門家への橋渡し——

IT整備の実作業（設定変更・台帳整備等）については、ITの専門家や登録セキスペと連携することが現実的です。士業としては「信頼できる専門家の紹介」という形での支援が有効です。顧問先に直接IT専門家を紹介できれば、士業としての付加価値が高まります。

制度理解の支援——

SCS評価制度の仕組み・スケジュール・費用感を顧問先に説明する役割は、士業が担えます。制度を正しく理解した上で「何をいつまでにやるか」の優先順位整理をサポートすることです。

SCS制度が普及する中で、「先生の事務所はどうですか」という問いに答えられる士業と答えられない士業の間には、顧問先からの信頼に差が生まれます。これはリスク管理の話であると同時に、既存顧問先の維持と新規顧問先への差別化の話でもあります。

「自事務所の対応」と「顧問先への支援」の両方を準備することが、SCS評価制度への実務的な対応です。

▶ 士業向けIT・セキュリティ整備サービス

行政書士事務所みまもり

セキュリティ研究者・デジタルフォレンジックエンジニア

成田浩志