「社内ネットワークに繋がっていれば安全」——これは10年前の考え方です。 現在のセキュリティの主流概念は「ゼロトラスト（Zero Trust）」です。「どんな場所・どんな端末からのアクセスも信頼しない。すべてのアクセスを確認する」という考え方です。難しそうに聞こえますが、士業事務所の規模であれば、Microsoft 365の設定を整えるだけで、ゼロトラストに近い状態を実現できます。 なぜ「社内だから安全」が通用しなくなったか テレワークの普及——社内ネットワーク外からのアクセスが日常になりました。「社内にいるかどうか」でセキュリティレベルが変わる設計は、現実に合わなくなっています。テレワーク中の職員は「社外」にいますが、業務データへのアクセスは必要です。 クラウドへの移行——データがサーバー室にある時代は終わりました。Microsoft 365やGoogleドライブにあるデータは、インターネット経由でどこからでもアクセスできます。「社内ネットワーク」の境界に意味がなくなっています。境界型セキュリティの前提が崩れています。 内部脅威の増加——退職者・現職者による内部漏洩は、社内ネッ...

情報セキュリティの整備は、リスク管理のためだけではありません。適切に整備された事務所は、それを「顧問先への信頼の証」として活用できます。 「うちの事務所はこのようなセキュリティ体制を整えています」と説明できることが、顧問先の選定基準において差別化要因になります。同等のサービス・料金の士業が複数いる場合、情報管理への真剣な取り組みが選ばれる理由になり得ます。 顧問先がセキュリティを気にし始めている背景 個人情報保護法の改正（2022年）以降、中小企業でも個人情報管理の義務が強化されました。顧問先企業も「委託先のセキュリティ管理」を確認する義務を持ちます。委託先のセキュリティ管理が不十分な場合、委託元も管理責任を問われる可能性があります。 税理士・社労士事務所は、顧問先の個人情報・財務情報を預かる「委託先」です。顧問先がセキュリティ管理の強化を求め始めた場合、「うちの士業事務所は大丈夫か」という問いかけが来る可能性があります。2026年度にはSCS評価制度が開始され、取引先のセキュリティ評価が可視化される仕組みが整備されます。 「セキュリティ体制説明書」を作る...

SCS★3の制度開始は2026年10月の予定です。 2026年4月時点から逆算すれば、制度開始まで約半年あります。計画的に準備を進めることができれば、小規模の事務所でも★3取得の申請ができる状態になります。この記事では、士業事務所がSCS★3を取得するまでの現実的なロードマップを整理します。 フェーズ1：現状把握（1〜2ヶ月） 最初にやることは「今の状態を知る」ことです。★3の26項目に対して、現在の自事務所がどの程度対応しているかを確認します。 具体的な作業はIT資産台帳の作成です。PC・スマートフォン・ルーター・クラウドサービスの一覧を作りながら、同時にBitLockerの設定状況、MFAの設定状況、バックアップの状況を確認します。 この作業の結果として「対応済み」「設定はされているが文書化なし」「未対応」の3区分で★3の各項目を仕分けします。これが次のフェーズの優先順位の根拠になります。 所要時間の目安は、担当者1名が集中して取り組めば2〜4週間です。外部の支援を受ける場合はより短縮できます。みまもりの無料診断では、この棚卸し作業を支援します。...