士業事務所のサイバーセキュリティ — 守秘義務を果たすために最低限必要な対策
結論から言えば、士業事務所のサイバーセキュリティ対策は「技術的対策」「組織的対策」「物理的対策」の3層で構築する必要があります。どれか一つだけでは不十分であり、多層防御(Defense in Depth)の考え方に基づいて、複数の対策を組み合わせることが鍵です。弁護士・税理士・行政書士・司法書士——いずれの士業も、各士業法に基づく守秘義務を負っています。この義務を果たすうえで、サイバーセキュリティは避けて通れない経営課題です。
IPA(独立行政法人情報処理推進機構)が公表した「情報セキュリティ10大脅威 2026」では、組織向け脅威の1位にランサムウェア攻撃、2位にサプライチェーンや委託先を狙った攻撃が選出されました。いずれも2023年以降4年連続で上位を占めており、脅威は一過性のものではありません。さらに今回、「AIの利用をめぐるサイバーリスク」が初選出で3位にランクインしています(IPA「情報セキュリティ10大脅威 2026」)。こうした脅威に対して、士業事務所はどの程度の備えができているでしょうか。
この記事の内容: 士業事務所が直面するサイバー脅威の実態 / 守秘義務・個人情報保護法の観点から求められる安全管理措置 / 技術・組織・物理の3層で整理したセキュリティ対策チェックリスト / インシデント発生時の対応手順
士業事務所を取り巻くサイバー脅威の実態
「小さな事務所だから狙われない」という認識は、統計データが明確に否定しています。警察庁の「令和6年におけるサイバー空間をめぐる脅威の情勢等について」によれば、2024年のランサムウェア被害報告件数は222件。そのうち中小企業が140件(約63%)を占めており、前年の102件から大幅に増加しました。復旧費用が1,000万円以上に達したケースは全体の50%、復旧に1ヶ月以上を要した組織は49%に上ります。
侵入経路として最も多いのはVPN機器の脆弱性(47%)とリモートデスクトップ(36%)です(警察庁 令和6年上半期データ)。コロナ禍以降にリモートワーク環境を急ぎ構築した事務所は、VPN機器のファームウェア更新やリモートデスクトップのアクセス制限が手薄になっている可能性があります。
IPA「情報セキュリティ10大脅威 2026」の組織向けランキングを以下に示します。士業事務所が特に注意すべき脅威は太字で強調しています。
| 順位 | 脅威名 | 士業との関連度 |
|---|---|---|
| 1位 | ランサム攻撃による被害 | 高 — 顧客データの暗号化・身代金要求 |
| 2位 | サプライチェーンや委託先を狙った攻撃 | 高 — 外部委託先経由の情報漏洩 |
| 3位 | AIの利用をめぐるサイバーリスク | 高 — 生成AIへの機密情報入力 |
| 4位 | システムの脆弱性を悪用した攻撃 | 中 |
| 5位 | 機密情報を狙った標的型攻撃 | 高 — 顧客機密の窃取 |
| 6位 | 地政学的リスクに起因するサイバー攻撃 | 低〜中 |
| 7位 | 内部不正による情報漏えい等 | 高 — 退職者による持ち出し |
| 8位 | リモートワーク等の環境を狙った攻撃 | 高 — 在宅勤務のセキュリティ不備 |
| 9位 | DDoS攻撃 | 低 |
| 10位 | ビジネスメール詐欺 | 高 — なりすましによる送金指示 |
(出典: IPA「情報セキュリティ10大脅威 2026」)
10項目中6項目が士業事務所との関連度「高」です。とりわけ3位に初選出された「AIの利用をめぐるサイバーリスク」は、業務効率化の目的で生成AIを利用する際に、顧客の機密情報を意図せず外部サービスへ送信してしまうリスクを指摘しています。ChatGPTなどの生成AIに顧客の契約書や財務データを入力する行為は、守秘義務違反に直結し得るため、事務所内での利用ルール策定が急務です。
守秘義務と個人情報保護法 — 士業に課される法的要請
サイバーセキュリティ対策は単なるIT施策ではなく、法令上の義務を果たすための基盤です。士業事務所には、一般企業以上に厳格な情報管理が求められています。
各士業法における守秘義務
弁護士法第23条は「弁護士又は弁護士であった者は、その職務上知り得た秘密を保持する権利を有し、義務を負う」と定めています。税理士法第38条、行政書士法第12条、司法書士法第24条にも同様の守秘義務規定が置かれています。これらの義務に違反した場合、各士業法に基づく懲戒処分の対象となるほか、刑事罰が科される可能性があります。なお、刑法第134条の秘密漏示罪は弁護士に適用されますが、税理士は税理士法第59条(2年以下の懲役又は100万円以下の罰金)、行政書士は行政書士法第22条の2(1年以下の懲役又は100万円以下の罰金)、司法書士は司法書士法第76条(6月以下の懲役又は50万円以下の罰金)がそれぞれ適用されます。
重要なのは、情報漏洩が故意でなくても管理責任を問われ得る点です。サイバー攻撃を受けた結果として顧客情報が流出した場合、「攻撃を受けた側だから被害者」という主張は通りにくく、適切なセキュリティ対策を講じていたか否かが問われます。
個人情報保護法上の安全管理措置
個人情報保護法第20条は、個人情報取扱事業者に対し「個人データの安全管理のために必要かつ適切な措置」を講じることを義務付けています。個人情報保護委員会のガイドラインは、安全管理措置を「組織的」「人的」「物理的」「技術的」の4分野に分けて具体的な対策を示しています。
漏洩等が発生し個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告(速報: 3〜5日以内、確報: 30日以内)と本人への通知が義務付けられています。報告義務に違反した場合は最大50万円の罰金が科されます。なお、2026年1月に個人情報保護委員会が公表した制度改正方針では、課徴金制度の導入も検討されています。
士業事務所の書類管理におけるセキュリティの基本的な考え方については、士業事務所の書類管理セキュリティ基礎知識で体系的に整理しています。本記事のチェックリストと併せて確認すると、対策の全体像を把握しやすくなります。
技術的対策チェックリスト — サイバー攻撃の侵入口を塞ぐ
技術的対策は、外部からの攻撃を直接防御するための施策です。セキュリティ対策のうち最も即効性があり、かつ自動化しやすい領域でもあります。以下のチェックリストは、IPAの「中小企業の情報セキュリティ対策ガイドライン」やNISC(内閣サイバーセキュリティセンター)の指針を踏まえ、士業事務所の実務に即して整理したものです。
- ✓OS・ソフトウェアを常に最新の状態に保つ
Windows Update、macOSアップデートを自動適用に設定する。業務ソフト(会計ソフト、税務ソフト等)のアップデートも放置しない。脆弱性の放置はランサムウェアの侵入口になる - ✓ウイルス対策ソフトの導入と定義ファイルの自動更新
全業務端末にウイルス対策ソフトを導入し、定義ファイルの更新を自動化する。Windows標準のMicrosoft Defenderでも基本的な防御は可能だが、EDR(Endpoint Detection and Response)※端末上の不審な挙動をリアルタイムで検知・対処するセキュリティ技術の導入も検討に値する - ✓多要素認証(MFA)の導入
メール、クラウドストレージ、VPN接続、リモートデスクトップ、会計・税務ソフトのアカウントにMFAを設定する。SMS認証よりも認証アプリ(Microsoft Authenticator、Google Authenticator等)の方がセキュリティ強度が高い - ✓VPN機器のファームウェア更新
VPN機器の脆弱性はランサムウェアの主要侵入経路(47%)である。ファームウェアのバージョンを定期的に確認し、メーカーが公表する脆弱性情報(CVE)を速やかに適用する - ✓UTM(統合脅威管理)またはファイアウォールの設置
事務所のネットワーク境界にUTM※ファイアウォール・不正侵入検知・ウイルス対策等を一台に統合したセキュリティ機器を設置し、不審な通信を遮断する。月額数千円からのサブスクリプション型UTMも提供されている - ✓データの暗号化
ノートPCのストレージ暗号化(BitLocker / FileVault)を有効にする。USBメモリでの持ち運びは原則禁止とし、やむを得ない場合は暗号化USBを使用する - ✓定期的なバックアップの実施
3-2-1ルール(3つのコピー、2種類のメディア、1つはオフサイト保管)に従い、ランサムウェア被害に備える。バックアップの具体的な実践方法は士業事務所のデータバックアップ実践ガイドで詳しく解説している
上記の対策のうち、OS更新・ウイルス対策・MFA導入の3つは、IPAが提唱する「情報セキュリティ6か条」にも含まれる最優先事項です。まだ着手していない場合は、この3つから始めてください。
組織的対策 — ルールと教育でヒューマンエラーを防ぐ
サイバー攻撃の成否を左右するのは、最終的には「人」です。フィッシングメールのリンクをクリックするのも、生成AIに機密情報を入力するのも、すべて人の操作に起因します。技術的対策だけでは防ぎきれないリスクを、組織的な仕組みで補完する必要があります。
情報セキュリティポリシーの策定
事務所として「何を守るか」「どう守るか」を明文化する。パスワードの最低文字数、USBメモリの使用可否、クラウドサービスの利用範囲、生成AIの利用ルールなどを具体的に定める。IPAの「中小企業の情報セキュリティ対策ガイドライン」付録のサンプルポリシーが参考になる。
従業員へのセキュリティ教育
年1回以上の研修を実施し、フィッシングメールの見分け方、パスワード管理、不審なソフトウェアのインストール禁止を徹底する。四半期に1回程度、実際のフィッシングメール事例を共有する簡易な勉強会を挟むと、注意力の低下を防げる。
アカウント管理と権限制御
共用アカウントの使用を禁止し、個人アカウントを発行する。管理者権限を持つアカウントは必要最小限に絞り、退職者のアカウントは当日中に無効化する運用ルールを定める。「誰が・いつ・何にアクセスしたか」を追跡できる状態を維持する。
生成AI利用ポリシーの策定
ChatGPTなどの生成AIに顧客の個人情報・契約内容・財務データを入力することを明確に禁止する。業務利用を認める場合は、入力可能な情報の範囲を定義し、機密情報が含まれないことを確認するチェックプロセスを設ける。IPA「情報セキュリティ10大脅威 2026」で初選出された脅威に対応する施策である。
委託先の管理
クラウドサービス事業者、IT保守業者、データ入力代行など外部委託先のセキュリティ体制を確認する。委託契約に秘密保持条項とセキュリティ要件を明記し、定期的な確認を行う。サプライチェーン攻撃は10大脅威の2位であり、自所の対策だけでは不十分な場合がある。
組織的対策で重視すべきは「完璧を求めすぎない」ことです。厳格すぎるルールは形骸化しやすく、かえってセキュリティリスクを高めます。現実的に遵守可能な範囲で策定し、定期的に見直す運用が持続します。
物理的対策 — オフィスと端末の物理的な安全確保
サイバーセキュリティというとソフトウェアの話が中心になりがちですが、物理的なセキュリティもまた重要です。不正アクセスの一部は、オフィスへの物理的な侵入やデバイスの盗難から始まります。
- ✓サーバールーム・書庫の施錠管理
NAS、サーバー、紙の書類棚は施錠可能な場所に設置し、鍵の管理者を明確にする。入退室記録を残すことが望ましい - ✓ノートPC・モバイル端末の盗難対策
セキュリティワイヤーの装着(デスク使用時)、離席時の画面ロック、リモートワイプ機能の設定を実施する。ストレージ暗号化が有効であれば、盗難時のデータ流出リスクは大幅に低減される - ✓書類の適正な廃棄
個人情報を含む紙書類はシュレッダー(クロスカット以上)で裁断する。大量廃棄時は文書溶解サービスの利用を検討する。記録メディア(HDD・USBメモリ)は物理破壊またはデータ消去ソフトで完全消去する - ✓来客対応エリアの分離
来客がサーバーや業務端末に接近できない動線を確保する。打ち合わせスペースではモニターの覗き見(ショルダーハッキング)を防ぐ配置にする
クラウドストレージの活用で紙書類の保管量を削減できれば、物理的なセキュリティリスクそのものを減らすことにもつながります。士業向けクラウドストレージの選定ポイントは士業向けクラウドストレージ比較を参照してください。
インシデント発生時の対応手順
どれほど対策を講じても、セキュリティインシデントの発生確率をゼロにすることはできません。重要なのは、インシデント発生時に被害を最小化し、法的義務(報告・通知)を確実に履行する体制を事前に整えておくことです。以下は、士業事務所が備えるべき基本的な対応手順です。
-
01
初動対応: 被害拡大の防止 感染端末をネットワークから隔離(LANケーブル抜去・Wi-Fi切断)する。ランサムウェアの場合はNASや共有フォルダへの感染拡大を防ぐため、ファイルサーバーの停止も検討する。電源は切らない(フォレンジック調査に影響する可能性があるため)
-
02
状況把握と記録 発生日時、発見者、影響範囲(どのデータ・どの端末が被害を受けたか)を記録する。画面のスクリーンショット、エラーメッセージ、不審なメールの保全を行う
-
03
専門機関への相談 IPA「情報セキュリティ安心相談窓口」(電話: 03-5978-7509)やJPCERT/CC、警察庁サイバー犯罪相談窓口(#9110)に連絡する。ランサムウェアの場合は「No More Ransom」プロジェクトの復号ツールで解除できる場合もある
-
04
法的義務の履行 個人データの漏洩が確認された場合、個人情報保護委員会への速報(3〜5日以内)と本人通知を行う。所属する士業団体(弁護士会、税理士会等)への報告も必要に応じて実施する
-
05
復旧と再発防止 バックアップからのデータ復旧を実施する。復旧後、侵入経路を特定し、同一の脆弱性を塞ぐ。インシデント対応の振り返りを行い、セキュリティポリシーを改訂する
インシデント対応計画は、策定して終わりではなく年1回は机上訓練を行い、担当者が手順を把握しているか確認してください。「誰に連絡するか」「どの端末から隔離するか」をとっさに判断できるかどうかが、被害額を左右します。
サイバーセキュリティ対策に関するよくある質問
士業事務所でもサイバー攻撃の標的になるのですか?
士業事務所は顧客の個人情報・財務情報・機密書類を大量に保有しており、攻撃者にとって価値の高いターゲットです。警察庁の統計では2024年のランサムウェア被害222件のうち中小企業が約63%を占めており、規模の小ささは防御にはなりません。
セキュリティ対策にどの程度の予算を見込むべきですか?
事務所の規模や業務内容によりますが、まずは無料または低コストで実施できる対策(OS・ソフトウェアの更新、多要素認証の導入、従業員教育)から着手することが重要です。UTM機器の導入は月額数千円から、クラウドバックアップは月額2,000〜3,000円程度から利用できます。ランサムウェア被害の復旧費用が1,000万円以上に及ぶケースが50%に達することを踏まえると、年間数万円〜十数万円の投資は合理的な水準です。
個人情報が漏洩した場合、どのような法的責任を負いますか?
個人情報保護法上、漏洩等が発生し個人の権利利益を害するおそれが大きい場合は、個人情報保護委員会への報告と本人への通知が義務付けられています。報告義務に違反した場合は最大50万円の罰金が科されます。加えて、各士業法の守秘義務違反として懲戒処分を受ける可能性があり、民事上の損害賠償責任も問われ得ます。
多要素認証(MFA)はどのサービスに導入すべきですか?
優先度が高いのは、メール(Microsoft 365・Google Workspace)、クラウドストレージ、会計・税務ソフト、VPN接続、リモートデスクトップの5つです。特にVPNとリモートデスクトップは、ランサムウェアの主要な侵入経路として警察庁の統計でも上位に挙がっています。認証アプリ(Microsoft Authenticator、Google Authenticatorなど)を使った方式が、SMS認証よりもセキュリティ強度が高く推奨されます。
従業員へのセキュリティ教育はどの程度の頻度で行うべきですか?
最低でも年1回の研修実施が望ましいとされています。加えて、フィッシングメールの手口が巧妙化している現状を踏まえ、四半期に1回程度の注意喚起メールや、実際のフィッシングメール事例を共有する簡易な勉強会を挟むと効果的です。IPAの「情報セキュリティ6か条」などの無料教材を活用すれば、コストをかけずに実施できます。
クラウドサービスを利用する場合のセキュリティ上の注意点は何ですか?
契約前にデータセンターの所在地(国内か海外か)、暗号化方式(転送時・保存時)、アクセスログの提供有無、解約時のデータ消去方法を確認してください。また、管理者アカウントには必ず多要素認証を設定し、退職者のアカウント削除を速やかに行う運用ルールを定めることが重要です。ISO 27001やISMAP(政府情報システムのためのセキュリティ評価制度)の認証取得状況も選定基準の一つになります。
まとめ — 士業事務所のサイバーセキュリティ対策一覧
士業事務所のサイバーセキュリティ対策は、技術・組織・物理の3層で構築する多層防御が基本です。すべてを一度に完璧にする必要はありません。まずは以下の表で自所の対応状況を確認し、未着手の項目から優先的に取り組んでください。
| 対策分類 | チェック項目 | 優先度 |
|---|---|---|
| 技術的対策 | OS・ソフトウェアの定期更新 | 最優先 |
| 多要素認証(MFA)の導入 | 最優先 | |
| VPN機器のファームウェア更新 | 最優先 | |
| 3-2-1ルールに基づくバックアップ | 高 | |
| 組織的対策 | セキュリティポリシーの策定 | 高 |
| 従業員教育(年1回以上) | 高 | |
| 生成AI利用ポリシーの策定 | 高 | |
| 物理的対策 | サーバー・書庫の施錠管理 | 中 |
| 端末の暗号化・盗難対策 | 高 | |
| インシデント対応 | インシデント対応手順の策定と訓練 | 高 |
サイバーセキュリティの脅威は年々高度化しており、IPA「情報セキュリティ10大脅威 2026」でもAIリスクの台頭が象徴するように、新たな対策領域が次々と生まれています。対策を「一度整備して終わり」とせず、年に1回は脅威情報のアップデートとポリシーの見直しを行うことが、顧客の信頼を守り続けるための条件です。
※ 本記事の情報は2026年4月時点の内容です。各サービスの最新情報は公式サイトでご確認ください。
※ 本記事は一般的な情報提供を目的としており、特定の製品・サービスを推奨するものではありません。