書類管理のセキュリティ — 士業が「他人事」にできない理由
個人情報保護委員会への漏洩等報告件数は、令和6年度に19,056件(前年度比57%増)と過去最高を更新しました。警察庁の統計でもランサムウェア被害は2024年に222件、そのうち63%が中小企業です。
士業事務所は、顧客の個人情報・財務情報・機密書類を日常的に取り扱います。弁護士法、税理士法、行政書士法——いずれの士業法にも守秘義務が明記されており、違反すれば刑事罰の対象になります。にもかかわらず、IPAの2024年度調査では中小企業の62.6%がセキュリティ対策に投資していないと回答しています。
この記事では、士業事務所の書類管理セキュリティを情報漏洩の実態・守秘義務と罰則・5つの基本対策・関連法令の4つの切り口で、公的データをもとに解説します。
情報漏洩の実態 — 最新統計データで見る脅威
まず、情報漏洩の規模と原因を把握しましょう。
| 指標 | 数値(2024年) | 出典 |
|---|---|---|
| 漏洩等報告件数 | 19,056件(前年比+57%) | 個人情報保護委員会(令和6年度) |
| 上場企業の漏洩事故 | 189件(4年連続最多更新) | 東京商工リサーチ(2024年) |
| 漏洩した個人情報 | 1,586万5,611人分 | 東京商工リサーチ(2024年) |
| ランサムウェア被害 | 222件(中小企業63%) | 警察庁(2024年) |
| フィッシング報告 | 約171万件 | フィッシング対策協議会(2024年) |
| 復旧費用1,000万円超 | 50% | 警察庁(2024年) |
漏洩原因の内訳 — 83%超がヒューマンエラー
個人情報保護委員会の令和5年度データでは、事業者自身が原因の漏洩9,494件のうち、誤交付・誤送付・誤廃棄が83.5%(7,923件)を占め、ヒューマンエラー合計では83.5%に達しました。不正アクセスは2.8%と少数派です。
一方、上場企業に限ると「ウイルス感染・不正アクセス」が60.3%(114件/189件)で最大。企業規模によって脅威の構造が異なることがわかります。士業事務所ではメール誤送信や書類の誤交付への対策が最優先です。
2023年6月、社労士向けクラウドシステム「社労夢」がランサムウェア被害を受け、約57万事業所・826万人分の個人情報に影響が及びました。多くの社労士事務所が業務停止を余儀なくされ、個人情報保護委員会から行政指導を受けています。クラウド委託先のセキュリティも士業にとって無関係ではありません。
士業の守秘義務と罰則 — 5士業の比較
士業はそれぞれの根拠法で守秘義務が課されています。違反した場合の罰則を比較します。
| 士業 | 守秘義務条文 | 罰則 | 親告罪 |
|---|---|---|---|
| 税理士 | 税理士法第38条 | 2年以下の懲役又は100万円以下の罰金(第59条) | 親告罪 |
| 行政書士 | 行政書士法第12条 | 1年以下の懲役又は100万円以下の罰金(第22条) | 親告罪 |
| 社会保険労務士 | 社労士法第21条 | 1年以下の懲役又は100万円以下の罰金(第32条の2) | 親告罪 |
| 弁護士 | 弁護士法第23条 | 6月以下の懲役又は10万円以下の罰金(刑法第134条) | 親告罪 |
| 司法書士 | 司法書士法第24条 | 6月以下の懲役又は50万円以下の罰金(第76条) | — |
税理士の守秘義務違反は士業の中で最も法定刑が重く、2年以下の懲役が科される可能性があります。さらに士業の中で唯一、懲役2年という重い法定刑が設定されています。弁護士は弁護士法自体には罰則がなく、刑法の秘密漏示罪が適用されますが、弁護士会による懲戒処分(業務停止・退会命令・除名)の対象にもなります。
いずれの士業においても、「退職後も守秘義務は継続する」ことが明記されています。情報を扱う以上、事務所の閉鎖や退職後も漏洩リスクへの配慮が必要です。
書類管理セキュリティの基本対策5つ
IPAの「中小企業の情報セキュリティ対策ガイドライン」第3.1版(2023年4月)をベースに、士業事務所で実践すべき5つの対策を解説します。
アクセス権限の適切な設定 権限管理
最小権限の原則——業務に必要な最小限のアクセス権だけを付与します。所長・担当者・事務員でアクセスできる範囲を分け、退職者のアカウントは即日削除がルールです。IPAの2020年調査では、中途退職者による営業秘密漏洩が全体の36.3%で最多でした。
多要素認証(MFA)の導入 認証
パスワードだけでは不十分です。警察庁の調査ではMFA導入率は全体で43.8%にとどまります。Google Workspace・Microsoft 365・Dropboxなど主要クラウドサービスはMFAに対応済み。設定をオンにするだけで、不正ログインのリスクを大幅に軽減できます。
通信・保存データの暗号化 暗号化
Google Drive・Dropbox・OneDrive・Boxの4大クラウドストレージは、いずれも保存時AES-256暗号化、通信時TLS暗号化に対応しています。自前サーバーでファイルを管理するよりも、クラウドストレージを活用する方が暗号化レベルは確実です。詳しくは士業向けクラウドストレージ比較を参照してください。
3-2-1ルールのバックアップ 復旧
米国CISA(サイバーセキュリティ庁)が推奨する3-2-1ルール——データのコピーを3つ、2種類以上のメディアに、1つはオフサイトに保管します。ランサムウェア被害の復旧費用は50%のケースで1,000万円を超えており(警察庁 2024年)、バックアップなしでは事務所の存続に関わります。
従業員へのセキュリティ教育 人的対策
IPAの2024年度調査では、セキュリティ教育を「特に実施していない」中小企業が63.6%。漏洩原因の83%超がヒューマンエラーである以上、ツール導入だけでは不十分です。標的型攻撃メール訓練は月額150円/アドレスから導入可能で、訓練を重ねると初回10〜20%程度の開封率が5%以下まで低下します。
PPAP廃止とメール誤送信対策
パスワード付きZIPファイルをメールで送り、別メールでパスワードを送る「PPAP」。2020年にデジタル大臣が廃止を表明し、2025年には金融庁が金融機関に利用停止を要請しました。
PPAPの問題は明確です。同じ経路でパスワードを送るため盗聴対策にならないこと、暗号化ZIPはウイルス検知をすり抜ける可能性があること、そして受信者の手間が大きいことです。
代替手段の選択肢
-
01
クラウドストレージの共有リンク Box・Google Drive・OneDriveのリンク共有機能で、アクセス権限・ダウンロード制限・有効期限を設定可能
-
02
ファイル転送サービス GigaCC・クリプト便などの国産サービス。送信ログの管理と自動削除が可能
-
03
書類回収特化ツール Doclyのように、URLを送るだけで顧客から書類をアップロードしてもらう方式。メール添付自体をなくせる
メール添付のリスクやクラウド回収との比較は、メール添付 vs クラウド書類回収の徹底比較で詳しく解説しています。
書類管理に関わる法令 — 3つの法律を整理
個人情報保護法(2022年4月改正施行)
2022年の改正で、漏洩時の個人情報保護委員会への報告が義務化されました。対象となるのは要配慮個人情報の漏洩、財産的被害のおそれ、不正目的の漏洩、または1,000人超の漏洩です。速報を3〜5日以内、確報を30日以内(不正目的は60日以内)に提出する必要があります。
安全管理措置は組織的・人的・物理的・技術的の4分類。法人への罰金は従来の50万円から最大1億円に引き上げられました。従業員100人以下の中小規模事業者には緩和措置がありますが、義務自体は免除されません。
マイナンバー法 — 個人情報保護法より重い罰則
特定個人情報(マイナンバーを含む情報)の不正提供には、4年以下の懲役又は200万円以下の罰金が科されます。個人情報保護法の約4倍の重さです。さらに、改善命令を経ずに直接刑事罰が適用される点が大きな特徴です。
マイナンバーは法定保存期間(扶養控除等申告書は7年間など)の経過後、速やかに廃棄する義務があります。税理士事務所や社労士事務所では年末調整・給与計算でマイナンバーを取り扱うため、保管期限と廃棄手順の管理が不可欠です。
電子帳簿保存法(2024年1月完全義務化)
電子取引データの電子保存が全事業者に義務化されました。保存要件は「真実性の確保」と「可視性の確保」の2つ。真実性の確保にはタイムスタンプの付与、訂正削除の記録が残るシステムの利用、または事務処理規程の策定のいずれかが必要です。
テレワーク環境での書類管理については、士業事務所のリモートワーク実践ガイドでセキュリティ対策も含めて解説しています。
IPA「情報セキュリティ10大脅威 2025」— 士業が注意すべき脅威
IPAが毎年公表する「情報セキュリティ10大脅威」(組織編)から、士業事務所に特に関連する脅威を整理します。
| 順位 | 脅威 | 士業への影響 |
|---|---|---|
| 1位 | ランサム攻撃(5年連続) | 書類データの暗号化・業務停止。社労夢事件のようにクラウド経由の被害も |
| 2位 | サプライチェーン攻撃 | 会計ソフト・クラウドサービスの委託先が攻撃される間接被害 |
| 4位 | 内部不正による情報漏えい | 退職者の持ち出し。営業秘密漏洩の最大原因 |
| 6位 | リモートワーク環境への攻撃 | VPN脆弱性やクラウド設定ミスを狙った攻撃 |
| 10位 | 不注意による情報漏えい | メール誤送信・書類の誤交付。漏洩原因の83%超がヒューマンエラー |
2026年版では「AIの利用をめぐるサイバーリスク」が初選出で3位にランクインしました。AI活用が進む中で、新たな脅威への注意も求められています。
まとめ — 書類管理セキュリティは「仕組み」で守る
士業事務所のセキュリティ対策は、高額なツールの導入ではなく「仕組みづくり」から始まります。情報漏洩の83%超がヒューマンエラーである以上、ルール策定と教育が最も費用対効果の高い対策です。
- 情報漏洩の実態 — 令和6年度の報告件数は19,056件。ランサムウェア被害の63%が中小企業
- 守秘義務 — 税理士は2年以下の懲役と最も重い。個人情報保護法違反は法人に1億円の罰金
- 基本対策5つ — 権限管理・MFA・暗号化・バックアップ・教育。クラウド活用で暗号化とバックアップは自動化
- PPAP廃止 — メール添付からクラウド共有・書類回収ツールへの移行が急務
- マイナンバー法 — 不正提供は4年以下の懲役。保管期限後の速やかな廃棄が義務