SHARE
-
記事タイトルとURLをコピーする
URLをコピーしました。
2024年3月に日本弁護士連合会が制定した「弁護士情報セキュリティ規程」に基づき、すべての弁護士が策定することを求められている「弁護士業務における情報の基本的な取扱い方法」の略称です。
裁判手続きのIT化が本格化し、クラウドサービスの利用が当たり前となった現在、従来の「書類を鍵付きキャビネットに保管する」という物理的な管理だけでは、依頼者の機密情報を守ることはできません。 メールの誤送信、ランサムウェア攻撃、PC・スマートフォンの紛失など、情報漏洩のリスクは日々高まっています。
しかし、多くの弁護士事務所では「何から手をつければよいのか分からない」「ITに詳しくないので対策が難しい」「小規模事務所では予算的に厳しい」といった悩みを抱えているのが実情ではないでしょうか。
本記事では、弁護士業務における情報セキュリティの専門家として、キホトリの基本から具体的な実装方法まで、実務で本当に使える情報を8,500字にわたって徹底解説します。
目次
弁護士が知らないとまずい「キホトリ」とは
まず、「キホトリ」とは何か、内容を知らない弁護士は、今すぐ確認する必要があります。
2024年に定められた弁護士情報セキュリティ規程
2024年3月、日本弁護士連合会(日弁連)は「弁護士情報セキュリティ規程」を制定しました。 この規程は、弁護士が業務上取り扱う依頼者情報や事件記録などの機密情報について、最低限遵守すべき情報セキュリティの基準を定めたものです。
近年、弁護士業務のデジタル化が急速に進展する一方で、情報漏洩事故やサイバー攻撃のリスクも高まっています。 特にコロナ禍以降、テレワークの普及やクラウドサービスの利用が拡大したことで、従来の「書類を鍵付きキャビネットに保管する」という物理的な管理だけでは不十分な状況となりました。
弁護士が扱う情報は、刑事事件の被疑者・被告人情報、企業のM&A案件、個人の離婚・相続に関する極めてセンシティブな内容など、高度な守秘性が要求されます。 これらの情報が漏洩した場合、依頼者に重大な損害を与えるだけでなく、弁護士自身も懲戒処分や損害賠償責任を負うリスクがあります。
キホトリの位置づけ
「キホトリ」とは、「弁護士業務における情報の基本的な取扱い方法」の略称です。 これは弁護士情報セキュリティ規程第4条に基づき、各弁護士または弁護士法人が策定することが求められている文書です。
弁護士情報セキュリティ規程自体は、情報セキュリティに関する「原則」や「方針」を定めた抽象的な内容となっています。
これに対して「キホトリ」は、各事務所の実情に応じた具体的な取扱方法を定めるものです。 つまり、規程という一般的抽象的な事項を定めた「法律」に対し、個々の法律事務所における実情に沿った運用基準を定める「施行規則」のような位置づけといえます。
日弁連は「キホトリ」のひな形を提供しており、多くの弁護士事務所がこのひな形をベースに自事務所用にカスタマイズして使用しています。 しかし、後述するように、ひな形をそのまま使うだけでは不十分なケースも少なくありません。
キホトリは法的な強制力を持つものではありませんが、弁護士が個人情報保護法上の個人情報取扱事業者として、そして弁護士職務基本規程第23条(秘密保持義務)を遵守するための実務的な手段として、実質的に必須のものと考えるべきです。 また、企業法務案件において、クライアント企業から情報セキュリティ体制について説明を求められるケースが増えており、キホトリの整備状況が受任の可否に影響することもあります。
裁判の本格的なIT化に向けた対策が急務
2022年から段階的に導入されている民事訴訟のIT化(民事訴訟法改正)により、訴状や準備書面の電子提出、Web会議による期日実施などが本格化しています。 2025年以降、さらに多くの裁判所でオンライン申立システムが稼働し、2026年には全面施行となる予定です。
このIT化の流れにより、弁護士が扱う情報の多くが電子データ化されることになります。
紙の書類であれば「鍵付きキャビネットに保管」という明確な管理方法がありましたが、電子データの場合、適切なアクセス制御、暗号化、バックアップなど、より高度な管理が必要です。
また、裁判所とのやり取りがオンライン化されることで、システムへの不正アクセスや通信の傍受といった新たなリスクも生じます。 さらに、訴訟記録が電子化されたことで、従来よりも大量の情報を一度に扱うことになり、万が一の情報漏洩時の被害規模も拡大する可能性があります。
さらに、刑事手続きにおいても、証拠開示のデジタル化が本格的に検討され2025年に国会で法案が成立しています。 今後は、弁護士が大量の電子証拠を扱う機会が増えてくるでしょう。
法務省:情報通信技術の進展等に対応するための刑事訴訟法等の一部を改正する法律案
こうした状況の中で、キホトリに基づいた適切な情報セキュリティ体制の構築は、もはや「やった方が良い」ではなく「やらなければならない」ものとなっているのです。
弁護士情報セキュリティ規程とキホトリ
ここで、弁護士情報セキュリティ規程と、第4条に基づき要求されるキホトリについて関係性を詳しくみていきましょう。
弁護士情報セキュリティ規程の概要
弁護士情報セキュリティ規程は、全14条から構成される比較的コンパクトな規程です。 主な内容は以下の通りです。
|
第1条(目的):弁護士が業務上取り扱う情報の適正な管理を図ることを目的としています。 |
|
第2条(定義):「業務情報」を「依頼者に関する情報その他弁護士が業務上取り扱う情報」と定義しています。 これには依頼者の個人情報だけでなく、事件記録、相談内容、内部の業務連絡なども含まれます。 |
|
第3条(基本方針):弁護士は業務情報について、その機密性、完全性及び可用性を確保するために必要な措置を講じなければならないと定めています。 |
|
第4条(情報の基本的な取扱い方法):各弁護士は「弁護士業務における情報の基本的な取扱い方法」(キホトリ)を定めなければならないとされています。 |
|
第5条から第13条:情報の分類、アクセス制御、暗号化、バックアップ、ウイルス対策、物理的セキュリティ、外部サービス利用、セキュリティインシデント対応など、具体的な対策項目が列挙されています。 |
|
第14条(見直し):定期的に規程の見直しを行うことが求められています。 |
この規程の特徴は、「〜しなければならない」という義務規定が多い一方で、具体的な実施方法については各事務所の判断に委ねられている点です。
例えば「適切な暗号化を行う」とは書かれていますが、どのような暗号化方式を使うべきかまでは規定されていません。 これは、事務所の規模や取り扱う案件の性質によって最適な対策が異なるためです。
弁護士情報セキュリティ規程は作成しなくてもよい?
結論から言えば、弁護士情報セキュリティ規程そのものは、各弁護士が独自に作成する必要はありません。 これは日弁連が制定した統一的な規程であり、すべての弁護士に適用されるものです。
一方、「キホトリ」については、各弁護士または弁護士法人が自ら策定する必要があります。 規程第4条では「弁護士は、業務情報を適正に管理するため、弁護士業務における情報の基本的な取扱い方法を定めるものとする」と規定されており、これは各弁護士の義務とされています。
ただし実務上、キホトリを策定していないからといって直ちに懲戒処分の対象になるわけではありません。 しかし、情報漏洩事故が発生した場合、適切な情報管理体制を構築していなかったことが懲戒事由となる可能性は十分にあります。
また、企業法務案件では、依頼者企業から「情報セキュリティポリシーの提出」を求められるケースが増えています。 大手企業の多くは、外部委託先に対するセキュリティ監査を実施しており、弁護士事務所も例外ではありません。 キホトリが未整備の場合、受任できない案件が出てくる可能性もあるのです。
個人情報保護法の観点からも、弁護士は「個人情報取扱事業者」に該当するため、安全管理措置を講じる義務があります(個人情報保護法第23条)。 キホトリは、この法的義務を履行するための具体的な文書としても位置づけられます。
参照:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」 https://www.ppc.go.jp/
「キホトリ」はひな形を使っておくだけで本当によいのか?
日弁連が提供するキホトリのひな形は、非常によく作り込まれた文書であり、多くの事務所にとって有用な出発点となります。 しかし、ひな形をそのまま使うだけでは不十分なケースも少なくありません。
第一に、ひな形は「標準的な小規模事務所」を想定して作られています。 個人事務所なのか、複数の弁護士を抱える事務所なのか、企業法務が中心なのか、刑事事件が多いのかなど、事務所の特性によって必要な対策は異なります。
第二に、使用しているITシステムやクラウドサービスの具体名がひな形には記載されていません。 実際には「Google Workspaceを使用する場合は多要素認証を有効にする」「Dropboxでファイル共有する際は有効期限を設定する」といった具体的なルールが必要です。
第三に、ひな形は「文書を作ること」に焦点が当てられており、「実際に運用すること」までは考慮されていません。
キホトリは作って終わりではなく、日々の業務の中で実践し、定期的に見直すことが重要です。 事務所の体制、人員、業務フローなどは個々の事務所により異なると考えられますが、その実態に沿った運用ができないキホトリは無意味です。
では、どのようにカスタマイズすべきでしょうか。 いくつかポイントを解説します。
まず、自事務所で実際に使用しているツールやサービスを洗い出し、それぞれについての具体的な使用ルールを記載すべきです。 例えば「メール送信時は、機密情報を含む場合は暗号化する」というルールがひな形にあったとしても、実際にどのような方法で暗号化するのか(パスワード付きZIP、暗号化メールサービス、ファイル転送サービスなど)を明記する必要があります。
次に、事務所の規模に応じた役割分担を明確にします。 個人事務所であれば弁護士本人がすべての責任を負いますが、複数名の事務所であれば情報セキュリティ責任者を定め、定期的なチェックを行う体制を構築すべきです。
さらに、取り扱う案件の性質に応じたリスク評価も重要です。 企業のM&A案件を多く扱う事務所と、個人の債務整理を中心に扱う事務所では、求められる情報セキュリティのレベルが異なります。
最後に、キホトリは「生きた文書」として運用することが不可欠です。 年に1回は見直しを行い、新たに導入したツール、発生したインシデント、法改正などを反映させていく必要があります。
キホトリ以前に知っておくべきIT用語
ここで、本格的にキホトリの策定や運用に関する解説の前に、基本的なIT・情報セキュリティに関する用語を解説します。
暗号化
暗号化とは、情報を第三者が読めない形式に変換する技術です。
「鍵」と呼ばれる特殊な情報を使って元の形式(平文)を暗号文に変換し、同じ鍵(または対応する鍵)がなければ元に戻せない仕組みです。
弁護士業務での重要性として、PCやスマートフォンが盗難に遭った場合でも、ハードディスク全体が暗号化されていれば、泥棒はデータの内容を読むことができません。 また、メールで機密文書を送る際に暗号化することで、通信経路上で傍受されても内容が漏洩しません。
具体的な暗号化の種類は、下記のものが挙げられます。
- ディスク暗号化:Windows 10/11 ProのBitLocker、MacのFileVaultなど、ハードディスク全体を暗号化する機能
- ファイル暗号化:個別のファイルにパスワードを設定する方法(例:PDFのパスワード保護)
- 通信の暗号化:HTTPS通信、VPN接続など、データ送信時の暗号化
- メール暗号化:S/MIME、PGPなどの暗号化メール技術
重要なのは、暗号化しただけで安心してはいけないという点です。 暗号化の鍵(パスワード)が推測されやすいものであれば意味がありませんし、鍵を紛失すれば自分でもデータにアクセスできなくなります。
バックアップ
バックアップとは、データの複製を作成し、元のデータが失われた場合に復元できるようにしておくことです。
情報セキュリティの3要素である「可用性」(必要な時に情報にアクセスできること)を確保するための重要な対策です。
弁護士業務でのリスクとして、例えば裁判期日の前日にPCが故障してすべてのデータが消失した場合、訴訟活動に重大な支障が生じます。 また、近年急増しているランサムウェア攻撃では、PCのデータが暗号化されて使用不能になり、身代金を要求されます。
適切なバックアップがあれば、このような攻撃を受けてもデータを復元できます。
バックアップの3-2-1ルールというものがあり、情報セキュリティの世界では次のようなルール設計がベースとなるものとして推奨されています。
- 3つのコピー:元データ、バックアップ1、バックアップ2の計3つを保持
- 2種類の媒体:外付けHDDとクラウドなど、異なる種類の保存先を使用
- 1つは外部保管:火災や地震などの災害に備え、物理的に離れた場所に保管
注意点として、バックアップは「取っただけ」では不十分です。 定期的に「復元テスト」を実施し、実際にバックアップからデータを復元できることを確認する必要があります。 多くの事務所で「バックアップは取っていたが、いざという時に復元できなかった」という事態が発生しています。
また、バックアップデータ自体のセキュリティも重要です。 暗号化されていないバックアップを外部に保管すると、それ自体が情報漏洩のリスクとなります。
クラウド/オンプレミス
「クラウド」とは、インターネット経由でサーバーやストレージ、アプリケーションなどを利用するサービス形態です。
Gmail、Google Drive(GoogleWorkSpace)、Dropbox、Microsoft 365などが代表例です。 自社でサーバーを保有・管理せず、必要な時に必要な分だけサービスを利用できるのが特徴です。
これに対して「オンプレミス」は、自社内にサーバーやシステムを設置し、自ら管理・運用する従来型の形態です。
クラウドのメリット:
- 初期投資が少なく、月額料金で利用可能
- サーバーの保守管理が不要
- どこからでもアクセス可能(テレワーク対応)
- 自動バックアップ機能が提供される場合が多い
- 常に最新のセキュリティパッチが適用される
クラウドのリスク:
- サービス提供者のセキュリティに依存
- インターネット接続が必須
- 利用規約で「サービス提供者は責任を負わない」とされている場合がある
- データの保管場所(国)によっては法的問題が生じる可能性
- 設定ミスによる情報公開のリスク
参照:総務省|クラウドサービス提供における 情報セキュリティ対策ガイドライン (第3版)
弁護士業務での判断基準として、日弁連のキホトリでも、クラウドサービスの利用自体は否定されていません。 重要なのは、利用するサービスのセキュリティレベルを評価し、適切な設定を行うことです。
具体的には、以下の点を確認すべきです:
- データの保管場所(できれば日本国内)
- 暗号化の有無と方式
- バックアップ体制
- アクセスログの保存期間
- サービス提供者のセキュリティ認証(ISO27001、SOC2など)
- 利用規約における責任範囲
一般的に、無料プランよりも有料のビジネスプランの方がセキュリティ機能が充実しており、弁護士業務では有料プランの選択が推奨されます。
マルウェア/ランサムウェア
「マルウェア」は「悪意のあるソフトウェア」の総称で、コンピュータに害を及ぼすプログラムの全般を指します。
ウイルス、ワーム、トロイの木馬、スパイウェアなどが含まれます。
「ランサムウェア」は、マルウェアの一種で、感染するとコンピュータのデータを暗号化して使用不能にし、復号化の対価として金銭(身代金=ランサム)を要求するものです。
弁護士事務所が狙われる理由:
弁護士事務所は、企業や個人の機密情報を多く保有しているため、サイバー犯罪者にとって魅力的な標的です。 特に、大企業と比べてセキュリティ対策が手薄な中小の弁護士事務所が狙われやすい傾向にあります。
近年では「二重恐喝型」のランサムウェアも増えています。 これは、データを暗号化するだけでなく、暗号化前にデータを窃取し、「身代金を払わなければ情報を公開する」と脅迫するものです。
感染経路:
- メールの添付ファイル(請求書や裁判所を装ったフィッシングメール)
- 不正なウェブサイトの閲覧
- USBメモリなどの外部記憶媒体
- ソフトウェアの脆弱性を突いた攻撃
- リモートデスクトップの脆弱なパスワード
対策の基本:
- セキュリティソフトの導入と定期的な更新
- OS・アプリケーションの最新化
- 不審なメールの添付ファイルは開かない
- 定期的なバックアップ(ランサムウェア攻撃を受けてもバックアップから復元)
- 従業員への教育(標的型攻撃メールの見分け方)
多要素認証(二段階認証)
多要素認証(MFA: Multi-Factor Authentication)は、パスワードに加えて別の認証要素を要求することで、セキュリティを強化する仕組みです。
「二段階認証」「二要素認証」とも呼ばれます。
認証の3要素が可用性及び機密性の要素であり、基礎知識として重要です。
- 知識要素:パスワード、PINコードなど、本人が「知っている」情報
- 所持要素:スマートフォン、トークン、ICカードなど、本人が「持っている」物
- 生体要素:指紋、顔、虹彩など、本人の「身体的特徴」
多要素認証では、これらの異なる要素を組み合わせます。 例えば、パスワード(知識)とスマートフォンに送られるコード(所持)の組み合わせが一般的です。
弁護士業務での重要性は、仮にパスワードが漏洩した場合でも、多要素認証が有効になっていれば、第三者による不正アクセスを防ぐことができることです。 特に、クラウドサービスのメールやファイルストレージなど、機密情報にアクセスできるシステムでは、多要素認証の有効化が必須です。
具体的な方法としては、次のようなものが挙げられます。
- SMS認証:携帯電話にコードが送られてくる方式(最も普及しているが、SIMスワップ詐欺のリスクあり)
- 認証アプリ:Google AuthenticatorやMicrosoft Authenticatorなどのアプリでコードを生成(推奨)
- ハードウェアトークン:YubiKeyなどの物理的なデバイス(最も安全だが費用がかかる)
- 生体認証:指紋認証、顔認証(スマートフォンやPCに搭載されている場合)
Google Workspace、Microsoft 365、Dropboxなど、主要なクラウドサービスはすべて多要素認証に対応しています。 設定は5分程度で完了するため、まだ有効にしていない場合は今すぐ実施すべきです。
情報セキュリティにおいて考えるべき基本的なリスクとリスクマネジメント
次に、情報セキュリティにおける基本的なリスクの捉え方・考え方と、リスクマネジメントについて解説します。
ヒューマンエラー(誤送信、誤設定、誤廃棄、紛失など)
情報セキュリティ対策を効果的に実施するには、まず「何がリスクなのか」を正しく理解する必要があります。 ここでは、弁護士事務所で特に注意すべき4つのリスクを解説します。
●ヒューマンエラー(誤送信、誤設定、誤廃棄、紛失など)
実は、情報セキュリティインシデントの多くは、外部からの攻撃ではなく、内部の人的ミスによって発生しています。 IPAの調査によれば、情報漏洩事故の約半数は人為的ミスが原因とされています。
代表的なヒューマンエラーは、次のようなものが挙げられます。
- メールの誤送信:宛先を間違える、BCCではなくTO/CCに入れてしまう、添付ファイルを間違える
- ファイル共有の誤設定:Googleドライブなどで「リンクを知っている全員」に共有設定してしまう
- 書類の誤廃棄:機密文書をシュレッダーにかけずに捨てる
- PC・スマートフォンの紛失:電車やタクシーに置き忘れる
- USBメモリの紛失:依頼者情報が入ったUSBを紛失
- 書類の置き忘れ:裁判所や相手方事務所に書類を置き忘れる
※OpenAI ChatGPT・DALL-E 2により生成(以下同じ。)
ヒューマンエラーをゼロにすることは不可能ですが、発生確率を下げ、発生時の被害を最小化することは可能です。 そのために必要なセキュリティルールとして、次のようなものが挙げられます。
- ダブルチェック:重要なメール送信前には第三者に確認してもらう
- 送信遅延設定:メール送信後に一定時間(例:1分)取り消し可能にする設定
- テンプレート化:定型業務はテンプレートを使い、入力ミスを減らす
- クリアデスクルール:離席時・退勤時は机上に書類を残さない
- 暗号化の徹底:紛失しても内容が読めないよう、デバイスやファイルを暗号化
- 物理的なストッパー:USBポートを無効化、持ち出しPCを限定するなど
特に弁護士事務所では、事務職員の教育が重要です。 弁護士本人がセキュリティ意識を持っていても、事務職員が無自覚に情報を扱っていれば、そこから漏洩が発生します。
技術的制限の不備
技術的制限の不備とは、システム上の設定ミスや管理不足により、本来アクセスすべきでない人が機密情報にアクセスできてしまう状態を指します。
具体的なリスクとしては、次のような事象が考えられます。
- アクセス権限の過剰付与:すべての事務職員がすべての依頼者情報にアクセスできる状態
- 退職者のアカウント削除漏れ:退職した職員のIDが残っており、外部からアクセスされる
- パスワードの使い回し:同じパスワードを複数のサービスで使用
- 弱いパスワード:「password」「123456」など推測されやすいパスワード
- 共有アカウントの使用:複数人で同じIDを共有し、誰がアクセスしたか分からない
- 多要素認証の未設定:パスワードだけで重要なシステムにアクセス可能
対策の基本:
- 最小権限の原則:業務上必要な最小限の権限のみを付与する
- 定期的な権限見直し:四半期ごとにアクセス権限を見直し、不要なものは削除
- パスワードポリシー:8文字以上、英数字記号の組み合わせを必須とする
- パスワード管理ツール:Bitwarden、1Passwordなどでパスワードを一元管理
- アカウントライフサイクル管理:入所時の権限付与、退所時の即時削除のルール化
- ログ監視:誰がいつ何にアクセスしたかを記録し、定期的に確認
参照:NIST(米国標準技術研究所)とセキュリティ(その2)~NIST SP800-53の概要~ | 株式会社NTTデータ先端技術
特に小規模事務所では「全員が信頼できるから」という理由でアクセス制御を軽視しがちですが、退職後のトラブルや、アカウント乗っ取りによる外部からの不正アクセスを防ぐためにも、適切な権限管理は必須です。
バックアップ不備
バックアップの重要性は前述しましたが、実際には「バックアップを取っている」と思っていても、いざという時に使えないケースが多発しています。
よくあるバックアップの失敗例:
- バックアップが自動実行されていなかった:設定ミスで実際には動作していなかった
- バックアップ先が同じPC内:PC全体が故障した場合、バックアップも失われる
- バックアップの世代管理不足:1つしかバックアップがなく、それが壊れていた
- ランサムウェアがバックアップも暗号化:ネットワーク接続されたバックアップも同時に攻撃された
- 復元テストの未実施:バックアップは取れていたが、復元方法が分からない
- クラウド同期≠バックアップ:Dropbox等の同期では、元ファイルを削除すると同期先も削除される
対策の基本:
- 3-2-1ルールの徹底:3つのコピー、2種類の媒体、1つは外部保管
- オフラインバックアップ:ランサムウェア対策として、ネットワークから切り離されたバックアップを保持
- 定期的な復元テスト:月1回、実際にバックアップから復元できることを確認
- バックアップ監視:バックアップが正常に実行されているかを週次で確認
- 世代管理:日次・週次・月次など、複数世代のバックアップを保持
- 重要度に応じた頻度:訴訟記録など重要なデータは毎日、一般的な業務連絡は週次など
特に裁判期日が近い案件については、その日の作業後に必ずバックアップを取る習慣をつけることが重要です。
内部不正
内部不正とは、従業員や関係者による意図的な情報持ち出しや不正アクセスです。
外部不正は、外部の攻撃者によるサイバー攻撃や不正アクセスを指します。
内部不正の典型例として、退職時の情報持ち出し(退職予定の職員が依頼者情報をUSBやメールで持ち出す)、個人的利益のための利用(依頼者情報を名簿業者に売却)、私的な興味(有名人や知人の情報を業務外で閲覧)、競合他社への転職時の持ち出し(顧客リストや案件情報を持ち出し)などがあります。
内部不正対策としては、アクセスログの記録と監視、退職予定者の権限を段階的に制限、持ち出し可能なデバイスの制限、守秘義務契約の徹底、内部通報制度の整備、定期的なセキュリティ教育が有効です。
外部不正
外部不正は、組織外部からのサイバー攻撃などによる不正な情報アクセスなどをいいます。
外部不正の典型例として、標的型攻撃メール(実在の裁判所や依頼者を装ったフィッシングメール)、ランサムウェア攻撃(データを暗号化して身代金を要求)、総当たり攻撃/ブルートフォース(弱いパスワードを破って不正アクセス)、ゼロデイ攻撃(未公表の脆弱性を突いた攻撃)、SQLインジェクション(Webアプリケーションの脆弱性を突いたデータベースへの不正アクセス)などがあります。
外部不正対策としては、ファイアウォール、IDS/IPSの導入(中規模以上の事務所)、セキュリティソフトの最新化、OS・アプリケーションの脆弱性管理、多要素認証の徹底、定期的な脆弱性診断、セキュリティインシデント対応体制の構築が挙げられます。
キホトリで定めておくべきこと
上記の考え方キホトリは、情報セキュリティ規程を具体化した実務文書です。 ここでは、キホトリに必ず含めるべき7つの項目について、実務的な観点から解説します。
情報の分類と要保護性のランク設定
すべての情報に同じレベルのセキュリティ対策を施すのは非効率です。 情報を重要度に応じて分類し、それぞれに適切な保護措置を定めることが、効率的かつ効果的なセキュリティ対策の第一歩です。
推奨される分類例(3段階):
レベル3(最高機密):
- 対象:刑事事件の被疑者・被告人情報、企業のM&A情報、訴訟戦略メモ、個人の病歴・前科など極めてセンシティブな情報
- 取扱者:担当弁護士のみ、または特に指定された者のみ
- 保管方法:暗号化必須、アクセスログ記録、施錠保管
- 廃棄方法:シュレッダー処分(クロスカット)、電子データは完全消去ソフト使用
レベル2(社外秘):
- 対象:一般的な依頼者情報、契約書ドラフト、相談記録、事務所内部の業務連絡
- 取扱者:案件に関係する弁護士・事務職員
- 保管方法:パスワード保護、アクセス権限設定、施錠保管(推奨)
- 廃棄方法:シュレッダー処分、電子データは通常削除
レベル1(内部情報):
- 対象:公開されている判例情報、一般的な法律知識、業界ニュース
- 取扱者:事務所内全員
- 保管方法:通常の管理
- 廃棄方法:通常の廃棄
キホトリへの記載方法:
「本事務所が取り扱う情報は、以下の基準により分類する。各レベルの情報には、下記の取扱方法を適用する。」として、上記のような分類表を記載します。
さらに、実務上は「判断に迷った場合は上位のレベルとして扱う」というルールを明記しておくと良いでしょう。
暗号化
暗号化は、情報漏洩時の被害を最小化するための最も重要な技術的対策です。 キホトリでは、何を暗号化するのか、どのように暗号化するのかを具体的に定めます。
暗号化すべき対象:
- PC・ノートパソコンのハードディスク全体
- Windows:BitLocker(Windows 10/11 Pro以上)
- Mac:FileVault
- 設定方法をキホトリに記載
- スマートフォン・タブレット
- iOS:デフォルトで暗号化(パスコード設定が必要)
- Android:設定から暗号化を有効化
- USBメモリ・外付けHDD
- 暗号化機能付きUSBメモリの使用
- またはUSBメモリの使用禁止(推奨)
- メール送信時の機密情報
- パスワード付きZIPファイル(ただし、パスワードは別経路で通知)
- 暗号化メールサービス(SecureMail等)
- ファイル転送サービス(GigaFile便等、パスワード設定必須)
- クラウドストレージ上のファイル
- サービス側の暗号化機能を確認
- 特に重要なファイルは個別に暗号化してからアップロード
キホトリへの記載例:
「レベル3の情報を含むファイルをメールで送信する場合は、以下のいずれかの方法で暗号化する。①パスワード付きZIPファイルとし、パスワードは電話または別メールで通知 ②SecureMailサービスを利用して暗号化送信 ③ファイル転送サービスを利用し、パスワード設定及びダウンロード期限(7日以内)を設定」
参照:CRYPTREC 暗号技術ガイドライン (耐量子計算機暗号)2024年度版
アクセス制御
アクセス制御とは、「誰が」「何に」「どのようにアクセスできるか」を管理することです。 内部不正やヒューマンエラーを防ぐための基本的な対策です。
キホトリで定めるべき事項:
- ユーザーアカウント管理
- 個人別アカウントの原則(共有アカウント禁止)
- 入所時のアカウント作成手順
- 退所時のアカウント削除手順(即日削除が原則)
- ゲストアカウントの取扱い
- パスワードポリシー
- 最小文字数:8文字以上(推奨は12文字以上)
- 文字種:英大文字・小文字・数字・記号の組み合わせ
- 変更頻度:3ヶ月ごと(推奨)
- 使い回し禁止
- パスワード管理ツールの利用推奨
- ファイル・フォルダへのアクセス権限
- 案件フォルダは担当弁護士と関係事務職員のみアクセス可能
- 共有フォルダの権限設定方法(Windows、Google Workspace等)
- 定期的な権限見直し(四半期ごと)
- 画面ロック
- 離席時の必須化(Windows+Lキー)
- 自動ロックの時間設定(5分以内推奨)
- 多要素認証
- 以下のサービスでは多要素認証を必須とする:
- メールサービス(Gmail、Outlook等)
- クラウドストレージ(Google Drive、Dropbox等)
- リモートアクセスVPN
- 以下のサービスでは多要素認証を必須とする:
キホトリへの記載例:
「すべての弁護士及び事務職員は、個別のユーザーアカウントを使用する。パスワードは8文字以上で、英大文字・小文字・数字を含むものとし、3ヶ月ごとに変更する。パスワード管理ツール(Bitwarden)を使用して管理することを推奨する。」
「メールサービス及びクラウドストレージには必ず二段階認証を設定し、認証アプリ(Google Authenticator)を使用する。」
物理的なセキュリティ確保
デジタルセキュリティが完璧でも、書類が机上に放置されていたり、来客が執務エリアに自由に入れる状態では意味がありません。 物理的なセキュリティも重要です。
キホトリで定めるべき事項:
- 書類の管理
- クリアデスクルール:離席時・退勤時は机上に書類を残さない
- 施錠保管:機密文書は鍵付きキャビネットに保管
- 持ち出し管理:書類を事務所外に持ち出す場合の記録
- 廃棄方法
- 機密文書は必ずシュレッダー処分(クロスカット方式)
- 電子媒体の廃棄:物理的破壊またはデータ消去ソフト使用
- 廃棄記録の作成(重要書類の場合)
- 入退室管理
- 来客エリアと執務エリアの分離
- 来客時の対応ルール(執務エリアに案内しない)
- 夜間・休日の施錠確認
- 防犯カメラの設置(推奨)
- デバイスの管理
- PC・スマートフォンの持ち出し管理台帳
- 盗難・紛失時の報告ルート
- リモートワイプ機能の設定(スマートフォン)
- 執務環境
- ディスプレイののぞき見防止(プライバシーフィルター)
- 来客からPC画面が見えない配置
- 会議室での機密情報の取扱い(ホワイトボードの消去確認)
キホトリへの記載例:
「レベル2以上の情報を含む書類は、使用後は必ず鍵付きキャビネットに保管する。退勤時には机上をクリアにし、書類が放置されていないことを確認する。」
「廃棄する書類は、クロスカット方式のシュレッダーで処分する。依頼者に返却する書類以外は、事件終了後も一定期間保管し、保管期間経過後にシュレッダー処分する。」
外部サービス利用時のリスクアセスメント
クラウドサービスなど外部サービスの利用は、業務効率化に不可欠ですが、同時にリスクも伴います。 キホトリでは、どのようなサービスを、どのような基準で選定し、どう設定するかを定めます。
サービス選定時のチェック項目:
- セキュリティ認証
- ISO27001、SOC2、プライバシーマークなどの取得状況
- セキュリティ監査の実施状況
- データの保管場所
- 国内データセンターの有無
- 海外にデータが保管される場合の法的リスク
- 暗号化
- 通信の暗号化(TLS/SSL)
- 保存データの暗号化
- 暗号化方式(AES256等)
- バックアップ体制
- 自動バックアップの有無
- バックアップの世代管理
- 復元手順
- アクセスログ
- ログの保存期間
- 不正アクセス検知機能
- 利用規約
- データの所有権
- サービス提供者の免責範囲
- データの削除手順
- サービス終了時のデータ移行
推奨されるサービスとその設定:
- Google Workspace Business以上
- 二段階認証必須化
- 共有設定のデフォルトを「制限付き」に
- アクセスログの定期確認
- Microsoft 365 Business以上
- 多要素認証必須化
- データ損失防止(DLP)機能の活用
- 条件付きアクセスの設定
- Dropbox Business
- 二段階認証必須化
- リンク共有時のパスワード・有効期限設定
- 遠隔削除機能の有効化
キホトリへの記載例:
「クラウドサービスを新規に導入する場合は、以下の基準を満たすことを確認する。①ISO27001またはSOC2の認証取得 ②データ保管場所が日本国内であること(または適切な法的措置が講じられていること) ③通信および保存データの暗号化 ④多要素認証機能の提供 ⑤利用規約において、当事務所がデータの所有権を保持すること」
「本事務所では、以下のクラウドサービスを使用する。各サービスの具体的な設定方法は、別紙『クラウドサービス設定マニュアル』に定める。」
バックアップ
バックアップに関しては、前述の3-2-1ルールを基本としつつ、具体的な実施方法をキホトリに明記します。
キホトリで定めるべき事項:
- バックアップ対象
- すべての依頼者情報
- 事件記録
- 契約書・準備書面等のドラフト
- メールデータ
- 事務所の重要な業務データ
- バックアップ方法
- 自動バックアップの設定(毎日実行)
- バックアップ先:外付けHDD、NAS、クラウドストレージ
- 世代管理:日次7世代、週次4世代、月次12世代
- バックアップの保管
- 少なくとも2つの異なる媒体に保管
- 1つは事務所外(クラウドまたは別拠点)に保管
- オフラインバックアップ(ランサムウェア対策)
- 復元テスト
- 月1回、実際にバックアップから復元できることを確認
- 復元手順を文書化
- 復元テスト結果を記録
- 責任者
- バックアップ管理責任者を明確化
- 週次でバックアップ状況を確認
キホトリへの記載例:
「本事務所では、以下のバックアップ体制を構築する。①毎日深夜0時に自動バックアップを実行(Windows標準機能) ②バックアップ先:外付けHDD及びGoogle Driveのバックアップ機能 ③世代管理:日次7日分、週次4週分、月次12ヶ月分を保持 ④毎月1日に、前月のバックアップから実際にファイルを復元できることを確認 ⑤バックアップ管理責任者:〇〇弁護士」
参照:情報セキュリティ10大脅威 | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
ウィルス対策
マルウェア感染を防ぐための基本的な対策をキホトリに定めます。
キホトリで定めるべき事項:
- ウイルス対策ソフト
- 使用するソフト名(Windows Defender、ESET、ウイルスバスター等)
- 定義ファイルの自動更新設定
- スキャン頻度(週1回フルスキャン推奨)
- OS・アプリケーションの更新
- 自動更新の有効化
- 緊急セキュリティパッチの即時適用
- サポート終了OSの使用禁止(Windows 7等)
- 不審なメールへの対応
- 開封前のチェックポイント
- 送信者アドレスの確認
- 件名の不自然さ
- 添付ファイルの有無
- 不審なメールを受信した場合の報告ルート
- 標的型攻撃メール訓練の実施(年1回推奨)
- 開封前のチェックポイント
- Webブラウジング
- 不審なサイトへのアクセス禁止
- ブラウザを最新版に保つ
- 広告ブロッカーの使用推奨
- USBメモリ等の外部媒体
- 不明な外部媒体の接続禁止
- ウイルススキャン後の使用
キホトリへの記載例:
「本事務所では、すべてのPC・ノートパソコンにウイルス対策ソフト(Windows Defender)を導入し、常に最新の状態に保つ。OSおよび主要アプリケーション(Microsoft Office、Adobe Reader等)の自動更新を有効にし、セキュリティパッチは公開後1週間以内に適用する。」
「不審なメールの添付ファイルは開かない。送信者が不明、または予期しない添付ファイルがある場合は、開く前に送信者に電話で確認する。」
キホトリの策定手順
キホトリは、ひな形をそのまま使うのではなく、自事務所の実情に合わせてカスタマイズすることが重要です。 ここでは、実務的な策定手順を解説します。
所内の情報資産の棚卸し
キホトリ策定の第一歩は、事務所内にどのような情報資産があるかを把握することです。
棚卸しの対象:
- 紙媒体
- 依頼者ファイル
- 相談記録
- 契約書原本
- 裁判記録のコピー
- 内部業務文書
- 電子データ
- PCに保存されているファイル
- クラウドストレージ上のファイル
- メールデータ
- データベース(顧客管理システム等)
- デバイス
- デスクトップPC
- ノートパソコン
- スマートフォン・タブレット
- 外付けHDD・USBメモリ
- NAS
- システム・サービス
- 使用しているクラウドサービス
- 事件管理システム
- メールサービス
- Web会議システム
棚卸しの方法:
Excelで「情報資産台帳」を作成し、以下の項目を記録します。
|
資産名 |
種類 |
保管場所 |
機密レベル |
取扱責任者 |
バックアップ有無 |
備考 |
|---|---|---|---|---|---|---|
|
〇〇事件記録 |
紙 |
キャビネットA |
レベル3 |
山田弁護士 |
なし |
裁判終了後5年保管 |
|
依頼者データベース |
電子 |
PC |
レベル2 |
事務局長 |
外付けHDD |
毎日バックアップ |
この作業により、「実はバックアップが取れていなかった」「退職した職員のアカウントが残っていた」といった問題が明らかになることがあります。
データベース設計
情報資産を効率的に管理するためには、適切なデータベース設計が必要です。 ここでいう「データベース」は、必ずしも高度なシステムを意味せず、Excelや簡易的な顧客管理ソフトでも構いません。
設計のポイント:
- 依頼者情報の一元管理
- 依頼者ID、氏名、連絡先、案件概要、担当弁護士
- 相談日、受任日、事件番号
- 機密レベルの設定
- 案件ごとのフォルダ構造
- 統一的な命名規則(例:「YYYYMMDD_依頼者名_案件概要」)
- 階層構造の標準化
依頼者名フォルダ/
├─ 相談記録/
├─ 契約書/
├─ 訴訟関係/
│ ├─ 訴状/
│ ├─ 準備書面/
│ └─ 証拠/
└─ 完了書類/
- アクセス権限の設定
- データベース上で、誰がどの案件にアクセスできるかを管理
- Google Workspace、Microsoft 365の共有機能を活用
- 検索性の確保
- 依頼者名、案件番号、日付などで容易に検索できる
- タグ付け機能の活用
小規模事務所での実現例:
個人事務所や小規模事務所では、高額なシステムは不要です。 以下の方法でも十分です。
- Excelでの管理:依頼者台帳を作成し、ピボットテーブルで分析
- Google Workspace:Google Driveの共有ドライブ機能で案件ごとにフォルダ作成
- 無料の顧客管理ツール:HubSpot CRM(無料版)などを活用
参照:J-LIS(地方公共団体情報システム機構)「電子文書管理の手引き」 https://www.j-lis.go.jp/
安全管理措置のカテゴリーごとの対策整理
キホトリで求められる対策を、体系的に整理します。 個人情報保護法における「安全管理措置」の考え方が参考になります。
組織的安全管理措置:
- 情報セキュリティ責任者の選任
- 取扱規程の策定(キホトリそのもの)
- 定期的な監査の実施
- インシデント対応体制の構築
人的安全管理措置:
- 従業員との秘密保持契約
- 定期的なセキュリティ教育(年2回)
- 退職時の情報返却・削除確認
物理的安全管理措置:
- 書類の施錠保管
- 入退室管理
- クリアデスクルール
- シュレッダー処分
技術的安全管理措置:
- アクセス制御
- 暗号化
- ウイルス対策
- バックアップ
- アクセスログの記録と監視
これらを表形式で整理し、「誰が」「いつ」「何を」実施するかを明確にします。
|
対策カテゴリー |
具体的対策 |
実施者 |
実施頻度 |
確認方法 |
|---|---|---|---|---|
|
組織的 |
キホトリの見直し |
セキュリティ責任者 |
年1回 |
改訂版の作成 |
|
人的 |
セキュリティ研修 |
全従業員 |
年2回 |
受講記録 |
|
物理的 |
クリアデスク確認 |
各自 |
毎日退勤時 |
巡回確認 |
|
技術的 |
バックアップ確認 |
IT担当 |
週1回 |
チェックリスト |
参照:個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」 https://www.ppc.go.jp/
使用するツール選定
キホトリに基づいて実際に運用するためには、適切なツールの選定が必要です。 事務所の規模と予算に応じて選択します。
小規模事務所(1〜3名)向けツール:
- メール・カレンダー:Google Workspace Business Starter(月680円/ユーザー)またはMicrosoft 365 Business Basic(月750円/ユーザー)
- ファイル共有:上記に含まれるストレージで十分
- バックアップ:外付けHDD(1TB・5,000円程度)+ クラウド自動バックアップ
- ウイルス対策:Windows Defender(無料)
- パスワード管理:Bitwarden(無料版で十分)
- Web会議:Zoom Pro(月2,125円)またはGoogle Meet(Google Workspaceに含まれる)
初期費用合計:約2万円 月額費用合計:約3,000円〜5,000円
中規模事務所(4〜10名)向けツール:
上記に加えて:
- NAS:QNAP、Synology等(10万円〜)でファイル共有とバックアップを一元管理
- セキュリティソフト:ESET等の法人向けライセンス(年5,000円/台)
- 顧客管理システム:kintone(月1,500円/ユーザー)等
- 多要素認証トークン:YubiKey(1本5,000円)を重要なアカウント用に
初期費用合計:約20万円 月額費用合計:約5万円〜10万円
大規模事務所(11名以上)向け:
専門業者によるシステム構築を検討。 MSP(マネージドサービスプロバイダー)との契約により、サーバー管理、セキュリティ監視、ヘルプデスクなどを外部委託。
月額費用:10万円〜50万円
ツール選定時のチェックリスト:
- 日本語サポートがあるか
- マニュアルが充実しているか
- 複数デバイス(PC、スマートフォン)で使えるか
- 既存のツールと連携できるか
- 将来的な拡張性があるか
- 費用対効果は適切か
参照:J-CRAT(サイバーレスキュー隊)「中小企業向けセキュリティツール選定ガイド」 https://www.ipa.go.jp/security/J-CRAT/
運用ドキュメントの策定
キホトリ本体に加えて、実際の運用を支援する以下のドキュメントを作成します。
①情報セキュリティハンドブック(従業員向け)
キホトリをそのまま渡すのではなく、要点をまとめた簡易版を作成します(A4で5〜10ページ程度)。
目次例として、情報セキュリティの重要性、守るべき3つのルール、パスワードの設定方法、メール送信時の注意点、離席時・退勤時のチェック、困ったときの連絡先を記載します。
②クラウドサービス設定マニュアル
Google Workspace、Dropbox等、実際に使用するサービスの具体的な設定手順を、スクリーンショット付きで記載します。
二段階認証の設定方法、ファイル共有時の設定、パスワード変更方法、モバイルアプリの設定を含めます。
③インシデント対応フローチャート
情報漏洩が疑われる場合の初動対応を、フローチャート形式で視覚化します。
情報漏洩の疑い発生から、直ちにセキュリティ責任者に報告、事実確認(何が・誰に・いつ)、被害範囲の特定、二次被害防止措置(アカウント停止、パスワード変更等)、依頼者への報告、所属弁護士会への報告(必要に応じて)、再発防止策の検討という流れを示します。
④チェックリスト集
日次チェックリスト(退勤時の机上確認等)、週次チェックリスト(バックアップ確認等)、月次チェックリスト(アクセス権限見直し等)、年次チェックリスト(キホトリ見直し等)を作成します。
⑤FAQ集
従業員からよく聞かれる想定の質問と回答をまとめます。
例えば「自宅で仕事をする場合、どこまで情報を持ち出せますか?」という質問に対して、「レベル2までの情報は、暗号化されたノートPCで持ち出し可能です。 レベル3の情報は原則持ち出し禁止ですが、やむを得ない場合は事前に責任者の許可を得てください」と回答します。
これらは一例ですが、こうしたドキュメントを作成することで、キホトリが「絵に描いた餅」ではなく、実際に機能する仕組みとなります。
キホトリの運用における留意点
キホトリに関するドキュメント周りの解説は概ね以上ですが、実際の運用における留意点についても解説していきます。
セキュリティインシデント時の対応手順策定
「もしも」の時にどう動くかを事前に決めておくことで、被害を最小限に抑えることができます。
インシデントの定義として、以下のような事象が発生した場合を「セキュリティインシデント」とします。 情報の漏洩・紛失・盗難、不正アクセスの発覚、マルウェア感染、システム障害によるデータ消失、従業員による情報の不正持ち出しです。
対応体制として、セキュリティインシデント対応責任者は代表弁護士または指定されたパートナー、対応チームは責任者・IT担当者・当該案件の担当弁護士、外部連絡先は所属弁護士会・個人情報保護委員会・警察・セキュリティベンダーとします。
対応手順をフェーズ別に説明します。
Phase 1:検知・報告(発生から1時間以内)
インシデントを発見した者は直ちに責任者に報告、報告は口頭ではなくメールまたは専用フォームで記録を残す、第一報の内容として発生日時・発見者・概要・影響範囲(推定)を含めます。
Phase 2:初動対応(発生から3時間以内)
事実確認(何が、いつ、どのように発生したか)、被害範囲の特定(どの情報が、どの程度漏洩したか)、二次被害防止(アカウント停止、パスワード変更、システム隔離等)、証拠保全(ログの取得、画面キャプチャ、メール保存)を行います。
Phase 3:報告・通知(発生から24時間以内)
依頼者への報告(漏洩した情報の内容、経緯、対応状況)、所属弁護士会への報告(必要に応じて)、個人情報保護委員会への報告(個人データ1,000人分以上の漏洩等、法定報告義務がある場合)、警察への被害届(不正アクセスや窃盗の場合)を行います。
Phase 4:復旧・再発防止(発生から1週間以内)
原因分析(なぜ発生したか、防げなかったか)、再発防止策の検討(技術的対策、運用ルール変更)、システム復旧(バックアップからの復元等)、全従業員への周知(同様のインシデントを防ぐための注意喚起)を行います。
Phase 5:事後対応(発生から1ヶ月以内)
インシデント報告書の作成、キホトリの見直し・改訂、追加研修の実施、監督当局への経過報告(必要に応じて)を行います。
報告書のテンプレートとして、事前にテンプレートを用意しておくことで、冷静に対応できます。 発生日時、発見日時、発見者、インシデントの種類、発生場所、被害の概要、影響範囲(漏洩した情報の種類、件数、機密レベル)、発生原因、実施した対応、今後の対応予定、再発防止策、作成者、作成日の項目を含めます。
参照:JPCERT/CC「インシデント対応ガイドブック」 https://www.jpcert.or.jp/
特に重要な注意点として、身代金要求型のランサムウェア攻撃を受けた場合、絶対に身代金を払ってはいけません。 支払っても復号化される保証はなく、犯罪組織の資金源となります。
警察とセキュリティ専門家に相談し、バックアップから復旧する方法を検討してください。
脆弱性診断について
脆弱性診断とは、システムやネットワークにセキュリティ上の弱点(脆弱性)がないかを専門的にチェックすることです。
実施のタイミングとして、新規にシステムを導入した時、大規模な設定変更を行った時、定期的な診断(年1回推奨)、重大な脆弱性が公表された時があります。
診断の種類として、第一に自己診断(無料)では、IPAが提供する「5分でできる!情報セキュリティ自社診断」などのツールを使い、基本的なチェックを行います。
参照:IPA「5分でできる!情報セキュリティ自社診断」 https://www.ipa.go.jp/security/guide/sme/5minutes.html
ペネトレーションテスト(有料)というものもあります。 これは、セキュリティ専門業者が実際の攻撃を模擬して脆弱性を発見します。 費用は数十万円〜数百万円と高額ですが、大規模事務所や機密性の高い案件を多く扱う事務所では検討の価値があります。
さらに、脆弱性スキャンツール(一部無料)では、ネットワークやWebアプリケーションの既知の脆弱性を自動検出するツールです。
これらの中で、小規模事務所でできる現実的な対策として、高額な診断を依頼しなくても、以下の項目のセルフチェックで多くのリスクは回避できます。
- すべてのPCでWindows Updateが最新か
- サポート終了OSを使用していないか(Windows 7等)
- ウイルス対策ソフトの定義ファイルが最新か
- ルーターのファームウェアが最新か
- デフォルトパスワードを変更しているか(ルーター、NAS等)
- 不要なアカウントが残っていないか
- 外部からアクセス可能なサービスがないか(意図しない公開)
参照:警察庁「事業者向けランサムウェア対策チェックリスト」 https://www.npa.go.jp/
定期的な監査や所内の教育など
キホトリが形骸化しないためには、定期的な監査と教育が不可欠です。 内部監査の実施として、頻度は年2回(4月・10月など)とします。
監査項目としては、主に下記が挙げられます。
- キホトリで定めたルールが実際に守られているか
- アクセス権限が適切に設定されているか
- 退職者のアカウントが削除されているか
- バックアップが正常に実行されているか
- ウイルス対策ソフトが最新か
- クリアデスクルールが守られているか
- シュレッダーが適切に使用されているか
監査方法としては、①チェックリストに基づく確認、②各自のPCの設定確認(画面ロック時間、暗号化等)、③共有フォルダのアクセス権限確認、④従業員へのヒアリングを行います。 これらは、包括的に実施する場合もありますが、随時抜き打ちで実施することが効果的です。
そして、監査結果の記録として、発見された問題点と改善措置を記録し、次回監査で改善されているか残しておくことが重要です。
また、セキュリティ教育の実施として、新入職員研修(入所時)では、情報セキュリティの重要性、キホトリの概要説明、パスワード設定方法、クラウドサービスの使い方、禁止事項の確認、誓約書の提出を行います。 定期研修(年2回、各1時間程度)では、最近のセキュリティ事例紹介、キホトリの変更点説明、標的型メール訓練、質疑応答を行います。
できれば望ましいこととして、標的型メール訓練があります。 実際に不審なメールを模擬送信し、従業員が適切に対応できるかテストします。 専門業者に依頼することもできますが(費用10万円〜)、小規模事務所では責任者が簡易的に実施することも可能です。
例えば、「裁判所からの重要なお知らせ」という件名で、添付ファイルを開くよう促すメールを送信。 開いた場合は「これは訓練でした。実際の攻撃メールの可能性があるため、不審なメールの添付ファイルは開かないでください」と説明します。
参照:NISC「サイバーセキュリティ人材育成プログラム」 https://www.nisc.go.jp/
外部研修の活用として、各弁護士会が実施する情報セキュリティ研修にも積極的に参加しましょう。 最新の脅威や対策について専門家から学べる貴重な機会です。
AIなどテクノロジー活用とキホトリ
最後に、AIなどの最新テクノロジーの活用とキホトリにおける取扱いについて、ポイントを解説していきます。
日弁連のAI利活用ガイドライン
2025年9月、日弁連は「弁護士業務におけるAI利活用ガイドライン」を公表しました。 ChatGPTをはじめとする生成AIの普及により、弁護士業務でもAIを活用する場面が増えていますが、同時に新たな情報セキュリティリスクも生じています。
参照:日本弁護士連合会「弁護士業務におけるAI利活用ガイドライン」
ガイドラインの主要ポイントとして、第一に守秘義務との関係があります。 AIサービスに依頼者情報を入力することは、第三者への情報提供に該当する可能性があります。無料版のChatGPT等では、入力内容が学習データとして使用される場合があります。 依頼者の同意を得ずに機密情報をAIに入力することは原則として避けるべきです。
第二にAIの出力の正確性として、AIは「もっともらしい」が誤った情報(ハルシネーション)を生成することがあります。 判例検索等でAIを使用する場合、必ず原典を確認する必要があります。 AI生成の文書をそのまま使用することのリスクがあります。
第三に責任の所在として、AI利用による誤りの責任は、AIではなく弁護士が負います。 AIを補助ツールとして使い、最終判断は必ず人間が行います。
弁護士業務でのAI利用シーンとして、リーガルリサーチの効率化、契約書ドラフトの作成支援、判例要約、翻訳、議事録作成があります。
キホトリもAI利用を前提に構築しておく
今後ますますAIの利用が拡大することを見据え、キホトリにもAI利用に関するルールを盛り込むべきです。
①使用可能なAIサービスの限定
本事務所では、以下の条件を満たすAIサービスのみ使用を許可する。
- エンタープライズ版またはビジネス版であること(無料版は禁止)
- 入力データが学習に使用されないことが利用規約で明記されていること
- データの保管場所が明確であること、セキュリティ認証(ISO27001等)を取得していること
②機密情報の入力禁止
レベル3の情報は、いかなるAIサービスにも入力してはならない
レベル2の情報をAIに入力する場合は、以下の措置を講じる
- 固有名詞を匿名化する(依頼者名を「A社」等に置き換える)
- 具体的な金額、日付等の特定情報を削除または改変する
- 入力前に責任者の許可を得る
③出力結果の検証
AIが生成した判例、法令、契約条項等は、必ず原典を確認する。 AI生成の文書をそのまま依頼者に提供してはならない。
④依頼者への説明
AI利用によりコストや時間を削減できる場合、その旨を依頼者に説明し、利用について了解を得ることが望ましい。
実際に弁護士業務での活用も推奨されうるビジネス向けAIサービスについていくつかご紹介します。
- ChatGPT Team / Enterprise:入力データが学習に使用されない
- Claude Pro:会話履歴の削除オプションあり
- Microsoft Copilot for Microsoft 365:企業向けプライバシー保護機能
- Google Workspace Gemini:データ保護とコンプライアンス機能
参照:各AIサービスのプライバシーポリシーとビジネス向けプラン説明
- OpenAI: https://openai.com/enterprise-privacy
- Anthropic: https://www.anthropic.com/
- Microsoft: https://www.microsoft.com/ja-jp/microsoft-365/
- Google: https://workspace.google.com/
データ利活用
弁護士事務所が蓄積している過去の案件情報は、適切に活用すれば業務効率化や品質向上につながる貴重な資産です。
AIの進展とビッグデータとして拡大していくことにより、データサイエンスの知見により弁護士業としての競争優位性は高まるでしょう。
①類似案件の検索効率化
過去の準備書面をデータベース化し、類似案件で参照、成功事例・失敗事例の分析をすることなどが考えられます。
②リスク予測
過去の案件データから、勝訴可能性を予測、依頼者への見通し説明の精度向上をしていくことが想定されます。
③業務プロセスの改善
案件処理にかかる時間の分析、ボトルネックの発見と改善にAIの活用が最適です。
④マーケティング
受任案件の傾向分析、注力分野の選定においては、AIによるデータ分析が可能であり、あるいはデータとしての可用性を構築するためのシステム化も可能です。
こうしたデータ利活用時の留意点も重要です。
第一に匿名化の徹底があります。 データ分析やAI学習に使用する場合、個人が特定できないよう匿名化が必須です。 氏名、住所、電話番号等の削除、特異な事実関係の一般化、複数の案件データを組み合わせることで個人が特定される「モザイク効果」への注意が必要です。
第二に依頼者の同意として、依頼者から預かった情報を、当初の目的(依頼された法律業務)以外に使用する場合、原則として依頼者の同意が必要です。
第三にデータの正確性として、古いデータや誤入力されたデータが含まれていないか、データクレンジング(清掃)が重要です。
第四にセキュリティの確保として、データベースへのアクセス制御、暗号化、監査ログなど、通常以上のセキュリティ対策が必要です。
これらを踏まえたキホトリへの記載例として、次のような一例が考えられます。
本事務所は、業務品質向上のため、過去の案件データを分析・活用することがある。 その際は以下の原則を遵守する。
- 個人を特定できる情報は完全に削除または匿名化する
- 依頼者の同意を得ることが困難な場合は、統計的処理により個人識別性を完全に排除する
- データ分析の結果は事務所内部での利用に限定し、外部に公表しない
- 外部のデータ分析サービスを利用する場合は、適切なセキュリティ措置が講じられていることを確認する
まとめ
弁護士業務における情報セキュリティ対策は、もはや「できれば実施する」ものではなく、「必ず実施しなければならない」ものとなっています。
2024年に定められた弁護士情報セキュリティ規程と「キホトリ」は、すべての弁護士が対応すべき基本的な枠組みです。
キホトリ対策のポイントを振り返ります:
- 基本を正しく理解する
- 暗号化、バックアップ、アクセス制御などの基本IT用語を理解する
- 情報セキュリティの3要素(機密性・完全性・可用性)を意識する
- リスクを正しく認識する
- ヒューマンエラー、技術的制限の不備、バックアップ不備、内外部不正
- 「うちは小さいから大丈夫」という思い込みが最大のリスク
- 7つの対策を確実に実施する
- 情報の分類、暗号化、アクセス制御、物理的セキュリティ、外部サービス評価、バックアップ、ウイルス対策
- ひな形に頼らず、自事務所の実情に合わせてカスタマイズ
- 継続的に運用・改善する
- 定期的な監査(年2回)
- 従業員教育(年2回)
- インシデント対応体制の整備
- キホトリの定期的な見直し(年1回)
- 新技術への対応を忘れない
- AI利用のルール整備
- データ利活用時の匿名化
- 常に最新の脅威情報を収集
完璧を目指さず、今できることから始める
情報セキュリティに「100%安全」はありません。 重要なのは、事務所の規模や予算に応じて「今できること」から始め、継続的に改善していく姿勢です。
個人事務所であれば、まずは以下の5つから始めましょう:
- PC・スマートフォンのパスワード設定と画面ロック
- 重要なアカウントの二段階認証有効化
- クラウドストレージへの自動バックアップ設定
- 書類の施錠保管とシュレッダー廃棄
- 不審なメールの添付ファイルを開かない習慣
これらは費用をかけずに、今日から実施できる対策です。
キホトリは依頼者保護の基本
情報セキュリティ対策は、単なる「コンプライアンス」ではありません。 依頼者から預かった秘密を守るという、弁護士の最も基本的な責務を、デジタル時代において実現するための手段です。
適切なキホトリの整備と運用により、依頼者からの信頼を獲得し、安心して業務を委任していただける関係を築くことができます。 また、企業法務案件では、情報セキュリティ体制の整備が受任の前提条件となるケースも増えています。
