士業(税理士・社労士・弁護士)のサイバーセキュリティ完全ガイド
{
“@context”: “https://schema.org”,
“@type”: “FAQPage”,
“mainEntity”: [
{
“@type”: “Question”,
“name”: “1人事務所でもセキュリティ対策は必要ですか?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “むしろ1人事務所こそ対策必須です。攻撃者は「セキュリティが手薄な小規模事務所」を踏み台に大手のクライアント情報へ侵入する手口(サプライチェーン攻撃)を使います。1人事務所が顧問先50社の確定申告データやマイナンバーを持っていれば、攻撃価値は十分です。最低でも、MFA・EDR・自動バックアップ・メールフィルタの4点は1人事務所でも導入できます。月額1〜2万円規模で実現可能です。”
}
},
{
“@type”: “Question”,
“name”: “顧客から「セキュリティ証明」を求められたらどう対応すればいいですか?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “上場企業や金融機関の顧問になると、セキュリティチェックシート(200〜500項目)の回答や監査対応を求められます。準備する材料は3つ。①IPAの「SECURITY ACTION」二つ星宣言(無料・自主宣言)、②情報セキュリティポリシー文書、③具体的な実装証跡(EDR導入証明、MFA設定スクリーンショット等)。本格的にはISMS(ISO27001)取得やプライバシーマーク取得まで踏み込むケースもあります。”
}
},
{
“@type”: “Question”,
“name”: “クラウド会計ソフトに任せておけば安全ですか?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “freee・弥生・マネーフォワード等のクラウド会計サービス自体は高水準のセキュリティで運用されていますが、「事務所側のアカウント乗っ取り」のリスクは残ります。担当者のIDが漏洩すれば、すべての顧問先データが侵害されます。クラウド側に頼り切るのではなく、事務所側で MFA 必須化・端末暗号化・退職者アカウント即削除などの基本対策を必ず実装してください。”
}
},
{
“@type”: “Question”,
“name”: “万が一情報漏洩が発生したら、どう対応すればよいですか?”,
“acceptedAnswer”: {
“@type”: “Answer”,
“text”: “改正個人情報保護法により、漏洩発覚から72時間以内に個人情報保護委員会への報告と本人通知が義務付けられています(一定規模以上の場合)。士業特有の対応として、所属する士業会(税理士会・社労士会・弁護士会)への報告や、影響を受けた顧問先への速やかな個別連絡も必要です。事前にインシデント対応フローを整備しておくことが最重要で、サイバー保険への加入も強く推奨されます。”
}
}
]
}
税理士・社労士・弁護士などの士業事務所は、顧問先の財務情報・マイナンバー・個人情報・訴訟記録など 一級の機密情報 を大量に扱います。
近年、規模の小さい士業事務所が 「サプライチェーン攻撃の踏み台」 として狙われる事例が急増しています。本記事では、税理士・社労士・弁護士に共通するサイバーセキュリティのリスクと、月額予算別の対策構成を解説します。
なぜ今、士業がサイバー攻撃の標的になっているのか
士業事務所が狙われる理由は3つあります。
① 高価値データの集中保有
税理士なら数十〜数百社の決算書・通帳情報・マイナンバー。社労士なら賃金台帳・給与情報・年金記録。弁護士なら訴訟戦略・契約書・和解条件。どれも漏洩すれば即座にダークウェブで売買される一級資産です。
② サプライチェーン攻撃の踏み台
攻撃者は「セキュリティが弱い士業事務所」を経由して、その顧問先である上場企業・大企業のデータを狙います。サプライチェーン強化のセキュリティ対策評価制度もこの背景から生まれた仕組みです。
③ セキュリティ投資が後回しになりがち
専門業務の研鑽が優先され、IT投資は「壊れたら直す」運用になりがちです。攻撃者はこの隙を狙います。
士業特有のセキュリティリスク 5つ
実際の漏洩事例から、士業に共通する5大リスクを整理します。
① 標的型フィッシングメール
「国税庁からの通知」「年金事務所からの照会」を装ったメールで、業界用語に詳しい攻撃者が増えています。生成AIで自然な日本語文面が量産される今、人の目だけでの判別は困難になりました。
② USB・メール添付による情報持ち出し
顧客先訪問時のUSB持ち出し、私用メールへの誤送信は依然として多発する漏洩経路です。DLP(情報漏洩防止)で技術的にブロックする仕組みが有効です。
③ 退職者・パートタイマーのアカウント残存
税理士事務所では繁忙期だけ手伝う元職員のアカウントが残り続けるケースが多く、退職後の不正アクセスや退職者アカウントの放置が大きな漏洩経路です。
④ 公衆Wi-Fi・自宅Wi-Fi 経由のリスク
出張先のホテルWi-Fi、自宅の暗号化が弱いWi-Fi経由でクラウド会計にアクセスすると、通信が傍受される可能性があります。テレワーク時のWi-Fi対策も参照してください。
⑤ ランサムウェア感染による業務停止
電子帳簿、訴訟資料、給与計算データが暗号化されると、決算期や訴訟期限に間に合わなくなり、損害賠償リスクへ直結します。
業務クラウド(freee/弥生/TKC等)のセキュリティ要件
主要な士業向けクラウドサービスは、いずれも 多要素認証・通信暗号化・アクセスログ を備えています。ただし、事務所側の運用次第でリスクは大きく変わる ことを理解しておく必要があります。
| サービス例 | 主な業界 | 事務所側で必須の対策 |
|---|---|---|
| freee/マネーフォワード/弥生 | 税理士・会計 | MFA必須化、IPアドレス制限、退職者の即時アカウント削除 |
| TKC/達人シリーズ/JDL | 税理士・会計 | 端末認証の徹底、業務PC暗号化(BitLocker等) |
| 社労夢/オフィスステーション | 社労士 | 給与明細PDF配布のメールセキュリティ強化 |
| 弁護士ドットコム LIBRA/法律事務所向けクラウド | 弁護士 | 訴訟記録のアクセス権限細分化、案件単位のログ記録 |
クラウドサービスのセキュリティに頼りきるのではなく、事務所側のID管理・端末管理・教育 を組み合わせることが必須です。
法令・ガイドライン|各士業会が求める情報セキュリティ基準
士業ごとに監督官庁・連合会が独自のガイドラインを定めています。
- 税理士:日本税理士会連合会「税理士の業務における情報セキュリティ対策ガイドライン」、マイナンバー法
- 社労士:全国社会保険労務士会連合会「個人情報保護及び情報セキュリティに関する規程」
- 弁護士:日本弁護士連合会「弁護士情報セキュリティ規程」、守秘義務違反は懲戒対象
さらに、改正個人情報保護法による 漏えい時72時間報告義務 はすべての士業に適用されます。詳細は改正個人情報保護法とサイバーセキュリティ対策で解説しています。
士業事務所のためのセキュリティ対策チェックリスト
最低限実施すべき10項目を整理しました。
- すべての業務クラウドで MFA(多要素認証) を必須化
- 業務PCにEDR(エンドポイント検知)を導入
- 業務PCのディスクを BitLocker等で暗号化
- クラウドストレージの自動バックアップ(M365 / Workspace のデータをサードパーティバックアップで二重化)
- 退職者アカウントの 即日削除 プロセス
- 標的型メール訓練を年2回以上
- メールフィルタ/フィッシング対策ゲートウェイの導入
- サイバー保険 への加入
- 情報セキュリティポリシー文書の整備
- IPA「SECURITY ACTION」二つ星宣言
士業に特に重要な「クラウドバックアップ」
チェックリスト4番の クラウドバックアップ は、士業事務所において特に優先度が高い項目です。理由は3つあります。
- ランサムウェア感染時の業務再開を保証する:決算期や訴訟期限の前後に感染すると、損害賠償リスクへ直結します
- 誤削除・誤上書きから守る:M365 や Google Workspace の標準のゴミ箱や復元期間(30〜93日)では、長期顧問先データの保護に不十分
- クラウドサービス自体の障害/契約終了に備える:ベンダーロックインを避け、自社管理下のバックアップを残せる
特に Microsoft 365 や Google Workspace を業務基盤にしている事務所は、標準機能のバックアップだけでは不十分 という点を理解しておく必要があります。サードパーティのSaaSバックアップ製品(SysCloud、Veeam Data Cloud、AvePoint Cloud Backup など)を併用するのが定石です。
| 📎 関連記事|クラウドバックアップを深掘りするなら |
| ▶ Microsoft 365バックアップ製品 徹底比較|SysCloud vs Veeam Data Cloud vs AvePoint Cloud Backup
▶ ランサムウェア対策 完全ガイド|エンドポイント・SaaSデータ・サーバを守る三層防御
|
月額予算別おすすめ構成
事務所規模・予算別に推奨する構成を整理します。
| 規模/予算 | 推奨構成 | 月額目安 |
|---|---|---|
| 1〜3名/月1万円 | M365 Business Basic + Defender for Business + SaaSバックアップ(SysCloud等) | 約1.0万円 |
| 5〜10名/月3万円 | M365 Business Premium(条件付きアクセス+Intune付帯)+ Sophos Email + SaaSバックアップ | 約3.0万円 |
| 20名以上/月5万円〜 | 上記+ Sophos MDR(24時間監視)+ サーバ+SaaS統合バックアップ+ サイバー保険 | 約5〜10万円 |
特に 「月3万円構成」が士業事務所の費用対効果のスイートスポット です。Microsoft 365 Business Premium には条件付きアクセス・Intune・Defender for Business が付帯し、メール・端末・クラウドの3点をワンセットでカバーできます。
まとめ|士業のセキュリティは「信頼」を守る投資
士業事務所のセキュリティ対策は、単なる「コスト」ではなく クライアントの信頼を守るための投資 です。1件の漏洩で失う信用は、数十年積み上げた顧問関係を一瞬で吹き飛ばします。
特に重要なのは 「クライアントから求められる前に整備しておく」 こと。上場企業の顧問になる前から、200項目のセキュリティチェックシートに即答できる状態を作っておくことが、新規受任の機会損失を防ぎます。
弊社では、税理士・社労士・弁護士事務所向けに、サイバーセキュリティ製品の選定からセキュリティポリシー策定、SECURITY ACTION 宣言支援まで、士業特有のニーズに合わせた提案をワンストップで対応しています。サイバー保険の選び方とあわせて、ぜひご相談ください。
よくあるご質問
Q1. 1人事務所でもセキュリティ対策は必要?
A. 小規模事務所こそ「サプライチェーン攻撃の踏み台」として狙われやすいため必須。月1〜2万円から最低限の構成は組めます。
Q2. 顧客から「セキュリティ証明」を求められたら?
A. SECURITY ACTION二つ星宣言、ポリシー文書、実装証跡の3点セットで対応。本格的にはISMS取得まで踏み込むケースも。
Q3. クラウド会計に任せれば安全?
A. クラウド側は安全でも、事務所側のアカウント乗っ取りリスクは残る。MFA必須化と退職者アカウント即削除が前提。
Q4. 漏洩発生時の対応は?
A. 改正個人情報保護法により72時間以内に当局報告と本人通知が必要。所属士業会への報告も忘れずに。
📎 関連記事
| テーマ | 関連記事 |
|---|---|
| クラウドバックアップ | ▶ Microsoft 365バックアップ製品 徹底比較 ▶ バックアップの基本「3-2-1ルール」とは ▶ ランサムウェア対策 完全ガイド |
| 情報漏洩対策 | ▶ DLPとは?仕組み・主要機能・中小企業の選び方 ▶ 情報漏洩が発覚したら?取引先・顧客への報告手順 ▶ 退職者のアカウント、ちゃんと削除していますか? |
| 法令・コンプライアンス | ▶ 改正個人情報保護法とサイバーセキュリティ対策 ▶ サプライチェーン強化セキュリティ対策評価制度 ▶ 取引先から「セキュリティ対策の証明を求められた」ときの対応法 |
| テレワーク・端末 | ▶ テレワーク時のWi-Fi接続に潜む危険 ▶ 私物スマホの業務利用(BYOD)のリスク |
| リスク移転 | ▶ サイバー保険は本当に必要?補償範囲・保険料相場・選び方 |