この記事では、法律事務所にサイバーセキュリティ対策が必要かどうかを解説します。

法務省の『令和4年版 犯罪白書』によると、サイバー犯罪の検挙件数は年々増加しており、令和3年には12,209件発生しています。多くのクライアントの個人情報を取り扱う法律事務所もサイバー犯罪のターゲットとなるおそれがあり、セキュリティ対策は必要不可欠でしょう。

この記事では、サイバーセキュリティの特徴やサイバー犯罪の手口を解説します。法律事務所で実践するべき対策の種類も合わせてお伝えするので、サイバー犯罪対策を検討している人はぜひこの記事を参考にしてください。

 

 

 

そもそもサイバーセキュリティとは？

ここでは、そもそもサイバーセキュリティとは何かを解説します。総務省のHPでは、サイバーセキュリティについて以下のように述べられています。

インターネットやコンピュータを安心して使い続けられるように、大切な情報が外部に漏れたり、ウイルスに感染してデータが壊されたり、普段使っているサービスが急に使えなくなったりしないように、必要な対策をすること。

※参照：サイバーセキュリティって何？丨国民のためのサイバーセキュリティサイト

つまり、使用しているインターネットやコンピュータの環境が外部からの被害を受けて、安全に使用できなくなることを防ぐための対策がサイバーセキュリティだといえます。
また、一般的には”情報の機密性・完全性・可用性を確保すること”と定義されています。3種類の概要は、主に以下の通りです。

定義	概要
機密性	ある情報に対して認められた人だけがアクセスできる状態を確保すること
完全性	情報が破壊や改ざん、消去されていない状態を確保すること
可用性	認められた人が、必要なときに中断なく情報にアクセスできる状態を確保すること

※参考：サイバーセキュリティって何？丨国民のためのサイバーセキュリティサイト

上記を踏まえ、情報セキュリティとの違いを解説します。

情報セキュリティとの違い

情報セキュリティとは、先述の気密性・完全性・可用性に関する脅威から情報資産を守ることです。情報資産とは、企業や組織などで保有する情報全般のことを指し、以下が該当します。

＜情報資産に該当するもの＞
・依頼者情報や事件情報などの情報そのもの
・情報を記載したファイルや電子メールなどのデータ
・データが保存されているパソコンやサーバーなどのコンピュータ
・CD-ROM・USBメモリ・SDカードなどの記録媒体
・紙の資料
※参考：情報セキュリティの概念丨国民のためのサイバーセキュリティサイト

サイバーセキュリティと情報セキュリティの特徴の違いは、以下のようにまとめられます。

種類	特徴
サイバーセキュリティ	インターネットやコンピュータ全体を保護する対策
情報セキュリティ	インターネットやコンピュータなどで管理する情報を保護する対策

※参考：情報セキュリティの概念丨国民のためのサイバーセキュリティサイト

情報セキュリティは、サイバーセキュリティの一部ともいえるため、実施する際には扱う情報にも目を向けることが大切だといえるでしょう。

法律事務所にサイバーセキュリティ対策が必要な理由

法律事務所は多くの依頼人と深く関わるため、依頼人に関するさまざまな情報を管理しています。中には、電話番号や住所、勤務地などのプライバシーに関わる情報が多くあり、相談している内容自体が特にプライバシーや企業秘密に関わります。万が一外部へ漏洩してしまった場合には、弁護士の守秘義務違反となります。

そのため、法律事務所では取り扱う情報を保護するために、サイバーセキュリティ対策が必要不可欠です。

また、日本弁護士連合会では、弁護士や法律事務所が仕事で取り扱う情報のセキュリティを確保するために、『弁護士情報セキュリティ規程』で基本的な取扱方法を定めています。
規程では、弁護士や事務所に対して、取り扱う情報に応じたセキュリティの危険や必要な対策を把握して措置を講じるよう求めています。

事務所で勤務する事務員などにも対策を講じてもらうよう記載があり、高度情報化社会におけるセキュリティ教育も実施することが必要です。セキュリティ規程の内容をしっかりと理解し、実施することが大切です。
※参考：弁護士情報セキュリティ規程丨日本弁護士連合会

法律事務所でリスクとなるサイバー犯罪の手口

ここでは、法律事務所にとってリスクになるサイバー犯罪の手口を解説します。
下記3点をそれぞれ見ていきましょう。

 

個人情報の盗難

多くの依頼者の情報を扱う法律事務所にとって、個人情報の盗難は深刻な脅威です。前提として弁護士には守秘義務があり、依頼者の名前や住所、電話番号や銀行口座番号などの個人情報が外部に漏れてしまうと、プライバシー侵害となり信頼損失にも繋がります。

特に、弁護士が扱う事件内容は最も漏洩のリスクがあります。例えば、離婚問題に関する経緯や、社内クレームの内容がSNSなどを経由して流出した場合、好奇の目でみられ問題となるでしょう。

個人情報の盗難はコンピュータやインターネットで管理しているデータだけでなく、紙の書類でも発生するおそれがあります。サイバーセキュリティと合わせて、侵入窃盗対策を講じることが重要です。

マルウェア

マルウェアとは、不正や有害な動作を実施する意図で作られた、悪意があるソフトウェアやコードの総称です。マルウェアの主な種類として、以下が挙げられます。

種類	もたらす被害
ウイルス	感染機能を持ち、他のプログラムに寄生して動作を妨げたり有害な作用を及ぼしたりする
ワーム	感染機能を持ち、独立のファイルでウイルスと同じ被害をもたらす
トロイの木馬	攻撃者の意図する動作を侵入したコンピュータで秘密裏に実施する
スパイウェア	感染したコンピュータの内部情報を勝手に外部へ漏洩する
キーロガー	スパイウェアの1種で、ユーザーのキーボード操作情報を外部に送る
バックドア	外部の侵入者のためにネットワーク上の裏口を開ける
ボット	攻撃者からの指令で他のコンピュータやネットワークに対する有害な動作を実施する

※参照：8-1 マルウェアとは丨日本ネットワークセキュリティ協会

コンピュータの起動に時間がかかったり、起動できなかったりする場合や、システムの動作が遅くなった場合は、マルウェアに感染しているおそれがあります。

ソフトウェアなどは正規ルートでダウンロードすることや、不審なメール・ファイルをクリックしないこと、OSを常に最新状態に保つことを意識して、対策をしましょう。

フィッシング詐欺

フィッシング詐欺とは、送信者を偽って電子メールを送信したり偽のメールから偽のウェブサイトにアクセスさせたりして、アカウント情報などを抜き出す行為のことです。

近年では、携帯会社や運送会社を偽って本物のウェブサイトと区別が付きにくいサイトへ誘導する手口が増えています。

パソコンだけではなく、スマートフォンに対しても電子メールやメッセージ機能、SNSを使ってフィッシングサイトにアクセスさせるケースが多くあります。パソコンと携帯を連動して顧客情報を管理している人は、特に注意が必要です。
※参考：フィッシング詐欺に注意丨国民のためのサイバーセキュリティサイト

法律事務所が実施すべきサイバーセキュリティ対策の種類

ここでは、法律事務所が実施するべきサイバーセキュリティ対策の種類を確認しましょう。
下記4点をそれぞれ解説します。

物理的対策

物理的対策とは、設備や機器などオフィスのセキュリティ対策を指します。

法律事務所で管理する情報には、コンピュータ上のデータや紙媒体の書類などが含まれます。しかし、オフィスに侵入されてコンピュータや書類そのものが盗まれた場合、情報の紛失や漏洩に該当して守秘義務違反とみなされるでしょう。

警察庁によると、令和4年に発生した侵入窃盗のうち法律事務所を含む一般事務所における認知件数は、全体の11.1％にあたる4,061件でした。

このことからも、法律事務所においては以下のようなゾーニング強化が重要だといえます。

• 不特定多数の依頼者が出入りする箇所と、機密情報を取扱う執務室などの箇所を分ける
• 不特定多数から見える場所に機密情報を置かない

その他にも、サーバールームの施錠や監視カメラの設置、入退室管理システムの導入など、オフィス内の情報資産を保護する物理的対策が必要です。
※参考：侵入窃盗の発生場所別認知件数丨住まいる防犯110番丨警察庁

人的対策

前述の通り、『弁護士情報セキュリティ規程』では弁護士だけでなく、事務所で働く事務員や司法修習生にも、セキュリティを確保するために必要な対策を講じることが求められています。そのため、現在の高度情報化社会における情報セキュリティの知識や取扱情報の電子化について、セミナーや勉強会などを開催する必要があります。

技術的対策

技術的対策には、情報技術を採用してコンピュータやインターネットのセキュリティを直接強化する方法が含まれます。先述したマルウェアの感染を防止するために、ソフトウェアを導入したり常にOSを最新の状態に維持したりすることが、この対策に該当します。

また、データの暗号化やアクセス権限の管理、システムの定期的な更新やパッチ適用などさまざまな具体的対策があり、必要に応じて取り入れることが大切です。

組織的対策

組織的対策とは、事務所内の全ての人員がセキュリティ意識を持ち、適切な行動を取るための仕組みづくりを指します。具体的には、主に以下のような対策が挙げられます。

• セキュリティポリシーの策定と周知の徹底
• 定期的な事務員教育の実施
• インシデント対応体制の整備

また、委託先や取引先を含めた全体のセキュリティ管理も重要な要素です。組織的対策を通じて、人的脅威に対する危機管理能力を高め、万が一の事態にも迅速、かつ適切に対応できる体制を整えることが、法律事務所のセキュリティ強化につながります。

法律事務所のサイバーセキュリティ対策として情報の一元化が重要

法律事務所のサイバーセキュリティを強化するためには、管理する情報を一元化することが重要です。

膨大な情報を取り扱う法律事務所では、情報の様式や管理場所が複数あると混在して管理が困難となるでしょう。複数の媒体や場所に情報が散逸しているなど情報を正しく管理できていないと、間違ったファイルを外部へ送信したり、必要な情報の存否が確認できず不正な処理があっても認識できないなどの情報漏洩のリスクもあります。
そのため、取り扱う情報を一元化して管理を容易にすることが大切です。

強固なセキュリティで情報を一元化するならLEALA（レアラ）

より強固なセキュリティで情報を一元管理するなら、弁護士・法律事務所向けクラウド業務管理システム『LEALA』がおすすめです。

LEALAは、数百名規模から数名規模の法律事務所まで幅広くご採用されている、弁護士業務を効率化する業務管理システムです。
世界各国の政府系機関や大手金融機関等も利用している”Salesforce”をシステム基盤に採用することで、堅牢なセキュリティ環境のもとで情報を管理することが可能です。気密性や保全性、可用性、監査性の4つの特性において高い質を維持しており、いずれも高評価を得ているので、安心してご利用いただけます。

また、LEALAの特徴としては、「タイムチャージ管理から請求書の発行・送付までを一元化できる企業法務系機能」と、「顧客・案件管理からタスク・会計業務などを一元化する一般民事系機能」のどちらも搭載している点です。
実際に、数百名規模の法律事務所から数名以下の法律事務所まで、規模や分野問わずにお使いいただいております。
※参考：企業法務系機能・一般民事系機能
※参考：FAQ データはどこに保存されますか？

法律事務所のサイバーセキュリティ対策に目を向けよう

この記事では、法律事務所のサイバーセキュリティ対策について解説しました。

現在の高度情報化社会では、さまざまな手口が横行しサイバー犯罪の件数も年々増加しています。多くの情報を取り扱う法律事務所では、情報漏洩を防止するためにさまざまな対策が必要です。

物理的・人的・技術的対策を検討し、依頼者が安心して法律サービスを利用できる環境を実現しましょう。この記事で解説した対策内容を参考にして、ぜひ取り入れてください。

また、以下のページからLEALAに関する資料を入手できるので、気になる方はぜひチェックしてみてください。