「顧客の確定申告データを添付したメールを、誤って別の顧客に送ってしまった……」
「ノートPCを電車内に置き忘れた。紛失届は出したが、ディスクは暗号化していなかった……」
「フリーWi-Fiで在留資格の書類を送信した後、後日クライアントから『知らない請求書が届いた』と連絡が……」
情報漏洩は、対岸の火事ではありません。弁護士・税理士・司法書士・行政書士・社労士が日々扱う情報は、財産額・病歴・在留資格・相続内容・訴訟記録と、流出すれば依頼者の人生に直結するものばかりです。そして一度失った信用は、取り戻せないという事実があります。
このガイドでは、今日から実践できる具体的な対策を優先順位とともに整理し、万が一事故が起きたときの対応マニュアルまでを一冊にまとめました。
✅ この記事を読むとわかること
・士業が抱える情報漏洩リスクの深刻さ——数字と法令で確認する
・セキュリティの「落とし穴」5選とセルフチェックリスト
・今日から実践できる情報漏洩対策8項目(優先度・費用・所要時間付き)
・情報漏洩が起きたときの72時間タイムラインと事故対応マニュアル(テキスト完全版)
・士業5種別(税理士・司法書士・行政書士・弁護士・社労士)の固有注意点
・セキュリティに強いPCを選ぶためのハードウェア基準
第1章:士業の情報漏洩は「一発アウト」——数字と法令で確認する深刻さ
「自分の事務所は小さいから狙われない」「今まで何もなかった」という認識は、現在の脅威状況においては通用しません。IPA(独立行政法人情報処理推進機構)が毎年発行する「情報セキュリティ10大脅威2025」では、ランサムウェアが組織部門の1位に選ばれており、中小規模の事業者への攻撃が急増しています。
1-1. 情報漏洩が士業にもたらす4つの損害
信頼失墜・顧問契約解除:「大切な情報を守れなかった専門家」として、依頼者が離れます。口コミや紹介で成り立つ士業事務所では、一件の事故が複数の顧問契約喪失につながります
損害賠償請求:情報漏洩によって依頼者に実損が生じた場合、民法709条(不法行為)または債務不履行に基づく損害賠償請求を受けるリスクがあります
行政処分・業務停止:個人情報保護法違反として個人情報保護委員会から勧告・命令が下され、悪質な場合には1億円以下の罰金(法人)が科されます
廃業リスク:風評被害が広がり新規受任が止まる、あるいは損害賠償の支払いで経営が立ち行かなくなるケースがゼロではありません
1-2. 士業の守秘義務は「職業倫理」ではなく「法的義務」
セキュリティ対策の怠慢は、単なる不注意ではなく、各士業法に定められた守秘義務違反に直結します。士業ごとに定められた条文は必ず確認しておきましょう。
個人情報保護法上の報告義務(2022年改正後)
漏洩した個人情報が一定の要件(要配慮個人情報、財産的被害のおそれ、不正アクセスによる漏洩等)に該当する場合、個人情報保護委員会への報告(発生を知った後、概ね3〜5日以内)と確報(30日以内(不正目的の場合は60日))が義務となっています(個人情報保護法26条)。義務に違反した場合、委員会からの勧告・命令・罰則の対象になります。こちらも事前に確認しておいてください。
第2章:今すぐ確認——士業がやりがちなセキュリティの「落とし穴」5選
日々の業務の流れの中で、無意識のうちにリスクを高めてしまっているケースがほとんどです。以下の5項目を確認してください。
落とし穴① 無対策のWi-Fiに業務PCで接続している
⚠️ 危険度:高
カフェ・ホテル・公共施設のフリーWi-Fiは通信が暗号化されていないケースが多く、同じネットワーク上の第三者に通信内容を盗み見られる「傍受」のリスクがあります。在留資格書類・相続情報・確定申告データを送受信した瞬間に、情報が漏れる可能性があります。
✅ セルフチェック
□ 外出先でフリーWi-Fiを業務に使う際、VPNを経由していますか?
□ 事務所のWi-Fiにはパスワードと通信暗号化(WPA3またはWPA2)が設定されていますか?
落とし穴② セキュリティソフトが無料版・更新停止状態
⚠️ 危険度:高
無料のセキュリティソフトは最低限の防御は可能ですが、未知のマルウェアへの対応速度や、ビジネス向けの詳細制御機能が有料版に比べて限定的です。また「インストールした当時は有料版だったが更新が切れた」という状態は、無防備と変わりません。ランサムウェアは古い定義ファイルのPCを優先的に狙います。
✅ セルフチェック
□ 事務所のすべてのPCに有料のセキュリティソフトが入っていますか?
□ ライセンスの有効期限を直近3ヶ月以内に確認しましたか?
落とし穴③ パスワードを複数サービスで使い回している
⚠️ 危険度:高
会計ソフト・税務申告システム・クラウドストレージ・メールで同じパスワードを使い回していると、どこか一つから漏洩した時点で連鎖的に全サービスへの不正アクセスが可能になります。「クレデンシャルスタッフィング」と呼ばれるこの手口は、自動化ツールで大量のサービスに短時間で試行されます。
✅ セルフチェック
□ 主要サービスでそれぞれ異なるパスワードを設定していますか?
□ パスワード管理ツール(1Password・Bitwarden等)を使っていますか?
落とし穴④ バックアップが手動・または存在しない
⚠️ 危険度:中
「定期的にバックアップしている」と言っても手動の場合、前回バックアップ以降のデータはランサムウェア感染・PC故障・誤削除で完全に失われます。バックアップは「自動化されていない」と「存在しない」はほぼ同じリスクです。また、バックアップ先がメインPCと同じネットワーク上の外付けHDDだけの場合、ランサムウェアはバックアップも一緒に暗号化します。
✅ セルフチェック
□ バックアップは自動で毎日実行される仕組みがありますか?
□ クラウドストレージとローカルの外付けHDDの2箇所にバックアップしていますか?
落とし穴⑤ 業務PCを家族・個人用途と兼用している
⚠️ 危険度:中
家族が使ったPCに不審なソフトがインストールされていた、子供がゲームサイトでマルウェアをダウンロードした——こうした経路からの業務データ流出は、サイバー攻撃よりも発生頻度が高いとも言われます。少なくともユーザーアカウントを分け、業務データへのアクセスを制限することが必要です。
✅ セルフチェック
□ 業務PCとプライベートPCは物理的に分かれていますか?
□ 業務PCで家族共有のアカウントにログインしていませんか?
診断結果の目安
✅ が 0〜2個:早急な対策が必要です。第3章を最初から実施してください
✅ が 3〜4個:基本はできています。抜けている項目を第3章で補強しましょう
✅ が 5個すべて:第3章の⑤⑦⑧(VPN・BitLocker・クラウド設定)も確認しましょう
第3章:士業が実践すべき情報漏洩対策8項目【優先度順】
「全部いっぺんに」は続きません。今日すぐ・今週中・来月中という3段階に分けて、確実に積み上げていく方法をお伝えします。
今すぐ(合計約1時間30分)
① パスワード管理ツールの導入 + 主要サービスへの二要素認証設定
費用:無料〜月数百円(1Password・Bitwarden等) 所要時間:約30分
まずパスワード管理ツールを1つ選んで導入し、会計ソフト・クラウドストレージ・メールの3サービスにだけでも二要素認証(2FA)を設定してください。これだけでパスワード漏洩による連鎖的な被害を防ぐ最大の効果が得られます。認証アプリはGoogle Authenticator・Microsoft Authenticatorが代表的で、どちらも無料です。
② 自動バックアップの構築
費用:無料〜月数百円(OneDrive・Google Drive等) 所要時間:約30分
OneDriveまたはGoogle Driveのデスクトップ同期をオンにするだけで、業務フォルダが自動的にクラウドへバックアップされます。Microsoftの個人向けOneDrive(1TB)はMicrosoft 365に含まれており、士業事務所ならすでに利用していることも多いはずです。外付けHDDへの自動バックアップも「Windows バックアップ」機能で設定できます。
③ OSとセキュリティソフトの自動更新を確認
費用:無料 所要時間:約15分
Windows UpdateをON、有料ウイルス対策ソフトの定義ファイルを自動更新に設定します。定義ファイルが古いと既知のマルウェアにも感染します。「Windowsの設定→Windows Update→自動更新」で確認してください。
今週中(合計約2時間)
④ 有料ウイルス対策ソフトの導入
費用:年5,000〜1万5,000円程度 所要時間:約1時間
事務所のすべてのPCに有料版を導入します。ビジネス向けとして信頼性が高いのはESET・Norton・Bitdefenderなどです。無料版との主な差は「未知ウイルスへの対応速度」「ビジネス向けの詳細設定機能」「サポート体制」の3点で、機密情報を扱う士業には有料版が実質必須と考えてください。
⑤ BitLockerによるディスク暗号化(Windows 11 Pro必須)
費用:無料(Windows 11 Pro搭載PCに限る) 所要時間:約30分(初期暗号化は時間がかかります)
BitLockerを有効にすると、PCを紛失・盗難されてもディスクの中身が暗号化されているため、第三者がデータを読み取ることができません。「設定→プライバシーとセキュリティ→デバイスの暗号化」から有効化できます。なお、BitLockerをフル機能で使うにはWindows 11 Proが必要です。HomeエディションのPCには制限があるため、購入時のOS選択が重要になります。
※ BitLockerの動作にはTPM(Trusted Platform Module)チップが必要です。2025年以降発売の主要ビジネスノートPCはほぼ搭載済みですが、古いPCでは未搭載の場合があります。
⑥ デバイス紛失対策(遠隔ロック・データ消去の設定)
費用:無料 所要時間:約30分
Windowsの「デバイスの検索」機能をONにします。「設定→プライバシーとセキュリティ→デバイスの検索」から有効化でき、紛失時にMicrosoft アカウントから遠隔でのロックが可能になります。スマートフォンでも同様に「iPhoneを探す」「Googleデバイスを探す」が有効になっているか確認してください。
来月中(合計約3時間)
⑦ VPNの導入(外出時の通信保護)
費用:月300〜1,500円程度 所要時間:設定約1〜2時間
外出先でのフリーWi-Fi使用時に、通信内容を暗号化するサービスです。NordVPN・ExpressVPNなどが代表的で、スマートフォン・PCの両方で使えます。外出が多い行政書士・司法書士は特に優先度が高い対策です。「VPNをONにしてから業務データにアクセスする」という習慣を作ることが重要です。
⑧ クラウドストレージの共有設定・権限の棚卸し
費用:無料 所要時間:約1時間
Google DriveやDropboxの「共有中のファイル・フォルダ」を一覧で確認し、不要な共有リンクを削除・期限切れに設定します。「誰でも閲覧可能なリンク」が古いまま残っているケースが意外に多くあります。月1回の定期確認をカレンダーに設定しておくことをおすすめします。
第4章:万が一に備える「情報漏洩事故対応マニュアル」完全版
どれだけ対策を重ねても、リスクをゼロにすることはできません。重要なのは「事故が起きた後に何をするか」を事前に決めておくことです。パニック状態での対応は二次被害を招きます。
4-1. 情報漏洩発生時の72時間タイムライン
発生〜1時間以内:被害の封じ込め
・感染・漏洩が疑われるPCをインターネットから切り離す(LANケーブルを抜く、Wi-Fiをオフ)
・電源は入れたままにする(証拠となるログが消える可能性があるため)
・「いつ・何が・どこで・どのように」の状況をメモする
・スクリーンショット・エラー画面・不審なメールなどの証拠を保全する
・関係するクラウドサービスのパスワードを別のPCで至急変更する
発生1〜24時間以内:影響範囲の特定
・漏洩した可能性のある情報の種類と件数を特定する
・影響を受けた依頼者(氏名・連絡先)のリストを作成する
・所属士業会の相談窓口に連絡し、対応方針の相談をする
・ITセキュリティ専門業者または弁護士への相談を開始する
・損害保険(サイバー保険に加入している場合)の保険会社に連絡する
発生24〜72時間以内:法的義務の履行
・個人情報保護委員会への速報(漏洩が一定要件に該当する場合・義務)
連絡先:03-6457-9849 / 報告フォームは個人情報保護委員会ウェブサイトから
・影響を受けた依頼者への個別連絡・謝罪(個人情報保護法71条に基づく通知義務)
・警察のサイバー犯罪相談窓口への届出(不正アクセス・ランサムウェアの場合)
・事故報告書の作成を開始する(原因・経緯・被害範囲・対応経過)
発生後〜完了:再発防止と報告
・個人情報保護委員会への確報(発生から30日以内・義務)
・原因の根本調査と再発防止策の策定・実施
・必要に応じてウェブサイト等での公表
・依頼者への最終報告と対応完了のご連絡
※ 速報義務が発生する「一定の要件」(個人情報保護法26条):要配慮個人情報の漏洩、財産的被害のおそれ、不正目的による漏洩、1,000件超の漏洩 等。詳細は個人情報取扱事業者等に係るガイドライン・Q&A等をご確認ください。
4-2. 事前に整備しておく「万一マニュアル」テンプレート
以下の4項目を平常時に記入・更新し、PCとは別の場所(印刷して金庫・または暗号化したUSBメモリ)に保管しておいてください。事故発生時にこの1枚を見れば動ける状態を作ることが目的です。
緊急連絡先リスト(事前記入)
- ITセキュリティ専門業者(インシデント対応):___________________
- 所属士業会の相談窓口:___________________
- 顧問弁護士(または連携弁護士):___________________
- 個人情報保護委員会:03-6457-9849
- 警察サイバー犯罪相談(各都道府県警):___________________
- 加入しているサイバー保険の保険会社:___________________
📋 保有個人情報の棚卸しリスト(事前記入)
- 顧客情報の保管場所:PC本体 / クラウドストレージ(___)/ 紙(___)
- 顧客数の概算:___件
- 特に機密性の高いデータの種類:___________________
- マイナンバーを保管しているシステム・場所:___________________
📋 主要アカウント・システム情報(事前記入)
- パスワード管理ツールの名称と緊急アクセス方法:___________________
- 二要素認証の設定済みサービス:___________________
- クラウドバックアップのサービス名とアカウント:___________________
- PCの遠隔ロック用Microsoft/Google アカウント:___________________
4-3. 依頼者への連絡文テンプレート(雛形)
事故発生時に慌てて文章を考えると、表現の不備が二次クレームを招く場合があります。以下のテンプレートを平常時に準備しておき、事故の内容に合わせて青枠部分を書き換えて使用してください。
○○ 様
平素より大変お世話になっております。○○事務所 氏名でございます。
このたび、弊事務所において情報セキュリティ上の事案が発生し、お客様の個人情報が漏洩した可能性があることが判明いたしました。ご迷惑とご心配をおかけしますことを、深くお詫び申し上げます。
■ 発生日時:○月○日 ○時頃
■ 漏洩した可能性のある情報:氏名・住所・(具体的な情報種別)
■ 現時点で確認されている被害:現時点では確認されていません / ○○の被害が確認されています
■ 弊事務所の現在の対応:関係システムを停止し、専門業者による調査を開始しています。個人情報保護委員会への報告手続きも進めています
■ 今後の再発防止策:調査完了後、改めてご報告いたします
お客様には多大なご迷惑をおかけし、誠に申し訳ございません。ご不明な点やご心配な点がございましたら、下記までお気軽にご連絡ください。引き続き誠実に対応してまいります。
事務所名・担当者名・電話番号・メールアドレス
第5章:「うちは関係ない」は通用しない——士業5種別の固有注意点
士業の種類によって扱う情報の性質は異なり、それに応じてリスクのポイントも変わります。ご自身の業種の項目を重点的に確認してください。
| 士業 | 特に注意すべき情報 | 固有のリスク | 推奨対策 |
|---|---|---|---|
| 税理士・公認会計士 | マイナンバー・財務情報・給与情報・確定申告書 | 繁忙期(2〜3月)に外部クラウドソフトを多用→設定ミスリスクが高まる | 会計ソフトの2FA必須化・マイナンバー管理専用PCの検討・繁忙期前のセキュリティ点検 |
| 司法書士 | 不動産権利情報・相続財産・後見被保護者の金融情報 | ICカードリーダー・USBメモリの外出持ち出し機会が多い。紛失リスクが高い | BitLocker有効化・USBメモリの暗号化製品使用・デバイス紛失対策の設定 |
| 行政書士 | 在留資格・許認可申請情報・遺言書内容・会社設立情報 | 役所・入管・公証役場への外出が多く、外出先でのフリーWi-Fi利用・メール誤送信のリスクが高い | VPN導入・メール送信前の宛先再確認習慣・外出PCへの覗き見防止フィルター貼付 |
| 弁護士 | 係争記録・和解条件・通話記録・被疑者情報 | 極めて高い秘匿性が求められる情報を扱い、漏洩した場合の依頼者への影響が特に深刻 | セキュアな通信ツールの選定(Signal等)・USBメモリ使用ルールの厳格化・クライアント別の厳格なフォルダ権限管理 |
| 社会保険労務士 | 給与・労働時間・マイナンバー・社会保険情報・病歴 | マイナンバーを含む情報の厳重管理が法令上求められる。給与計算ソフトの不正アクセスが特に深刻 | マイナンバー取扱PCのネットワーク分離(または専用管理ソフト使用)・クラウド労務システムの2FA設定 |
第6章:セキュリティに強いPCを選ぶためのハードウェア基準
セキュリティ対策の多くはソフトウェアや設定で実現できますが、PCのハードウェア自体がセキュリティ機能を持つかどうかによって、対策の強度と手軽さが大きく変わります。次のPCを購入・更新する際に確認すべきポイントを整理します。
| チェック項目 | 内容と重要性 |
|---|---|
| Windows 11 Pro(必須) | BitLockerによるフルディスク暗号化・Active Directoryドメイン参加・リモートデスクトップホスト機能にProが必要。Homeでは暗号化機能に制限あり。購入時に必ずPro版を選択すること |
| TPMチップ(TPM 2.0)搭載 | BitLockerの動作に必要なセキュリティチップ。2025年以降発売の主要ビジネスノートPCはほぼ標準搭載。購入仕様で「TPM 2.0」を確認 |
| Windows Hello対応(顔認証・指紋認証) | パスワードより速く安全なログイン。画面ロックを「すぐかける」習慣につながる。外出先での不正ログインリスクを下げる |
| 物理プライバシーシャッター(カメラ) | ウェブカメラを物理的に塞ぐシャッター。ソフトウェアでのカメラOFFより確実に覗き見を防止。外出先での機密情報漏洩防止に有効 |
| HP Wolf Security・Sure Start等 | BIOSレベルからの攻撃を検出・自己修復するメーカー独自のセキュリティ。HPのEliteBookシリーズが代表的。通常のウイルス対策ソフトが届かないレイヤーを守る |
| MIL規格準拠の堅牢ボディ | 外出先でのPCの落下・衝撃に対する物理的な耐久性。HDD(外付け)やSSDの損傷によるデータ消失を防ぐ間接的なセキュリティ |
よくある質問|セキュリティ対策編
Q1:無料のセキュリティソフトではだめですか?
無料ソフトでも最低限の対策は可能ですが、機密情報を扱う士業には有料版を強く推奨します。最新の複雑な脅威への対応速度、未知のマルウェアへの行動検知機能、ビジネス向けの詳細制御、そしてサポート体制の面で有料版が明らかに優れています。年間5,000〜1万5,000円程度の費用は、万が一の損害賠償や廃業リスクと比較すれば必要不可欠な投資です。
Q2:DropboxやGoogle Driveのようなクラウドストレージは安全ですか?
主要なサービス自体は高いセキュリティ対策を実施していますが、利用者の設定ミス(誰でも閲覧できる共有リンクの放置)やパスワード管理の不備による情報漏洩が多発しています。サービスを使うこと自体は問題ありませんが、二要素認証の有効化・共有リンクの定期棚卸し・アクセス権限の厳格管理の3点を必ず実施してください。
Q3:紙中心の業務なのでデジタル対策は必要ない?
紙中心であっても、顧客の連絡先・請求書・申告書のデータなど、何らかの個人情報は必ずPCやスマートフォンで管理しているはずです。また紙書類をスキャンしてPDF化して共有している場合、そのデータが最も漏洩リスクが高い情報になります。「紙中心だから」という認識は、盲点を生みます。
Q4:家族と共有のPCで業務してもいい?
非常にリスクが高いため、避けるべきです。家族が意図せずマルウェアをダウンロードしたり、業務データを誤削除したりするリスクがあります。最低でも別のWindowsユーザーアカウントを作成し、業務データへのアクセスをパスワード保護で制限してください。理想は業務専用PCを用意することです。
Q5:BitLockerはどのPCでも使えますか?
Windows 11 Proエディション以上が必要です。Homeエディションでは「デバイスの暗号化」という簡易版のみ対応しており、管理機能に制限があります。士業のPCにはPro版を推奨している理由の一つがこれです。また動作にはTPM 2.0チップが必要で、古いPCでは未搭載の場合があります。
Q6:ランサムウェアに感染したら何をすればいいですか?
まず感染したPCをネットワークから即座に切り離してください(LANケーブルを抜く、Wi-Fiをオフ)。次に、感染していない別のPCから主要サービスのパスワードを変更し、ITセキュリティ専門業者に連絡します。身代金は絶対に支払わないことが原則です(支払っても復旧できないケースが多く、再度攻撃の標的になります)。IPA(情報処理推進機構)の「情報セキュリティ安心相談窓口」(03-5978-7509)に連絡することも推奨します。
まとめ:今日から始める「3ステップ」
セキュリティ対策 おさらい
✅ 情報漏洩は士業の守秘義務違反に直結し、損害賠償・業務停止・廃業リスクを伴う
✅ 個人情報保護法改正により、漏洩時の速報(72時間以内)・確報(30日以内)が義務化
✅ 対策の優先順位:パスワード管理・2FA → 自動バックアップ → ウイルス対策 → BitLocker → VPN
✅ 万一マニュアルは平常時に整備し、PCとは別の場所に保管する
✅ 次のPC購入時はWindows 11 Pro・TPM 2.0・Windows Hello対応を確認
今日から実践する3ステップ
Step 1 今日(30分)
パスワード管理ツールを1つ選んでインストールし、会計ソフト・メール・クラウドストレージの3サービスに二要素認証を設定する。これだけで漏洩リスクを大幅に下げられます。
Step 2 今週中(2時間)
OSの自動更新を確認・有料セキュリティソフトを導入・自動バックアップをオンにする。「仕組みを作る」ことで、その後の手間なく対策が継続します。
Step 3 今月中(半日)
第4章の「万一マニュアル」の緊急連絡先リストと保有情報の棚卸しを記入し、印刷して安全な場所に保管する。BitLockerの有効化とクラウドストレージの共有設定の棚卸しも実施する。
セキュリティ対策は「完璧にしてから始める」ものではなく、「今日できることから1つずつ積み上げる」ものです。本記事のチェックリストを手元に置き、一つひとつ実施していただければ、依頼者の信頼に応えられる事務所環境が整います。
PCの保証・サポートの選び方については、PCの保証とサポート完全ガイドもご覧ください。