弁護士情報セキュリティ規程が施行｜「基本的な取扱方法」を対策できるシステム

弁護士情報セキュリティ規程が2024年6月1日から施行され、各法律事務所において基本的な取扱方法を策定することが義務化され、弁護士等は取扱情報のセキュリティを確保するための「基本的な取扱方法」を定めなければなりません。
そこで本記事では弁護士情報セキュリティ規程の内容を網羅しつつ実際に「基本的な取扱方法」として記入できるセキュリティ対策サービスを紹介いたします。

コンテンツの目次

1. どんな義務が施行されたのか
   1. 基本的な取扱い方法の策定
   2. 安全管理措置義務
   3. 情報のライフサイクル管理義務
   4. 点検及び改善の義務
   5. 事故発生時の対応の義務
2. 義務化された項目への対策に役立つシステム
   1. 「安全管理措置義務」には・・・
      1. 不正利用、データ漏洩防止、人為的ミスの防止につなげる！
         ログ管理システム【MOT/Log】
      2. 社内PCを自宅から操作可能！
         安全簡単なリモートアクセス【VALTEC SWAN】
      3. 管理者不在でもサイバー攻撃を監視する
         【VALTEC/UTM】
   2. 「情報のライフサイクル管理義務」には・・・
      1. IT資産の運用や管理をアウトソーシングでプロに任せる！
         【情報システム管理PCネットワークサポート】
      2. ファイル共有の問題を解決して、業務効率化を実現
         ファイル共有サーバー【コネクトガード】

１. どんな義務が施行されたのか

基本的な取扱い方法の策定

弁護士は、取扱情報の情報セキュリティを確保するための「基本的な取扱方法」を定める必要があります。
これはセキュリティポリシーの策定に相当し、セキュリティポリシーには基本方針と対策基準を記載し、詳細な実施手順は別途定める必要があります。

安全管理措置義務

安全管理措置とは「個人情報保護法で決められた、データを安全に管理するための措置や指標のこと」です。
基本的な取扱い方法を前提に、組織的、人的、物理的、技術的な安全管理措置を整備する必要があります。安全管理措置は事務職員や修習生等にも情報セキュリティ対策を講じさせる必要があると定められています。

情報のライフサイクル管理義務

情報ライフサイクルの全段階（作成、取得、保管、利用、提供、運搬、送信、廃棄）において情報セキュリティを確保する義務が追加されました。
データ (情報) の作成から廃棄までを監視し、その有用性を最適化、データがもたらすコンプライアンスや法的リスクを最小限に抑えることも目的とします。

点検及び改善の義務

情報セキュリティ管理者は、毎年10月に、基本的な取扱方法の実施状況に関する点検の計画を立案し、各弁護士及び事務職員等に点検を行わせる必要があります。
前号の点検の結果、基本的な取扱方法が有効に実施されていないことが分かった場合は、その原因を特定し、改善計画を立案し、必要がある場合は基本的な取扱方法を改訂する必要があります。

事故発生時の対応の義務

事故が発生した場合、影響範囲の把握や被害の拡大防止、原因調査、再発防止策の検討などを講じる必要があります。
漏えい等事故が発生した場合、発見者は情報セキュリティ管理者に対し、速やかに報告し指示を仰ぎます。
原因の調査、感染した情報機器の停止若しくはネットワークからの遮断、さらにセキュリティ対策ソフトウェアによる検査や駆除等の応急措置の実行。必要に応じ、外部の情報セキュリティの専門家等の助言又は補助を得ます。
調査の結果判明した原因についての対策を実行します。

２. 義務化された項目への対策に役立つシステム

「弁護士情報セキュリティ規程制定」により制定されて義務について対策をする必要があります。
「安全管理措置義務」「情報のライフサイクル管理義務」の２つに対策できるシステムを紹介致します。

「安全管理措置義務」には・・・

不正利用、データ漏洩防止、人為的ミスの防止につなげる！
ログ管理システム【MOT/Log】

「安全管理措置義務」には、「組織的、人的、物理的、技術的な安全管理措置を整備する必要がある。事務職員や修習生等にも情報セキュリティ対策を講じさせる必要がある。」と、あります。
「MOT/Log」（モットログ）は、パソコンの操作ログを取得し、誰がいつ何をしていたかを集計できるログ管理システム。管理者のパソコンに各従業員の画面や作業のログを残す事ができます。
ログ管理をすることで作業の内容を見える化できるので、不正利用、データ漏洩があった場合の特定につながり、また、ログを取るという事で牽制する事になります。

また「事故発生時の対応の義務」としても、ログを取るという事で事故が発生時の原因の究明から特定、再発防止策の検討まで役立ちます。

【ログ管理システムMOT/Logの特長】

・表示した画面をキャプチャ
定期的（1分/ 3分/ 5分/ 10分/ 15分/ 30分/ 1時間/ ランダム）に社員パソコンの画面キャプチャを自動取得しログ管理をします。ログは管理者画面で確認することができます。

・PCの操作ログを表示
メールを作成している時間、どのサイトを閲覧したか、 WEB会議やエクセル作業にどのくらいの時間を使っているかなど操作履歴を取得できます。

・PCの利用時間を一目で確認
会社やグループ単位で社員のPC利用時間を期間ごとに比較できます。どの社員が作業時間が多いかを一目で把握。インターバル時間を充分にとっているかも表示できます。

・終業時間に自動シャットダウン
1時間前、30分前、15分前、1分前にメッセージを表示し、パソコン利用者に注意喚起を行います。シャットダウン （またはログオフ）を行い、残業を防止します。

在宅環境での作業チェックと情報漏えいの防止を同時に実現できるので「操作ログ、画面が撮影されるため、緊張感があり、効率的になった」「リモートアクセス機能により、データを持ち出し、紛失を防止するこが可能に」などの効果があります。

社内PCを社外からでも操作可能！安全簡単なリモートアクセス【VALTEC SWAN】

VALTEC SWANではVPNでは不向きな複数の場所からの遠隔接続（リモートアクセス）に適したサービスです。
顧客との打ち合わせ・相談などを社外のレンタル会議室で行う事も多く、最近の働き方改革でリモートワークが増え、オンラインでの打ち合わせ・相談も増えています。

本社などへ機器を設置し、社内PCと持ち出しPCへ設定を行えば遠隔でアクセスできる環境が構築できます。
安全管理措置義務では、従業員のデータの管理体制や、顧客との打ち合わせ・相談時のデータ運搬方法（紛失のリスク）、人為的、非人為的に拘わらず、データの流出に気を付けなければなりません。

VALTEC SWANのリモートアクセスでは社外で利用中のPCから社内PCを操作し、社内PCから社外で利用中のPCへ画面を転送しているだけなので、リモートアクセス中でも、持ち歩いているPCにデータを残さず、顧客との情報なども漏れる事がありません。

また、画面のコピー（スクリーンショット）や印刷を禁止できるのでデータ持ち出しなどのセキュリティ面も安心してお使いいただけます。経理システムや会計システム、クラウドサービスなどにも安全にアクセス可能です。
複数場所からのアクセスでもVALTEC SWAN1つで対応できるのでVPNと比べて安価にリモートアクセス環境を構築することができます。その為、社内で社内PCを操作している場合と全く同じ業務（共有フォルダの使用やオンライン口座など）が行えます。
他にも在宅勤務のみならず、サテライトオフィスやカフェ・お客様先などでも利用できるので、お客様先で使用する資料を共有フォルダから直接開いたりすることもできます。

管理者不在でもサイバー攻撃を監視する【VALTEC/UTM】

ウイルス感染や不正アクセスでは情報の漏洩やデータの消失が起こってしまいます。
様々なネットワーク攻撃や不正アクセスなどのサイバー攻撃への対策は「安全管理措置義務」の対策としてとても重要です。
「VALTEC/UTM」はウイルス対策ソフトでは対処しきれない様々なネットワーク攻撃や不正アクセスなどのサイバー攻撃に加え、まだワクチンのできていない新種のウイルスにも対応できるUTM商品です。

サンドボックスと呼ばれる仮想領域でデータを検証し『危険』と判断すれば切り離しを行うため、顕在化していない「未知のウイルス」にも対応できます。
端末にUTMが発行した証明書をインストールし、連携を行っているため社員のPCがウイルス感染した場合、即座にネットワークを切り離し社内サーバーへの感染を防ぐことができます。

・ネットワーク「以外」からの感染も防ぐ
VALTEC/UTMでネットワークを監視し外付けHDDや圧縮ファイル暗号化したファイルなど、ネットワークをすり抜けてしまうデータもエンドポイント(ネットワークと端末の間にあるポイント)とUTMが連携で漏れなく検知!

・ウイルス感染時にネットワークを自動隔離
エンドポイントがUTMと連携動作社内端末がウイルスに感染した場合にネットワークを即座に自動隔離し被害を抑制します。

「情報のライフサイクル管理義務」には・・・

IT資産の運用や管理をアウトソーシングでプロに任せる！
【情報システム管理PCネットワークサポート】

情報のライフサイクル管理義務とは情報ライフサイクルの全段階（作成、取得、保管、利用、提供、運搬、送信、廃棄）において情報セキュリティを確保する義務です。
IT運用管理とは、LCMサービスとも言い、パソコンなどIT機器の導入から廃棄までの一連のサポートとなり、顧客の機密情報やデータ扱うPCのセキュリティに関する設定や、トラブルのサポートなど、セキュリティ対策やコンプライアンスの強化をお手伝いします。

また「事故発生時の対応の義務」としても、サポートとして原因の追究から特定、問題部分の切り離しができるので、再発防止まで対策できます。
全国にパソコン修理店52店舗を展開するVALTECならではの技術力の高さと安心体制でサポートいたします。

・PC 廃棄＆買取
不要なパソコンのデータ消去し
消去証明書をお出します。

・キッティング代行
下記キッティングを対応いたします。
初期設定（OSの立上げ）/WINDOWSアップデート（最新版）/メール設定（ID/PASS）/管理番号表貼付（テプラ）/ソフトウェア10本まで（1本あたり10分以内）/プリンタ設定/動作確認/ネットワーク設定（ホスト名やIPアドレスなど端末固有の設定等）

・修理＆代替機対応
全国52店舗の修理店にて割引修理

ファイル共有の問題を解決して、業務効率化を実現
ファイル共有サーバー【コネクトガード】

ファイル共有サーバーは、ビジネス用途で広く利用されており、効率的で欠かす事のできない技術ですが、セキュリティとプライバシーの問題は無視できません。
「コネクトガード」ならファイル共有時のメール送信やクラウドストレージに代わり、より安全・効率的なファイル共有が可能になり「情報のライフサイクル管理義務」の取得、保管、利用、提供、運搬、送信などで活躍します。
クライアントから領収書や申請関係の書類を、メールや郵送で送ってもらっている事が多い弁護士の先生方のやり取りを、コネクトガードにより各社ごとにアクセス権をフォルダに設定し、まとめてフォルダ内に入れることで、やり取りの手間やセキュリティ面での安心に繋がります。

【コネクトガードの特長】

・普段と同じ操作で利用できる
いつもお使いのパソコンのフォルダ、ファイルを操作するのと同じ感覚で使用できます。

・フォルダにアクセス権限を付与
NASやファイルサーバで行おうとすると、VPNが必要ですが、コネクトガードではVPN不要で実現可能です。

・PPAP対策
領収書や申請関係の書類をパスワード付Zipをメールで送ってもらい、その後にパスワードを送るPPAPの代替として、より安全にファイルのやり取りができます。

・動画など大容量ファイルの共有
コネクトガードにより、動画、画像、CADデータなど大容量ファイル送る場合も第三者のクラウドストレージサービスを使う必要がなくなりセキュリティ面の不安がなくなります。