税理士事務所の情報セキュリティを考えてみよう
- 斉藤永幸
- 12月9日
- 読了時間: 10分
規模を問わずセキュリティは重要課題に
近年、ますます重要になってきているのが情報セキュリティの問題です。これは税理士事務所であっても避けて通ることはできません。今年、2025年をはじめ、アサヒビールをはじめ大手の企業でもサイバー攻撃により大きなダメージを受けています。
「うちの事務所なんて小規模なところが狙われることない」
そうではありません。近年では中小企業が狙われることも多く、実際にランサムウェアの被害企業のうち6割が中小企業といったデータもあります(経済産業省『中小企業の実態判明 サイバー攻撃の7割は取引先へも影響』2025年2月19日)。
実際、どのようなサイバー攻撃が多いのか、IPA(独立行政法人情報処理推進機構)が公表している「情報セキュリティ10大脅威」を見てみましょう。
順位 | 組織向け脅威 | 解説(補足) |
1 | ランサムウェアによる被害 | コンピュータウィルスの一種で感染した端末を暗号化し、復元のために身代金を要求するもの |
2 | サプライチェーンの弱点を悪用した攻撃 | 企業のサプライチェーン内のセキュリティの弱い部分を狙い、情報漏洩やサービスの妨害を引き起こす攻撃 |
3 | 内部不正による情報漏洩等の被害 | 従業員や関係者による故意または過失により、企業の機密情報が外部に漏れることによる被害 |
4 | 標的型攻撃による機密情報の窃取 | 特定の組織を狙った攻撃で、その組織の機密情報を盗み出す攻撃 |
5 | 修正プログラムの公開前を狙う攻撃 | ソフトウェアの脆弱性を見つけ、その修正プログラムが公開される前に攻撃を仕掛けること |
6 | 不注意による情報漏洩等の被害 | 従業員のミスや不注意による機密情報が外部に漏れること |
7 | 脆弱性対策情報の公開に伴う悪用増加 | sソフトウェアの脆弱性に関する情報が公開された後、その情報を悪用した攻撃 |
8 | ビジネスメール詐欺による金銭被害 | 経営者や取引先などになりすまし、従業員などに偽の指示を出し、金銭をだまし取る攻撃 |
9 | テレワーク等のニューノーマルな働き方を狙った攻撃 | テレワーク等の環境のセキュリティの弱点を狙い、端末やネットワークを通してシステムに侵入などを狙う攻撃 |
10 | 犯罪のビジネス化 | サイバー犯罪がビジネスとして行われ、攻撃等が裏の市場で取引される現象。 |
このように中小企業は様々な脅威にさらされています。注目したいのがサプライチェーンの攻撃が第2位に入っていること。税理士事務所は直接的なサプライチェーンとは言えませんが、お客様の情報が集積されている場所であり、きぎょの生命線ともいえる財務情報といった非常に価値の高い情報が集まっています。しかし税理士事務所の多くはセキュリティ対策が手薄になりがちなため、悪意あるハッカーなどにとっては、侵入しやすいと考えられており、サイバー攻撃にさらされる危険性は高いといえます。
実際、2024年にはある税理士法人が狙われた事件が起きました。
2024年6月4日、夜にデータ管理サーバでアラートが発生。データサーバの隔離やインターネット遮断を実施しました。調査を行ったところ、ランサムウェアによる被害が発生したことを確認しました。外部でさらに詳しく調査をしたところ、6がつ4日の夜に海外の複数の不正アクセスが行われていました。また、これに先立つ5月26日に行われた、税理士法人のグループのネット接続点に設置する通信機器の更新作業で、委託業者が通信機器の設定を誤った結果、データサーバに不正アクセスできる状態だったことが分かったのです。
原因は突き止めることができましたが、データサーバ内で保管されていたファイルがランサムウェアによって暗号化されてしまっていました。その中には、お客様からお預かりしたデータもあり、氏名、住所、電話番号などの個人情報が含まれていたことから大きな問題となりました。
この税理士法人は大手金融機関などが取引先だったことから、大量の個人情報が漏洩した恐れが出てきてしまったのです、大手損害保険会社の6万3200件のお客様の個人情報をはじめ、生命保険会社、ネット損保の顧客情報なども合わせると、かなりの量の個人情報が危険にさらされたことになります。
今のところ各種情報が外部に漏洩したことを示す事実などは確認されていませんが、税理士事務所が原因となったサイバー攻撃による被害としては、最大のものといえるでしょう。
サイバー攻撃のリスクとは
もしサイバー攻撃の被害を受けてしまうと、税理士事務所はかなり深刻な被害を受けることになります。まずは復旧にたいへんなコストがかかります。状況にもよりますが、データの復旧やシステムの復旧に何日もかかってしまうことがあります。当然、その間は業務は止まりますし、システム会社等への依頼だけでも高額なものとなってしまいます。2025年のアサヒビールの事件では、数か月たってもデータは完全に復旧することができませんでした。
問題となるのが情報位の漏洩です。直接のお客様だけでなく、お客様が持つデータなどが漏洩することもあります。先ほど例に挙げた税理士法人では、お客様の顧客データが流出した可能性があるため、大きな問題となったのです。このような問題が起きれば当然、信頼は失墜します。お客様からの信頼だけでなく、社会的な信頼も低下し、事務所は存亡の危機に立たされるでしょう。さらに情報漏洩によりお客様に損害が発生した場合、損害賠償の責任を負うことになります。
2024年、日本ネットワークセキュリティ協会の調査にy採ると、クレジットカードの情報が漏洩した場合、漏洩したカード1枚当たり約10万円、管理委託を受けている個人情報が漏洩した場合、数千万円~数億円、と相場をまとめています。実際の事例として、教育関係のシステム開発を行っていた企業の社員が、顧客情報を名簿会社に売却していた事件で、一人当たり3300円、5700人分の情報だったため1300万円の損害賠償を命じられました。また、あるエステがサイバー攻撃を受け個人データが漏洩した事件では、1人当たり35000円の損害賠償が命じられています。
税理士事務所では、経理・財務情報だけでなく、時にはお客様の顧客情報を扱うことがあります。場合によってはそれが何万人になることも。もしその情報が漏洩してしまえば、被害は数億~数十億にもなり、とても中小規模の税理士事務所が負える額ではないのです。
だからこそ重要なのは、事前の対策です。
税理士事務所でできるサイバー攻撃対策
では、税理士事務所はどのような対策を行えばよいのでしょうか?
結論から言うと、完全にサイバー攻撃を防ぐことは難しい、と言わざるを得ません。IT技術は日々進歩しており、それに対抗してハッカーの技術も向上しています。2025年には中学生がAIを使って大手マンガ喫茶のチェーン店のサーバに侵入し、事件になったこともありました。
ただ、問題はしっかりと対策ができていたかどうか、です。対策をしたうえで攻撃を受けた場合は、被害が発生しても信頼はそこまで失われません。しかし対策をまったくしていない、対策が不十分だとなれば、痂疲があるとされ責任追及も重くなります。
現実的な意味で、中小税理士事務所ができる対策は、次の3つに絞られるでしょう。
1.ウィルス対策の導入
2.OSやソフトの最新化
3.情報収集とスタッフへの教育
サイバー攻撃への対策といえば、まず1.の、いわゆるウィルス対策ソフトの導入です。小規模な税理士事務所であれば、基本的には市販されているソフトで十分です。これにより不審なインターネットサイトやメールに記載されたリンクを検知・警告してくれるようになるので、かなりリスクを減らすことができます。また、自社システムなどを導入している事務所では、同時にウィルス対策などが施されている場合がほとんどです。不安なら一度システム開発を依頼したところに相談してみましょう。
次の2.ですが、ソフトウェアなどは常にサイバー攻撃に備えるためアップデートを繰り返しています。そのため最新化、つまりアップデートや修正プログラムを適用することで、危険性を減らすことができます。
具体的に言うと、PC等にアップデートの表示が出たら、速やかに適用する、ということです。こうしたアップデートは数分、時には1時間以上かかることもあり、他に作業をしているときなどはついつい後回しにしがち。しかし数時間の遅れで、アップデート前の脆弱性を悪用されることもあります。できるだけ速やかにアップデートをすることが重要です。
最後の3.ですが、サイバー攻撃について情報収集するのはもちろん、収集した情報をスタッフ皆で共有することが大切です。スタッフへの教育や情報の周知などは、セキュリティ専門の公的機関が無料で公開していることも多いので、そうしたものを利用してみると良いでしょう(先ほど紹介したIPA、情報処理推進機構などはこうしたサイトなどでセキュリティ情報を公開しています)。
こうした情報がスタッフに周知されていれば、不審なメールなどを開いてウィルスに感染した、などを防ぐことができ、事務所のセキュリティレベルを上げることができます。また、情報漏洩などが起きた際の被害などを周知することで、スタッフによる不正などを防止することもできます。
また、国や地方自治体などもサイバー攻撃対策に対しての支援を行っています。例えば東京都では、中小企業サイバーセキュリティ対策事業を行っており、事務所のセキュリティ環境を把握したうえで、基本方針の策定から機器の導入まで、セキュリティの専門家がサポートしてくれます(2025年度分は締め切られています)。また、セキュリティ対策にかかる費用については、国が実施しているIT導入補助金を活用することもできます。
もし個人情報などを大量に預かることがある場合は、保険などを検討してみるのも一つの手です。民間の保険会社では、サイバー保険などを扱っています。例えば損保ジャパンのサイバー保険では、保険商品と同時にサイバーセキュリティ対策などを一体的に提供。予防と検知、事故時の補償サポートを組み合わせているので、安心感があります。
また、サイト内でセキュリティ情報なども公開しているので、気になる人は一度こちらのサイトをのぞいてみるのも良いかもしれません。
そして、事務所内にできるだけデータを蓄積しない、ということも重要かもしれません。以前は事務所内にサーバを置いて、そこでデータを管理していたところもあるでしょう。しかし近年ではクラウドサービスが広まってきており、事務所に置かれているPCなどにデータを貯めるのではなく、使用する際にクラウドからデータを引っ張ってきて使う、ということも一般的になっています。こうしたクラウドサービスを提供している企業は、税理士事務所が個々で行うセキュリティより厳重です。会計ソフトの多くがクラウドのサービスを提供しており、情報などはそちらに預けておくのが安心です。
こうしてみても、中小規模の税理士事務所が取れるサイバー攻撃対策はどうしても限りがあります。ただ、それは当然ともいえます。年間億単位でセキュリティに投資している
大企業でも、サイバー攻撃に被害を受けることがあるのです。
ただ、だからといって何も対策をしないわけにはいきません。近年ではサイバー攻撃に対する対策を怠らないということは、注意管理義務を怠っている、と取られても仕方のないことなのです。
私自身、セキュリティの専門家ではありませんが、ご要望があれば専門的な対策を行う企業と連携し、相談に対応することも可能です。ご要望がございましたらこちらよりご連絡ください。
コメント