弁護士情報セキュリティ規程施行直前・今から対応する基本的な取扱方法策定

はじめに

明日、6月１日から弁護士情報セキュリティ規程が施行され、各法律事務所において、基本的な取扱方法を策定することが義務化されます。

基本的な取扱方法は、企業の社内規則でいえば、情報セキュリティ規程にあたるものなので、本来は、自身の持っている情報資産の確認とか重みづけとかといった情報資産の棚卸しと、各PC内にインストールされているソフトウェア、通信機器などのハードウェアの見直し等が必要となりますし、そのうえで、自社のセキュリティ施策を一つ一つ決めていくことになるので、1日で作るようなことは、本来はお勧めしません。

もっとも、基本的な取扱方法の施行は義務ですので、そんなことは言っていられない、ということもあるかと思います。そこで、策定後、出来るだけ早く（少なくとも夏の休廷期間くらいまでには）再考して適宜改定していただくことを前提に、今から対応する基本的な取扱方法の策定方法について書いてみたいと思います。

簡単な策定方法

ベースとなるものは、やはり基本的な取扱方法のサンプルです。日弁連の会員専用サイトトップ上段の「情報セキュリティ」のバナー（紫色のもの）から入れる情報セキュリティのページから、「情報セキュリティを確保するための基本的な取扱方法について」のページに入っていただくとWordファイルがダウンロードできますので、まずはこれを必ずダウンロードしましょう。手打ちなどしていたら１日では完成しません。なお、1人事務所用と複数事務所用がありますので、いずれか選択してダウンロードしてください。

このサンプルは、一般的な法律事務所における業務フローを想定し、共通部分を落とし込んだものなので、大多数の事務所は、このサンプルをベースにして、基本的な取扱方法を策定できるはずです。もっとも、基本的な取扱方法が事務所運営上どうしても合わない場合もあり得ますので（できるだけ運営方法を想定して方法を選択できるようにしてはいるのですが、実際私の事務所で策定するにあたってもカスタマイズは必要でした）、その部分は適宜カスタマイズしていただく必要がありますし、取り扱う事件内容や事務所規模や構成、運用方法により、内容をより厳格、厳密にしていただく必要もあるかもしれません。

サンプルの使い方としては、内容を読んでいただくこと、選択肢があるものについては、考えて選択してもらうことが基本です。

そのうえで、おそらく迷われるのは、使用するソフトウェア等のリスト部分かと思われますが、推奨としてはポジティブを基本として、適宜追加しながら煮詰めていただく方法です。もっとも、これを定めるには導入されているソフトウェアの棚卸がどうしても必要となるため、種類ごとにネガティブを併用していただくという方法もあるかと思います。

簡単にいうと最低限のものはこれだけで作成することはできます。ただその際、自分の事務所で実装出来ないものを作成しないようには気を付けてください。作成時に何も考えていないことがそれだけで分かってしまいます。また運用できないルールを策定しても意味はないどころか有害です。

簡単に策定したあとの話と基本的な取扱方法を定める意味

基本的な取扱方法は自身の情報資産を守るために策定するものではありますが、最終的には依頼者の利益を守るために策定するものです。

また、これは基本的取扱方法や情報セキュリティ規程とは直接関係ないことですが、個人情報保護法上、情報漏えいを起こすようなことがあれば、個人情報保護委員会への報告のほか、本人への通知も行う必要が生じます。したがって、例えば、漏えいの通知を依頼者だけでなく、相手方などにも行う必要が生ずることも考えられ、そのこと自体が、事件処理に大きな支障を生じさせることにもなり得ます。

自身や依頼者の利益を守るためのマネジメントとして策定されるものが基本的取扱い方法ですので、単に義務だから対応するということではなく、業務に支障を生じさせないよう、十分なものを策定し、かつ運用のための工夫も模索し、レベルを高めていくことが必要です。応急的に対応する場合でも、適宜見直していっていただければと存じます。

ライブ実務研修動画の紹介

なお、先般、私も講師の一人となりました、日弁連ライブ実務研修「施行まで待ったなし！弁護士情報セキュリティ規程と「基本的な取扱方法」（キホトリ）の解説」の動画が研修サイトで視聴できるようになっています。この中では、特に第３部で基本的な取扱方法の実践的な作成方法を解説していますので、倍速で聞かれても構いませんので、是非ご視聴いただければと存じます。