出版物・パンフレット等

ITツールを使いこなす!

民事・刑事・その他の裁判手続のIT 化が急ピッチで進んでいる。先行している民事については、本年5月に成立した改正民事訴訟法において、弁護士が代理人となる事件については訴状を含む主張や証拠の書面の提出を原則としてオンラインで行うことが義務化され、既に、裁判所が用意した民事裁判書類電子提出システム「mints」の試験運用も始まっている。刑事手続についても、令状事務や記録の閲覧謄写等をオンライン上で行うことを想定した検討が進められている。
弁護士の仕事が「紙」から「電子」に置き換わり、事件処理の最初から最後まで「紙」に触れることなく電子データだけで行われるという日が来るのも、そう遠くはないだろう。
言うまでもなくIT 化には様々な利便性があり、ITツールの活用によって業務の生産性が大幅に向上する。さらには、弁護士自身の業務の進め方だけでなく、取り扱う事件の内容においても、たとえばある証拠の証拠価値を評価するうえで一定のITリテラシーが必要となる場面が今後増えていくと思われる。他方で、IT 化の恩恵の裏腹として、避けて通れないのがセキュリティの問題である。
そこで本稿では、今後の民事・刑事等のIT化を見据え、弁護士業務におけるITツールの活用や身近な電子データの意味、セキュリティ対策等について、造詣の深い弁護士に解説をいただいた(なお、本稿は、2022年5月20日に開催された刑事弁護委員会の定例研修の内容をベースに講師が加除修正を加えたものである)。


山本 了宣 ●山本 了宣 Ryosen Yamamoto(大阪弁護士会)

【略歴】
2009年弁護士登録。無罪を争う事件の弁護などに注力してきた。証拠収集・証拠開示・行政文書などを研究。証拠が300冊に達する事件を担当したことがきっかけで、2018年、大量の文書を整理活用するシステム、『弁護革命』を開発。応用情報技術者、CISSP 資格を保有。日弁連刑事手続IT 化PT、弁護士業務における情報セキュリティに関するワーキンググループなどに所属。

【著書】
「刑事手続とIT【前編・後編】」判例時報2490号、2491号(2021年)
「実践!弁護側立証」(共著、成文堂、2017年)
「行政文書を刑事弁護に活用する(連載・全10回)」季刊
刑事弁護88~94、97~99号(2016年~2019年)等

1 IT化の進行と影響

本格的な裁判のIT化が近づいています。民事では、2018年3月に「裁判手続等のIT 化に向けた取りまとめ─「3つのe」の実現に向けて─」が発表されました。そして、2020年2月からは、民事訴訟において、Microsoft Teamsを使ったウェブ会議による争点整理が実施されるようになりました。もっとも、今のところは書面を紙で提出することに変わりはないため、電話による出頭がウェブ会議に変わる程度のことです。実際に実務が大きく変わるというイメージが出てくるのは、主張や証拠をオンライン提出に一本化するという「e 提出」や、主張や証拠等への随時オンラインアクセスが可能な「e事件管理」の部分です。
2022年2月にはmints(民事裁判書類電子提出システム)の試行が始まりました。mintsにおいては裁判所に出す書類は基本的にはPDFなどのファイルです。提出するときもPDF、受け取るときもPDFです。PDFはPC上でWordなどから直接作成できるので、事件の始まりから終わりまで一度も紙に触らないといったことが可能になっていきます。
刑事手続については、2021年3月から法務省において「刑事手続における情報通信技術の活用に関する検討会」が開催されました。2022年3月に出された「とりまとめ報告書」が法務省のウェブサイト上で公開されています。ここでも、現在紙媒体で作ったり送ったりしているものについて、電子データとして作成管理しオンラインで発受するということが言われています。民事同様、紙に触らずに事件処理を進めることが増えていくはずです。電子データだけの状態で、生産性や安全性を保って仕事をできるかが問われるようになります。

2 ITを利用することで仕事がどう変わるのか

ITとの付き合いやリテラシーの程度は、個々人によって大きなばらつきがあると思います。しかし後ろ向きになるとつらいので、前向きに捉えるというのが大切なことです。ITの活用は弁護士にとってどんなメリットがあるでしょうか。

(1)IT活用のメリット

弁護士個人のメリット

例えば、かつてはキャリーバッグなどに書類を入れて移動していたけれども、ITをうまく活用した結果、現在は移動の際も普通サイズのカバン1つで間に合っているという事例があります。全てを電子データでまとめていると、外出時にどれを持っていくか考える必要がなくなり、持ち物管理も楽になったということです。
ほかの例として、パソコン1台あれば基本的に全ての業務ができるため、育児中の方が、週3~4日出勤し、残りをテレワークで行うなどして、通勤時間を節約できた、生産性もワークライフバランスも向上したという事例があります。
ITをうまく活用することで、弁護士個人の生活の質が違ってきます。また、事件記録をいかに生産的に活用するかは、ITを利用する上で、大きなポイントになります。記録をしっかり読んだり検討したりすることは、我々の仕事の中でとても重要な部分で、そこが改善されると、業務遂行が楽になったとかITが役に立ったという実感を持ちやすいと思います。私自身はそれを主眼にしたシステムを開発し、サービスとして提供しています。

IT化による事務所経営上のメリット

事務所経営的な視点で考えた場合にも、電子的な連絡ツールをきちっと使えると、スムーズなコミュニケーションや情報共有ができ、事務所として案件情報などをうまく蓄積して、皆で活用できるといったメリットが出てきます。事業継続性も高まります。

(2)ITツール「3点セット」

現代スタイルのIT ツールのミニマムとして、 安全なメール、ビジネスチャット、クラウドスト レージの3点セットが挙げられます。

「安全な」メール

メールは重要なツールですが、リスクが高いので、信頼できるサービスを使うことが大事です。記録・データの共有やコミュニケーションなど、あらゆる用事をメールと添付ファイルで済ませるというパターンがあります。これはセキュリティ的に非常に危険なので要見直しです。

ビジネスチャット

電子データの場合は、リンク情報や画像データを送るといった作業が発生します。これらは電子メッセージとして送るしかないのですが、その場合のセキュリティを考えるとビジネスチャット系を活用することになります。特に所内では、メールよりもチャット系のサービスをおすすめします。メールはできるだけ減らしてください。

クラウドストレージ

DropboxやGoogleドライブといったものです。VPNを使って事務所サーバーにアクセスしているパターンは、悪いわけではないのですが、運用難度が高いことに注意してください。VPN経由のマルウェア侵入が多いことと、所内サーバーの故障→データ喪失のリスクもあります。あと、外部へのデータ共有に、別のツールが必要になります。私個人は、技術者もいない町の小さな事務所であれば、クラウドストレージのほうが、総合的・現実的に安全だと考えています(もちろん、銘柄をきちんと選んで、適切に運用する必要はあります)。
なお、4つ目の基本ツールとしてパスワードマネージャー(1Password など)を挙げてもよい気がしています。後述するとおり、ログイン管理が極めて重要になるためです。

3 電子データ・電子証拠とはそもそも何か

(1)電子ファイルのイメージ

パソコン上にはPDFファイルやWordファイルなどいろいろありますが、どれも数字の0と1のかたまりです。そのように0と1が並んでいるものを、コンピューターが都度解釈して人間が分かるように画面に映しているものが電子ファイルです。
「Wordファイルを編集する」とはファイルの中身の0と1を書き換えることであり、「ファイルをコピーする」とは0と1の並びをそのままハードディスクの別の場所に書き込むことです。

(2)プロパティとは何か

郵便料金割引のための厚労省の証明書偽造が問題となった事件で検察が押収したフロッピーディスク内のデータの日付が改ざんされたことは有名ですが、特に刑事事件ではプロパティが問題になるケースが結構あるので、具体的に説明します。
下図はWord のファイルを右クリックしてプロパティを選んだ画面です。同図の赤枠内のように、作成日時、更新日時、アクセス日時といった情報が表示されています。

プロパティを早とちりしたり素人読みをしているケースが結構あるのですが、強調しておきたいのは、プロパティへのリテラシーを持って正しく接することが重要ということです。
プロパティの日付を変更しようと思ったら、実は特別なソフトすら必要なく、皆さんがお持ちのパソコンの標準ツールで瞬時にできてしまいます。
プロパティの書換えを意図しなくても、ファイルをコピーすると、更新日は以前のままですが、作成日はコピーを行った現在時刻になります。更新日より作成日の方が新しいファイルを見たら、怪しいと思うかもしれませんが、コピーしただけの可能性が高いです。他方、ファイルをコピーするのではなく、マウスでドラッグして別の場所に移した場合プロパティは変わりません。簡易なまとめは下図のとおりです。

ハードディスク(HDD)のデータの書き方の仕組みですが、分かりやすく言うとデータの中身が書いてあるエリアと、住所録エリアのようなものに分かれています。ファイル名、作成日、更新日等は住所録エリアのような場所に書き込んであって、データの中身のエリアと分離しています。

プロパティの値は、住所録エリアの書き方次第という状況になっています。別のHDDにデータをコピーしたときは、別のHDD側の住所録エリアに情報が新たに書き込まれます。
捜査機関から受け取ったCD-Rに入ったWordファイルのプロパティを見ると作成日、更新日が不自然だったとしましょう。これを軸に弾劾したい、と思うかもしれません。そのプロパティが実際に不正などの痕跡である可能性はもちろんありますが、同時に、単純にコピーの過程等で不規則に書き換わっているだけということも十分あり得ます。オリジナルのディスク由来のプロパティにたどり着かないと確たることは言えないことに注意してください。原証拠にあたるのは、対象となるファイルが保存されていたPC そのもの(ブツとしてのHDD)ということになります。そこからコピーなどを行うと、やり方によってプロパティは変化します。
フォレンジック(後述)の専門家に尋ねた際に、「プロパティは簡単に変えられるので、値をそのまま信用するというよりも、様々な情報の一部として『プロパティについてはこのような値である』という限度で扱う」という話を聞きました。細かい話を始めるときりがないのですが、プロパティは、自由度が高く、変則的に書き換わるものだと直感的に思っておいてください。
基礎レベルの用語として押さえておいてほしいものに「物理コピー」というのがあります。これはディスクの0と1を丸ごと全部複製するというやり方です。そうすれば住所録エリアなども含めて丸ごとコピーすることになるので、原証拠(HDDそのもの)と同じ証拠価値が期待できることになります。
ほかに押さえておいてほしいのは「イメージファイル」という言葉で、「物理コピー」の仲間です。ディスクを先頭から末尾まで、住所録エリアも含めて0と1を丸ごと全部固めて抜き出してファイルにまとめるといったことができるので、やはり原証拠(HDD そのもの)に相当する証拠価値が期待できます(そのため専門家に頼むと、「イメージファイルをください」と言われたりします)。このあたりにうまくたどり着けない場合は、例えば捜査報告書などで、オリジナルのPC上でファイルのプロパティを表示させて撮影した写真があれば、それは原証拠に近い情報だということになります。ただいずれにしても、プロパティが大問題になる場合は、素人判断をしないでフォレンジックの専門家に相談したほうがよいでしょう。
そのほかに、画像のプロパティというのがあります。これは一度ご自分のパソコンで画像ファイルを見ていただくとよいのですが、下図のように撮影日時、大きさ、幅などのほかに撮影地点が記録される場合もあります。

区別がつきにくいと思いますが、これはハードディスクの住所録エリアにあるものではなく、ファイルの中身です。そのため、そのままファイルをコピーすれば変わらないはずの情報ということになります。(なお、スマホ経由で画像を送ったりすると、スマホアプリ側が画像の圧縮や変換を行い、結果的に画像のプロパティや解像度も変わってしまうパターンがあります。これは「あるある」なので気をつけてください)。

(3)フォレンジックとは何か

フォレンジックとは鑑識のことです。デジタルフォレンジックとはデジタルデータの鑑識です。鑑識というと、現場の写真撮影、血痕の採取・分析、DNA型鑑定などを行って鑑定書を作成する物理的な作業があります。デジタルの世界で鑑識をする場合、ハードディスクに残っているデータを壊さないように丸ごと確保することは、血痕を採取するような意味合いを持つわけです。
デジタルフォレンジックにおいては、ハードディスク内の0と1の並びを分析するといったことが行われます。それによって、PC を普通に操作してもできないデータ復元が可能になったり、様々な情報が得られたりします。物理的なハードディスクまで遡っていくというイメージを持ってもらったらいいと思います。
パソコン上で、ごみ箱から「完全に削除」するという場面があると思いますが、あれをやっても実はハードディスクのデータは消えていません。住所録から消しているだけなので、原理的には、ハードディスクまで遡れば復元できる(ことがある)と思ってください。パソコンやスマートフォンのロックを解除できるツールもあります。例えば、Cellebriteという会社が有名なのですが、ここのツールを使えばiPhoneのロックを解除できるとされます。

4 サイバーセキュリティ対策の超重要ポイント

(1)日常に潜む致命的な危険

2011年に、とある刑事事件の弁護活動で使われていたメーリングリストに設定ミスがあり、世界中の誰でも情報が見られる状態となっていて、大問題となったことがあります。2021年には、公表前のホテル会社の破綻情報がGoogleグループの設定ミスにより公開状態になっていたという問題もありました。
最近は、データを人質に取って身代金を要求するランサムウェアというマルウェア(ウイルス)が非常に増えています。データが暗号化されたり奪われたりして、「戻してほしければ金を払え。公開するぞ」などと脅されます。「うちのような小さい事務所が狙われることはないでしょう」という方がいらっしゃるのですが、「ばらまき型」といわれるタイプがあり、要するに攻撃のかなりの割合は無差別的なものです。また弁護士事務所は、どこでも重要な情報を扱っているので、身代金を払いそうな感じがしませんか。それだけでも狙う理由が生まれます。あとは、小規模事務所であっても大企業の顧問をしたり、一部の案件を受けたりといったことがあるかと思います。「弁護士事務所はガードが甘くて狙い目」と言われる時代が来ても不思議ではないと思います。

(2)刑事事件固有の問題

刑事事件に関しては、一件記録の相当部分が機微情報というのが普通であり、高い機密性のあるデータとして扱うことになってくると思います。
証拠開示の基本的な部分として、まず刑事訴訟法281条の3に、開示証拠について「閲覧又は謄写の機会を与えた証拠に係る複製等を適正に管理し、その保管をみだりに他人にゆだねてはならない」という規定があり、弁護人は適正管理義務を負っているという大前提があります。
最近、検察官による開示条件として「撮影に係るデジタルカメラ等記録媒体のデータを複写し更に別の記録媒体を作成したり、又は、デジタルカメラ等記録媒体からパーソナルコンピュータのハードディスクに複写して記録するなどの一切の複写物作成はしない」といったものが各地でよく使われています。これは簡単に言うとデジカメから一切データを出すなというわけです。弁護活動に重大な支障が出るだけでなく、デジカメに刑事記録を入れて持ち歩くことになるため、セキュリティ面でもむしろ逆効果となるおそれがあります。
証拠開示が電子化された場合の技術的措置については、はっきりとした見通しは出ていません。しかし、「刑事手続における情報通信技術の活用に関する検討会」でのやりとりなどを見ると、ファイル自体に何かしらコントロールするようなものを埋め込んで、そのファイルが仮にどこかへ漏洩してもロックできるような仕組みにするという措置が想定されているようです。
これは要するに、ファイル自体がサーバーと通信する機能を持っているということなので、弁護人がファイルを開いた瞬間に「弁護人がこのファイルを開きました」という情報が、検察庁のサーバーに送られることになります。また、検察庁側で「このファイルはロックする」という操作をしたら、そのファイルが弁護人のパソコンの上にあっても開けなくなります。さらに、おそらく専用ソフトのようなものでしか開けません。つまり、証拠の利用を大幅に制約するだけでなく、弁護活動の監視も可能になるという極めて重大な問題を含んでいます。
証拠開示制度の設計自体にセキュリティの議論が深く関係してきます。そして、実際に運用が開始された後に、開示条件に関して弁護人が何かしら争うといった場面が出てくると思いますが、それもセキュリティ論争になっていくと思います。弁護人がITやセキュリティのリテラシーがなければ、きちんとした反論もできなくなってしまうでしょう。他方で、もし漏洩などが発生した場合には、証拠開示に関する制限が強まる懸念もあります。今後の刑事弁護において、セキュリティは制度設計においても、実務上の争いにおいても、普段の情報管理でも、常についてまわる重大テーマにならざるを得ないと思います。
ここからは、情報管理寄りの話をします。優先順位としては、大事故を優先的に回避することです。例えば、郵便物を間違った宛先に送ることはもちろん事故ですが、インターネット上で世界中の誰でも閲覧できる状態になってしまった話と比べると、事故の規模が全然違うというのは分かると思います。そのような観点での大事故です。

(3)クラウドで気を付けるべきこと

クラウド利用というのは、本質的には倉庫に荷物を預けるようなものです。ただし、クラウド特有のファクターがあり、分かっていないと大事故につながります。
クラウドに関しては、政府が求めるセキュリティ要件を満たすクラウドサービスをリストアップした「ISMAP(政府情報システムのためのセキュリティ評価制度)クラウドサービスリスト」というものがあります。これを見ていくとGoogle、Microsoft、Boxなどのクラウドサービスが出てきます。弁護士がサービスを選定する際にもそれなりに参考にできます。

(4)ログインの問題

まず、ログインが非常に重要なのですが、クラウドサービスのログインが万が一破られたらどうなるかということを、リアルに考えてもらいたいと思います。例えば、民事事件で、相手方本人がこちらのことを「悪徳弁護士」だと思っているとしましょう。その場合に、「こいつを懲らしめてやろう。メールアドレスを知っているし、試しにログインしてやるか」と思って、Dropboxのアカウントにパスワードを当てて入れてしまったら何が起きるでしょうか。ログインできれば、本人と同じことが全てできます。Dropboxに100件の事件データがあれば、100件の全記録を自由にダウンロードできることになります。その画面のスクリーンショットをTwitter上にばらまかれるとか、逆にデータを全部消されるとか、何も言わずに1年間監視され続けるとか、やりたい放題の状態になります。つまり、基本的には侵入されたらゲームオーバーなので、入り口のガードが非常に大切ということになります。
パスワードに関して重要なことの1つ目は、パスワードは見抜かれるということです。
トランプ氏のTwitterのアカウントが破られたという事例があります。とあるセキュリティ研究家が、トランプ氏がよく口にする「Make America great again」から推測した「maga」と頭文字を入力しました。「maga」だけではログインできなかったものの、年号を足すなどして試し続けたら、5回目に入力した「maga2020!」でログインできてしまったそうです。自分の名前や事務所名を組み合わせたようなパスワードを使っている方がもしいたら、「maga」以下のレベルと思ってください。
よくあるパスワード200といったリストも存在しており、日本のランキングでは、「piyopiyo」「yakiniku」「akasatana」「blackcat」なんていうものも挙がっていました。ちょっとひねったつもりとか、ぱっと思いつくようなものは、簡単に予測されたり、既にリストに載っていたりすると思ってください。
パスワードに関して大事なことの2つ目は、パスワードは力ずくで破られるということです。「aaaa」から順番に「aaab」などと総当たりで攻撃するやり方があります。的中させればログインできてしまうので、短いもの、よくある組合せは危険だと思ってください。
そして、3つ目に大事なことは、すごく長く複雑なパスワードを1個作っても安全ではないということです。ファイル転送サービスの「宅ふぁいる便」から、平文の(=暗号化されていない)パスワードが約480万件流出したという事例があります。要するに、パスワードは自分が完璧に管理していても、ログインする先から漏れるということです。パスワードを使い回していると、1カ所から漏れただけで全部のサービスのパスワードが漏れる結果になります。そのため、全部のパスワードを別のものにするということが必要になります。
こうしたパスワード管理を、「記憶」で行うのは事実上不可能だと思っています。私はパスワードマネージャー(1Password など)の導入をお勧めしています。また、2要素認証(SMS 認証など)が非常に有効、かつ、必須レベルと考えます。

(5)共有設定の問題

次に共有の問題です。まず想定外の範囲の人からデータが見えてしまうパターンが怖いので、公開されていないかという点は常時気にしてください。
公開されていると、最悪の場合Google検索で普通に表示されてしまうことがあります。チェック方法としてゲストウィンドウというものが非常に有効なので、ぜひ覚えておいてください。Google Chromeだと画面右上の自分の名前(アカウントアイコン)のところをクリックすると、「ゲスト」という表示が下の方に出てきますので、それをクリックしてみると下図のように、「ゲストモードでブラウジング中」という画面が出てきます。

これにより自分のログイン情報が一切残っていない空のウィンドウができるので、他人が見ているのと同じ状態を再現できます。気になっているURL をここに入れてみて、もし普通に閲覧できてしまったら公開状態だということになります。閲覧できずに見えなくて「ログインしてください」などという表示が出てくれば他人は閲覧できない (厳密にはログインさえしていれば誰でも見えるというパターンもあるのでそこは注意)ということになります。私自身はほとんど毎日ゲストモードを何かしらのチェックに使っています。
多くのサービスに、ビジネスアカウント(会社などの組織で使うためのアカウント)が用意されています。ビジネスアカウントなら、管理画面で一般公開を禁止するなどの設定ができることが多いです。確実性が高いので有効な対策です。

(6)サービスの選び方

サービスを選ぶ場合には、規約を見ておく必要があります。有名なのが2017年当時のGoogle個人アカウントの規約です。これは検索するとすぐ出てくるので見ておいてください。要約すると、Google ドライブにせよGmail にせよ、個人アカウントにデータを預けると、Googleにそのデータを利用するための全世界的なライセンスを付与することになる、つまりユーザーがGoogleに対して「データを何に使ってもいいですよ」と許可することになるという、びっくりするようなことが書かれています。そのため、日弁連から無料版の「Google 利用規約」に関する注意喚起が出たことがありました。
市民権を得ている感じのサービスでも、規約をよく見たら何かとんでもないことが書いてあったりするので注意が必要です。簡単な目安で言えば、ビジネス向けの有料のアカウントを選ぶのが無難(問題が含まれていることが少ない)です。ビジネスアカウントは要するにBtoBなので、預けられたデータはユーザー組織の重要な資産という発想になってきます。他方、個人向けになると、利用者のプライバシーを業者が利用できる代わりに無料だったり低額であったりするわけです(もちろんサービスによるわけですが、仮説としてそれを疑ってみてください)。
ちなみにIBA(国際法曹協会)のサイバーセキュリティーガイドラインでは、Google、Microsoft、Amazonなどのトッププロバイダが、費用対効果が高く安全なオプションであるとされています。
皆さんが日常目にするものの中でいうと、Googleドライブ(ビジネス版)、OneDrive(ビジネス版)、BoxはISMAPのリストに載っていますので、このあたりはあまり規約の心配をしなくていいと思います。
クラウドで覚えておいてほしいことは、適切な銘柄を選ぶこと、ログイン情報を死守すること、共有範囲を絶対間違えないということです。

(7)メール概説

皆さんメール依存度が非常に高く、あらゆることにメールを使っている人が多いと思います。手軽で融通が利くツール程度に思われているかもしれませんが、まずクラウドストレージと変わらない性質があります。添付ファイルが10年分たまっているといったこともあるわけで、膨大な情報量になります。また、誰でもそのメールアドレスに宛ててメール送信できるため、詐欺メールのようなものも簡単に送り付けることができてしまいます。さらに、メールは本人証明の役目を果たしています。いろいろなサービスでパスワードを忘れたらメールにリンクが飛んできて、それをクリックしたらパスワードがリセットできる仕組みのものがあると思います。つまり、メールアカウントにログインできれば、かなりの数のサービスのパスワードをリセットしてログインできるということです。一般のクラウドサービス以上にメールのログインは厳格に保護してください。
また、メールは、利用サービス自体を見直すことも場合によっては視野に入ります。レンタルサーバーやインターネットプロバイダのメールを何となく使っている方が結構いると思いますが、送信メールがはじかれるなどのトラブルが起きたりログインのセキュリティが甘かったりと、もちろんサービスによりけりなのですが、とても弁護士の使用に耐える性能ではないなと感じるものも一定割合含まれています。一方で、例えばGoogle Workspaceのメールだと、このあたりの問題は全部解消されていますし、ウイルス対策 能力などもあります。
メールにはオープンであるという特徴があるのですが、ポストに投函する手紙と同様、誰に対しても送れるため、間違った先にも簡単に送れる点は気を付ける必要があります。例えば、「gmail.com」と一字違いの「gmai.com」というドメインが実在します。「gmai.com」宛の誤送信が年中行事になっているという報道があるほどです。
また、受信する際ですが、例えば「〇〇さんの和解がまとまりました。下記の口座に預り金から300万円を振り込んでください。すぐでOKです。」と書いてあって、送信元は 「yamamotoryosen.2@gmail.com」となっていたとします。名前の後に「.2」という謎の記号が付いていますが、誰でも作れるアドレスですし、名前の表示は自由に変えられるので、「山本了宣」と表示できてしまいます。このような形態は「ビジネスメール詐欺」と呼ばれています。2017年にはJALが旅客機のリース料に絡むビジネスメール詐欺により3億8000万円をだまし取られたというケースもあります。
弁護士、事務員間で毎日メールのやりとりをしていると、誰かが弁護士になりすましてメールを送ってきたときに気付くのが難しくなります。また、メールはサイバー攻撃の温床になっており、実際の攻撃の相当割合がメール由来です。
そこで、ビジネスチャットが有効な解決策になります。チャットとメールで最も違う点は、チャットではあらかじめユーザーを絞った部屋を作ってあり、そこに投稿するにはログインが必要になるということです。チャットサービスにログインをする時点で身元確認ができているので、メールと違ってなりすましが基本的にできません。
また、メールを誤送信したら回収できませんが、チャットはすぐ消去できるなど何とかフォローがききます。基本的に事務所内部でのやりとりはチャットを利用した方がいいです。
ISMAP のリストに代表的なサービスが掲載されています。Microsoft、Google、Slack などがあります。リストには掲載されていませんが、有名どころ、例えばChatwork なども特に問題はないでしょう。

(8)事務所としての対策

下図は情報セキュリティの事故対応の参考となるものです。ある軽微なマルウェア感染に対応した場合の費用に関する資料です。
このケースの被害額は600万円です。従業員端末3台、サーバー1台というケースであり、法律事務所でも十分ありうるシステムの規模です。この程度の台数が影響を受けた場合に、プロに事故原因・被害範囲の調査を依頼すると500万円かかるというレベルです。一回の事故で何百万円も費用がかかるということですね。
IT 関連の環境を整えるのに多少の費用がかかるとは思いますが、クラウド系ならば基本的に月数百円~ 数千円と安いものです。変に出費を渋るのは経済的にも釣り合わない時代になっているということは意識してほしいと思います。


PDF資料

できれば事務所内でセキュリティ対策を文書化して意思統一してください。2022年6月に、日弁連で弁護士情報セキュリティ規程が制定されており、2年以内にセキュリティ体制の文書化が義務となるので、今から取り組むことが重要です。

(9)アカウントを守る

以下、若干重なる部分はありますが、重要なポイントを少し補足していきます。
ログイン対策として、非常に簡単でしかも効果が高いのは、2要素認証と呼ばれるものです。例えばSMS認証です。これをやってもらうと、ログインIDとパスワードが正しかったとしても、更にSMSで送られてきた6ケタの数字などを入力しないとログインできません。これは効果が高い上に非常に簡単なので、極めておすすめです。私としては、『事件記録が入っているクラウドであれば必須』というレベル感で捉えています。
もうひとつ、私が各所でおすすめしているのが、パスワードを安全に管理するツールであるパスワードマネージャー(1Passwordなど)の導入です。これを使うとどれだけ長いパスワードでもランダムに作成でき、簡単に保存できます。ログイン時の自動入力機能もあります。全てのログインを飛躍的に強化できる&楽になるので、是非検討し てみてください。

(10)PCを守る

事故で多いケースは紛失、置き忘れといったものです。自分のPCを起動したら、どれだけ大量の情報が見られるかをイメージしてみてください。防御方法は基本的にパスワードしかないので、十分長くて複雑なもの、例えば英数字で15ケタぐらいを目標にしていくと安心感が増してきます。スマートフォン上でも事件記録が見られる状態の人は、パスワードが数字4ケタではさすがに足りないと思います。数字ではなく英数字が使える設定にし、やはり15ケタぐらいを目標にしていくことになると思います。

(11)添付ファイル

最後に説明しておきたいのが、メール添付でファイル(機密性のあるデータ)を送らないことです。メールは誤送信をしやすい上に、一度送ったデータを回収できないという特徴があります。誤送信した瞬間に、もうメールボックスに配達済みです。後から「消してください」とお願いしても、メールボックスに届いてしまった時点で既に漏えいと なりえますし、消してくれる確証ももちろんありません。
安全な送り方として、1番目にクラウドフォルダを事前に共有する方法があります。相手には、「フォルダに入れました」とだけ伝えればよいです。仮にそのメール本文を誤送信しても機密情報は漏れませんよね。これができるのであれば、基本はこの方法でよいと思います。共有フォルダは、(適切に設定すれば)特定のアカウントでログインした人しか見られない状態なので、事前にクラウドのフォルダを共有した人だけが見られるプライベート空間のように扱えます。
そこまでの準備ができない場合、2番目の方法としてファイル転送型のサービスがあります。信頼できる銘柄を選んでもらう必要がありますが、ファイル転送型のサービスで「このリンクでダウンロードをしてください」として送るものです。そのようなサービスでは、普通は自分がアップロードをしたデータをすぐに消せるようになっているので、「誤送信した」という場合は、その瞬間にアップロードしたデータを消してしまえばもうダウンロードできなくなります。そのため、「いきなりポストに全部投げ込む」メールと比べると、取り返しがつくのでリスクが低いということになります。
添付ファイルを暗号化するのは、誤送信したときに結局は配達されてしまうわけなので、対策としては結構微妙です。さらに、今は暗号化ファイルでウイルスを送り付けるパターンがとても多いので、暗号化添付のものを気軽にやりとりすることは疑問視されつつあります。

Q&A

Q.1 フォレンジック業者の質はどう選べばよいものでしょうか。
A.1 有名な業者はいくつかあるので、有名どころから選ぶのがひとまず無難であろうと思います。私はそのうちの1つに依頼したことがありますが、きちんとやってくださったと思います。相談段階の対応がよいかどうかも判断材料になると思います。
Q.2 パスワード管理ソフトは信頼できるでしょうか。
A.2 まず大枠としてセキュリティの専門家はパスワード管理ソフトを勧めていることが多いです。パスワード管理ソフトにデータが集まることにもちろん一定のリスクはあるのですが、それ以上に、様々なアカウントのパスワードがいい加減に管理されるリスクのほうが相対的にずっと大きいと考えられるからです。パスワード管理ソフトは暗号化の方法が工夫されており、きちんとしたものならば、サービス提供者側からパスワードは一切見られません。
IT系に関しては、定番で信頼・実績があるものから選んでいくのが無難であることが多いですが、私自身は1Passwordというソフトを使っており、定番で実績もあるという認識です。
Q.3 メールでzipの添付ファイルを送った後、別メールで解凍パスワードを送ってくる会社がよくあるのですが、セキュリティの観点から意味があるのでしょうか。
A.3 これはいわゆるPPAPと呼ばれるものです。現在ではかなり疑問視されてきています。
手動でやっている場合は誤送信対策の効果が無いとは言えないと思います。また、心理的な効果(このデータは重要ですよと相手に伝えるとか、当社はセキュリティに気をつけていますとアピールするとか)がないこともないです。
ただし、同じ経路で連続して2通送るので、誤送信対策と言っても効果は怪しいし、盗聴対策にならないし、その割にウイルスと見分けがつかない弊害があり、生産性も下がるので、もうやめませんか?というのがPPAP論と理解しています。
既に述べたように、パスワードがあろうがなかろうが、添付ファイル自体が微妙なので、フォルダの事前共有やリンクに切り替えていくのがよいと思います。