税理士事務所が狙われる理由—財務データ・マイナンバーを守るサプライチェーンセキュリティ対策
IT担当者がいない・兼任で困っている企業へ
月額8万円〜、情シス・IT部門・CTO機能を丸ごと外注できます
税理士事務所は「データの宝庫」として狙われている
税理士事務所には、多数のクライアント企業・個人の財務データ・税務申告書・決算書・マイナンバーが集中しています。攻撃者にとって、一つの事務所を攻撃するだけで数十〜数百社分の機密情報を入手できる「効率の良いターゲット」です。
実際、国内外でランサムウェアや標的型攻撃による士業事務所への被害が増加しています。電子申告・クラウド会計の普及で利便性は高まりましたが、同時にサイバー攻撃の経路も広がりました。「セキュリティ対策はIT企業がやるもの」という認識は、今や通用しません。
税理士法が定める守秘義務とセキュリティの関係
税理士法第38条は、税理士に対して業務上知り得た秘密を守る義務を課しています。サイバー攻撃によってクライアントの財務情報や税務情報が漏洩した場合、意図せずとも守秘義務違反に問われるリスクがあります。
さらにマイナンバー法(番号法)は、特定個人情報(マイナンバーを含む個人情報)について厳格な安全管理措置を義務付けています。税理士事務所はクライアントの従業員分のマイナンバーを大量に取り扱うため、漏洩時のペナルティは非常に重大です。
関連法規 | リスク内容 | 結果 |
|---|---|---|
税理士法第38条(守秘義務) | クライアント情報の漏洩 | 懲戒処分・廃業リスク |
マイナンバー法(安全管理措置) | 特定個人情報の漏洩 | 個人情報保護委員会への報告義務・罰則 |
個人情報保護法 | 個人情報の漏洩 | 報告義務・損害賠償リスク |
税理士事務所特有のサプライチェーンリスク
①会計・税務ソフトウェアのベンダーリスク
弥生会計・freee・マネーフォワード・TKC・JDLなど、税理士事務所が日常的に使う会計・税務ソフトはサプライチェーンリスクの主要な経路です。これらのソフトがアップデートファイルやサポートツールを通じて攻撃者に悪用された場合、事務所のシステム全体に感染が広がります。
特にクラウド型の会計ソフトは、SaaS提供者側のセキュリティインシデントが自事務所のデータに直接影響します。API連携でバックオフィスツールと接続している場合は、連鎖的な被害にも注意が必要です。
②e-Tax・国税庁システムとの接続環境
電子申告(e-Tax)に使用するPCや接続環境がマルウェアに感染していた場合、申告データの改ざんや認証情報の窃取につながります。e-Tax用のICカードリーダーや電子証明書の管理が不十分な環境は、攻撃者に狙われやすいポイントです。
③クライアントからのメール・添付ファイル経由の感染
税理士事務所は日常的に多数のクライアントとメールをやり取りします。クライアントのメールアカウントが乗っ取られ、正規のメールに見せかけたフィッシングメールや、マルウェアを含む添付ファイルが送られてくるケースが増えています。
「いつも取引しているクライアントからのメールだから安全」という油断が、感染の入口になります。
④申告期限前を狙ったランサムウェア攻撃
確定申告期(1〜3月)や法人決算期に合わせて攻撃を仕掛けるケースが報告されています。業務が集中するタイミングで身代金を要求することで、焦った事務所が支払いに応じやすくなることを狙っています。期限に間に合わなければクライアントに実害が生じるため、交渉力を失いやすい状況です。
情報漏洩・業務停止が事務所に与える影響
税理士事務所でインシデントが発生した場合の影響は、単なるIT障害にとどまりません。
- クライアントへの直接的損害:申告期限遅延・財務情報漏洩によるクライアントへの賠償責任
- 信用の失墜:守秘義務を前提に仕事を依頼しているクライアントからの契約解除
- 税理士登録の問題:重大な守秘義務違反は税理士会による懲戒処分の対象
- 行政対応コスト:個人情報保護委員会・税理士会への報告・対応費用
攻撃から復旧するまでの期間(平均数週間〜数ヶ月)、通常業務ができない状態が続くことも、経営に深刻なダメージを与えます。
税理士事務所が取り組むべき4つの対策
①会計・税務ソフトのベンダーを評価する
使用している会計ソフト・税務申告ソフト・グループウェアについて、以下のチェックリストで評価しましょう。
確認項目 | 確認方法 | 重要度 |
|---|---|---|
ISO 27001 / ISMS 認証の取得 | ベンダーWebサイト・資料 | ★★★ |
脆弱性発見時のパッチ適用ポリシーと顧客通知フロー | 契約書・SLA・サポート規約 | ★★★ |
インシデント発生時の通知義務・対応SLA | 契約書に明記されているか | ★★★ |
データの保存場所(国内データセンターか) | サービス仕様書・問い合わせ | ★★★ |
多要素認証(MFA)の提供・強制設定 | 管理画面の設定項目 | ★★★ |
データ暗号化(保存時・通信時) | サービス仕様書 | ★★ |
バックアップ・DR対応と復旧目標時間 | サービス仕様書 | ★★ |
アクセスログの記録・確認機能 | 管理画面・仕様書 | ★★ |
年次セキュリティ監査の実施有無 | 問い合わせ | ★ |
特にクラウド型の会計ソフトは、多要素認証の設定を必ず有効化してください。設定できても使っていない事務所が多く、最も対策効果が高い項目です。
②マイナンバーの取扱いルールを整備する
マイナンバー法の安全管理措置として、以下を整備することが求められます。
- マイナンバーを取り扱う担当者を限定し、アクセス権限を絞る
- マイナンバーを含むファイルは暗号化して保管する
- 不要になったマイナンバー情報は速やかに廃棄する(廃棄記録を残す)
- マイナンバーを含むデータをメール添付で送受信しない(セキュアなファイル共有サービスを使う)
③クライアントとのファイル共有・メール運用を見直す
クライアントからのメール添付ファイルを安全に取り扱うために、以下の運用を検討してください。
- 不審なメールの添付ファイルは開かない。クライアントに電話で確認してから開く習慣をつける
- メール添付ではなくセキュアなファイル共有サービス(Box・Googleドライブ等)を使う
- メールの多要素認証を設定し、アカウント乗っ取りを防ぐ
- メールセキュリティサービス(スパム・フィッシングフィルタ)を導入する
④アクセス権限管理とバックアップを徹底する
スタッフが退職した際のアカウント削除を速やかに行うこと、そして会計データ・申告データのバックアップを定期的に取得することが基本です。バックアップはランサムウェア攻撃を受けても感染しないよう、オフラインまたは別システム(バックアップ専用クラウド)に保管してください。
バクティーなら、士業事務所のセキュリティをまとめてサポートします
バクティーは、税理士事務所をはじめとした士業事務所のITセキュリティ対策を月額固定でサポートします。会計・税務ソフトのベンダー評価・マイナンバー管理の運用設計・メールセキュリティ設定・アクセス権限の棚卸しまで、専任担当者がリモートで対応します。
「うちの事務所のセキュリティ、本当に大丈夫か不安」という方は、まずは30分の無料相談からお気軽にご連絡ください。
まとめ
- 税理士事務所は財務データ・マイナンバーが集中する攻撃者にとって「効率の良いターゲット」です
- 守秘義務違反・マイナンバー漏洩は懲戒処分・廃業リスクに直結します
- 会計ソフトのベンダーリスク・e-Tax接続環境・クライアントメール経由の感染が主な脅威です
- ベンダー評価・多要素認証の設定・セキュアなファイル共有・バックアップが基本の4対策です
- 申告期限前のランサムウェア攻撃に備え、平時からの対策が不可欠です
Next Step
ITの課題、まずは無料でご相談ください
情シス代行・DX推進・CTO代行など、貴社の状況に合わせた最適なプランをご提案します。相談・見積もりは完全無料です。
✓ 押し売りなし ✓ 1営業日以内に連絡