情シスアウトソーシング導入事例 ― 士業事務所30名規模のゼロ情シスからIT環境を整備するまで
弁護士、税理士、社労士、会計士——士業事務所では依頼者の機密情報を日常的に取り扱います。にもかかわらず、IT専任者を置いている事務所はごく少数です。「ITに詳しい事務職員がなんとなく対応している」状態、いわゆるゼロ情シスの事務所が大半ではないでしょうか。
本記事では、複数の支援実績をもとに構成した典型的なケーススタディとして、従業員30名規模の弁護士法人が情シスアウトソーシングを導入するまでの経緯と成果を紹介します。
※本記事は複数の実例を組み合わせた再構成事例です。特定の事務所の事例ではありません。
企業プロフィール
| 項目 | 内容 |
|---|---|
| 業種 | 法律事務所(弁護士法人) |
| 従業員数 | 約30名(弁護士8名、事務職員22名) |
| IT環境 | Microsoft 365 Business Premium、OneDrive / SharePoint、VPN接続(リモートワーク用) |
| 情シス体制 | IT専任者なし(総務担当が兼任=ゼロ情シス) |
| 特有の要件 | 弁護士法に基づく秘密保持義務、個人情報保護法への対応、依頼者情報の厳格な管理 |
課題:ゼロ情シスで起きていた問題
総務担当のBさんは、「パソコンの設定ができる」という理由で、いつの間にか事務所のIT全般を任されるようになっていました。本来の総務・庶務業務のかたわら、PCのセットアップ、VPN接続のトラブル対応、Microsoft 365のアカウント管理、プリンターの不具合対応などを1人で引き受けていました。
しかし、以下の問題が常態化していました。
機密データの管理が属人的。 依頼者ごとの案件フォルダはSharePoint上に作成されていましたが、アクセス権限の設定は曖昧で、関係のない所員からも閲覧可能な状態でした。弁護士法第23条が求める秘密保持義務の観点から見ても、適切とは言えない運用でした。
セキュリティ対策が不十分。 EDR(Endpoint Detection and Response)は未導入、MFA(多要素認証)も一部のアカウントでしか設定されていませんでした。弁護士業務では依頼者の訴訟資料や個人情報を大量に扱いますが、それに見合うセキュリティ体制が整っていませんでした。
PC故障やVPNトラブルのたびに業務が停止。 弁護士がリモートワーク中にVPN接続できないケースが月に数回発生し、そのたびにBさんが電話で対応。裁判所への書面提出期限が迫っている場面での接続障害は、事務所全体の業務に影響を与えていました。
所員からのIT問い合わせが総務に集中。 「Outlookが開かない」「Teams会議の設定方法がわからない」「PDFに電子署名を付ける方法は?」といった問い合わせが日常的にBさんに集中。月あたり約20時間をIT対応に費やしており、本来の総務業務が圧迫されていました。
アウトソーシング導入の経緯
きっかけ:ランサムウェア被害のニュース
導入検討のきっかけは、同規模の法律事務所がランサムウェア攻撃を受け、依頼者データが暗号化されたというニュースでした。代表弁護士が「うちの事務所は大丈夫なのか」とBさんに確認したところ、EDR未導入・MFA未徹底・バックアップ体制の未確認という現状が浮き彫りになりました。
依頼者の機密情報が漏洩すれば、弁護士法上の懲戒処分や個人情報保護法違反のリスクだけでなく、事務所の信用そのものが失われます。「もはやITの問題ではなく経営リスクだ」という認識に至りました。
検討過程:IT人材の採用か、外注か
まず情シス担当者の採用を検討しましたが、以下の理由からアウトソーシングに方針転換しました。
採用コストと確保の難しさ。 IT人材の採用市場は売り手市場が続いており、30名規模の法律事務所では候補者が集まりにくい状況でした。仮に採用できたとしても、年間500万円以上の人件費が必要です。
スキルの偏り。 1名の担当者ではネットワーク、セキュリティ、クラウド管理、ヘルプデスクすべてをカバーすることは困難です。アウトソーシングであれば複数の専門家にアクセスできます。
即効性。 採用活動には数ヶ月かかりますが、情シスの外注であれば契約から2〜4週間で運用を開始できます。セキュリティリスクを放置できない状況では、この即効性が決め手になりました。
導入後の変化
Before / After
| 項目 | 導入前(Before) | 導入後(After) |
|---|---|---|
| セキュリティ | EDR未導入、MFA一部のみ、アクセス権限未整備 | EDR全端末導入、MFA全アカウント設定、案件別アクセス権限を整備 |
| ヘルプデスク | Bさんが個別に電話対応 | 専用Teamsチャネルで受付→チケット管理→即時対応 |
| IT資産管理 | Excel台帳(更新されていない) | Intune導入で端末を一元管理、リモートワイプ対応 |
| バックアップ | 設定はあったが動作未確認 | 自動バックアップ+月次復旧テスト実施 |
| VPN | 接続障害が月数回発生 | 構成見直しにより障害ほぼゼロに |
| 総務担当の負荷 | IT問い合わせ対応に月約20時間 | 月約2時間(社内調整のみ) |
導入後の運用体制
Bさんは引き続き社内のIT窓口として残りつつ、技術的な対応はすべてアウトソーシング先に委託する体制としました。弁護士業務の特殊性——たとえば案件ごとの守秘義務や裁判所提出書類のフォーマット——を理解している社内窓口がいることで、IT代行先とのやり取りがスムーズに進みます。
導入後6か月で実現したこと
セキュリティ体制の抜本的な強化。 EDRの全端末展開、Microsoft 365のMFA全アカウント導入、条件付きアクセスポリシーの設定により、ゼロトラストセキュリティの基盤を構築しました。依頼者データへのアクセスは案件単位で制御され、弁護士法が求める秘密保持義務に適合した環境になりました。
Intune によるデバイス管理の実現。 事務所内のPC約30台をIntuneで一元管理し、リモートワイプやソフトウェア配布を可能にしました。弁護士の自宅作業用PCも管理対象に含め、端末紛失時の情報漏洩リスクを大幅に低減しています。
IT資産とライセンスの可視化。 これまでBさんの記憶に頼っていたIT資産情報を台帳化し、Microsoft 365ライセンスの棚卸しを実施。退職済み所員のライセンス3件を回収し、月額約¥6,000のコスト削減も実現しました。
月次レポートによる経営判断の支援。 問い合わせ件数、対応時間、セキュリティアラートの件数などを月次レポートで代表弁護士に報告。IT投資の意思決定に必要な情報が可視化されました。
所員のITリテラシー向上。 四半期ごとのセキュリティ研修を実施し、フィッシングメールの見分け方やパスワード管理のベストプラクティスを共有。特に個人情報保護法の改正に伴う実務上の注意点も併せて周知しています。
まとめ — 士業事務所こそ情シスの外注を検討すべき理由
士業事務所は、その業務の性質上、一般企業以上に高い水準の情報セキュリティが求められます。弁護士法の秘密保持義務、個人情報保護法の安全管理措置義務——これらの法的要件を満たすIT環境を、総務担当の兼任で維持し続けることには無理があります。
一方で、30名規模の事務所がIT専任者を常勤で雇用するのはコスト面で現実的ではありません。情シスアウトソーシングは、「必要なスキルを、必要な分だけ、すぐに」調達できる選択肢です。
本事例のポイントをまとめます。
- ゼロ情シスの状態から始めても、3ヶ月で基盤を整備できる
- 機密データの管理はアクセス権限の設計が最優先
- セキュリティ対策は「コスト」ではなく「事務所を守る投資」
- 外注しても社内窓口は残すことで、業務理解とIT対応の橋渡しができる
「うちの事務所でもIT環境の見直しが必要だ」と感じたら、まず現状の棚卸しから始めてみてください。