【動画制作】LGBTQ関連動画公開|無知に気付き、知るということ。
Arai
Office Reo
【全弁護士が対応必須】基本的な取扱方法定めてますか?|弁護士情報セキュリティ規程ポイント解説|AI対応も
Arai
2024年6月1日、「弁護士情報セキュリティ規程」が施行されました。
本規程は、弁護士が情報セキュリティに関して服するべき規範として制定されたものです。
この記事では、「弁護士情報セキュリティ規程」の概要と、必ず対応すべきことのポイント等をまとめます。
本規程が成立したのは2022年6月ですが、それ以降、特にAIの発達が加速しています。
「弁護士情報セキュリティ規程」に対応済みの弁護士が多いと思いますが、AIの利用を踏まえ、規程の見直し等も必要なタイミングではないかと思います。
規程については、日弁連の会員ページに非常に丁寧で分かりやすい解説もあります(会員ページ→業務関係→情報セキュリティからご覧いただけます)
本記事も、会員ページ掲載の資料を参考にさせていただいております。
また日弁連「総合研修サイト」でも、eラーニングとして、
- 施行まで待ったなし!弁護士情報セキュリティ規程と「基本的な取扱方法」(キホトリ)の解説
- 情報セキュリティを確保するための基本的な取扱方法(キホトリ)ワークショップ
これらの動画・音声が配信されています。非常にわかりやすいので、こちらもぜひご覧ください。
弁護士情報セキュリティ規程の概要
「弁護士情報セキュリティ規程」の対象は、全弁護士です。
弁護士情報セキュリティ規程1条
この規程は、弁護士、弁護士法人、外国法事務弁護士、外国法事務弁護士法人及び弁護士・外国法事務弁護士共同法人(以下「弁護士等」という。)がその職務上取り扱う情報の情報セキュリティを確保するために必要な事項を定めることを目的とする
本規程の施行に伴い、弁護士は、各自の執務環境の実情に応じた情報セキュリティ対策のルールとして、「基本的な取扱方法」を策定する義務が課されました。
これは努力義務ではなく会規上の義務であり、策定していなかった場合は会規違反の状態になります。
本規程はすでに施行されていますので、現時点で策定していない場合は違反状態ということになりますので、ご注意ください。
弁護士情報セキュリティ規程施行までの経緯
「弁護士情報セキュリティガイドライン」
以前は、「弁護士情報セキュリティガイドライン」(2013年12月19 日制定、2019年1月17日改訂)がありました。
こちらは、
- 弁護士法23条(秘密保持の権利及び義務)
- 弁護士職務基本規程18条(事件記録の保管等)
- 弁護士職務基本規程19条(事務職員等の指導監督)
- 弁護士職務基本規程23条(秘密の保持)
これらの解釈指針として制定されたものです。
ただ「ガイドライン」という名称のとおり、弁護士に対して義務を課すものではありませんでした。
「弁護士情報セキュリティ規程」成立〜施行
民事裁判手続のデジタル化が進んでいること等を背景に制定されました。
- 2022年6月10日:第73回定期総会にて成立
- 2024年1月:日弁連理事会にて施行日決定
- 2024年6月1日:施行
弁護士情報セキュリティ規程のポイント
①「基本的な取扱方法」を策定する義務が課された
個々の弁護士は独立性を有しており、弁護士によって事務所の規模、業務内容等は違います。
また、テクノロジーの変化に合わせて柔軟な対応を可能としておく必要もあります。
そこで本規程は、個別具体的な対策を直接定める形ではなく、各弁護士に対して「基本的な取扱方法」の策定を義務付けるという形になっています。
弁護士情報セキュリティ規程3条2項
所属する法律事務所等の規模及び業務の種類、態様等に応じて、取扱情報の情報セキュリティを確保するための基本的な取扱方法を定めなければならない
とはいえ、「基本的な取扱方法」を一から作成することが困難な場合もあり得るということで、日弁連がサンプルを提供しています。
会員ページ→業務関係→情報セキュリティ→情報セキュリティを確保するための基本的な取扱方法についての中に、「基本的な取扱方法の例」としてサンプルが掲載されています。
また、「基本的な取扱方法」の策定と同時に、弁護士業務一般に通用する抽象化された基本的義務として、
- 安全管理措置(第4条)
- 情報のライフサイクル管理(第5条)
- 点検及び改善(第6条)
- 漏えい等事故が発生した場合の対応(第7条)
これらが定められています。
②一度策定して終わりではない
一度基本的な取扱方法を策定し(本規程第3条)、安全管理措置を講じたとしても(本規程4条)、それで終わりではありません。
テクノロジー自体が進化し、セキュリティに対する脅威も日々変化します。
また、安全管理措置として行った対策も、物理的・機能的な劣化が不可避です。
そこで、本規程6条において、情報セキュリティの取扱方法やその実施に関する点検及び改善が努力義務として定められています。
弁護士情報セキュリティ規程6条
弁護士等は、取扱情報の情報セキュリティを持続的に確保するため、法改正、技術的進歩その他社会環境の変化及び自らの職務遂行体制の変化に応じて、基本的な取扱方法に定める安全管理措置及び情報のライフサイクル管理の方法が適切に機能しているかを点検し、必要に応じてこれらに改善を加えるよう努めなければならない。
これは個人的な考えですが、特に2025年に入ってからのAIの発達は目覚ましく、弁護士業務での活用も急速に進んでいる印象です。
弁護士情報セキュリティ規程は、AI活用をメインに想定したものではありませんが、AIの活用にあたり、まさに本条に基づく点検と改善が必要ではないかと思います。
注意点
事件類型による区別はありません
「弁護士情報セキュリティ規程」が対象とする「情報」は「職務上取り扱う情報」であり、事件類型による区別や限定はありません。
データだけでなく、紙も対象です
弁護士情報セキュリティ規程2条2項
この規程において「取扱情報」とは、弁護士等がその職務上取り扱う情報(紙、電磁的記録等その保管媒体を問わない。)をいう。ただし、前項各号に掲げる特性をいずれも維持する必要がないことが明らかな情報を除く。
但し書きで除外されている「情報」は、業者からのチラシやFAXなど、特段の配慮を要しないものが想定されています。
但し書きで除外される情報は限定的ですから、事件記録は全て対象になると考えて対応すべきと思われます。
ボス弁が「基本的な取扱方法」を定めない場合は勤務弁護士自ら定める必要がある
「弁護士情報セキュリティ規程」に基づく義務は個々の弁護士に課されるものです。
しかし、共同事務所が事務所として1個の「基本的な取扱方法」を定め、各所属弁護士がそれに従うという定め方をした場合、それをもって個々の所属弁護士が「基本的な取扱方法」を策定したものとみなすこととなります。
ただ、自分がイソ弁として雇用されている場合に、ボス弁が「基本的な取扱方法」を定めない場合、または不十分な内容しか定めない場合も考えられます。
その場合でも、勤務弁護士が「基本的な取扱方法」の策定義務を免れるものではないので、その場合は自ら策定する必要があります。
まとめ
2024年6月1日に施行された、「弁護士情報セキュリティ規程」の概要と、必ず対応すべきこと等をまとめました。
「基本的な取扱方法」の策定は努力義務ではなく、策定していなかった場合は会規違反になるのでご注意ください。
またAIの活用に伴い、「基本的な取扱方法」の点検及び改善のタイミングではないかと思いますので、ご検討ください。
ABOUT ME
弁護士(17年目)|「人・企業の魅力を伝えたい」という想いから、HP・動画・チラシ・パンフレットの制作、ライティング、コーチング等も行うフリーランスです。
