弁護士のためのファイル共有 | クライアント文書を安全に保つ方法
クライアントのデータを露出させ、弁護士とクライアントの機密性を危険にさらしていませんか?弁護士や法律家のためのセキュアなファイル共有が役立ちます。以下にその方法を示します。
弁護士はクラウドベースのファイル共有およびストレージソリューションを使用できますか?はい、使用できますが、それは自己責任で行うべきです。多くのソリューションは、使いやすさを優先するあまり、セキュリティやコンプライアンスを軽視し、機密情報を不正な第三者に露出させる歴史があります。完全に保護されるためには、他のオプションを検討する必要があります。
セキュアなファイル共有とは何か、それがクライアントとのコミュニケーションにどのように影響するか?
まず、法律を実践する人々のためのファイル共有について話しましょう。
人々がメールを送り、ファイルを共有し、携帯電話やタブレットでデジタル文書を持ち歩くデジタル化が進む現代において、情報を安全かつ効率的に共有する方法を持つことは非常に重要です。
電子ファイル共有は、弁護士とそのクライアントにとって大きな変革をもたらしました。ファイル共有は単なるメール以上のものであり、ファイルフォルダやサブフォルダの管理、アクセス権の制御、ユーザーの管理権限(例:ダウンロード権限と閲覧のみの権限など)を含みます。したがって、ファイル共有ソリューションは、弁護士がクライアントと効率的かつ機密にコミュニケーションを取るために、セキュアで管理可能かつ機能的でなければなりません。
アメリカ法曹協会(ABA)は、弁護士に対して弁護士・クライアント特権を維持することを要求しています。これは、弁護士がクライアントから受け取った情報を共有してはならないことを意味します。また、クライアントから送受信する情報を保護する必要があることも意味します。暗号化は、弁護士とその事務所がデータを保存中および転送中に保護することを可能にします。
Dropboxはサーバーを保護しプライバシーを維持していますが、ハッカーの主要なターゲットでもあります。サイバー犯罪者はクラウドベースのファイル共有アクセスを監視し、それらのサイトのユーザーに対して偽のメールでフィッシングを行います。
クライアントの文書を保護し、ABAのガイドラインに準拠するためには、よりセキュアでビジネスに特化したプラットフォームを使用する方が良いでしょう。これを行う理由は複数ありますが、主な理由は以下の3つです:
- セキュリティ:多くのファイル共有ソリューションでは、セキュリティの管理に関してあまりコントロールがありません。プライベートクラウドストレージはオプションではないため、法執行機関が訪れた場合、クラウドベースのサイトが暗号化キーを渡したかどうかはわかりません。
- ビジネス運営:これらのクラウドベースのファイル共有サイトは、ストレージとコラボレーションに特化しています。基本的な機能を除けば、ビジネスプラットフォームではなく、法律事務所向けのセキュアなファイル共有をカスタマイズできるプラットフォームでもありません。
- コンプライアンス:ABAコンプライアンスは重要ですが、多くの弁護士はさまざまな業界のクライアントと仕事をしており、医療分野のHIPAA、リテールのPCI DSS、EU市民のためのGDPRなど、より具体的なコンプライアンス規制を満たす必要があります。
規制された業界でのファイル共有はどうでしょうか?
ABAは法律事務所に対してクライアントデータを保護するために暗号化を使用することを推奨しています。しかし、政府契約や医療などの規制された業界で働く場合、データプライバシー規制により、高度な(またはそれ以上の)セキュリティとリスク管理を維持しなければならず、法的な影響、財務的な罰則、さらには資格剥奪のリスクがあります。
特別なセキュアなファイル共有の考慮が必要な規制された業界には以下があります:
- 医療:医療関連の問題でクライアントと仕事をする場合、電子個人健康情報(ePHI)を扱う可能性が高いです。ePHIを扱う場合、厳格なセキュリティと報告要件を持つHIPAAの管轄下に置かれます。
- 政府:NGO、請負業者、または特に国防総省(DoD)を支援する下請け業者である場合、市民の個人識別情報(PII)や制御されていない分類情報(CUI)を扱う可能性があります。この場合、最低でもNIST 800-53またはサイバーセキュリティ成熟度モデル認証(CMMC)コンプライアンスを示す必要があります。NISTの800-171など、より具体的なものが求められることもあります。
- リテールまたは決済処理:顧客の支払いデータを扱う場合、ファイル共有システムはPCI DSSに準拠している必要があります。
- EUにおける消費者保護:欧州連合は、EUベースの顧客データの使用や顧客へのマーケティングに関する厳格なガイドラインを持っています。年間収益の割合に基づいて課される財務的な罰則は高額です。
これは多くの情報に思えるかもしれませんが、セキュアなファイル共有ソリューションを持つことで、クライアントのサポートと厳格な規制の遵守の両方において、生活が楽になります。
ファイル転送ソリューションで何を探すべきか?
技術を更新する時が来たので、クライアントと安全かつ簡単に情報を共有できる堅実なファイル転送ソリューションを求めています。職業の誓いを破ることなくそれを行うためには、特定のセキュリティとコンプライアンス機能を提供するファイル転送プラットフォームが必要です:
-
高レベルの暗号化:ほとんどのファイル転送ソリューションは、FTPのような暗号化されていない転送プロトコルを避け、よりセキュアなSFTP、FTPS、または追加のアルゴリズムを使用します。堅実でセキュアなソリューションには、サーバーに保存されたデータのためのAES-256暗号化と、エンドポイント間のデータ転送のためのTLS 1.2以上が含まれます。
-
セキュアメール:標準のメールはセキュアなファイル転送プラットフォームではありません。セキュアなコンポーネントを含むこともありますが、ほとんどの公共のメールプロバイダーはメールの内容や添付ファイルを暗号化しません。
防御的なファイル転送ソリューションは、コンテンツや添付ファイルの代わりにセキュアなハイパーリンクをクライアントに送信し、クライアントはメールの内容にアクセスする前に認証を行う必要があります。このセキュリティ機能はデータを保護し、受信者が添付ファイルをダウンロードした時期を記録することで、監査やフォレンジックの目的において重要です。
-
不変の監査証跡:監査証跡は、セキュリティ侵害が発生した場合の証拠の連続性を提供します。さらに、PII、ePHI、または顧客データにアクセスできるのは認可されたユーザーのみであることを示すためのツールを提供します。
-
ビジネス分析:テラバイトのデータを扱わないかもしれませんが、ファイル共有ソリューションに組み込まれた分析機能を持つことで、どの文書が最も頻繁に共有されているかをよりよく理解し、弁護士の最近のダウンロード活動の急増をフラグすることができます。
Kiteworksプラットフォームでクライアントの文書を安全に、コンプライアンスを守って共有
Kiteworksプラットフォームは、弁護士としてクライアントと情報を共有するために必要なすべてを提供し、機密性やデータプライバシー規制を破ることなく行えます。Kiteworksには以下が含まれます:
- AES-256およびTLS 1.2+暗号化標準を使用した暗号化サーバーによるセキュアメール。
- 事務所に出入りするすべてのファイルを確認、検査、保護、追跡するためのCISOダッシュボード。
- 不変の監査証跡。
- Microsoft OutlookおよびOffice 365とのセキュアメール統合。
- 最大限のデータセキュリティを実現するためのプライベート、ハイブリッド、FedRAMPクラウド環境。
Kiteworksプラットフォームと、それが弁護士のクライアントコミュニケーションにどのように力を与えるかについて詳しく知るには、カスタムデモをスケジュールしてください。