不都合な事実があります。昨シーズン、たとえ1件でも報酬を得てクライアントの確定申告書を作成したにもかかわらず、書面による情報セキュリティ基本方針(WISP:Written Information Security Plan)をファイルに保管していないのであれば、あなたは厳密には連邦法に違反して業務を行っていることになります。連邦取引委員会(FTC)は、違反1件につき1日最大46,517ドルの罰金を科すことができます。内国歳入庁(IRS)は、あなたのPTIN(税務申告作成者識別番号)を剥奪することも可能です。さらに、データ漏洩が発生した際、賠償責任保険会社は当該書類の欠如を理由に保険金の支払いを拒否する恐れがあります。
ほとんどの税務申告作成者や記帳代行業者は「WISP」という言葉を聞いたことがあっても、それはコンプライアンス担当者がいるような大企業が心配することであり、自分たちには関係ないと考えています。しかし、その認識はおよそ5年遅れています。2023年6月から完全施行された改正FTCセーフガード規則は、個人の申告作成者、小規模なCPA事務所、記帳代行業者を、地域銀行を管理するのと同様の規制体系に直接引き込みました。PTINを申請または更新するすべての有料税務申告作成者は、現在、フォームW-12の11行目において、自らのデータセキュリティ義務を理解していることを証明しなければなりません。
このガイドでは、WISPの正体、FTCとIRSが求める9つの要素、「推奨事項」から「必須事項」へと変わった技術的制御、そして単にバインダーの中で見栄えが良いだけではなく、実際の監査に耐えうる計画の策定方法について解説します。
あなたをここに至らせた2つの法律
2つの重複する規制が、同じ結論を導き出しています。すなわち、「書面による計画が必要である」ということです。
グラム・リーチ・ブライリー法(GLBA)とFTCセーフガード規則。 米国議会は1999年、金融機関による顧客情報の取り扱いを規定するためにGLBAを可決しました。FTCの施行規則であるセーフガード規則(16 CFR Part 314)は、「金融機関」を非常に広く定義しており、金融活動に「実質的に従事している」あらゆるビジネスを含めています。FTCは長年、税務申告、記帳、および同様のサービスがこれに該当するとの立場を取ってきました。この規則は2021年12月に大幅に改正され、新しい技術的要件(多要素認証、暗号化、適格な個人、書面によるプログラム)が2023年6月9日に完全施行されました。
IRS刊行物4557とPTINの証明事項。 内国歳入法第7216条および第6713条は、すでに税務申告情報の無許可開示に対する罰則を規定していました。IRSは実用的なロードマップとして、刊行物4557(「納税者データの保護」)および刊行物5708(「税務・会計実務のための情報セキュリティ基本方針の作成」)を重ね合わせました。2024年のPTIN更新サイクルからは、強制的なチェックボックスが追加されました。税務申告作成者は、フォームW-12の11行目でWISPへの準拠を認めなければなりません。この項目で虚偽の申告をすることは、それ自体が大きな問題となります。
その結果、商店街にある一人経営の税務事務所も、地域のCPA事務所と同じ基準を課されることになりました。規則は規模や複雑さに応じて制御のレベルを調整しますが、書面による計画を持つ義務は二者択一です。持っているか、持っていないかのどちらかです。
実際に誰が作成義務を負うのか
以下に該当する場合、WISPが必要です。
- 報酬を得て連邦税申告書を作成している(有料クライアントのための時折の副業を含む)
- PTIN、EFINを保持している、またはIRS認定のe-Fileプロバイダーである
- 顧客の財務情報を含む記帳、給与計算、または会計サービスを提供している
- バーチャルCFO、フラクショナル・コントローラー、または外部委託の会計士として活動している
- 登録投資アドバイザー(RIA)、住宅ローンブローカー、小切手換金業者、またはその他のGLBA対象事業体を運営している
業務量は関係ありません。申告書作成数がX件未満であるとか、報酬額がYドル未満であるといった免除規定はこの規則にはありません。年間20件の申告書を作成する一人の登録代理人(EA)も、200人規模の事務所も、同様に対象となります。どちらも、書面化され、最新で、署名済みの計画を保持していなければなりません。
セーフガード規則には、顧客情報を持つ消費者が5,000人未満の機関に対する限定的な免除が存在し、一部の文書化要件(書面によるリスクアセスメント、インシデント対応計画、取締役会への年次報告)が緩和されます。しかし、適格な個人の指名、セーフガードの実施、および書面によるプログラムの保持という中核的な義務は、規模に関係なく適用されます。
WISPが対応すべき9つの要素
改正セーフガード規則は、9つの必須コンポーネントを指定しています。WISPの中で必ずしもこれらの正確な見出しを使用する必要はありませんが、文書内のどこかでこれらすべてに言及されている必要があります。IRS刊行物5708のテンプレートも同様の構造になっています。
1. 適格な個人の指名
情報セキュリティプログラムの監督責任を負う一人の人物を正式に指名しなければなりません。一人事務所であれば、それはあなた自身です。事務所であれば、通常はマネージング・パートナー、ITリーダー、あるいは最近増えている外部委託のvCISO(仮想CISO)が担当します。適格な個人はセキュリティの専門家である必要はありませんが、意思決定を行い、経営陣や取締役会に報告する権限を持つ必要があります。
任命は書面で記録してください。開始日、権限の範囲、および報告ラインを含めます。
2. リスクアセスメント(書面)の実施
どのような顧客情報を収集しているか、どこに保存されているか、誰がアクセスできるか、そしてどのような問題が発生する可能性があるかを特定します。アセスメントは書面で行う必要があり、定期的(少なくとも年に1回)、および環境が実質的に変化した際(新しいソフトウェアの導入、スタッフの増員、オフィスの移転、情報漏洩の発生など)に更新する必要があります。
最低限カバーすべき項目:
- データインベントリ: 社会保障番号、生年月日、金融口座番号、W-2および1099の写し、銀行取引明細書、前年度の確定申告書、EINデータ、K-1
- 保存場所: 税務ソフトのデータベース、クラウドバックアップ、メールの添付ファイル、クライアントポータル、紙のファイル、モバイルデバイス、USBドライブ
- 脅威シナリオ: フィッシング、ランサムウェア、ノートパソコンの紛失、不正な従業員、ベンダーのデータ侵害、物理的な不法侵入
- 発生可能性と影響度: 対策が相応のものとなるよう、各シナリオをランク付けします
3. 安全管理措置の設計と実施
これがWISP(書面による情報セキュリティ計画)の核心です。規則(Rule)では、特定の技術的および管理的管理を求めており、そのいくつかはもはや必須事項となっています。
- アクセス制御: 顧客データへのアクセスを「必要最小限の原則(need-to-know)」に基づいて制限します。従業員が退職した場合は直ちにアクセス権を削除してください。
- 保存時および転送時の暗号化: すべてのデバイス、ハードドライブ、バックアップ、およびリムーバブルメディアでAES-256(または同等)を使用します。移動中のデータにはTLS 1.2以上を使用し、すべてのノートパソコンとワークステーションでフルディスク暗号化を実施します。
- 多要素認証: 税務ソフト、電子申告ポータル、クラウドストレージ、メール、リモートアクセスツールなど、システムから顧客情報にアクセスするすべての人に必須です。SMSのみの多要素認証(MFA)は非推奨になりつつあります。可能な限り認証アプリやハードウェアキーを使用してください。
- セキュアな開発と構成: ソフトウェアの構築やカスタマイズを行う場合は、セキュアコーディング標準を適用します。また、定義された頻度でシステムにパッチを適用してください。
- インベントリ管理と廃棄: デバイスを追跡し、メディアを安全に廃棄します(シュレッダーにかけるか、NIST 800-88規格に準拠したデータ消去を実施)。
- 変更管理: 顧客データを扱うシステムの変更を文書化し、承認します。
4. 安全管理措置の定期的な監視とテスト
管理策が実際に機能していることを検証する必要があります。規則では、2つの許容可能な方法が示されています。
- 継続的なモニタリング: 不審なアクティビティをログに記録し警告を発する、SIEM、EDR、またはマネージド検出・対応サービス(MDR)などのツール
- 年次のペネトレーションテストおよび半年ごとの脆弱性診断: 継続的なモニタリングを導入していない場合の、従来の第三者によるテスト
個人事業主の作成者の場合、「継続的なモニタリング」とは、異常を通知するように適切に構成されたエンドポイント保護製品を指す場合があります。規模の大きな事務所の場合は、外部のテストサービスの利用が想定されます。
5. 従業員のトレーニング
顧客データにアクセスできるすべての職員(契約社員や繁忙期の作成者を含む)に対する、年次のセキュリティ意識向上トレーニングは義務付けられています。トピックには、フィッシングの識別、パスワードの管理、デバイスのセキュリティ、ソーシャルエンジニアリング、およびインシデント報告が含まれている必要があります。
出席記録を保管してください。「チームミーティングで伝えた」だけでは認められません。
6. サービスプロバイダーの監督
顧客データにアクセスできるすべてのベンダー(税務ソフト、クラウドストレージ、文書管理、ITサポート、給与計算プロバイダー、電子署名ツール、さらにはシュレッダー業者まで)は、以下の条件を満たす必要があります。
- セキュリティ慣行に関するデューデリジェンス(適正評価)に基づいて選定されていること
- 適切な安全管理措置を要求する書面による契約に拘束されていること
- 定期的に再評価されていること(通常は年次)
ベンダーにはSOC 2 Type II報告書または同等のものを要求してください。契約には、発見から72時間以内の通知を義務付けるなど、期間を定義したデータ侵害通知条項を含める必要があります。
7. プログラムの最新状態の維持
脅威の動向が変化したり、業務内容が変わったりした場合は、常にWISPを再評価し調整してください。新しいオフィス、新しいソフトウェア、小規模な事務所の買収などがあった場合は、計画を更新してください。
8. インシデント対応計画(書面)の策定
計画には以下を含める必要があります。
- 内部エスカレーション:誰がどの順番でインシデントを知るか
- 封じ込めと修復:誰が被害の拡大を止めるか
- 外部への通知:クライアント、州検事総長、FTC(連邦取引委員会)、およびIRS(内国歳入庁)
- 文書化:ログ、証拠、およびタイムラインの保存
- 教訓:文書化された是正措置を伴う事後分析(ポストモーテム)
IRSは、税務申告書作成者がデータ盗難を発見した場合、24時間以内にIRSステークホルダー・リエゾンおよび税務当局連盟(FTA)を通じて報告することを期待しています。2024年5月13日に発効した安全管理規則の改正に基づき、500人以上の消費者に影響を与えるセキュリティイベントについては、発見から30日以内にFTCにも通知する必要があります。この届け出は公開されます。
9. 取締役会(または所有者)への報告
責任者は、少なくとも年1回、取締役会、または小規模な事務所の場合は担当責任者に対して書面による報告書を提出する必要があります。報告書には、プログラムの全体的な状況、リスクアセスメントの結果、年度中の重大なイベント、および推奨される変更内容を含めます。
個人事業主の場合ですか?自分自身に向けて書き、署名してファイルに保管します。ええ、本当に。
帳簿記録:忘れられがちなコンプライアンスの証跡
規制当局や監査人が現れた際、最初に求められるのは文書化された証拠です。WISPに「3に従業員トレーニングを実施し、7月に外部のペネトレーションテスト業者に支払いを行い、9月にワークステーションを交換し、11月にサイバー保険を更新した」と記載されているなら、それらすべての主張を裏付ける領収書、請求書、および元帳の仕訳が必要です。セキュリティ費用をクレジットカード明細の「雑費」として処理している事務所は、いざという時に苦労することになります。
セキュリティ関連の支出(トレーニング、ソフトウェア、監査、保険、ハードウェア)をオンデマンドでクリーンな年次レポートとして抽出できるよう、勘定科目表を明確に分離して設定してください。税務時に会計士を満足させるのと同じプレーンテキストによる記録が、FTCから「計画をどのように運用したか」と問われた際の証拠ファイルとなります。
多くの人がつまずく技術的コントロール
実務上、WISP(書面による情報セキュリティ計画)の不備の大部分は、2つの要件に起因しています。
あらゆる場所での多要素認証(MFA)。 この規定は「便利な場所だけ」でMFAを使用することを認めていません。顧客情報にアクセスするあらゆるシステムのすべての利用者に適用されます。これには、税務ソフト、電子申告ポータル、クライアントポータル、メール(税務データを含む添付ファイルがあるため)、クラウドストレージ、会計ソフト、およびリモートアクセスツールが含まれます。IRSは、SIMスワップ攻撃に脆弱なSMSよりも、認証アプリやハードウェアトークンを強く推奨しています。
簡単なセルフチェック:使用しているすべてのビジネスアプリケーションからログアウトしてください。再度ログインを試みます。もしパスワードだけでログインできるものがあれば、それは不備とみなされます。
保存データの暗号化。 顧客情報を保存するすべてのデバイスにおいて、フルディスク暗号化が義務付けられています。これには、季節雇用の申告書作成者が自宅オフィスに持ち込む個人のノートパソコンも含まれます。適切に設定されていれば、Windows ProのBitLockerやmacOS의 FileVaultがこの要件を満たします。バックアップ、USBメモリ、およびあらゆるポータブルメディアを暗号化してください。顧客データを含む場合はメールも暗号化してください(通常、暗号化メールよりもクライアントポータルの方が優れた解決策です)。
その他によく見落とされるコントロールは、ベンダーの監視です。多くの事務所は税務ソフトベンダーからSOC 2レポートを入手していますが、昨年契約したブティック型のクラウドストレージツールや、試用した電子署名プラグイン、管理者権限を持つIT業者との契約や評価が行われていないケースが多々あります。ベンダーのインベントリ(目録)を作成し、毎年更新してください。
違反した場合に何が起こるか
罰則は理論上の話ではありません:
- FTC民事罰金:改正されたセーフガード規則に基づき、1件の違反につき1日最大46,517ドル
- 通知義務違反の罰金:公表された事例では500,000ドルに達したものもあります
- PTIN(申告書作成者納税者番号)の停止または取り消し:IRSによるもので、事実上、申告書作成業務ができなくなります
- 州司法長官による法的措置:州のデータ漏洩通知法に基づくもの(全50州に存在)
- クライアントによる私的訴訟:一部の州では法定損害賠償が認められています
- 保険の支払い拒否:専門職業賠償責任保険やサイバー保険が、コンプライアンス違反に起因する請求を除外している場合
- レピュテーションの低下:税務実務においては、12か月以内にかなりのシェアのクライアントを失うことを意味することが多いです
IRSは、WISPの欠如は単なる事務的な問題ではなく、広範なコンプライアンスの失敗の証拠として扱うことを明示しています。
防御可能なWISP作成のための現実的なロードマップ
ゼロの状態から防御可能な計画を策定するには、個人の作成者であれば4〜6週間、大規模な事務所であれば数か月を要するプロジェクトとなります。現実的な手順は以下の通りです:
第1週:インベントリ。 顧客データに触れるすべてのシステム、アクセス権を持つすべての従業員や請負業者、データチェーンに関わるすべてのベンダー、および所有するすべてのデバイスをリストアップします。これがあなたの「原材料」になります。
第2週:リスク評価。 インベントリに対して、考えられる脅威を検討します。各シナリオをスコアリングし、上位5つのリスクを特定します。
第3週:ギャップ分析。 現在のコントロールを、義務付けられている9つの要素と比較します。すべてのギャップを記録します。小規模事務所における最大のギャップは、通常、MFAの適用範囲、ベンダー契約、およびインシデント対応手順です。
第4週:是正。 あらゆる場所でMFAを有効にします。すべてのデバイスにフルディスク暗号化を導入します。主要なベンダーと書面による合意を締結します。トレーニングのスケジュールを立て、すべてを文書化します。
第5週:WISPの執筆。 IRS Publication 5708のテンプレートを叩き台として使用し、徹底的にカスタマイズします。コピー&ペーストされた計画は、誠実さの欠如を示すため、計画がないよりも悪影響を及ぼします。責任者に署名させてください。
第6週(および毎年):テスト、トレーニング、報告。 インシデント対応計画に基づいた机上演習を実施します。年次トレーニングを行い、経営陣への年次報告書を作成します。次回のレビューをスケジュールします。
年次サイクルをカレンダーにリマインド設定してください。最も一般的なコンプライアンス違反は、最初のWISP作成時ではなく、2023年に作成して以来一度も手を触れていないようなケースです。
よくあるいくつかの誤解
「税務ソフトがSOC 2認定を受けているので、大丈夫です。」 いいえ。ソフトウェアプロバイダーのコンプライアンスは彼らの環境をカバーするものであり、あなたの環境をカバーするものではありません。メール、ローカルファイル、オフィスのネットワークなど、そのプラットフォーム外で行うすべてのことに対してWISPが必要です。
「自宅で仕事をしているので、ルールが異なります。」 異なりません。自宅ベースの実務であっても、オフィスベースの場合と同じWISPの義務があります。むしろ、個人用システムとビジネス用システムの境界が曖昧になるため、コントロールはより困難になります。
「記帳を海外のチームに外注しているので、セキュリティは彼らが担当します。」 彼らは規則におけるあなたのベンダーです。彼らを評価し、契約を結び、彼らのコントロールを監視する責任はあなたにあります。
「サイバー保険に入っているので、守られています。」 現在、ほとんどのサイバー保険ではWISPが補償の条件となっています。情報漏洩が起きた後に細かい規定を読むのは、最悪のタイミングです。
初日から財務状況を整理しておく
防御可能なWISPは文書化に基づいて構築されます。そして、防御可能な帳簿も同様です。コンプライアンスプログラムが実在することを証明するセキュリティソフトのサブスクリプション、トレーニングの請求書、監査費用を追跡する場合でも、あるいはクライアントから信頼されて扱う記帳記録を維持する場合でも、プレーンテキスト会計はブラックボックス化したソフトウェアには不可能なものを提供します。それは、完全な透明性、バージョン管理、およびあなた自身が所有する監査証跡です。Beancount.ioは、透明性が高く、バージョン管理が可能で、AIにも対応したプレーンテキスト会計を提供します。ベンダーロックインや不透明なエクスポートもありません。無料で始めることができ、開発者や財務の専門家がなぜプレーンテキスト会計に切り替えているのか、その理由をぜひ確かめてください。