2017年、私はアジアのとある業界団体のメンバー50人を対象に、米国の法務サービス市場に関するプレゼンテーションを行いました。私は、テクノロジー企業が今後も知財業務を小規模な「代替法務(Alternative Law)」プラットフォームに移行し続けると予測しました。この予測に対する質問はありませんでしたが、参加者の1人からサイバーセキュリティについて質問されました。それは、大手法律事務所の方が安全ではないかということでした。
この質問に答えるためには、まず、「Am Law」とも呼ばれる米国の大規模な法律事務所について理解を深める必要があります。Am Lawの主要業績評価指標であるパートナー1人当たりの利益(PPP)は、野球選手にとっての打率のようなものです。米国の法律事務所は、クライアントに対して、また相互に評価を示すために、PPPによって正式にランキングされます。高いPPPを維持するために、Am Lawの経営陣は、諸経費をクライアントに転嫁し、インフラストラクチャコストを削減し、時間あたりの相談料を上げて、請求可能なノルマの達成を弁護士に求めます。
PPPを重視する事務所の元パートナーとして、私はソウルにあるSamsungの主要施設に招待されました。そこを訪れる人は皆、警備員に呼び止められ、身体検査を受けました。警備員はブリーフケースを調べ、自社の社外顧問弁護士のものを含めすべてのノートPCのポートをすべて塞いでいました。
ここが38度線よりも北ではないことを自分に言い聞かせ、私は大きな警告表示の下を進みました。メモリスティックを所持していることが見つかると、Samsungのすべての施設に対する立ち入りが無期限に禁止されます。その年の後半に、東京の社内チームに法的分析情報を見せる必要がありましたが、社内のコンピューターにはメモリスティック用のポートがないと言われました。
クライアントは、メモリスティックがもたらすサイバーセキュリティ上の脅威を認識しています。では、なぜ米国の法律事務所では、クライアントの案件にメモリスティックを使用することを許しているのでしょうか? シンプルに答えると、その理由は間接的にPPPと関係しています。従業員は、クライアントに請求できる時間を増やす方法を模索しています。時間を増やすことで、ノルマに追われるAm LawのPPPエコシステムの中で、解雇から免れるためです。
弁護士やスタッフが請求可能なノルマを達成できなければ、「移行期間付きで解雇」されるリスクがあります。これは、高額な雇用訴訟を回避して、従業員を解雇することを目的としたプロセスです。約6カ月の「移行期間」中に、従業員は法律事務所で働きながら新しい仕事を探します。解雇の心配がなく、メモリスティックが禁止されていないため、移行期間中にはデータの漏洩が発生しやすくなります。
昨年秋には、Googleによって高く評価されている新興企業により、サイバーセキュリティの最大の弱点が人間であることが発表されました。メモリスティックに加えて、意外にも特許訴訟チームが弱点になることもあります。たとえば、Am Lawのチームは、ZoomやDropboxを使用して、クライアントのソースコードなどの機密情報を確認してきました。このようなツールは安価で簡単に使用できますが、ニュース報道から、深刻なサイバーセキュリティの脅威であることは明らかです。以上のことから、Bauz IP Lawでは、LeapFILEやMS Teamsなどのセキュアなツールのみを使用しています。
弁護士が安全でない電子メールを使用することもリスクの1つです。あるAm Lawの業務執行役員は、弁護士がクライアントの機密情報を送信するためにGmailを使用していたことを非難しました。弁護士は、Gmailを使用して保護されていない自宅のコンピューターにクライアントの電子ファイルを送信したのち、送り返していました。この方法で、自宅にいながら請求対象となる時間を増やしていました。興味深いことに、Googleでは顧問弁護士がGmailとZoomを使用することを禁止しています。
外部の訴訟チームメンバーの監督が不十分な場合も、データ漏洩の原因となります。専門家はメモリスティックを常用しています。私は、異なる特許訴訟案件やクライアントのデータが入ったメモリスティックを20本持っている人を知っています。つまり、20のチームがメモリスティックを回収・破棄しなかったということです。専門レポートの作成に、マイクロソフトの家庭向け Office 365を使用していると話していた専門家もいます。この安価なソフトには、最低限のセキュリティしかありません。ホテルなどの公共の場では、第三者がデータに電子的にアクセスできます。
今日、米国の多くの法律事務所にあるコンピューターシステムは旧式であり、そのデータセンターのセキュリティは確実なものではありません。クライアントへの請求書から、従業員がデータセンターにアクセスしていることは証明されています。しかし、作業していた場所や作業の内容は、請求書からは簡単に確認できませんでした。
2018年のSingapore FinTech Festivalで、Morgan Stanleyのサイバーセキュリティ責任者が、「社内のデータセンターを訪れたことのある方はどれくらいいますか」と尋ねました。また、警備員など、社内のサイバーセキュリティに特化した対策があるかどうかを尋ねました。多くのパートナーと同様、私もデータセンターを訪れたことはありませんでした。
このサイバーセキュリティ責任者が伝えたかったことは、Azure、AWS、Googleでは社内のリスクを最小限に抑えるため、物理的にも電子的にもセキュリティ対策を施しているということです。Am Lawとは異なり、IT企業はデータセキュリティを専門としています。クラウドへの移行によってセキュリティはおそらく改善されますが、PPPは移行を妨げる市場の要因です。
2018年にAltman Weilが実施した調査では、米国にある法律事務所789社のリーダーのうち約60%が、「一般にクライアントは変化を望まない」と考えていることが明らかになりました。クライアントの認識が不足しており、思い込みを持っている場合、変化を求めることは困難です。Thane Bauzは、こういったクライアントとの認識の違いを特定し、解消するため、個人的かつ内密に社内の知財チームを支援しています。
最初の質問に戻ると、クライアントは法律事務所のデータセキュリティ対策について確認するべきです。新しい法務プラットフォームは、PPPの指標に縛られていません。請求ノルマもありません。また、強力でセキュアなツールのサイトライセンスを低コストで取得することができます。Bauz IP Lawは、「黄金の手錠(転職防止のための給料上の特別優遇措置)」と呼ばれることもあるPPPの制約を受けていません。
Thane Bauzは、25年以上にわたってグローバルな法律事務所で働いてきました。現在は、データや提案を直接提供して社内の知財チームをサポートしています。Thaneのクライアントは、リスクを最小限に抑え、効率を高め、コストを削減することに成功しています。ご不明な点がありましたら、[email protected]までメールでお問い合わせください。
