「クラウド会計ソフトに銀行口座やクレジットカードを連携すると、本当に情報は守られるのだろうか」――この不安を抱えたまま、なんとなく連携機能を使い続けている方は少なくありません。
クラウド会計ソフトの最大の強みは、銀行口座・クレジットカード・決済サービス・請求書発行ツールなどの外部サービスと連携し、取引データを自動で取り込めることです。手入力を減らし、転記ミスをなくし、月次決算を早める。この恩恵は確かに大きいものです。
しかしその裏側で、外部連携は「自社の会計データに、お金と個人情報の経路を増やす」行為でもあります。連携先が増えるほど、守るべき入口も増えていきます。さらに電子帳簿保存法の改正により電子取引データの電子保存が義務づけられ(2022年1月施行、宥恕措置を経て2024年1月から本格適用)、クラウド上のデータ保存とセキュリティは「やっておいた方がよいこと」から「やらなければならないこと」へと位置づけが変わりました。
この記事では、Iroae税理士事務所が日々の顧問業務で実際に案内している、クラウド会計の外部連携セキュリティの考え方と、中小企業・個人事業主が今すぐ実施できる具体的な対策を、製品名を挙げながら解説します。
なぜ外部連携でセキュリティが重要になるのか
クラウド会計ソフトの外部連携が扱う情報は、いずれも漏えいすれば深刻な被害につながるものばかりです。
- 金融機関の口座情報(残高・入出金明細・口座番号)
- クレジットカードの利用明細
- 取引先の名称・振込先・取引金額
- 役員報酬・給与など、従業員の個人情報
これらは、会社のお金や事業の存続、そして取引先・従業員の生活にまで関わる、極めて重要な情報です。万が一不正アクセスで流出すれば、被害は自社にとどまらず、取引先や従業員にまで及びます。会社としての情報管理責任を問われ、信用の失墜という形で長く尾を引くこともあります。
重要なのは、外部連携を強化して業務効率を上げるほど、守るべき範囲も比例して広がるという構造です。便利さとリスクは表裏一体であり、連携を「増やしっぱなし」にしないことが第一歩になります。
銀行口座連携の「スクレイピング方式」と「API連携方式」の違い
クラウド会計ソフトが銀行口座やカードのデータを取得する方法には、大きく分けて2つの方式があり、セキュリティ上の性格が異なります。導入時に意識しておきたい論点です。
スクレイピング方式
利用者がインターネットバンキングのログインID・パスワードをクラウド会計ソフト側に預け、ソフトが利用者に代わってログインして明細を取得する方式です。多くの金融機関に幅広く対応できる一方、ログイン情報そのものを第三者サービスに預けるという性質上、預け先の管理体制への依存度が高くなります。
API連携方式
金融機関が公式に提供するAPI(外部サービスとデータをやり取りする仕組み)を通じてデータを取得する方式です。利用者は金融機関側の画面で「この会計ソフトに、明細参照を許可する」と認可するだけで、ログインパスワードそのものを会計ソフトに渡さずに済むのが大きな利点です。アクセスできる範囲も「明細参照のみ」のように限定でき、振込などの操作権限は与えない設計が一般的です。
近年は全国銀行協会の方針もあり、API連携への移行が進んでいます。利用している金融機関がAPI連携に対応しているなら、原則としてAPI連携を選ぶのがセキュリティ上は望ましい考え方です。ご自身の口座がどちらの方式で連携されているかは、freee会計・マネーフォワードクラウド・弥生会計オンラインなどの口座連携設定画面で確認できます。
主要クラウド会計ソフトのセキュリティ機能を使いこなす
freee会計・マネーフォワードクラウド・弥生会計オンラインといった主要なクラウド会計ソフトには、もともと相応のセキュリティ機能が備わっています。問題は「機能はあるのに、設定がオフのまま使われている」ケースが多いことです。導入後に必ず見直したい機能を挙げます。
二段階認証(多要素認証)を必ず有効にする
ID・パスワードだけのログインは、パスワードが漏れた瞬間に突破されます。二段階認証(スマートフォンの認証アプリやSMSによるワンタイムコードを追加で求める仕組み)を有効にすれば、パスワード漏えい単独では侵入されにくくなります。 freee会計・マネーフォワードクラウド・弥生会計オンラインはいずれも二段階認証に対応しています。これは外部連携の有無にかかわらず、最初に実施すべき基本対策です。
利用者ごとの権限(アクセス権)を適切に分ける
経理担当・経営者・顧問税理士など、複数人でクラウド会計を使う場合、全員に「すべて操作可能」の権限を与えるのは危険です。閲覧のみ、入力のみ、承認のみといった役割に応じて権限を絞ることで、内部の操作ミスや不正、アカウント乗っ取り時の被害範囲を抑えられます。主要ソフトはいずれもメンバーごとの権限設定機能を備えています。
操作ログ・アクセスログを定期的に確認する
「いつ・誰が・どの操作をしたか」を記録するログ機能を活用すれば、不審なアクセスや想定外の操作に早く気づけます。月次決算のタイミングなどで、見慣れない端末・時間帯からのアクセスがないかを確認する習慣をつけると安心です。
通信の暗号化は前提として確認する
主要クラウド会計ソフトは、通信の暗号化(SSL/TLS)に対応しています。とはいえ、利用する側の環境――暗号化されていない公共Wi-Fiでの作業など――に隙があれば意味が薄れます。会計データを扱う端末・ネットワークの安全性も含めて考える必要があります。
電子帳簿保存法・インボイス制度との関係も押さえる
外部連携のセキュリティは、近年の制度改正とも密接に関わっています。
電子帳簿保存法(電子取引データの電子保存義務化)
電子帳簿保存法の改正により、電子的にやり取りした取引データ(メールやWeb上で受け取った請求書・領収書のPDF、ECサイトの購入明細など)は、原則として電子データのまま保存することが義務づけられました(2022年1月施行、2023年末までの宥恕措置を経て2024年1月から本格適用)。紙に印刷して保存するだけでは原則として要件を満たさなくなっています。
この電子保存では、改ざんを防ぐ「真実性の確保」(タイムスタンプの付与、訂正・削除履歴が残るシステムの利用など)と、日付・金額・取引先で探し出せる「検索性の確保」が求められます。クラウド会計ソフトおよびその周辺サービス(マネーフォワードクラウドBox、freeeの証憑管理機能など)は、これらの要件に対応した保存をしやすいよう設計されています。
なお、相当の理由があって要件どおりに保存できない事業者については、税務調査の際にデータのダウンロードの求めに応じられ、かつ整然・明瞭な形で出力できることを条件に、検索要件などが不要となる猶予措置も設けられています。とはいえ、この措置はあくまで例外的な扱いです。クラウド会計ソフトを使えば要件を満たした保存自体は難しくないため、原則どおり対応しておくのが安心です。
ここで重要なのは、電子帳簿保存法対応で大切な書類をクラウドに集約するからこそ、そのクラウドへのアクセスを守るセキュリティが一層重要になるという点です。保存義務とセキュリティ対策は一体で考える必要があります。なお、保存方法の細かな要件は実務上の判断を伴うため、自社の運用が要件を満たしているかは顧問税理士や国税庁の公表資料で確認することをおすすめします。
インボイス制度と請求書データの連携
2023年10月に始まったインボイス制度(適格請求書等保存方式)のもとでは、適格請求書(インボイス)の保存が仕入税額控除の要件となります。請求書発行・受領サービスとクラウド会計を連携させると、インボイスのデータ連携・電子保存を効率化できますが、これも連携経路が増えることを意味します。便利な連携ほど、入口の管理を丁寧にという原則は変わりません。
今すぐできる!外部連携セキュリティ対策チェックリスト
専門家でなくても、中小企業・個人事業主が自力で実施できる対策があります。Iroae税理士事務所が顧問先に案内している基本項目をチェックリストにまとめました。
- クラウド会計ソフトの二段階認証(多要素認証)を有効にしているか
- パスワードは他サービスと使い回さず、十分に長く推測されにくいものにしているか(パスワード管理ツールの活用も有効)
- 連携サービスの棚卸しをしたか(いつ・何のために連携したか分からないサービスが残っていないか。不要な連携は解除する)
- 可能な口座はスクレイピング方式からAPI連携方式へ切り替えたか
- 利用者ごとの権限を、役割に応じて最小限に絞っているか
- 退職者・契約終了した外部スタッフのアカウントを速やかに削除・無効化しているか
- 会計データを扱う端末にOS・ソフトの更新を適用し、公共Wi-Fiでの作業を避けているか
- 操作ログ・アクセスログを定期的に確認しているか
- 電子取引データを、電子帳簿保存法の要件に沿って保存できているか
特に見落とされがちなのが「連携サービスの棚卸し」と「退職者アカウントの管理」です。一度連携すると放置されやすく、退職者のアカウントが生きたまま残るケースは実務でよく見かけます。年に一度は連携状況とアカウント一覧を見直す運用をおすすめします。
より高度な対策として、ネットワークの脆弱性診断やサイバー保険への加入を検討する企業も増えています。これらは事業規模やリスク許容度に応じた判断になりますので、専門家を交えて検討すると安心です。
まとめ
クラウド会計ソフトの外部連携は、業務を大きく効率化する一方で、お金と個人情報の経路を増やす行為でもあります。だからこそ、便利さに見合ったセキュリティ対策が欠かせません。
ポイントを整理すると、次の3点に集約されます。
- 基本を固める――二段階認証・パスワード管理・権限の最小化・ログ確認を徹底する
- 連携の入口を管理する――可能ならAPI連携を選び、連携サービスとアカウントを定期的に棚卸しする
- 制度対応と一体で守る――電子帳簿保存法・インボイス制度で集約されたデータを守る前提でセキュリティを設計する
まずはチェックリストの上から一つずつ確認することから始めてみてください。なお、制度の細かな要件や保存方法は改正・運用変更があり得るため、最新情報は国税庁などの公的機関の公表資料でご確認いただくことをおすすめします。
クラウド会計のセキュリティ・電子帳簿保存法対応はIroae税理士事務所へ
Iroae税理士事務所では、クラウド会計ソフト(freee会計・マネーフォワードクラウド・弥生会計オンライン等)の導入支援から、外部連携のセキュリティ設定、電子帳簿保存法・インボイス制度への実務対応まで、中小企業・個人事業主の皆さまを一貫してサポートしています。
「連携設定がこれで合っているか不安」「電子帳簿保存法に自社の運用が対応できているか確認したい」――そうしたお悩みに、税理士の視点から実務的にお答えします。
クラウド会計に関する無料相談を実施しております。オンラインでのご相談も可能ですので、お気軽にお問い合わせください。