お問い合わせ
2026 / 06 / 25 ベストプラクティス

生成AI利用ルールを所内で作る方法

Lead

ひな形流用では機能しない所内AI利用ルールを、業務フロー×データ種別×責任者の10構成要素で翻訳する手順と、公的ガイドラインの下敷き方、自所/プロの切り分け基準を整理します。

結論: 所内AI利用ルールは、他所のひな形をそのまま配るのではなく、入力禁止情報・利用可能ツール・出力レビュー責任など10の構成要素を自所の業務フローとデータ種別に翻訳して初めて機能します。

2023年、Samsungで生成AI関連の情報漏えい事案が複数発生したと報じられました。報道によれば、従業員がChatGPTにソースコードや社内会議情報を入力してしまい、その後同社では社内での生成AI利用を厳しく制限したとされています。この事件で印象的なのは、入力した従業員に悪意があったわけではない点です。便利だったから、急ぎの作業をなんとか終わらせたかったから、社内に手順がなかったから——そういう構造のなかで起きています。

同種の構造は、士業事務所でも観察されます。「他事務所のAI利用ガイドラインをもらったので、そのまま回覧して周知しました」というケースが多いです。掲示はされていて、職員は一読のチェックを入れている、しかし実態としては、誰がどのツールで、どこまでの情報を入力していいのかが現場では曖昧なまま、というパターンになりがちです。

ひな形そのものが悪いわけではありません。論点を網羅したひな形は出発点として有用と考えられます。問題は、ひな形に書いてある「個人情報は入力しない」「機密情報は入力しない」という抽象的な禁止条項が、自所の業務フロー上のどの場面に対応しているのかが翻訳されていないことです。本記事では、所内ルールを「現場で機能する文書」にするための10の構成要素と、公的ガイドラインの下敷きとしての使い方、ルール起草の進め方を整理していきます。

ルールがないまま導入したときの典型パターン

ルールが整備されていない状態でAI利用が「黙認」されると、次のような状況が起こり得ます。

  • 個別判断の属人化: 職員ごとに「これは入れていい/だめ」の基準がバラバラで、想定外の挙動が起きるまで誰も気付かない状態になります
  • シャドーAIの常態化: 事務所として契約していない無料アカウントで業務情報を扱うケースが報告されています
  • 顧問先への説明不能: 「うちの情報はAIに入れていますか」と顧問先から聞かれたときに、所として答えられないことがあります
  • 退職時の持ち出しリスク: 個人アカウントで業務利用していた場合、退職後もチャット履歴に業務情報が残ってしまいます
  • 監督官庁・所属会への説明責任: 想定外の挙動が起きた後に「ルールがなかった」では済まない領域があります

個人情報保護委員会は2023年6月2日付の注意喚起で、生成AIサービスに個人情報を入力する際の留意点を公表しています。要配慮個人情報の取得や、個人情報の利用目的の範囲を超える取扱いに該当しないかの確認など、士業事務所の業務にも直接関わる論点が含まれています(公式情報を確認のこと)。

「ルールがない」状態は、士業の守秘義務・個人情報保護法・各士業法上の規律と照らすと、放置できる状態ではありません。

所内ルールの構成要素10項目

ひな形を流用するにせよ、自所で書き下ろすにせよ、最低限カバーしておきたい論点を10項目に整理していきます。各項目は「禁止/許可」を一文で書くのではなく、「業務フロー上のどの場面で、誰が、何を判断するか」を書くのがポイントになります。

1.入力禁止情報の定義: 「個人情報」「機密情報」と書くだけでは現場が判断できません。自所で扱うデータ種別(顧問先決算データ、給与データ、相続関係資料、就業規則ドラフト、議事録等)ごとに、入力可否を○×で示すリストにしておきたい場面です。要配慮個人情報、マイナンバー、特定個人情報は別建てで明示しておきます。

2.利用可能ツールの限定: 「生成AI」と一括りにせず、利用してよいツール名・契約形態を明示していきます。事務所契約の有償プラン(学習オプトアウト・データ保持設定済み)、個人アカウントの無料プラン(業務利用は不可)、顧問先から指定されたツール(顧問先のテナント上で使う場合の扱い)、といった区分を書いていきます。

3.顧客情報の取扱い: 顧問契約・受任契約の範囲内で取得した情報を、AIを介して処理することが利用目的に含まれているかを確認しておきたい場面です。顧問先への事前告知・同意取得の運用、匿名加工の手順、顧客情報を含むファイルのアップロード可否を定めておきます。

4.出力レビュー責任: AIの出力をそのまま顧問先に渡すことは、士業の業務性質上、避けたい場面が多くあります。誰が(担当者/レビュアー/最終承認者)、何を(事実関係/引用根拠/計算/法令適用)、どの粒度で(全件レビュー/サンプリング/重要案件のみ)レビューするかを書いておきます。「最終的に責任を負う有資格者が確認する」原則を明文化しておきたいところです。

5.保存・履歴・ログ: AIとのやり取りを業務記録としてどう残すかは、後日「いつ・誰が・何を入力したか」を再現できる体制があるかという話に直結します。チャット履歴の保存期間、エクスポート手順、監査時の取り出し手順を定めておきます。

6.アカウント管理: 入所・退所時のアカウント発行・回収手順、共有アカウントの禁止(個人特定可能な単位で発行)、MFAの必須化、在籍中の利用範囲変更(権限見直し)を書いておきます。アカウント設計を曖昧にすると、退職者の履歴に業務情報が残り続けてしまいます。

7.外部連携・SaaS統合: AIを単体で使うだけでなく、文書管理SaaS・チャットツール・会計ソフトとAPI連携させるケースが増えてきています。連携先と連携データ範囲を所内で承認するフロー(誰が承認するか、契約・DPAの確認は誰がやるか)を定めておきます。支援先の事務所では「文書管理SaaSと生成AIを連携させたいが、どの情報まで連携先に渡してよいか判断できない」という相談を受けることが増えています。

8.職員教育: ルールを配るだけでは読まれないという前提で、年1回以上の研修頻度・対象者・到達基準を定めておきます。新規入所者のオンボーディングにAIルール研修を組み込んでおきたいところです。

9.顧問先への説明: 顧問先から「AIを使っているか」と聞かれた際の説明方針を、所として統一しておきます。標準回答スクリプト、契約書・利用規約への記載の有無、顧問先がオプトアウトしたい場合の対応を含めておきます。

10.想定外の挙動が起きたときの対応: 入力してはいけない情報を入力してしまった、出力をそのまま使ってしまった、等が発生した場合の初動・報告ライン・顧問先通知・所属会への報告判断のフローを定めておきます。「事故ゼロ」を前提にせず、「起きたときに止血できる体制」を書いておきたい場面です。

公的ガイドラインを下敷きにする

ゼロから書き下ろすのは現実的ではないため、公的ガイドラインを下敷きにして自所の業務に翻訳するアプローチが取りやすいです。よく参照されるのは次の3本になります。

  • 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」(2023年6月2日公表): 個人情報取扱事業者・行政機関・利用者個人それぞれに向けた注意喚起で、要配慮個人情報の取得、利用目的の範囲、第三者提供への該当性などが整理されています。士業事務所は個人情報取扱事業者として該当する論点が多いです
  • 総務省・経済産業省「AI事業者ガイドライン」(Ver1.2、2026年3月31日公表): AI開発者・AI提供者・AI利用者という3つの主体ごとに留意点を整理したガイドラインです(初版は2024年4月19日公表、以後複数回改訂)。事業者向けの一般的な指針であり、士業向けの個別具体策は含まれていませんが、ガバナンス・透明性・人間中心といった原則の参照元として有用です(最新版は所管省庁の公式ページで確認のこと)
  • デジタル庁の生成AI関連文書: 行政機関向けの利用ガイドライン・チェックリストが順次公表されています。士業事務所そのものを対象とした文書ではありませんが、リスク整理の観点として参考になる場合があります

注意しておきたいのは、これらは事業者一般/行政向けの上位文書であり、税理士法・社会保険労務士法・行政書士法・司法書士法・弁護士法・公認会計士法といった個別士業法上の規律と直接対応しているわけではない点です。所属会・連合会から個別の指針が出ている場合は、そちらが優先する場面があります。

ひな形を「論点リスト」として使う

ひな形が「悪い」のではなく、ひな形は最大公約数で書かれているため、自所固有の以下の要素が抜けているケースが多いです。

  • 取扱データの種別: 税理士事務所と社労士事務所と行政書士事務所では、扱うデータ種別が異なります。「個人情報」だけでは不足してしまいます
  • 業務フロー: 受任〜資料収集〜下書き〜レビュー〜納品〜保管のどの段階でAIを使うかで、リスクの種類が変わってきます
  • 責任者の指名: 「AI利用責任者」「情報セキュリティ責任者」が誰なのかは、ひな形には書けません
  • 既存システム構成: 顧問先共有ストレージ、文書管理SaaS、メールセキュリティ等との接続設計はひな形では決まりません
  • 顧問先との契約条件: 業務委託契約・秘密保持契約にAI利用を読み込めるか、明示同意が要るかは契約条件次第になります

ひな形は「論点リスト」として使い、自所の業務に翻訳する作業を別途行っていきます。翻訳の進め方としては、まず業務フローの主要3〜5工程を縦軸、取扱データ種別を横軸にしたマトリクスを作り、各セルで「入力可否」「使ってよいツール」「最終承認者」を埋めていく方法が現実的です。マトリクスを埋めながら、ひな形の各条項が「どのセルに対応するか」を確認していくと、抜けている領域が浮かび上がってきます。

所内ルールは今後どう見直すべきか

ルール整備の進度は、所の規模と扱うデータの機微度で大きく変わります。それでも、向こう1〜2年で押さえておきたい方向感は、いくつか観察できます。

第一に、公的ガイドラインの改訂が継続すると見ています。経済産業省・総務省のAI事業者ガイドラインは複数回改訂されており、個人情報保護委員会の注意喚起も、業界動向に応じて補足が出る可能性が高いです。所内ルールには「半年に1回見直す」という頻度を明記し、ガイドライン改訂時に追随できる構造にしておきたい場面です。

第二に、所属会・連合会の指針が個別具体化していくと見ています。現時点では一般論レベルの指針が中心ですが、税理士・社労士・弁護士の各会では生成AI関連の検討が進んでおり、個別具体的なルールが順次出てくる可能性があります。所属会の最新通達を継続的に確認するルートを所内に持っておきたいところです。

第三に、法人プランの普及と統合が進むと見ています。既存の業務SaaSに統合されたAIが主流化することで、テナント単位の管理が前提になっていきます。シャドー AIの問題は、ツール選定よりも「全所統一テナントの早期確立」で抑える方向に向かうと考えられます。

第四に、顧問先側のAI利用意識も上がると見ています。「うちの事務所はAIを使っているか」という顧問先からの問い合わせは、今後増える可能性があります。標準回答スクリプトは半年〜1年のうちに用意しておきたいところです。

ルールは作って終わりではありません。所内の業務実態と、ベンダーポリシー・公的ガイドライン・所属会指針の3つの動きを定期的に突き合わせる仕組みを、ルール自体に組み込んでおきたい場面です。

押さえておきたいポイント

所内のAI利用ルールは何から手をつければいいですか。

ゼロから書き下ろすより、個人情報保護委員会の注意喚起やAI事業者ガイドラインといった公的文書を下敷きにし、本文で挙げた10の構成要素(入力禁止情報の定義、利用可能ツールの限定、出力レビュー責任など)に沿って自所の業務フローとデータ種別に翻訳していくのが現実的です。ひな形をそのまま配るだけでは、現場の判断基準にはなりません。

他事務所のひな形をそのまま使うのは違法ですか。

ひな形自体が違法というわけではありません。ただし、ひな形に書かれた「個人情報は入力しない」等の抽象的な条項が自所のどの業務場面に対応するか翻訳されていないと、現場では判断できず、結果として守秘義務や個人情報保護法上のリスクが放置された状態になりかねません。

ルール整備にはどのくらいの期間がかかりますか。

所の規模や扱うデータの機微度によって幅がありますが、本文の10項目を業務フロー×データ種別のマトリクスに落とし込む作業がボリュームの大半を占めます。完成後も公的ガイドラインの改訂や所属会の指針更新に合わせて半年に1回程度見直す運用にしておくことが望まれます。

個人アカウントでの生成AI利用(シャドーAI)はどう防げばいいですか。

本文の構成要素で言えば「利用可能ツールの限定」と「アカウント管理」が該当します。事務所契約の有償プランと個人アカウントの無料プランを明確に区分し、入所・退所時のアカウント発行・回収手順を定めておくことが、退職後のチャット履歴に業務情報が残るリスクの抑止につながります。

参考

Author · 著者

中 翔

AI 導入の論点を相談する

業務課題を 60 分で整理することから始められます。

お問い合わせ