顧客から預かった情報をAIサービスに入力しても問題ないのか——そんな不安を抱えたまま、担当者が独断でクラウドAIを使い始めているケースが、中小企業の現場で急増しています。
税理士・社労士・中小企業診断士といった士業事務所では、顧客の財務データや個人情報を日々扱います。そこに生成AIが加わったとき、「どこまで入力してよいか」を規程で定めていなければ、1回の操作が取り返しのつかない情報漏洩に発展するリスクがあります。
この記事では、顧客データをクラウドAIに入力する前に、社内規程として明文化しておくべき5つの項目を、具体的な内容と整備の手順とともに解説します。守秘義務を守りながらAIを安全に活用したい経営者・所長の方に向けた実践的なガイドです。
なぜ今、顧客データのAI利用規程が急務なのか
生成AIツールの普及速度は、これまでのビジネスソフト導入とは次元が異なります。ChatGPTが公開されてから1年で、国内の中小企業の約4割が何らかの形で生成AIを試用したという調査結果(执筆時点:2026年4月時点)があります。問題は、試用と業務利用の境界線が曖昧なまま現場が動いていることです。
たとえば士業事務所の実務では、次のような場面が想定されます。
「確定申告の書類を要約して、説明文を作ってほしい」とスタッフがChatGPTに依頼する。その際、顧客の氏名・住所・収入金額・扶養家族情報が含まれた文書をそのまま貼り付けてしまう。こうした操作は、担当者に悪意がなくても、個人情報保護法第17条(適正な取得)や、場合によっては守秘義務違反に問われる可能性があります。
個人情報保護委員会は、第三者のサーバーに個人情報を送信する行為を「第三者提供」に該当すると解釈するケースがあることを示しています。クラウドAIに顧客データを入力した場合、それが「同意なき第三者提供」とみなされるリスクを完全には否定できません。
また、士業には職業倫理としての守秘義務があります。税理士法第38条、社会保険労務士法第21条などがこれに相当します。顧客の財務・労務情報を外部のサーバーに送信することが守秘義務違反に問われた場合、資格停止処分にまで発展する可能性があります。
規程を整備せずにいると、善意の業務改善が法的リスクに直結します。一方で、適切な規程を定めれば、AIを安心して活用できる環境が整い、業務効率の向上と顧客信頼の両立が実現します。Before/Afterで整理すると、規程なし状態では「担当者ごとにバラバラな使い方、問題発生時に対応方針が存在しない」のに対し、規程あり状態では「利用範囲が明確、問題発生時の対応フローが即動く」という差が生まれます。
クラウドAIに入力したデータはどこへ行くのか
社内規程を整備するにあたり、まずクラウドAIのデータ処理の実態を正確に理解しておく必要があります。誤解に基づいた規程は機能しないからです。
クラウドAI(ChatGPT・Gemini・Claude等の一般向けサービス)に入力したテキストは、事業者のサーバーに送信されます。送信されたデータの扱いは、各サービスの利用規約とプライバシーポリシーによって異なります。
主要サービスの違いを例示すると、以下のような点があります(執筆時点:2026年4月時点の公開情報に基づきます)。
・ChatGPT(無料・Plus): デフォルトでは会話内容がモデルの改善に使用される可能性がある。設定でオフにすることが可能だが、ユーザーが気づいていないケースが多い。
・ChatGPT Team・Enterprise: 学習利用を行わないと明示。APIキーを使った開発者向け利用も同様。
・Google Gemini(個人): 会話データをGoogleがレビューする可能性がある旨が規約に記載。
・Microsoft Copilot(エンタープライズ向け): 商業的なデータ保護条項が適用され、第三者への開示や学習利用は行わないと明示。
つまり、「無料で便利だから使う」という判断が、顧客データをモデル学習に提供することと同義になるリスクがあります。また、万が一サービス事業者がセキュリティ侵害を受けた場合、入力したデータが第三者に漏洩する可能性もゼロではありません。
なお、情報を外に出さない社内専用AI(ローカルLLM)を自社サーバーで動かす選択肢もあります。この場合、データは外部に送信されないため、クラウドAI特有のリスクを根本から排除できます。ただし初期費用と運用コストが必要なため、まず社内規程を整備してクラウドAIを安全に使う、というアプローチが現実的な第一歩です。
社内規程で決めておく5項目
ここからが本題です。顧客データをAIで扱う前に、経営者・所長が決裁して文書化しておくべき5つの項目を解説します。
1. 利用してよいデータの範囲と分類基準
最初に決めるべきは、「何をAIに入れてよいか」「何は入れてはいけないか」の分類です。情報の種類と重要度に応じてランク分けし、それぞれの取り扱いルールを定めます。
たとえば以下のような3段階分類が実務的です。
・【入力禁止】個人特定情報: 氏名・住所・電話番号・マイナンバー・口座番号など、個人を直接特定できる情報。いかなる状況でもクラウドAIへの入力を禁じる。
・【条件付き入力可】業務参考情報: 業種・資本金規模・課題の大まかな分類など、個人や法人を特定できない形に加工した情報。加工後も二次特定のリスクがないかを入力前に確認する。
・【入力可】公開・社内一般情報: 自社の定型文書のたたき台、一般的な法律条文の解釈依頼、公開資料の要約依頼など、機密性のない情報。
この分類を定めるだけで、現場の判断基準が大幅に明確になります。重要なのは「禁止リスト」よりも「許可の条件」を明示することです。禁止だけでは「どこまで加工すれば使えるか」が曖昧になり、現場が萎縮して業務改善の機会を逃します。
2. 利用を認めるAIサービスの承認リスト
「生成AIを使っていいですか」という質問に「はい」と答えるだけでは不十分です。どのサービスなら使ってよいか、逆にどのサービスは使ってはいけないかを明示する承認リストが必要です。
承認リストには以下の観点で判断します。
・データ保護条項: 入力データを学習に使用しないと明示しているか。エンタープライズ向けプランかどうかも確認する。
・サーバーの所在地: EUのGDPRや日本の個人情報保護法の管轄外にあるサーバーへのデータ送信は追加リスクを伴う。
・アカウント管理: 個人アカウントではなく、会社で管理する法人アカウントを使用しているか。退職者がアカウントを持ち続けるリスクを防ぐ。
承認リストに載っていないサービスの利用は禁止、という原則を規程に明記します。新しいサービスが登場したとき、担当者が申請し所長・責任者が審査する手順も合わせて定めておくと、規程が形骸化しません。承認済みサービスは少なくとも年1回、プライバシーポリシーの変更がないかを確認することも規程に盛り込みます。
3. 入力前の匿名化・マスキングルール
条件付きで入力を認めるデータについては、どのように加工してからAIに入れるかの手順を明確にします。これを怠ると、「加工したつもりが特定できてしまった」という事故が起きます。
実務的なマスキング手順の例を示します。
・氏名の処理: 実名を削除し「顧客A」「法人B」等の代替表現を使う。同一文書内に複数の顧客が登場する場合は「顧客A」「顧客B」と区別する。
・数値情報の処理: 年収・売上などの具体的な数字は「数千万円規模」「中規模事業者」等の概算表現に変換する。正確な数字が必要な場合は、AIには問いを立てる用途に限定し、数値を含む回答の生成を求めない。
・住所・連絡先の処理: 都道府県レベルまでにとどめ、番地・電話番号・メールアドレスは削除する。
・加工後の確認: 入力前にもう一人の担当者が目視でマスキングの漏れがないかを確認するダブルチェック体制を設ける(1人事務所の場合は所長本人が確認する手順を規程に明記する)。
マスキング作業のテンプレートをExcelやドキュメントで用意し、現場が迷わずに処理できる状態にすることが重要です。
4. 従業員への教育と違反時の対応手順
規程を文書化しても、従業員が内容を理解していなければ機能しません。また、違反が発生した場合の対応手順を事前に決めておかないと、問題発生時の対応が遅れます。
教育については、以下のポイントを規程に盛り込みます。
・初回研修: 規程制定時または新入社員・新規スタッフ参加時に、30分程度の説明会を実施する。研修を受けた証明として署名または電子記録を残す。
・定期確認: 年1回、規程の内容と改定事項を全員で確認する機会を設ける。
・Q&A窓口: 「この入力はよいか?」を気軽に相談できる窓口(担当者または所長への直接相談)を設け、現場が「なんとなくOKだろう」と独断で進むことを防ぐ。
違反時の対応手順は、発生した事実の記録、顧客への報告要否の判断、再発防止策の策定、の3段階を規程に明記します。特に顧客への報告要否は、個人情報保護法第26条の漏洩報告義務(2022年改正施行)の要件に照らして判断する必要があるため、弁護士・専門家への相談ルートも規程に含めておくことを推奨します。
5. 定期的な見直しサイクルと担当者の役割
AIサービスは急速に変化します。半年前に有効だった規程が、サービス規約の変更や新しいサービスの登場により、すでに現実に合わなくなっているケースも多くあります。規程を「作って終わり」にしないための仕組みが必要です。
具体的には以下の体制を規程に明記します。
・見直し頻度: 最低でも年1回、定期的に規程の内容を見直す。また、利用中のサービスが利用規約を変更した場合は、その都度見直す。
・担当者の指定: 規程の管理責任者を1名指名し、その者が見直しを主導する。1人事務所であれば所長本人が担当者となる。
・変更履歴の管理: 規程を改定するたびに改定日・改定内容・改定者を記録し、過去版を保管する。「以前の規程でどこまで許可していたか」が事後に確認できる状態を維持する。
・外部情報の収集: 個人情報保護委員会のガイドライン更新、業界団体のAI利用指針などを定期的に確認する情報収集の習慣を担当者の役割として明記する。
この5番目の項目が最もおろそかにされやすく、かつ長期的な安全確保において最も重要です。規程は一度作れば終わりではなく、定期的に呼吸させる仕組みとして設計してください。
クラウドAI利用と社内専用AI利用のリスク比較
顧客データのAI利用を検討する経営者が気にするポイントを、クラウドAIと社内専用AIで比較しました。どちらが絶対的に優れているというわけではなく、事務所の規模や予算・技術体制に応じて選択します。
| 比較項目 | クラウドAI(一般向けプラン) | クラウドAI(法人向け・エンタープライズ) | 社内専用AI |
|---|---|---|---|
| データの外部送信 | あり(学習利用の可能性も) | あり(ただし学習利用なしを明示) | なし(自社サーバー内のみ) |
| 情報漏洩リスク | 高(規程なし運用では特に) | 中(規約の範囲内は保護) | 低(外部接続なし) |
| 守秘義務との整合性 | マスキング等の対策が必須 | 利用規約の確認が必須 | 高い整合性が期待できる |
| 導入コスト | 低(月額数百〜数千円) | 中(月額数千〜数万円) | 高(初期費用+運用コスト) |
| 社内規程の必要性 | 必須(利用範囲・マスキング) | 必須(承認・管理体制) | 必要(内部アクセス管理) |
| 中小企業・士業向けの現実的な選択肢 | 規程整備を前提に検討可 | コストを許容できる事務所向け | 機密性最優先の事務所向け |
規程整備を前提とした上で、まずはクラウドAIの法人向けプランを活用し、コスト・リスクのバランスを確認するというアプローチが、多くの中小規模の士業事務所にとって現実的な第一歩です。
よくある質問
Q1. 小規模な事務所でも社内規程は必要ですか?
はい、従業員数にかかわらず必要です。むしろ1〜5名規模の事務所では、判断を下せる人間が少ないぶん、「なんとなく使ってしまう」リスクが高くなります。1ページ程度の簡潔な文書でも、「誰が」「何を」「どのAIに」「どのような加工をしてから」入力できるかが明記されていれば、最低限の機能を果たします。
Q2. 顧客から「AIを使わないでほしい」と言われたらどうすればよいですか?
顧客の意向を記録し、その顧客に関する業務ではAIを使用しない旨を担当者に周知します。規程に「顧客からの利用拒否申し出を受け付ける手順」を明記しておくことで、こうした要望への対応を標準化できます。顧客の不安を払拭するために、規程の概要を顧客説明用の資料として用意することも有効です。
Q3. 規程を作ったあと、AIサービスの利用規約が変わった場合はどうすればよいですか?
主要なクラウドAIサービスのプライバシーポリシーページをブックマークし、月に1回程度目視確認する習慣を担当者の役割として規程に明記します。利用規約の変更通知がメールで届くサービスも多いため、受信設定を整備しておくことも重要です。変更内容が承認リストの維持条件を満たさなくなった場合は、そのサービスの利用を停止し代替手段を検討します。
Q4. 匿名化した情報なら安全に入力できますか?
匿名化の方法と精度によります。単に氏名を削除しただけでは、住所・業種・資本金・業績推移などの組み合わせから個人や法人が特定できてしまうケースがあります(再特定リスク)。規程では「何を削除するか」だけでなく「加工後に特定できないかを確認する手順」まで定めることが重要です。不安が残る場合は、その情報はAIに入力しないことが安全策です。
規程策定前のセルフチェックリスト
以下の項目を確認してください。まだ整備できていない項目が社内規程に盛り込む優先事項です。
・データ分類の基準: 顧客データをAIに入れてよいもの・条件付き・禁止の3段階で分類できているか
・承認済みAIサービスリスト: 社内で利用を認めるAIサービスを一覧化し、責任者が承認しているか
・個人アカウント禁止の明示: 業務利用のAIは個人アカウントではなく会社管理のアカウントで使用することが規程に明記されているか
・マスキング手順書: 入力前の匿名化・加工の具体的な手順が文書化されているか
・ダブルチェック体制: マスキング後の確認を複数人で行う(または所長本人が確認する)手順があるか
・従業員説明の記録: 規程の内容を全スタッフに説明し、理解した記録を残しているか
・違反時の対応手順: 誤って顧客データを入力してしまった場合の報告・対応フローが定まっているか
・顧客への説明準備: 「AIを使っていますか?」と質問された場合の説明資料または口頭説明の準備ができているか
・見直し担当者の指定: 規程の定期見直しを担当する者が決まっているか
・最終改定日の記録: 規程文書に最終改定日が明記されているか
10項目すべてにチェックが入れば、顧客データのAI利用における基本的な規程体制が整っている状態です。半数以上が未整備であれば、規程の策定を優先的な課題として経営議題に上げることを推奨します。
本記事のまとめ
顧客データをクラウドAIに入れる前に社内規程で決めておく5項目を整理すると、以下のとおりです。
・1. 利用してよいデータの範囲と分類基準: 禁止・条件付き・許可の3段階で明確化する
・2. 承認済みAIサービスリスト: データ保護条項を確認した上で利用可能なサービスを一覧化する
・3. 入力前の匿名化・マスキングルール: 具体的な加工手順と確認体制を文書化する
・4. 従業員への教育と違反時の対応手順: 研修記録と対応フローを整備する
・5. 定期的な見直しサイクルと担当者の役割: 年1回以上の見直しを規程化し担当者を明示する
これらを整備することで、顧客の信頼を損なわず、守秘義務を守りながら、生成AIを業務効率化に活かせる土台が整います。逆に規程なしで運用を続ければ、善意の操作が情報漏洩の引き金になるリスクを抱え続けることになります。
規程は完璧である必要はありません。1ページでも運用を始め、問題が見つかるたびにアップデートしていく姿勢が、長期的なリスク管理につながります。
株式会社イーネットマーキュリーでは、中小企業・士業事務所向けのAIコンプライアンス相談を承っています。「まず何を決めればよいか」「現在の使い方に問題がないか確認したい」というご相談から承りますので、お気軽にお問い合わせください。
