「顧問先の決算情報をChatGPTに入力して、守秘義務に違反しないのか」──
税理士事務所で生成AIの活用を検討するとき、ほぼ必ずこの問いが浮かびます。税理士法第38条に定める守秘義務は、顧問先との信頼関係を支える根幹です。違反すれば懲戒処分や損害賠償リスクを負うだけでなく、事務所の存続にも関わります。
この記事では、税理士事務所が生成AIを業務利用する際に守秘義務の観点から確認すべきチェック項目を具体的に解説します。クラウド型AIと社内専用AIのリスク比較から、業務フロー別の安全な使い方、導入前チェックリストまでを網羅しています。
税理士の守秘義務と生成AIが衝突する3つの場面
税理士法第38条は、「税理士は、正当な理由がなくて、税理士業務に関して知り得た秘密を他人に洩らし、又は窃用してはならない」と定めています。ここで問題になるのは、生成AIへの情報入力が「他人に洩らす」行為に相当するかどうかです。
結論から言えば、利用するAIの種類と設定によって、守秘義務リスクは大きく変わります。クラウド型のAIサービスに顧客情報をそのまま貼り付けることと、自事務所のサーバー内で完結するAIを使うことでは、リスクの性質が根本的に異なります。この違いを正しく理解することが、守秘義務を守りながら生成AIを活用するための出発点です。
場面① クラウド型AIに顧客情報を直接入力する場合
ChatGPTやClaude等のクラウドサービスに顧問先の社名・売上・所得情報を入力すると、その情報はAI提供会社のサーバーに送信されます。企業向けプランではデータ学習に使わない設定もありますが、情報の送信自体は発生します。電子データが事務所の管理外に出る以上、守秘義務の観点から慎重な判断が必要です。日本税理士会連合会が2024年に示した指針では、「顧客の同意なく秘密情報をAIサービスに入力することは税理士法第38条に抵触するおそれがある」と明記されています(執筆時点2026年6月時点)。
場面② 匿名化・仮名化処理が不十分なまま入力する場合
「会社名をA社に置き換えれば大丈夫」と考えがちですが、業種・売上規模・地域・顧問担当者名の組み合わせがあれば、情報を受け取った第三者が特定できる場合があります。これは「匿名化」ではなく「仮名化」に過ぎず、個人情報保護法上も守秘義務の観点でも不十分です。特に医療・介護・不動産等の業種特性が明確な顧問先の情報は、数字だけに置き換えても識別可能なケースがあります。仮名化ルールの設計には、複数の属性を組み合わせると特定に至るという「組み合わせリスク」を必ず考慮してください。
場面③ スタッフが業務連絡ツールのAI機能を無断利用する場合
Microsoft 365 Copilot等、既存のクラウドサービスに追加されたAI機能をスタッフが所長の承認なく使い始めるケースが増えています。ポリシーを設けないまま放置すると、スタッフが顧問先情報を含む議事録やメール文書を無断でAIに処理させてしまうリスクがあります。こうした「シャドーAI利用」は、発覚した時点で守秘義務違反が既に発生しており、事後対応では取り返しがつきません。事前のポリシー整備がすべてのリスク対策の前提条件です。
クラウド型AIと社内専用AIで守秘義務リスクはどう変わるか
生成AIを業務利用する方法は大きく2つに分かれます。クラウドサービスとして提供されるAIと、自事務所のサーバーで完結する社内専用AIです。両者の守秘義務リスクと実務上の特性を比較します。
| 比較項目 | クラウド型AI(ChatGPT等) | 社内専用AI(自社サーバー内) |
|---|---|---|
| 情報の送信先 | AI提供会社のサーバー(海外含む) | 自事務所のサーバー内で完結 |
| 守秘義務リスク | 高(顧客の明示同意が必要) | 低(外部送信なし) |
| データ学習への利用 | 契約プランによる(無料版は学習に使われる場合あり) | なし |
| 初期コスト | 低(月額1,000円~数万円) | 中(サーバー購入・設定費用20万~40万円程度) |
| 月次ランニングコスト | 継続的な月額費用 | 電気代のみ(月数百円程度) |
| 顧問先への説明義務 | 同意書の取得が必要 | 最小限(社内処理のため) |
| 税理士会指針との整合 | 要確認・顧客同意が前提 | 整合しやすい |
| 回答品質 | 高(大規模モデル) | 中(用途に合わせたモデル選択が必要) |
| インターネット接続 | 必須 | 不要(オフライン運用可) |
守秘義務を最優先に考えると、情報を外に出さない社内専用AI(ローカルLLM)が最も安全な選択肢です。顧問先の氏名・売上・資産情報を含む文書をそのまま入力しても、データは事務所内で完結し、外部に送信されません。通信障害やサービス停止の影響も受けないため、業務の安定性という観点でも優れています。
ただし、社内専用AIは初期設定のコストと手間がかかります。現実的な移行パスとしては、「クラウド型AIは個人情報を含まない業務(文書構成の検討・社内マニュアル作成・税務情報の一般的な調査)にのみ使い、顧問先情報を含む業務には社内専用AIを使う」という役割分担が有効です。すぐに社内専用AIを導入できない場合でも、この役割分担の方針だけは先に決めておくことで、スタッフの無断利用を防ぐルールが作りやすくなります。
導入前に確認すべき守秘義務チェック項目10選
以下のチェック項目を全て確認してから生成AIの業務利用を開始してください。特に①④⑥は、1項目でも欠けていると守秘義務リスクが直接残ります。これらは「いつかやろう」ではなく、業務利用を開始する当日までに整備することを徹底してください。
・① AI利用ポリシーの文書化: 「どの業務にAIを使ってよいか」「どの情報を入力禁止とするか」を事務所ルールとして文書に落とし込んでいるか。口頭での周知は証跡が残らず、インシデント発生時に所長の管理責任が問われる原因になります。
・② スタッフへの周知徹底と署名取得: 全スタッフがAI利用ポリシーを読んで理解し、署名済みであるか。署名は「知らなかった」という言い訳を防ぐ唯一の証跡です。
・③ 顧問先への同意取得(クラウド型AI利用時): クラウドサービスに顧問先の情報を入力する場合、顧問先から書面またはメールで同意を得ているか。同意なしの入力は税理士法第38条違反のリスクがあります。
・④ 入力禁止情報の明文化: 会社名・代表者名・口座情報・税務調査の内容・財産評価の詳細等、入力を禁じる情報を具体的にリスト化しているか。「機密情報は入力しない」という抽象的なルールでは、スタッフが判断に迷います。
・⑤ 匿名化・仮名化ルールの標準化: 固有名詞をどのように置き換えるか(例:「株式会社○○」→「顧問先A社」、代表者名→「代表者X氏」)のルールが全スタッフで統一されているか。
・⑥ AI提供会社の利用規約・データ管理方針の確認: 使用するAIサービスがデータを学習に使用するかどうか、法人向けプランの守秘条項を実際に確認しているか。規約は改定されることがあるため、半年に1回以上の確認も必要です。
・⑦ アクセス権限の管理: AIツールにアクセスできるスタッフを役職・業務範囲に応じて限定し、権限管理が適切に機能しているか。全スタッフに無制限のアクセスを付与することは避けてください。
・⑧ AIが生成した文書の保存・廃棄ルール: AIが生成した文書を保存する場所・期間・廃棄方法が定まっているか。クラウドストレージに無秩序に保存すると、別のセキュリティリスクが生じます。
・⑨ インシデント対応手順の整備: 誤って顧客情報を入力した場合の対応フロー(誰に報告するか、AI提供会社への通知要否、顧客への通知基準)が決まっているか。
・⑩ 定期的な見直し体制の確立: AI利用ポリシーを半年に1回以上見直す担当者と日程が決まっているか。生成AI技術と関連規制は変化が速く、一度作ったポリシーを放置すると陳腐化します。
10項目のうち、まず①④⑥の3項目から着手することを推奨します。この3項目を整備するだけで、スタッフの不注意による守秘義務違反の大半を防げます。①のポリシー文書作成には半日、④の入力禁止情報リスト作成には1~2時間、⑥の利用規約確認には30分程度が目安です。合計でも1日以内に完了できる作業量です。
業務フロー別 守秘義務を守りながら生成AIを使う具体的な手順
実務では「守秘義務を守れるなら使いたい」という声が多い業務が3つあります。それぞれの安全な使い方と、導入前後のBefore/Afterを示します。
1. 申告書類のドラフト・添付書類の作成
Before(AI未導入時): 担当者が税務通達を調べながら1件あたり2~3時間かけて文章を作成。誤字や用語ブレが多く、確認作業が別途1時間程度必要になっていた。繁忙期には残業が増え、スタッフの疲弊が課題だった。
After(社内専用AI導入後): 「相続税申告書に添付する財産目録の説明文の構成案を出して。財産は不動産・金融資産・保険の3種類」と指示すると、30秒以内に構成案と文例が返ってくる。担当者が固有の数字と顧問先の実名を埋める形で完成させるため、AI入力段階では個人情報が含まれない。作業時間が2.5時間→50分に短縮。年間処理件数が同じ人員で120件から180件に拡大した事務所も出ています。
ポイントは「AIには構成と文章パターンを出させ、数字・固有名詞は人間が追記する」という役割分担です。この形式であれば、クラウド型AIを使う場合でも守秘義務リスクを最小化できます。
2. 顧問先への月次報告書・経営改善提案書の作成
Before: 月次報告書の文章パートは担当者が毎月ゼロから書いていた。「先月と内容がほぼ同じ」という繰り返し作業に時間を取られ、1件あたり30分以上かかっていた。内容も担当者によってばらつきがあった。
After: 「売上前期比110%・原価率が2ポイント上昇・営業利益は微減のケースで、社長向けの改善提案文を3パターン書いて。業種は飲食業」という形で、会社名を含まずに数字と属性のみを入力する。AIが3パターンの提案文を生成し、担当者が最適なものを選んで顧問先名を補記する。文章作成時間が1件30分→5分。月次報告書を全顧問先に出せるようになり、顧問継続率が改善した事務所もあります。
3. 税務調査対応資料の法令調査・反論文書の構成
税務調査は守秘義務の観点でも最もリスクが高い業務です。調査対応メモ・修正申告の検討資料には顧問先の実名・詳細数字が含まれます。クラウド型AIへの入力は原則として避けるべき領域です。
この業務では社内専用AIを使うか、クラウド型AIを使う場合は「法令調査のみ」に限定することを推奨します。「相続財産の評価で税務署から棚卸資産の評価差額を指摘された場合の反論に使える判例・通達を列挙して」という問い合わせは、固有情報を含まずに法令情報を引き出せます。固有の事実関係と数字を盛り込んだ文書は、社内専用AIのみで処理します。この使い分けを徹底することで、守秘義務リスクを負うことなく調査対応の効率を大幅に高められます。
よくある質問
Q1. 顧問先の同意があれば、クラウド型AIに申告情報を入力してよいですか?
顧問先の同意を得ていることは重要な前提ですが、それだけで十分とは言えません。税理士法第38条の守秘義務は、顧問先の同意があっても「正当な理由」が必要と解釈されます。同意を得た上で、AIサービスの利用規約・データ管理方針を確認し、情報が学習に使われない企業向けプランを選択することが最低限の対応です。また、顧問先の同意を「口頭」で得るだけでは証跡が残りません。メールや書面での確認を徹底してください。
Q2. ChatGPTの「プライバシー設定でデータ学習をオフ」にすれば守秘義務は守れますか?
学習オフ設定は一定の効果がありますが、「情報がOpenAIのサーバーに送信されていない」わけではありません。送信は発生しており、OpenAIのプライバシーポリシーや利用規約に基づいて処理されます。守秘義務の観点では「送信そのもの」をリスクとして評価する必要があります。確実にリスクをゼロにしたい場合は社内専用AIを選択してください。なお、学習オフ設定はアカウントごとの設定であるため、スタッフが個人アカウントで使用する場合は設定が反映されないこともあります。
Q3. 事務所内のPCにAIをインストールすれば外部送信はゼロになりますか?
PCにインストールする小規模モデルも存在しますが、処理能力と回答品質はクラウド型AIに劣る場合があります。また、PCのスペックが低いと応答に数分かかることもあります。実用的な精度を維持しつつ守秘義務を守るためには、事務所内ネットワークに設置した専用サーバーで動かす社内専用AIが現実的です。初期費用の目安はサーバー機器と設定費用を合わせて20万~40万円程度です(執筆時点2026年6月時点)。小規模な税理士事務所であれば、3年間のトータルコストはクラウド型AIの法人プランと同程度かそれ以下に収まることが多いです。
Q4. AI利用ポリシーは日本税理士会連合会の指針に沿って作ればよいですか?
日本税理士会連合会の「税理士業務における生成AI利用に関する指針」(2024年策定)を基準にすることを推奨します。ただし、指針はあくまで最低水準を示したものです。事務所の規模・顧問先の業種・使用するAIサービスに応じて、より厳しい社内ルールを追加してください。指針の改定状況も定期的に確認する体制を整えておくことが重要です。指針は税理士会のウェブサイトで公開されており、会員であれば無料でダウンロードできます。
Q5. スタッフが無断でAIを使っていた場合、所長に責任はありますか?
管理監督責任の観点から、所長(税理士)に責任が及ぶ可能性があります。スタッフが業務中に使用するツールに関するポリシーを整備・周知していなかったと判断された場合、懲戒処分・損害賠償の対象になり得ます。特に顧問先から損害賠償請求がなされた場合は、「ポリシーを整備していたか」「スタッフへの周知が証明できるか」が争点になります。AI利用ポリシーの文書化とスタッフへの署名取得は、所長自身を守る防衛手段です。
本記事のまとめ
税理士事務所が生成AIを業務利用する際の守秘義務チェック項目を整理すると、以下の3点が核心です。
・クラウド型AIへの顧客情報入力は、顧問先の同意取得・AIサービスの利用規約確認・企業向けプランの選択の3点がセット: どれか1つ欠けても守秘義務リスクが残ります。これらを揃えることが、クラウド型AI利用の最低条件です。
・守秘義務リスクをゼロにしたいなら社内専用AIが最善策: 初期コストはかかりますが、情報が外部に出ないため顧問先への説明負担も最小化できます。3年コストで見ると、クラウド型の法人プランと同等以下になることも多いです。
・AI利用ポリシーの文書化とスタッフへの署名取得が所長を守る: 無断利用によるインシデントが発生した際、ポリシー不備として所長の責任に問われます。「やっていた」ではなく「証明できる」状態にしておくことが重要です。
生成AIは、申告書ドラフトや提案書作成の時間を半分以下に短縮できる実用的なツールです。守秘義務を守りながら活用するためには、「何をAIに入力しないか」のルールを先に決め、そのルールを前提にどのAIを使うかを選ぶ順序が重要です。ツールから選び始めると、ルールが後付けになり守秘義務リスクが生じやすくなります。
社内専用AIの導入方法や、守秘義務に配慮したAI活用ポリシーの設計について、個別のご相談を承っています。事務所の規模・顧問先の業種・スタッフ数に応じた具体的な導入ステップをご提案します。
