法律事務所で生成AIを業務に取り入れたいが、依頼人情報の守秘義務が壁になっていると感じていませんか。ChatGPTなどのクラウド型AIを使うと、送信した文書がサービス提供者のサーバーを経由するため、弁護士法第23条が定める秘密保持義務と抵触するリスクが生じます。
この記事では、法律事務所が生成AIを導入する際に守秘義務と両立できるルールの作り方を、手順・ツール選定・事務所内規程の文書化まで体系的に解説します。比較表とチェックリストも用意しましたので、今日から実践できます。
法律事務所の守秘義務と生成AI利用の関係
弁護士は弁護士法第23条に基づき、依頼人の秘密を守る義務を負います。この義務は職業倫理の中核であり、依頼人との信頼関係の根拠です。仮に依頼人情報が外部に漏洩した場合、訴訟上の不利益だけでなく、懲戒処分・事務所の社会的信用失墜という経営リスクに直結します。
生成AIを業務で使う場合、大きく2つの経路に分かれます。一つは「クラウド型AI」、もう一つは「情報を外に出さない社内専用AI(ローカルLLM)」です。
クラウド型AIはインターネット経由でサービス提供者のサーバーに入力内容を送信します。利用規約でデータ学習への使用を除外するオプトアウト設定があるサービスも増えていますが、通信経路上のリスクや、サービス側のシステム障害・情報管理体制の変更といった外部要因に左右されるという構造的なリスクがあります。
社内専用AIは、自社サーバー内でAIモデルを動作させるため、入力情報がインターネット上に送信されることがありません。依頼人情報が外部ネットワークに出ない設計にできるため、守秘義務の観点では最も安全な選択肢です。
法律事務所として守秘義務遵守ルールを作る際は、まず「どのツールをどの業務に使うか」という前提条件を固めることが出発点になります。ツールと業務の組み合わせが決まって初めて、規程の内容が具体化できます。
なお、弁護士法人も弁護士個人と同様に守秘義務を負います。複数の弁護士が在籍する法人では、情報管理の統制がより複雑になるため、本記事のルールは個人事務所・法人どちらにも適用可能な設計にしています。
生成AI導入で法律事務所が直面する3つのリスク
1. 情報送信リスク
クラウド型AIに訴状・契約書・相談メモ等を貼り付けると、その内容がサービス提供者のサーバーを経由します。日本の法律事務所が海外サービスを利用する場合、データが海外のサーバーに保存される可能性もあります。
具体例として、「和解交渉中の依頼人の主張内容をChatGPTに要約させた」という操作だけで、弁護士法上の守秘義務違反に問われる可能性があります。日本弁護士連合会(日弁連)の各種指針でも、クラウドサービスへの機密情報入力には慎重な対応を求めています(最新情報は日弁連公式サイトを確認してください)。
リスクの大きさは「誰の情報か」ではなく「依頼人を特定できる情報かどうか」で判断します。たとえ匿名に見える情報でも、案件番号・職業・事件の概要が組み合わさると依頼人を特定できる場合があるため注意が必要です。
2. ハルシネーション(誤情報生成)リスク
生成AIは確率的にテキストを生成するため、法律条文や判例を誤って引用する「ハルシネーション(もっともらしい嘘)」が発生します。弁護士が生成AI出力を無検証のまま書面に転記した場合、依頼人への誤った法的アドバイス・裁判所への誤記載という重大な過失につながります。
Before(確認プロセスなし): 書面作成に1人が3時間費やすところを、生成AIで草稿を30分で作成。しかし内容確認を省略したため判例引用誤りが書面に残り、相手方に指摘されて書面撤回・再提出が必要になった(追加3時間+依頼人からの信頼低下)。
After(確認プロセスあり): 生成AIで草稿を30分で作成し、担当弁護士が20分かけて法令・判例の正確性を確認・修正。合計50分で書面完成(従来比3時間→50分に短縮、精度は人手確認で担保)。
つまり、「確認プロセスなしの生成AI利用」は時間短縮どころか逆効果になるリスクがあります。生成AI活用のルールには必ず「人による最終確認」を組み込んでください。
3. シャドーAIリスク
所長が生成AIポリシーを明示しないまま運用を放置すると、職員がそれぞれの判断でChatGPTやその他の無料AIサービスを使い始めます。これは「シャドーAI」と呼ばれる状態です。
事務所が把握していないツールで依頼人情報が処理されていた場合、問題発覚時に所長も管理責任を問われます。特に事務スタッフ・パートタイム職員が「業務効率化のために」と善意で使い始めるケースが多く、悪意のない違反が実態として発生しています。
2026年以降、生成AI起因の情報漏洩事案では監督義務違反が論点になるケースが増えています。所長がルールを作り周知する義務は、法的リスク管理の観点から年々重要性が高まっています。
守秘義務遵守ルールを作る4ステップ
1. 使ってよい業務・使ってはいけない業務の分類
最初に「使ってよい業務リスト」と「使ってはいけない業務リスト」を明文化します。クラウド型AIを使う場合と社内専用AIを使う場合で許容範囲が変わるため、ツールと業務を組み合わせた形でリストを作ることが重要です。
【クラウド型AIで使ってよい業務の例(依頼人情報を一切含まない条件下)】
・法令調査・リサーチ補助: 公知の法律・判例に関する一般的な調査補助
・内部マニュアル作成: 事務所内の運用マニュアル・FAQ・研修資料の草稿作成
・請求書・一般的な定型文: 依頼人情報を含まないひな形作成
・セミナー・研修用教材の草稿: 外部向けの教育コンテンツ(事案情報なし)
【クラウド型AIで使ってはいけない業務の例】
・依頼人情報を含む文書の入力: 訴状・意見書・相談メモなど依頼人を特定できる情報を含むもの
・相手方情報を含む交渉資料: 交渉相手の主張や個人情報を含む内容
・証拠書類の要約・文字起こし: 依頼案件の証拠書類・録音内容
・機密性の高い契約書の審査: 依頼人の事業上の機密を含む契約書レビュー
・刑事事件の事実関係整理: 被疑者・被告人の供述内容や事件概要
この分類を「AI利用ガイドライン」として1枚の文書にまとめ、事務所全員が参照できる場所(共有フォルダやイントラネット)に掲示します。A4 1枚に収まる形式にすることで、日常業務での参照コストを下げられます。
2. 利用ツールの選定基準
ツール選定は守秘義務対応の核心です。以下の3段階で評価します。
【第1評価:データがどこに送信されるか】
クラウド型AIは入力データがインターネットを経由します。対して社内専用AIは自社サーバー内で完結します。法律事務所として依頼人情報を扱う業務に生成AIを使う場合、社内専用AIが原則です。サーバーは社内のLANに設置し、インターネットに接続しない設計が最も安全です。
【第2評価:データ学習オプトアウトが実装されているか】
どうしてもクラウド型AIを使う業務がある場合(依頼人情報を一切含まない法令リサーチ等)、入力データをモデル学習に使用しないオプトアウト設定が確実に有効になっているかを確認します。ChatGPTの場合は有料プランのエンタープライズ契約またはAPI利用でオプトアウトが可能です(執筆時点:2026年6月時点)。設定の有効性はアカウント管理画面で定期的に確認してください。
【第3評価:サービス提供者との守秘義務契約(NDA)が締結できるか】
法人契約の場合、サービス提供者と機密保持契約を締結できるかどうかを確認します。大手クラウドAIサービスの一部は法人向けのデータ処理補遺(DPA)を提供しています。法律事務所として、このDPAの内容が守秘義務遵守に十分かどうかを確認することが重要です。
3. 社内規程の文書化
口頭のルールは守られません。「生成AI利用規程」を文書として作成し、全職員が署名する形で周知します。規程に含める最低限の項目は以下の5点です。
・目的と適用範囲: この規程が誰に・どの業務に適用されるかを明記
・禁止行為の具体的列挙: 依頼人情報を含む入力の禁止を文言で明示
・使用承認ツールの一覧: 事務所が承認したAIツールとその設定条件
・違反時の対応: 違反を発見した場合の報告フローと所長への連絡手順
・規程の見直しタイミング: 最低年1回の見直しと改定履歴の記録
規程は既存の情報セキュリティポリシーと紐付けて管理します。ISO/IEC 27001認証を取得している事務所では、同認証の管理策に組み込む形が効率的です。また、弁護士職務基本規程との整合性も確認してください。
文書化したルールは「いつ・誰が・何に・どんな設定で」使ったかを記録する台帳と組み合わせると、監査やトラブル発生時の調査が容易になります。
4. 職員研修と運用の定着化
文書化したルールを実際の行動に落とし込むのが研修です。研修は「知識付与」と「行動確認」の2段階で設計します。
【知識付与(60分)】
・生成AIの仕組みと守秘義務リスクの説明(実例付き)
・事務所の利用ガイドラインの読み合わせ
・OKシナリオ・NGシナリオの演習(依頼人情報を含む文書をクラウドAIに入力してしまった場合の事例等)
【行動確認(四半期ごと)】
・職員から「この使い方はOKか?」という質問を収集する機会を設ける
・問い合わせ対応でルール不明確な点を発見したらガイドラインを即更新
・年1回の規程見直しに職員の意見を反映する
研修後は「生成AI利用誓約書」に署名を取り、人事ファイルに保管します。新規採用者は入所時の研修に組み込むことで、抜け漏れを防ぎます。アルバイト・パートタイム職員も適用対象に含めることを明記してください。
比較表:クラウド型AI vs 社内専用AIの守秘義務対応力
法律事務所が検討する主な選択肢の特徴を比較します。
| 比較項目 | クラウド型AI(ChatGPT等) | 社内専用AI(自社サーバー内) |
|---|---|---|
| データの送信先 | インターネット経由でサービス提供者のサーバー | 自社サーバー内で完結(外部に出ない) |
| 守秘義務リスク | 高(依頼人情報入力は原則NG) | 低(自社管理のためリスクを自社でコントロール可) |
| 導入コスト | 低(月額2,000円~数万円程度) | 中(サーバー機器+初期設定費用、月額ランニング費は低い) |
| AIモデルの性能 | 高(最新モデルをすぐ利用可能) | 中~高(モデルの定期更新は要対応) |
| オフライン利用 | 不可(インターネット必須) | 可(社内LAN内で動作) |
| 法人契約・NDA | エンタープライズプランで対応可(費用増) | 不要(自社管理のため) |
| 依頼人情報の処理 | 原則不可。一部プランでオプトアウト設定要 | 設計次第で可能(ネットワーク分離推奨) |
| 初期運用の難易度 | 低(アカウント作成ですぐ使える) | 中(IT支援者のサポートが推奨) |
| 3年間の総所有コスト(5名事務所試算) | 約36万円~120万円(プランによる) | 約50万円~80万円(機器20万円+設定・保守) |
法律事務所として依頼人情報を扱う業務に生成AIを使うのであれば、社内専用AIの導入が守秘義務対応上の確実な選択です。まず法令リサーチや内部文書作成にクラウド型AIを試験導入しながら、依頼人情報を扱う業務は社内専用AIへ段階的に移行するロードマップが現実的です。
なお、試算は執筆時点(2026年6月時点)の参考値であり、機器・サービス価格は変動します。
よくある質問
Q. 弁護士法人でもこのルールは適用されますか?
A. はい。弁護士法人も弁護士個人と同様に守秘義務を負います。複数の弁護士が在籍する場合、情報管理の統制がより重要になります。本記事のルールは弁護士個人・法人双方に適用可能です。
Q. ChatGPTの有料プラン(Team・Enterprise)を使えば守秘義務の問題はなくなりますか?
A. Team・Enterpriseプランではデータ学習のオプトアウト設定が可能ですが、入力データがサービス提供者のサーバーを経由することは変わりません。依頼人情報の入力リスクが完全に消えるわけではないため、事務所内のルールとして「依頼人情報の入力可否」を改めて定める必要があります。企業向け契約ではデータ処理補遺(DPA)の締結も合わせて検討してください。
Q. 社内専用AIを導入するのに、どの程度の費用がかかりますか?
A. 弁護士事務所の規模(5名~20名程度)であれば、社内専用AIを動かす専用サーバー機器が20万円前後、初期設定・ITサポート費用が10万円前後が目安です(執筆時点:2026年6月時点。機器・サービス価格は変動します)。月次ランニングコストは電気代と保守費で月1万円~2万円程度です。クラウド型AIの法人契約(月数万円)と3年で比較すると、社内専用AIのほうがトータルコストが抑えられるケースが多いです。
Q. 規程を作っても職員が守らない場合はどうすればよいですか?
A. まず規程を「知っていること」と「守れること」を分けて考えます。知識研修を行っても職員が判断に迷う場面があれば、ガイドラインが不明確な可能性があります。FAQ形式で「この場合はOK・NGどちらか」を具体例で補足すると遵守率が上がります。繰り返し違反がある場合は懲罰規定の整備も検討してください。
Q. 日弁連や各弁護士会からの公式見解はありますか?
A. 2024年以降、複数の弁護士会が生成AI利用に関する指針や注意喚起を発表しています(執筆時点:2026年6月時点)。最新の動向は各都道府県弁護士会・日弁連の公式サイトを定期的に確認してください。本記事の内容は一般的なガイダンスであり、法的アドバイスに代わるものではありません。
Q. 既存の情報セキュリティポリシーがあれば、AI利用規程は不要ですか?
A. 既存の情報セキュリティポリシーに「生成AIの利用に関する条項」が含まれていない場合は、別途AI利用規程を作成するか、既存ポリシーに追記することを推奨します。生成AI特有のリスク(ハルシネーション・オプトアウト設定・外部送信リスク)は従来の情報セキュリティポリシーでは網羅されていないことが多いためです。
生成AI導入前チェックリスト
法律事務所が生成AI導入を進める前に、以下の項目を確認してください。全項目にチェックが入ったら、最低限の体制が整ったと判断できます。
・守秘義務対象業務の洗い出し: 事務所で扱う業務のうち、依頼人情報を含む業務を全件リストアップしているか
・利用ツールの選定完了: クラウド型AI・社内専用AIのどちらを、どの業務に使うかを決定しているか
・AI利用ガイドラインの文書化: 「使ってよい業務・使ってはいけない業務」を明記した文書を作成しているか
・オプトアウト設定の確認: クラウド型AIを使用する場合、データ学習オプトアウト設定が有効になっていることを確認しているか
・職員全員への周知: 全職員(アルバイト・パートを含む)にガイドラインを説明し、理解を確認しているか
・誓約書の取得: 職員から「生成AI利用誓約書」に署名を取り、人事ファイルに保管しているか
・違反時の報告フロー確立: ルール違反を発見した場合の報告先と対応手順を明確にしているか
・規程の見直しスケジュール設定: 年1回以上の定期見直しを担当者とともにスケジュールに組み込んでいるか
・ハルシネーション対策: 生成AI出力を最終確認なしに書面や依頼人への回答に使わないことをルール化しているか
・記録保管: AIを使って作成した文書に「AI使用」のメモを残し、確認者が誰かを記録しているか
まとめ
法律事務所が生成AIを守秘義務と両立させて活用するには、ツール選定・業務分類・社内規程の文書化・職員研修という4つのステップを体系的に整備することが不可欠です。
クラウド型AIは依頼人情報をインターネット経由で送信するリスクがあるため、守秘義務を負う業務には社内専用AIが安全な選択です。まず法令リサーチや内部文書作成でクラウド型AIを試験導入し、依頼人情報を扱う業務は段階的に社内専用AIへ移行するアプローチを取ることで、リスクを最小化しながら業務効率化の恩恵を受けられます。
「ルールを作らずに放置する」ことが最大のリスクです。まず1枚の「AI利用ガイドライン」を作ることから始めてください。
—
イーネットマーキュリーでは、法律事務所・士業事務所向けの社内専用AI導入支援を行っています。守秘義務対応・ネットワーク設計・職員研修まで一括でサポートします。まずはお気軽にご相談ください。
