税理士法第38条と生成AI:顧問先情報を扱う際の境界線

税理士として顧問先の財務情報を生成AIで処理したい——そう考えつつも、「これは税理士法第38条に違反しないか?」と立ち止まった経験はないでしょうか。

守秘義務は税理士の信頼の根幹です。しかし、法条文の解釈を誤ると、便利なはずのAIツールが致命的なコンプライアンス違反を招きます。

この記事では、税理士法第38条の法的意味を正確に整理したうえで、生成AIを業務に使う際に「どこまでが許容範囲か」「何をしたら違反になるか」の境界線を解説します。具体的な対策とチェックリストも掲載しますので、事務所のAI活用方針策定にそのままお使いください。

目次

税理士法第38条とは何か?守秘義務の法的根拠と罰則

税理士法第38条は「税理士の守秘義務」を定めた条文です。条文には次のように規定されています。

「税理士は、正当な理由がない限り、税理士業務に関して知り得た秘密を漏らし、または窃用してはならない。税理士でなくなった後においても、同様とする。」

「秘密」の対象は非常に広く、顧問先の決算書・仕訳データ・売掛金・融資残高・社員給与・経営者の個人所得・資産状況など、業務遂行の中で知り得た一切の情報が該当します。

違反した場合の罰則は重大です。同法第59条により「2年以下の懲役または100万円以下の罰金」が科されます。日本税理士会連合会の倫理規程においても厳格な遵守が求められており、懲戒処分(業務停止・登録抹消)の対象にもなりえます。

重要なのは「窃用」という概念です。漏洩だけでなく、正当な目的の範囲を超えて業務外で使用することも禁じられています。つまり、データを「外部に送信しなかった」というだけでは守秘義務を守ったことにはなりません。顧問先情報を第三者のサーバーで処理させること自体が「窃用」に該当する可能性があります。

もう一点、第38条の守秘義務は業務終了後も継続する点を把握しておく必要があります。顧問契約が終わった後の顧問先情報も、生涯にわたって秘密保持の義務を負います。

この法的背景を踏まえて、次章では生成AIを使う際に違反リスクが生じる具体的なシナリオを整理します。なお本記事での情報は執筆時点(2026年4月時点)のものであり、法改正や行政解釈の変更が生じた場合はその時点の規定が優先されます。

生成AIが守秘義務違反に問われる3つのシナリオ

生成AIを業務に導入する際、税理士が陥りやすいリスクシナリオは主に3つです。それぞれの状況と問題点を具体的に解説します。

シナリオ1:クラウド型AIへの顧問先データの直接入力

最も多い違反リスクは、ChatGPTなどのクラウド型AIサービスに顧問先の情報をそのまま貼り付けて質問するケースです。

たとえば、「A社の仕訳データを見てください。損金算入できるか確認して」「○○社長の給与明細をもとに節税対策を提案して」などのプロンプトを入力すると、顧問先の財務データが米国等の外部サーバーに送信されます。送信されたデータはサービス改善に使われる可能性があり、第三者サーバーで処理される以上、「漏洩」と見なされるリスクが生じます。

企業向けプランで「データ学習をオフ」に設定していたとしても、米国の事業者サーバーにデータが渡る点は変わりません。このことを「正当な理由」とはいえないのが現状です。年間数十万円を支払っているプレミアムプランであっても、守秘義務のリスクは完全には解消されません。

シナリオ2:個人情報を含む書類をAIにOCR・要約させる

顧問先から受け取った紙の資料をスキャンし、クラウド型AIに「読み取り・要約」させるケースも危険です。OCR処理のために画像データがサーバーに送信されます。

また、AI機能を組み込んだ会計ソフトが自動仕訳や財務分析をクラウドで処理する場合も、データの流通経路を確認しなければなりません。会計ソフトベンダーとの契約書に「データ取扱い条項」が明記されているかを確認する必要があります。「便利だから使っている」というだけでは、守秘義務の観点から不十分です。

シナリオ3:事務所スタッフがシャドーAIを使用する

所長が「AIの業務利用禁止」と伝えていても、スタッフが個人のスマートフォンやPCで無料版AIサービスを使って業務を処理するケースがあります。これを「シャドーAI」と呼びます。

シャドーAIは発覚しにくく、情報漏洩が起きた場合、事務所全体の責任問題に発展します。所長が把握・管理していなかったことは免責事由にはなりません。事務所として明確なAIポリシーを策定・周知することが、リスク回避の第一歩です。スタッフが「禁止されているとは知らなかった」「便利だったのでつい使ってしまった」という状況を防ぐには、ルールの文書化と定期的な教育が欠かせません。

税理士法第38条と生成AI:顧問先情報を扱う際の境界線 — 関連イメージ1

守秘義務を守りながら生成AIを活用する4つのステップ

違反リスクを把握した上で、適切な手順を踏めば生成AIは大きな業務効率化ツールになります。以下の4ステップを参考にしてください。

ステップ1:使用AIのデータポリシーを確認する

まず、導入を検討しているAIサービスのデータ取扱い規約を精査します。確認すべき項目は次の通りです。

学習利用の可否: 入力データがモデル改善に使われるか(企業プランで無効化できるか)
データ保存期間: 入力データがサーバーに残る期間と削除ポリシー
データ処理地域: サーバーが日本国内か米国か(準拠法と責任範囲に影響)
秘密保持契約(NDA): ベンダーとのNDA締結が可能かどうか

クラウド型AIでも、法人向けプランではデータ保護の条件が強化されているケースがあります。ただし、外部サーバーにデータが渡る構造は変わらないため、守秘義務の観点からリスクゼロにはなりません。規約の読み込みに時間をかけず、日本税理士会連合会の相談窓口や信頼できる弁護士に確認することも選択肢の一つです。

ステップ2:匿名化・仮名化のルールを策定する

クラウドAIを補助的に使う場面では、個人・法人を特定できる情報を除去した上で入力するルールが有効です。

Before(違反リスクあり):「○○株式会社の2025年3月期の売上は1億2千万円で、営業利益率は3%です。節税策を提案してください」
After(匿名化後):「ある中小製造業の売上が1億2千万円、営業利益率が3%の場合、考えられる合法的な節税策を列挙してください」

顧客名・住所・代表者名・法人番号などを「A社」「B氏」等に置換するルールを事務所内で統一します。ただし、この方法は完全ではなく、複数情報の組み合わせで再識別が可能な場合もあります。匿名化はあくまで「補助的なリスク低減手段」と位置づけ、過信は禁物です。

ステップ3:社内専用AIの導入を検討する

最も根本的な解決策は、データが外部に出ない「情報を外に出さない社内専用AI(ローカルLLM)」の導入です。社内ネットワーク内だけで動作するAIサーバーを構築すれば、顧問先の財務データをそのまま処理しても、データが外部サーバーに送信されることはありません。

2025~2026年時点では、LlamaやQwen系のオープンソースAIモデルを自社サーバーで動かす選択肢が現実的なコストで実現できます。社内専用AIの初期費用は機器費用と構築費を合わせて50万~150万円が目安です。クラウドAIの月額サービス費(スタッフ5名で月10万円想定)と比較した場合、15カ月~25カ月で回収できる計算です。

税理士事務所にとっての最大のメリットは、「顧問先情報をそのまま処理できる」安心感です。月次決算データ・申告書・給与台帳をAIに読み込ませて要約・分析を依頼しても、データが外部に漏れる経路が存在しません。

ステップ4:事務所内のAIポリシーを文書化する

どのAIツールをどの業務に使ってよいか、スタッフが迷わないよう明文化します。文書には次の内容を含めてください。

使用許可ツール一覧: 事務所が承認したAIツールのリストと利用条件
入力禁止情報のリスト: 顧客名・法人番号・財務数値等の具体例を列挙
匿名化手順: 置換ルールのサンプルを含む実際の操作手順
違反時の報告フロー: 誰に報告し、どのような対応を取るか
定期見直し時期: 半年ごとのポリシー更新サイクルと担当者

このポリシー文書は、日本税理士会連合会の倫理研修資料とあわせて、スタッフ全員への周知と署名取得まで実施することを推奨します。署名があることで「知らなかった」という言い訳を防ぎ、組織としての管理責任を証明する証跡にもなります。

クラウドAI vs 社内専用AI:税理士事務所向け比較表

事務所の規模・IT担当の有無・予算によって最適な選択は異なります。以下の比較表を参考に判断してください。

比較項目 クラウド型AI(ChatGPT等) 社内専用AI(社内専用AI)
データの流通先 外部サーバー(米国等) 自社ネットワーク内のみ
守秘義務リスク 高い(外部送信が発生) 低い(外部送信なし)
初期費用 ほぼゼロ(月額課金) 50万~150万円程度
月額ランニングコスト 1人あたり3,000円~20,000円 電気代のみ(月数千円)
3年総コスト(5名想定) 180万円~360万円 50万~200万円(回収可能)
導入難易度 低い(アカウント登録のみ) 高い(専門的な構築支援が必要)
AI性能 最新モデル(GPT-4o等)が使える オープンソースモデル依存(性能は一定劣る)
顧問先情報の直接入力 規約上のリスクあり・推奨されない 問題なし(データが外に出ない)
シャドーAI発生リスク 高い(個人利用が発生しやすい) 低い(管理者が全アクセスを把握できる)
コンプライアンス対応 ポリシー策定で一定緩和・完全ではない 構造的にリスクをほぼゼロに近づけられる

「まずクラウドAIを匿名化ルール下で試用し、段階的に社内専用AIへ移行する」という2段階アプローチを取る事務所が増えています。最初から完璧なシステムを目指すより、現状で安全に使える範囲から始めて段階的に整備していく考え方が現実的です。

税理士法第38条と生成AI:顧問先情報を扱う際の境界線 — 関連イメージ2

よくある質問

Q1. 企業向けChatGPT(法人プラン)であれば守秘義務違反にならないのでしょうか?

法人プランでは「入力データを学習に使わない」という条件を設定できますが、データが米国のサーバーに送信される点は変わりません。税理士法第38条は「第三者への漏洩」を禁じており、外部サーバーへの送信がこれに該当するかどうかは法的にグレーゾーンです。日本税理士会連合会は2024年時点で「慎重な運用を推奨」という立場を取っており、法人プランだから完全に安全とは言い切れない状況です。守秘義務を完全に満たすには、データが外部に出ない社内専用AIが最も確実な選択です。

Q2. 顧客の同意を取れば、クラウドAIに情報を入力しても問題ないですか?

税理士法第38条は「正当な理由があれば」守秘義務が解除されると定めています。顧問先からの明示的な同意書があれば、一定の法的根拠になりえます。ただし、AIサービスプロバイダーのデータ取扱い方針(送信先・保存期間・再利用等)を顧問先に十分説明したうえで同意を得なければ、有効な同意とは言えません。実務的には、同意書のひな型を弁護士に確認してから使用することを推奨します。

Q3. AI文書要約ツールを使って申告書の下書きをチェックしてもらうのは問題ですか?

申告書には法人番号・代表者氏名・所得金額等の守秘対象情報が多数含まれます。これをそのままクラウドAIに送信することは前述のシナリオ2と同様のリスクがあります。匿名化が難しい書類については、社内専用AIでの処理か、AIを使わない従来手順の継続を検討してください。申告書チェックの効率化を目的とした社内専用AIシステムの構築も有力な選択肢です。

Q4. スタッフがAIを使っていないか確認するにはどうすればよいですか?

技術的な方法としては、事務所のネットワーク内でWebフィルタリングを実施し、未承認AIサービスへのアクセスをブロックする方法があります。ただし、スタッフが個人のスマートフォンで4G/5G回線を使えば迂回できます。技術的な制御と並行して、AIポリシーの重要性と違反した場合の結果(懲戒・法的責任の可能性)を定期的に教育・周知することが根本的な対策です。

Q5. 生成AIを使う事務所と使わない事務所で、競争力に差が出ますか?

差は出ます。議事録自動作成・メール下書き・税制改正の要点整理など、守秘義務が問われない業務に生成AIを活用するだけで、1人あたり月10~20時間の業務削減が報告されています。競合事務所がAIを活用して対応件数を増やす中で、AI非活用事務所は相対的に生産性が低下します。「守秘義務があるからAIは使えない」ではなく、「守秘義務を守りながらAIを使う仕組み」を構築することが今後の競争力の鍵です。

生成AI導入前チェックリスト(税理士事務所向け)

以下の項目をすべて確認した上で、事務所のAI活用方針を確定してください。

第38条の適用範囲確認: 使用するAIサービスへのデータ送信が守秘義務の「漏洩」に該当するか、顧問弁護士または日本税理士会の相談窓口に確認した
ベンダーのデータポリシー精査: 使用予定のAIサービスのデータ取扱い規約を最新版で確認し、学習利用・保存期間・処理地域を把握している
匿名化ルールの策定: クラウドAIに入力する場合の顧客名・法人番号・財務数値の置換ルールを文書化した
使用禁止情報の明文化: AIに入力してはいけない情報の種類を具体的にリストアップし、スタッフ全員に共有した
社内AIポリシーの策定: 使用許可ツール・禁止情報・違反時の報告フローを含む文書を作成し、スタッフの署名を得た
シャドーAI対策の実施: ネットワークフィルタリングまたは定期的な教育・確認によって、未承認AIの使用を防ぐ仕組みを設けた
社内専用AIの導入検討: データを外部に出さない社内専用AIの費用対効果を試算し、導入ロードマップを検討した
顧問先への説明準備: AIを活用して業務効率化を図ることを顧問先に説明するための案内文または資料を用意した

税理士法第38条と生成AI:顧問先情報を扱う際の境界線 — 関連イメージ3

まとめ

税理士法第38条の守秘義務は、顧問先から受け取った情報を「漏らさない・窃用しない」という厳格な義務です。生成AIを業務に導入する際、この義務との整合性を確保するためには次の3点が重要です。

第一に、クラウド型AIへの顧問先情報の無断入力は守秘義務違反のリスクがあります。学習利用をオフにした企業向けプランでも、外部サーバーへのデータ送信という事実は変わりません。

第二に、匿名化ルールによってリスクを一定程度緩和できますが、完全ではありません。確実な対策は、データが外部に出ない社内専用AIの導入です。月次データや申告書をそのまま処理できる環境を整えれば、守秘義務を気にせずAIを最大限活用できます。

第三に、スタッフによるシャドーAIの利用が最大のリスク要因の一つです。技術的な制御と継続的な教育の両面で対策が必要です。

「AIを使わない」ことが守秘義務を守る唯一の方法ではありません。適切な仕組みと手順を整えれば、守秘義務を遵守しながら生成AIの業務効率化メリットを享受することが可能です。競合事務所がAIで処理件数を増やしていく中、適切なコンプライアンス体制のもとでAIを活用することが、事務所の持続的な競争力につながります。

税理士・士業向け:守秘義務を守るAI活用のご相談はこちら

「顧問先情報を外に出さずにAIを使いたい」「事務所のAIポリシーを作りたい」「社内専用AIの費用対効果を試算したい」——そのようなご相談を承っています。

株式会社イーネットマーキュリーでは、士業事務所向けのコンプライアンス対応AIポリシー策定支援と、社内専用AI構築サービスを提供しています。

無料相談フォームへ(守秘義務を守るAI活用のご相談)

<PR>この記事に関連するおすすめ書籍

これならできる!税理士のための生成AI活用アイディア23選

守秘義務を守りながら生成AIを事務所業務に取り入れたい税理士向けに、すぐ使えるプロンプトと具体的な活用アイデアを豊富に解説した一冊です。本記事の実務判断とあわせて手元に置くと役立ちます。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次