士業が顧問先データを生成AIに入力する前に知っておくべきリスク
「顧問先の決算書や就業規則をAIに読み込ませたら、もっと早く業務が終わるのでは」。税理士・社労士・行政書士など士業の先生方から、こうした声を多く聞くようになりました。生成AIは確かに文書の要約・比較・条文検索などを大幅に効率化できます。しかし、顧問先のデータを「そのまま入力する」には慎重な準備が必要です。
守秘義務・個人情報保護法・AIサービスの学習ポリシー――見落とすと取り返しのつかないリスクが潜んでいます。本記事では、士業事務所が顧問先データを生成AIに入力する前に必ず押さえるべき4つの確認観点を解説します。各観点の具体的な確認手順と、事務所規模を問わず使えるチェックリストも合わせてご確認ください。
生成AIの業務利用は「コピー&ペースト」と同じ感覚で始められるため、気づかないうちに重大なルール違反につながる場合があります。士業の場合、一般企業とは異なる次の3つのリスクが重なります。
・守秘義務違反リスク: 税理士法第38条・社会保険労務士法第21条・弁護士法第23条など、各士業法は業務上知得した秘密の保護を義務づけています。顧問先データを外部のAIサーバーに送信することが「秘密の漏洩」に相当すると解釈される可能性があります。
・個人情報保護法上のリスク: 顧問先の従業員給与データや社会保険情報は「要配慮個人情報」に該当することがあります。第三者(AIサービス提供企業)への提供には、原則として本人同意または法令に基づく根拠が必要です。
・信頼失墜リスク: 万一、顧問先情報がAIの学習データとして外部に流出した場合、事務所の信用失墜・顧問契約の喪失につながりかねません。2026年以降、ITに敏感な顧問先ほど「どのAIを使っているか」を確認するようになっています。
これら3つのリスクを整理したうえで、次の4つの観点から体系的に確認を進めることが重要です。
確認観点1:個人情報保護法と守秘義務の適用範囲
まず最初に確認すべきは「入力しようとしているデータが、どの法律の縛りを受けるか」です。
1. 個人情報保護法の対象確認
個人情報保護法でいう「個人情報」とは、生存する個人に関する情報で、氏名・生年月日・住所などによって特定の個人を識別できるものです。士業が扱う代表的なデータで個人情報に該当するものには以下が含まれます。
・従業員情報: 氏名・生年月日・住所・給与・社会保険番号・健康診断結果(要配慮個人情報)
・代表者・役員情報: 自宅住所・個人資産情報
・顧問先の取引先個人: 担当者の連絡先・取引履歴
これらをAIに入力する場合、委託契約(個人情報の取り扱い委託)の枠組みか、本人同意のどちらかが必要です。ChatGPTなどのクラウドサービスは、事業者向けのAPI利用約款でデータの取り扱い方針を定めていますが、「委託先」として安全に扱えるかの確認が前提です。
2. 守秘義務との関係
各士業法が定める守秘義務は、個人情報保護法より厳しい制約をかける場合があります。税理士法第38条は「業務上知得した秘密を他人に漏らし」てはならないと定めており、この「他人」にAIサービス事業者が含まれると解釈する専門家もいます。
対策として有効なのが「匿名化」と「仮名化」です。ただし匿名化には「再識別不可能な状態」が求められるため、単純な氏名削除では不十分な場合があります。顧問先コードや会社コードに置き換える仮名化処理を事前に行うことで、リスクを大幅に低減できます。
弁護士や公認会計士など特定の士業については、所属団体(弁護士会・日本公認会計士協会など)がAI利用に関するガイドラインを発出している場合があります。執筆時点(2026年6月時点)では、日本税理士会連合会もAI利用に関する注意喚起を公表しています。所属団体の最新情報を必ず確認してください。
また、仮名化で対応できない「相談内容そのもの」や「紛争当事者の詳細」は、いかなる形でも外部AIへの入力は原則避けるべきです。生成AIは便利な一方で、プロンプト自体が後のユーザーへの回答に影響を与えるリスクを完全に否定できません。守秘義務違反の代償は、資格の停止・剥奪にまで及ぶ重大なものです。慎重の上にも慎重を期してください。

確認観点2:データ種別の分類と匿名化・仮名化の可否
顧問先データを生成AIに入力する前に、データを種別ごとに分類し、それぞれの取り扱い方針を決める必要があります。「一律に入力禁止」とするよりも、分類によって利用可能範囲を明確にするほうが実務に即しています。
データ分類の3段階
士業事務所での実務を想定した分類例は次のとおりです。
・レベルA(AI入力可): 法令条文・一般的な通達・公開されている判例・会計基準の参照テキスト。個人情報を一切含まないため、生成AIへの入力は問題ありません。「消費税率の確認」「就業規則の法令チェック」などがこれに該当します。
・レベルB(匿名化・仮名化後に入力可): 決算書のフォーマット(金額は実数だが顧問先名を除去)、就業規則のひな形(企業名を「A社」に置換)、モデルケース的な数値を使った試算。前処理として顧問先を識別する情報を除去すれば、質問・レビュー用途に活用できます。
・レベルC(原則入力禁止): 個人名・住所・マイナンバーを含む書類、健康診断結果、社会保険の番号が記載された文書。特に要配慮個人情報は、委託先の安全管理措置が担保されない限り、入力しないことが原則です。
仮名化処理の実務例
ExcelデータやPDF申告書をそのまま貼り付けるのではなく、次のような前処理を行うことでリスクを低減できます。
顧問先名を「A社」「B事務所」などの記号に置換し、代表者名・担当者名を「代表者X」「担当者Y」と置き換えます。社会保険番号・マイナンバーは完全に削除します。金額は実数のまま残しても構いません(個人特定情報でなければ)。この前処理を標準化して事務所内のテンプレートとして整備しておくと、スタッフ全員が統一した手順でAIを活用できます。
Before/Afterの例:
Before(入力禁止):「令和6年分確定申告 山田太郎様 所得:890万円 扶養:配偶者あり 住所:東京都○○区△△1-2-3」
After(入力可):「確定申告モデルケース A氏 所得:約890万円 扶養:配偶者あり」
このように氏名・住所を記号化するだけでも、個人を特定できるリスクは大きく変わります。ただし、「顧問先が特定できる業界・業態・規模感」が揃うと再識別されるケースもあるため、過信は禁物です。複数の情報が重なるほどリスクが高まるという認識を事務所全体で共有してください。
確認観点3:利用する生成AIサービスの学習・保存ポリシー
入力したデータが「AIの学習に使われるかどうか」は、サービスによって大きく異なります。士業が外部のAIサービスを業務利用する場合、最も重要な確認ポイントの一つです。
主要な生成AIサービスの学習ポリシー比較(執筆時点:2026年6月時点)
| サービス名 | デフォルトの学習利用 | オプトアウト | 法人向けプラン | 士業利用推奨度 |
|---|---|---|---|---|
| ChatGPT(個人プラン) | あり | 設定から可能 | なし | 注意が必要 |
| ChatGPT Team/Enterprise | なし(既定) | 不要 | あり | 比較的安全 |
| Claude(個人プラン) | あり | 設定から可能 | なし | 注意が必要 |
| Claude for Business | なし(既定) | 不要 | あり | 比較的安全 |
| 社内専用AI(自社サーバー内) | なし(完全自社管理) | 不要 | — | 最も安全 |
上記の表から分かるように、個人向けの無料プランや安価なプランはデフォルトで学習に利用されるケースがあります。士業事務所が顧問先データを扱う場合は、法人向けプランへの切り替えか、情報を外に出さない社内専用AI(ローカルLLM)の導入が推奨されます。なお社内専用AI導入後は「社内専用AI」と呼びます。
社内専用AIとは、インターネットに接続せず事務所内のサーバーで動作するAIで、入力したデータが外部に出ることがありません。初期コストはかかりますが、顧問先への説明責任も果たしやすくなります。規模感の目安として、5名程度の税理士事務所でも、低価格専用サーバーを活用したシステムで月額1万円以下の運用コストに抑えられる事例が出てきています。
また、法人向けプランを契約する場合でも、「データ処理に関する覚書(DPA: Data Processing Agreement)」を締結しているかを確認することが重要です。万一の情報漏洩時の責任範囲を明確にするためです。
さらに、海外のAIサービスを使う場合は「越境データ移転」の問題が生じます。個人情報保護法では、外国の第三者にデータを提供する際の要件が国内提供と異なります。外国の法執行機関によるデータへのアクセスリスクも考慮が必要で、特に要配慮個人情報を扱う士業には慎重な判断が求められます。

確認観点4:事務所内の承認フローと証跡の残し方
技術的な安全措置に加えて、「誰が・何を・どのAIに入力したか」を記録し、責任の所在を明確にする体制が必要です。これは万一問題が発生した際の説明責任のためだけでなく、スタッフが「これは入力してよいか」を自律的に判断できる仕組みを作るためでもあります。
ステップ1:入力データの事前チェック
スタッフが生成AIを使う際は、まず「入力データ分類シート」に照らし合わせ、対象データがレベルA・B・Cのどれに該当するかを確認します。レベルCは所長承認なしに入力禁止とします。分類に迷う場合は「わからなければレベルC扱いで所長に確認する」ルールを徹底することで、スタッフの自己判断リスクを排除できます。
ステップ2:匿名化・仮名化処理
レベルBに該当するデータは、事務所の定めた匿名化テンプレートに従い前処理を行います。処理前と処理後のファイルを保存し、いつ・誰が・どのように処理したかを記録します。この記録は、顧問先から問い合わせがあった際の根拠にもなります。
ステップ3:使用AIサービスの確認
事務所が承認している生成AIサービスリストを参照します。リストにないサービスを使う場合は、所長または責任者の事前承認が必要です。スタッフが個人のアカウントでアクセスすることも、事務所の業務データを扱う際は禁止とします。個人アカウントは事務所の法人プランとは別に学習設定が管理されるため、意図しない学習利用のリスクが残ります。
ステップ4:入力内容と結果の記録
利用日時・利用者・使用サービス・入力の概要(具体的な内容は不要)・出力の用途を、業務日誌または専用のAI利用ログシートに残します。月1回所長が確認することで、継続的な監視体制を維持できます。半期に一度は「AI利用規程」の内容を見直し、新しいサービスや法改正に対応してください。
顧問先への説明責任
顧問先との契約書または業務委託契約書に、AI利用に関する条項を追加することも検討してください。「業務の効率化を目的として、匿名化処理を施したうえで生成AIツールを活用する場合がある」などの一文を追加することで、顧問先の理解と同意を得やすくなります。すでに契約が締結されている顧問先については、次回更新時や定期訪問の際に説明するのが現実的です。
事務所内の整備水準の目安として、大手監査法人では2024年頃からAI利用ガイドラインを整備しています。中小の士業事務所でも、最低限「どのAIを使ってよいか」「何を入力してはいけないか」の2点を文書化するだけで、有事の際の説明責任は大きく変わります。
よくある質問
Q1. 顧問先の決算書をそのままChatGPTに貼り付けてもよいですか?
A. 原則として推奨しません。決算書には顧問先名・代表者名・取引先名など個人や法人を特定できる情報が含まれる場合があります。個人の無料プランや標準プランでは入力データが学習に使われる可能性があります。法人向けプランへの切り替えを行い、かつ顧問先名を記号に置き換えた上で利用することを検討してください。
Q2. オプトアウト設定をすれば安全ですか?
A. オプトアウトによりデータの学習利用は停止されますが、サーバーへのデータ送信自体は行われます。また、個人アカウントの設定変更は本人にのみ有効で、スタッフ全員に徹底するには管理コストがかかります。事務所規模での管理を考えると、法人プランの導入が現実的です。
Q3. 社内専用AIを導入すれば、どんなデータでも入力できますか?
A. 社内専用AIを使えば、AIサービス事業者へのデータ流出リスクはゼロになります。ただし、守秘義務は「AI利用」に関係なく課される義務であり、事務所内での不適切な情報共有(スタッフへの過度な開示など)は別途問題が生じます。あくまで外部漏洩リスクが解消されるに留まります。
Q4. 顧問先の同意があれば何でも入力できますか?
A. 同意があれば選択肢は広がりますが、守秘義務は原則として本人の同意があっても士業として守るべき義務の範囲があります。また「同意を得た」という事実と記録を適切に管理する必要があります。同意の範囲・期間・撤回手続きを契約書に明記しておくことをお勧めします。
Q5. 弁護士や公認会計士は別のガイドラインに従う必要がありますか?
A. 所属する士業団体のガイドラインが個別に存在する場合があります。執筆時点(2026年6月時点)では、弁護士会・公認会計士協会・税理士会などが相次いでAI利用に関する指針を発出しています。本記事の4観点は共通の土台として参考にしていただけますが、所属団体の最新の指針を最優先で確認してください。

顧問先データAI活用 準備チェックリスト
顧問先データを生成AIに入力する前に、下記の項目をすべて確認してください。一つでも「確認できていない」項目があれば、入力を保留することを推奨します。
・個人情報保護法の確認: 入力データが個人情報・要配慮個人情報に該当するかを確認した
・守秘義務の確認: 所属士業団体のAI利用ガイドラインを最新版で確認した
・データ分類: 入力データをレベルA・B・Cに分類し、レベルBは匿名化・仮名化処理を実施した
・AIサービスのポリシー確認: 使用するAIサービスが学習利用の対象外であることを確認した(法人プランまたは社内専用AIを使用)
・DPA(データ処理覚書)の確認: AIサービス事業者とDPAを締結しているか、または社内専用AIで外部送信がゼロであることを確認した
・事務所内ルールの整備: AI利用の承認フロー・データ分類基準・利用ログの記録方法を文書化した
・スタッフへの周知: 事務所全スタッフにAI利用のルールを説明し、理解を得た
・顧問先への開示方針: AI利用について顧問先への説明方針または契約書への記載方法を決定した
本記事のまとめ
士業事務所が顧問先データを生成AIに活用する際の4つの確認観点を解説しました。
・観点1 個人情報保護法と守秘義務: 入力データが法律の縛りを受けるかを種別ごとに確認する
・観点2 データ分類と匿名化・仮名化: 3段階に分類し、前処理を事務所の標準手順として整備する
・観点3 AIサービスの学習ポリシー: 法人プランまたは社内専用AIを使い、外部への情報流出をゼロにする
・観点4 承認フローと証跡: 誰が何をAIに入力したかを記録し、顧問先への説明責任を果たせる体制を作る
「AI活用を急ぐあまり、1年後に顧問先からの信頼を失う」という事態は避けなければなりません。4つの観点を事前にクリアすることで、士業としての信頼を守りながらAIの効率化メリットを享受できます。
生成AI導入の安全な進め方について、事務所の状況に合わせた個別のご相談は下記よりお問い合わせください。
<PR>この記事に関連するおすすめ書籍
顧問先データの入力可否を判断する土台として、情報漏えい・プライバシー侵害・個人情報保護法など生成AIの法的リスクを体系的に押さえられる実務書です。
