「顧客から受け取った契約書をAIに読み込ませていいのか、正直わからない」
税理士や社労士など、日々守秘義務を負いながら業務をこなしている士業の方から、こうした相談を受けることが増えました。ChatGPTをはじめとする生成AIは、契約書の要点整理や条項比較など、まさに士業の業務にぴったりの使い道があります。しかし、無防備に顧客情報を入力してしまうと、NDAや業務委託契約の守秘義務条項に抵触するリスクがあります。
この記事では、守秘義務を負う業務で生成AIを使う際に確認すべき契約書・NDAのチェック観点を、法的な背景から実務手順まで解説します。「AIを使いたいが怖くて踏み出せない」という方が、正しい判断基準を持ってAI活用を始めるための実践ガイドです。
守秘義務と生成AIの緊張関係とは?
守秘義務(秘密保持義務)は、士業においては職業倫理上の義務(税理士法第38条、社会保険労務士法第21条など)と、個別の業務委託契約・NDAによる契約上の義務の二層構造になっています。生成AIを業務利用する際、この二層構造のどちらかが問題になります。
職業倫理上の守秘義務では、業法に「秘密を守る義務」が明記されており、顧客の氏名・財務情報・人事情報などをAIサービス(クラウドサービス)に送信することが「第三者への開示」とみなされるかどうかが問われます。現時点(2026年5月時点)では、生成AIへの入力が業法上の守秘義務違反に直結するという裁判例はありませんが、「秘密を守る義務」の解釈として、顧客情報を第三者の運営するサーバーに送信する行為が問題視される可能性は排除できません。
契約上の守秘義務では、顧客との間で締結したNDAや業務委託契約の条文が直接の基準になります。契約書に「第三者への開示・提供を禁止する」と書かれている場合、AIサービスへの入力がその「開示・提供」に該当するかどうかを逐一確認しなければなりません。
特に注意が必要なのは、2020年代以降に増えてきたAI条項付きNDAの存在です。「人工知能・機械学習ツールへの入力禁止」を明示した契約が、特にスタートアップや外資系企業との取引で増えています。既存のNDAにこの条項がなくても、次の改定時に盛り込まれることが多いため、更新タイミングで必ず確認する必要があります。
ここで重要なのは、「ChatGPTの規約上は問題ない」という理由だけで判断してはいけないことです。AIサービス事業者の規約がOKであっても、顧客との契約でNGとされていれば、それは契約違反になります。判断の順序は必ず「顧客との契約→自社のポリシー→AIサービスの規約」の優先順位で確認してください。
なお、守秘義務に関連して見落とされがちなのが、個人情報保護法との関係です。顧客の個人情報(氏名・住所・財務情報等)をAIに入力することは、個人情報の「第三者提供」に当たる可能性があります。2022年改正個人情報保護法では、クラウドサービス事業者への情報の委託も規制対象となる場合があるため、プライバシーポリシーや利用規約への記載も合わせて見直しが必要です。
NDA・業務委託契約のどの条項を確認すべきか
守秘義務業務で生成AIを使う前に、顧客との契約書・NDAから以下の5つの条項を必ずチェックしてください。実務ではこれらの条項が問題になるケースが多いため、契約書レビュー時のチェックシートとして活用できます。
・「秘密情報の定義」条項: 何が秘密情報に該当するかを規定しています。「書面で秘密と明示されたもの」に限定している場合と、「業務上知り得た一切の情報」と広く定める場合があります。後者の場合、AIに入力する情報のほぼすべてが秘密情報に該当する可能性があります。
・「第三者への開示・提供の禁止」条項: AIサービスの運営企業が「第三者」に当たるかが争点になります。ChatGPT(OpenAI社)、Claude(Anthropic社)などは明らかに第三者です。この条項があれば、原則として顧客の秘密情報をAIに入力することは禁止されます。
・「目的外利用の禁止」条項: 「秘密情報は本契約の目的のためにのみ使用する」という記述が典型例です。AIによる業務効率化が「本契約の目的」に含まれるかどうかは解釈次第ですが、顧客に事前に確認を取るのが安全です。
・「再委託の禁止・制限」条項: 業務をツールやサービスに委託することを禁止・制限する条項です。「AIツールへの入力=業務の一部再委託」とみなされるリスクがあります。クラウドサービスへのアウトソーシングと同様に扱われる場合があります。
・「AI・機械学習ツールの使用禁止」条項(新設条項): 近年増えている条項で、「本情報を人工知能、機械学習モデルの学習・推論に使用してはならない」という文言が典型例です。この条項があれば、入力した情報がAIの学習に使われないとしても、入力行為自体が禁止される場合があります。
これらの条項に抵触するリスクがある場合は、①顧客に確認・同意を得る、②個人情報・社名・固有名詞を匿名化してからAIに入力する、③顧客情報を外部に出さない社内専用AIを使う、という3つの対応策があります。
また、契約書の確認と並行して、自社が締結しているAIサービスの利用規約も確認してください。無料プランと法人プランでは、データの取り扱いが根本的に異なります。無料プランで入力したデータがAIの学習に利用される設定になっている場合、その情報は事実上AIモデルに「吸収」される可能性があり、顧客の秘密情報がいつかAIの出力に反映されるリスクを抱えることになります。
生成AIサービス別・情報管理仕様の比較
生成AIサービスによって、入力したデータの扱いは大きく異なります。守秘義務業務での利用可否を判断する上で、以下の比較表を参考にしてください(2026年5月時点の各社公表情報に基づく)。
| サービス名 | 学習利用 | 法人向け無効化オプション | データ保存期間 | 守秘業務での実用性 |
|---|---|---|---|---|
| ChatGPT(無料・Plus) | デフォルトON | 設定でOFF可能 | 30日間保存 | △(設定変更必須) |
| ChatGPT(Team/Enterprise) | OFF(デフォルト) | 不要(初めから無効) | 保存なし(API経由) | ○(法人契約推奨) |
| Claude(claude.ai 無料) | デフォルトON | 設定でOFF可能 | 30日間保存 | △(設定変更必須) |
| Claude(API・Teams) | OFF | 不要 | 保存なし | ○(API利用推奨) |
| Microsoft Copilot(法人向け) | OFF | 不要 | セッション後削除 | ○(M365 E3以上) |
| 社内専用AI(オンプレ型) | なし | 不要(社内完結) | 社内管理 | ◎(最も安全) |
この表で特に注意してほしいのは、「学習利用をOFFにすれば安全」という誤解です。学習に使われなくても、入力データが一定期間サービス事業者のサーバーに保存される場合、「第三者のサーバーに情報が存在した」という事実は残ります。NDAの「開示禁止」条項に照らすと、このこと自体がリスクになる可能性があります。
守秘義務業務での最も安全な選択肢は、情報を外に出さない社内専用AI(ローカルLLM)です。自社のサーバー内でAIを動かすため、入力した情報が外部に一切出ません。NDAの「第三者への開示禁止」条項も問題になりません。ただし、初期導入コストと運用管理の負担があるため、業務規模と照らし合わせた費用対効果の検討が必要です。
コスト面での現実的な試算をすると、法人向けのChatGPT Teamプランは1ユーザーあたり月額約3,000円(2026年5月時点)です。5名の事務所で導入すると月額約1.5万円、年間18万円のコストになります。一方、情報を外に出さない社内専用AIを導入する場合は、初期費用が30〜80万円程度かかりますが、月額ランニングコストは電気代のみになります。3〜4年での費用回収が目安になります。守秘義務に関するリスクコストをどう評価するかによって、どちらが最適かが変わります。
守秘義務を守りながら生成AIを活用する3つのステップ
リスクを正確に把握した上で、守秘義務業務でも生成AIを適切に活用できる実践的なステップを紹介します。
1. 既存契約書・NDAの棚卸しと分類
まず、現在進行中の案件すべての契約書・NDAを見直し、AI利用の観点で3つに分類します。
・グリーン(AI入力OK): 秘密情報の定義が限定的で、AI条項がなく、再委託制限も緩い契約。この案件では、適切な設定のもとでAIを活用できます。
・イエロー(条件付きOK): AI条項はないが「第三者への開示禁止」など広い条項がある契約。匿名化処理を行うか、顧客に確認・同意を得ることで活用できる可能性があります。
・レッド(要確認・原則NG): AI条項が明示されている、または秘密情報の定義が「一切の情報」と広い契約。顧客に個別確認が必要です。
この分類作業自体は、AI入力前の前処理ですので、AIに契約書を読み込ませる必要はありません。人間の目でチェックポイントを確認してください。実務上の目安として、100件の案件を棚卸しすると、グリーン約30件・イエロー約50件・レッド約20件の比率になる場合が多いです。
2. 情報の匿名化・仮名化ルールの策定
イエロー案件でAIを活用する場合、情報の匿名化・仮名化が有効な方法です。
Before(匿名化前の入力例):
「株式会社〇〇(以下「甲」)と宮崎税理士事務所(以下「乙」)との間で締結した業務委託契約書の第5条について、法的な問題点を指摘してください。」
After(匿名化後の入力例):
「甲社と乙税理士事務所との間の業務委託契約書の第5条について、法的な問題点を指摘してください。」
社名・個人名・住所・電話番号・メールアドレスを削除または仮名に置き換えることで、NDAの秘密情報に該当するリスクを大幅に低減できます。
・会社名: 「甲社」「乙社」「A社」に置換
・個人名: 「担当者A」「代表者B」に置換
・金額: 具体的な数字は「○○円」に置換または削除
・日付: 「〇〇年〇月」に置換(月まで必要な場合のみ残す)
・固有の業務内容: 業界一般名詞に抽象化(「ソフトウェア開発業務」等)
匿名化に要する時間は、慣れると1案件あたり5〜10分程度です。それによって得られる作業効率の向上(契約書レビュー時間が50〜70%短縮できる場合が多い)と比べると、コストに十分見合います。
3. AI利用ポリシーの文書化と顧客への説明
社内でAI利用ルールを文書化し、新規契約・更新時に顧客に説明することが重要です。特に以下の内容を盛り込んだ「AI利用方針」を1ページ程度で作成することをお勧めします。
・使用するAIサービスの種類と設定: 学習利用をOFFにしているか、法人プランか等を記載
・入力前の匿名化ルール: どのような処理をしてからAIに入力するかを説明
・禁止事項: 入力しない情報の種類(金融情報、医療情報等)を明示
・顧客からの利用禁止要請への対応: 個別案件でAI利用を禁止された場合の対応フローを記載
このAI利用方針をNDA・業務委託契約の附則または覚書として取り付けることができれば、将来的なトラブルを予防できます。実際に、外資系企業との取引では「AI利用に関する方針を書面で提出してほしい」と求められるケースが2025年以降に急増しており、方針書を持っていることが商談の信頼性向上にも役立ちます。
よくある質問
Q1. ChatGPTで学習利用をオフにすれば、NDAに違反しませんか?
学習利用をオフにしても、「第三者のサーバーに秘密情報を送信した」という事実は残ります。NDAの「第三者への開示・提供禁止」条項に照らすと、学習利用の有無にかかわらず、送信行為自体が問題になる可能性があります。NDAの条文を確認し、必要に応じて顧客に確認を取ってください。
Q2. Microsoft CopilotはM365契約内なので安全ですか?
Microsoft Copilot(M365向け)は、入力したデータがAIの学習に使用されず、テナント内で処理される設計になっています(M365 E3以上のライセンスが必要)。これは「外部への情報送信」のリスクを大幅に低減しますが、マイクロソフトというサービス事業者のサーバーを経由することは変わりません。NDAに「マイクロソフト等のクラウドサービスへの入力を許容する」旨が読み取れるか、または顧客の同意を得た上で活用することを推奨します。
Q3. 弁護士法73条(非弁行為)との関係はどうなりますか?
AIが生成した契約書の分析・修正案を顧客にそのまま「法的意見として」提示することは、非弁行為(無資格者による法律事務)に該当するリスクがあります。AIの出力はあくまで「草案」または「参考情報」として扱い、最終的な法的判断は有資格者が行うことを徹底してください。これはAI利用のコンプライアンス上、守秘義務と同様に重要な論点です。
Q4. 社内専用AIはどのくらいのコストで導入できますか?
情報を外に出さない社内専用AI(ローカルLLM)の導入コストは、2026年5月時点では小規模事務所向けの場合、ハードウェア費用が20〜50万円程度、初期設定・構築費用が別途10〜30万円程度が目安です。月額のランニングコストは電気代程度(数千円〜1万円前後)に抑えられます。クラウドサービス型のAIを月額数千円〜数万円で契約し続けるよりも、長期的にはコストが抑えられる場合もあります。当社では、士業事務所向けの社内専用AI導入パッケージを提供しています。
Q5. 既存のNDAに遡って問い合わせる必要がありますか?
法律上の義務としては、既存契約の締結時点の合意内容が基準になります。契約締結後にAIを使い始めた場合、「当時は想定されていなかった使い方」として、顧客との関係を考えると事前に説明・確認するのが望ましい対応です。特に守秘義務への意識が高い顧客(医療機関、金融機関、上場企業等)については、個別に確認を取ることをお勧めします。
守秘義務業務でのAI活用前チェックリスト
以下の項目をすべて確認してから、守秘義務を負う業務で生成AIの活用を開始してください。
・契約書・NDAの確認: 対象案件のNDA・業務委託契約に「AI条項」「第三者への開示禁止」「再委託禁止」が含まれていないか確認した
・サービスの設定確認: 使用するAIサービスが法人プラン・API利用であり、学習利用がデフォルトでOFFになっていることを確認した
・匿名化ルールの策定: 入力前に社名・個人名・金額・日付を匿名化するルールを社内で定め、文書化した
・AI利用方針の作成: 社内のAI利用ルールを1ページ程度の文書にまとめ、担当者全員に周知した
・顧客への説明準備: 新規顧客・契約更新時にAI利用について説明できる準備(説明書・覚書のひな型)が整っている
・禁止案件のリスト化: 「AI利用禁止」と明示されている案件または顧客をリスト化し、担当者全員が把握している
・AIの出力確認フローの確立: AIが生成した内容を最終的に有資格者が確認・責任を持つというフローが明文化されている
・インシデント対応手順の準備: 万が一、誤って秘密情報をAIに入力してしまった場合の報告・対応手順を決めている
これら8つの項目を揃えることで、守秘義務を守りながら生成AIを業務に取り入れる基盤が整います。「完璧な体制を作ってから使い始める」のではなく、「この8項目を揃えたら使い始める」という具体的な目標として活用してください。
本記事のまとめ
守秘義務を負う業務で生成AIを活用する際の契約書レビュー観点として、以下の点が重要です。
・二層構造を理解する: 職業倫理上の守秘義務と契約上の守秘義務は別物で、どちらも確認が必要です。
・5つの条項を確認する: 秘密情報の定義・第三者開示禁止・目的外利用禁止・再委託禁止・AI条項の5点がチェックポイントです。
・サービス選定が鍵: 無料版のAIサービスをそのまま使うのは最もリスクが高く、法人プラン・API利用・または社内専用AIへの移行が守秘義務業務での実用的な選択肢です。
・匿名化で多くのリスクを低減できる: 完全なAI禁止ではなく、匿名化処理を前提にした活用ルールを策定することで、リスクを管理しながら業務効率化を実現できます。
・文書化と顧客説明が防衛線: AI利用方針を文書化し、顧客に透明性を持って説明することが、長期的なトラブル予防につながります。
守秘義務とAI活用のバランスをどう取るかは、業務の種類・顧客との関係・使用するAIサービスによって異なります。まずは自社のリスクポジションを把握することが最初のステップです。当社では、守秘義務業務における生成AI活用の個別相談を承っております。
「自社のNDAでAIを使っていいか確認したい」「匿名化ルールを整備したい」「社内専用AIへの移行を検討している」など、士業・コンサル事務所向けのAIコンプライアンス相談を承っております。
お気軽にお問い合わせフォームからご連絡ください。
