士業事務所の生成AI利用ガイドライン:そのままコピペで使える雛形

「ChatGPTで書類のたたき台を作りたいが、顧問先の情報を入力してよいか判断できない」——税理士・社労士・行政書士の所長から毎月同じ相談が届きます。守秘義務を法律で課された士業にとって、生成AI利用の可否を職員個人の感覚に委ねることは重大なリスクです。

この記事では、税理士・社労士・行政書士・司法書士事務所がそのままコピペして使える生成AIガイドライン雛形を全文掲載します。第1条から第6条まで実務に即した文言で構成されており、事務所名と施行日を書き換えるだけで今日から運用できます。クラウドAIと社内専用AIの選択基準、よくある質問、整備前チェックリストもあわせて解説します。

目次

士業事務所の生成AIガイドラインとは(定義と整備の必要性)

士業事務所における生成AIガイドラインとは、「誰が・どのツールを・どの業務に・どの条件で使ってよいか」を明文化した社内規程のことです。一般企業向けのIT利用規程と似ていますが、士業では税理士法第38条・社会保険労務士法第21条・弁護士法第23条・行政書士法第12条といった守秘義務規定との整合性を確保しなければならない点が異なります。

2024年以降、ChatGPT・Claude・Gemini等の生成AIが業務現場に急速に浸透しました。士業事務所でも職員が個人判断でクラウドAIに業務情報を入力するケースが増えており、日本税理士会連合会・日本社会保険労務士会連合会はそれぞれ生成AI利用に関する注意喚起を発出しています。しかし各団体の指針は「慎重に利用すること」という方向性の提示にとどまることが多く、各事務所が独自に判断できる雛形規程は提示されていません。

ガイドラインが整備されていない事務所では、次の問題が起きやすいです。

職員ごとに利用基準がバラバラ:ある職員は契約情報を入力し、別の職員は入力禁止という認識の格差が生じます。
ツール選定が恣意的:無料プランのクラウドAIをそのまま使い続け、入力データが学習に利用されるリスクを見落とします。
顧客説明が困難:顧問先から「うちのデータをAIに入れているのか」と聞かれたとき、明確な回答ができません。
インシデント時の対応が遅れる:誤入力が発覚しても対応フローがなく、判断が遅延します。

ガイドラインは「禁止のリスト」ではなく「安全に使うための条件定義」です。整備することで職員のAI活用を組織として後押ししながら、守秘義務リスクを適切に制御できます。事務所規模が5名以下であっても、A4一枚に収まる規程を作るだけで、万一のインシデント時に「組織として適切な対応をしていた」と示せる証拠にもなります。

整備せずに使い続けることで生じる3つのリスク

1. 守秘義務違反と信頼失墜

士業が負う守秘義務は、クラウドサービスへのデータ入力にも適用されます。例えば、税理士が顧問先の決算書をクラウドAIに入力して分析させた場合、そのデータがサービス提供事業者のサーバーに保存・処理される点は避けられません。各クラウドサービスの利用規約上、有償プランかつデータ処理契約(DPA)締結済みであればモデル学習への使用は除外されますが、守秘義務の観点から言えば「顧問先が事前に同意しているか」という別の問いも残ります。

問題が発覚した場合の損害は金銭的なものにとどまりません。地域での評判の失墜、顧問先との関係破綻、所属士業団体への報告義務、最悪の場合は業務停止・廃業処分にまで波及します。守秘義務違反は民事責任と懲戒処分の双方が問われるため、ガイドラインなしの運用は保険なしで走り続けることと同じです。

2. 誤出力を確認せず業務に使用するリスク

生成AIは「もっともらしい回答」を流暢な文体で生成しますが、税務通達の引用・計算処理・法律条文の解釈に誤りが含まれることがあります。ガイドラインがない環境では出力結果の確認義務が明確でないため、職員がAIの回答を信頼してそのまま顧問先へ提出するリスクが高まります。

申告書の数字に誤りがあった場合、その責任は生成AIではなく事務所が負います。「AIが間違えた」は免責事由にはなりません。出力確認のステップを規程に明記することで、事務所全体の作業基準が統一されます。

3. シャドーAI利用の蔓延

ガイドラインがないと、管理側が把握していない生成AIが職員の間で広まります(「シャドーAI」と呼ばれます)。使用ツール・入力内容・頻度が管理できないため、問題が発生してから初めて発覚する構造になります。問題の早期検知もできず、業務の属人化が進みます。シャドーAIを「禁止令」だけで解消しようとすると、利用が地下に潜ってさらに把握困難になります。正しいルールを明示してシャドーAIを「許可された正規ルート」に引き込むことが現実的な対応です。

士業事務所の生成AI利用ガイドライン:そのままコピペで使える — 関連イメージ1

ガイドライン雛形全文(コピペして今日から使える6条)

以下の雛形は、税理士・社労士・行政書士・司法書士事務所が汎用的に使えるよう設計しています。【 】内の箇所を書き換え、各条の選択肢は貴事務所の実態に合わせて選んでください。2026年7月時点の各士業法の規定を踏まえて作成していますが、最終採用にあたっては所属士業団体または顧問弁護士へのご確認を推奨します。

【事務所名】生成AI利用に関するガイドライン 制定日:【施行日】 制定者:【所長名・職位】 第1条(目的・適用範囲) 本ガイドラインは、【事務所名】(以下「当事務所」という)における 生成AIツールの業務利用に際し、顧客情報の保護および士業法上の 守秘義務を遵守しながら適切に活用するための基準を定める。 本ガイドラインは、当事務所に在籍するすべての職員 (正規・パート・アルバイト・インターンを含む)に適用する。 第2条(入力禁止情報) 次の情報を生成AIツールに入力することを禁止する。 (1) 顧客の氏名・法人名・代表者名 (2) 顧客の住所・電話番号・メールアドレス (3) 顧客の財務情報(決算書・試算表・納税額・資金繰り表等) (4) 顧客の従業員に関する情報(給与・雇用形態・社会保険等) (5) 顧客との契約書・覚書・法的文書の原本または抜粋 (6) その他、当事務所が守秘義務を負うと判断するすべての情報 ただし、顧客特定情報をすべて除去・匿名化した情報については 入力可能とする。匿名化の判断は担当者が行い、疑義がある場合は 必ず所長に確認すること。 第3条(利用ツールの選定基準) 生成AIツールを業務に使用する場合、以下のいずれかの条件を 満たすツールのみを許可する。 (1) 事業者との間でデータ処理契約(DPA)が締結されており、 入力データがモデル学習に使用されないことが保証されている 有償クラウドサービス(例:ChatGPT Team、Claude for Work等) (2) 当事務所のサーバー内に導入された社内専用AI (3) 所長が書面または口頭で個別に許可したツール 無料プランのクラウドAIは原則として業務利用を禁止する。 プライベートのスマートフォンアプリでの業務関連入力も禁止する。 第4条(出力結果の確認義務) 生成AIの出力結果を業務に使用する際は、次の確認を行う。 (1) 税務・法令解釈・計算に関する出力は、担当者が 関係法令・通達・判例と照合して内容を確認する (2) 確認を行わずに顧客へ提出・送付・説明することを禁止する (3) 生成AI出力を使用して作成した成果物には、作成者が 自署または電子記録し、最終責任者を明確にする (4) 事務所代表のレビューが必要な成果物の基準は別途定める 第5条(インシデント対応手順) 入力禁止情報の誤入力その他のインシデントが発生した場合、 以下の手順に従う。 (1) 直ちに当該セッションを終了し、入力履歴の削除を試みる (2) 当日中に所長へ口頭で第一報を入れる (3) 翌営業日中に書面(所定のインシデント報告書)を提出する (4) 所長は事案の重大性を踏まえ、顧客への報告・謝罪の 要否および対外的な連絡方針を判断する (5) インシデントを隠蔽・過小報告した場合は、就業規則の 懲戒規定を適用する 第6条(ガイドラインの見直し・改訂) 本ガイドラインは年1回(毎年4月を目安)に見直しを行い、 以下の変化を踏まえて改訂する。 (1) 生成AI技術の動向(新モデル・新機能の登場) (2) 関係法令の改正 (3) 所属士業団体のガイドライン更新 (4) 当事務所で発生したインシデントの再発防止策 大規模な技術変化または法令改正があった場合は、上記スケジュール によらず臨時改訂を行う。 付則:本ガイドラインは【施行日】より施行する。

上記の第2条は最低限の禁止事項を列挙したものです。医療隣接分野(医療法人の税務や介護事業所の労務)を扱う場合は、要配慮個人情報(健康情報・障害情報等)の取り扱いについて追加条項を設けることを検討してください。また、第3条の「所長が個別に許可したツール」は月次のミーティング等でリストを更新し、職員に共有することで形骸化を防げます。

クラウドAI vs 社内専用AI:士業事務所の選択基準

士業事務所でよく議論になるのが「有償クラウドAIと社内専用AIのどちらを使うか」という選択です。結論から述べると、規模・扱う情報量・セキュリティ要件の3軸で判断します。以下の比較表を参考にしてください。

比較項目 有償クラウドAI(ChatGPT Team等) 情報を外に出さない社内専用AI(ローカルLLM)
初期コスト ほぼゼロ(月額契約のみ) サーバー費用+導入支援費(20万円~100万円程度)
月次ランニング 数千円~数万円(人数により変動) 電気代・保守費(月1万円以下が多い)
データの外部送信 あり(DPA締結でモデル学習を除外可) なし(すべて社内で完結)
AI性能 最新モデルへ自動更新 選択モデルに依存(更新は手動)
守秘義務への対応 DPA+規約の確認が必要。匿名化義務は残る 外部送信ゼロのため最も安全
導入難易度 低い(アカウント作成のみ) 高い(専門知識または外部支援が必要)
向いている規模 1名~5名程度の小規模事務所 5名以上または個人情報取扱量が多い事務所
職員教育コスト 普及済みのUIのため低い 操作研修が別途必要になる場合あり

小規模の税理士・社労士事務所では、まずChatGPT TeamやClaude for Workといった有償プランを契約し、DPAを確認した上でクラウドAIから始めるのが現実的です。顧問先のデータ量が多い、または高い機密性が要求される業種(医療法人・上場準備企業の税務等)を主要顧客とする場合は、社内専用AIの導入を検討する価値があります。

なお、有償クラウドAIを使う場合でも、第2条の「入力禁止情報」の制限は変わりません。DPAを締結しているからといってすべての顧客情報を入力してよいわけではなく、守秘義務の観点からは「顧客からの事前同意取得の有無」という別の問いが残ります。クラウドAIを使う場合は「匿名化した情報のみ入力」、社内専用AIを使う場合は「匿名化不要だが出力確認義務は同様に適用」という運用の差として理解してください。

士業事務所の生成AI利用ガイドライン:そのままコピペで使える — 関連イメージ2

よくある質問

Q1. 無料のChatGPTを使っている職員に気づいた。すぐに禁止すべきか?

直ちに禁止するより、まずヒアリングを実施することを推奨します。どの業務に・どの情報を・どの程度の頻度で使っているかを把握した上で、問題があれば指導し、ガイドラインで許可できる有償プランに移行させます。「禁止令」だけを出すとシャドーAIがさらに地下に潜り、把握が難しくなります。現状把握→ルール明示→移行支援の順序で進めることが職員の納得感を生みます。

Q2. 顧客に「AIを使っていますか」と聞かれたらどう答えるべきか?

正直に答えることが原則です。その際「顧客情報を入力しないルールを設けており、匿名化した情報のみを使用しています」と具体的な体制を説明できれば、信頼を損なうどころか情報管理を重視している事務所として評価されます。顧客への事前告知ポリシーをガイドラインの付則として加える事務所も増えています。「AI利用方針について」をA4一枚にまとめておくと、いつ聞かれても即対応できます。

Q3. ガイドラインを職員に周知する際のコツは?

A4一枚の「要点サマリー版」を作成し、月次ミーティングで読み合わせを行うことが定着率を上げます。全文を読ませるだけでは理解が形式的になりがちです。「禁止する情報」を具体例付きで示したラミネート印刷物を各デスクに置くだけでも効果があります。初回周知後は四半期に1回の確認テスト(5問程度)を実施すると、職員の理解度が可視化されます。署名収集はガイドラインを配布した日に行い、ファイリングして保管してください。

Q4. 顧問先から「AIを使うな」と言われた場合は?

顧客の指示を優先します。担当者レベルで完結させず、所長が顧客に対して「当事務所ではどのような条件でAIを使っているか」を説明し、顧客が安心できる運用ルールを合意形成することが望ましいです。必要であれば守秘義務の補強として「AI不使用に関する覚書」を締結し、契約ファイルに保管します。

Q5. 社内専用AIを入れると何ができるか?

社内専用AIを事務所内のサーバーに導入すると、顧客の財務情報・給与データ・法的文書を直接入力した上でAIに分析・文書作成をさせることが可能です。外部へのデータ送信がゼロのため、守秘義務の観点から最も安全な選択肢です。議事録の自動生成・契約書の比較・申告書添付書類の下書き作成といった業務が具体的な活用例です。初期費用はサーバー代+導入支援費で20万円~100万円程度が目安ですが、月次の利用コストはクラウドサービスより大幅に低く、3年以上の運用で費用対効果が逆転するケースが多いです。

ガイドライン整備前チェックリスト

以下の項目を確認し、未対応のものから優先的に整備してください。8項目中5項目以上が未対応の場合は今週中に整備着手を推奨します。3項目以下の未対応であれば今月中に補完できます。

現在の利用実態の棚卸し:職員が現在使っている生成AIツールを全件リストアップする(個人スマートフォンのアプリ含む)
入力禁止情報の定義:顧客特定情報・財務情報・人事情報の3カテゴリを入力禁止として明文化する
ツール選定基準の制定:無料プランの業務利用禁止・DPA締結済みの有償プランのみ許可を規程化する
出力確認義務の明記:AI生成物を顧客へ提出する前に担当者が確認する手順を設ける
インシデント報告フローの整備:誤入力発覚時の報告先・報告書様式・所長への連絡タイミングを決める
年次見直しスケジュールの設定:毎年4月または士業団体の指針改定時に規程を見直すカレンダー登録をする
全職員への周知と署名収集:ガイドラインを配布し、理解確認の署名をファイリングする
顧客向けポリシーの準備:「当事務所のAI利用方針」をA4一枚にまとめ、顧問先から質問があった際に渡せるようにする

チェックリストの完了率と事務所規模の関係を見ると、5名以下の事務所では①②③の3項目だけ整備するだけで「ガイドラインがない状態」より大幅にリスクを下げられます。まず最低限の3項目から着手し、3ヶ月以内に全8項目を完成させるスケジュールが現実的です。

士業事務所の生成AI利用ガイドライン:そのままコピペで使える — 関連イメージ3

本記事のまとめ

士業事務所の生成AIガイドライン整備は、AI活用を「禁止する」ためではなく「安全に許可する条件を定める」ための作業です。本記事で提示した6条の雛形は、事務所名と施行日を書き換えるだけで即日運用できる形式にしています。

重要な3点を再確認します。

クラウドAIを使う場合でも顧客特定情報の入力は禁止が原則:DPAの有無にかかわらず守秘義務は適用されます。
無料プランの業務利用禁止を明文化する:ガイドライン整備の第一歩として最も効果が高い一手です。
年1回の見直しをカレンダーに登録する:技術・法令の変化に対応した規程を維持するための最小コストの仕組みです。

雛形を採用した後に「事務所の業務フローに合わせてカスタマイズしたい」「社内専用AIを使えば具体的に何ができるか確認したい」という場合は、以下のフォームからご相談ください。士業事務所の情報管理と生成AI活用を専門とするコンサルタントが初回無料で対応します。

【士業向け無料相談】生成AIガイドライン整備・社内専用AI導入のご相談はこちら
顧客情報を守りながらAIで業務効率を上げる方法を、事務所の規模・業種に合わせてご提案します。
お問い合わせフォームへ

<PR>この記事に関連するおすすめ書籍

生成AIの法的リスクと対策 増補改訂版

秘密情報漏洩・個人情報保護法違反など、本記事のガイドライン整備で扱う守秘義務リスクを法的観点から体系的に解説しており、規程の妥当性を確認する際の参考になります。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

目次