結論から言う。士業の生成AI利用ルールは「禁止事項のリスト」ではなく、「入力してよい情報の線引き」と「安全に使える公式ルート」をセットで示す設計が本体だ。 禁止だけを並べた規程は、所員の利用を止められないまま形骸化し、いちばん危険な「個人アカウントでのこっそり利用」を地下に潜らせる。守秘義務という士業の生命線を守る最短の道は、逆説的だが「安全な使い方を先に用意する」ことにある。
法的な土台は明確だ。弁護士法23条、税理士法38条、社会保険労務士法21条、司法書士法24条、行政書士法12条——いずれも業務上知り得た秘密の漏えいを禁じており、資格を失った後も義務は続く。さらに個人情報保護委員会は「生成AIサービスの利用に関する注意喚起等」(令和5年6月2日)で、本人の同意なく個人データを含むプロンプトを入力し、それが応答結果の出力以外の目的で取り扱われる場合、個人情報保護法に違反する可能性があると指摘し、生成AI事業者が入力データを機械学習に利用しないこと等の確認を求めた。利用ルールの整備は「あった方がよいもの」ではなく、守秘義務と個人情報保護法の両面から要請される実務だ。
本記事は、士業AI活用の全体地図である士業のAI活用ガイド2026のうち、導入手順の最初の一歩「利用ルールの策定」だけを深掘りする実務ガイドだ。何にAIが効くかの総覧は親ガイドに譲り、ここでは規程の構造・線引きの基準・運用の回し方に集中する。
この記事の要点
- 規程は「基本方針・運用ガイドライン・個別手順」の3層で作る。1枚の文書に全部詰めると、改訂が追いつかず形骸化する。
- 入力情報は4区分で線引きする——入力禁止/匿名化すれば可/原則可/迷ったら入力しない。
- 安全性は「学習非利用の設定」と「法人契約の条項」の2階建てで確認する。個人アカウントはどちらも事務所の管理が及ばない。
- ルールは作って終わりではなく、説明会・相談窓口・半期ごとの見直しまでが一式。各士業団体の公表状況も見直しのたびに確認する。
なぜ「禁止」だけでは守れないのか——こっそり利用の構造
禁止規程だけでは個人利用は止まらない。所員には「速く仕上げたい」動機があり、手元のスマホに生成AIがあるからだ。
親ガイドでも触れた「ルールなき個人利用」を、もう一段分解する。所員が個人アカウントで生成AIを使う動機は悪意ではない。期限前の繁忙、下書きの負担、調べ物の近道——業務を速く回したい動機そのものだ。そこに「全面禁止」だけをぶつけると、利用は申告されなくなり、事務所は何が入力されたかを把握する手段を失う。守秘義務の観点で最悪なのは、利用されることではなく、利用が見えなくなることだ。
しかも士業の守秘義務は、資格者本人だけの問題ではない。
| 資格 | 根拠条文 | 押さえどころ |
|---|---|---|
| 弁護士 | 弁護士法23条 | 職務上知り得た秘密の保持。弁護士でなくなった後も続く |
| 税理士 | 税理士法38条・54条 | 漏えいに加え「窃用」も禁止。54条で使用人その他の従業者にも同様の義務 |
| 社会保険労務士 | 社会保険労務士法21条 | 業務に関して知り得た秘密の漏えい・盗用の禁止(主体は開業社労士・社労士法人の社員) |
| 司法書士 | 司法書士法24条 | 業務上取り扱った事件の秘密。司法書士であった者も対象 |
| 行政書士 | 行政書士法12条 | 業務上取り扱った事項の秘密。行政書士でなくなった後も同様 |
税理士法54条が示すとおり、補助者・事務員を含む全員が義務の主体になり得る。だからルールは資格者向けの心得ではなく、パート・外注を含む事務所全体の業務ルールとして設計する必要がある。退職者のアカウント停止まで含めて、だ。
規程は3層で作る——基本方針・運用ガイドライン・個別手順
1枚の「AI利用規程」に全部を詰め込まない。変わる速さが違うものを、変わる速さごとに分けるのが3層構造だ。
生成AIのサービス仕様や規約は数ヶ月単位で変わる。事務所の理念と同じ文書にツール名を書き込むと、改訂のたびに所長決裁が要り、現実が先に進んで文書が放置される。そこで、改訂頻度の違いで3層に分ける。
| 層 | 位置づけ | 書く内容 | 改訂の目安 |
|---|---|---|---|
| 基本方針 | 所長・パートナーが決裁する憲法 | AI活用の目的、守秘義務・正確性を優先する原則、適用範囲(資格者・職員・パート・外注)、違反時の扱い | 年1回程度 |
| 運用ガイドライン | 全員に配る行動ルール | 入力情報の線引き(後述の4区分)、利用を認めるサービスの一覧、匿名化の基準、相談・報告ルート | 半期〜四半期 |
| 個別手順 | 業務ごとのマニュアル | 業務別のプロンプト例、出力の確認手順、成果物への利用表示の要否 | 随時 |
この構造なら、新しいツールの追加や規約変更への対応はガイドライン・手順の改訂で済み、基本方針は揺らがない。なお、利用ガイドラインや契約条項チェックの文書構成は一般企業向けの型がそのまま参考になる——AI利用ポリシー設計の実装テンプレを士業の守秘義務に引き直すのが近道だ。
入力してよい情報の線引き——顧問先情報の4区分
線引きは「顧問先情報か否か」の二択ではなく4区分で設計する。迷う情報は「入力しない」をデフォルトにする。
規程の心臓部がここだ。実務で機能する線引きは、次の4区分に整理できる。
| 区分 | 例 | 扱い |
|---|---|---|
| 入力禁止 | 顧問先名・代表者名等の固有名詞、マイナンバー・口座情報、係争中の事件の具体的事実、財務数値と社名が結びつく情報 | どの環境でも入力しない |
| 匿名化すれば可 | 契約条項の類型的な検討、仕訳・処理パターンの相談、規程・就業規則の条文案 | 固有名詞・特定可能な数値を置換してから、認めた環境でのみ |
| 原則可 | 公開情報のリサーチ、一般的な法令・制度の調査、所内向け文書・研修資料の下書き | 認めた環境で利用可 |
| 判断に迷う情報 | 上記のどれか即断できないもの | 「入力しない」がデフォルト。相談窓口に確認してから |
匿名化には注意点が2つある。第一に、固有名詞を伏せても、業種・地域・規模・事案の特徴の組み合わせで顧問先が特定できるなら、それは匿名化になっていない——「この情報だけ見て第三者が相手を当てられるか」で判定する。第二に、個人データを含む入力は前述の個人情報保護委員会の注意喚起が示すとおり、学習利用の有無の確認とセットで初めて成立する。線引き表は必ず「認めた環境」(次章)とセットで運用する。
この線引きを自所の業務に当てはめる前提として、文書の保管状況やアカウント管理など足元の整備状況を見ておきたい場合は、AI導入準備度診断で現在地を5分で確認できる。
学習非利用の設定と法人契約——「設定」と「契約」の2階建てで確認する
入力データの安全は、画面上の設定だけでは担保されない。学習非利用の「設定」と、それを約束する「契約・規約」の2階建てで確認する。
利用を認めるサービスを選定する際の確認項目を挙げる。
- 学習への利用:入力データをモデルの学習に使わない設定・プランがあるか。それは既定で有効か、利用者が切り替える方式か
- 契約・規約上の裏付け:学習非利用が法人向けプラン・API利用の規約や契約条項に明記されているか。設定画面の表示だけでは、仕様変更で覆る可能性がある
- 保存と削除:入力・出力がどこに何日保存されるか、削除を求められるか
- 管理機能:事務所側でアカウントを発行・停止でき、利用状況を把握できるか(退職時の停止を含む)
- 提供者側の取扱い:第三者提供・再委託・国外での取扱いの有無。個人データを扱うなら個人情報保護法上の整理(委託・越境移転)を法務面で確認する
個人向け無料アカウントは、この2階建てのどちらも事務所の管理が及ばない。「公式に認めるサービスは法人契約で用意し、個人アカウントの業務利用は禁止する」という組み合わせが、線引き表を実効化する条件になる。なお、入力の安全とは別に、出力側にも著作権・利用規約の論点がある——生成AIの著作権・法的リスクガイドを規程作成時の参照リストに加えておきたい。
所内展開と見直しサイクル——規程を「生きたルール」にする
配って終わりの規程は、ないのと同じ。説明会・相談窓口・半期ごとの見直しまでが利用ルール整備の一式だ。
| 段階 | やること | 見極めポイント |
|---|---|---|
| STEP1 説明会 | なぜ守秘義務優先かを条文と事故シナリオで説明。パート・補助者も対象に含める | 「自分も義務の主体」と伝わったか |
| STEP2 対象業務を明示して開始 | 守秘性の低い業務(所内文書・公開情報リサーチ・議事録)から公式ルートで利用開始 | 公式ルートが個人利用より便利か |
| STEP3 相談・報告窓口 | 線引きに迷う案件の事前相談と、誤入力時の報告ルートを一本化。報告者を責めない運用を明文化 | ヒヤリ事例が窓口に集まっているか |
| STEP4 見直しサイクル | 半期を目安に、規約変更・新ツールの追加申請・線引き表の改訂を棚卸し | 現場の実態と文書がずれていないか |
見直しの際は、所属する士業団体(税理士会・弁護士会・社労士会等)がAI利用に関する指針や留意点を公表していないか、各会の公表状況を確認のうえ反映する運用にしておくとよい。会の文書が出たときに規程側の置き場所(運用ガイドラインの改訂)が決まっていれば、対応は速い。
また、公式ルートが定着すると「過去案件を検索して下書きに活かしたい」という次の要望が必ず出る。その受け皿となる所内ナレッジ検索の作り方は士業のRAG構築ガイドで、事務所システム全体の整備は法律・会計事務所のDX・システム導入ガイドで扱っている。
よくあるつまずき——士業事務所に固有の4パターン
つまずきの多くは技術ではなく、規程と現実のずれから生まれる。
- 個人アカウント利用の黙認:「うちはまだ様子見」の間に、所員のスマホでは利用が始まっている。様子見こそ最もリスクが高い状態であり、公式ルートの整備を先送りしない
- 「禁止だけ」の規程で満足する:禁止規程の制定日以降も業務の繁忙は変わらない。代替手段なき禁止は地下利用に変わるだけで、規程は「作った事実」だけが残る
- 過去案件が紙・属人フォルダのままルールだけ精緻化:匿名化して使おうにも、元の文書が紙やベテランの個人フォルダにあれば運用が回らない。文書のデジタル化・保管ルールの統一は線引き運用の土台になる
- 所内利用の延長で外向けサービス化:所内の業務効率化と、顧問先向けにAIサービスとして提供することでは法的な局面が変わる。法務省が令和5年8月に示した弁護士法72条との関係の判断枠組み(報酬目的・事件性・法律事務該当性)のような公的整理や各会の見解を確認してからにする——本記事では深入りしない
なお、利用ルールの先にあるAIツールの選定・開発の発注で何を確認すべきか——契約・検収・ベンダー選びのつまずきは本記事の範囲外だ。その論点は連載AI開発発注の失敗図鑑に26類型で整理している。
費用感——規程整備はお金より段取り、環境整備は補助金も視野に
利用ルールの整備そのものは大きな投資ではない。費用がかかるのは法人契約と文書管理の環境整備で、こちらは補助金の対象になり得る。
規程の3層構造と線引き表は、本記事の型を使えば所内の検討会数回で初版まで持ち込める。費用が発生するのは、法人向けプランの利用料、文書のデジタル化、アカウント・権限管理の仕組みといった環境側だ。これらのシステム投資はIT導入補助金等の対象になり得る。公募回ごとに要件・締切・対象経費が変わるため、最新の公募要領での確認を欠かさないようにしたい。
よくある質問(FAQ)
Q1. まず1枚だけ作るなら、どの文書から?
運用ガイドライン、特に「入力情報の4区分表」と「利用を認めるサービスの一覧」だ。所員が今日の業務で迷う場面に直接効く。基本方針はその後に、ガイドラインを正当化する形で整える順序でも実務上は回る。
Q2. すでに所員が個人アカウントで使っていたら、処分すべき?
最初の局面で処分から入ると、利用が地下に潜って実態が見えなくなる。まず「何をどう入力していたか」を不問の申告期間で把握し、公式ルートへ移行させるのが現実的だ。基本方針には移行期間後の扱いを明記し、以後はルールとして運用する。
Q3. 1人事務所でも規程は必要?
必要だ。ただし3層をフルセットで作る必要はなく、線引き表と利用サービスの選定基準をA4で1〜2枚にまとめれば足りる。守秘義務は事務所の規模を問わないし、補助者を1人でも雇えば、その瞬間から所員向けルールが要る。
Q4. 匿名化すれば何でも入力してよい?
よくない。固有名詞を伏せても、事案の特徴の組み合わせで特定できる情報は匿名化になっていない。また個人データを含む場合は、生成AI事業者が入力を機械学習に利用しないこと等の確認が前提になる(個人情報保護委員会・令和5年6月の注意喚起)。迷う情報は「入力しない」がデフォルトだ。
Q5. 各士業団体のガイドラインを待ってから作るべき?
待たなくてよい。守秘義務の条文と個人情報保護法の要請は今すでに適用されており、所員の利用も今日進んでいる。先に自所のルールを作り、所属する会がAI利用に関する文書を公表したら見直しサイクルの中で取り込む——その置き場所を用意しておくことが「待つ」より安全だ。
まとめ:安全な使い方を先に用意した事務所から、AIの果実を取れる
士業の生成AI利用ルールは、禁止の壁ではなく交通整理だ。基本方針・運用ガイドライン・個別手順の3層に分け、入力情報を4区分で線引きし、学習非利用を設定と契約の2階建てで確認し、説明会と相談窓口と半期見直しで回す——この一式が揃ったとき、守秘義務とAI活用は初めて両立する。
ルールが整えば、文書下書き・リサーチ・ナレッジ検索という士業AIの本丸(親ガイド参照)に、安心してアクセルを踏める。最大のリスクである「見えない個人利用」を放置せず、安全な公式ルートを今週から設計し始めたい。
GXOは、士業事務所のAI導入を利用ルールの設計から所内ナレッジ構築、本格展開まで伴走支援している。
自所はAIを安全に使える状態か、5分で確認しませんか
利用ルール・文書管理・アカウント管理——生成AIを所内展開する前に整えるべきポイントの現在地を無料で診断できます。士業別(税務・法務・労務・登記・許認可)の事情に合わせた相談も受け付けています。
参考情報
- 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等」(令和5年6月2日):https://www.ppc.go.jp/files/pdf/230602_alert_generative_AI_service.pdf
- 法務省大臣官房司法法制部「AI等を用いた契約書等関連業務支援サービスの提供と弁護士法第72条との関係について」(令和5年8月):https://www.moj.go.jp/content/001400675.pdf
- 弁護士法(昭和24年法律第205号)第23条/税理士法(昭和26年法律第237号)第38条・第54条/社会保険労務士法(昭和43年法律第89号)第21条/司法書士法(昭和25年法律第197号)第24条/行政書士法(昭和26年法律第4号)第12条(e-Gov法令検索):https://laws.e-gov.go.jp/