無料AIと法人AIの差は何でしょうか。これを「賢さの差」と捉えてしまうと、選定の議論が空転しやすくなります。生成AIの応答品質は同じ基盤モデル系列であれば、無料版と法人版で大きく差がつかない場面が多く、純粋な性能比較で判断するとミスリードに陥りやすいところです。一方で、入力データが学習に使われるか、誰がいつ何を入力したかを後から追えるか、SSO/MFAで組織のID基盤と統合できるか、契約上の責任範囲が事務所の守秘義務と整合するか——この観点で見ていくと、無料版と法人版は別物と言える差がついていることが多いのです。
本記事は「どのAIが優れているか」ではなく「業務利用するなら何を確認するか」の整理を主題に据えています。
業務利用の判断軸は「賢さ」ではなく「管理できるか」
士業事務所が業務でAIを使う場合、最初に問うべきは「賢いか」ではなく「管理できるか」になります。判断軸は次の 5 つに集約されます。
- データの取り扱い: 入力した内容(顧問先の決算書、相談内容、当事者名など)がモデル学習に使われるか
- 管理者機能: 誰が何のアカウントを持っているかを、所長や事務局が一元的に把握・棚卸しできるか
- ログ・監査: いつ誰がどんな入力をしたかが、後から追えるか
- 認証強度: SSO(シングルサインオン)やMFA(多要素認証)が使えるか
- 契約条件: データ処理契約(DPA)や SOC 2 / ISO 27001 などの第三者監査レポートが提示されるか
これらが揃っているかどうかは、AIの応答品質とは独立した論点になります。応答が優秀でもログが取れなければ、顧問先から「うちの情報を入れて大丈夫だったのか」と問われたときに答えられません。
データが学習に使われるか
最も誤解されやすいのが、「データが学習に使われるかどうか」の扱いです。一般論として、個人向けの無料・有料プランと、法人向け(Business / Enterprise / API)では、デフォルト設定が異なります。
個人向けプランでは、入力データがモデル改善に使われる設定がデフォルトになっていることがあり、ユーザー側でオプトアウト操作をしないと学習対象になる場合があります。一方、法人向けプランでは、契約条件として「顧客データを基盤モデルの学習に使わない」と明示されているケースが目立ちます。
たとえば大手プロバイダの法人向けプランでは、プロンプトや応答、関連サービス経由でアクセスされたデータが基盤となる大規模言語モデルの学習には使われないと明記されているケースがあります。同様に、別のプロバイダの法人向けプランでも「顧客データはデフォルトではモデルの学習に使わない」と説明されています。クラウドオフィス連携の生成AIについても、「顧客の事前許可なくモデル学習に顧客データを使わない」とプライバシーハブで案内されているものが見られます。詳細はそれぞれのプロバイダの公式情報を確認してください。
ここで注意しておきたいのは、「学習に使わない」という条件が成立するのは契約プラン上のみ、という点です。個人アカウントで同じ UI に見えるサービスを使った場合、契約条件が異なります。士業事務所の業務利用では「事務所として法人契約を結んだプラン」を使う運用が望ましいと言えるでしょう。
管理者機能・ログ・SSO・MFA
法人プランを選ぶ理由は「学習に使われない」だけではありません。むしろ後から効いてくるのは、管理者機能の存在です。
- SSO: 事務所のIDプロバイダ(クラウドIDサービスなど)と連携することで、退職者のアカウントを即時に無効化できる
- SCIM: 人事システムからの自動プロビジョニング・デプロビジョニングが可能
- 監査ログ: いつ誰がどんなプロンプトを入力したか、後から検索・エクスポートできる
- データ保持期間の制御: 会話履歴を一定期間で自動削除するか、無期限保持するかを管理者が選べる
- DLP・コンプライアンス連携: 情報漏洩防止ツールや、統合監査基盤との接続
代表的な法人向け生成AIサービスでは、組織のIDモデルと権限を尊重し、機密ラベルを継承し、保持ポリシーを適用し、操作の監査をサポートすると説明されています。別のプロバイダでも、既存の ID プロバイダ経由でサインインし、管理者がアクセスとオフボーディングを一元管理できる旨、また保持期間も設定可能である旨が説明されています。いずれも公式情報を確認のうえで運用要件と突き合わせてください。
これらは、無料版や個人向け有料プランには通常含まれていません。事務所として「誰が何を入力したか」を後追いできない状態でAIを使うことは、守秘義務や顧問先からの問い合わせへの応答という観点で、点検価値の高い構造的論点になります。
横断ビュー: 個人向けと法人向け
代表的なサービスについて公開情報から読み取れる範囲で整理してみます。プラン名や機能は変更され得るため、契約前には必ず公式ドキュメントの最新版を確認してください。
| 観点 | 個人向け(無料 / 個人有料) | 法人向け(Business / Enterprise / API) |
|---|---|---|
| データの学習利用 | デフォルトで学習対象になる場合があり、オプトアウト操作が必要なケースがある | 契約条件として「学習に使わない」と明示されているケースが目立つ |
| 管理者機能 | 個人アカウント単位、一元的な管理は想定されていない | 管理コンソールで一元管理、アカウント棚卸しが可能 |
| 監査ログ | 取得・エクスポートできないか、限定的 | プロンプト・応答の監査ログを取得・エクスポートできる構成が提供される |
| SSO(SAML / OIDC) | 通常は非対応 | 対応するプランが提供される |
| SCIM | 通常は非対応 | Enterprise 系で対応 |
| データ保持期間の制御 | 個人設定の範囲 | 管理者側で保持期間を制御可能 |
| 第三者監査レポート | 個人プラン単体での提示は限定的 | Trust Portal 等で対象プランを明記して公開 |
| DPA | 通常は締結対象外 | 法人契約で DPA が提示される |
「賢さ」の列がこの表に登場しない点が、本記事の論点と整合しています。性能差ではなく契約と管理機能の差で線引きされている、と読み取れます。
主要サービス類型ごとの整理
公開ドキュメントから読み取れる範囲で、サービス類型ごとの特徴を簡潔に整理しておきます。
汎用チャット型AI(無料 / Plus / Team / Business / Enterprise / API): Trust Portal 上で、SOC 2 Type 2、ISO/IEC 27001:2022、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27701 などの第三者監査レポートを公開しており、対象プランが明記されているケースがあります。Team / Business / Enterprise および API では、入力データがモデル改善に使われないことが契約条件として提示されるとされており、Enterprise では加えて SSO/SAML、SCIM、監査ログなどが提供されます。最新の対象プラン・対象範囲は公式情報を確認してください。
オフィススイート統合型AI: Enterprise Data Protection(EDP)の枠組みを提供しているケースがあり、データ処理契約(DPA)と製品条項の下で、データ暗号化・テナント間分離・顧客データの目的外利用禁止・組織の ID と権限の尊重・大規模言語モデルの学習への不使用を約束していると説明されています。既存のオフィススイートのテナント境界・権限モデル・監査基盤の上に乗っているため、既導入事務所では追加のガバナンス設計コストが比較的低く済む傾向があります。
クラウドオフィス連携型AI: プライバシーハブで、顧客プロンプトを顧客データとして扱うこと、顧客の事前許可なくモデル学習に使わないこと、データ保持期間を管理者が設定可能なこと、SOC 1/2/3・ISO 9001/27001/27017/27018/27701/42001・FedRAMP High などへの対応が明示されているケースがあります。「ワークスペーステナント配下の生成AI」と「個人向けアプリ」では取り扱いの規約が異なる可能性があるため、事務所利用ではテナント配下で使う運用が前提になります。
法人特化チャット型AI(個人版と Enterprise): Enterprise プランでは、顧客データがデフォルトでモデル学習に使われないこと、既存 ID プロバイダ経由の SSO、管理者によるアクセス・オフボーディング一元管理、設定可能な保持期間、監査対応などが提供されると説明されています。個人向けの無料・Pro プランとは契約条件と管理機能が異なります。
選定時のチェックリスト
具体的なサービス選定の前に、次の項目を埋められる状態にしてから契約することをおすすめします。
- 入力データが基盤モデルの学習に使われない契約条件か(DPA や利用規約で確認)
- 監査ログを取得・エクスポートできるか
- SSO(SAML / OIDC)に対応しているか
- SCIM 等で退職時のアクセス権剥奪が自動化できるか
- データ保持期間を管理者側で制御できるか
- SOC 2 / ISO 27001 などの第三者監査レポートが提示されているか
- データ処理の地理的範囲(リージョン)が確認できるか
- 顧問先・依頼者の個人情報を入力する場合、本人同意・約款上の整理ができているか
- 事務所内で「入力してよい情報・してはいけない情報」のガイドラインを文書化したか
視点の置きどころ
「無料版で進めてしまっていたが、法人プランへ切り替えるべきか」という問いに対しては、性能差ではなく、契約条件・管理機能・第三者監査レポートの 3 点を見て切り替え判断する、というのが安全側に倒した整理になります。
特に視点を置いておきたいのは、「便利だから現場で勝手にツールが増殖していく」状態(いわゆるシャドーAI)への抑止です。AI 導入は、ツール選定よりも先に「どのプランで全所統一するか、誰がアカウントを管理するか」を決めておくほうが、結果的に運用コストが低く済みます。性能で選ぶ段階に入る前に、契約と管理の枠を先に決めておきましょう。順序を逆にすると、後から差し替えるときの履歴処理が重くなってしまいます。
参考
- 各プロバイダの法人向けプランのデータ取り扱い・学習利用条件・管理機能については、契約前に必ず公式ドキュメントの最新版を確認してください。
- 第三者監査レポート(SOC 2 / ISO 27001 等)の対象プランと対象期間は、各社の Trust Portal 等で公開されています。