Microsoft Learn の「Microsoft Purview Information Protection」のページでは、情報保護の前提として「Know your data → Protect your data → Prevent data loss」という流れが示されています。最初の出発点に「Know your data(自社データを把握する)」が置かれているのは、Microsoft 公式ドキュメント上で明示されているとおりです。AI を業務に入れる手前で、所内のどこに何があるかが見えていない、という声を伺う場面が増えてきました。本稿ではこの「手前の作業」を、業務の流れに沿ってご紹介します。
文書の棚卸しで詰まりやすい場面
「Microsoft 365 Copilot を使い始めたい」「Notion AI で所内ナレッジを検索したい」「自前で RAG を組みたい」というご相談は、AI の検討が一周した段階で出てくることが多いです。ベンダーの公式ドキュメントを読み進めると、「導入の前に文書を整えておくこと」が前提条件として書かれている場面に出会います。ここで現場の手が止まる、という流れが見えてきます。
止まる背景には、人手と時間の制約があります。何百 GB もある所内ドライブを誰が触るのか。税務・労務・登記の繁忙期に職員を文書整理に張り付ける余裕は、事務所には残りにくいものです。所長ご本人が手を動かせる時間は最も希少で、文書整理に割きにくい場面が多いです。文書の整え直しは「重要だが緊急ではない」象限に入りやすく、結果として「整わないまま AI を入れて、想定外の挙動が出たところで一度止める」という流れが繰り返されることがあります。
棚卸しは単一の作業ではなく、性質の異なる複数の作業が積み重なったものです。性質ごとに分けておくと、「誰がやるか」「外注に出せるか」「ツールで自動化できるか」の判断がしやすくなります。本稿では、現場でよく分けられている形を順にご紹介します。
分類して、文書の見取り図を作る
最初に置きやすいのが、業務領域(税務 / 労務 / 登記 / 顧問先別)、文書種別(マニュアル / 議事録 / ひな形 / 個人メモ)、信頼度(公式 / 下書き / 個人見解)で文書を仕分けする作業です。フォルダ構造の見直しと命名規則の整え直しが中心になります。業務知識の比重が高い場面で、士業ご本人・担当者の方の手が一番動く場所になります。
分類の粒度は、「自分たちが普段検索したい単位」と一致させる形がよく取られています。「顧問先 A の決算関連書類」を 1 セットで検索したい場合なら、顧問先 × 業務 × 年度の 3 軸でフォルダを切る、というように、検索の場面から逆算する形です。全ファイルの完璧なタグ付けを目指すと作業が止まりやすいので、「よく検索するもの」「想定外の挙動が出ると影響が大きいもの」から先に手を入れていく事務所もあります。
ラベルを付けて、機械が読める形にする
分類した文書に、機械可読な形でメタデータを乗せる場面が次に来ます。秘密度(公開 / 社内 / 機密 / 厳秘)、有効期限、担当者などを、ファイル名・タグ・専用ツールで明示する作業です。Microsoft Learn の「Learn about sensitivity labels」のページでは、ラベルが clear text のメタデータとして文書に埋め込まれ、文書が移動してもラベルが追従する性質を持つ、と説明されています。
ラベル付けの実装には、いくつかの選択肢があります。
- ファイル名・フォルダ名で表現する素朴な形
- スプレッドシートで一覧管理する形
- Microsoft Purview / Google Workspace のラベル機能などツール側の機能を使う形
Microsoft Learn の sensitivity labels の解説では、ラベルはメタデータとしてファイル本体に埋め込まれ、SharePoint・OneDrive・Office アプリ・Teams・サードパーティアプリ間で追従する設計、とされています。手動運用と比べると、ファイルがコピー・移動されても権限がついてくる点が利点として記述されています。
ツール導入には別のハードルもあります。秘密度ラベルは Microsoft 365 のライセンスプランに依存し、ラベル体系(何種類用意するか・誰に公開するか)自体が設計の場面を持ちます。同ページでは「5 つを超える主ラベル、または主ラベルあたり 5 つを超えるサブラベルになると、実運用での有効性が目に見えて下がる」とも書かれており、ラベル体系の肥大化を避ける設計が前提となっています。実務的には、まずファイル名・スプレッドシートの素朴な形で全体像を掴み、運用が回り始めてからツール側の機能に移していく事務所が多いです。最初からツール導入に入ると、「ツール設定の議論」と「文書整理そのもの」が混ざって、進みにくくなる場面が出てきます。
役割を終えた文書をアーカイブする
役割を終えた文書をアーカイブ、あるいは削除する場面では、技術的な難しさよりも、組織として「決める」場面のほうが詰まりやすいです。改正前のひな形、退職者の方の下書き、終了した顧問先の業務メモなどが対象に上がってきます。
ここで迷うのは、士業特有の保存義務との兼ね合いです。税理士法では関与先の帳簿書類の保存期間が定められていて、弁護士法・社労士法にもそれぞれ守秘義務と関連する記録保管の規律が置かれています。「業法上保存することが求められているもの」と「保存義務はないが念のため残しているもの」を分けて、後者から手を入れていく事務所もあります。アーカイブフォルダに移すか、明示的に削除するかは選択になりますが、削除を選ぶ場合は復旧不能になるため、所内承認のフローを通す形がよく取られています。
ひな形・マニュアルを現行版に揃える
同じテーマで複数バージョンが存在するひな形・マニュアル・所内基準を、現行版に一本化する場面もあります。「ひな形 A と B のどちらが現行か分からない」という状態を解いて、検索の結果が矛盾しない状態に近づけていく作業です。
手順としては、全バージョンを並べて差分を見えるようにする → 現行版を決める → 旧版にはファイル名・先頭メタデータで「旧版・YYYY 時点」と明示する → アーカイブフォルダに移す、という流れになります。AI で所内検索を試す前にここを通しておかないと、矛盾したまま LLM に渡されて、もっともらしい折衷案が回答として返ってくる場面が出てきます。
この場面には「決める方」が要ります。所長・パートナー・所内基準委員会など、責任を持って判断する役割を明示的に置いておくと、「誰も決められないので全部残す」という形に向かいにくくなります。
暗号化とアクセス制御は専門家と一緒に設計する
マイナンバー・口座情報・特定個人情報を含む文書、顧問先間で見せない文書については、暗号化と権限分離を設計する場面が出てきます。Microsoft Learn の「Microsoft Purview Information Protection」概要ページでは、保護機能として sensitivity labels・Double Key Encryption・Message Encryption・Customer Key・SharePoint IRM など複数のレイヤが挙げられています。これらは「どれか 1 つを入れれば終わり」という形ではなく、保護したい文書の性質(社内のみ / 外部共有あり / 規制要件あり)に応じて組み合わせる、と公式では説明されています。
士業事務所として確認の場面に挙がりやすい論点を、いくつか並べておきます。
- テナント分離: 顧問先データを SaaS に置く場合、テナント単位でデータが分離されているか
- 暗号化の鍵管理: ベンダー管理鍵 / 顧客管理鍵(Customer Key)/ 二重鍵(Double Key Encryption)のどれを使うか
- 権限の継承: フォルダにかけた権限が、ダウンロード後のファイル・添付メール・引用先にも引き継がれるか
- 監査ログ: 誰が・いつ・どの文書にアクセスしたかの記録が残るか
- 保持期間: 削除した文書がベンダー側にどれくらい残るか
これらは「機能の有無」と「自所の運用に組み込まれているか」を分けて見ていく形が取りやすいです。機能としては提供されていても、デフォルト無効になっていたり、上位プランで有効になっていたりする場面があります。Microsoft Learn の中でも、機能ごとにライセンス要件が異なる旨と、サービス記述書(Service Description)で確認するように案内されています。
設計を誤ると「鍵を失って自所でも復号できない」「権限を絞りすぎて業務が止まる」という、修正コストが大きい場面に直結します。この領域は、IT・セキュリティの専門家の方に伴走してもらう価値が出やすいところです。
個人情報保護委員会の注意喚起から読み直す
文書の棚卸しは AI 導入の準備作業であると同時に、コンプライアンス業務の中核にも置かれます。個人情報保護委員会は 2023 年 6 月 2 日付で「生成 AI サービスの利用に関する注意喚起等」を公表していて、利用者側が「入力する情報の範囲」と「サービス提供者側でのデータ取り扱い」を理解した上で利用することを促す内容が含まれています。
文書棚卸しの文脈で読み直すと、「何を AI に渡してよいか」を判別できる状態にしておくことが、注意喚起の趣旨を満たす前提条件として置かれます。分類されていない文書群では、そもそも「渡してよいか」の判断ができない、という場面に行き着きやすいです。
士業事務所として確認の場面に挙がりやすい論点を並べておきます。
- 特定個人情報(マイナンバー): 番号法上、利用目的に必要な範囲を超えた取り扱いは制限される
- 守秘義務: 弁護士法・税理士法・社労士法などの守秘義務条項と、クラウドベンダーへのデータ預託の整合
- 顧問契約上の取り扱い: 顧問先との契約に「第三者提供時の事前通知・同意」の規定があるか
- データの所在: クラウドベンダーがデータをどの国・地域のデータセンターで処理するか
- 監査対応: 監査・調査が入った際に、誰が・いつ・どの文書にアクセスしたかを示せるか
これらは前段のラベル付けの場面で表現しておくと、後の運用が楽になります。「マイナンバー含む文書」「顧問先 A の機微情報」「公開可能な所内マニュアル」が機械可読な形で区別されていると、AI に渡す範囲を機械的に制御しやすくなります。
所内・外注・専門家で担いを分ける
棚卸しのすべての場面を所内だけで抱え込まなくてもよい場面が多いです。担いを分けて、どこを誰に振るかを最初に決めておくと、プロジェクトが詰まりにくくなります。
| 担い手 | 適した作業 | 主な判断軸 |
|---|---|---|
| 所内(士業の方・職員) | 分類・命名・廃止判断・現行版の決定 | 業務知識が中心 |
| 外注 | スキャン・OCR・リネーム・重複検出 | 定型作業・設計が固まっている |
| IT・セキュリティ専門家 | ラベル体系・権限モデル・暗号化方針の設計 | 業務知識 × IT 知識の判断 |
外注を使う場面では、顧問先の機微情報が含まれるときに、外注先との守秘義務契約・データ取り扱い契約の整え直しが入ってきます。クラウドベンダーに渡す場合と同様に、「処理委託」として整理できる範囲を契約前に確認する手順が要ります。
クラウドツールに自動化を肩代わりさせる選択肢も並びます。Microsoft Purview の auto-labeling(自動ラベル付け)、trainable classifiers(学習可能な分類器)、Data Loss Prevention(DLP)などを組み合わせると、「正規表現で個人情報を検出してラベルを自動付与」「機微情報の社外共有を自動ブロック」といった作業を機械化できる、と Microsoft Learn のページに記載されています。同ページでは、これらの機能が Know / Protect / Prevent の各段階に紐づけて並べられています。ただし設定の設計と運用は人間の場面として残ります。
3 つは排他ではなく、組み合わせて使うものになります。「設計は専門家、機械化はクラウドツール、定型作業は外注」のような分け方が現実的な形として挙がっています。
このテーマで残る場面
文書の棚卸しは、「やってから後悔する」場面が少なく、「やらずに AI を入れて困りやすい」場面が出てくる領域です。AI 製品の選定に進む手前で、自所の文書が今どこで止まっているかを一度見ておくと、導入後の手戻りが少なくなる流れが期待できます。
一方で、棚卸しの設計には「どこまで詰めれば AI 導入に進めるか」という閾値の場面が残ります。完璧主義に寄ると進みにくくなるため、「優先度の高い顧問先・業務領域だけ先に整える」「機微情報を含むフォルダだけ先に隔離する」という形で段階的に進める設計を取っている事務所もあります。閾値の置き方は事務所の規模と業務構成によって変わるところで、汎用の正解は置きにくい場面です。まずは自所の文書が今どの場面で止まっているかを一度見てみる、という小さな着手から始めていただける構成になっています。
参考
- 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」(2023年6月2日)
https://www.ppc.go.jp/news/careful_information/230602_AI_utilize_alert/ - Microsoft Learn「Learn about sensitivity labels」(2026年4月15日更新)
https://learn.microsoft.com/en-us/purview/sensitivity-labels - Microsoft Learn「Microsoft Purview Information Protection」(2026年2月26日更新)
https://learn.microsoft.com/en-us/purview/information-protection - 経済産業省・総務省「AI事業者ガイドライン」関連審議会ページ
https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/