結論: 社労士業務で生成 AI に入力できるかどうかは、扱うデータの区分と社労士の守秘義務、二つの軸で先に枠を決めておくと判断が早くなります。
個人情報保護委員会は 2023 年 6 月 2 日に「生成 AI サービスの利用に関する注意喚起等について」を公表しており、入力データが学習に利用される可能性や、第三者提供該当性を検討する必要性が整理されています。社労士業務はこの注意喚起と相性が悪い情報を日々扱う仕事です。給与・マイナンバー・健康診断結果・休職理由は、すべて要配慮個人情報か特定個人情報、もしくは社労士法上の守秘義務対象に該当しうる情報です。
「個人名を伏せれば大丈夫」「みんな ChatGPT に貼っている」という運用設計は、便利さの裏側で同意・契約・保管経路が曖昧なまま動いてしまっている状態にあたります。本稿では、社労士事務所が AI 入力可否を判定するうえで参照したい区分と論点を整理していきます。
社労士業務で扱う情報の機微度区分
AI に何かを投入する前に、扱っている情報がどの層に属するかを見える化しておきたいところです。判断のたたき台として、5 区分でラフに眺めてみます。
| 区分 | 代表例 | 主な根拠 |
|---|---|---|
| 通常の個人情報 | 氏名、住所、入社日、所属部署 | 個人情報保護法 |
| 給与・賃金関連 | 給与額、賞与額、控除額、振込口座 | 個人情報保護法、労基法 |
| 要配慮個人情報 | 病歴、健康診断結果、障害、傷病手当金の事由、メンタル休職理由 | 個人情報保護法 第 2 条第 3 項 |
| 特定個人情報 | マイナンバー、マイナンバーを含む特定個人情報ファイル | 番号法 |
| 守秘義務対象 | 顧問先から知り得た一切の事実 | 社労士法(守秘義務) |
社労士事務所は、この 5 層のほぼ全部を日常的に扱います。AI 入力判定は、最低でもこの分類のどこに位置する情報かを意識して進めることが望ましいと考えています。
要配慮個人情報の建付け
個人情報保護委員会の通則ガイドラインでは、要配慮個人情報を 11 項目で定めています。人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被った事実、身体・知的・精神障害、健康診断その他の検査結果、保健指導・診療・調剤の事実、刑事手続が行われた事実、少年保護手続が行われた事実、の 11 項目です。
通常の個人データと比べて、取り扱いには次の制約が課されています。
- 取得時に、原則としてあらかじめ本人の同意が必要になります
- 第三者提供時に、あらかじめ本人の同意を得ないで提供してはなりません
- オプトアウト方式での第三者提供はできません
社労士業務で言えば、傷病手当金の請求、休職理由、健康診断結果、障害者雇用関連の書類は、ほぼ直結で要配慮個人情報に該当しうるものです。「AI で要約させる」一手間の前に、この区分が頭にあるかどうかが分岐点になってきます。
マイナンバーは個人情報保護法とは別に、番号法で利用目的が厳格に制限されています。社労士業務では年金・雇用保険・健康保険・税務関連の法定事務に利用が限定されるため、マイナンバー付き帳票を AI-OCR に流す、マイナンバーを含む CSV をチャット欄に貼り付けて集計させる、といった運用は「法定事務以外の目的での利用・提供」と評価される余地があります。実務的には、マイナンバーは AI に投入しないことを既定方針に置き、必要があればマスキングした上で構造のみを残す運用が現実的だと考えています。
個別事案における同意・委託・第三者提供の該当性は、顧問先との委任契約・利用目的通知書面・実際の処理実態を踏まえて確認することが必要になります。本稿は一般論としての整理にとどまる点をご了承ください。
守秘義務と「漏えい」評価
社労士法上、社労士・元社労士は、業務上知り得た事実を正当な理由なく漏らすことができないとされており、罰則規定も置かれています。
「AI への入力」がこの「漏えい」に当たるかについて、現時点で確立した行政解釈・判例が公開されているわけではありません。ただし、現場の判断材料として次の観点は参考になると考えています。
- 入力データを学習に利用する契約で運用している場合、データは社外に流出していると評価される余地があります
- 海外サーバに保管される場合、データの所在国・準拠法によって本人の権利行使が困難になります
- 顧問先との委任契約に AI 利用の可否が書かれていない場合、顧問先が想定していない第三者へのデータ提供と受け取られる余地があります
「便利だから使う」前に、委任契約書・利用目的通知文書・社内規程に AI 利用条項があるかを点検しておく価値は高いと考えています。
入力前に通過させたい問い
AI に投入する前に通過させたい問いを並べておきます。順番に「NO」が出た時点で投入は止める判断が安全側になります。
- そのデータの区分は何でしょうか(通常/給与/要配慮/マイナンバー/守秘義務対象)
- 本人同意の範囲に AI 入力は含まれているでしょうか(委任契約書・利用目的通知書面)
- 入力先 AI の契約は学習利用を抑止しているでしょうか(法人プラン/API/DPA)
- 保管場所はどこでしょうか(国内/海外、ベンダー側ログの保持期間、削除可否)
- 再委託先の管理は確認できているでしょうか(AI ベンダーがさらに下請けに渡していないか)
- ログ・監査証跡は残るでしょうか(誰が・いつ・何を入力したかが追えるか)
問い 1〜2 は事務所内部で完結する論点ですが、問い 3〜6 はベンダー契約と社内インフラの設計に踏み込む内容になります。後者は所長一人で背負わず、社内のシステム担当者や、データレジデンシー要件を読み解ける専門家と分担することを想定したほうが現実的に回しやすくなります。
自所への適用ステップ
最後に、明日から動きやすい順に手順を並べておきます。
- 直近 3 か月で AI に投入した(または投入しそうになった)情報を棚卸しし、5 区分にラベル付けします
- 顧問先との委任契約書のうち、AI 利用条項が無いものを抽出します
- 利用中の AI サービスのプラン種別と DPA の有無を確認し、要配慮個人情報・マイナンバーが流れた経路があれば即時に停止します
- マイナンバーは AI に投入しない、要配慮個人情報は法人プラン+マスキング前提でのみ投入可、といった既定方針を 1 枚にまとめて事務所内に掲示します
- 半年後に再点検する日付をカレンダーに入れておきます
「全部を一度に解決」ではなく、棚卸しで現状の地図を描くところから始めると、論点ごとの優先度が見えてきます。
参考
- 個人情報保護委員会「生成 AI サービスの利用に関する注意喚起等について」(2023 年 6 月 2 日)
https://www.ppc.go.jp/news/careful_information/230602_AI_utilize_alert/ - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - 個人情報保護委員会「個人情報保護法(令和 2 年改正)」
https://www.ppc.go.jp/personalinfo/legal/kaiseihogohou/ - 全国社会保険労務士会連合会(公式)
https://www.shakaihokenroumushi.jp/ - 社会保険労務士法(e-Gov 法令検索 / 社会保険労務士法)
https://elaws.e-gov.go.jp/document?lawid=343AC1000000089
改正があり得るため最新版は公式情報を確認のこと