5 名規模の士業事務所で、ある日「顧問先 A の機微情報を、職員が個人 ChatGPT アカウントに入力していた」と気づく、という話を伺うことがあります。所長兼任体制で IT も労務もコンプラもまとめて見ている事務所では、こうした事象に「気づける人がいない」状態になりやすいようです。本稿は、その状態を最小コストで補う考え方を、ルール・ログ・レビューの 3 点と外部リソースの使い分けでお伝えします。
「うちは所長と職員 1〜2 人の小さな事務所だから、AI もそんなに大げさなルールはいらない」と感じる場面は自然にあります。何十人もの組織で必要になる多層的な決裁フロー・部門間調整・大規模な監査ログ基盤は、少人数事務所にはオーバースペックになる場面が多いです。
ただし、「大企業並みの統制は不要」という前提と、「最小限の枠組みは持っておく」という発想は両立できる場面があります。少人数事務所は、IT・労務・コンプラを兼任で回している方が多く、事故が起きたときに止めに入る役回りが構造的に置きにくいことがあります。さらに、顧客との距離が近いぶん、ひとつの誤発信が事務所の信用全体に直結しやすい固有事情もあります。
見張り役がいなくなりやすい場面
中堅以上の事務所には、IT 担当・労務担当・コンプラ担当が分かれて置かれていることが多く、誰かが気づけば軌道修正が入る流れになっています。一方、少人数事務所では所長か総務担当の方が IT も労務も契約管理もまとめて兼任しているケースが一般的です。
兼任体制そのものは少人数事務所として合理的な形ですが、AI 関連の判断 (このサービスは個人情報を学習に使うのか、契約上どのプランなら学習除外になるのか、退職時にどのアカウントを止めるのか) には、専門知識がないと気づきにくい論点が混ざっています。「気づける人がいない」状態が起きやすい場面と言えそうです。
多忙のなかで判断材料が揃いにくい場面
少人数事務所のスタッフの方は、平時から複数業務を抱えていることが多いです。AI に関する新しいサービスや規約変更が出ても、ゆっくり比較検討する時間が取りにくく、「とりあえず無料プランで試した」「同業者が使っていたので入れた」というスタートになりやすい場面があります。
導入時点で利用規約・データ取り扱いを精読せずに進めると、後から「実は入力データが学習に使われる契約だった」「顧問先データを入れてしまった」と気づくケースが出てきます。時間がないことが、結果として判断材料が揃わないまま進む要因になりやすいようです。
1 件の事故が事務所運営に大きく響く場面
100 名規模の事務所で 1 件の漏えい事故が起きるのと、5 名規模の事務所で 1 件の漏えい事故が起きるのとでは、組織内での影響度合いが変わってきます。少人数事務所には、こんな事情があります。
- 顧問先 1 社あたりの売上構成比が高い (1 社失うインパクトが大きい)
- 所長=看板であるため、所長個人の信用毀損が事務所存続に直結しやすい
- 代替要員がいないため、対応に追われている間、本業が止まる
「少人数だから事故が起きても小さく済む」という見方もありますが、現場でお話を伺うと、少人数だからこそ 1 件の事故が経営に大きく響く場面が出てきます。
ルール/ログ/レビューを最小単位で持っておく
「統制」と聞くと、分厚いマニュアルや専任のコンプラ部門を連想しやすいですが、少人数事務所が最初に持つものはもっと小さい単位で構わない場面が多いです。IPA「中小企業の情報セキュリティ対策ガイドライン」では、最低限の対策として「情報セキュリティ基本方針」「アクセスログの取得」「資産管理台帳」などを含む基本セットが示されています[^ipa]。AI 専用のガイドラインではないですが、考え方は流用できそうです。
AI に当てはめると、最小単位として持っておきたいのは、ルール・ログ・レビューの 3 つになります。
ルール (Rules)
- AI に入れてよい情報・入れてはいけない情報の線引き (A4 1 枚程度で十分な場面が多いです) (参考: 士業がChatGPT入力を禁止すべき情報)
- 利用してよい AI サービスの一覧 (プラン・契約条件込み)。共有 ID で運用するとログが個人に紐付かなくなるため、個別 ID にする運用の方が振り返りやすくなります (参考: 共有IDの危険性)
- 退職・異動・新規参画時のアカウント追加/削除の手順 (参考: 退職時AIアカウントの棚卸し)
完璧な就業規則レベルでなくてよく、所内全員が同じ認識を持つための共通テキストがあるか、という観点になります。
ログ (Logs)
- 誰がどの AI サービスを契約しているかの一覧
- 顧問先データを AI に入れた/入れていないの自己申告ログ (簡易なものでよいです)
- 利用している AI サービスの「データ学習利用」設定状況のスクリーンショット
大層なシステムでなくても、スプレッドシート 1 枚で始めている事務所もあります。後から振り返れる証跡が残っているか、という点が中心になります (参考: AI利用ログを残すべき理由)。
レビュー (Review)
- 月 1 回でいい、定例で「先月 AI をどう使ったか」を所内で振り返る時間
- 半年〜1 年に 1 回、利用サービスの規約変更・契約プランを再点検
- 顧問先データを AI に入れる前の「ダブルチェック当番」の存在 (兼任で可)
レビューは「やった結果を見直す」場として置いておくと、ルールとログを後で振り返りやすくなります。
3 つが揃っていれば、規模相応の最小統制としては成立する場面が多いです。逆に、どれか 1 つが手薄になると、事故時に「誰が決めたか分からない」「何があったか追跡できない」「同じ事象が繰り返される」という流れになりやすいです。
兼任で回している事務所の体制例
少人数事務所で「AI 担当を専任で置く」のは現実的でない場面が多いです。兼任を前提に、無理なく回せそうな体制例を 2 つご紹介します。
所長+もう 1 名 (2 名事務所)
- 所長がルール策定の責任者 (決裁者)
- もう 1 名がログ管理・利用状況の記録係
- レビューは月 1 回 30 分、お茶を飲みながらの場でもよいです
このサイズなら、専門家のサポートを部分的に入れることで、最低限の枠組みが回っているケースがあります。
所長+3〜5 名
- 所長がルール策定の決裁者
- IT に比較的詳しいスタッフの方が「AI 窓口担当」(兼任)
- レビューは月 1 回の所内ミーティングに 10 分組み込む
- 半年に 1 回、外部の専門家に第三者点検を依頼する
「AI 窓口担当」は、決定権を持つ役割ではなく、気になることを集約して所長に上げる役として位置付けると、兼任でも回りやすくなります。
避けたい流れとしては、担当を決めないまま走り出す形 (事故時に動き出しが遅れやすいです)、担当を 1 名に丸投げして所長が関与しない形 (属人化しやすく、所長の関与意識が薄まりやすいです)、ルールをドキュメント化しないまま口頭運用にする形 (人が辞めると消えてしまいます) が挙げられます。
これらは規模の大小を問わずに見られる場面ですが、少人数事務所では業務多忙のなかで後回しになりやすい領域でもあります。短時間でも明文化しておくと、後の負担が軽くなる場面が多いです。
外部リソースの使い分け
少人数事務所がすべてを内製でまかなうのは難しい場面があります。外部リソースをどう使い分けるかも、統制設計の一部になります。
| 観点 | スポット相談 | 伴走型支援 |
|---|---|---|
| 論点の性質 | 決めれば終わる | 運用に組み込む |
| 期間 | 1 回〜数回 | 数ヶ月〜 |
| 必要な知見 | 自所内+単発助言で足りる | 業界・技術知見の継続投入が要ります |
| 典型例 | 規約確認、ルール雛形、勉強会 | RAG 設計、業務フロー組込、監査ログ運用 |
スポット相談で済む領域には、契約している AI サービスの規約が学習利用上問題ないかの確認、「AI に入れていい/いけない」ルールのテンプレート化、1〜2 時間のオンライン勉強会 (所内向け) などがあります。専門家への単発相談や、士業会・商工会議所が提供する無料/低額の相談窓口で対応できる場面もあります。
伴走型支援が向く領域には、顧問先データを RAG 等で参照させる仕組みの設計、業務フローへの AI の組み込み (ヒアリング → 書類作成 → チェック → 提出)、監査ログ・操作ログを日々の業務に組み込んだ運用、本番運用後の改善サイクルなどがあります。単発相談では立ち上げきれない領域になります。
判断軸としては、「決めるだけ」で済む論点か「運用に組み込む」必要のある論点か、1 回で終わるか継続的に改善が必要か、所内のスタッフだけで判断材料が揃うか業界・技術知見が要るか、というあたりが目安になります。
セキュリティ・コンプライアンスで間に置いておきたい論点
少人数事務所だからこそ、間に置いておきたい論点をいくつか並べておきます。
- 個人情報の入力範囲: 個人情報保護委員会は 2023 年 6 月の注意喚起で、生成 AI サービスに個人情報を入力する際は利用目的の達成に必要な範囲かを事前に確認するよう示しています[^ppc]。顧問先データを安易に投入しない運用ルールを間に置いておく場面が多いです。
- 第三者提供・学習利用の確認: 契約している AI サービスが、入力データを学習に使う仕様か。エンタープライズプラン・API で学習除外オプションがあるか。少人数事務所ではこの確認が後回しになりやすいですが、契約時に 1 度確認しておくと、後で困りにくくなる場面があります。
- 守秘義務との関係: 弁護士法・税理士法・社会保険労務士法・行政書士法はそれぞれ守秘義務を課しており、AI に対する情報提供もこの射程に入る可能性があります。「便利だから」で顧問先情報を入れる前に、業法上の整理を済ませておく場面があります。
- アカウント棚卸し: 兼任で複数アカウントを持つことが多い少人数事務所では、退職・異動時の棚卸しが間に入りにくくなる場面があります。IPA のガイドラインでも、資産管理台帳の整備が基本対策として挙げられています[^ipa]。
- インシデント連絡経路: 何かあったときに「誰が」「誰に」連絡するかを 1 行でいいので決めておくと、動き出しが早くなります。少人数だからこそ、暗黙の前提に頼らず明文化しておくと振り返りやすくなります。
- 生成結果のレビュー: 最終的に書類に判子を押すのは有資格者の方になります。AI の出力をそのまま顧問先に渡さず、有資格者の方の目を通す工程を業務の流れに置いておく場面が多いです。
これらは「専任のコンプラ部門」がなくても回る範囲のものになります。所長+兼任担当の 2 名でも、明文化と定期見直しを間に置いておくと、最低限の流れにはなりそうです。
抜けやすい場面
ルール・ログ・レビューの 3 点を整えていく中で、少人数事務所で抜けやすい場面をいくつかご紹介します。
レビューの「やりっぱなし」は、月 1 回 30 分の振り返りを始めても、議事録を残さなければ翌月には記憶から消えやすい場面です。スプレッドシートに 3 行でいいので残す運用にしている事務所もあります。
所長の「自分は別」感覚もよく聞きます。所長ご本人が個人アカウントで顧問先情報を入力してしまうケースは、現場でときどき耳にします。ルールは所長を含めて全員に適用される、という前提を明文化しておく事務所もあります。
業務外利用の見落としもあります。会計ソフトに付属する AI 機能、メールクライアントの AI 補助、ブラウザ拡張など、「AI を使っている」と意識しないツールが増えています。利用サービス一覧の棚卸しは、明示的に契約した SaaS だけでなく、所内 PC にインストールされているツール群まで広げて確認している事務所もあります。
退職時のアカウント停止漏れも、抜けやすい場面です。「来週で退職」となった瞬間に、本人が何の AI アカウントを業務で使っていたかを記録から追える状態でないと、停止漏れが起きやすくなります。アカウント発行時に「個人 ID 紐付け・退職時停止対象」のフラグを立てる運用にしている事務所もあります。
これらは規模の大小に関わらず起きやすい場面ですが、少人数事務所では兼任体制ゆえに後回しになりやすい領域です。ルール・ログ・レビューの 3 点を整えるときに、合わせて点検しておくと振り返りやすくなります。