議事録AIを顧問先対応に使うときの注意点

本記事は個人情報保護法・士業の守秘義務を一般論として整理したもので、個別事案の法的判断ではありません。具体的な対応は、所管省庁の最新ガイドラインや弁護士等の専門家への相談をおすすめします。

ある社労士事務所が、顧問先との Web 会議を録画して議事録 AI にアップロードし、5 分後には体裁の整った議事録ドラフトを受け取っている、という運用を半年続けていたと仮定してみます。発言者ごとに整理され、決定事項と ToDo まで抽出されています。これまで 1 時間かかっていた議事録作成は、レビューと体裁修正だけで 15 分で終わります。

便利さは間違いありません。ところが、ある日ふと手が止まります。あの録音、顧問先に「AI に投げる」と伝えていたでしょうか。文字起こしされたテキストはどのサーバーに残っているのでしょうか。要約モデルの学習データに使われていないか、契約条件で確認したのはいつだったでしょうか。

議事録 AI と一括りに呼んでも、内部では録音・文字起こし・要約・保管という複数の処理が連なっており、各工程で異なるベンダーにデータが渡る可能性があります。便利さの裏側を一度棚卸ししておかないと、顧問先に説明できない運用になっているケースが出てきます。

内部で連なる 4 工程

議事録 AI と一括りに呼ぶ処理は、おおむね次の流れで動いています。

1. 録音・録画の取得（Web 会議サービスの会議録画、または対面打合せの IC レコーダー録音）
2. 音源のアップロード（ベンダーのクラウドストレージへ転送）
3. 文字起こし（音声認識）。話者分離を行うサービスも多いです
4. 要約・整形（生成 AI で文字起こしテキストを要約し議事録の体裁に整える）
5. 保管・共有（完成した議事録をクラウド上に保管し、URL やエクスポートで共有）

ここで重要なのは、それぞれの工程でデータが異なる場所・異なる主体に渡る可能性がある点です。録音はベンダー A のストレージ、文字起こしはベンダー B の音声認識 API、要約はベンダー C の生成 AI モデル——というように、再委託・連携が発生しているケースは少なくありません。

「議事録 AI に投げる」という 1 つの操作の裏で、複数のデータフローが走っています。この点が、議事録 AI の取り扱いを難しくする一次的な理由になります。

工程ごとに発生する情報リスク

工程ごとに、どのような情報がどのようなリスクにさらされうるかを整理しておきたい場面です。

録音・録画段階では、顧問先の発言に個人名・取引先名・売上金額・人事情報・健康情報・係争情報が含まれることがあります。社労士の打合せであれば従業員の傷病情報、税理士の打合せであれば未公表の決算数値、行政書士の打合せであれば在留資格・家族関係などが現れます。要配慮個人情報（病歴・犯罪歴・社会的身分など）が混入するケースもあります。個人情報保護委員会のガイドライン（通則編）では、要配慮個人情報の取得には原則として本人同意が必要とされており、議事録という形で記録・保管する場合の整理を顧問先と擦り合わせておく必要があると考えられます。

文字起こし段階では、音声認識 API に音源を送る時点で録音データ全体がベンダー側のサーバーに渡ります。文字起こしの精度向上のためにデータが一定期間保管されるサービスや、学習データに利用する規約を持つサービスもあります。会話の中で偶然出てしまった他社の機密情報も、すべてテキスト化されてベンダー側に蓄積されていきます。

要約・整形段階では、文字起こし済みのテキストを生成 AI モデルに渡して要約します。利用しているモデルが学習データに利用していないか、入出力ログが残るか、海外サーバーを経由していないかなどの論点が発生してきます。

保管・共有段階では、完成した議事録がサービス上のクラウドに保管され、URL 共有・PDF 出力などで活用されます。誰がアクセスできるか・いつまで保管されるか・退職時に権限が剥奪されるかは、議事録 AI 固有の問題ではなく従来からの SaaS 管理と同じ論点ですが、議事録は中身の機密性が特に高いため厳格な運用が望ましいところです。

顧問先同意の取り方

「録音していいですか」と聞くことに慣れている士業の方は多いと思いますが、議事録 AI 時代の同意取得は、もう一段踏み込んでおいたほうが安全だと考えられます。最低限、顧問先に伝えておきたい論点は次のとおりです。

• 録音すること自体への同意（これまで同様、口頭または契約書面で取得）
• AI サービスに音声・テキストを送ること（録音を AI 議事録サービスで文字起こし・要約することを明示）
• 利用するサービス名・所在地（必要に応じて、どのサービスを使うか開示）
• データの保管期間と削除請求（顧問先からの削除依頼に対応できる体制か）
• 学習利用の有無（入力データがモデル学習に使われない契約条件かどうか）

業務委託契約・顧問契約の中で、AI ツールの利用について包括的に同意を得ておく方法もあります。顧問先の業種によっては、特定のクラウドサービスの利用が制限されている（金融機関の取引先・上場企業の機密案件など）ケースがあるため、契約締結時に確認しておくとトラブルを抑えやすくなります。口頭で「録音いいですか」だけで済ませている運用は、議事録 AI を使う前提では情報量が不足しているケースが多そうです。

保管期間と削除請求

議事録 AI で生成・保管されるデータについて、運用前に整理しておきたい論点を挙げておきます。

ベンダー側のサーバーに録音・文字起こし・要約結果がどのくらいの期間保管されるかは、サービスによって 30 日・90 日・無期限など差があります。自社の文書保管規程と整合しているかの確認が必要です。顧問先から「先日の議事録は削除してほしい」と言われたとき、自社アカウント側の削除だけでなく、ベンダー側のバックアップ・学習データからも削除可能かを確認しておきたいところです。個人情報保護法の保有個人データの開示・削除等の請求への対応とあわせて、運用フローを整理しておく必要があります。

第三者提供・委託先管理・越境

議事録 AI サービスへのデータ送信を「第三者提供」として整理するのか、「業務委託」として整理するのかは別の論点になります。委託契約として整理する場合、委託先の監督義務（最新の条文番号は公的な法令データベースで確認のこと）が発生すると考えられます。利用しているベンダーが委託先管理台帳に載っているか、契約条件を定期的に点検しているかの確認が必要になります。

ベンダーのサーバーが海外にある場合、外国にある第三者への個人データの提供（こちらも最新テキストは公的な法令データベースで確認のこと）の論点が発生する可能性があります。本人の同意取得や、相当措置の継続的実施に関する情報提供などの追加対応が求められるケースが出てきます。

ベンダー契約で確認したい項目

議事録 AI サービスを導入する前に、ベンダーの利用規約・データ取扱方針で確認しておきたい項目を整理しておきます。

• 入力データの学習利用（エンタープライズ契約で学習利用がオプトアウトされているか）
• データ保管地・主体（日本国内サーバーか、海外サーバーか、再委託先はどこか）
• 保管期間と自動削除（録音・文字起こし・要約データそれぞれの保管期間）
• アクセスログ・操作ログ（誰がいつどのデータを処理したか追跡できるか）
• 削除請求への対応プロセス（バックアップを含めた完全削除が可能か）
• 暗号化（通信経路 (TLS) と保管時 (at rest) の暗号化方式）
• インシデント通知（漏えい発生時の通知時限・通知ルート）
• 準拠法・裁判管轄（紛争発生時の解決手段）

無料プラン・個人プランでは、これらの条件が事業利用に必要な水準に達していないケースが少なくありません。顧問先の情報を扱うのであれば、事業者向け契約・エンタープライズ契約を前提に選定する姿勢が、安全な側に倒した判断になりそうです。

観測仮説

ここまで整理した論点を踏まえて、運用設計の方向性について 3 つの観測仮説を置いておきたいと思います。

第一に、議事録 AI の最大の論点は「便利さ」と「同意の射程」のズレに集約される、と見ています。録音同意は取れているが AI 投入の同意は取れていない、というギャップが発覚するのは、顧問先からデータ削除を求められたタイミングが多いと考えられます。同意の射程は導入時にまとめて整えておくほうが、後追いの説明コストが低くなりそうです。

第二に、ベンダー連鎖の透明化が今後の論点になる、と見ています。録音ベンダー・文字起こしベンダー・要約ベンダーが別々であるケースは現状でも珍しくありませんが、各ベンダー間の再委託関係を委託先管理台帳でどこまで追跡するかは、まだ事務所ごとに方針が分かれる領域です。AI 事業者ガイドラインの改訂や、所属士業会の指針が出てくる流れに合わせて、台帳の運用粒度を上げていく必要があると考えられます。

第三に、補助者・パート職員の個人アカウント利用が、運用のグレーゾーンとして残り続ける、と見ています。事務所として法人プランを契約していても、補助者の手元で個人プランの議事録 AI が併用される運用は、棚卸しと周知をセットで進めない限り見えてきません。事務所のルールに合わせてアカウント発行・ログ収集・利用許可リストを整える設計が必要になります。

国の関係省庁からは AI 事業者向けのガイドラインが公表されており、利用事業者にも一定の責務が示されています。ガイドラインは改訂が継続的に行われているため、最新版の有無は公式情報を確認のこと、としておきます。

参考

• 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等」 https://www.ppc.go.jp/news/careful_information/230602_AI_utilize_alert/
• 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン（通則編）」 https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/
• 総務省・経済産業省「AI事業者ガイドライン」 https://www.soumu.go.jp/main_content/001002576.pdf
• 経済産業省「AI事業者ガイドライン関連情報」 https://www.meti.go.jp/press/2024/04/20240419004/20240419004.html
• e-Gov 法令検索「個人情報の保護に関する法律」 https://elaws.e-gov.go.jp/document?lawid=415AC0000000057