お問い合わせ
2026 / 05 / 28 全般

生成AI規制の動きと士業事務所

Lead

AI事業者ガイドライン・EU AI Act・米国の動向を、士業事務所の利用者と専門家の両側面から見ていきます。自所で進められる範囲と外部の専門家に相談したい範囲の切り分け例もご紹介します。

顧問先から「うちの会社で生成AIを業務に入れたいと相談したいのですが」と切り出される場面が、税理士・社労士・行政書士の事務所にも届くようになってきました。同じ事務所が業務で ChatGPT や Claude を使っているケースも増えていて、利用者として規制動向を見る立場と、専門家として顧問先の相談を受ける立場が、自然に重なってきます。

経済産業省・総務省「AI事業者ガイドライン」では主体区分に「AI利用者」が含まれていて、欧州AI Actでも「deployer(利用者・運用者)」に対する義務が定められています。「うちはChatGPTを業務で使っているだけだから規制とは無関係」という整理が、だんだん通りにくい構造になってきている印象があります。

本記事では、日本・EU・米国の動向を士業事務所の実務目線で並べて見ていきます。所内で進められる範囲と、外部の専門家と組んだほうが扱いやすい範囲の切り分けの例もご紹介します。

日本のAI事業者ガイドラインで「利用者」が明示されています

国内で最初に目に入りやすいのが、経済産業省・総務省が公表している「AI事業者ガイドライン」です。AIのライフサイクルに関わる主体を AI開発者 / AI提供者 / AI利用者 の3つに分けて、それぞれの留意事項が整理されている文書です。AIを「業務で利用する事業者」が明示的に対象に含まれているので、士業事務所も読み手の一人になります。

ガイドライン本体や別添資料は、経済産業省・総務省の審議会ページにまとまっています(最新版は所管省庁の公式ページでご確認ください)。強行法規ではなく、業界横断のソフトロー(自主的な行動指針)として位置付けられているものと理解しておくのが妥当です。

ただし、ソフトローだから手元の業務に関係ないとは言いにくい場面があります。たとえば次のような場面で、ガイドラインが参照元として出てきやすくなっています。

  • 個人情報保護法上の安全管理措置を顧問先に説明するときの根拠資料として
  • 顧問先・取引先から監査・質問が来たときの回答資料として
  • 所属会・連合会の指針が改訂された際の参照元として

個人情報保護委員会も2023年6月2日付で「生成AIサービスの利用に関する注意喚起等について」を公表していて、個人情報取扱事業者・行政機関・利用者個人それぞれに向けた留意事項が整理されています(公式リンクは末尾の参考を参照)。士業事務所は個人情報取扱事業者として該当する論点が多いので、こちらも実務上の優先参照ドキュメントになりやすいです。

EU AI Actは段階的に施行されています

国外では、欧州連合のAI Act(人工知能規則)が世界初の包括的なAI規制法として位置付けられています。欧州委員会デジタル戦略ページの情報によると、AI Actは2024年8月1日に発効し、2026年8月2日に完全適用される予定で、段階的に施行されているとされています。

リスクベース・アプローチが採用されていて、欧州委員会の整理では概ね次のような段階に分けられています。

  • 許容できないリスク(unacceptable risk): 原則禁止(公的機関によるソーシャルスコアリングなど、特定の用途が列挙されています)
  • 高リスク(high risk): 重要インフラ、教育、雇用、法執行などの領域でのAI利用に対し、リスク管理・データガバナンス・人的監視・記録保持などの義務
  • 限定的リスク(limited / transparency risk): チャットボット等で人間が機械と対話していると認識できる必要があるなど、透明性義務
  • 最小リスク(minimal risk): 大半のAI用途で、特段の規制対象外

加えて、汎用AIモデル(GPAI)提供者の義務が章立てで規定されていて、透明性や著作権関連ルールの遵守、システミックリスク対象モデルでのリスク評価などが求められるとされています。

「日本の士業事務所だから直接は関係ない」と読みたくなる領域ですが、AI Actは域外適用の論点を含んでいます。EU域内に拠点を持つ顧問先、EU居住者のデータを扱う案件、EU市場向けにAIシステムをアウトプットする案件などでは、間接的に影響が及ぶ場面があります。具体的な該否判断は、現地法務・専門弁護士の領域になります。

米国はセクター別規制と州法の積み上げで動いています

米国は、連邦レベルでの包括的なAI規制法が2026年5月時点では成立していないものと理解されています。連邦機関のガイダンス・各州法・セクター別の既存規制が組み合わさって動いている、と整理しておくのが現実的です。連邦の包括法ではなく セクター別規制 + 州法(カリフォルニア・コロラド等)+ 連邦取引委員会等の執行 という複合構造で動いている、と理解しておくと地図が描きやすくなります。

連邦レベルの方針文書は更新頻度が高く内容も変動が大きい領域なので、具体的な該否判断や最新動向は米国側の一次情報・現地法務で確認するのが現実的な進め方になります。

利用者と専門家、二つの立場で影響が出ます

ここまでの動向は、士業事務所にとって「利用者の立場」と「専門家の立場」の両面で関わってきます。

利用者の立場では、業務で使うAIツールの選定根拠を説明する場面が増えてきています。学習オプトアウト、データ保持期間、リージョン、監査ログの取り出し可否などを、ガイドラインに沿って整理しておく事務所が増えています。顧問先データの取扱いについても、個人情報保護法・個別士業法上の守秘義務との整合性をAI利用の文脈で見直す動きが出てきています。所内ルールについては、AI事業者ガイドラインの「利用者」項目を下敷きに整備していく流れがあり、関連記事の 生成AI利用ルールを所内で作る方法 でも触れています。

専門家の立場では、顧問先からの相談自体が変わってきています。「うちの会社でAIを導入したいが、どこから手を付ければよいか」という相談が、税理士・社労士・行政書士事務所にも来始めている、という話を伺います。特に医療・金融・教育・人事関連の顧問先は、高リスク領域に近づく可能性があり、相談内容の難易度が上がりやすいです。同時に、個別のAI Act該否判断・GDPR関連の法的判断などは士業の専門領域外であることが多く、「どこから先は専門弁護士・コンサルに繋ぐか」の線引きが現場で求められる場面が増えています。

規制動向のキャッチアップは負担が大きいので情報源を絞ります

規制動向は年単位ではなく月単位で更新される領域です。網羅は現実的ではないので、士業事務所の所長・情報セキュリティ責任者の目線で、最低限見ておくと判断材料になりやすい情報源を並べておきます。

  • 個人情報保護委員会の注意情報・公表資料(生成AIに限らず、個人情報取扱事業者向けの最新動向が出ます)
  • 経済産業省・総務省のAI事業者ガイドライン関連審議会ページ(改訂・別添資料の更新がここから追えます)
  • 所属会・連合会からの通知(各士業会・連合会が個別の指針・通知を出すことがあります)
  • 顧問先業界の主管官庁の動向(金融庁・厚労省・経産省・国交省など、業種別のAI関連ガイドラインを出す動きが見られます)
  • 欧州委員会デジタル戦略ページ(AI Actの段階施行スケジュールやGPAI関連ガイドラインの更新が確認できます)

「自分で全部追わない」「専門メディア・士業向けニュースレターを併用する」「四半期に1回見直しの時間を取る」というリズムを置いている事務所もあります。

セキュリティとコンプライアンスは設定と運用まで含めて整えます

規制動向の理解は読んで終わりではなく、自所のセキュリティ・コンプライアンス運用に落とし込むまでが業務になります。現場で頻出する論点を並べておきます。

  • 利用しているAIサービスの推論・学習データの保存リージョンが、顧問先との契約・GDPR等と整合しているか
  • 入力データが基盤モデルの再学習に使われない契約・設定になっているか
  • 履歴の保持期間、削除手順、再現性要求との両立がどうなっているか
  • 共有アカウントを廃止して、退職時のアカウント回収・MFAの必須化を運用に乗せているか
  • 「いつ・誰が・何を入力したか」を後から再現できる監査ログの取り出し体制があるか
  • AIベンダー・SaaSとの間に必要なデータ処理契約(DPA)・秘密保持契約が結ばれているか
  • 顧問先から「AIを使っているか」と聞かれたときの説明方針が所として整っているか

ルールを書いて終わりにせず、設定・ログ・運用テストまで含めて初めて成立する項目が多い領域です。設定の取り違えが事故に直結する場面もあります。

自所判断と外部委託の境界を引いておきます

規制動向への対応を、自所だけで完結させる運用も、全部外注する運用も、どちらかに寄りきると後で困りやすい場面が出ます。経験則として、次のような切り分けを置いている事務所があります。

自所で進めやすい範囲としては、公的ガイドラインの読み込みと所内共有、自所の業務フロー・取扱データ種別の棚卸し、顧問先からの照会に対する一次対応方針の整備、所属会・連合会の通知のフォロー、職員向けの研修・周知などが挙げられます。

外部の専門家(弁護士・コンサル等)に相談したほうが扱いやすい範囲としては、個別士業法 × 個人情報保護法 × 契約法の整合性レビュー、EU AI Act・GDPR該否判断、テナント設定(学習オプトアウト・データ保持・リージョン・監査ログ)、アカウント設計・MFA・SCIM連携などのID管理基盤、外部SaaSとのAPI連携設計とDPA確認、監査時に取り出せるログ設計、事故対応プレイブックの実効性検証などが挙げられます。

「自所のドメイン知識でしか書けない場面」は自所で、「設定ミス・法解釈ミスの修正コストが大きい場面」は外部の専門家と組む、という基準を置いている事務所もあります。

点検しておきたい観点

ここまでの議論から、規制動向への対応状況を点検する際の観点をいくつか拾い出して並べておきます。

  • AI事業者ガイドラインの「利用者」項目を所内で読み合わせたか
  • 個人情報保護委員会の生成AI注意喚起を所内ルールに反映したか
  • 利用しているAIツールのリージョン・学習オプトアウト・データ保持を一覧化したか
  • 共有アカウントを廃止して、MFAを必須化したか
  • 監査ログの保存期間・取り出し手順を文書化したか
  • 顧問先からの「AIを使っているか」照会への標準回答を整備したか
  • 顧問先業界の主管官庁のAI関連ガイドラインを四半期に1回確認しているか
  • 所属会・連合会の通知の確認担当者を決めたか
  • EU域内拠点の顧問先・EU居住者データの案件を棚卸ししたか
  • 事故時の初動・報告ライン・所属会への報告判断を文書化したか
  • 規制動向の見直しサイクル(年1回以上)を規定したか

今後の見立て

最後に、生成AI規制が士業事務所に及ぼす影響について、本記事執筆時点で見ている方向感を書き出しておきます。断定ではなく、現時点の動向から見ている範囲の予測です。

「利用者」への義務がガイドライン経由でじわじわ強化される方向に進むと見ています。強行法規としてではなく、ソフトロー・業界ガイドライン・所属会通知・顧問先からの監査要求の組み合わせで、利用者側の説明責任の水準が上がっていく流れです。顧問先からの「AIを使っているか」照会も、士業事務所が回答を準備しておく定番質問になっていく感触があります。顧問先側でもDPA・利用範囲・データ所在の確認が業務監査の項目に組み込まれ始めていて、士業事務所側の回答準備が必要になる場面が増えてきます。

EU AI Actの完全適用(2026年8月予定)は、日本の士業事務所にも間接波及する場面が出てくると見ています。直接対象でなくても、EU域内拠点の顧問先・EU居住者データを扱う案件で、契約条項・データ取扱いの要求水準がEU基準に引き上げられる場面があります。米国については、連邦の包括法成立より、州法とセクター別規制の積み上がりが先行する見方が現実的です。カリフォルニア・コロラドを起点に州法が積み上がる構造が続き、日本側からは「米国のAI規制」を一括では論じにくい状態がしばらく続きそうです。

AI事業者ガイドライン自体も、国際動向・国内事故事例・産業界の意見を反映する形で、ソフトロー部分が更新され続ける見通しです。所内ルールは一度作って終わりではなく、改訂サイクルに乗せる前提で設計しておくと、後の見直し負荷が下がりやすくなります。

これらは半年〜1年で見立てが動く可能性がある領域です。本稿はあくまで2026-05-16時点の整理として読んでいただければ幸いです。

関連記事

参考

Author · 著者

三方 浩允

Tags · タグ

AI 導入の論点を相談する

業務課題を 60 分で整理することから始められます。

お問い合わせ
ブログ一覧
Related · 関連記事

この記事を読んだ方は、次の記事も読まれています