結論: 個人向けプランと法人向けプランの違いは性能ではなく、データが学習に使われないという契約条件・SSOや監査ログなどの管理機能・DPAや第三者監査レポートの有無にあります。
個人向けAIと法人向けAIの差は何でしょうか。これを「賢さの差」と捉えてしまうと、選定の議論が空転しやすくなります。生成AIの応答品質は同じ基盤モデル系列であれば、個人向けと法人向けで大きく差がつかない場面が多く、純粋な性能比較で判断するとミスリードに陥りやすいところです。一方で、入力データが学習に使われるか、誰がいつ何を入力したかを後から追えるか、SSO/MFAで組織のID基盤と統合できるか、契約上の責任範囲が事務所の守秘義務と整合するか——この観点で見ていくと、個人向けと法人向けは別物と言える差がついていることが多いのです。
本記事は「どのAIが優れているか」ではなく「業務利用するなら何を確認するか」の整理を主題に据えています。
業務利用の判断軸は「賢さ」ではなく「管理できるか」
士業事務所が業務でAIを使う場合、最初に問うべきは「賢いか」ではなく「管理できるか」になります。判断軸は次の5つに集約されます。
- データの取り扱い: 入力した内容(顧問先の決算書、相談内容、当事者名など)がモデル学習に使われるか
- 管理者機能: 誰が何のアカウントを持っているかを、所長や事務局が一元的に把握・棚卸しできるか
- ログ・監査: いつ誰がどんな入力をしたかが、後から追えるか
- 認証強度: SSO(シングルサインオン)やMFA(多要素認証)が使えるか
- 契約条件: データ処理契約(DPA)やSOC 2 / ISO 27001などの第三者監査レポートが提示されるか
これらが揃っているかどうかは、AIの応答品質とは独立した論点になります。応答が優秀でもログが取れなければ、顧問先から「うちの情報を入れて大丈夫だったのか」と問われたときに答えられません。
データが学習に使われるか
最も誤解されやすいのが、「データが学習に使われるかどうか」の扱いです。一般論として、個人向けの無料・有料プランと、法人向け(Business / Enterprise / API)では、デフォルト設定が異なります。
個人向けプランでは、入力データがモデル改善に使われる設定がデフォルトになっていることがあり、ユーザー側でオプトアウト操作をしないと学習対象になる場合があります。一方、法人向けプランでは、契約条件として「顧客データを基盤モデルの学習に使わない」と明示されているケースが目立ちます。
たとえば大手プロバイダの法人向けプランでは、プロンプトや応答、関連サービス経由でアクセスされたデータが基盤となる大規模言語モデルの学習には使われないと明記されているケースがあります。同様に、別のプロバイダの法人向けプランでも「顧客データはデフォルトではモデルの学習に使わない」と説明されています。クラウドオフィス連携の生成AIについても、「顧客の事前許可なくモデル学習に顧客データを使わない」とプライバシーハブで案内されているものが見られます。詳細はそれぞれのプロバイダの公式情報を確認してください。
ここで注意しておきたいのは、「学習に使わない」という条件が成立するのは契約プラン上のみ、という点です。個人アカウントで同じUIに見えるサービスを使った場合、契約条件が異なります。士業事務所の業務利用では「事務所として法人契約を結んだプラン」を使う運用が望ましいと言えるでしょう。
管理者機能・ログ・SSO・MFA
法人プランを選ぶ理由は「学習に使われない」だけではありません。むしろ後から効いてくるのは、管理者機能の存在です。
- SSO: 事務所のIDプロバイダ(クラウドIDサービスなど)と連携することで、退職者のアカウントを即時に無効化できる
- SCIM: 人事システムからの自動プロビジョニング・デプロビジョニングが可能
- 監査ログ: いつ誰がどんなプロンプトを入力したか、後から検索・エクスポートできる
- データ保持期間の制御: 会話履歴を一定期間で自動削除するか、無期限保持するかを管理者が選べる
- DLP・コンプライアンス連携: 情報漏洩防止ツールや、統合監査基盤との接続
代表的な法人向け生成AIサービスでは、組織のIDモデルと権限を尊重し、機密ラベルを継承し、保持ポリシーを適用し、操作の監査をサポートすると説明されています。別のプロバイダでも、既存のIDプロバイダ経由でサインインし、管理者がアクセスとオフボーディングを一元管理できる旨、また保持期間も設定可能である旨が説明されています。いずれも公式情報を確認のうえで運用要件と突き合わせてください。
これらは、個人向けプラン(無料・有料いずれも)には通常含まれていません。事務所として「誰が何を入力したか」を後追いできない状態でAIを使うと、顧問先から「うちの情報を入れて大丈夫だったのか」と問われたときに、所として答えられなくなります。守秘義務の観点からも、公開前に確認しておきたい論点です。支援先の事務所でも、スタッフが個々に個人向けプランを使い始めていて、誰がどのアカウントで何を入力しているか所として把握できていない、という相談を受けることが増えています。
個人向けと法人向けの機能比較表
代表的なサービスについて公開情報から読み取れる範囲で整理してみます。プラン名や機能は変更され得るため、契約前には必ず公式ドキュメントの最新版を確認してください。
| 観点 | 個人向け(無料 / 個人有料) | 法人向け(Business / Enterprise / API) |
|---|---|---|
| データの学習利用 | デフォルトで学習対象になる場合があり、オプトアウト操作が必要なケースがある | 契約条件として「学習に使わない」と明示されているケースが目立つ |
| 管理者機能 | 個人アカウント単位、一元的な管理は想定されていない | 管理コンソールで一元管理、アカウント棚卸しが可能 |
| 監査ログ | 取得・エクスポートできないか、限定的 | プロンプト・応答の監査ログを取得・エクスポートできる構成が提供される |
| SSO(SAML / OIDC) | 通常は非対応 | 対応するプランが提供される |
| SCIM | 通常は非対応 | Enterprise系で対応 |
| データ保持期間の制御 | 個人設定の範囲 | 管理者側で保持期間を制御可能 |
| 第三者監査レポート | 個人プラン単体での提示は限定的 | Trust Portal等で対象プランを明記して公開 |
| DPA | 通常は締結対象外 | 法人契約でDPAが提示される |
「賢さ」の列がこの表に登場しない点が、本記事の論点と整合しています。性能差ではなく契約と管理機能の差で線引きされている、と読み取れます。
主要サービス類型ごとの整理
公開ドキュメントから読み取れる範囲で、サービス類型ごとの特徴を簡潔に整理しておきます。
汎用チャット型AI(無料 / Plus / Team / Business / Enterprise / API): Trust Portal上で、SOC 2 Type 2、ISO/IEC 27001:2022、ISO/IEC 27017、ISO/IEC 27018、ISO/IEC 27701などの第三者監査レポートを公開しており、対象プランが明記されているケースがあります。Team / Business / EnterpriseおよびAPIでは、入力データがモデル改善に使われないことが契約条件として提示されるとされており、Enterpriseでは加えてSSO/SAML、SCIM、監査ログなどが提供されます。最新の対象プラン・対象範囲は公式情報を確認してください。
オフィススイート統合型AI: Enterprise Data Protection(EDP)の枠組みを提供しているケースがあり、データ処理契約(DPA)と製品条項の下で、データ暗号化・テナント間分離・顧客データの目的外利用禁止・組織のIDと権限の尊重・大規模言語モデルの学習への不使用を約束していると説明されています。既存のオフィススイートのテナント境界・権限モデル・監査基盤の上に乗っているため、既導入事務所では追加のガバナンス設計コストが比較的低く済む傾向があります。
クラウドオフィス連携型AI: プライバシーハブで、顧客プロンプトを顧客データとして扱うこと、顧客の事前許可なくモデル学習に使わないこと、データ保持期間を管理者が設定可能なこと、SOC 1/2/3・ISO 9001/27001/27017/27018/27701/42001・FedRAMP Highなどへの対応が明示されているケースがあります。「ワークスペーステナント配下の生成AI」と「個人向けアプリ」では取り扱いの規約が異なる可能性があるため、事務所利用ではテナント配下で使う運用が前提になります。
法人特化チャット型AI(個人版とEnterprise): Enterpriseプランでは、顧客データがデフォルトでモデル学習に使われないこと、既存IDプロバイダ経由のSSO、管理者によるアクセス・オフボーディング一元管理、設定可能な保持期間、監査対応などが提供されると説明されています。個人向けの無料・Proプランとは契約条件と管理機能が異なります。
選定時のチェックリスト
具体的なサービス選定の前に、次の項目を埋められる状態にしてから契約することをおすすめします。
- 入力データが基盤モデルの学習に使われない契約条件か(DPAや利用規約で確認)
- 監査ログを取得・エクスポートできるか
- SSO(SAML / OIDC)に対応しているか
- SCIM等で退職時のアクセス権剥奪が自動化できるか
- データ保持期間を管理者側で制御できるか
- SOC 2 / ISO 27001などの第三者監査レポートが提示されているか
- データ処理の地理的範囲(リージョン)が確認できるか
- 顧問先・依頼者の個人情報を入力する場合、本人同意・約款上の整理ができているか
- 事務所内で「入力してよい情報・してはいけない情報」のガイドラインを文書化したか
個人向けプランから法人向けプランへの切り替え基準
「個人向けプランで進めてしまっていたが、法人プランへ切り替えるべきか」という問いに対しては、性能差ではなく、契約条件・管理機能・第三者監査レポートの3点を見て切り替え判断する、というのが安全側に倒した整理になります。
特に視点を置いておきたいのは、「便利だから現場で勝手にツールが増殖していく」状態(いわゆるシャドーAI)への抑止です。AI導入は、ツール選定よりも先に「どのプランで全所統一するか、誰がアカウントを管理するか」を決めておくほうが、結果的に運用コストが低く済みます。性能で選ぶ段階に入る前に、契約と管理の枠を先に決めておきましょう。順序を逆にすると、後から差し替えるときの履歴処理が重くなってしまいます。
押さえておきたいポイント
無料のAIサービスを業務で使うと違法になりますか
個人向けプラン(無料・有料いずれも)の利用自体が直ちに違法になるわけではありません。ただし、顧問先の決算書や相談内容など守秘義務のかかる情報を入力する場合、その情報がモデル学習に使われる契約条件になっていないか、事務所として確認する責任があります。個人向けプランはデフォルトで学習対象になっている場合があるため、業務利用の前に利用規約とオプトアウト設定を確認してください。
法人プランと個人向けプランで料金以外に何が変わりますか
料金や応答性能そのものよりも、管理者機能の有無が実務上の差になります。具体的にはSSO(シングルサインオン)やSCIMによるアカウント一元管理、監査ログの取得・エクスポート、データ保持期間の管理者側での制御、DPA(データ処理契約)やSOC 2/ISO 27001などの第三者監査レポートの提示です。これらは個人向けプランには通常含まれません。
事務所として法人プランへの切り替えはいつ検討すべきですか
顧問先の情報を日常的に入力するようになった時点、あるいは複数のスタッフが個別に個人向けプランを使い始めている状態(シャドーAI)に気づいた時点が目安です。性能で選ぶ前に、どのプランで全所統一するか、誰がアカウントと入力ログを管理するかを先に決めておくと、後から切り替える際の履歴処理コストを抑えられます。
SSOやSCIMに対応していないと具体的にどう困りますか
退職したスタッフのアカウントが残り続け、事務所側で把握・無効化できないリスクが生じます。SSO・SCIMに対応していれば、事務所のIDプロバイダと連携して退職者のアクセス権を即時に剥奪でき、誰が何のアカウントを持っているかを事務局が一元的に棚卸しできます。
参考
- 各プロバイダの法人向けプランのデータ取り扱い・学習利用条件・管理機能については、契約前に必ず公式ドキュメントの最新版を確認してください。
- 第三者監査レポート(SOC 2 / ISO 27001等)の対象プランと対象期間は、各社のTrust Portal等で公開されています。