AIを社労士事務所で導入してみた
AIを社労士事務所で導入してみた
作成日:2026/05/22
第3回目:「AIに情報をどこまで入力してよいか?」の判断軸を決めるには(前編) — 扱う情報の種類を整理する



この回で伝えたいこと

セキュリティのルール作りを、「AI利用の禁止項目」のリスト化から始めると、うまくいきません。リストには載っていない場面が、現場では次々と出てきます。

事務所として「どこまでAIに作業させるか」の判断軸を決めると、新しい場面に出会っても、職員それぞれが同じ物差しで判断できます。前編では、AIとはどんなサービスなのか、また、顧問先情報や事務所内資料の取扱い基準を、どのように整理するかを取り上げます。


第2回では、社労士業務をAIとの相性で仕分けする話を書きました。「AIと相性が良い」と判定した業務で、いざ利用しようとしたとき、ほぼ全員が同じような疑問を持ちます。「この情報ってAIに入力してよいの?」
具体的な場面で考えてみます。

顧問先から入社情報のExcelが届き、それをシステムに登録したとします。
登録ミスがないかチェックするため、システムから出力した労働者名簿と原本のExcelを突合したい。もし、原本の生年月日の書式が「S60.4.1」「平成2年5月15日」「1985/4/1」とバラバラな場合、目視で何十人分も確認を行うと、どこかでミスが出る可能性があります。ExcelにはVLOOKUPのような便利な機能がありますが、キーや比較したい情報の形式が揃っていないと、読み込みたいデータを拾ってくれません。書式が混在しているデータでは、まず書式を揃える前処理が必要です。

こうした場面で、短時間で確認作業を行えるのが、2つのExcelをそのままAIに読み込ませて差分を出してもらう方法です。データの構造を解釈し、書式のゆらぎも認識しながら、正誤判定や差分を、数分もかからずに抽出してくれます。

それならばAIを利用したい、と思いますよね。しかし、顧問先の従業員情報が記載されたExcelを、そのまま外部のAIサービスに読み込ませてよいのでしょうか。あるいは、顧問先との打ち合わせ議事録はどうでしょうか。音声データそのものをアップロードして、文字起こしや議事録を作成してもらうことに、問題はないのでしょうか。

このように、業務上やりたいことがあって、その手段としてAIを使えそうだとなった時、「この情報はAIに入力してよいのか、いけないのか」と迷う場面が次々と出てきます。「個人情報は入れない」と決めて運用を始めても、「会社名だけなら大丈夫か」「業種と規模だけ伝えるのはどうか」「氏名を伏せれば問題ないか」。

こうした「このラインは大丈夫だろう」という基準は職員ごとにバラつきます。禁止事項のリストだけだと、このような細かい場面に対応しきれません。
そのため、事務所内で「どこまでを入力してよいか」の判断軸を言語化することが必要になります。


生成AIサービスとどう向き合うか

その判断軸を決めるために、改めて確認したい点が2点あります。一つ目は、「生成AIサービス」にデータを入力することは、クラウドストレージにデータを預けることと、何が違うのか、という点です。クラウドストレージにExcelを保管することと、AIにExcelをアップロードして処理させること。どちらも「外部のクラウドサービスにデータを預ける」という意味では共通しています。ただ、私はこの2つを違うものと考えています。

業務用のクラウドストレージ(Googleドライブ(Google Workspace)、OneDrive(Microsoft 365)など)は、利用者がデータを保管・共有することを主な目的とするサービスです。利用者として気をつけるポイントは、選定と運用の両面にあります。サービスを選ぶ段階では、提供事業者の安全管理措置、データの保管場所、アクセス管理の仕組みなどを確認し、運用段階では、事務所内でのアクセス権限や共有設定を適切に管理することが求められます。

一方、生成AIは、データを「処理する」サービスです。入力したデータは、サービス提供者が、内容の解析・推論・生成のために使います。クラウドストレージで気をつけるポイントに加えて、与えたデータが学習に使われるのか、結果が他のユーザーへの応答に混入しないか、といった独自の論点が加わります。

現在、生成AIの利用については一般的なガイドラインが整備されつつあります。一方、社労士事務所が顧問先から預かった従業員情報を生成AIサービスに入力する場合、個人情報保護法上どのように考えるべきかについては、まだ実務上の考え方が十分に示されているとは言えません。特に、通常のクラウドサービスと同じように扱えるかどうかは、慎重に見る必要があります。そのため私は、明確な指針が示されるまでは、入力する情報の範囲を絞って運用しています。


情報の種類を押さえる

二つ目は、生成AIに入力する「情報」が何に当たるかを確認することです。生成AIで作業を行うためのデータに、「個人情報」「特定個人情報」「要配慮個人情報」「機密情報」が含まれているかどうか。事務所内で共通認識を持っておくことが、判断の土台になります。
改めて、この4つの情報の内容を確認していきます。

個人情報は、氏名や生年月日など、特定の個人を識別できる情報です。社労士事務所の業務では、入社手続き、社会保険手続き、給与計算、労務相談などの場面で、顧問先の従業員や扶養家族に関する情報を預かることがあります。
こうした情報には、個人情報が含まれることが多くあります。
特定個人情報は、マイナンバーを含む個人情報です。番号法で利用範囲が厳しく制限されており、社会保障や税の手続きなど、決められた目的以外で使うことはできません。AIに入力して文案や一覧を作らせるという用途は、この決められた利用範囲には含まれていません。
 
要配慮個人情報は、健康情報や病歴、社会的身分など、本人に不利益が生じないよう特に配慮が必要な情報です。健康診断の結果、傷病手当金の申請に関する情報、障害に関する情報などがこれにあたります。社労士事務所では、手続上こうした情報を扱う場面がありますが、生成AIに入力する情報としては、通常の個人情報よりも慎重に扱う必要があります。

機密情報は、個人情報保護法で定義されているものではありませんが、企業間の契約や社内ルール上、外部への開示を予定していない情報として管理されるものです。社労士事務所が顧問先から扱う情報の中では、未公表の経営情報、公表前の人事異動情報、昇給・降給・賞与査定・役職変更などの処遇に関する情報が、機密情報として扱われることがあります。これらは、従業員本人や社内に正式に開示される前の段階では、たとえ氏名を伏せていても、内容そのものに機密性が残ります。なお、賃金台帳や処遇検討資料のように、個人情報と機密情報の両方の性質を持つ情報もあります。




次回予告

情報の種類が整理できたところで、後編では、私自身が事務所でどう線を引いているかをお伝えします。絶対に入れないと決めているもの、加工してから入れるもの、サービスを使い分ける軸。さらに、議事録を取る場面でAIをどう使い分けているか、AIサービス側の設定で確認していること、顧問先との契約で気をつけていることなど、実際の運用の話に踏み込みます。


用語の補足

委託: 個人データの取扱いを外部の事業者に任せること。委託元には委託先を監督する義務(個人情報保護法第25条)があります。
クラウド例外: クラウドサービス事業者が個人データを取り扱わないこととなっている場合は、委託にも第三者提供にも該当しないという整理。個人情報保護法ガイドラインQ&A 7-53。

参考資料
本文中で触れた法令および定義の出典は以下のとおりです。
個人情報、要配慮個人情報の定義: 「個人情報の保護に関する法律」第2条(平成15年法律第57号)
特定個人情報の定義および利用範囲の制限: 「行政手続における特定の個人を識別するための番号の利用等に関する法律」(平成25年法律第27号、通称: 番号法・マイナンバー法)第9条
生成AIサービスの利用に関する注意喚起: 「生成AIサービスの利用に関する注意喚起等について」(令和5年6月2日、個人情報保護委員会)
個人情報保護委員会公表ページ: https://www.ppc.go.jp/news/press/2023/230602kouhou/
個人情報保護に関する所管官庁: 個人情報保護委員会
公式サイト: https://www.ppc.go.jp/
機密情報の定義の整理: 「機密情報とは?定義や種類、具体例と漏えいを防止・抑止する対策」株式会社日立社会情報サービス