この回で伝えたいこと
第3回では、社労士事務所が扱う情報を「個人情報」「特定個人情報」「要配慮個人情報」「機密情報」に分けて確認しました。第4回では、その区分を前提に、生成AIを利用するとき、実務上どのように線を引いているかをお伝えします。
今回は、イー・ワーク社会保険労務士法人としての公式方針ではなく、筆者自身の実務上の線引きの一例です。自事務所の基準を作るときの参考としてお読みください。
筆者の事務所での基本方針
筆者の事務所では、生成AIを使うときに、「AIに何をさせるか」と「AIにどの情報を扱わせるか」を分けて考えています。
AIに実データを入力して判定させるのではなく、人が確認・判定を行うための準備にAIを使う。実データでの実行と確認は、ローカルPC上のExcelや業務システムで行う。これが基本姿勢です。たとえば、Excel関数やPower Queryの組み方を壁打ちして検討したり、簡単な判定プログラムを作成してもらっています。実データを入力しなくても、人が確認しやすくするための仕組みづくりにAIが利用できるのです。
この考え方を前提に、AIに扱わせる情報を次の3つに分けています。
- 生成AIには入力しないもの
- 加工したうえで入力するもの
- AIサービスの契約条件や設定を確認したうえで、必要最小限に絞って入力するもの
生成AIには入力しないもの
ただ、社労士業務から個人情報を完全に切り離すことはできません。給与計算、入退社手続き、労務相談など、多くの場面で顧問先の従業員情報が関係します。
|
場面 |
筆者の事務所での運用 |
|
社内の通常ミーティング |
利用する |
|
顧問先との通常打合せ |
事前に説明し、了承を得てから利用する |
|
ハラスメント、メンタルヘルス、退職勧奨、懲戒、休職・復職の面談 |
利用しない。人手で記録する |
|
M&A、組織再編、未公表人事、処遇変更の議論 |
利用しない |
筆者の事務所では、顧問先との打ち合わせでAIを使う場合は、事前に説明し、了承を得てから利用します。また、AIが作成した議事録をそのまま共有せず、内容の誤り、不要な個人情報、強すぎる表現がないかを確認したうえで修正します。
|
確認項目 |
見ている内容 |
|
学習利用の有無 |
入力内容がモデルの学習に使われるか |
|
保存期間・削除方法 |
入力データや出力結果がどのくらい残り、利用者側で削除できるか |
|
アクセス権限 |
事務所内で誰が使えるか、管理者が制御できるか |
|
保存・処理場所 |
契約条件や公開資料で、保存・処理場所や国外からのアクセスの有無を確認できるか |
|
顧問先への説明可能性 |
問われたときに、使い方を説明できるか |
- 業務効率化や品質向上のため、生成AIその他のクラウドサービスを利用する場合がある
- 特定個人情報は生成AIに入力しない
- 個人情報や機密情報を扱う場合は、必要最小限に限定し、氏名等の削除、マスキング、ダミーデータ化などの措置を取る
- 利用するサービスについて、契約条件、保存、学習利用、アクセス管理などを確認する
- 顧問先から確認された場合に、利用目的や取扱いを説明できるようにしておく
筆者の事務所での線引きのまとめ
|
段階 |
対象例 |
筆者の事務所での扱い |
|
入力しない |
特定個人情報、健康診断、傷病、メンタルヘルス、障害、休職・復職やハラスメント相談の具体的記録、未公表の経営情報・人事異動・処遇・M&A等 |
生成AIには入力しない。 |
|
加工して使う |
氏名・住所・従業員番号・生年月日などを含む実データ |
削除・置換・ダミー化したサンプルを使い、式や手順の検討にAIを利用する。 |
|
加工して使う |
会社名・氏名・具体的経緯を外した労務相談 |
論点の洗い出しや、似た事例の裁判例・行政資料を探す補助として使う。根拠資料の確認と最終判断は人が行う。 |
|
条件を確認して使う |
法人向けサービス、社内管理されたAI等 |
学習利用、保存期間、削除方法、アクセス権限、保存・処理場所などを確認し、入力する情報は必要最小限にする。 |
|
顧問先との打ち合わせ |
通常打合せの議事録作成 |
事前に説明し、了承を得たうえで利用する。共有前に内容を確認・修正する。 |













