前提条件
- 業種
- 税理士法人(顧客の個人情報・申告情報を取り扱う)
- 導入規模
- 200名
- エディション
- Google Workspace Business Standard(確定)
- 現在のメール
- Outlook(Microsoft 365 / Exchange)からの移行を想定
- アカウント発行
- 5月下旬
- 本格構築完了目標
- 7月上旬
⭐ AI活用の基本方針(重要前提)
GWS導入により、顧客から事前に同意を取得した上で、個人情報を含む業務データをマスキングせずにGemini for Workspace等で活用する方針を想定。これにより業務効率と回答精度の両立を図る。
方針を成り立たせるための前提:
- GWS有償版契約により、入力データはGoogleの学習に使われない(契約で保証)
- 顧問契約書(または覚書)にAI活用同意条項を盛り込み、顧客に説明・同意取得
- 社内セキュリティポリシーとAI活用ガイドラインで取扱いルールを明文化
- マイナンバー・本人確認書類・要配慮個人情報のみは、GWS環境下でも入力禁止を堅持
本資料は、この方針を「契約書・規程・運用」の三層で実現するための論点と標準文例を整理したもの。
カラー凡例(項目の意味付け)
- AI関連(Gemini/AI活用ガイドライン)
- GWS基本設定・技術
- メール移行(切替)
- 社内規程・社内契約
- 対外(顧客契約)
最優先
導入日までに必要な初期設定
アカウント配布日(5月下旬)に間に合わせる項目1Intelligence機能(Gemini for Workspace)の有効化
Gemini for Workspace とはGmail・ドキュメント・スプレッドシート・スライド・Meet など、Workspace の各アプリの中で使える Google製の生成AI。「Intelligence機能」という表現は通常この機能群を指す。
各アプリでできること
- Gmail: メール下書きの自動生成、長文メールの要約、返信案の提案
- ドキュメント: 文章作成補助、要約、リライト、議事録整形
- スプレッドシート: 表作成・数式生成・データ整理の補助
- スライド: 画像生成、スピーカーノート生成
- Meet: 自動議事録(Take notes for me)、リアルタイム翻訳キャプション
- Drive: 動画要約、ファイル横断検索
料金と有効化
Business Standard 以上に標準搭載(追加料金なし)。管理コンソール → 生成AI → Gemini → サービスステータスを「オン」。OU単位での制御も可。
検討すべき事項
- OU単位で段階展開する場合の順番
- 個別アプリ(Gmail内・Docs内など)でON/OFFを分ける必要があるか
- 業務でAIに何をさせるか/させないかの線引き(→ AI活用ガイドライン参照)
- 初期トレーニング(社員向け使い方研修)の実施タイミング
専門家に確認すべき事項
- Google認定パートナー:OU別ON/OFFのベストプラクティス、導入支援メニューの有無
- 顧問弁護士:顧客情報をGeminiで処理することの法的整理(→ 顧客契約書セクション参照)
2学習させない設定(データ保護の仕組み)
「学習させない」とは入力した業務データ(メール、ドキュメント等)が、AIの賢さを上げるための「教材」として使われないようにすること。顧客情報を含めて活用する方針の前提となる重要な仕組み。
結論:追加設定は不要
GWS有償版(Business / Enterprise)は契約自体で「顧客データを Gemini の学習に使わない」と保証されている。「OFFスイッチをオンに」のような操作はそもそも存在しない。Workspace を契約している時点で守られる。
この保証があるからこそ、顧客同意を前提とした個人情報の処理が法的・倫理的に成立する。
GWS有償版(Business / Enterprise)は契約自体で「顧客データを Gemini の学習に使わない」と保証されている。「OFFスイッチをオンに」のような操作はそもそも存在しない。Workspace を契約している時点で守られる。
この保証があるからこそ、顧客同意を前提とした個人情報の処理が法的・倫理的に成立する。
関連して押さえておくこと
- Gemini会話履歴の保存: 管理コンソールで ON/OFF できる
- 個人版 Gemini(gemini.google.com)の業務利用は禁止推奨: 個人版は学習に使われる場合があるため、業務情報の入力は不可。管理コンソールでアクセスをブロックできる
- ChatGPT・Claude.ai 等の外部AIサービス: 個人アカウント利用は禁止が標準(学習されるため)
検討すべき事項
- 会話履歴の保存をどう設定するか(監査ログとしては残したい/学習防止としては不要)
- 個人版Gemini・ChatGPT等の外部AIのブロック範囲(業務PCのみ/私物PCも対象か)
- 顧客に「学習されない」点を説明する資料・FAQの整備
専門家に確認すべき事項
- 顧問弁護士:個人情報保護法・税理士法第38条(守秘義務)と Gemini 利用の整理
- Google認定パートナー:データリージョン設定(米国/日本)の選択肢
3Workspace Studio の有効化
Google Workspace Studio とは2025年12月にGA(正式公開)された新サービス。ノーコードでAIエージェントの業務ワークフローを作れる機能。旧名「Workspace Flows」が改称されたもの。
例: 「Gmailに来た問い合わせを自動で Drive に保存し、担当者に Chat 通知する」といった自動化を、自然言語で組める。
例: 「Gmailに来た問い合わせを自動で Drive に保存し、担当者に Chat 通知する」といった自動化を、自然言語で組める。
表記揺れについて
「workspaces tudio」のような表記を見かける場合、これは「Workspace Studio」のタイポと思われる。正式名は Google Workspace Studio。
有効化と注意点
- 管理コンソール → アプリ → Google Workspace → Workspace Studio
- Business Standard でも利用可能(追加料金なし)
- 18歳未満のユーザーは利用不可
- 無効化すると、所有中のワークフローは即停止
検討すべき事項
- 導入日時点で有効化するか(DX担当部署だけ先行か、当面全社OFFで様子見か)
- 誰がワークフロー作成権限を持つか(一般社員に開放するか、DX部署のみか)
- 作成されたワークフローの監査・棚卸しルール
専門家に確認すべき事項
- Google認定パートナー:他税理士法人での活用事例
4階層設定(組織単位/OU)の理解
組織単位(OU: Organizational Unit)とはGWSで「同じ設定(AI機能・共有制限・2段階認証など)を一括適用する箱」のこと。人事組織図と一致させる必要はなく、"設定を分けたい単位" で切るのが基本。
OUと「グループ」の使い分け
- OU: ポリシー(機能のON/OFF、セキュリティ設定)の適用単位
- グループ: ファイル共有や権限付与の単位(例: 「経理だけが見られる資料」)
細かい部門権限はグループで表現し、OUは大きく切るのがGoogle公式のベストプラクティス。
典型的なOU構造のパターン
ルート組織 ├─ 役員・幹部 ← AI機能ON、管理者権限 ├─ 正社員 ← 標準ポリシー ├─ 業務委託・パートナー ← 外部共有・ダウンロード制限 └─ 退職予定者 ← 送受信制限
検討すべき事項
- OUの大枠の階層構造
- 各OUに適用するポリシーの差(AI機能ON/OFF、外部共有可否、2段階認証強度)
- 初期ユーザーをどのOUに振り分けるか
- 業務委託者・パートナーのアカウント発行範囲
専門家に確認すべき事項
- Google認定パートナー:他税理士法人での OU 設計事例
- 社労士:業務委託者・派遣社員のアカウント取り扱い
5その他のセキュリティ初期設定(2段階認証含む)
導入日までに最低限ONにしておきたい基本設定。
必須5項目
| 項目 | 内容 |
|---|---|
| 管理者の2段階認証 | 既定で2024年末から強制化済み |
| Drive 外部共有ポリシー | 「同じドメイン内のみ」または「許可ドメインリスト」に制限 |
| セッション長制御 | 業務時間外に自動ログアウト |
| アラートセンター | 不審なログイン等の通知を有効化 |
| 安全性の低いアプリ | 古い認証方式のアプリからのアクセスを無効化 |
2段階認証(MFA)— ユーザー全員に適用する設定
2段階認証(MFA)とはパスワードに加えて「もう1要素」確認する仕組み。GWSでは「2段階認証プロセス(2SV)」と呼ばれる。
| 方式 | 特徴 | 社用スマホなし対応 |
|---|---|---|
| パスキー | PCの顔/指紋認証。最も強くて快適 | ○ 追加機器不要 |
| 物理セキュリティキー | USBキー(Google Titan / YubiKey) | ○ 機器を配布 |
| Googleプロンプト | スマホへのポップアップ通知 | × スマホ必須 |
| 認証アプリ(TOTP) | スマホアプリで6桁コード生成 | △ 個人スマホ要 |
| SMS | 携帯に届く認証コード | × 推奨されない |
運用上の注意: 全社員の2SV登録が完了してから「強制」をONに。先に強制をONすると、未登録者がログイン不能になる。導入後1〜2週間の登録猶予期間を設けるのが定石。
検討すべき事項
- 2SVの方式(パスキー中心か、物理キー併用か)
- 物理キー配布範囲(全社員か、機微情報担当のみか)
- 2SV強制化のタイミング(導入1週間後/2週間後)
- 外部共有ポリシーの厳格度(ドメイン内のみ/許可ドメインリスト)
- 顧客とのファイル共有方法(Drive共有/添付ファイル/別途のセキュアな受け渡し方法)
専門家に確認すべき事項
- Google認定パートナー:物理キーの一括調達ルート
- 情報セキュリティコンサル:税理士法人として推奨されるセキュリティ強度
並行進行
並行して進める項目
7月上旬の本格構築完了に向けて整える6ドメイン移行(Outlook → Gmail)
ドメイン移行とは会社のメールアドレス(@example.com)の「届け先サーバー」を Outlook (Microsoft) から Gmail (Google) に切り替える作業。DNSという案内板を書き換えることで切り替わる。
導入日にメール本番切替はしない
導入日はGWSアカウントを配って Drive・Gemini・Meet などから使い始める。メールは旧Outlookと並行運用し、本番切替は6月下旬〜7月上旬の本格構築タイミングで実施するのが安全。
導入日はGWSアカウントを配って Drive・Gemini・Meet などから使い始める。メールは旧Outlookと並行運用し、本番切替は6月下旬〜7月上旬の本格構築タイミングで実施するのが安全。
移行ツール(Outlookの場合)
| ツール | 用途 |
|---|---|
| Data import(2026年4月正式公開) | Microsoft 365 / Exchange から一括移行。第一候補 |
| GWMMO | ローカルOutlook(.pst)からの取り込み補助 |
| IMAP個別取り込み | ユーザー自身でメールを取り込む方式 |
必須のDNS設定
SPF / DKIM / DMARC とはメールのなりすまし防止のための3つの認証設定。2024年2月以降、Gmail はこの3点セットを送信者に必須化している。移行時に Outlook 用の設定から Google 用に切り替える必要がある。
並行運用の仕組み
| 方式 | 動作 |
|---|---|
| デュアルデリバリー(二重配信) | Gmail受信後、コピーを旧Outlookへ転送。両方で同じメールを受信 |
| スプリットデリバリー | ユーザー単位で旧/新を振り分け |
検討すべき事項
- 過去メールをどこまで移行するか(全期間/直近1年/直近3年)
- メーリングリスト・共有メールボックス・自動振り分けルールの一覧化と再現要否
- MX本番切替のタイミング(6月最終週/7月第1週、金曜夜推奨)
- 旧Outlookの停止判断時期(切替後2週間/1ヶ月)
専門家に確認すべき事項
- Microsoft 365代理店:契約解約条件・解約予告期間
- Google認定パートナー:Data import 移行の実施支援
- DNS管理代行業者:MX/SPF/DKIM/DMARC変更の手順
7シングルサインオン(SSO)の導入時期
シングルサインオン(SSO)とは一度ログインすれば、連携している複数のサービス(Slack、kintone、Box など)に再ログイン不要で入れる仕組み。退職時のアカウント停止が1箇所で済む、パスワード使い回しが減る、というメリットがある。
導入時期の考え方
GWS導入と同時にSSOは入れないのが定石。理由:
- 導入直後はユーザーが Googleアカウントに慣れる時期。複雑なログインフローは混乱を招く
- SSOは単一障害点(IdPが落ちると全SaaSにログイン不能)になりやすい
- 連携対象SaaSの棚卸しが先に必要
一般的には、GWS稼働 2〜3ヶ月後から本格導入を検討するのが定石。本件では本格構築完了後(8〜9月)の検討開始が現実的。
検討すべき事項
- 現在使っているSaaS一覧の棚卸し(kintone、TKC、freee、Slack、Box等)
- SSO化の優先順位(よく使うSaaSから順に)
- GoogleをIdPにするか、外部IdP(Okta/Entra ID)にするか
- 緊急バイパス用ローカル管理者アカウントの設計
専門家に確認すべき事項
- Google認定パートナー:SaaS別のSSO連携実績
- SaaS提供業者:SAML対応の有無、追加料金プラン
8AI活用ガイドライン(社内ルール)— 標準文例つき
AI活用ガイドラインとは社員がAI(Gemini for Workspace等)を業務でどう使ってよいかを定めた社内ルール。顧客同意を取得した上で個人情報を含めて活用する方針を取る場合、AI活用ガイドラインが「個人情報を扱う前提条件」として最も重要な規程になる。
標準的な構成(章立て)
- 第1章 総則 — 目的、用語の定義、適用範囲、施行日
- 第2章 利用可能・禁止サービス — ホワイトリスト方式
- 第3章 入力情報の取扱区分 — 入力可/注意/入力禁止 の3段階
- 第4章 生成物の取扱い — 検証義務、最終確認責任
- 第5章 ログ・記録 — プロンプト・出力の保存期間、監査対応
- 第6章 インシデント対応 — 漏洩発覚時の報告フロー
- 第7章 教育・誓約 — 入社時・年次研修、誓約書取得
- 第8章 違反時の措置 — 就業規則準用による懲戒
- 第9章 見直し — 年1回または重大改訂時
利用可能・禁止サービス(ホワイトリスト例)
| 区分 | サービス | 条件 |
|---|---|---|
| 利用可 | Gemini for Workspace(法人契約) | 本ガイドラインの定めに従う |
| 利用可 | Workspace Studio | ワークフロー作成は所定の承認手続き経由 |
| 利用可 | Meet 自動議事録 | 顧客同席会議は事前同意必須 |
| 禁止 | 個人版 Gemini(gemini.google.com・無料版) | 業務利用全面禁止 |
| 禁止 | ChatGPT 個人版/Claude.ai 個人版 等 | 業務利用全面禁止 |
| 条件付可 | API経由のChatGPT等 | 学習オプトアウト設定済みかつ事前承認 |
入力情報の3区分(方針反映)
顧客同意を取得した上で個人情報を含めて活用する方針のため、従来型の「マスキング前提」ではなく、顧客同意の有無と情報の機微性で区分する。
| 区分 | 該当する情報 | 取扱い |
|---|---|---|
| 入力可 | 公開情報、社内マニュアル、税法条文、顧問契約においてAI活用に同意済みの顧客の業務情報(決算数値、申告関連情報、取引内容、氏名、法人名、住所等) | そのまま入力可 |
| 注意(要確認) | AI活用への同意取得が完了していない顧客の情報 | 同意取得が完了するまでは入力しない/責任者確認の上で個別判断 |
| 入力禁止 | マイナンバー、本人確認書類(運転免許証・パスポート等の画像データを含む)、要配慮個人情報(病歴、犯罪歴、人種、信条等) | 顧客同意の有無を問わず、いかなる場合もGWS環境下でも入力しない |
マイナンバーがGWS環境下でも入力禁止である理由: マイナンバー法(番号法)は、利用目的・取扱者を厳格に法定しており、AI処理のような汎用的な利用は想定されていない。GWS有償版が学習に使わない契約であっても、番号法上の「特定個人情報」としての取扱い要件を独立して満たす必要があるため、AI入力対象から除外する。
税理士業務とAIの線引き(税理士法上の論点)
- 申告書本体の生成はAIで行わない(税理士法上、税務代理・税務書類作成は税理士の独占業務、最終責任は税理士)
- 補助業務は許容: チェックリスト生成、勘定科目仕訳の候補出し、注記文案作成、税務調査想定問答ドラフト
- 最終チェックは必ず有資格者: AI出力は「下書き」扱い、税理士による検算・押印を経るワークフローを明文化
標準文例(各章の条文例)
第1章 総則・文例
第1条(目的)
本ガイドラインは、税理士法人◯◯(以下「当法人」という)が、業務効率および品質の向上を目的として、生成AI(以下「AI」という)を業務に活用するにあたり、顧客情報の適切な保護と、税理士法・個人情報保護法・関連諸法令の遵守を確保するための基本ルールを定めるものである。
第2条(適用範囲)
本ガイドラインは、当法人の役員、職員、派遣社員、業務委託先その他当法人の業務に従事するすべての者に適用する。
第3条(準拠する公的指針)
本ガイドラインは、総務省・経済産業省「AI事業者ガイドライン第1.2版」(令和8年3月)の利用者向け指針、個人情報保護委員会の生成AI利用に関する指針、および日本税理士会連合会の指針に準拠する。
本ガイドラインは、税理士法人◯◯(以下「当法人」という)が、業務効率および品質の向上を目的として、生成AI(以下「AI」という)を業務に活用するにあたり、顧客情報の適切な保護と、税理士法・個人情報保護法・関連諸法令の遵守を確保するための基本ルールを定めるものである。
第2条(適用範囲)
本ガイドラインは、当法人の役員、職員、派遣社員、業務委託先その他当法人の業務に従事するすべての者に適用する。
第3条(準拠する公的指針)
本ガイドラインは、総務省・経済産業省「AI事業者ガイドライン第1.2版」(令和8年3月)の利用者向け指針、個人情報保護委員会の生成AI利用に関する指針、および日本税理士会連合会の指針に準拠する。
第2章 利用サービス・文例
第4条(利用可能なAIサービス)
1. 当法人の業務において利用可能なAIサービスは、Google LLCとのエンタープライズ契約に基づくGoogle Workspace内のGemini for Workspaceおよび関連機能(以下「指定AI」という)に限る。
2. 指定AIは、入力データがGoogle社のAIモデル学習に利用されない契約条件のもとで提供されるものに限定する。
3. 個人アカウントによる生成AIサービス(gemini.google.com、ChatGPT、Claude.ai等)の業務利用を禁止する。
1. 当法人の業務において利用可能なAIサービスは、Google LLCとのエンタープライズ契約に基づくGoogle Workspace内のGemini for Workspaceおよび関連機能(以下「指定AI」という)に限る。
2. 指定AIは、入力データがGoogle社のAIモデル学習に利用されない契約条件のもとで提供されるものに限定する。
3. 個人アカウントによる生成AIサービス(gemini.google.com、ChatGPT、Claude.ai等)の業務利用を禁止する。
第3章 入力情報の取扱区分・文例
第5条(入力可能な情報)
役職員が指定AIへ入力できる情報は、原則として以下に限る。
(1) 公開情報および当法人の社内資料
(2) 顧問契約においてAI活用への同意を取得した顧客の業務情報(決算数値、申告関連情報、取引内容、氏名、法人名、住所等)
第6条(入力禁止情報)
前条にかかわらず、以下の情報は理由のいかんを問わず指定AIへ入力してはならない。
(1) マイナンバーおよびマイナンバーが記載された書類
(2) 本人確認書類(運転免許証、パスポート、健康保険証等の画像データを含む)
(3) 要配慮個人情報(病歴、犯罪歴、人種、信条、社会的身分等)
(4) 顧問契約においてAI活用への同意を取得していない顧客の個人情報
第7条(同意未取得顧客の取扱い)
AI活用への同意を取得していない顧客の業務については、AIを利用せず従来の手作業による処理を行うものとする。同意取得後は、第5条の規定に従う。
役職員が指定AIへ入力できる情報は、原則として以下に限る。
(1) 公開情報および当法人の社内資料
(2) 顧問契約においてAI活用への同意を取得した顧客の業務情報(決算数値、申告関連情報、取引内容、氏名、法人名、住所等)
第6条(入力禁止情報)
前条にかかわらず、以下の情報は理由のいかんを問わず指定AIへ入力してはならない。
(1) マイナンバーおよびマイナンバーが記載された書類
(2) 本人確認書類(運転免許証、パスポート、健康保険証等の画像データを含む)
(3) 要配慮個人情報(病歴、犯罪歴、人種、信条、社会的身分等)
(4) 顧問契約においてAI活用への同意を取得していない顧客の個人情報
第7条(同意未取得顧客の取扱い)
AI活用への同意を取得していない顧客の業務については、AIを利用せず従来の手作業による処理を行うものとする。同意取得後は、第5条の規定に従う。
第4章 生成物の取扱い・文例
第8条(生成物の検証義務)
1. 指定AIの出力結果は、必ず担当税理士または有資格者の検証・承認を経た上で業務に反映する。
2. 申告書本体、税務調査における意見書、その他税理士法上、税理士の独占業務に該当する成果物については、AIによる直接生成を行わない。AIは下書き・チェックリスト生成等の補助業務に限り利用できる。
3. 顧客への成果物提出にあたり、AIの利用範囲について顧客から照会があった場合は、誠実に回答するものとする。
1. 指定AIの出力結果は、必ず担当税理士または有資格者の検証・承認を経た上で業務に反映する。
2. 申告書本体、税務調査における意見書、その他税理士法上、税理士の独占業務に該当する成果物については、AIによる直接生成を行わない。AIは下書き・チェックリスト生成等の補助業務に限り利用できる。
3. 顧客への成果物提出にあたり、AIの利用範囲について顧客から照会があった場合は、誠実に回答するものとする。
第5章 ログ・記録・文例
第9条(記録の保存)
指定AIへのプロンプトおよび出力は、GWS管理コンソールのログ機能を通じて記録される。当法人は当該ログを情報セキュリティ規程に定める期間(原則3年)保存する。
指定AIへのプロンプトおよび出力は、GWS管理コンソールのログ機能を通じて記録される。当法人は当該ログを情報セキュリティ規程に定める期間(原則3年)保存する。
第6章 インシデント対応・文例
第10条(インシデント発生時の報告)
1. 役職員は、AIの利用に関連して情報漏洩、誤った生成物の業務反映、その他の事故を発生させ、または発生のおそれを認識した場合、直ちに所属長および情報セキュリティ責任者に報告するものとする。
2. 情報セキュリティ責任者は、報告を受けた場合、原因究明、被害拡大防止、再発防止策の策定にあたり、必要に応じて経営陣、個人情報保護委員会、影響を受ける顧客への通知を行う。
1. 役職員は、AIの利用に関連して情報漏洩、誤った生成物の業務反映、その他の事故を発生させ、または発生のおそれを認識した場合、直ちに所属長および情報セキュリティ責任者に報告するものとする。
2. 情報セキュリティ責任者は、報告を受けた場合、原因究明、被害拡大防止、再発防止策の策定にあたり、必要に応じて経営陣、個人情報保護委員会、影響を受ける顧客への通知を行う。
第7章 教育・誓約・文例
第11条(教育・誓約)
1. 当法人は、役職員に対し、本ガイドラインに関する研修を年1回以上、および採用時に実施する。
2. 役職員は、採用時および本ガイドラインの重大改訂時に、本ガイドラインを遵守する旨の誓約書を提出するものとする。
1. 当法人は、役職員に対し、本ガイドラインに関する研修を年1回以上、および採用時に実施する。
2. 役職員は、採用時および本ガイドラインの重大改訂時に、本ガイドラインを遵守する旨の誓約書を提出するものとする。
第8〜9章 違反措置・見直し・文例
第12条(違反時の措置)
本ガイドラインに違反した役職員に対しては、就業規則に定める懲戒規定を適用する。
第13条(見直し)
本ガイドラインは、年1回以上、または関係法令の改正、技術環境の変化等に応じて見直しを行う。
本ガイドラインに違反した役職員に対しては、就業規則に定める懲戒規定を適用する。
第13条(見直し)
本ガイドラインは、年1回以上、または関係法令の改正、技術環境の変化等に応じて見直しを行う。
参考になる公開ガイドライン
検討すべき事項
- 「同意取得済み」「同意未取得」顧客の管理方法(顧客マスタへのフラグ管理)
- AI生成物の責任所在(担当税理士か、所属長か)
- 誓約書の文面、研修コンテンツの内製/外注
- 違反時の懲戒レベル(就業規則の懲戒区分との整合)
- 公開するか/社内限りか(公開は信頼性向上に寄与)
- ログ保存期間(3年が標準だが、税理士法の業務処理簿保存5年と揃えるか)
専門家に確認すべき事項
- 顧問弁護士:ガイドライン文面のレビュー、税理士法・個人情報保護法との整合
- 顧問社労士:就業規則との整合、誓約書の取り方
- 日本税理士会連合会または所属税理士会:AI利用に関する公式見解
- 情報セキュリティコンサル:他税理士法人での運用実態
9社内セキュリティポリシーの整備
セキュリティポリシーとは会社として「情報資産をどう守るか・社員に何を守らせるか」をまとめた社内規程の総称。顧客同意の下で個人情報をAI処理する方針を取る場合、「適切な安全管理措置を講じている」ことの裏付け文書として、顧客への説明責任を果たすための土台となる。
整備する規程の種類
- 情報セキュリティ基本方針(経営トップの宣言文書)
- 情報セキュリティ規程(IPA「中小企業の情報セキュリティ対策ガイドライン」の雛形をベースに改変)
- アカウント管理規程(入退社時の発行・停止フロー)
- PC・スマホ利用ガイドライン(私物BYODのルール含む)
- メール・チャット利用規程(誤送信・外部共有のルール)
- Drive 利用ガイドライン(クラウドストレージの使い方)
- AI活用ガイドライン(→ 別途詳細・前項)
- 委託先管理規程(業務委託者の取り扱い)
個人情報保護法上の「安全管理措置」4分類との対応
| 分類 | 主な内容 | 対応イメージ |
|---|---|---|
| 組織的安全管理措置 | 責任者選任、規程整備、監査 | 情報セキュリティ責任者の選任、本規程群の整備 |
| 人的安全管理措置 | 従業員教育、誓約書取得 | 年1回の研修、誓約書の取得 |
| 物理的安全管理措置 | 入退室管理、機器盗難防止 | 事務所の物理セキュリティ規程 |
| 技術的安全管理措置 | アクセス制御、暗号化、ログ管理 | 2段階認証、Drive外部共有制限、GWS管理コンソール監査ログ |
整備のタイミング
- 導入前〜導入直後: 基本方針/アカウント管理規程
- 導入後1〜3ヶ月: PC・メール・Drive利用ガイドライン
- 導入後3ヶ月以降: AI活用ガイドライン正式版、委託先管理規程
検討すべき事項
- 整備の責任部署(DXS/総務/管理本部のどこか)
- 既存規程の改定か、ゼロベースで新設か
- 顧客への開示範囲(外部公開する/求められたら見せる/非公開)
- 監査・運用責任者の選任
- 将来的なISMS/プライバシーマーク取得の方針
専門家に確認すべき事項
- 情報セキュリティコンサル:規程の総合レビュー
- 顧問弁護士:法的整合性のチェック
- ISMS/Pマーク認証機関:将来の認証取得を視野に入れる場合の要件
10社内契約書・就業規則の変更
なぜ社内の契約書・就業規則を変更する必要があるのかGWS の利用=米国 Google LLC への業務委託となるため、社員に守ってもらうルールの追加が必要。
変更が必要な主な書類
| 書類 | 変更ポイント |
|---|---|
| 就業規則 | 服務規律に情報資産取扱条項を追加/懲戒事由に情報漏洩・私的利用条項/テレワーク規程に端末利用条項 |
| 雇用契約書 | 秘密保持条項を「クラウドサービス上のデータ」にも拡張/退職時のアカウント返却義務 |
| 誓約書 | 情報セキュリティ規程・AI活用ガイドラインの遵守誓約 |
| 業務委託契約書(業務委託者向け) | 専用OUでのアカウント発行、契約終了時の停止、AI利用ルール準拠 |
変更の進め方
- 社労士・弁護士に相談し改定文案を作成
- 就業規則の改定は労使協議+労働基準監督署への届出
- 従業員への周知(説明会または書面)
- 誓約書の取得
所要期間目安: 就業規則の改定は労基への届出も含めると1〜2ヶ月程度。GWS稼働と並行して着手するのが一般的。
検討すべき事項
- 就業規則改定の起案責任者(社労士に任せるか、自社で起案するか)
- 誓約書の取得タイミング(GWS導入時の説明会で一括/個別面談)
- 業務委託者・派遣社員の取り扱い(雇用契約書とは別の様式)
- 退職時のデータ取り扱い(持ち出しチェック、引継ぎフロー)
専門家に確認すべき事項
- 顧問社労士:就業規則の改定文案、労基届出
- 顧問弁護士:誓約書・委託契約書の文面レビュー
11顧客との契約書(税理士法人として)— 重点項目
なぜ顧客との契約書を見直す必要があるのか本件の方針は顧客の個人情報を含む業務データをマスキングせずGeminiで活用すること。これを法的・倫理的に成立させる前提として、顧客からの事前同意と、適切な安全管理措置の宣言が必要になる。
関連する法律:個人情報保護法第27条(第三者提供)・第28条(外国第三者提供)・税理士法第38条(守秘義務)。
関連する法律:個人情報保護法第27条(第三者提供)・第28条(外国第三者提供)・税理士法第38条(守秘義務)。
顧問契約書に織り込むべき4つの条項
- 生成AI利用の説明・同意
- クラウドサービス(GWS)利用の説明
- 情報セキュリティポリシー遵守の宣言
- インシデント時の通知・データ管理
(1) 生成AI利用の説明・同意条項(標準文例)
第◯条 生成AI等の利用・標準文例
1. 受託者は、本件業務の遂行にあたり、業務効率および品質向上を目的として、生成AI(Gemini for Workspace等を含む。以下「指定AI」という)を利用する。
2. 受託者は、指定AIへの入力に際し、委託者から取得した個人情報および業務情報(決算数値、申告関連情報、取引内容、氏名、法人名、住所等を含む)を、受託者が定める「AI活用ガイドライン」に従って取り扱う。
3. 受託者が利用する指定AIは、提供事業者(Google LLC)とのエンタープライズ契約に基づき、入力データが提供事業者のAIモデル学習に利用されない契約条件のもとで運用されるものに限定される。
4. 前項にかかわらず、マイナンバーおよびマイナンバー法上の「特定個人情報」、本人確認書類、要配慮個人情報については、指定AIへ入力しないものとする。
5. 指定AIの出力結果については、受託者の有資格者による検証を経た上で業務に反映するものとし、最終的な税務判断の責任は受託者が負う。
6. 委託者は、本条に基づく指定AIの利用について、本契約の締結をもって同意する。委託者は、書面による通知をもって、本同意を将来に向かって撤回することができる。同意撤回後の業務遂行方法および対価については、受託者・委託者間で別途協議するものとする。
2. 受託者は、指定AIへの入力に際し、委託者から取得した個人情報および業務情報(決算数値、申告関連情報、取引内容、氏名、法人名、住所等を含む)を、受託者が定める「AI活用ガイドライン」に従って取り扱う。
3. 受託者が利用する指定AIは、提供事業者(Google LLC)とのエンタープライズ契約に基づき、入力データが提供事業者のAIモデル学習に利用されない契約条件のもとで運用されるものに限定される。
4. 前項にかかわらず、マイナンバーおよびマイナンバー法上の「特定個人情報」、本人確認書類、要配慮個人情報については、指定AIへ入力しないものとする。
5. 指定AIの出力結果については、受託者の有資格者による検証を経た上で業務に反映するものとし、最終的な税務判断の責任は受託者が負う。
6. 委託者は、本条に基づく指定AIの利用について、本契約の締結をもって同意する。委託者は、書面による通知をもって、本同意を将来に向かって撤回することができる。同意撤回後の業務遂行方法および対価については、受託者・委託者間で別途協議するものとする。
(2) クラウドサービス(GWS)利用条項(標準文例)
第◯条 クラウドサービスの利用・標準文例
1. 受託者は、本件業務において Google Workspace(運営:Google LLC、本社所在地:米国)を利用する。委託者のデータは同社の規約に基づき適切なアクセス制御の下で保管され、Google LLCはこれを内容として取り扱わない。
2. 受託者は、米国における個人情報保護制度およびGoogle LLCが講ずる保護措置について、自社プライバシーポリシーに記載のとおり開示する。
3. 受託者は、Google LLCが個人情報保護法上の「クラウド例外」要件(個人データを取り扱わない契約条項および適切なアクセス制御)を満たすことを確認している。
2. 受託者は、米国における個人情報保護制度およびGoogle LLCが講ずる保護措置について、自社プライバシーポリシーに記載のとおり開示する。
3. 受託者は、Google LLCが個人情報保護法上の「クラウド例外」要件(個人データを取り扱わない契約条項および適切なアクセス制御)を満たすことを確認している。
(3) 情報セキュリティ条項(標準文例)
第◯条 情報セキュリティ・標準文例
1. 受託者は、自社の「情報セキュリティポリシー」および「AI活用ガイドライン」、ならびに個人情報保護法に基づく安全管理措置(組織的・人的・物理的・技術的安全管理措置)に則り、委託者の情報を厳重に管理する。
2. 受託者は、従業者に対し、本契約に基づく義務の履行に必要な教育研修を定期的に実施する。
3. 委託者は、受託者の安全管理措置の遵守状況について、合理的な範囲で受託者に報告を求めることができる。
4. 受託者は、委託者から請求があった場合には、自社の情報セキュリティポリシーおよびAI活用ガイドラインの概要を委託者に開示する。
2. 受託者は、従業者に対し、本契約に基づく義務の履行に必要な教育研修を定期的に実施する。
3. 委託者は、受託者の安全管理措置の遵守状況について、合理的な範囲で受託者に報告を求めることができる。
4. 受託者は、委託者から請求があった場合には、自社の情報セキュリティポリシーおよびAI活用ガイドラインの概要を委託者に開示する。
(4) インシデント・再委託・データ管理条項(標準文例)
第◯条 情報漏洩・再委託・データ管理・標準文例
(情報漏洩時の対応)
受託者は、本件業務に関し個人情報の漏洩、滅失、毀損その他の事故が発生し、または発生するおそれを認識した場合、直ちに委託者に通知し、原因究明、被害拡大防止、再発防止策の策定に努めるものとする。
(再委託)
受託者は、本件業務の全部または一部を第三者に再委託する場合、事前に委託者の書面による承諾を得るものとし、再委託先に対して本契約と同等以上の義務を課し、必要かつ適切な監督を行う。
(データ保管・廃棄)
受託者は、本件業務終了後、委託者から預託された資料・データを返却または安全な方法で廃棄する。電子データは復元不可能な方法で削除する。ただし、法令上の保存義務がある書類(税理士法施行規則による業務処理簿等)はこの限りでない。
受託者は、本件業務に関し個人情報の漏洩、滅失、毀損その他の事故が発生し、または発生するおそれを認識した場合、直ちに委託者に通知し、原因究明、被害拡大防止、再発防止策の策定に努めるものとする。
(再委託)
受託者は、本件業務の全部または一部を第三者に再委託する場合、事前に委託者の書面による承諾を得るものとし、再委託先に対して本契約と同等以上の義務を課し、必要かつ適切な監督を行う。
(データ保管・廃棄)
受託者は、本件業務終了後、委託者から預託された資料・データを返却または安全な方法で廃棄する。電子データは復元不可能な方法で削除する。ただし、法令上の保存義務がある書類(税理士法施行規則による業務処理簿等)はこの限りでない。
個人情報保護法上の整理
| 論点 | 取扱い |
|---|---|
| 委託(法27条5項1号) | 個人データを委託する場合、本人同意は不要。ただし委託先の監督義務(法25条)を負う |
| クラウド例外 | クラウド事業者が「契約条項によって個人データを取り扱わない旨を定め、適切にアクセス制御している」場合、「第三者提供」にも「委託」にも該当せず、本人同意不要。GWSはこの要件を満たす整理 |
| 外国第三者提供(法28条) | クラウド例外に該当する場合、法28条は適用されない。該当しない場合は同意取得+情報提供義務 |
| 外的環境の把握 | クラウド例外でも、ガイドライン上「米国でデータが取り扱われる旨をプライバシーポリシー等で明示」する必要あり |
本件方針における契約書の位置づけ: 法的には「クラウド例外」によって本人同意がなくてもGWS利用は可能だが、本件はそれにとどまらず「AIへの入力=AIによる処理」を行うため、顧客への透明性確保と説明責任の観点から、明示的な同意取得を契約書で行う方針を取る。これにより、顧客との信頼関係を維持しつつ、業務効率化を実現する。
反対した顧客への対応
AI利用に同意しない顧客向けには、「AI不使用での処理オプション」を提供する形が推奨される。但書例:「AI活用に同意されないお客様については、従前の手作業による業務遂行を行います(その場合の納期・料金は別途協議)」
既存顧客への展開方法
既存の顧問契約書をすべて改訂するのは負担が大きいため、実務上は 「AI・クラウド利用に関する覚書」を別紙として配布する方式が一般的(同業大手・中堅事務所でも採用例多数)。
Webサイトでのガイドライン公開
透明性確保と説明責任の同時履行のため、AI利活用ガイドラインをWebサイトで公開する事務所が増えている。これにより、顧客への説明資料としても活用でき、新規顧客獲得時の安心材料にもなる。
税理士法第38条(守秘義務)との関係
- 違反は2年以下の懲役または100万円以下の罰金
- GWS有償版は「学習されない契約」のため、Geminiへの入力が即「秘密の漏示」となるリスクは低い
- ただし、顧客同意を取得することで、守秘義務との関係でも透明性が確保される
検討すべき事項
- AI同意条項の方式(契約書本体に組み込む/別紙覚書/プライバシーポリシー記載)
- 既存顧客への展開方法(一斉通知/個別案内/覚書配布)
- AI利用ガイドラインのWeb公開可否
- AI不使用オプションの料金体系(同価格/プレミアム料金)
- 反対意見への対応フロー(誰がどう説明するか)
- プライバシーポリシーの改定範囲
- 新規顧客向けの説明資料(パンフレット/契約時の説明)
- 同意取得済み/未取得の顧客管理方法(顧客マスタへのフラグ付与)
専門家に確認すべき事項
- 顧問弁護士:条項文案のレビュー、個人情報保護法・税理士法との整合、既存顧客への覚書展開の法的論点
- 日本税理士会連合会または所属税理士会:AI利用に関する業界指針、モデル契約書の有無
- 個人情報保護担当者:プライバシーポリシー改定、安全管理措置の整理
- 同業他事務所(情報交換):公開ガイドラインを開示している事務所の運用実態
全体感
全体の進め方イメージ
7月上旬の本格構築完了目標📋大まかな時間軸の理解
アカウント発行日はあくまで「土台を作り、業務で使い始める日」。7月上旬の本格構築完了に向けて、導入後の約5〜6週間でメール本番切替準備と規程整備を並行で進めるイメージ。
| フェーズ | 時期 | 主な内容 |
|---|---|---|
| 準備〜導入 | 導入前〜5月下旬 | OU設計、初期設定(Gemini・Studio・セキュリティ)、アカウント発行 |
| 試運用期間 | 5月下旬〜6月中旬 | 業務でGWSを使い始める/2段階認証登録/メール並行運用準備 |
| 移行準備 | 6月中旬〜下旬 | パイロットでメール並行運用テスト/Data import試験/規程ドラフト |
| 本格構築完了 | 7月上旬 | MX本番切替/全機能本格運用 |
| 定着・拡張 | 7月以降 | SSO導入検討/就業規則改定/顧客契約書改定(覚書配布)/Workspace Studio拡大 |
並行して進める「整備系」のタスク
- AI活用ガイドラインのドラフト作成(社内)→ 顧問弁護士レビュー → 7月正式運用
- 顧客向け説明資料・覚書のドラフト作成 → 顧問弁護士レビュー
- 就業規則改定の社労士相談 → 労使協議 → 労基届出
- プライバシーポリシー改定
ポイント: 導入日時点で完璧を求めず、「アカウントを安全に配り、業務で使い始められる状態」を作ることが目標。7月上旬までの約6週間で本格構築完了、規程・契約書はそこからさらに2〜3ヶ月かけて整える、という二段階のイメージで進めるのが現実的。