【連載】社労士事務所のAI活用ガイド～第４回：考慮すべきリスクとガードレール

林雄次（デジタル士業®・資格ソムリエ®）

【編集部より】
生成AIの発達が目まぐるしい現在。社労士事務所ではどう活用できる？本連載では、『社労士事務所のDXマニュアル』（中央経済社）著者で、デジタル士業®×資格ソムリエ®の林雄次先生にやさしく教えていただきます。

はじめに

生成AIを社労士事務所に入れるとき、技術の話より先に押さえるべきは、「どこまでが安全で、どこからが危険か」を事務所の言葉で定義することです。

便利さに目を奪われて境界線が曖昧なまま運用を始めると、個人情報の漏えい、誤情報の流通、著作権や契約違反といった“静かなリスク”が積み上がります。

逆に、リスクの正体を分解し、具体的なガードレールを文書化して共有すれば、AIは“速い下書き係”として生産性を押し上げ、所長や担当者の判断を支える確かな土台になります。

ここでは、社労士の現場で本当に起こり得る落とし穴と、それを避けるための運用原則を、背景から順にまとめていきます。

個人情報と機微情報――「入れない・残さない・追跡できる」の三拍子

最初の関門は個人情報の扱いです。氏名、住所、給与や健康に関する情報は、生成AIの入力欄に気軽に載せてよい種類のデータではありません。

外部サービスを使うなら、入力した情報が学習に再利用されない設定になっているか、保存期間と削除手段は何かを、契約と仕様で確認するのが出発点になります。

どうしても個別の情報に触れざるを得ないときは、仮名化や匿名加工の一手間を惜しまないことが、長期的には最大の節約です。

さらに、入力の段階で“誰が何を入れたか”を紐づけられる監査ログを持つ環境を選び、出力側にも“作成者・作成日・確認者・参照資料”を残すテンプレートを埋め込んでおくと、後から説明責任を果たす道が必ず残ります。

危ないのは、便利な無料ツールを試す勢いで実データを流し込む瞬間です。最初に決めるべきは「個人情報は原則入れない」「例外は所内の閉域環境でのみ」「入力者と入力内容は追跡できるようにする」という三拍子で、これが守られる限り、取り返しのつかない事故は大きく減ります。

守秘義務と顧問先の機密――“閉じた場”で考え、“開いた場”では抽象化する

顧問先の採用計画、処遇の見直し、労使交渉の経緯といった情報は、社労士が最前線で預かる企業機密です。生成AIに相談や下書きを頼むときも、案件が特定できる固有名詞やタイミング、交渉の条件といった敏感な要素は、そのまま入力しないのが大原則。

実務では、閉域の社内ツールで具体を検討し、外部の汎用モデルには抽象化した形で「製造業の管理職層に対する説明資料の骨子」と一般化した依頼を投げる二段構えが現実的です。

たとえ守秘義務契約が結ばれているベンダーでも、下請け（サブプロセッサ）の範囲や監査体制、事故時の通知義務まで確認して初めて安心できます。

まずはメールと同じで、「送ってよい内容か」を自問する癖を、AIへの入力時にもつけるするだけで、機密の“うっかり持ち出し”は激減します。

正確性と“幻覚”（ハルシネーション）――根拠で縛り、二重の人手で締める

生成AIがもっともらしく語ること自体は長所ですが、社労士の仕事ではこれが弱点に転じます。条文番号の取り違え、施行日のズレ、判例の誤読は、ごく小さな齟齬のように見えて、顧問先にとっては重大な判断ミスにつながります。

これを防ぐ最短の道は、出力の形式に“根拠表示”を強制することです。法令名、通達の見出しや発出日、一次資料のタイトルを最後に列挙させ、読み手が一次資料に戻れる形にしておきます。

そのうえで、少なくとも二人の人間が目を通す“ダブルチェック”を、社外送付の基準として固定したいところ。

AIは「確からしさ」を最大化し、人が「正しさ」を確定させる。

役割分担さえ守れば、幻覚（ハルシネーション）は怖くありません。

著作権と利用規約――“誰のものか”と“何に使ってよいか”を最初に決める

生成された文書や図表の権利は誰に帰属するのか、第三者のコンテンツを下敷きにした場合の引用や許諾はどう扱うのか、そしてツール側の利用規約は商用利用や再配布をどこまで許容しているのか。

文章生成では見落とされがちなこの三点は、後から揉めると痛手が大きい領域です。社内のルールとして、生成物の著作権表示の方針、引用の明示方法、顧問先に納める成果物にAIを用いた事実をどこまで記すかを、テンプレートの脚注や末尾に埋め込んでおきます。

ベンダーの規約が変更されたときの影響範囲も洗い出し、更新時には所内の“使い方ガイド”を一緒に改版する運用が安全です。

法制化が追いついていない等により法的にはグレーでも、本質は信頼です。

顧問先に対して誠実であるための表示は、コストではなく保険に近い意味を持ちます。

品質保証と監査可能性――“誰が・いつ・何を根拠に”を書き残す

AI導入後のトラブルの多くは、品質そのものよりも“経緯が追えない”ことが火種になります。

どの資料に拠って何を書いたのか、誰がいつ確認したのかが分かれば、たいていのズレは是正できます。

逆に、チャット画面のどこかに埋もれた出力をコピペしているだけだと、統制のしようがありません。

したがって、成果物には必ず作成者と確認者、参照資料、作成日と版を記し、所内のフォルダに規則通り保存することを“工程の一部”にしてしまいます。

面倒に見えますが、テンプレ化すればほんの少しの追加作業で済み、後で大きな効果を生みます。

レッドラインの明文化――“AIに任せない領域”を先に決める

どれだけ生成AIのモデルが賢くなっても、任せてはいけない領域は残ります。

個別の労務紛争の帰趨予測、就業規則の適用による法的リスクの断定評価、医療・健康に関する個別助言のように、人の専門判断と倫理が直結するテーマは、AIの守備範囲から外しておくのが最善です。

文章の最後に「最終判断は専門家が行う」と書く習慣も大切ですが、所内ガイドラインの最初のページに“AIがやらないこと”を列挙し、教育のたびに読み上げる方が効くもの。

境界線を文字にし、声に出して確認することで、現場の判断を安定させられます。

ベンダー選定と契約――“機能”より“体制”で選ぶ

導入時に見るべきは、モデルの賢さだけではありません。

データの保存と削除の手続き、学習への二次利用の有無、データの所在（国・地域）、障害や漏えい時の通知義務、下請けの管理、権限設定や監査ログの提供範囲が、事務所の求める基準に合っているかを、仕様書と契約で確かめましょう。

価格が安くても、削除請求に対応していなかったり、学習のオプトアウトができなかったりする環境は、長い目で見れば高くつきます。

逆に、ログが見やすく、権限が細かく切れ、監査やレポートの自動化ができる環境は、運用コストを静かに下げてくれます。

選定時には、デモの華やかさよりも、ある時に突然起きる“本当に困る事態”を想像し、それに耐えるかどうかで決める視点が頼りになります。

セキュリティの基本動作――暗号化・端末管理・権限の“地味な三兄弟”

AI導入と聞くと高度な対策を思い浮かべがちですが、土台にあるのは昔から変わらない三点です。通信と保管の暗号化、業務端末の持ち出し制御と遠隔ロック、役割に応じた権限分離。

どれも地味ですが、これが甘いと、どんな立派なAIガバナンスも形骸化します。外で作業する機会が増えるほど、端末の画面覗き見や置き忘れのリスクは上がります。

端末の挙動を縛り、重要フォルダのアクセス権を最小限に絞り、ログインの二段階認証を徹底するだけで、事故の入口は驚くほど狭くできるのです。

公平性と説明責任――人事領域の助言ほど慎重に

AIは与えられたデータの偏りをそのまま反映します。

人事評価や配置、ハラスメントの相談の一次対応にAIの助言を使う場面では、無自覚のバイアスを増幅させない視点が不可欠です。

生成物が誰かの属性に基づいて不利益な方向へ読める表現になっていないか、同じ条件で異なる結論を導いていないかを、人間が目で確かめる最終段階を組み込みます。

スピードと人権感覚の両立は、社労士の専門性のど真ん中です。

インシデント対応――“起きる前に書く、起きたら読む”

万が一の漏えいや誤送信は、ゼロにはできません。

だからこそ、発生前に“誰が、どこに、どう連絡し、どの範囲を止め、何を記録し、顧問先へどう説明するか”を一枚にまとめておきましょう。

事故は混乱の中で拡大します。

一方あらかじめ書かれた段取りは、迷いを取り除き、被害を最小化します。AIが関与した案件では、入力と出力の履歴が残っているかが特に重要です。

撤回や訂正の文面テンプレートまで用意しておけば、時間との戦いで後れを取りません。

教育と文化――“怖いから使わない”を“怖いからこそ型に乗せる”へ

最後に残るのは人の態度です。

AIをめぐるリスクの講義を一度しても、日常の判断はすぐには変わりません。

短いケース教材と失敗談、成功例を混ぜた月次の研修を、10分でもよいので回し続けます。

新入所員には“入力禁止情報リスト”と“出力の末尾に必ず付す項目”を最初に身につけさせましょう。

怖いから触れない、という空気は、結果として“無許可の野良運用”を生みます。怖いからこそ、型に乗せて皆で使う。そう切り替わった時から、静かに成果が積み上がるのです。

まとめ――“速さ”と“責任”を両立させる設計図

生成AIは、白紙を埋め、論点を並べ、言い回しを整えることにかけては人間の比ではありません（まだまだ「AIっぽさ」はありますが）。

しかし、社労士の仕事は、速さだけでは完結しないもの。

個人と企業の権利に触れ、法に接続し、長い時間軸で信頼を積み上げる営みです。だからこそ、今回述べた一連のガードレールが、AI運用の“足場板”になります。

・個人情報は入れない・残さない・追跡できる
・機密は閉域で扱い外部では抽象化する
・根拠を明示し人のダブルチェックで締める
・権利関係を先に決める
・経緯を記録して監査可能にする
・任せない領域を明文化する

足場がしっかりしていれば、安心できスピードはむしろ上がるでしょう。

今日からできるのは、テンプレートの末尾に履歴欄を足し、入力禁止の原則を壁に貼り、所内ガイドを最新版にすること。

明日からできるのは、同じ型で数本連続して文書を作り、ばらつきの減少を実感すること。

そこまで来れば、AIは脅威でも流行でもなく、事務所の“日常の道具”になっていきます。

【プロフィール】
林雄次（はやし・ゆうじ）

はやし総合支援務所代表。IT関連企業に勤務後、「はやし総合支援事務所」開業。中小企業診断士、社労士、行政書士、情報処理安全確保支援士等として企業向け支援を行いつつ、「資格ソムリエⓇ」「デジタル士業Ⓡ」としてさまざまなメディアで活躍中。僧侶の資格も持つ。保有資格・検定は約600を超える。著書に『社労士事務所のDXマニュアル』（中央経済社）、『資格が教えてくれたこと 400の資格をもつ社労士がみつけた学び方・活かし方・選び方』（日本法令）、『かけ合わせとつながりで稼ぐ　資格のかけ算大全』（実務教育出版）など。