はじめに ── 個人情報保護法と守秘義務は、似ているようで別の問題
前の記事では、弁護士が生成AIを業務利用する際の 個人情報保護法 上の論点を整理しました。そこでは、委託、監督義務、越境移転といった観点から、「個人データをAIに入力してよいか」を検討しました。
もっとも、弁護士がAIを使う場面では、個人情報保護法だけを見ていれば足りるわけではありません。弁護士には 守秘義務 があり、依頼者から預かった情報を外部のサービスに入力することが、この守秘義務との関係で許されるのかを別途考える必要があります。
言い換えると、個人情報保護法上は整理できるとしても、守秘義務との関係でなお慎重な判断が必要な場面がある ということです。本記事では、前の記事と重なる個人情報保護法の詳細は繰り返さず、守秘義務との関係に絞って整理します。
なお、個人情報保護法に関する記事でも紹介した日本弁護士連合会AI戦略ワーキンググループの注意事項は、弁護士業務における生成AI利用の参考資料として公表されたものであり、日本弁護士連合会としての公式見解や、綱紀・懲戒の直接の基準を示すものではないとの注記があります。
守秘義務の問題は、個人情報保護法の問題より広い
個人情報保護法が中心的に扱うのは、生存する個人に関する情報 です。これに対して、守秘義務の問題はそれより広く、依頼者の利益に関わる情報全般に及びます。
たとえば、次のような情報は、個人情報保護法との関係では必ずしも中心的な問題にならないとしても、守秘義務との関係では十分に注意が必要です。
- 法人案件における未公表の事業情報
- 相手方との交渉方針や訴訟戦略
- 打ち合わせメモ、相談経過、見通しに関する記録
- 依頼者の営業秘密や、公開されていない契約条件
つまり、「個人情報ではないから入力してよい」とはならない、ということです。 守秘義務の観点では、「その情報が依頼者その他の関係者にとって外部に出してよい情報か」を考える必要があります。
守秘義務の観点での出発点 ── 生成AIへの入力は「外部送信」である
一般的なクラウド型の生成AIサービスでは、入力した情報がインターネットを通じて外部のサーバに送信されて処理されます。
この点は、日弁連AI戦略ワーキンググループの注意事項でも明確に意識されており、入力情報が学習に利用されたり、記録されたり、他の応答に用いられたりする可能性があること、さらにはサービス提供者の所在地やサーバ所在地の国の法制度の影響を受ける可能性があることが指摘されています。
したがって、守秘義務との関係では、まず 「AIに入力することは、事務所の外に情報を送ることだ」 という認識から出発する必要があります。
「クラウドに入れるのと実質的に同じ」という整理
松尾剛行弁護士の書いた『生成AIの法律実務』では、具体的な安全管理が適切にされていることを前提とすると、守秘義務の対象となるデータを生成AIに入れることと、クラウドに入れることは実質的には同じだと考えられる という整理がされています。
この考え方は、多くの法律事務所がすでにクラウドストレージやクラウド型の事件管理システムを利用している実情とも整合します。すでにクラウド利用を前提に実務が回っている以上、生成AIだけを特別視して常に全面禁止とするのは、相当ではないと考えます。
ただし、ここで重要なのは、本当に「クラウドと同じ」と言える条件を満たしているか であり、次のような点は確認が必要だと思います。
1. 入力情報が学習や別用途利用に回らないか
個人情報保護法の記事でも書いたとおり、生成AIサービスでは、入力データがモデル改善や別目的利用に使われる設計になっていることがあります。これは、クラウド保管とは明確に異なる点です。
2. 利用規約・契約条件・設定が確認できるか
規約上どのように扱われるのか、設定でどこまで制御できるのかが明確であることが必要です。特に、学習利用、保存期間、ログ、人的アクセスの扱いは重要です。
3. サービス提供者の信頼性があるか
セキュリティ対策、法令遵守体制、障害・事故時の対応、適用法制度などを含め、サービス提供者自体の信頼性も無視できません。
つまり、「生成AIもクラウドと同じように使えることがある」のであって、「生成AIは常にクラウドと同じだから問題ない」わけではない、と考えるのが相当だと思います。
守秘義務の観点で、最低限確認したいこと
日弁連AI戦略ワーキンググループの注意事項は、秘匿性の求められる情報を入力する場合の対応として、利用規約の確認、適切な設定、匿名化・抽象化、必要に応じた同意取得、アカウント管理、事業者の信頼性確認といった事項を挙げています。
守秘義務の観点から見ると、少なくとも次の点は押さえておきたいところです。
1. 信用できるサービスを選ぶこと
まず、どのサービスを使うかが重要です。 入力情報の取扱いについて契約上の整理がなく、学習利用や別用途利用の扱いも不明確なサービスに、事件情報をそのまま入れるのは避けた方が安全です。
2. 学習利用・保存設定を確認すること
守秘義務との関係では、「入力した情報が自分の案件処理以外に使われないこと」 が重要です。したがって、学習利用がオフにできるか、保存履歴を抑えられるか、不要なログが残らないかは必ず確認したいポイントです。
3. アカウント管理を徹底すること
生成AIサービスは履歴が残ることが多いため、同一アカウントの使い回し、退職者アカウントの放置、共有端末での利用などから情報漏えいが起こり得ます。 守秘義務の問題は、AIそのものの仕様だけでなく、事務所側の運用でも生じます。
4. 必要に応じて匿名化・抽象化を行うこと
入力前に、氏名や法人名を置き換えたり、日時・金額・属性・経緯を抽象化したりすることには大きな意味があります。
5. それでも危ない案件では、そもそも入力しないこと
高い機密性を持つ案件、社会的影響の大きい案件、第三者の秘匿情報が多く含まれる案件では、設定や匿名化で対応するのではなく、そもそもクラウドAIに入力しないという判断もあり得ます。
依頼者の同意は重要だが、万能ではない
生成AIの利用について委任契約書等で包括的な同意を得る実務対応が考えられます。
ただし、同意があればすべて解決するわけではありません。
日弁連AI戦略ワーキンググループの注意事項でも、依頼者による同意は危険性を十分に理解した上でのものでなければならず、説明や理解が不十分な場合は弁護士法23条等に抵触するおそれがあるとされています。
委任契約書における同意条項
委任契約書にAI利用条項を入れること自体は、有用だと思います。 ただし、その役割は守秘義務を単に解除することではなく、一定の条件の下でAIを利用することについて依頼者の理解と同意を得たことを確認することにあると考えた方が安全です。
たとえば、条項としては次のような方向性が考えられます。
第○条(AIサービスの利用)
1 甲は、乙が本件委任事務を遂行するために、相当と認められる範囲で第三者の提供するAIサービスを利用することに同意する。
2 乙は、前項のAIサービスを利用するにあたり、以下の注意義務を負うものとする。
(1)乙の入力情報及びそれに対する出力情報(以下「利用情報」という。)が、当該AIサービスの開発、改善等のために利用されないことを規約上定めているまたは利用されないよう設定できるサービスであることを確認すること。
(2)前号の定めについて、当該AIサービスの利用規約や設定に重要な変更がないか、定期的に確認するよう努めること。3 乙は、事案の性質に応じて、必要な範囲で情報の匿名化、抽象化その他のリスク低減措置を講ずるものとする。
この種の条項のポイントは、 「AIを使います」とだけ書くのではなく、どのような前提条件で使うのかまで明示すること にあります。
逆に言うと、条項を置いただけで常に十分になるわけではありません。 高機密案件では個別説明が必要ですし、第三者情報が多い案件では別途の配慮が必要です。
また、この種の条項は、あくまで民事上の関係でAI利用の枠組みを定めるものです。弁護士法その他の法令上・職務倫理上の責任の有無まで、当然に左右するものではありません。
まとめ
守秘義務との関係で重要なのは、次の点です。
- 生成AIへの入力は、基本的に外部送信である
- 「クラウドに入れるのと同じ」と言えるかは、サービスの条件次第である
- 個人情報ではない情報でも、守秘義務上は問題になる
- 匿名化・抽象化は有効だが、万能ではない
- 依頼者の同意は重要だが、説明を伴わなければ足りない
- 高機密案件では、そもそも入力しない判断も必要である
生成AIは、うまく使えば弁護士業務を大きく効率化します。 他方で、守秘義務との関係では、「使えるか」だけでなく、「この案件で、この情報を、この条件で使ってよいか」を考える必要があります。
参考資料
- 日本弁護士連合会 AI戦略ワーキンググループ「弁護士業務における生成AIの利活用等に関する注意事項」(2026年2月更新版)
- 松尾剛行弁護士『生成AIの法律実務』