【2025年最新情報】弁護士がAIを利用する際に注意すべき情報セキュリティ
～機密情報を守りながらAIを活用する方法～

近年、ChatGPT、Microsoft Copilot、Google Geminiといった生成AI（以下、AIチャットサービス）が急速に普及し、弁護士業務においてもその活用が期待されています。これらのAIは、リサーチ、文書作成支援、アイデア創出など、多岐にわたる業務の効率化に貢献する可能性を秘めています。

しかし、その利便性の裏側には、情報セキュリティと機密保持に関する重大な課題が存在します。弁護士は、弁護士法第23条および弁護士職務基本規程第23条により、職務上知り得た秘密を保持する義務（守秘義務）を負っています。AIチャットサービスにクライアント情報や事件に関する機密情報を入力する場合、これらの情報がどのように扱われ、保護されるのかを正確に理解し、適切な対策を講じなければ、意図せず守秘義務違反を犯すリスクがあります。

本記事では、弁護士がAIチャットサービスを業務で利用する際に特に注意すべき、データの二次利用ポリシーや機密保持のための設定、そして事務所として講じるべき具体的な対策について、主要なAIサービスを例に挙げながら詳しく解説します。

弁護士業務でAIチャットサービスを利用する際には、以下のような多岐にわたる情報セキュリティリスクを認識し、対策を講じる必要があります。

AIチャットサービスに相談内容、証拠資料、クライアントの個人情報などを入力すると、サービス提供者によってそのデータがAIモデルの学習のために二次利用される可能性があります。特に無料プランや個人向けプランの場合は二次利用される傾向があります。
学習データとして取り込まれた場合、他のユーザーへの応答として断片的にでも情報が提示され、機密情報が外部に漏洩する恐れがあります。

入力されたデータはサービス提供会社のサーバーに送信・処理され、保存される場合があります。これにより、外部からのサイバー攻撃（ハッキング、マルウェア感染など）による情報漏洩や、サービス提供会社の従業員による人為的ミス、あるいは内部不正による意図的な情報の持ち出しといったリスクが生じます。

一部のサービスやプランでは、品質改善や不正利用防止のために、サービス提供元の従業員がユーザーとAIのやり取りを確認する場合があります。このプロセスを通じて機密情報が人の目に触れる可能性があります。

AIツールのデータ取り扱いポリシーやリスクについて、弁護士やスタッフが十分に認識していない場合、無意識のうちに機密情報や個人情報を入力してしまう可能性があります。これは、個人のリテラシー不足だけでなく、事務所としての教育・管理体制の不備に起因します。

AIサービスのアカウントがフィッシング詐欺やパスワード漏洩などによって乗っ取られた場合、過去の会話履歴に含まれる機密情報が第三者に閲覧される可能性があります。特に、業務に関する重要なやり取りが記録されている場合、その影響は甚大です。

弁護士は、自らのAI利用だけでなく、指導するスタッフのAI利用についても監督責任を負います。事務所全体として情報管理体制を構築し、適切な利用を担保する義務があります。

主要なAIチャットサービスにおけるデータ取り扱いポリシーと機密情報を保護するための設定について解説します。

※これらの情報は本記事執筆時点（2025年6月）のものであり、各社のポリシーは頻繁に変更されます。
利用前には必ず各サービスの公式サイトで最新のプライバシーポリシー、利用規約、データ処理に関する補足条項などを精査してください。

特に、無料版、個人向け有料版、法人向けプランではデータ保護のレベルが大きく異なる点に留意が必要です。

■無料プランおよびPlusプラン（個人向け有料プラン）

■TeamプランおよびEnterpriseプラン（法人向け有料プラン）

Microsoft Copilot（旧Bingチャット）は、その利用形態やサインインしているアカウントの種類によってデータの取り扱いが大きく異なります。

■ 個人アカウントでの利用（例：無料版Copilot、Copilot Proなど）

■ 職場または学校アカウントでの利用（Microsoft Copilot for Microsoft365等商用データ保護が適用されるプラン）

Google Geminiも、利用するサービス形態によってポリシーが異なります。

■ Gemini および Gemini Advanced（個人向け無料・有料サービス）

■ Gemini for Google Workspace（旧Duet AI for Google Workspace）

Anthropic社は、AIの安全性や倫理性を重視する企業として知られています。

■ Claude.ai および Claude Pro（ウェブチャットサービス）

AIチャットサービスを安全に業務利用するためには、ツールの設定だけでなく、事務所全体での包括的な対策が不可欠です。

事務所としての利用可否の検討
AIツールを業務に導入する前に、そのメリットとリスク（特に情報セキュリティ、法務・倫理面、業務効率への影響）を総合的に評価し、事務所として利用を許可するかどうかを慎重に判断します。経営層の承認を得ることが望ましいでしょう。
利用するサービスの選定とリスク評価
利用を許可する場合、どのAIサービス・プランを利用するかを選定します。選定にあたっては、サービス提供者の利用規約、プライバシーポリシー、データ処理に関する条項を徹底的に精査します。特に、データの二次利用、第三者提供、データの保存場所・期間、セキュリティ対策の妥当性を確認します。
無料版はユーザーデータを収益化に利用する傾向があり、セキュリティ機能も限定的な場合が多いため、機密情報を扱う業務では、明確なセキュリティ保証とサポート体制が提供される有料版や法人向けプランの利用を優先的に検討すべきです。

AIツールのセキュリティ設定の徹底
上記「2.主要AIチャットサービスのデータ取り扱いと機密保持設定」で解説した各ツールのデータ保護設定（学習への利用オフ、アクティビティ履歴オフなど）を必ず行い、定期的にその設定が有効であることを確認します。
法人向けプランの優先的利用
可能な限り、データ保護が強化され、入力データがモデル学習に利用されないことが明記されている法人向けプランの利用を検討します。コストは発生しますが、機密保持の観点からはより安全性が高い選択肢です。
入力情報の匿名化・仮名化の徹底
AIに入力する情報は、可能な限り個人名、企業名、具体的な事件内容などを抽象化・一般化し、特定できないように加工します。ただし、完全な匿名化は困難な場合もあり、複数の情報の組み合わせから内容が推測される可能性も残るため、その限界を理解しておく必要があります。
セキュアな通信環境の確保
AIサービスとの通信がTLSなどの強固な暗号化プロトコルで行われていることを確認します。事務所内の安全なネットワーク環境から利用し、公共のWi-Fiなどセキュリティレベルの低い環境での機密情報入力は厳禁です。
アカウント保護の強化
AIサービスのアカウントには、推測されにくい複雑なパスワードを設定し、可能であれば多要素認証（MFA）を有効にします。事務所としてSSO（シングルサインオン）システムを導入している場合は、AIサービスが対応していれば連携を検討し、アクセス管理を一元化します。
事務所内のデバイス管理
業務で使用するPCやスマートフォンには、最新のセキュリティソフトを導入し、OSやソフトウェアを常に最新の状態に保ちます。不審なメールやウェブサイトへのアクセスを避けるなど、基本的なセキュリティ対策を徹底します。

事務所内AI利用ガイドラインの策定・周知徹底・PDCA
・利用目的と範囲の明確化
どの業務に、どのAIツール・プランを、どの範囲まで利用して良いかを具体的に定めます。
・禁止事項の設定
入力してはいけない機密情報の種類（例：クライアントから特に秘匿を求められた情報、未公開のインサイダー情報、個人のプライバシーに関わる特にセンシティブな情報など）を明確に定義します。
・データ保護設定の義務化
各AIツールの機密保持設定を義務付け、その手順をマニュアル化し、遵守状況を定期的に確認します。
・利用記録・モニタリング
必要に応じて、誰が、いつ、どのツールを、どのような目的で利用したかの記録を残す体制や、不適切な利用がないかをモニタリングする方法を検討します。
・インシデント対応計画
万が一、情報漏洩や規約違反が発生した場合の報告手順、対応策、関係者への連絡体制などを定めたインシデント対応計画を準備します。
・定期的な見直し（PDCAサイクル）
AI技術の進化や新たなリスクの出現、法規制の変更に合わせて、ガイドラインや運用体制を定期的に見直し、改善していくプロセスを確立します。
弁護士および事務スタッフへの継続的な教育・研修
AIのリスク（特に情報セキュリティと機密保持）、データ取り扱いポリシー、事務所のガイドライン、正しい利用方法、セキュリティ意識について、具体的な事例やインシデント発生時の影響などを交えながら、定期的かつ継続的な教育・研修を実施します。
アクセス権の厳格な管理
AIサービスや関連データへのアクセス権は、業務上必要な最小限の範囲（最小権限の原則）に限定します。誰がどの情報にアクセスできるかを明確にし、不要になったアクセス権は速やかに削除するなど、定期的な棚卸しと見直しを行います。アクセスログを監視し、不審なアクセスがないかを確認することも重要です。

関連法規・規程の遵守
弁護士法、弁護士職務基本規程、個人情報保護法、その他関連する国内外の法規制を遵守しているか、常に意識し、確認します。
責任体制の明確化
AIの利用によって何らかの問題（情報漏洩、不正確な情報の利用によるクライアントへの不利益など）が発生した場合の事務所としての責任体制や対応プロセスをあらかじめ明確にしておきます。
最新情報のキャッチアップと専門家への相談
AI技術、各AIサービスの利用規約・プライバシーポリシー、関連法規や監督官庁の動向は常に変化しています。定期的に最新情報を収集し、必要に応じて情報セキュリティや法務の専門家にも相談しながら、ガイドラインや運用体制をアップデートしていくことが重要です。

AIチャットサービスの利用は、弁護士の注意義務や善管注意義務のあり方にも影響を与える可能性があります。AIが出力した情報を鵜呑みにせず、必ず自らの専門的知見に基づいて検証し、最終的な判断を下す責任は依然として弁護士にあります。

また、クライアントとの信頼関係は弁護士業務の根幹です。AIを利用する際には、その事実や方法についてクライアントに透明性を保ち、不安や疑問に対して誠実に対応することが求められます。AIはあくまで業務を補助し、弁護士の能力を拡張するためのツールであり、その利用がクライアントの利益に資するものでなければなりません。

AIチャットサービスは、弁護士業務に革新をもたらす可能性を秘めた強力なツールです。しかし、その利用には情報セキュリティと機密保持という、弁護士の根幹たる守秘義務に関わる重要な課題が伴います。

AIに仕事を奪われることを恐れるのではなく、AIの特性とリスクを正しく理解し、本記事で解説したような技術的・組織的対策を事務所全体で講じることで、弁護士はAIを安全かつ有効な「パートナー」として活用し、より質の高いリーガルサービスを提供していくことができるでしょう。

最終的な判断と責任は常に弁護士自身にあることを忘れず、高い倫理観を持ってAI技術と向き合い、クライアントからの信頼に応え続けていくことが、これからのAI時代の弁護士に求められる姿勢と言えるでしょう。そして、技術の進化と社会の変化に合わせて、学び続け、適応していく柔軟性もまた不可欠です。

パソコンが苦手でトラブル解決に時間がかかる、専門用語が分からず誰に聞いていいか分からない、新しいツールの導入を相談できる相手がいない… ローサポでは、こうしたお悩みを解決するサポートを提供しています。
お気軽にご相談ください！