経理データ、クラウドに上げていいの? ―「全部禁止」より賢い付き合い方

エンジニア界隈で話題になった「機密情報をGoogle Drive(オンラインでファイルを保存・共有できるクラウドサービス)等にアップロードするのはよいのか?」という技術ブログの記事があります。実はこれ、エンジニアの世界だけでなく、経理やバックオフィスで毎日起きている切実な問題です。

決算資料を税理士にどう送るか、給与明細をチャットで送っていいのか、請求書をAIに読ませていいのか。このような実務上の疑問に対して、会社としてどう対応すべきかを悩むケースは少なくありません。

結論から言えば、「とりあえず全部禁止」という対応が一番危ないと言えます。本記事では、機密情報とクラウドやAIとの賢い付き合い方について、バックオフィス実務者の目線から具体的な線引きの技術を解説します。

話題のきっかけ「機密情報をクラウドに上げていいのか」問題

話題のきっかけとなったryozi氏のブログ記事では、機密情報をクラウドに上げてよいかという問いに対し、「ダメ」とも「大丈夫」とも答えていません。出発点にあるのは、「情報セキュリティは、情報を守ることだけでなく、活用することまで含めた営みである」という考え方です。

守るだけなら、金庫に入れて誰も触らせなければ確実です。しかし、それでは日々の業務が回りません。漠然と「クラウドは怖い」と避けるのではなく、「ここにデータを置いたら、誰が・何を・どう見てしまい、何を失うのか」というリスクを具体的に想定し、それに対する対応を選ぶことが求められます。

セキュリティ対策として「やらなければいい」と決めるのは簡単ですが、それでは仕事になりません。この考え方は、そのままバックオフィスの現場にも当てはまります。

バックオフィスの現場で毎日起きている「シャドーAI」の現実

経理データ、クラウドに上げていいの? ―「全部禁止」より賢い付き合い方の解説スライド

バックオフィスの現場では、機密情報の取り扱いに関する悩みがあふれています。顧問税理士への決算資料送付はメール添付か共有リンクか、従業員名簿をスプレッドシートでパート社員と共有してよいか、役員報酬の資料を社内のどのフォルダに置くかなど、判断に迷う場面ばかりです。

最近では、請求書のPDFをChatGPT(文章の作成や要約などを行う対話型の生成AI)に読ませて仕訳の下書きをさせたり、契約書をAIに要約させたりといった新しい使い方も登場しています。これらを会社に確認すると、明確なルールがないため、安全側に倒して「ダメ」と言われがちです。

すると現場はどうするでしょうか。業務を回すために「会社に聞かずにやる」ようになります。個人のメールアドレスに仕事のファイルを転送したり、紙の書類をスマートフォンで撮影して個人のクラウドに保存したりと、悪気なくルール違反が起きてしまいます。

各種調査によると、生成AIの利用を会社が禁止しても、約4割の人が使っているというデータがあります。このように、会社が許可・把握していない状態で従業員が業務にAIを利用することを「シャドーAI」と呼びます。答えを用意していない会社ほど、見えない場所でAIやクラウドが使われ、統制がまったく効かなくなるリスクを抱えているのです。

対応の第一歩はデータを「2色」に分けること

では、具体的にどう対応すればよいのでしょうか。ルールを考える前に必ず行うべきなのが、扱うデータを「法律で本当にダメなもの」と「リスクを判断して決めていいもの」の2色に分けることです。

法律で絶対NGなものの代表例が、マイナンバー(番号法に基づき取り扱いが厳格に定められた個人の識別番号)です。マイナンバーは番号法上の「特定個人情報」にあたり、本人の同意があっても第三者への提供ができません。そのため、学習に使われる可能性のある生成AIに入力することは、リスク判断以前に法律上の問題となります。

しかし、こうした「絶対NG」のデータは実は少数であり、線引きがはっきりしています。問題なのは、税理士との資料のやり取りなど、本来は「リスクを判断して決めていいもの」まで、すべて同じ「ダメ」の袋に入れてしまうことです。

あれもダメ、これもダメというルールは、現場から見るとすべてのルールが同じ重さに見え、結果としてすべてのルールが軽んじられてしまいます。本当に守らせたい一線があるなら、それ以外の大多数のデータを「ダメ」から出してあげることが、実効性のあるルールの第一歩です。

リスクに対する4つの対応(低減・回避・移転・保有)

経理データ、クラウドに上げていいの? ―「全部禁止」より賢い付き合い方の解説スライド

「判断していいもの」に分類されたデータに対しては、リスクマネジメントの標準的な型である「低減・回避・移転・保有」の4つの対応を割り当てます。

1. 低減(事故の確率や被害を小さくする)

共有リンクを「リンクを知っている全員」にしない、フォルダの閲覧権限を役割ごとに絞る、二段階認証を導入するなど、鍵を増やして公開範囲を狭める対応です。税理士や委託先との資料のやり取りを1つの共有ドライブに限定し、権限と期限付きリンクで縛るだけで、メール添付のばら撒きによる事故の入り口は激減します。

2. 回避(危ない部分だけ外す)

業務そのものをやめるのではなく、危ない部分だけを外す対応です。従業員名簿を共有する場合、マイナンバーや口座番号の列を削除してから共有します。給与データなど、機密性の高い番号や口座情報を含む業務は別管理とし、AIやクラウドが触れる範囲から外すという考え方です。

3. 移転(プロや仕組みに任せる)

リスクを自社で抱え込まず、外部のプロや仕組みに移す対応です。サイバー保険への加入のほか、給与計算や年末調整といった季節業務を丸ごとBPO(業務の一部を外部の専門業者に委託すること)に任せるのも典型的な移転です。外部委託は、業務効率化だけでなくリスクの引き受け先としての価値も持っています。

4. 保有(理解した上で受け入れ、監視する)

リスクを理解した上で受け入れ、日常の細かいやり取りを許可する対応です。ただし、何もしないわけではなく、「この範囲なら漏れても致命傷ではないが、代わりに閲覧ログは毎月確認する」といった監視の運用とセットで行います。分かった上でリスクを持つという選択肢です。

明日からの実践:「使っていい形」を1枚のガイドにする

これらの考え方を現場に落とし込むための実践的な4つのステップを紹介します。

  • 業務とデータの棚卸し:どの業務がどの機密データを触っているかを一覧にして可視化する
  • 2色に分ける:データを「法律で絶対NGのもの」と「判断でいいもの」に仕分ける
  • 4対応を割り当てる:判断でいいものに対して、低減・回避・移転・保有のいずれかの対応を決める
  • 「使っていい形」ガイドをつくる:「〜するな」の禁止リストではなく、安全な使い方を1枚にまとめる

ここで最も重要なのは、4つ目の「使っていい形」のガイドを作成することです。ルールを「〜するな」と禁止の形で書くと、現場は隠れて使うようになります。そうではなく、「税理士とのやり取りはこの共有ドライブで」「AIに読ませるならこの設定のこのツールで」と、使っていい形を明記することで、ルールは守られやすくなり、社内の問い合わせも減ります。

なお、AIツールを選定する際は、「入力データがAIの学習に使われない設定やプランであること」「操作ログが残ること」の2点が、安全に使っていい形の前提となります。現場に安全に使える道を用意することこそが、結果的に会社を一番守れる状態につながります。

まとめ

情報セキュリティは、データを守るだけでなく、業務を回すための活用までを含めた取り組みです。クラウドやAIにデータを上げていいかは、禁止か許可かの二択ではなく、どのデータを、どの形で、どの対応とセットで上げるかによって決まります。本記事の持ち帰りは以下の通りです。

  • 「とりあえず全部禁止」は、現場が見えない場所で使うシャドーAIを生むため一番危ない
  • まずはデータを「法律で絶対NG」と「判断でいいもの」の2色に分ける
  • 判断でいいものには「低減・回避・移転・保有」の4対応を割り当てる
  • 「〜するな」の禁止リストではなく、「この形なら使っていい」ガイドを1枚つくる

バックオフィスのBPO・AI内製化のご相談

「どのツールを入れるべきか」の棚卸し・診断から、現場で本当に使われる運用設計まで。経理・労務・採用・営業事務のBPO、AIガバナンス整備までご支援します。

資料を見る