情シス運用 (更新: 2026年6月21日)

AI議事録ツールの社内ルール策定ガイド:ガバナンス設計の要点

#AI議事録#ガバナンス#情報漏洩対策#社内ルール#生成AI

AI議事録ツールの普及が先行し、ルールが追いついていない

Microsoft 365 Copilot の Teams 統合、Google Workspace の Gemini による自動メモ生成、Notta・tl;dv・Fireflies といった第三者 SaaS の普及により、会議の音声を自動で文字起こし・要約するAI議事録ツールが急速に広まっています。

しかし、「便利だから使ってみよう」と現場主導で導入が進んだ結果、情シス担当者が気づいたときにはツールがすでに定着しており、ガバナンスが追いついていないケースが増えています。

音声データには、顧客情報・未公開財務情報・人事評価・M&A情報など、最も機密性の高い情報が含まれます。このデータが外部のクラウドサーバーに送信され、保存され、場合によってはAI学習に使われるとしたら——リスクは無視できません。

ツールの選定・比較については AI議事録ツールの徹底比較記事 を参照いただくとして、本記事ではどのような社内ルールを整備すべきか、ガバナンス設計の要点に絞って解説します。

整備すべきルールの6つの論点

1. 録音・文字起こしの同意取得

会議参加者の音声を録音・文字起こしする行為は、個人情報の収集に該当します。個人情報保護法の観点から、利用目的の通知と同意取得が求められます。

社内参加者だけの会議であっても、従業員は「自分の発言が録音・AI処理される」ことを知る権利があります。就業規則や情報セキュリティポリシーにAI議事録の利用を明記し、全社員への周知と同意取得を行うことが最低限の対応です。

社外参加者(顧客・取引先・パートナー)が参加する会議の場合は要件が一段上がります。会議案内(カレンダー招待・事前メール)に「本会議はAIツールにより録音・文字起こしを行います」と明記し、参加者が拒否できる手続きを用意してください。参加者が拒否した場合には録音を停止する運用が必要です。

Microsoft Teams には -ExplicitRecordingConsent Enabled ポリシーを設定することで、録音・文字起こしの開始前に参加者から明示的な同意を求める画面を表示させる機能があります(管理者が PowerShell で有効化可能)。Google Meet の Gemini 自動メモ機能も、主催者側が機能をオンにした時点でメモ生成が始まるため、参加者への事前通知が必要です。

2. 外部参加者がいる会議の扱い

社外参加者がいる会議では、以下の追加ルールを設けてください。

  • カレンダー招待の「説明」欄にAI議事録ツール利用の旨を必ず記載する
  • 参加者から事前に書面または電子メールで同意を取得する(または会議冒頭でアナウンスし、異議があれば録音を止める)
  • 秘密保持契約(NDA)を締結している取引先との会議では、録音前にNDA条項との整合性を確認する

Microsoft Teams のゲストユーザーや外部 Teams ユーザーが参加する会議では、録音データはレコーダー側(自社)の OneDrive または SharePoint に保存されますが、外部参加者には明示的に共有しない限りアクセス権が付与されません。この点を参加者に説明することも丁寧な対応です。

3. 機微情報を扱う会議の利用禁止

すべての会議でAI議事録を使ってよいわけではありません。以下のような会議は原則として利用禁止とすることを強く推奨します。

会議種別主なリスク
役員会・取締役会未公開の経営戦略・財務情報の外部送信
M&A・事業売却の協議インサイダー情報漏洩・不正競争防止法リスク
人事評価・査定会議センシティブな個人情報(特定個人識別情報)の送信
顧客からの機密案件ブリーフィングNDA対象情報の外部ツールへの送信
セキュリティインシデント対応脆弱性情報・攻撃手法の外部流出

Microsoft Teams では、会議テンプレートを使って特定の会議種別で「録音禁止・文字起こし禁止」を管理者が固定設定できます(Teams Premium が必要)。Google Workspace 管理者も、管理コンソールから Gemini メモ機能の利用可否をOU(組織部門)単位で制御可能です。

4. データ保存先と保持期間

AI議事録ツールが生成したテキスト・要約・音声データがどこに、何日間保存されるかを把握・管理することは、情報セキュリティ管理の基本です。

プラットフォーム統合型ツール(Microsoft 365 Copilot / Teams、Google Workspace Gemini)の場合、データは自社テナント内の OneDrive / SharePoint または Google ドライブに保存されます。既存のデータ保持ポリシー(Microsoft Purview など)が適用されるため、管理は比較的シンプルです。

第三者 SaaS 型ツール(Notta、tl;dv、Fireflies など)の場合は別途確認が必要です。

  • データ保存地域: 日本国内サーバーか、米国・EU圏か
  • 保存期間: 多くのサービスは 30〜180 日のデフォルト保持期間を設定しており、プランによって異なる
  • AI学習への利用: Notta は「ユーザーデータをAI学習に使用しない」と明示しているが、サービスによっては標準プランでの学習利用がデフォルトになっているケースもある
  • 越境移転の扱い: 個人情報を日本国外のサーバーに送信する場合、個人情報保護法の「外国にある第三者への提供」規制(第28条)への対応が必要

ツール選定時には、利用規約とプライバシーポリシーを法務・コンプライアンス担当と確認した上で、業務委託契約または利用規約上の安全管理措置の記載を確認してください。

保持期間の社内ルール例: 議事録テキストは業務上必要な期間(最長2年)、音声・動画録音ファイルは文字起こし完了後30日以内に削除する。

5. 第三者ツールへの情報送信リスク

第三者のAI議事録 SaaS を使う場合、会議音声は自社ネットワーク外の外部クラウドサーバーに送信されます。この時点で以下のリスクが発生します。

  • 通信経路上の傍受リスク: TLS 1.2 以上での暗号化を必ず確認する
  • サーバー侵害リスク: ツール提供者側がサイバー攻撃を受けた場合、保存中のデータが漏洩する
  • プロンプトインジェクション: AIの処理過程で悪意ある入力により学習データが流出するリスク
  • サービス終了リスク: ツールが廃止・買収された場合のデータ移行・削除対応

セキュリティ証明書として SOC 2 Type II または ISO 27001 を取得しているツールは、第三者監査による統制確認が行われているため、選定の目安になります。

また、「シャドーAI」として現場が情シスに無断でAI議事録ツールを使い始めるケースも増えています。シャドーAIの対策については シャドーAI対策ガイドライン(中小企業向け) も併せてご確認ください。

6. 退職者・異動者のデータアクセス管理

退職・異動した従業員のAI議事録ツールアカウントを放置することは、深刻なセキュリティリスクになります。退職者がアカウントを使って過去の会議録を参照し続けたり、不正にデータをダウンロードするケースは実際に発生しています。

Microsoft 365 Copilot / Google Workspace Gemini はAzure AD(Entra ID) / Google Workspace のユーザー管理と統合されているため、アカウント無効化と同時にアクセスが遮断されます。

第三者 SaaS 型ツールは別途のアカウントを持つため、人事部門から情シスへの「退職・異動通知フロー」の中に「AI議事録ツールのアカウント削除」を明示的に組み込む必要があります。

推奨対応:

  • 退職当日または翌営業日中にアカウント削除・アクセス権剥奪
  • 四半期ごとの SaaS アカウント棚卸しで退職者アカウントの残存を確認
  • 共有アカウントは使わず、個人アカウントで管理して追跡可能にする

そのまま使える社内規程ひな型(条文形式)

以下のひな型を自社の「情報セキュリティポリシー」または「AI利用規程」の一条として組み込んでください。実態に合わせて条文・別表を修正してご利用ください。

第○条(AI議事録ツールの利用に関する規程)

(目的) 第1項 本条は、AI議事録ツール(音声の録音・文字起こし・要約を自動生成するソフトウェアおよびサービス。以下「対象ツール」という)を社内会議に利用する際のルールを定め、情報漏洩の防止と適切な個人情報管理を図ることを目的とする。

(利用承認) 第2項 対象ツールの新規導入は、情報システム部門(以下「情シス」)の承認を必須とする。承認を受けていないツールの業務利用を禁止する(いわゆるシャドーAIの防止)。

(同意取得の義務) 第3項 対象ツールを利用する会議の主催者は、以下の方法により参加者全員の事前同意を取得しなければならない。

  • 社内参加者のみの場合:会議冒頭に録音・AI処理を行う旨をアナウンスする
  • 社外参加者が含まれる場合:カレンダー招待または事前メールにAI議事録ツールの利用を明記し、参加者から書面または電子メールによる同意を取得する

第4項 参加者が録音・文字起こしへの同意を拒否した場合、主催者はその会議でのAI議事録ツール利用を中止しなければならない。

(利用禁止会議) 第5項 以下に定める会議では、いかなる対象ツールも使用を禁止する。

(別表:利用禁止会議一覧)

  • 役員会・取締役会・監査役会
  • M&A・事業売却・資本提携に関する協議
  • 未公開財務情報・決算情報に関する会議
  • 人事評価・査定・懲戒処分の審議
  • 顧客との秘密保持契約(NDA)対象情報を扱う会議
  • セキュリティインシデント対応に関する会議

(データ保存と保持期間) 第6項 対象ツールが生成した議事録テキストおよびサマリーは、業務上必要な期間内(最長24か月)保管できる。

第7項 音声録音ファイルおよび動画録画ファイルは、文字起こし処理が完了した日から30日以内に削除する。ただし、法令または社内規定により保存が義務付けられている場合はこの限りでない。

(入力禁止情報) 第8項 対象ツールを利用できる会議においても、以下の情報を含む発言をする際は発言を一時停止するか、当該部分の文字起こしを削除する対応をとること。

  • 顧客・取引先の個人情報(氏名・連絡先・契約条件等)
  • 認証情報(パスワード・APIキー等)
  • 秘密保持契約の対象となる取引先の非公開情報
  • 未公開の新製品・新サービス情報

(アカウント管理) 第9項 対象ツールのアカウントは個人単位で付与し、共有アカウントの使用を禁止する。

第10項 従業員が退職または異動した場合、人事部門は当該事実を退職・異動当日(遅くとも翌営業日)までに情シスへ通知する。情シスは通知を受けた翌営業日中に対象ツールのアカウントを無効化・削除する。

(ツール選定基準) 第11項 第三者が提供する対象ツールを新規採用する際は、以下の要件を満たすことを確認する。

  • TLS 1.2 以上による通信暗号化
  • AES-256 相当以上による保存データの暗号化
  • SOC 2 Type II または ISO 27001 の取得(またはこれと同等の第三者監査)
  • ユーザーデータをAI学習に利用しないことの明示、またはオプトアウトの提供
  • 個人情報の越境移転に関する適切な安全管理措置の確認

(定期見直し) 第12項 本規程は年1回以上見直しを行い、ツールの仕様変更・法令改正・インシデント発生時には適宜改定する。

情シスが最初にやるべき3ステップ

ステップ1:現状把握 現在社内で使われているAI議事録ツールをすべてリストアップする。情シス未承認のシャドーAIがないかを含め、アンケートやログ確認で実態を把握する。

ステップ2:ルール策定と周知 上記ひな型をベースに自社規程を作成し、経営層・法務と合意形成した上で全社員に周知する。「なぜルールが必要か」の背景説明を加えると現場の理解が深まる。

ステップ3:ツールの整理と統制 シャドーAIツールは原則禁止とし、情シス承認済みツールへの移行を促す。Microsoft 365 または Google Workspace をすでに使っている場合は、プラットフォーム統合型のAI議事録機能(Copilot / Gemini)に一本化することで、データ保存場所の分散を防げる。

AI議事録ツールは適切なルールのもとで使えば、会議後の議事録作成工数を大幅に削減できる強力な武器です。ガバナンスを後回しにせず、導入と同時にルール整備を進めることが、中長期的なリスク回避と生産性向上の両立につながります。

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談