AIセキュリティ方針

🔒 SECURITY POLICY

AIセキュリティ方針

Work Rules社会保険労務士法人がAIを業務に活用する際のセキュリティへの取り組みを、
IT専門知識を持たない方にも分かりやすくまとめたものです。
社内スタッフおよびBPO契約先の皆さまに向けてご案内します。

🔒

SRPⅡ認証

取得済み

全国社会保険労務士会連合会
個人情報保護事務所認証制度
上位レベル

🏛️

AI事業者ガイドライン

準拠

経済産業省・総務省
第1.2版（2026年3月）
準拠運用

📋

ISO/IEC 27001（ISMS）

ギャップ分析クリア済み

情報セキュリティ
マネジメントシステム
取得準備中

🏢

BPO導入実績

180社以上

社会保険労務士法人
として20年超の
運用実績

📑 目次

はじめに：WRのAI利用姿勢
ルール①〜⑨：9つの実践ルール
特別注意①〜④：社労士法人固有の対策
AIエージェントの安全管理体制
お客様の環境に合わせた導入
お客様へのお約束
参考資料・根拠法令

はじめに：WRのAI利用姿勢

WRでは、給与計算・労務管理の業務効率化のためにAIを積極的に活用しています。その一方で、「便利に使えている＝安全に使えている」ではないという認識のもと、セキュリティを最優先事項の一つとして位置づけています。

本取り組みは、総務省・経済産業省が定めた「AI事業者ガイドライン（第1.2版）」（令和8年3月31日）の考え方に沿って設計されています。同ガイドラインでは「人間中心」「透明性」「プライバシー保護」「セキュリティ確保」を軸に、AI利用事業者が守るべき行動指針を示しています。WRはこれらの原則を実務に落とし込んで日々の業務を行っています。

1. WRが実践している9つのルール

ルール①

お客様の情報はAIに渡しません

AIに質問やデータを送ると、その情報はAI会社のサーバーに送信されます。個人名・給与額・社員番号などの個人情報はAIに入力しません。実際のデータをAIに渡す必要がある場合は、「山田太郎→Aさん」「300,000円→●●円」などに置き換えてから使います。また、WRが使用するAIツールは、業務データが学習に使われない設定のものに限定しています。

📌 ガイドライン準拠：「利用者のプライバシーを保護し、個人情報を適切に取り扱うこと」に基づき、機密情報のAI入力を禁止するルールを設けています。

ルール②

使うAIツールを決めています（シャドーAI禁止）

会社が許可していないAIツールを個人の判断で業務に使うことを「シャドーAI」と呼びます。WRでは使用を許可するAIツールをリスト化し、全スタッフに周知しています。「AIに渡してよい情報・渡してはいけない情報」のガイドラインを文書化し、便利なAIツールが誰でも使える環境を整えることで、「つい別のサービスを使う」状況を防いでいます。

📌 ガイドライン準拠：「適切なAIガバナンス（管理体制）の整備」に対応するため、使用ツールの管理と社内ルールの明文化を実施しています。

ルール③

計算・集計はAIでなくプログラムで処理します

AIは文章を読んだり、アイデアを出したりするのは得意ですが、数値の計算は本質的に苦手です。給与計算で「1円でもズレる」ことは許されません。WRでは計算・集計・チェックが必要な処理はすべてPythonなどのプログラムで構築しています。

業務の種類	使う技術	理由
給与計算・控除額の計算	Python（プログラム）	同じ入力には必ず同じ答えが出る。誤差ゼロ
法令チェック・バリデーション	プログラムによる自動検証	人間の見落としをゼロにする仕組み
文章の要約・アドバイス	AI（大規模言語モデル）	厳密な正解がないため、AIが得意な領域
不明点の調査・説明	AI＋人間の確認	AIを補助に使い、最終確認は担当者が実施

📌 ガイドライン準拠：「AIの出力に対する正確性・信頼性の確保」と「人間による適切な関与（ヒューマン・イン・ザ・ループ）」に対応しています。

ルール④

フィッシング詐欺・なりすましに注意しています

AIの普及により、完璧な文章・本物そっくりのサイトを作ることが簡単になりました。WRでは「お急ぎください」「今すぐクリック」などの緊急性を演出するメールは一度立ち止まり、振込依頼・認証情報の変更など重要な操作の依頼は別の連絡手段で必ず本人確認します。また社内・社外ともに多要素認証を導入済みです。

📌 ガイドライン準拠：「AIを悪用した詐欺・攻撃への対応」に対し、スタッフへの継続的な教育と確認手順の整備で対応しています。

ルール⑤

万が一のときの対応手順を決めています

セキュリティインシデントはいつ起きるかわかりません。不審なことに気づいたらすぐに報告できる窓口と手順を明確化し、重要な認証情報（APIキーなど）は定期的に更新、漏洩した場合はすぐに無効化できる仕組みを整備しています。被害が起きても広がらないよう、開発環境と本番環境を完全に分離管理しています。

📌 ガイドライン準拠：「リスクの継続的な評価とインシデント発生時の対応体制の整備」に対応しています。

ルール⑥

AIへの「なりすまし指示」攻撃に備えています（プロンプトインジェクション）

悪意のある第三者がAIが処理するデータの中に「AIへの命令」を隠し込み、AIに意図しない行動をさせる攻撃（プロンプトインジェクション）があります。WRではAIが処理する外部データをそのままAIに渡さず、必要な情報を抽出してから渡します。またAIが出した結果をそのままシステム操作に直結させず、必ず人間が確認する工程を挟みます。

📌 ガイドライン準拠：AI事業者ガイドライン第1.2版ではAIエージェントが自律的に外部アクションを実行する際のリスク管理が明示されています。

ルール⑦

AIが使うツールや外部システムの安全も確認しています（サプライチェーンリスク）

WRが使っているAIのツール・ライブラリ・外部パッケージに悪意あるコードを仕込む「サプライチェーン攻撃」に備えています。AIが新しいツール導入を提案してきた場合、必ず独自に公式情報を確認してから採用し、使用するシステムは承認済みのものに限定しています。

📌 ガイドライン準拠：「AIシステムの安全性・セキュリティを確保するためのサプライチェーン全体の管理」に対応しています。

ルール⑧

一人・一つのシステムだけで重要な処理を完結させません（多層防御・職務分掌）

WRでは「使用ツールの審査→情報の匿名化→人間によるチェック→インシデント対応」の4層防御を採用しています。給与計算は「プログラム計算→担当者確認→社会保険労務士の最終承認」と役割を分離しており、1人・1システムで重要な処理が完結しない設計にしています。

📌 ガイドライン準拠：Human-in-the-Loopの義務化と多層的なリスク管理に対応しています。

ルール⑨

音声・映像のなりすまし（ディープフェイク）にも注意しています

AIの進化により、実在する人物の声や顔を本物そっくりに再現した偽の音声・動画（ディープフェイク）が作れるようになりました。WRでは電話・ビデオ通話で突然の振込依頼・機密情報の確認が来た場合、その電話を一度切り、登録済みの番号に折り返して本人確認します。「緊急だから今すぐ」という言葉が添えられている場合は特に警戒します。

2. 社労士法人固有の追加注意事項

特別注意①

マイナンバー（特定個人情報）はAIに絶対に渡しません

マイナンバーは「特定個人情報」として、マイナンバー法で通常の個人情報よりはるかに厳格な管理が義務付けられています。マイナンバーを含む業務はAIに渡さず、処理は人間が直接行うか、マイナンバーを取り除いた形でのみAIを活用します。給与計算システムとAIツールは連携させず、マイナンバーがAI側に流れ込まない設計を採用しています。

特別注意②

社会保険労務士の独占業務をAIに代替させません

社会保険労務士法第2条・第27条により、社会保険の届出・申請書類作成・法定帳簿作成は社会保険労務士の資格を持つ者だけが行える独占業務です。WRではデータの集計・整理・計算補助にプログラム・AI補助ツールを使いますが、法令解釈・申請内容の判断・書類の最終確認・署名・行政機関への届出は必ず有資格の社会保険労務士が行います。

特別注意③

社会保険労務士法の守秘義務とAI利用

社会保険労務士法第21条は、業務上知り得た秘密を正当な理由なく漏らすことを禁じています。クライアントの業務情報・人事情報・労使関係情報などをAIに渡す際は、情報の匿名化・一般化を行い、特定の企業・個人が識別できない形にしてから使用します。

特別注意④

AIが作った文書の責任はWRが持ちます

就業規則の文案・労使協定の雛形・各種届出書類などをAIが作成した場合でも、その内容の正確性・適法性に対する責任はWork Rules社会保険労務士法人（社会保険労務士）が負います。AIが作成した文書は必ず社会保険労務士が法的観点からレビューし、承認してからクライアントに提供します。

3. AIエージェントの安全管理体制（特許出願中の技術）

WRのAIエージェントシステムは、特許出願中の独自技術と社会保険労務士の監督体制を組み合わせた多重安全設計で動作しています。

特許出願中の技術	セキュリティ上の意味
機械検証ゲート（請求項1）	AIの処理結果を法令・ルールと自動照合。人間が確認する前に機械が一次チェック
5層構造ルールDB（請求項2）	法令・通達・社内規程・個社設定の5段階で処理ルールを管理。ルールが透明で追跡可能
クロスチェックエンジン（請求項3）	処理結果の矛盾を自動検出。「おかしい」を人間より先に機械が気づく
二重ループ検証（請求項4）	AIが自己検証を繰り返す。3回以内で99.2%収束（POC実証済み）
三方照合（請求項6）	元データ・履歴・計算値の3点を照合。1つでもずれたら自動ブロック
時点管理（請求項7）	「いつの法令・いつのデータで処理したか」を自動記録。監査に対応可能
判定根拠出力（請求項8）	AIがなぜその判断をしたかを自動記録。ブラックボックスにならない

AIが止まっても業務は止まりません（BCP）

状況	対応
AIシステムが一時停止した場合	プログラム処理＋手動確認に切り替え。給与計算・届出業務は継続
外部AIサービス（Anthropic等）が停止した場合	ルールベース処理で対応。AI補助機能のみ一時停止
大規模障害・災害時	社内手順書・バックアップデータで対応。クライアントへ即時連絡

4. お客様へのお約束

取り組み	内容
個人情報・マイナンバーの保護	貴社従業員の給与・人事情報およびマイナンバーをAIツールに入力することはありません
使用ツールの管理	WRが使用するAIツールは、データポリシーを確認した承認済みのものに限定
人間による最終確認	AIが処理した結果は、必ず社会保険労務士または担当者が確認・検証してから提供
守秘義務の遵守	社会保険労務士法第21条に基づく守秘義務を遵守した上でAIを活用
AI生成文書の責任	AIが作成した文書・雛形は必ず社会保険労務士がレビュー・承認してから提供
継続的なセキュリティ学習	スタッフはAIセキュリティに関する社内研修を継続的に実施
ガイドライン準拠	総務省・経産省「AI事業者ガイドライン（第1.2版）」の指針に沿って運用