要点まとめ(30秒で読める)
- ChatGPTに機密財務データをそのまま入力するのはリスク — 社名・個人名のマスキングが必須
- クラウド会計ソフトはオンプレミスのExcel管理よりセキュリティが高い(暗号化・監査ログ・冗長化)
- 多要素認証(MFA)の未設定が最大のセキュリティホール — freee/MF両社とも対応済み
- マイナンバーの取り扱いは特定個人情報保護法で厳格に規制 — クラウド保存時の暗号化を確認
背景:なぜ会計のAI活用にセキュリティが重要か
会計データは企業の最重要機密情報の一つです。売上・利益・取引先情報・従業員の給与・マイナンバーなど、漏洩した場合のダメージは計り知れません。
AI活用が進む中で新たに発生するセキュリティリスクは主に3つです:
- AIツールへのデータ入力リスク: ChatGPT等に財務データを入力した場合の学習利用リスク
- クラウド保存のリスク: インターネット経由でのデータアクセスに伴う不正アクセスリスク
- API連携のリスク: 銀行API・請求書サービス等との連携における認証情報の管理
リスク1: ChatGPTへの財務データ入力
ChatGPTのデータ取り扱いポリシー
| 項目 | ChatGPT Free/Plus | ChatGPT Team/Enterprise | Azure OpenAI |
|---|---|---|---|
| 入力データの学習利用 | デフォルトON(オプトアウト可) | OFF | OFF |
| データの保存期間 | 30日(不正利用監視) | 30日 | 顧客管理 |
| SOC2認証 | なし | あり | あり |
| データ所在地指定 | 不可 | 不可 | 可能 |
安全な利用のためのルール
【経理部門のChatGPT利用ガイドライン(テンプレート)】
■ 入力してよいデータ
- 一般的な会計処理の質問(仕訳方法、税法の解釈等)
- マスキング済みの財務データ(社名→A社、個人名→担当者X)
- 公開情報に基づく分析依頼
■ 入力してはいけないデータ
- 実名入りの取引先情報
- 従業員の給与・マイナンバー
- 未公開の決算数値(上場企業の場合はインサイダー情報)
- 銀行口座番号・クレジットカード番号
- ログインID・パスワード
■ マスキングの例
変更前: 「株式会社田中商事への売掛金¥5,000,000が未回収」
変更後: 「取引先A社への売掛金¥5,000,000が未回収」
ChatGPTマスキングプロンプト
以下の財務データを分析してください。
なお、企業名・個人名は全てマスキングしています。
【データ】
- A社: 売上¥50,000,000、営業利益率8%
- B社: 売上¥30,000,000、営業利益率3%
- C社: 売上¥20,000,000、営業利益率-2%
業界: 製造業
分析目的: グループ全体の収益性改善
機密情報は含まれていません。分析をお願いします。
リスク2: クラウド会計ソフトのセキュリティ
freee vs マネーフォワード セキュリティ比較
| セキュリティ機能 | freee | マネーフォワード |
|---|---|---|
| 通信暗号化 | TLS 1.2以上 | TLS 1.2以上 |
| データ暗号化(保存時) | AES-256 | AES-256 |
| 多要素認証(MFA) | ○ 対応 | ○ 対応 |
| IPアドレス制限 | ○(法人プラン) | ○(法人プラン) |
| 操作ログ | ○ 全操作記録 | ○ 全操作記録 |
| 権限管理 | ○ ロールベース | ○ ロールベース |
| バックアップ | ○ 自動・日次 | ○ 自動・日次 |
| SOC報告書 | SOC1/SOC2 | SOC2 |
| ISMS認証 | ○ | ○ |
| データセンター | 国内(AWS東京) | 国内(AWS東京) |
必ず設定すべきセキュリティ項目
【クラウド会計導入時のセキュリティチェックリスト】
□ 多要素認証(MFA)を全ユーザーに強制適用
□ 管理者アカウントのパスワードは16文字以上
□ IPアドレス制限を設定(オフィスIPのみ許可)
□ 権限設定を最小権限の原則で実施
- 一般担当者: 仕訳入力・閲覧のみ
- 経理マネージャー: 承認・月次締め
- 管理者: 設定変更・ユーザー管理
□ 退職者のアカウントを即日無効化するプロセスを確立
□ 操作ログの定期確認(月1回)
□ API連携先の棚卸し(四半期1回)
□ バックアップデータの復元テスト(年1回)
リスク3: マイナンバーの安全管理
マイナンバーは「特定個人情報」として、通常の個人情報より厳格な管理が求められます。
クラウド会計でのマイナンバー管理
| 項目 | freee人事労務 | MFクラウド給与 |
|---|---|---|
| マイナンバー暗号化保存 | ○ AES-256 | ○ AES-256 |
| アクセス権限の分離 | ○ マイナンバー専用権限 | ○ 専用権限 |
| 閲覧ログ | ○ 誰がいつ閲覧したか記録 | ○ 記録 |
| 利用目的制限 | ○ 税務・社保手続きのみ | ○ 同様 |
| 廃棄機能 | ○ 退職後の一括削除 | ○ 対応 |
マイナンバー管理のChatGPT活用(安全な方法)
マイナンバーの収集・管理に関する社内ルールを作成してください。
【前提条件】
- 従業員数: 50名
- 使用システム: freee人事労務(クラウド)
- 収集方法: 従業員がスマホアプリで直接入力
【ルールに含めてほしい項目】
1. 収集時の本人確認方法
2. アクセス権限者の範囲
3. 保存期間と廃棄ルール
4. 漏洩時の対応フロー
5. 年1回の棚卸し手順
※マイナンバーの実際の番号は含めないでください
リスク4: ランサムウェア・サイバー攻撃対策
クラウド vs オンプレミスのセキュリティ比較
| 脅威 | オンプレミス(Excel/弥生デスクトップ) | クラウド(freee/MF) |
|---|---|---|
| ランサムウェア | 高リスク — PCごと暗号化される | 低リスク — データはクラウド側で保護 |
| PCの紛失・盗難 | 高リスク — データが直接流出 | 低リスク — PCにデータなし |
| 自然災害 | 高リスク — 物理的破損で消失 | 低リスク — 地理的冗長化 |
| 内部不正 | 中リスク — ログなし | 低リスク — 全操作ログ記録 |
| 不正アクセス | 中リスク — ファイアウォールに依存 | 低リスク — MFA+IP制限+暗号化 |
結論: 適切に設定されたクラウド会計ソフトは、Excel/デスクトップ管理よりセキュリティレベルが高い。
インシデント対応プラン
以下の条件で、会計データの情報漏洩インシデント対応プランを作成してください。
【想定シナリオ】
経理担当者のPCがフィッシングメールにより感染し、
クラウド会計ソフトのログイン情報が漏洩した可能性がある。
【会社概要】
- 従業員50名、売上5億円
- クラウド会計: freee(法人プラン)
- 顧客数: 200社
【対応プランに含めてほしい項目】
1. 初動対応(発見から1時間以内)
2. 被害範囲の特定方法
3. 関係者への通知(タイムライン)
4. 個人情報保護委員会への報告要否の判断基準
5. 再発防止策
6. 費用見積もり
実務への影響
CPA視点: 会計のAI活用において最も危険なのは「便利さに慣れてセキュリティ意識が薄れる」ことです。ChatGPTにマスキングなしで決算データを貼り付ける、MFAを面倒だからオフにする、退職者のアカウントを放置する — いずれも日常的に起こりうるミスですが、1件の漏洩が企業の信用を致命的に毀損します。「AI活用のルール」と「セキュリティのルール」はセットで策定し、四半期ごとに見直すことを推奨します。
今すぐ取るべきアクション
- MFAを全アカウントに設定: 未設定なら今日中に実施
- ChatGPT利用ガイドラインを策定: 上記テンプレートをカスタマイズ
- 操作ログを確認: 過去3ヶ月の不審なアクセスがないかチェック
AI会計ソフトを試してみよう(PR)
※本記事にはアフィリエイト広告(A8.net)が含まれます。
セキュリティが確保されたクラウド会計ソフトで、安全にAI経理を始めましょう。
- freee会計 — SOC1/SOC2認証取得。MFA・IP制限・操作ログ完備。30日間無料
- マネーフォワード クラウド会計 — ISMS認証・AES-256暗号化。セキュリティと使いやすさを両立
関連記事
本記事はAIによる自動収集・要約をベースに、公認会計士試験合格者が以下の観点で監修しています: - 会計基準・税法との整合性 - 実務への影響分析の正確性 - 専門用語の適切な使用 具体的な会計・税務判断は、公認会計士または税理士にご相談ください。