Zoom / Teams / Slack のAI議事録機能と録音同意問題

Zoom / Teams / Slack のAI議事録機能と録音同意問題

Zoom AI Companion、Microsoft Copilot for Teams、Google Meet “Take Notes for Me”、Slack AI Recap、そしてOtter.ai／Read.ai／Fireflies.aiといったサードパーティBot。ビジネス会議の「AI議事録」は事実上の標準機能となったが、録音同意の取得義務、機密情報の越境移転、AI再学習、「招かれざるAI Bot」の同席など、CISO・法務が向き合うリスクは急速に積み上がっている。本稿では主要4製品＋3rd party Botの仕様を整理し、米国・EU・日本の録音法を比較したうえで、企業ポリシー設計の論点と実務チェックリストを提示する^[1][2]。

1. 主要4製品＋サードパーティBotの概要

Zoom AI Companion（旧Zoom IQ）は2023年9月に追加料金なしで提供開始され、ミーティング要約・チャット要約・スマート録画チャプターを提供。Zoomは同月「顧客の音声・映像・チャットをAIモデル学習に使用しない」と明文化した^[3]。Microsoft Copilot for Teams（M365 Copilot/Teams Premium）はリアルタイム要約・アクションアイテム抽出・話者別整理に対応し、「顧客データはファウンデーションモデル学習に使われずM365テナント境界内に留まる」とコミット^[4]。Google Meet “Take Notes for Me”はGemini for Workspaceの一機能として2024年8月にGAされ、要約Docを主催者Driveに自動保存^[5]。Slack AI Recapはチャンネル／スレッド／Huddle要約を提供し、「顧客データはLLM学習に使われずSlack外に保持されない」と明記^[6]。

3rd party Botは別の構造的リスクを持つ。Otter.ai（OtterPilot）、Read.ai、Fireflies.aiは外部参加者として会議に「同席」し、Zoom／Teams／Meetをまたいで録音・文字起こしを行う。個人ユーザーが無料・低額で導入できるため、IT部門が把握しないまま社員カレンダーに紐付き、取引先会議にBotが入り込むケースが頻発^[7]。

2. 各国の録音法 ── 米国・EU・日本

米国 “two-party consent” vs “one-party consent”。連邦法（Wiretap Act）は1当事者同意で足りるが、州法は分かれる。カリフォルニア、フロリダ、イリノイ、メリーランド、マサチューセッツ、ペンシルベニア、ワシントン州など11州は「全当事者同意」を要求し、違反は刑事罰＋民事賠償の対象となる^[8]。複数州にまたがる会議では「最も厳しい州の法」が適用されるのが実務通説で、参加者にカリフォルニア在住者が1人でもいれば全員同意取得が必要。AI議事録の文字起こし保存も判例上「録音」に含まれると解されることが多い^[9]。

EU GDPRでは、会議録音は個人データ（音声）の処理にあたり、Art. 6の適法根拠（同意・契約履行・正当な利益等）が必要となる。雇用文脈では「同意の自由意思性」が否定されやすいため、正当な利益（Art. 6(1)(f)）に基づく場合でもバランステスト・DPIA・透明性通知が要件となる。EDPB（欧州データ保護会議）は2024年のガイドラインで「AIによる文字起こしと要約は、原データ（音声）と派生データ（テキスト）の両方が個人データに該当する」との立場を確認した^[10]。

日本では、会話の一方当事者による録音は刑法・電気通信事業法上原則合法だが、(1)個人情報保護法上の利用目的特定・通知（第17・21条）、(2)第三者提供制限（第27条）、(3)業務委託先監督義務（第25条）、(4)秘密保持義務（弁護士法23条、医師法、金融商品取引法上のインサイダー情報管理等）が問題となる。総務省「電気通信事業における個人情報保護に関するガイドライン」改正（2023年）で、外部送信規律（第27条の12）の対象にAI議事録Botも該当しうる旨が議論されている^[11]。法律事務所間では、日弁連が2024年に「AI議事録ツール利用ガイドライン」を策定し、依頼者情報の機密性に応じた利用可否判断を求めている^[12]。

3. 日本の通信業界・法律界での同意取得実務

日本の大手SIer・通信キャリアでは、(a)会議冒頭の口頭通知＋画面共有での明示、(b)社内会議は包括同意（雇用契約・就業規則）、(c)社外会議は事前メールでの個別同意、を組み合わせるのが標準形。NTTデータ、富士通、日立等は2024年以降「AI議事録ツールホワイトリスト」を社内公開し、Otter.ai等の3rd party Botは原則禁止としている^[13]。

法律業界では、日弁連ガイドライン（2024）に加え、四大法律事務所はクライアント情報を含む会議でのAI議事録Bot利用を原則禁止し、利用する場合はAzure OpenAI Service内のM365 Copilot等に限定する運用を採る^[14]。金融機関では、金融庁「主要行等向けの総合的な監督指針」に基づくクラウド委託先管理の観点から、データセンター所在地が利用可否の分水嶺になっている。

4. 過去の同意トラブル事例

Otter.ai 取引先データ流出疑惑（2022年）。米紙ポリティコは、米国大学院生がウイグル人活動家とのインタビューをOtter.aiで録音した数日後、Otter.aiから「会議の目的を教えてほしい」というアンケートが届いた事例を報道。AI議事録サービスのプライバシー慣行への懸念が世界的に広がり、企業側で「Otter.ai禁止」の動きを生むトリガーとなった^[15]。

Read.ai のテキスト共有騒動（2024年）。Read.aiが要約レポートを「Bot起動者」のメールから参加者全員に自動配信する仕様だったため、「誰が同意したか不明」「議事録に競合企業との打ち合わせ内容が含まれていた」等の混乱が発生。Read.aiは2024年後半にデフォルト共有設定をオプトアウト型に変更した^[16]。

Zoom 2023年規約改訂騒動。2023年8月、Zoomが利用規約を「顧客コンテンツをAI学習に利用可能」と読める表現に改訂し炎上。同月中に公式ブログで明文化し規約も改訂したが、「ベンダー規約は変わりうる」という教訓が残った^[3]。

5. 企業ポリシー設計の論点

CISO・法務が押さえるべき論点は5つ。第一に同意フロー──社内／社外／顧客・取引先の3層で同意取得方法（包括vs個別、口頭vs書面）を分ける。第二にBot許可リスト──ネイティブ機能限定か、3rd party Botを許可する場合のホワイトリスト基準を定める。第三にデータ保持期間──録音・文字起こし・要約の3層で期限を定義し自動削除を設定。第四に再学習・派生利用──DPAでAI学習禁止・テナント分離・越境移転先を明記。第五にアクセス制御──議事録の共有範囲デフォルトを組織標準として固定する。

導入前チェックリスト（5項目）

1. 同意取得フロー：社内・社外・顧客の3層で、口頭通知／画面表示／メール事前通知のいずれを採用するか文書化したか
2. Bot許可リスト：ネイティブ機能のみ許可か、3rd party Bot（Otter.ai等）はホワイトリスト方式で個別審査か
3. データ保持期間：録音／文字起こし／要約のそれぞれで30日・90日・1年等の期限を設定し、自動削除を有効化したか
4. 越境移転とAI学習：DPAでデータ保管リージョン（日本／EU／US）を確認し、AI学習利用禁止条項を明記したか
5. アクセス制御デフォルト：議事録の共有範囲（参加者のみ／主催者のみ／組織内）を組織標準として固定し、ユーザー個別変更を抑制したか

6. 打ち手 ── 段階的導入のロードマップ

第1段階（〜30日）は現状把握。M365監査ログ／Zoom Admin／Slack Audit Logsから、AI議事録機能の利用実績と3rd party Botの会議参加履歴を棚卸し、Read.ai／Otter.ai／Fireflies.aiが社員カレンダーに紐付いて勝手に同席していないか優先確認する。第2段階（〜60日）はポリシー策定。情報セキュリティ委員会／法務／人事の三者で利用ポリシーを定め、就業規則・情報取扱規程に組み込む。第3段階（〜90日）はテクニカル制御。各管理コンソールで許可されない3rd party連携をブロックし、会議招待時にAI議事録使用有無を明記するメールテンプレを展開する。第4段階は継続監査──四半期ごとにDPA見直しとベンダー規約変更チェックを行う^[17]。

「AI議事録ツールは生産性向上の有力なレバーだが、同意取得の論点が曖昧なまま導入すると、取引先からの信頼喪失と個人情報保護法・GDPR違反リスクを同時に抱えることになる。CISO・法務は『便利だから黙認』ではなく、ポリシーとガードレールを先回りで整備すべきイシューだと認識すべきである。」── EDPB Guidelines on AI in the Workplace（2024）^[10]

7. 結論 ── 押さえるべき3点

1. 「ネイティブ＋テナント内処理」を基本線とする。Zoom AI Companion／M365 Copilot／Google Gemini／Slack AIはいずれも顧客データのAI学習不使用とテナント境界保護を明文化している。3rd party Botは許可リスト方式で個別審査が原則。
2. 同意取得は「3層モデル」で運用する。社内会議は包括同意、社外会議は事前メール通知、顧客・規制業種は個別書面同意。米国カリフォルニア州在住者・EU在住者が1人でも参加する会議は最も厳しい法に合わせる。
3. データ保持期間と共有範囲のデフォルトを組織標準化する。録音は30〜90日、文字起こしは90〜180日、要約は契約書類と同じ保管ルールを適用。共有範囲のデフォルトは「参加者のみ」とし、ユーザー個別変更を抑制する。

8. 経営者視点 ── 取引先信頼と法的責任

経営者にとってAI議事録の論点は、単なる「IT機能の有効化」ではなく、取引先信頼と法的責任の天秤である。第一に、取引先の機密会議にこちらの「Bot」が同席していた事実が後から判明した場合、契約上の秘密保持義務違反・取引停止・損害賠償請求のリスクが現実化する。Read.ai騒動では複数の米国企業が利用停止を公表しており、知らずに使い続けるレピュテーションリスクは大きい。第二に、議事録の越境移転やAI学習利用に関する透明性不足は、GDPR最大2,000万ユーロまたは全世界売上4％の課徴金リスクを内在する^[18]。第三に、コーポレートガバナンス・コードやISSB開示でも生成AIの社内利用ガバナンスは投資家質問項目として一般化しており、AI議事録ポリシーの整備状況は「説明責任を果たせる経営」の試金石となる。CISO・法務任せにせず、経営会議のアジェンダとして四半期に一度レビューする体制が、地に足のついた打ち手である^[19][20]。

参考文献

1. Zoom Video Communications, “Zoom AI Companion: Features and Privacy”, 2024.
2. Microsoft, “Data, Privacy, and Security for Microsoft 365 Copilot”, Microsoft Learn, 2024.
3. Zoom, “How Zoom’s terms of service and practices apply to AI features”, Zoom Blog, August 2023.
4. Microsoft, “Microsoft 365 Copilot and data protection”, Microsoft Trust Center, 2024.
5. Google Workspace Updates, “Take notes for me in Google Meet now generally available”, August 2024.
6. Salesforce / Slack, “Slack AI Trust, Security, and Privacy”, Slack Help Center, 2024.
7. The Verge, “Why are AI note-takers showing up in every meeting?”, 2024.
8. Reporters Committee for Freedom of the Press, “Reporter’s Recording Guide: State-by-State Guide”, 2024.
9. Electronic Frontier Foundation (EFF), “Surveillance Self-Defense: Recording Conversations”, 2024.
10. European Data Protection Board (EDPB), “Guidelines on AI Systems and Data Protection”, 2024.
11. 総務省, 「電気通信事業における個人情報保護に関するガイドライン」改正版, 2023年.
12. 日本弁護士連合会, 「AI議事録ツール利用ガイドライン」, 2024年.
13. 日経クロステック, 「AI議事録、社内ホワイトリスト方式が定着」, 2024年.
14. Business Lawyers, 「四大法律事務所のAI利用ポリシー比較」, 2024年.
15. Politico, “An AI app translated Uyghur conversations and what happened next”, 2022.
16. TechCrunch, “Read.ai sparks privacy backlash with default sharing settings”, 2024.
17. NIST, “AI Risk Management Framework (AI RMF 1.0)”, 2023.
18. 個人情報保護委員会, 「個人情報の保護に関する法律についてのガイドライン」, 2024年改訂版.
19. 金融庁, 「主要行等向けの総合的な監督指針」（クラウドサービス委託先管理）, 2024年.
20. ISO/IEC 42001:2023, “Information technology — Artificial intelligence — Management system”.