AI議事録 セキュリティ完全ガイド【2026年版】データ保管・学習オプトアウト・SOC2/ISO27001 5ツール比較

「AI議事録は便利だけど、社内の機密情報を扱って大丈夫？」——情シス・法務・経営企画から必ず出る AI議事録 セキュリティ の最大の問いです。本記事では、各社公式ドキュメント・SOC2 / ISO27001 公開情報・主要メディアの解説をもとに、AI議事録 セキュリティの選定基準を体系的に整理します。

結論：AI議事録 セキュリティで必ず確認すべき4軸

機密会議を扱う組織が AI議事録ツール選定で必ず確認すべき項目：

1. データ保管リージョン：国内保管か海外保管か
2. 学習オプトアウト：自社データが AI モデルの学習に使われない設定が可能か
3. SOC2 / ISO27001 取得：第三者機関の認証
4. SAML/SSO・SCIM：情シスの権限管理機能

これら4つをクリアしているのは、Notta Business 以上、さくらAI議事録、JAPAN AI SPEECH の3択です。

導入の全体像はAI議事録の始め方完全ガイド、料金とのバランスはAI議事録ツールの料金完全比較で解説しています。

AI議事録 セキュリティ：5ツール要件比較表

ツール	データ保管地	学習オプトアウト	SOC2	ISO27001	SAML/SSO	推奨業界
Notta（Business〜）	シンガポール（AWS）	✅ 可能	✅ 取得	✅ 取得	✅ 対応	IT・SaaS・スタートアップ
PLAUD	クラウド：米国	✅ 可能	✅ 取得	⚠️ 一部	⚠️ Enterprise のみ	営業・現場
さくらAI議事録	国内（さくら DC）	✅ 可能	✅ 取得	✅ 取得	✅ 対応	金融・医療・公共
JAPAN AI SPEECH	国内	✅ 可能	✅ 取得	✅ 取得	✅ 対応	法務・コンサル・行政
tl;dv	米国・EU	⚠️ 有料プラン	✅ 取得	✅ 取得	✅ Business〜	海外チーム・グローバル

軸1：データ保管リージョンの選び方

国内保管が必要なケース

以下の業界・要件ではデータ国内保管が事実上必須：

• 金融機関：金融庁の監督指針で国内保管推奨
• 医療機関：医療情報を取り扱う情報システムの安全管理に関するガイドライン
• 行政・公共：政府情報システムのためのセキュリティ評価制度（ISMAP）対応
• 法務系：弁護士業務上の守秘義務
• 個人情報を多く扱う事業：プライバシーマーク取得企業

国内保管に対応しているのは

• さくらAI議事録：国内のさくらインターネットDC固定
• JAPAN AI SPEECH：国内データセンター
• Notta Enterprise：交渉次第で対応可能

海外保管でも問題ないケース

• 一般的な企業の社内会議（人事・財務以外）
• マーケティング・営業の MTG
• 個人事業主・フリーランス
• 学術研究・教育機関の一部

軸2：学習オプトアウトの確認

「学習オプトアウト」とは

ユーザーがアップロードした音声・テキストを AI ベンダー側が AI モデルの学習データとして使わない 設定です。

各ツールの学習オプトアウト状況

ツール	デフォルト	設定方法
Notta（Business〜）	✅ オフ（学習しない）	Settings → Privacy
PLAUD	✅ オフ	App内設定
さくら	✅ オフ（規約で明示）	デフォルト
JAPAN AI	✅ オフ	規約で明示
tl;dv（Pro〜）	⚠️ オン by default	Settings → Data Usage
Free / 個人プラン（共通）	⚠️ 学習に使われる可能性	規約要確認

機密データを扱う場合

有料プラン契約 + DPA（データ処理契約）取得を必ず実施。Free や個人プランで機密データを扱うと、規約上 AI 学習に使われるリスクがあります。

軸3：SOC2 / ISO27001 の意味

SOC2 とは

• 米国の監査基準（System and Organization Controls）
• セキュリティ・可用性・処理整合性・機密性・プライバシーの5項目を第三者監査
• Type 1（ある時点）と Type 2（一定期間）があり、Type 2 の方が信頼性高い

ISO27001 とは

• 国際規格（ISMS：情報セキュリティマネジメントシステム）
• 組織全体の情報管理を体系的に整備していることの認証
• 3年ごとの再認証が必要で継続的な改善が義務

5ツールの取得状況

ツール	SOC2	ISO27001	監査公開
Notta	Type 2	✅	要請で開示
PLAUD	Type 1	一部子会社	限定開示
さくらAI議事録	Type 2	✅	公開資料あり
JAPAN AI SPEECH	Type 2	✅	公開資料あり
tl;dv	Type 2	✅	公開資料あり

法人導入の社内稟議で「監査レポートを情シスに見せたい」場合、Notta・さくら・JAPAN AI が開示しやすいです。

軸4：SAML/SSO・SCIM 対応

なぜ重要か

• 退職者の自動アクセス削除：人事システム連携で漏れなくアカウント停止
• 入社時の自動付与：新入社員のアカウント手動作成が不要
• MFA 強制：会社のセキュリティポリシーを統一適用
• アクセスログの一元管理：監査対応が楽

SAML/SSO 対応プラン早見

ツール	SAML/SSO 対応プラン	月額（10名で）
Notta Business	¥2,090/人	¥20,900
さくらAI議事録 Business	¥9,800/人	¥98,000
JAPAN AI SPEECH Business	¥7,500/人	¥75,000
tl;dv Business	$59/人	約¥88,500

コスパで Notta Business が圧勝ですが、データ保管要件次第で他選択肢になります。

個人情報保護法・GDPR への対応

録音同意の取得フロー

会議参加者には事前に：

1. 録音される旨を伝える
2. AI 処理される旨を伝える
3. データの保管場所と期間を開示
4. 同意の撤回方法を案内

これは法的義務に近い実務慣行です。社内会議でも徹底することで、将来のトラブル予防になります。

DPA（データ処理契約）の取得

Business プラン以上を契約する際、ベンダーから DPA（Data Processing Agreement） を取得：

• 個人情報の取扱いに関する責任分担を明文化
• 法務部門の承認後に契約締結
• 契約書原本を内部保管（監査対応用）

外部参加者がいる会議

クライアントや取引先が参加する会議では：

• 会議冒頭で同意を口頭確認
• 議事録のドラフトはAI生成と明示
• 完成版を相手にも共有して透明性確保

これを怠ると、後から「録音されているとは知らなかった」と問題化するケースがあります。

業界別の導入推奨パターン

金融機関・銀行・証券

推奨：さくらAI議事録 Business / Enterprise

理由：

• 国内保管が金融庁監督指針に整合
• ISMAP（政府情報システム評価制度）対応の前例あり
• セキュリティ説明資料が金融機関向けに整備されている

代替：JAPAN AI SPEECH（国産同等のセキュリティ）

医療機関・病院

推奨：さくらAI議事録 Business / Enterprise

理由：

• 厚生労働省「医療情報システムの安全管理に関するガイドライン」準拠
• 個人情報保護法の医療情報特例条項対応
• HIPAAレベルの管理（一部対応）

注意：患者情報を含む録音は、別途院内ルール厳格化が必要

法律事務所・コンサル

推奨：JAPAN AI SPEECH Business、または さくらAI議事録

理由：

• 弁護士業務上の守秘義務との整合
• 国内保管 + 学習オプトアウト
• 顧客情報の取扱いログが取得可能

IT・SaaS・スタートアップ

推奨：Notta Business

理由：

• コスパ最強（¥2,090/人）
• SOC2 / ISO27001 取得済
• 学習オプトアウト可
• 一般的な企業の機密度なら十分

グローバルチーム・海外案件

推奨：tl;dv Business + Notta Business（併用）

理由：

• tl;dv は英語圏での操作性が高い
• 国内会議は Notta、海外会議は tl;dv の使い分け

契約前チェックリスト18項目

社内に AI議事録ツールを導入する前に、必ずこの18項目を確認：

データ取扱い（5項目）

• データ保管リージョン（国内 / 海外）を確認したか
• 学習オプトアウト設定を確認したか
• データ削除依頼の手続きを確認したか
• バックアップ保存期間を確認したか
• 第三者提供の有無を確認したか

認証・監査（4項目）

• SOC2 Type 2 レポートを入手したか
• ISO27001 認証書を入手したか
• DPA（データ処理契約）原本を取得したか
• 監査ログのエクスポート方法を確認したか

アクセス制御（4項目）

• SAML/SSO 連携を設定したか
• 多要素認証（MFA）を強制したか
• 役職・部署ごとのアクセス権限を設計したか
• 退職者の自動アクセス削除フローを作ったか

法令対応（3項目）

• 個人情報保護法上の同意取得フローを作ったか
• GDPR 対応が必要なら個別検証したか
• 業界固有の規制（金融・医療等）との整合を確認したか

運用（2項目）

• 利用ガイドラインを社内に展開したか
• インシデント発生時の対応フローを作ったか

インシデント発生時の対応フロー

万が一、機密データの漏洩疑いが発生した場合：

1. 即座に該当ユーザーのアカウントを停止
       ↓
2. ベンダーのインシデント窓口に連絡
       ↓
3. 影響範囲の調査（社内法務 + 情シス）
       ↓
4. 関係者（漏洩した会議参加者）への通知
       ↓
5. 監督官庁への報告（個人情報保護委員会など必要に応じ）
       ↓
6. 再発防止策の策定とドキュメント化

このフローを 事前に作って関係者で共有しておくことが、有事の対応速度を決めます。

それでも AI議事録を導入する理由

セキュリティ要件を並べると不安になるかもしれませんが、正しく運用すれば圧倒的に効率化されるのは事実です。リスクと効果のバランスを取るには：

フェーズ	期間	任せる業務	NG業務
Phase 1	1〜3ヶ月目	社内・一般会議のみ	人事・財務・M&A
Phase 2	4〜6ヶ月目	+ 社内重要会議	クライアント機密
Phase 3	7〜12ヶ月目	+ クライアント案件（DPA取得後）	規制業界の特定案件
Phase 4	1年以降	全社展開	（業界依存）

「1年かけて段階的に拡大」が、事故と効果のバランスとして最適です。

まとめ

• データ保管・学習オプトアウト・SOC2/ISO27001・SAML/SSO の4軸で必ず比較
• 金融・医療・行政 は国内保管必須 → さくら か JAPAN AI
• IT・SaaS はコスパ重視で Notta Business
• 海外チーム は tl;dv（要件許容範囲なら）
• 契約前チェックリスト18項目 を必ず確認
• インシデント対応フロー を事前に整備

ツール5社の機能比較はAI議事録ツール徹底比較5選、料金詳細は料金完全比較、実際の導入失敗事例はAI議事録ツール導入の失敗事例と回避策、操作の基本はAI議事録の始め方完全ガイド、ハードウェアの選定はAIボイスレコーダー徹底比較を参照してください。