セキュリティ重視の企業向け文字起こしツール選定
「会議録をAIに送っていいのか」——情報システム部門に相談すると、たいていの返答は「それは案件ごとに違う」だ。曖昧な答えで、でもそれが正解でもある。
企業向けのAI文字起こしツール選定で、担当者が最初につまずくのはたいてい同じ点だ。セキュリティ要件が社内で定まらないまま、ツールの比較検討を始めてしまうこと。結果、情報システム部門との調整が後から発生して、選定がやり直しになる。
先に結論を言う。企業向けの文字起こしツールのセキュリティ要件は、おおよそ3段階に整理できる。「ISO27001などの認証取得で十分」「国内サーバー保管が必要」「オンプレミス必須」——この3段階を社内で先に決めてから、ツールを絞り込むのが最も時間を無駄にしない進め方だと思う。どの要件に該当するかによって、候補ツールがほぼ決まってくるからだ。
音声データが「テキストより厄介」な理由
AI文字起こしでリスクになるのは、テキストデータよりも音声データの扱いだ。音声には「誰が発言したか」という話者情報が含まれる。これは個人情報保護法上の「個人に関する情報」に該当する可能性があり、テキストとは異なる取り扱いが必要になるケースがある。
クラウド型の文字起こしツールを使った場合、音声データは以下の経路をたどる。
- 端末で録音 → TLS暗号化通信でサービス提供企業のサーバーへ送信
- サーバー上でAI音声認識エンジンが処理 → 文字起こし結果を返却
- 音声データおよびテキストデータをサーバーに保存(保持期間はサービス次第)
リスクが発生するポイントは主に2か所。通信経路の盗聴と、サーバー上のデータへの不正アクセスだ。TLS 1.2以上とAES-256暗号化が実装されていれば、通信経路のリスクはかなり低い。問題はサーバー側——提供企業がサイバー攻撃を受けたとき、自社の会議音声がどうなるか。それを担保するのが、ISO27001やSOC2などの外部認証だ。
もう一つ見落とされがちなリスクがある。内部不正だ。誰がどの議事録にいつアクセスしたか——このログが取れないツールは、退職者や権限外の従業員によるアクセスを追跡できない。アクセス制御とログ記録機能は、セキュリティ認証と同じくらい確認すべき点だと思う。
セキュリティ要件を「3段階」で整理する
どのレベルの要件が自社に必要かは、会議で扱う情報の機密性で決まる。一般的な社内MTGと、未公開財務情報を含む経営会議では、必要なセキュリティレベルが根本から違う。
| レベル | 主な要件 | 対象となる会議 |
|---|---|---|
| レベル1 | ISO27001またはSOC2取得 | 社内定例・勉強会・採用面接など |
| レベル2 | 国内サーバー保管 + AI学習禁止 | 個人情報・顧客情報を含む会議 |
| レベル3 | オンプレミス(完全オフライン) | 経営・財務・法務・M&A関連 |
「全部最高レベルにすれば安心」と考えてレベル3(オンプレミス)を選ぶと、初期構築コストが数百万円単位になるケースがある。機密情報を含まない会議にまでオンプレミスを適用するのはコスト過剰だし、導入と運用の手間が増えて結局使われなくなる——という末路をたどる企業は少なくない。
レベル別おすすめツール
レベル1:Notta(ISO27001:2022 + SOC2 Type2取得)
Nottaは2026年2月にISO/IEC 27001:2022への更新を完了しており、SOC2 Type2認証も取得済みだ。クラウド型の文字起こしツールの中では、現時点でセキュリティ認証の整備が最も進んでいる部類に入る。
エンタープライズプランではAI学習へのデータ提供を停止できる設定が用意されており、SSOにも対応している。セキュリティに関する書類への記入依頼(いわゆる「セキュリティチェックシート」)にも対応可能という点は、情報システム部門との折衝でかなり助かるポイントだと思う。無料プランから始めて現場に普及させてから有料プランへ——という段階的な導入がしやすいのも特徴だ。
詳細な料金はNotta料金プラン完全ガイドで整理している。
レベル2:Rimo Voice / Otolio(旧スマート書記)
Rimo Voiceは国内データセンターでの暗号化保管を明示しており、医療・介護・法務など個人情報を扱う業界での採用実績がある。インターフェースがシンプルで、ITに不慣れなスタッフでも使いやすい設計になっている。
Otolio(旧スマート書記)は機密情報をAIに学習させずに社内固有名詞の認識精度を高める仕組みを特許取得しているのが面白い。他のツールが「学習させる代わりに精度が上がる」という設計なのに対して、Otolioは「学習させなくても精度を上げる」という逆張りのアプローチだ。セキュリティと精度のトレードオフを解消しようとしている点は、個人情報を頻繁に扱う会議でのメリットになりうる。
レベル3:SecureMemo(完全オフライン・オンプレミス)
Nishika株式会社のSecureMemoは、音声データが外部サーバーに一切送信されない完全オフライン動作のオンプレミス型ツールだ。独自開発の音声認識AI「shirushi」を搭載しており、文字起こし精度は96.2%(同社発表値)。話者識別と自動要約機能も備えている。
スタンドアロン型とクライアントサーバー型の2つの導入形態から選べる。経営会議やM&A関連の打ち合わせのように、音声データを外部ネットワークに出すこと自体がリスクになるケースには、現時点でほぼ唯一の現実的な選択肢だと思う。ただし、価格は要問い合わせで、サーバー構築コストを含めると相当な初期投資が必要になる——中小企業が気軽に導入できるものではないのが正直なところだ。
ツール選定のポイント
全会議を同じツールで処理しようとすると、要件の厳しい会議に合わせたツール選定になりがちで、コスト過剰になる。機密レベルに応じてツールを使い分ける「複数ツール運用」も選択肢に入れると現実的になる。
「ISO27001取得済み」だからといって国内保管とは限らない
これ、自分も調べていて気づいた点なんだけど、ISO27001は情報セキュリティの「管理プロセス」が適切に整備・運用されているかを評価する認証であって、データの物理的な保管場所を保証するものではない。
つまりISO27001を取得していても、データが米国や欧州のサーバーに保管されているケースはある。「ISO27001取得=国内保管」と思い込んでいる担当者は多いが、これは別の話だ。国内データ保管を確認したい場合、ISO27001の証書だけでなく、サービス規約またはデータ処理契約(DPA)に記載された「データ処理・保管場所」を直接確認する必要がある。
逆に言うと、ISO27001未取得でも国内専用サーバーで運用しているツールは存在する。重要なのは認証の有無ではなく、自社が求める要件を個別に確認すること——当たり前に聞こえるかもしれないが、実際には認証の有無だけで判断している担当者が多い印象がある。
なお、AI議事録ツール全般の情報漏洩リスクとその対策についてはAI文字起こしの情報漏洩リスクと防止策でより詳しく整理しているので、セキュリティポリシーの策定段階であれば参照してほしい。
導入前に確認すべきチェックリスト
情報システム部門から承認を得るために、事前に確認しておくべき項目をまとめた。ここで挙げた項目の全てを確認しきれているわけではないし、業種によっては追加で確認すべき規制(金融、医療など)もあるので注意してほしい。
全ツール共通で確認すべき事項:
- ISO27001・SOC2などのセキュリティ認証の取得状況(証書の有効期限も確認)
- データ処理・保管場所(国内 / 海外。具体的な国・地域まで確認)
- 通信の暗号化方式(TLS 1.2以上、保管データはAES-256等)
- 音声データのAI学習への利用可否(オプトアウト可能か)
- データ保持期間と削除ポリシー(削除リクエストへの対応SLA)
- アクセスログの記録・監査機能
- 組織のSSOとの連携可否
- セキュリティチェックシートへの記入対応
機密レベルが高い場合の追加確認事項:
- オンプレミス対応の有無(スタンドアロン / クライアントサーバー)
- データの国外移転の有無(GDPRやAPPIへの対応状況)
- 退職者・権限変更時のアクセス権限の即時削除機能
- バックアップ・障害時のデータ保全方法
ツールの営業担当に上記の確認事項を問い合わせたとき、回答に時間がかかりすぎるか、曖昧な回答が返ってくるようなら、それ自体がセキュリティ管理体制の成熟度を測る指標になる。回答の速さと明確さは、ツール選定の判断材料の一つだと思う。
ツール間の比較でわかったこと
複数のツールを調べていて気づいたのは、クラウド型とオンプレミス型では「セキュリティ」の定義が微妙にずれているという点だ。クラウド型はサービス提供側が責任を持ってセキュリティを維持・更新してくれる。脆弱性が発見されれば迅速にパッチが当たる。
一方、オンプレミスは自社環境内で完結する代わりに、運用・保守は自社が担う。SecureMemoのようなオンプレミスツールを選んだ場合でも、サーバーのOS更新やネットワーク設定の維持コストがかかる。「外に出さないから安全」という理解は正しいが、「導入したら終わり」ではない。
| ツール | 形態 | 主な認証 | 国内保管 | AI学習停止 |
|---|---|---|---|---|
| Notta | クラウド | ISO27001:2022・SOC2 Type2 | 要確認 | Enterprise可 |
| Rimo Voice | クラウド | — | 国内 | 要確認 |
| Otolio | クラウド | — | 要確認 | 学習なし(特許) |
| SecureMemo | オンプレミス | — | 社内完結 | 送信なし |
※ 2026年4月時点の情報。「要確認」は各社の規約・DPAで直接確認が必要。
上記の表はあくまで概要で、「—」の欄は未取得ではなく確認できなかったことを示している。最終判断の前に必ず各社の公式ページや問い合わせで確認してほしい。
コスパで選ぶなら Notta が現実的な出発点
機密情報を含まない社内MTGや勉強会、採用面接などの文字起こしなら、セキュリティ認証を持ちながら無料プランから試せるNottaが現実的な選択肢だ。
ISO27001:2022取得、SOC2 Type2取得、エンタープライズプランではAI学習へのデータ提供を停止可能——この3点を満たしつつ、無料プランで現場に普及させてから段階的に有料移行できるツールは、2026年4月時点でNottaが最もハードルが低いと思う。情報システム部門への説明資料としてセキュリティに関する書類への記入対応もある点も、企業導入では地味に重要だ。
なお、NottaとOtolioの機能・精度・使い勝手の詳しい比較はNotta vs Otolio 議事録ツール比較でまとめている。セキュリティ要件の確認と並行して参照してほしい。