戻る

情報セキュリティ基本方針

第1条(目的)

  1. 当社は、事業活動において取り扱う情報資産(顧客情報、取引情報、業務データ、システム設定情報、ソースコード等)について、機密性・完全性・可用性(以下「CIA」という)を確保し、適切に保護することを目的とします。
  2. 当社は、法令、ガイドライン、契約および社会的要請を遵守し、情報セキュリティ管理を継続的に実施します。
  3. 企業情報の入力が想定されるAIエージェントサービスの提供にあたっては、生成AI特有のリスク(情報漏えい、プロンプトインジェクション、データ汚染、誤出力・誤誘導、権限逸脱等)を考慮した統制を整備します。

第2条(適用範囲)

  1. 本方針は、当社の役員、従業員、派遣社員等(以下「社員等」という)および当社が管理するすべての情報資産に適用されます。
  2. 本方針は、当社が提供するAIエージェントサービスにも適用されます。
  3. 当社は、業務を委託する第三者および再委託先に対し、本方針に準じた情報セキュリティ管理を求めます。

第3条(基本原則)

当社は、情報資産のCIAを確実に保護するため、組織的および技術的に適切な対策を講じ、情報技術の進展および新たな脅威に対応します。

第4条(ガバナンスおよび責任体制)

  1. 当社は、情報セキュリティに関する責任体制および権限を明確化します。
  2. 情報セキュリティ対策の実施に必要な人員、予算および時間等の資源を確保します。
  3. AIおよびクラウドの利用方針、委託先の選定、例外承認等の重要な意思決定は、定められた手続きに従い実施します。

第5条(リスクマネジメント)

  1. 当社は、情報セキュリティリスクを定期的に識別および評価します。
  2. 評価結果に基づき、優先順位を設定し、適切なリスク対応策を計画および実施します。
  3. 受容するリスクについては、その合理的根拠を明確にし、残余リスクを継続的に監視します。

第6条(法令・契約および規範の遵守)

  1. 当社は、個人情報保護法を含む関連法令、業界ガイドラインおよび契約上の要求事項を遵守します。
  2. 監査、照会および説明責任に対応できるよう、必要な記録を適切に保持します。

第7条(アクセス制御および最小権限)

  1. 情報資産へのアクセスは、業務上必要な範囲に限定します。
  2. 最小権限および職務分掌の原則に基づき、認証、認可、アカウント管理および特権IDの統制を行います。
  3. 退職、異動等に伴うアクセス権限の付与・変更・剥奪を適切に実施します。

第8条(技術的保護措置)

  1. 当社は、重要な情報を適切に暗号化し、安全な鍵管理を行います。
  2. ログを取得および保護し、改ざん耐性および追跡可能性(監査証跡)を確保します。
  3. 脆弱性情報を継続的に収集し、パッチ適用、設定管理および定期点検等により迅速に是正します。

第9条(AIエージェントサービスにおける情報保護)

  1. 当社は、AIエージェントサービスで取り扱う情報について、適切な保護措置を講じます。
  2. LLMに送信する情報については、必要に応じてマスキングまたはデータ最小化を実施します。
  3. ポリシー違反の入力・出力、機密情報の再出力、プロンプトインジェクション等を抑止するため、ガードレールを実装します。
  4. 外部LLMまたは外部サービスへのデータ提供条件(学習利用の可否、保持期間、所在、再委託等)を確認し、契約および設定により統制します。
  5. エージェントによるツール実行については、最小権限、承認および監査可能性を前提として設計します。
  6. 出力内容の誤りまたは不適切な結果による影響を考慮し、必要に応じて人手確認、根拠提示または自動化制限を行います。

第10条(外部委託先およびクラウドサービスの管理)

  1. 当社は、委託先の選定にあたり、情報セキュリティ水準を評価します。
  2. 契約において、責任分界、機密保持、再委託、事故報告および監査権限等を明確にします。
  3. クラウドサービス利用時は、設定不備、権限過大およびログ欠如等のリスクを考慮し、継続的な構成管理および点検を行います。

第11条(インシデント対応および事業継続)

  1. 情報漏えい、改ざんまたはサービス停止等のインシデントに備え、報告、封じ込め、復旧および再発防止の手順を整備します。
  2. 定期的な訓練および見直しを実施します。
  3. バックアップ、復旧手順および代替運用により、事業継続性を確保します。

第12条(教育および周知)

  1. 社員等に対して、情報セキュリティ教育を定期的に実施します。
  2. 本方針および関連規程の周知徹底を図り、情報セキュリティ意識の向上および維持に努めます。
  3. 生成AI利用に関する注意事項(入力禁止情報、共有可否、レビュー基準等)を明確化し、遵守させます。

第13条(目的・目標の設定および継続的改善)

当社は、情報セキュリティおよびAIエージェントサービスの安全性に関する目的および目標を設定し、定期的に評価・レビューを行い、継続的改善を実施します。

第14条(制定および改訂)

本方針は、法令、事業内容および脅威動向等の変化を踏まえ、必要に応じて改訂します。