情報セキュリティ方針

合同会社Optiens(以下「当社」)は、AI 活用支援および室内 IoT 水耕栽培システムの開発・実証を通じてお客様の事業に関わるなかで、お客様および関係者の情報資産を守ることが事業継続の前提であると認識しています。 当社は、情報資産を適切に保護し、お客様の信頼に応えるため、以下のとおり情報セキュリティ方針を定め、全社で実践します。

1. 基本方針

当社は、AI 活用支援を主軸とする事業特性を踏まえ、機密性・完全性・可用性の三要素を中心とする情報セキュリティ管理を継続的に実施します。 生成 AI および各種クラウドサービスを業務で積極的に活用する一方、入力データ・出力結果・認証情報・アクセス権限の取り扱いに細心の注意を払い、お客様の情報資産が意図せず学習・拡散・漏洩されることのないよう運用設計を行います。

2. 適用範囲

  • 当社が事業活動の中で取り扱うすべての情報資産(電子データ・書面・口頭による情報を含む)
  • 当社の役員・従業員・業務委託先
  • 当社が利用するすべての情報システム・クラウドサービス・外部 API
  • 当社の事業所・在宅勤務環境を含む執務空間

3. 経営者の関与と管理体制

代表社員を情報セキュリティの最高責任者とし、情報セキュリティに関わる方針決定、リスク評価、是正措置を組織的に実施します。 重大なインシデントが発生した場合は代表社員が指揮を執り、影響を受けるお客様および関係機関への速やかな連絡と対応を行います。

4. 法令およびガイドラインの遵守

  • 個人情報の保護に関する法律およびその関連ガイドライン
  • 不正アクセス禁止法、不正競争防止法、著作権法等の関連法令
  • 経済産業省・総務省「AI 事業者ガイドライン」
  • 独立行政法人情報処理推進機構(IPA)「中小企業の情報セキュリティ対策ガイドライン」
  • お客様との契約上の守秘義務およびセキュリティ要件

当社は IPA「SECURITY ACTION 一つ星」を宣言し、中小企業の情報セキュリティ対策ガイドラインに沿った基本対策を実践しています。

4-1. AI 事業者ガイドラインへの整合性

経済産業省・総務省「AI 事業者ガイドライン」が定める主要 6 観点について、当社は以下のとおり整合的な運用を行っています。

  • 透明性の確保:生成物に AI 生成である旨を明示し、出典・引用を可能な限り記載します。
  • 人間中心の判断:最終判断は人間が行う体制を維持し、重要な判断を AI 単独で完結させません(Human in the Loop)。
  • プライバシー保護:個人情報は必要に応じて匿名化・マスキングを行い、学習データへの送信を制御します。
  • セキュリティの確保:認証・暗号化・監査ログを標準実装し、アクセス制御を徹底します。
  • 公平性:出力品質を継続的に評価し、バイアス検証を定期実施します。
  • アカウンタビリティ:責任分担を契約書に明記し、インシデント時の連絡フローを整備します。

5. 情報資産の管理

  • 機密度に応じて情報資産を分類し、保管・受け渡し・廃棄の方法を定めて運用します。
  • 業務端末は OS・アプリケーションのアップデートを継続的に適用し、エンドポイント保護を有効化します。
  • パスワードは推測困難なものを設定し、可能な範囲で多要素認証を有効化します。
  • 業務端末の盗難・紛失に備え、ストレージの暗号化・遠隔ロック・遠隔ワイプを可能な範囲で構成します。
  • 不要となった情報・媒体は復元困難な方法で確実に廃棄します。

6. AI および外部クラウドサービスの利用

  • 業務利用する生成 AI・クラウドサービスは、入力データの学習利用ポリシー、データ保管リージョン、契約条件を事前に確認したうえで採用します。
  • API 等の認証情報は環境変数およびシークレット管理機構で管理し、ソースコード・チャット・メール等への直接記載を禁止します。
  • お客様の機密情報を生成 AI に入力する場合は、契約および利用規約上の取り扱いを事前に確認し、必要に応じて匿名化・抽象化を行います。
  • AI が生成した提案・成果物は、人による確認(Human in the Loop)を経て納品・公開します。

6-1. 認証情報の具体的な管理方法

上記の「環境変数およびシークレット管理機構」とは、以下のような仕組みを指します。

  • ローカル開発環境:プロジェクト内の .env ファイルに OPENAI_API_KEY=sk-... の形式で記載し、.gitignore で Git 管理対象外とする運用。リポジトリにはダミー値の .env.example のみを公開し、実値は各端末ローカルで保持します。
  • 本番ホスティング環境:Vercel・Cloudflare 等のホスティングサービスが提供する Environment Variables 機能(暗号化保管・ビルド時注入)を利用します。
  • サーバレス関数・バックエンド:Supabase Edge Function Secrets(supabase secrets set コマンド)等のクラウド側シークレット機構に登録します。
  • CI/CD パイプライン:GitHub Actions 等の Repository Secrets に登録し、ワークフロー内では参照のみ可能(ログ出力時はマスキング)とします。
  • 禁止行為:ソースコードへの直接記載、Git へのコミット、チャットツール(Slack 等)・メール・スクリーンショット・AI 支援ツールへの貼り付けによる共有を禁止します。

過去に Firebase API キーの漏洩により高額な不正利用が発生した事例も報じられており、当社では上記運用を徹底することで同種のリスクを抑制しています。

7. アクセス制御

  • 情報資産およびシステムへのアクセス権は、業務上必要な最小限の範囲に限定します。
  • 業務委託の終了時および役職・担当変更時に、速やかに権限の見直しを行います。
  • 共有アカウントの利用は原則として行わず、利用者ごとにアカウントを発行します。

8. 従業者の教育・啓発

役員・従業員・業務委託先に対し、情報セキュリティ方針および関連ルールを周知し、理解を促す機会を継続的に設けます。 生成 AI 利用時の注意点、フィッシング・標的型攻撃への対処、機密情報の取り扱いを含め、業務の変化に応じて内容を更新します。

9. 委託先・取引先の管理

業務の一部を外部に委託する場合は、当該委託先の情報セキュリティ水準を事前に確認し、必要に応じて秘密保持契約を締結したうえで適切に管理・監督します。

10. インシデント対応

  • 情報漏洩・不正アクセス・サービス停止等の事象を認知した場合、速やかに事実確認・影響範囲の特定・暫定対処を行います。
  • 影響を受けるお客様・関係者・所管官庁等への連絡を、関連法令およびガイドラインに従い適時に実施します。
  • 再発防止のための原因分析・是正措置を講じ、必要に応じて方針および運用ルールを見直します。

11. 事業継続

当社が提供するサービスは、お客様の業務に関わる情報を扱うため、可能な限り継続的に提供できるよう、データのバックアップおよびシステム冗長化に配慮した運用設計を行います。 重大な事象が発生した場合は、お客様への影響を最小化することを最優先に行動します。

12. 継続的改善

技術・脅威・法令・事業環境の変化に応じて、情報セキュリティ方針および運用ルールを定期的に見直し、改善を継続します。 AI 関連の技術および規制は変化が速いため、当社は社内および業界の動向を継続的に把握し、運用に反映します。

13. お問い合わせ

本方針および当社の情報セキュリティに関するお問い合わせは、お問い合わせフォームよりご連絡ください。

制定日: 2026 年 4 月 6 日
最終更新日: 2026 年 5 月 8 日
合同会社 Optiens 代表社員