情報セキュリティ方針

合同会社Optiens(以下「当社」)は、AI活用支援および室内IoT水耕栽培システムの開発・実証を通じてお客様の事業に関わる中で、お客様および関係者の情報資産を守ることが事業継続の前提であると認識しています。 当社は、情報資産を適切に保護し、お客様の信頼に応えるため、以下のとおり情報セキュリティ方針を定め、責任を持って実践します。

1. 基本方針

当社は、AI活用支援を主軸とする事業特性を踏まえ、機密性・完全性・可用性の三要素を中心とする情報セキュリティ管理を継続的に実施します。 生成AIおよび各種クラウドサービスを業務で活用する一方、入力データ・出力結果・認証情報・アクセス権限の取り扱いに注意を払い、お客様の情報資産が意図せず学習・拡散・漏えいされるリスクを低減する運用設計を行います。

2. 適用範囲

  • 当社が事業活動の中で取り扱うすべての情報資産(電子データ・書面・口頭による情報を含む)
  • 当社の役員・従業員・業務委託先
  • 当社が利用するすべての情報システム・クラウドサービス・外部API
  • 当社の事業所・在宅勤務環境を含む執務空間

3. 経営者の関与と管理体制

代表社員を情報セキュリティの最高責任者とし、情報セキュリティに関わる方針決定、リスク評価、是正措置を責任を持って実施します。 重大なインシデントが発生した場合は代表社員が指揮を執り、影響を受けるお客様および関係機関への速やかな連絡と対応を行います。

4. 法令およびガイドラインの遵守

  • 個人情報の保護に関する法律およびその関連ガイドライン
  • 不正アクセス禁止法、不正競争防止法、著作権法等の関連法令
  • 総務省・経済産業省「AI事業者ガイドライン」
  • 独立行政法人情報処理推進機構(IPA)「中小企業の情報セキュリティ対策ガイドライン」
  • お客様との契約上の守秘義務およびセキュリティ要件

当社は IPA「SECURITY ACTION 一つ星」を宣言し、中小企業の情報セキュリティ対策ガイドラインに沿った基本対策を実践しています。

4-1. AI事業者ガイドラインへの整合性

総務省・経済産業省「AI事業者ガイドライン」の共通の指針を参考に、当社の事業で特に関係の深い観点について、以下のとおり運用に反映します。

  • 透明性:AIが生成した内容を利用・公開する場合は、必要に応じてAI生成である旨、確認範囲、参照元を示します。
  • 人間中心・安全性:重要な判断をAI単独で完結させず、用途とリスクに応じて人が確認する体制を取ります。
  • プライバシー保護:個人情報や機密情報は必要最小限の範囲で扱い、必要に応じて匿名化・マスキング・抽象化を行います。
  • セキュリティ確保:案件の内容とリスクに応じて、認証・暗号化・ログ取得・アクセス制御を設計に組み込みます。
  • 公平性:AIの出力品質や偏りは、用途に応じて確認し、重要な判断に利用する場合は慎重に扱います。
  • アカウンタビリティ:責任分担やインシデント時の連絡方法は、必要に応じて契約書・利用規約等で定めます。

5. 情報資産の管理

  • 機密度に応じて情報資産を分類し、保管・受け渡し・廃棄の方法を定めて運用します。
  • 業務端末は OS・アプリケーションのアップデートを継続的に適用し、エンドポイント保護を有効化します。
  • パスワードは推測困難なものを設定し、可能な範囲で多要素認証を有効化します。
  • 業務端末の盗難・紛失に備え、ストレージの暗号化・遠隔ロック・遠隔ワイプを可能な範囲で構成します。
  • 不要となった情報・媒体は復元困難な方法で確実に廃棄します。

6. AIおよび外部クラウドサービスの利用

  • 業務利用する生成AI・クラウドサービスは、入力データの学習利用ポリシー、データ保管リージョン、契約条件を事前に確認したうえで採用します。
  • API等の認証情報は環境変数およびシークレット管理機構で管理し、ソースコード・チャット・メール等への直接記載を禁止します。
  • お客様の機密情報を生成AIに入力する場合は、契約および利用規約上の取り扱いを事前に確認し、必要に応じて匿名化・抽象化を行います。
  • AIが生成した提案・成果物は、用途とリスクに応じて自動品質ゲートまたは人による確認を経て納品・公開します。

6-1. 認証情報の具体的な管理方法

上記の「環境変数およびシークレット管理機構」とは、以下のような仕組みを指します。

  • ローカル開発環境:プロジェクト内の .env ファイルに OPENAI_API_KEY=sk-... の形式で記載し、.gitignore で Git 管理対象外とする運用。リポジトリにはダミー値の .env.example のみを公開し、実値は各端末ローカルで保持します。
  • 本番ホスティング環境:VercelのEnvironment Variables、Cloudflare Workers Secrets等、環境に応じたシークレット管理機能を利用します。
  • サーバレス関数・バックエンド:Supabase Edge Function Secrets(supabase secrets set コマンド)等のクラウド側シークレット機構に登録します。
  • CI/CD パイプライン:GitHub Actions 等の Repository Secrets に登録し、ワークフロー内では参照のみ可能(ログ出力時はマスキング)とします。
  • 禁止行為:ソースコードへの直接記載、Git へのコミット、チャットツール(Slack 等)・メール・スクリーンショット・AI 支援ツールへの貼り付けによる共有を禁止します。

APIキーやクラウド権限の不適切な管理は、不正利用や想定外の費用発生につながる可能性があります。当社では上記の運用により、同種のリスク低減に取り組みます。

7. アクセス制御

  • 情報資産およびシステムへのアクセス権は、業務上必要な最小限の範囲に限定します。
  • 業務委託の終了時および役職・担当変更時に、速やかに権限の見直しを行います。
  • 共有アカウントの利用は原則として行わず、利用者ごとにアカウントを発行します。

8. 従業者の教育・啓発

役員・従業員・業務委託先に対し、情報セキュリティ方針および関連ルールを周知し、理解を促す機会を継続的に設けます。 生成AI利用時の注意点、フィッシング・標的型攻撃への対処、機密情報の取り扱いを含め、業務の変化に応じて内容を更新します。

9. 委託先・取引先の管理

業務の一部を外部に委託する場合は、当該委託先の情報セキュリティ水準を事前に確認し、必要に応じて秘密保持契約を締結したうえで適切に管理・監督します。

10. インシデント対応

  • 情報漏えい・不正アクセス・サービス停止等の事象を認知した場合、速やかに事実確認・影響範囲の特定・暫定対処を行います。
  • 影響を受けるお客様・関係者・所管官庁等への連絡を、関連法令およびガイドラインに従い適時に実施します。
  • 再発防止のための原因分析・是正措置を講じ、必要に応じて方針および運用ルールを見直します。

11. 事業継続

当社が提供するサービスは、お客様の業務に関わる情報を扱うため、必要に応じてデータのバックアップおよびシステム冗長化に配慮した運用設計を行います。 重大な事象が発生した場合は、お客様への影響を最小化することを最優先に行動します。

12. 継続的改善

技術・脅威・法令・事業環境の変化に応じて、情報セキュリティ方針および運用ルールを定期的に見直し、改善を継続します。 AI関連の技術および規制は変化が速いため、当社は社内および業界の動向を継続的に把握し、運用に反映します。

13. お問い合わせ

本方針および当社の情報セキュリティに関するお問い合わせは、お問い合わせフォームよりご連絡ください。

制定日: 2026 年 4 月 6 日
最終更新日: 2026 年 5 月 20 日
合同会社 Optiens 代表社員