AW-Techのロゴ AW-Tech

情報セキュリティ基本方針

Access W Technology Co., Ltd.(AW-Tech)は、AI開発・Web開発を支える情報資産を守るため、以下の基本方針に沿って組織的かつ継続的にセキュリティ対策を推進します。

最終更新日:2025年10月1日

1. 適用範囲

本方針は、当社が提供するAIモデル開発、Webシステム構築、運用保守、データ分析、受託開発、並びにこれらを支える社内インフラやクラウド環境に保管・処理されるすべての情報資産に適用します。役職員、契約社員、業務委託、派遣スタッフ、協力会社など、当社が管理する情報へアクセスするすべての者は本方針を遵守しなければなりません。

2. 基本理念

情報セキュリティは、機密性(許可された人だけが情報を見られる状態)、完全性(情報が改ざんされていない状態)、可用性(必要なときに利用できる状態)を維持することが重要です。当社は経営層がリーダーシップを取り、リスクに応じた対策を継続的に実施することで、お客様の信頼を守り、社会的責任を果たします。

3. 情報セキュリティ管理体制

当社は最高情報セキュリティ責任者(CISO)を任命し、その下にCSIRTおよびSOC相当機能を設置します(不在時は代行者が職務を遂行)。CISO/CSIRTは担当部署のヒアリング結果を踏まえ、主要クラウドの監視・アラート対応を業務手順に基づき継続的に改善します(個別SLAがある場合はSLAを優先)。

プロジェクト単位では、プロジェクトマネージャーが情報資産管理責任者を兼務し、アクセス権限レビュー、開発環境のバージョン管理、利用ライブラリの脆弱性確認を月次で実施します。重大なリスクが判明した場合は経営会議にエスカレーションし、改善計画を承認の上で実行します。

4. 情報資産の分類と取り扱い

情報資産は機密性に応じて「極秘」「社外秘」「社内限定」「公開」の4区分に分類し、分類結果をドキュメント管理システムやソースコードリポジトリに明記します。極秘および社外秘に該当する設計図、AI学習用データ、顧客提供の原稿データは、暗号化ストレージに保管し、ダウンロードや複製にはCISOの承認を必要とします。廃棄時は復元不可能な方式で消去し、証跡を保管します。

5. アクセス管理

  • アクセス権限は最小権限の原則に基づき、入退社・異動時に即時更新します。クラウドサービスではシングルサインオン(SSO)と多要素認証(MFA)を必須化し、定期的に利用状況をレビューします。

6. 安全な開発・運用プロセス

  • AIモデル開発では、学習データに含まれる個人情報を疑似匿名化し、利用目的外での再利用を禁止します。モデルの挙動については、差別的な出力やリークがないかの検証をリリース前に実施します。
  • Webアプリケーションはセキュアコーディング規約に従い、GitHub Actionsによる静的解析と依存ライブラリの脆弱性スキャンを自動実行します。重大変更またはリスク評価の結果に応じ、第三者によるペネトレーションテストを実施します。

7. 事業継続・災害対策

重要データはクラウドオブジェクトストレージと別地域のバックアップボールトに複製し、平日は6時間ごとの増分バックアップ、週次で完全バックアップを取得します。これらはシステム構成や契約内容に応じて調整する目安であり、保証値ではなく標準的な運用方針です。取得済みデータは改ざん防止機能を有効化し、3-2-1ルール(3つのコピーを2種類の媒体で保持し、1つは別拠点に保管)に沿って保護します。

  • RPOは2025年9月時点の目標値として最大4時間を目安に設定し、システム構成や契約内容に応じて調整する目安であることを明示した上で、平常時はデータベースとファイルストレージの最新差分を維持できるように運用します(保証値ではなく目標値)。
  • RTOは2025年9月時点で主要サービス6時間以内を目標値とし、システム構成や契約内容に応じて調整する目安であることを前提に、IaCテンプレートと自動デプロイで迅速に環境を再構築できるよう体制を整えます(保証値ではなく目標値)。

本ページの数値は一般方針の目安であり、保証値(SLA)ではありません。個別契約やSLAに異なる定めがある場合はそちらを優先します。上記の目標値および運用手順は、2025年9月時点で運用部門と合意した内容を基に継続的に改善する方針で、定期レビューで見直します。

災害時の報告手順と連絡先は災害時の連絡フローをご確認ください。

8. 教育・訓練と監査

全従業員は入社時と年1回の情報セキュリティ研修を受講し、AI倫理、個人情報保護、クラウド利用ルール、フィッシング対策などの理解を深めます。CISOによる擬似フィッシング演習や開発チーム向けの脆弱性診断ワークショップを実施し、理解度テストで習熟度を可視化します。

9. インシデント対応

インシデントが発生した場合、社員は速やかにCISOへ報告し初動対応を行います。ログの保全、影響範囲の特定、暫定対策の実施、関係者への連絡を定義した手順書に基づき対応します。

重大な個人情報漏えい等が判明した場合、当社は事実確認後、法令および契約に従い、遅滞なく関係先へ通知します。顧客向けには専用窓口を設け、状況説明、二次被害防止、補償手続きなどを支援します。

10. 委託先・パートナー管理

クラウドインフラ、データ分析、カスタマーサポートなどを委託する際は、セキュリティ評価シートと契約書で守るべき要件を確認し、機密保持契約(NDA)と個人データ処理契約(DPA)を締結します。年1回の評価で、脆弱性情報の共有、インシデント報告手順、バックアップ体制の有無を確認し、基準を満たさない委託先には改善を求めます。

11. 継続的改善と見直し

本方針と関連する規程・手順は、法令改正、国際標準(ISO/IEC 27001など)、業界ガイドライン、顧客要請、技術トレンドを踏まえて定期的に見直し、改善します。インシデント後の振り返りや監査指摘は、是正措置と予防措置に落とし込み、全社で共有します。

12. お問い合わせ窓口

情報セキュリティに関するご質問、脆弱性のご報告、インシデントの通報は以下の窓口までお寄せください。緊急案件の場合は件名の冒頭に【緊急】とご記載ください。

  • 対応時間:平日 10:00〜18:00(ベトナム時間)時間外は受付のみ行い、初動は翌営業日以降となる場合があります。
  • 重大事故は契約済みのSLA/緊急対応合意に従い、時間外でもエスカレーションを行います。

※時間外対応は外部委託窓口を含むSLAに準拠し、状況に応じて当社CISOがフォローアップします。

災害時の連絡フロー

  1. 重大障害や災害を検知した場合は、[email protected] へ最優先でご連絡ください。
  2. CISOは受領後、可能な限り迅速に影響範囲を評価し、経営層と復旧担当チームへ速やかなエスカレーションを目指します。状況共有は合理的な頻度で実施します(重大性・影響範囲・関係当局/契約上の要件に応じ調整)。
  3. CISOはRTO達成に向けた復旧作業を指揮し、必要に応じてご担当者様の代替連絡先や二次被害防止策を確認します。復旧完了後は総括報告書を共有します。