Security Policy

情報セキュリティ方針

Last updated: 2024-10-01

株式会社BeyondBrain(以下「当社」)は、AIエージェントシステムの開発・提供を行う企業として、お客様の情報資産を守ることを最重要課題と位置づけ、以下の情報セキュリティ方針を定めます。

1. 基本方針

当社は、情報セキュリティの確保が事業活動の基盤であることを認識し、お客様、取引先、従業員等の情報資産を適切に保護するため、情報セキュリティマネジメント体制を確立・維持し、継続的な改善に努めます。

当社のセキュリティに対するコミットメント

  • お客様のデータは、当社のAIモデルの学習に一切使用しません。
  • ゼロリテンション(データ非保持)アーキテクチャを採用しています。
  • 厳格なテナント分離により、データの相互アクセスを防止します。
  • すべての通信は暗号化され、保存データもAES-256で暗号化します。

2. 適用範囲

本方針は、以下に適用されます。

  • 当社の全ての事業活動及びサービス(Fifthkeys及び今後提供するすべてのプロダクトを含む)
  • 当社が取り扱う全ての情報資産(電子データ、紙文書、口頭情報を含む)
  • 当社の全ての役員、従業員、契約社員、業務委託先
  • 当社が利用する全ての情報システム及びネットワーク

3. 情報セキュリティの目的

当社は、情報セキュリティの3要素(CIA)を確保することを目的とします。

  1. 機密性(Confidentiality):許可された者のみが情報にアクセスできるようにすること
  2. 完全性(Integrity):情報及びその処理方法が正確かつ完全であることを保護すること
  3. 可用性(Availability):許可された利用者が必要な時に情報及び関連する資産にアクセスできるようにすること

4. 管理体制

  1. 代表取締役を情報セキュリティの最高責任者とします。
  2. 情報セキュリティに関する責任者を設置し、セキュリティ施策の策定・実施・監視を行います。
  3. 情報セキュリティに関する規程・手順書を整備し、全従業者に周知徹底します。

5. セキュリティ対策

5.1 アクセス制御

  • 最小権限の原則に基づくアクセス権限の管理
  • 多要素認証(MFA)の導入
  • 定期的なアクセス権限の見直し
  • 特権アカウントの厳格な管理及び監視

5.2 データ保護

  • 通信の暗号化(TLS 1.3)
  • 保存データの暗号化(AES-256)
  • データのバックアップ及び復旧手順の整備
  • テナント間の厳格なデータ分離
  • ゼロリテンションポリシーの適用

5.3 ネットワークセキュリティ

  • ファイアウォールによるネットワーク保護
  • 侵入検知・防止システム(IDS/IPS)の導入
  • ネットワークの監視及びログの記録
  • 定期的な脆弱性診断及びペネトレーションテストの実施

5.4 アプリケーションセキュリティ

  • セキュアコーディングガイドラインの遵守
  • コードレビュー及びセキュリティテストの実施
  • 依存ライブラリの脆弱性監視及び適時のアップデート
  • OWASP Top 10に基づくセキュリティ対策

5.5 物理的セキュリティ

  • クラウドインフラストラクチャの利用(ISO 27001認証取得済みデータセンター)
  • リモートワーク環境におけるセキュリティガイドラインの整備
  • 端末機器の暗号化及びリモートワイプ機能の導入

6. AIシステム固有のセキュリティ対策

当社はAIシステムの開発・提供企業として、以下の特有のセキュリティ対策を実施します。

  1. データ分離:お客様のデータは完全に分離された環境で処理され、他のお客様のデータとは一切混在しません。
  2. モデル学習への不使用:お客様のデータは、当社のAIモデルの学習・改善のために使用されることはありません。
  3. AIの透明性:AIエージェントの出力に対して、ヒューマン・イン・ザ・ループ(人間による確認・承認プロセス)を実装します。
  4. プロンプトインジェクション対策:AIシステムへの悪意ある入力(プロンプトインジェクション攻撃)に対する防御措置を講じます。
  5. 出力監視:AIの出力を監視し、不適切なコンテンツや誤った情報の生成を検知・防止します。

7. セキュリティインシデント対応

  1. セキュリティインシデントが発生した場合、又はその疑いがある場合、速やかに調査・対応を行います。
  2. インシデントの影響範囲を特定し、被害の拡大を防止するための措置を講じます。
  3. 影響を受けるお客様に対し、速やかに通知を行います。
  4. 法令に基づき、必要に応じて監督官庁への報告を行います。
  5. インシデントの原因を分析し、再発防止策を策定・実施します。

8. 従業員教育

  1. 全従業者に対し、情報セキュリティに関する教育・研修を定期的に実施します。
  2. 新入社員に対しては、入社時に情報セキュリティに関する教育を実施します。
  3. セキュリティ意識向上のための啓蒙活動を継続的に行います。
  4. セキュリティ違反が発生した場合の対応手順について周知徹底します。

9. 監査及び見直し

  1. 情報セキュリティの実施状況について、定期的な内部監査を実施します。
  2. 監査結果に基づき、セキュリティ対策の見直し・改善を行います。
  3. 法令、社会環境、技術の変化に応じて、本方針及び関連規程を見直します。

10. 法令等の遵守

当社は、以下の法令及び基準を遵守します。

  • 個人情報の保護に関する法律(個人情報保護法 / APPI)
  • 不正アクセス行為の禁止等に関する法律
  • 電気通信事業法
  • ISO/IEC 27001(情報セキュリティマネジメントシステム)準拠を目指した運用
  • その他関連する法令、ガイドライン及び業界基準

11. お問い合わせ

情報セキュリティに関するお問い合わせ及びセキュリティインシデントの報告は、下記までご連絡ください。

株式会社BeyondBrain セキュリティ窓口

所在地:東京都渋谷区

代表者:代表取締役 冨田英志

メール:security@beyondbrain.co.jp

制定日:2024年10月1日

株式会社BeyondBrain
代表取締役 冨田英志