Security
SECURITY
POLICY
セキュリティポリシー情報セキュリティ方針
株式会社ZeroBizAX(以下「当社」)は、AI導入支援、営業AI、業務AI、個人情報を扱う者として、お客様からお預かりする情報資産を適切に保護する責任があると考えています。本ポリシーは、当社の情報セキュリティに関する基本方針および運用ルールを定めるものです。
Basic Policy 基本方針
基本方針
当社は、AI SaaS、AX Solution、Webアプリケーション開発の各事業を通じてお客様の事業情報・個人情報を取り扱います。情報セキュリティを事業継続の前提と位置づけ、以下の方針を掲げます。
- 01
機密性・完全性・可用性の確保
お預かりする情報資産について、不正アクセス・漏えい・改ざん・滅失を防止する技術的・組織的対策を講じ、必要なときに必要な人だけが利用できる状態を維持します。
- 02
法令・契約・社会的要請の遵守
個人情報保護法、不正競争防止法、著作権法、特定商取引法、電気通信事業法等の関連法令、契約上の義務、業界ガイドラインを遵守します。
- 03
最小権限とゼロトラスト
すべてのアクセスを「信頼しないことを前提」に設計します。役割・職務に応じた最小権限を付与し、認証・認可を多層で検証します。
- 04
継続的改善
リスク評価・脆弱性監視・運用レビューを継続し、技術環境・脅威動向の変化に応じてセキュリティ対策を改善し続けます。
Asset Management 情報資産の管理
情報資産の管理
当社は、クラウド基盤上に構築するシステムを前提に、暗号化・アクセス管理・監査ログを徹底します。
- 01
クラウドインフラ
VercelおよびNeon等の信頼できるクラウドサービスを基盤とし、提供事業者のセキュリティ認証(SOC 2等)を確認したうえで利用します。本番環境と検証環境は明確に分離します。
- 02
暗号化
通信はすべてTLSで暗号化し、保存データはクラウド事業者の標準機能による暗号化(at-rest encryption)を有効化します。アプリケーション層で機密性が必要な項目は追加の暗号化を施します。
- 03
アクセス管理
管理者権限は最小限の人員に限定し、必要に応じて多要素認証を必須とします。SSO・パスワードポリシー・退職者の即時アクセス停止を運用ルールに含めます。
- 04
監査ログ
本番環境への管理アクセス、データベース操作、認証イベント、AI機能利用ログなどを記録し、不審な挙動の検知・事後調査に活用します。ログは改ざん防止された領域に保管します。
AI Operation AI運用方針
AI運用方針
当社の事業はAIの利用を前提としますが、AIの出力をそのまま判断に使うことはありません。最終判断は必ず人が行う設計を前提に、生成AIの特性を踏まえた運用ルールを定めます。
- 01
最終判断は人
契約締結、営業判断、業務改善判断など、権利義務や事業運営に重要な影響を及ぼす意思決定の最終判断は、必ず人間が行います。AIは候補の提示、要約、確認支援にとどめます。
- 02
ハルシネーション対策
生成AIの出力には事実と異なる情報(hallucination)が含まれうることを前提とし、根拠の明示、出典のリンク、人による検証ステップを業務フローに組み込みます。
- 03
重要意思決定領域での慎重適用
契約、営業、業務運用、個人情報の取扱いに関わる意思決定領域では、適用前にユースケースごとのリスク評価を実施し、適用範囲・禁止用途・人による確認義務を明文化します。
- 04
学習目的への利用制限
AIプロバイダのAPI利用に際しては、APIで送信したデータがモデルのトレーニングに使われない契約・設定を選択します。プロバイダのデータポリシー変更は監視し、変更時はお客様に通知します。
- 05
プロンプトインジェクション対策
ユーザー入力と外部取得情報を信頼できない入力として扱い、システムプロンプトとの分離、検証、出力スキーマ強制、機微な操作前の人間承認などの対策を行います。
Vendors 第三者提供・委託先管理
第三者提供・委託先管理
当社は、サービス提供に必要な範囲で外部のクラウドサービスを利用します。委託先の選定にあたっては、セキュリティ認証、運用実績、データ取扱方針を評価したうえで採用します。
- Vercel, Inc.(米国)
- ホスティング、エッジネットワーク、アクセス解析。SOC 2取得。データ処理契約(DPA)を締結。
- Neon, Inc.(米国)
- マネージドPostgreSQL。保存データの暗号化およびポイントインタイムリカバリを利用。
- Anthropic, PBC / OpenAI, LLC(米国)
- AIモデル提供。APIで送信したデータがモデル学習に使われない契約・設定を採用。
- Resend, Inc.(米国)
- トランザクションメール配信。SPF・DKIM・DMARCを設定。
- Google Workspace(Google Cloud Japan G.K.)
- 業務基盤・メール・ファイル共有。組織アカウントは多要素認証必須。
- 監督
- いずれの委託先とも、データ処理契約(DPA)または同等の契約を締結し、安全管理状況を定期的に確認します。
Incident インシデント対応
インシデント対応
情報漏えい、システム障害、不正アクセス等のインシデントに備え、検知・対応・通知の手順を定めます。
- 01
検知と一次対応
監査ログ・モニタリング・お客様からの通報により事象を検知し、速やかに影響範囲の隔離、被害拡大の防止、証跡の保全を行います。
- 02
原因分析と恒久対策
事象発生後は根本原因分析(RCA)を実施し、技術的・運用的な恒久対策を立案・実装します。同様事象の再発防止策をプレイブックに反映します。
- 03
関係当局・本人への通知
個人情報保護法第26条に基づき、個人情報保護委員会への報告および本人への通知を要する事案については、速やかに対応します。お客様事業に影響する事象は、契約上の通知義務に従い連絡します。
- 04
事業継続
バックアップ、リストア手順、フェイルオーバー、災害復旧計画を整備し、重要業務の継続性を確保します。
Certification 認証ロードマップ
認証ロードマップ
当社は事業成長に応じて、第三者認証の取得を計画しています。設立直後は内部統制の整備を優先し、その後、SOC 2およびISO/IEC 27001(ISMS)の取得を順次進めます。
- 2026年
- 社内セキュリティ規程の整備、運用記録の蓄積、リスクアセスメントの実施。委託先評価プロセスの整備。
- 2027年
- SOC 2 Type I取得を目標とした準備。アクセス管理・監査ログ・脆弱性管理プロセスの自動化。
- 2028年以降
- SOC 2 Type II維持、ISO/IEC 27001(ISMS)取得を計画。事業領域に応じてプライバシーマーク等の追加取得を検討。
Contact お問い合わせ
お問い合わせ
本ポリシーに関するご質問、脆弱性報告、インシデント通報はhello@zerobizax.comまでご連絡ください。脆弱性報告については、調査・対応中の情報の公開はお控えいただくようご協力をお願いいたします。
最終更新日: 2026年5月7日