研究・開発方針

SECURITY GOVERNANCE

Security & Governance

安全で見通しのよい開発を
わかりやすい言葉で

AIやマーケティングツールの開発・運用において、
お客様の情報をどう守り、どんな考え方で開発を進めているかをまとめています。

このページに書かれているのは「基本的な方針」です。実際のプロジェクトでは、お客様ごとの条件やルールに合わせて、具体的な進め方を決めます。

01

Principles当社の基本姿勢

お客様からの依頼案件でも、自社ツールの開発でも、
安全で見通しのよい運営を大切にしています。

判断のスピードと質

誰が、どんな根拠で決めたかを明確にする

リスクの予防

情報漏えい、ルール違反、品質トラブルを未然に防ぐ

説明できる状態

第三者から見ても、なぜそうしたかがわかる

伝わる言葉で説明する

専門用語に頼らず、お客様が自分で判断できる情報の出し方をする

なぜこれが大切なのか

  • お客様や関係者に対して、何をしているか・なぜそうしているかを説明できるようにするため
  • 担当者が変わっても同じ品質を保てる仕組みを整えるため
  • 万が一の問題が起きても、すぐに原因を特定して対応できる体制を保つため
  • 専門知識がなくても内容を理解でき、お客様自身が納得して判断できる状態をつくるため

法令やルールへの対応

  • プロジェクトごとに「どんなリスクがあるか」を事前に洗い出し、対策を決めます
  • 大きなリスクは設計の初期段階で確認し、見積もりや体制に反映します
  • トラブルは「起こりうるもの」として備え、発生時の対応手順をあらかじめ決めておきます

情報の守り方

  • パスワードや接続情報などの「鍵」にあたる情報は、漏えいの最大の原因として重点管理します
  • 外部サービスを使う場合は、「何のデータを」「どこに送るか」「誰がアクセスできるか」を明確にします
  • 必要に応じて、アクセス権限や記録の残し方、データの保管期間なども設計に組み込みます
  • お客様との間では秘密保持契約(NDA)を締結し、契約面でも情報を保護します

02

Development開発の進め方

何を大切にしているか

  • 「お金をかけた分、何がよくなったか」を説明できる状態をつくります
  • 「作って終わり」ではなく、使い続けられること・改善が回ることをゴールにします
  • 機能を増やすより先に、何を測るか・何をもって成功とするかを決めます

研究開発の循環

当社では、マーケティングに必要なプロダクトの開発から運用・改良までを自社で一貫して行っています。
以下の4つのステップが循環することで、使うほど分析の精度が上がる仕組みになっています。

プロダクトを
作る
安全な環境で
運用する
プロダクトを
改良する
データが
蓄積される

  • プロダクトを作る

    データ分析・検索流入の設計・AI記憶など、マーケティングの各領域で必要な仕組みを自社で開発しています。汎用ツールの導入ではなく、お客様の業務に合わせた専用の分析環境を構築します

  • 安全な環境で運用する

    お客様の機密データを社外に出さないAI分析環境で施策を実行します。データがインターネット上のサービスに送信されることはありません

  • データが蓄積され、AIが文脈を記憶する

    施策の結果やお客様との議論の経緯がデータとして蓄積されます。AIが過去の判断根拠を記憶しているため、担当者が変わっても分析の精度が落ちません

  • プロダクトを改良し、安全性を高める

    蓄積されたデータと運用実績をもとに、分析精度の向上とセキュリティの強化を繰り返します。使い続けるほど、提案の根拠が厚くなります

開発のルール

  • 小さく始めて、効果を確かめてから広げる

    いきなり大規模にせず段階的に進めます

  • あいまいなままにしない

    「何ができたら成功か」を最初に決めます

  • 将来のコストも考える

    作った後の運用・メンテナンスにかかる手間も見積もります

  • 安全対策は最初から

    後から付け足すのではなく、設計の段階から組み込みます

03

AI SafetyAIの使い方と安全対策

AIをどう使っているか(例)

  • 仕様や要件の整理(抜けや見落としがないかの確認)
  • 文書の整理(マニュアル、よくある質問、テンプレートの作成)
  • プログラム作成の補助(たたき台の作成、チェック観点の提示)

AIに渡さない情報

  • パスワードや接続キーなどの認証情報

    これらは「鍵」にあたるもので、漏れると不正アクセスにつながります

  • お客様の個人情報や機密情報の原文

    やむを得ず使う場合は、名前を伏せたり要約したりして、必要最小限に加工します

案件の性質上、例外が必要な場合は、必ず事前にお客様と合意のうえで取り扱います。

最終判断は必ず人が行う

  • AIが出した結果は下書きとして扱います
  • 契約に関わる文章、お客様への通知、合否の判定など、重要な判断は必ず人が確認してから確定します
  • 間違いが許されない場面では、「どこまでの精度が必要か」「例外をどう扱うか」を事前に決め、テストで確認します

04

Security情報セキュリティの全体像

何を守るのか

情報漏えいの防止

パスワードや機密情報が外部に出ないようにする

不正な操作への対策

悪意のある攻撃からシステムを守る

アクセスの管理

必要な人だけが、必要な範囲でデータにアクセスできるようにする

どのように守るのか

  • 重要な設計の判断は、複数の目で確認(レビュー)してから進めます
  • 本番環境に反映する前に、安全面のチェックを実施します
  • パスキー(FIDO)認証・二要素認証・生体認証を組み合わせた多層認証で不正ログインを防止します
  • 契約終了時には、お預かりしたデータを完全に破棄します
検知・報告 初動対応 影響調査 復旧・報告 再発防止

インシデント対応フロー(5段階)

開発時の具体的なルール(例)

  • パスワードや接続情報をプログラムに直接書かない(別の安全な場所で管理)
  • データベースへの問い合わせは、不正な命令が紛れ込まない安全な方法で行う
  • Webページに悪意のあるプログラムが埋め込まれないよう、表示内容を安全に処理する

セキュリティ対策

お客様の情報を守るために、日常業務で実施している対策の詳細はこちら

情報セキュリティ方針と自社診断

IPA「SECURITY ACTION」二つ星を宣言。情報セキュリティ基本方針と25項目の自己点検結果はこちら

05

AI PolicyAI開発で特に気をつけていること

送るデータは最小限に

  • 「何のデータを、どこに、何の目的で送るか」を書面で明確にします
  • 送る情報はできるだけ少なくし、必要に応じて名前を伏せたり要約したりします

外部サービスとの連携

  • 外部のAIサービスやクラウドサービスを使うかどうかは、プロジェクトの最初に決めます
  • 外部サービスに渡すデータの範囲、保存期間、削除方法、誰がアクセスできるかを確認します

AIの出力についての安全対策

  • 重要な情報を出力するときは、「なぜその結果になったか」の根拠もセットで提示します
  • AIに対して不正な指示が紛れ込むリスクに備え、入力内容にルールや制限を設けます
  • AIの出力をそのまま自動送信するのではなく、最初は人が確認してから送る運用を推奨します

AIの回答品質を担保する仕組み

  • 事実と推測の明示的な分離

    AIが回答する情報は「確認済みの事実」と「未確認の推測」に分類してから提示します。未確認の情報を事実として断定することを構造的に防止しています

  • 成果物の公開前検証

    お客様に納品するレポートや分析結果は、公開前に技術仕様・数値・出典の正確性を検査ツールで自動検証しています

  • 独立した第三者AIによる品質監査

    分析を担当したAIとは別のAIが、成果物の品質と整合性を第三者の視点で検証します。一方の判断に偏らない多角的な確認体制です

  • 全操作の監査記録

    AIが行った操作と判断は自動的に記録されています。問題が発生した場合の原因追跡と再発防止に活用します

06

Economic Security経済安全保障への対応

AI活用が進むなかで、重要な技術やノウハウが意図せず外部に流出するリスクが高まっています。
経済産業省のガイドラインを踏まえ、技術流出を防ぐための対策を講じています。

社内のガードレール

  • 従業員との秘密保持契約を徹底し、入退社時にも改めて周知します
  • AIへの入力NG例を定期的に更新し、座学ではなく実務に即した行動変容を促します
  • プロンプト設計・データ管理・運用ログの担当を分離し、全体を一人で把握できない仕組みにしています
  • 学習データ・社内ナレッジ・出力物へのアクセス権限を業務に必要な範囲に限定します

外部リスクへの対応

  • 製品名や部材名をコードネームに置き換え、AIへの入力時に推測の材料を排除します
  • 委託先が使うAI環境の管理状況・学習の有無・ログの保管場所を契約で管理します
  • 用途制限や禁止事項をレビュー手順に組み込み、目的外の利用を防止します

審査・契約体制

  • 現場の判断とは別に、客観的に停止・継続を判断できる審査体制を設けています
  • ログの所有権、再学習の禁止、再委託の制限、事故時の即時通知、監査権、データの所在を契約に明記します
  • 特定のモデルやプラットフォームに依存せず、常に乗り換え可能な状態を維持します

07

Checklistプロジェクト開始時に確認すること

「なんとなく進めて後から問題になる」ことが最大のリスクだと考えています。
プロジェクトの初期段階で以下のような点を確認します。

  • お客様の機密情報を外部のAIサービスに送ってよいか(社内ルール上の可否)
  • 「何ができたら成功か」が数字で定義されているか
  • 判定の条件や例外のルールが文書化されているか
  • AIがどこまで自動で行い、どこから人が確認するかの線引き
  • 運用開始後、誰がいつ更新や修正を行うかの取り決め

08

FAQよくある質問

AIに入力したデータは、AIの学習に使われますか?
プロジェクトの内容や使用するサービスの設定によります。当社では、AIに渡す情報を必要最小限に抑え、機密情報の取り扱いルールを定めたうえで運用しています。
外部のAIサービスを使わずに進めることはできますか?
要件によっては可能です。「どこまでを自社内で完結するか」「外部サービスを使うか」をプロジェクトの最初に話し合い、設計と見積もりに反映します。
安全性はどのように確認していますか?
「設計時の確認 → 専門的なレビュー → テスト → 本番前の最終チェック」という段階を踏んで、安全性を確保しています。一度のチェックで終わりにせず、複数の段階で確認する仕組みです。

09

Updatesこのページの更新について

  • このページは、当社の開発・運用の実態に合わせて随時更新します
  • 更新日を明記し、断定的な表現(「絶対に安全」など)は使いません

ご不明な点はお気軽にご相談ください

セキュリティやAI活用に関するご質問、
プロジェクトの進め方についてのご相談を受け付けています。

お問い合わせ →