研究・開発方針

SECURITY GOVERNANCE

ユニバーサルマーケティングは、AI やマーケティングツールの開発・導入支援を行っています。

AIの活用が広がるにつれ、「情報が漏れないか」「中で何が起きているかわからない」といった不安の声も増えています。このページでは、当社がどんな考え方で開発を進めているか、お客様の情報をどのように守っているかをわかりやすくまとめています。

このページに書かれているのは「基本的な方針」です。実際のプロジェクトでは、お客様ごとの条件やルールに合わせて、具体的な進め方を決めます。
Section 01

当社の基本姿勢

当社は、お客様からの依頼案件でも、自社ツールの開発でも、安全で見通しのよい運営を大切にしています。具体的には、次の4つを常に両立させる仕組みをつくっています。

判断のスピードと質 誰が、どんな根拠で決めたかを明確にする
リスクの予防 情報漏えい、ルール違反、品質トラブルを未然に防ぐ
説明できる状態 第三者から見ても、なぜそうしたかがわかる
伝わる言葉で説明する 専門用語に頼らず、お客様が自分で判断できる情報の出し方をする

なぜこれが大切なのか

  • お客様や関係者に対して、何をしているか・なぜそうしているかを説明できるようにするため
  • 特定の人しかわからない「属人的な運用」を減らし、誰が担当しても同じ品質を保つため
  • 万が一の問題が起きても、すぐに原因を特定して対応できる体制を保つため
  • 専門知識がなくても内容を理解でき、お客様自身が納得して判断できる状態をつくるため

法令やルールへの対応

  • プロジェクトごとに「どんなリスクがあるか」を事前に洗い出し、対策を決めます
  • 大きなリスクは設計の初期段階で確認し、見積もりや体制に反映します
  • トラブルは「起こりうるもの」として備え、発生時の対応手順をあらかじめ決めておきます

情報の守り方

  • パスワードや接続情報などの「鍵」にあたる情報は、漏えいの最大の原因として重点管理します
  • 外部サービス(AIツール、顧客管理システムなど)を使う場合は、「何のデータを」「どこに送るか」「誰がアクセスできるか」を明確にします
  • 必要に応じて、アクセス権限や記録の残し方、データの保管期間なども設計に組み込みます
  • お客様との間では秘密保持契約(NDA)を締結し、契約面でも情報を保護します
  • 万が一に備え、情報漏洩保険に加入しています
Section 02

開発の進め方

何を大切にしているか

  • 「お金をかけた分、何がよくなったか」を説明できる状態をつくります
  • 「作って終わり」ではなく、使い続けられること・改善が回ることをゴールにします
  • 機能を増やすより先に、何を測るか・何をもって成功とするかを決めます

取り組んでいる分野

AI活用問い合わせの自動対応、文書の分析・整理、業務の自動化
顧客管理案件情報の整理、報告の仕組みづくり
サイト改善施策の優先順位づけ、効果の測定
検索対策記事の企画から運用まで、品質とスピードの両立

開発のルール

  • 小さく始めて、効果を確かめてから広げるいきなり大規模にせず段階的に進めます
  • あいまいなままにしない「何ができたら成功か」を最初に決めます
  • 将来のコストも考える作った後の運用・メンテナンスにかかる手間も見積もります
  • 安全対策は最初から後から付け足すのではなく、設計の段階から組み込みます
Section 03

AIの使い方と安全対策

AIをどう使っているか(例)

  • 仕様や要件の整理(抜けや見落としがないかの確認)
  • 文書の整理(マニュアル、よくある質問、テンプレートの作成)
  • プログラム作成の補助(たたき台の作成、チェック観点の提示)

AIに渡さない情報

  • パスワードや接続キーなどの認証情報これらは「鍵」にあたるもので、漏れると不正アクセスにつながります
  • お客様の個人情報や機密情報の原文やむを得ず使う場合は、名前を伏せたり要約したりして、必要最小限に加工します
案件の性質上、例外が必要な場合は、必ず事前にお客様と合意のうえで取り扱います。

最終判断は必ず人が行う

  • AIが出した結果は下書きとして扱います
  • 契約に関わる文章、お客様への通知、合否の判定など、重要な判断は必ず人が確認してから確定します
  • 間違いが許されない場面では、「どこまでの精度が必要か」「例外をどう扱うか」を事前に決め、テストで確認します
Section 04

情報セキュリティの全体像

何を守るのか

情報漏えいの防止 パスワードや機密情報が外部に出ないようにする
不正な操作への対策 悪意のある攻撃からシステムを守る
アクセスの管理 必要な人だけが、必要な範囲でデータにアクセスできるようにする

どのように守るのか

  • 重要な設計の判断は、複数の目で確認(レビュー)してから進めます
  • 本番環境に反映する前に、安全面のチェックを実施します
  • クラウドシステムへのログインには二要素認証を導入し、不正ログインを防止します
  • 契約終了時には、お預かりしたデータを完全に破棄します
被害を止める 原因を調べる 再発を防ぐ

トラブル発生時の対応フロー

開発時の具体的なルール(例)

  • パスワードや接続情報をプログラムに直接書かない(別の安全な場所で管理)
  • データベースへの問い合わせは、不正な命令が紛れ込まない安全な方法で行う
  • Webページに悪意のあるプログラムが埋め込まれないよう、表示内容を安全に処理する
当社の情報漏洩対策について 端末の暗号化、二要素認証、VPN、物理的セキュリティなど、日常業務におけるセキュリティ対策の詳細はこちら
Section 05

AI開発で特に気をつけていること

送るデータは最小限に

  • 「何のデータを、どこに、何の目的で送るか」を書面で明確にします
  • 送る情報はできるだけ少なくし、必要に応じて名前を伏せたり要約したりします

外部サービスとの連携

  • 外部のAIサービスやクラウドサービスを使うかどうかは、プロジェクトの最初に決めます(あいまいなまま進めません)
  • 外部サービスに渡すデータの範囲、保存期間、削除方法、誰がアクセスできるかを確認します

AIの出力についての安全対策

  • 重要な情報を出力するときは、「なぜその結果になったか」の根拠もセットで提示します
  • AIに対して不正な指示が紛れ込むリスクに備え、入力内容にルールや制限を設けます
  • AIの出力をそのまま自動送信するのではなく、最初は人が確認してから送る運用を推奨します
Section 06

プロジェクト開始時に確認すること

当社は、「なんとなく進めて後から問題になる」ことが最大のリスクだと考えています。そのため、プロジェクトの初期段階で以下のような点を確認します。

  • お客様の機密情報を外部のAIサービスに送ってよいか(社内ルール上の可否)
  • 「何ができたら成功か」が数字で定義されているか
  • 判定の条件や例外のルールが文書化されているか
  • AIがどこまで自動で行い、どこから人が確認するかの線引き
  • 運用開始後、誰がいつ更新や修正を行うかの取り決め
Section 07

よくある質問

AIに入力したデータは、AIの学習に使われますか?

プロジェクトの内容や使用するサービスの設定によります。当社では、AIに渡す情報を必要最小限に抑え、機密情報の取り扱いルールを定めたうえで運用しています。

外部のAIサービスを使わずに進めることはできますか?

要件によっては可能です。「どこまでを自社内で完結するか」「外部サービスを使うか」をプロジェクトの最初に話し合い、設計と見積もりに反映します。

安全性はどのように確認していますか?

「設計時の確認 → 専門的なレビュー → テスト → 本番前の最終チェック」という段階を踏んで、安全性を確保しています。一度のチェックで終わりにせず、複数の段階で確認する仕組みです。

Section 08

このページの更新について

  • このページは、当社の開発・運用の実態に合わせて随時更新します
  • 更新日を明記し、断定的な表現(「絶対に安全」など)は使いません
お問い合わせ先