情報セキュリティ基本方針
Amatrecは、顧客情報、相談内容、取引先情報、社内正本文書、業務ログ、台帳情報を適切に管理し、 安心して相談・連携できる事業運営体制を整えるため、情報セキュリティ基本方針を定めます。
本方針は、Amatrecが小規模体制であっても、継続的に安全な業務運営を行うための基本的な考え方を示すものです。 具体的な権限設定、内部手順、詳細な運用ログは非公開で管理し、外部には基本方針を公表します。
1. 基本方針
Amatrecは、相談員型 / ナビゲーター型の支援、自社EC実証、外部専門家連携、DX推進方針の整備において、 顧客・取引先・関係者から預かる情報を重要な事業資産として扱います。
情報セキュリティは、単なる技術的な対策ではなく、相談者が安心して課題を共有できる状態を整えるための 事業運営上の基盤です。Amatrecは、情報の機密性、完全性、可用性を意識し、継続的な改善に取り組みます。
Amatrecの情報セキュリティ基本方針
Amatrecは、業務で取り扱う情報を適切に保護し、生成AI、クラウド基盤、業務ログ、台帳管理を安全に活用することで、 小規模体制でも継続的に運営できる信頼性の高い事業体制を整備します。
2. 適用範囲
本方針は、Amatrecの事業活動に関わる以下の情報、端末、クラウド環境、外部サービス、関係者との情報授受に適用します。
対象情報
- 顧客情報
- 相談内容
- 取引先情報
- 契約・見積・請求関連情報
- 社内正本文書・業務ログ
- EC実証に関する管理情報
対象環境
- 業務用端末
- クラウドストレージ
- メール基盤
- クラウド文書管理
- クラウド表計算・台帳管理
- Webサイト管理環境
対象運用
- 外部連絡
- 資料作成・共有
- AIを活用した情報整理
- 台帳・ログ管理
- 外部専門家との連携
- 公開ページ・PDF管理
3. 情報セキュリティ管理体制
Amatrecでは、代表者が情報セキュリティ管理責任を担います。 AIは意思決定者ではなく、情報整理・文書化・比較・判断材料整理を補助する位置づけとし、 最終判断、外部発信、顧客情報管理の責任は代表者が負います。
| 領域 | 責任主体 | 管理方針 |
|---|---|---|
| 情報管理 | 代表者 | 顧客情報、相談内容、取引先情報、正本文書、台帳情報を適切に分類・管理する。 |
| クラウド基盤管理 | 代表者 | アカウント、共有範囲、アクセス権限、外部共有リンクを定期的に確認する。 |
| AI利用管理 | 代表者 | 生成AI利用時は、機密情報の投入制限、匿名化、マスキング、要約利用を行う。 |
| 外部連携 | 代表者 | 外部専門家、取引先、業務委託先との情報授受において、必要に応じて秘密保持を確認する。 |
| 事故対応 | 代表者 | 情報漏えい、紛失、不正アクセス、誤送信等の発生時は、影響範囲を確認し、必要な対応を行う。 |
4. 具体的な取り組み
Amatrecは、基礎的な情報セキュリティ対策を日常業務に組み込み、継続的に確認・改善します。
端末・ソフトウェア管理
- OS・ソフトウェアを最新状態に保つ
- ウイルス対策機能を有効にする
- 画面ロック・端末ロックを利用する
- 端末の紛失・盗難防止に配慮する
認証・アクセス管理
- 長く複雑なパスワードを利用する
- 使い回しを避ける
- 多要素認証等を活用する
- 共有範囲を必要最小限にする
情報共有・受け渡し
- 重要情報の共有先を確認する
- メール送信前に宛先を確認する
- 必要に応じて暗号化・アクセス制限を行う
- 外部共有リンクの公開範囲を管理する
バックアップ・復旧
- 重要文書・台帳・PDFを保全する
- 誤削除や障害に備えた復旧手段を確認する
- 公開版・内部版・下書きを区別する
- 古いファイルや不要な公開情報を整理する
AI利用時の安全管理
- 機密情報をそのまま投入しない
- 顧客名・取引先名を必要に応じて匿名化する
- 相談内容は要約化・抽象化して扱う
- AIの出力は代表者が確認する
Webサイト・外部公開管理
- 公開前に非公開情報の混入を確認する
- 不要ページ・古い情報を整理する
- 下書き・内部資料を誤って公開しない
- 外部表現に誤認がないか確認する
5. SECURITY ACTION 二つ星の自己宣言
Amatrecは、独立行政法人情報処理推進機構(IPA)の「5分でできる!情報セキュリティ自社診断」を実施し、 全25項目について「実施している」と確認しました。
また、本情報セキュリティ基本方針を策定・外部公開したうえで、 2026年4月28日にSECURITY ACTION 二つ星を自己宣言しました。
| 項目 | 内容 |
|---|---|
| 診断名 | 5分でできる!情報セキュリティ自社診断 |
| 実施日 | 2026年4月28日 |
| 回答結果 | 全25問「実施している」 |
| 採点結果 | 4点 × 25問 = 100点 / 100点 |
| 情報セキュリティ基本方針 | 本ページにて外部公開 |
| SECURITY ACTION | 二つ星を自己宣言 |
| 自己宣言日 | 2026年4月28日 |
6. AI利用に関する方針
Amatrecは、生成AIを情報整理、文書化、比較、構成案作成、判断材料整理の補助として活用します。 AIは意思決定者ではなく、最終判断と外部発信責任は代表者が担います。
AI利用時の基本原則
- 顧客情報・相談内容・取引先情報を必要以上に入力しない
- 必要に応じて匿名化・マスキング・要約化を行う
- AIの出力内容は代表者が確認する
- AIの出力をそのまま外部発信しない
- 意思決定責任をAIに移転しない
7. 外部サービス利用に関する方針
Amatrecは、クラウド基盤、メール基盤、文書管理、台帳管理、Webサイト運用、EC運営等で外部サービスを利用します。 外部サービスを選定・利用する際は、業務上の必要性、安全性、信頼性、継続性を確認します。
選定時の確認
- サービス提供元の信頼性
- 利用規約・補償内容
- 認証・アクセス管理機能
- データ管理・削除・バックアップ方針
利用時の管理
- アカウント管理
- 権限・共有範囲の確認
- 不要アカウント・不要データの整理
- 公開範囲と内部留保範囲の分離
8. インシデント対応方針
情報漏えい、紛失、不正アクセス、誤送信、Webサイト改ざん、端末紛失等が発生した場合、 Amatrecは速やかに影響範囲を確認し、必要な初動対応、関係者への連絡、再発防止策の検討を行います。
| 発生事象 | 初動対応 | 再発防止 |
|---|---|---|
| 誤送信 | 送信先・送信内容・添付資料を確認し、必要に応じて関係者へ連絡する。 | 宛先確認、添付確認、送信前確認を徹底する。 |
| 端末紛失・盗難 | 端末ロック、アカウント保護、必要に応じたパスワード変更を行う。 | 持ち出し時の管理、画面ロック、紛失時対応手順を確認する。 |
| 不正アクセス | 対象アカウント・サービスを確認し、パスワード変更、権限確認、アクセス状況確認を行う。 | 認証強化、共有範囲見直し、不要アカウント削除を行う。 |
| Webサイト公開ミス | 公開範囲を確認し、必要に応じて該当ページ・ファイルを非公開化する。 | 公開前チェック、下書き・内部資料の分離、版管理を徹底する。 |
9. 継続的改善
Amatrecは、情報セキュリティ対策を一度定めて終わりにするのではなく、 事業内容、利用サービス、外部環境、脅威動向の変化に応じて、継続的に見直します。
情報セキュリティを、信頼の基盤として運用する
Amatrecは、情報セキュリティを業務効率化の妨げではなく、顧客・支援機関・外部専門家と安心して連携するための信頼基盤として扱います。
小規模体制であっても、業務ログ、正本文書、台帳管理、AI利用ルール、外部公開範囲の整理を通じて、 継続的に安全な事業運営体制を整備します。