AI・システム開発を生業とする私たちにとって、情報セキュリティは最優先事項です。お預かりするデータ、構築するシステム、運用するAI——そのすべてに対する、アオンの基本方針と具体的な対策をご案内します。
「お客様の情報は、お客様のもの」という大原則のもと、以下の3本柱でセキュリティを担保します。
アクセス権限の最小化、暗号化、多要素認証、監査ログの取得により、許可された人だけが情報にアクセスできる状態を維持します。
改ざん防止、バージョン管理、バックアップ、整合性チェックにより、データが意図せず変わらないことを保証します。
冗長化、監視、定期訓練、事業継続計画(BCP)により、必要なときに必要な情報に確実にアクセスできる状態を維持します。
お客様情報・社内情報を機密度に応じて分類し、取扱ルールを明確化。アクセス権はロールベースで最小権限を適用します。
個人情報保護法、著作権法、関連ガイドラインを遵守します。お客様との秘密保持契約(NDA)も速やかに締結します。
全役員・従業員に対し、情報セキュリティ教育を定期実施。AI・クラウド時代に即した最新の脅威にも継続的に対応します。
不測の事態に備えたインシデント対応手順を整備。発生時には速やかにお客様へ連絡・対応し、再発防止策を報告します。
協力パートナーに委託する場合も、同等のセキュリティ水準を契約で担保。再委託時のデータ流通も最小化します。
年次でポリシーを見直し、事故事例・新たな脅威・技術動向を反映。ISMS準拠の運用を目標に段階的に強化していきます。
システム開発・運用・AI利用のすべてに対する具体的な技術対策を標準採用しています。
TLS1.2+で通信、AES-256でデータ暗号化。
全開発・運用環境へのアクセスをMFA必須化。
操作ログを90日以上保管、改ざん検知も実施。
日次自動バックアップ、世代管理、復旧訓練。
リリース前に自動スキャン、重要システムは手動診断。
業務端末を一元管理、紛失時のリモートワイプ対応。
Cloudflare等で攻撃遮断、DDoS耐性を確保。
APIキー・認証情報をシークレットマネージャで管理。
本番・ステージング・開発を完全分離し混入を防止。
生成AIの急速な普及に対応し、AI特有のリスクに対する方針を明確にしています。
お客様のデータをAIに投入する際、以下のルールを標準適用しています。開発契約・運用契約のどちらでも適用されます。
| 学習利用の禁止 | お客様データがAIモデルの学習に使われないエンタープライズプラン(Claude / OpenAI / Google等の学習オプトアウト契約)を採用します。 |
|---|---|
| PII(個人情報)マスキング | 氏名・住所・マイナンバー等は、AI投入前に自動マスキング。必要に応じてオンプレミス/VPC構成を選択できます。 |
| データ保管場所の明示 | 国内リージョン指定、AWS Bedrock等の閉域構成にも対応。データレジデンシー要件をお客様と合意します。 |
| アクセス制御・監査ログ | 誰がいつ、どのAIにどんな入力をしたかを記録。権限別アクセス、部門分離、ログ改ざん防止を標準実装します。 |
| 出力の責任分解 | AIの出力を意思決定に使う際の責任境界(人間の確認フロー、免責条項、誤出力時の対応)を契約で明確化します。 |
万が一の事態にも、速やかに対応できる体制を整えています。
※ 上記は保守契約および重要案件における標準SLAです。契約ごとに詳細なSLAをご提示します。
中小企業として、段階的に認証取得を進めています。法令遵守は全案件で徹底しています。
経済産業省 / 中小企業庁管轄のIT導入支援事業者として認定登録。補助金申請には必須の資格です。
個人情報取扱事業者として、収集・利用・保管・廃棄の全工程で法令を遵守。プライバシーポリシーを公開します。
2026年度中のPマーク、2027年度中のISMS(ISO/IEC 27001)取得を目標に準備を進めています。
お問い合わせ段階からNDA(秘密保持契約)締結を標準受付。ご希望のNDA雛形にも対応します。
情報セキュリティに関するご質問、SLA・NDA雛形の確認、ISMS要件対応のご相談は、以下からお気軽にお問い合わせください。