株式会社ProAI セキュリティポリシー
1. アクセス管理
- システムおよびデータへのアクセスは、最小権限の原則に基づき管理します。
- APIキー、認証情報、管理者権限は慎重に取り扱い、定期的に監査を実施します。
- システム管理者は多要素認証(MFA)を必須とし、セキュリティ強化に努めます。
- ログイン履歴やアクセス権の変更履歴を記録し、適切に監視を行います。
2. データの管理と保護
- ユーザーデータおよび機密情報は適切な暗号化技術(AES-256等)を用いて安全に保管します。
- 個人情報(PII: 個人を特定できる情報)を含むデータの取り扱いは、関連法規および業界標準に準拠します。
- 契約終了後のデータは必要に応じて最大90日間保持し、その後適切な手順に従い安全に削除し、保存期間を最小限に抑えます。
- システム内のデータは、事業継続性の観点から必要に応じてバックアップを実施します。
3. AIおよびAPIの安全な利用
- 提供するAIおよびAPIの利用に際し、不適切なコンテンツの生成や誤用を防ぐため、厳格な制御を実施します。
- APIのレートリミットを遵守し、過剰なリクエストによるシステム負荷を軽減します。
- ユーザーが送信するデータは、AIの学習には一切使用しません。ただし、API提供元(OpenAI等)のポリシーに準じます。
- API経由で送信されたデータは、API提供元(OpenAI等)のポリシーに準じますが、適切なデータ管理がなされていないと判断した場合は利用を停止します。
- ユーザーによるAIの悪用が判明した場合、必要に応じてAPIキーの凍結やアカウント停止を実施します。
- AIモデルの出力結果に対して、適切なフィルタリングを施し、不適切な情報の提供を防止します。
4. システムの安定性とエラーハンドリング
- システムの障害発生時には、適切なエラーハンドリングを実施し、ユーザーへの影響を最小限に抑えます。
- 発生したエラーについては迅速に対応し、継続的な改善を行います。
- 重要なシステムイベントやエラーメッセージは適切に記録し、必要に応じた分析と対策を実施します。
5. 外部攻撃への対策
- SQLインジェクションやXSS(クロスサイトスクリプティング)などの攻撃を防止するため、業界標準に準拠したセキュリティ対策を実施します。
- CSRF(クロスサイトリクエストフォージェリ)対策として、適切なCORS設定を適用します。
- DDoS攻撃の影響を最小限に抑えるため、業務内容に応じてCDN(コンテンツ配信ネットワーク)やファイアウォールを導入します。
6. 契約とコンプライアンス
- 提供するサービスおよびAI技術の利用に関しては、関連法規および業界ガイドラインを遵守します。
- ユーザーとの契約に基づき、データの取り扱いや利用範囲を明確に規定します。
- セキュリティポリシーは適宜見直し、最新の脅威に対応できるよう維持管理します。
- 年に1回、最新のセキュリティ情報を社内共有し、必要に応じて教育セッションを実施します。
本セキュリティポリシーは、弊社が提供するサービスの安全性および信頼性を確保するために策定されました。上記の措置や対策については、会社の規模やリソースに応じて適宜柔軟に運用し、実効性のある範囲で誠実に遵守します。
以上
2024年5月制定
2025年2月改訂