無料相談はこちら →
HOME/SECURITY
Security & Trust

お客様情報を、
「預かる」責任を持って扱う。

WEST ORANGEは、お客様の業務情報・コード・AIモデルを扱う事業の特性に合わせ、
情報セキュリティを経営課題のひとつとして捉えています。生成AI時代の新しいリスクにも、
体制・契約・実装の3層で備えています。

Principles

情報セキュリティ基本方針

お客様から預かる情報資産を保護するため、当社は次の方針に則って事業活動を行います。経営層の責任のもと、全役職員に徹底しています。

  1. 01

    経営層が責任を持つ

    代表取締役を最高責任者とする情報セキュリティ管理体制を構築し、経営層が方針策定・運用・改善に直接関与します。年1回以上、方針・ルールを経営会議でレビューします。

  2. 02

    関連法令・契約を遵守する

    個人情報保護法、不正アクセス禁止法、著作権法等の関連法令、ならびにお客様との秘密保持契約・委託契約に定められた要件を遵守します。海外データの取り扱いについても、関連法令の要件に沿って運用します。

  3. 03

    必要最小限の原則

    業務上必要となる情報・権限のみを取り扱う「最小特権」を徹底し、不要な情報の収集・保持は行いません。情報の利用目的をお客様に明示し、目的外利用は行いません。

  4. 04

    従業員への教育を継続する

    入社時および年次の情報セキュリティ研修を実施し、生成AI時代の新たなリスク(プロンプトリーク、出力情報の取り扱い等)も含めて全役職員が理解する状態を維持します。

  5. 05

    継続的に改善する

    新たな脅威・技術動向・お客様要件をふまえ、社内ルール・運用・技術対策を継続的に見直し、改善します。インシデントから得た学びも、必ず仕組みに反映します。

Practices

具体的な取り組み

方針を実装するため、以下の領域で具体的な対策を講じています。プロジェクトの性質に応じて、お客様要件に合わせた追加対応も行います。

組織・体制

  • 代表取締役を情報セキュリティ責任者として明示
  • 業務委託先・パートナーへの遵守事項展開と定期確認
  • 年1回以上、社内ポリシーの定期レビューと改訂
  • 全役職員に対する入社時/年次の情報セキュリティ研修

アクセス管理

  • 業務システムへの多要素認証(MFA)必須化
  • SSO/IdPによる認証集中管理(Google Workspace基盤)
  • 「最小特権」を原則としたロール設計と定期棚卸し
  • 退職・担当変更時の即日アクセス権剥奪プロセス

データ取り扱い

  • お客様情報の保管先・保管期間・廃棄手順の明文化
  • 本番データを開発環境に持ち込まない原則の徹底
  • 必要に応じたデータマスキング/匿名化処理
  • クラウドストレージは社用アカウント/監査ログ完備

開発・運用

  • コードレビュー必須化、シニアエンジニアの責任実装
  • 静的解析・依存関係スキャン・シークレット検出を自動化
  • 本番環境への変更は監査ログ付き/段階リリース原則
  • OWASP Top 10/クラウドベストプラクティスへの準拠

生成AI利用ガイドライン

  • 業務利用するLLM/APIをホワイトリスト制で管理
  • 顧客固有情報を学習に利用しないAPIプランを優先採用
  • 機密情報の入力可否を社内ルールで明確化
  • お客様プロジェクト独自のAI利用ルールにも個別対応

物理・端末

  • 業務PCの暗号化(FileVault/BitLocker等)必須化
  • MDMによる端末状態管理/紛失時のリモートワイプ
  • 原本紙資料は社内ロックエリアでの保管・施錠
  • 渋谷オフィス入退館記録および来訪者管理
Incident Response

インシデント対応

情報セキュリティインシデントが発生した場合、または兆候を検知した場合は、被害の最小化と再発防止を最優先に対応します。

  1. 01

    検知・初動(速報)

    検知から速やかに、情報セキュリティ責任者を含む対応チームを招集。影響範囲を切り分け、必要な遮断・隔離を実施します。お客様プロジェクトに関連する事象は、把握次第お客様窓口へ第一報を行います。

  2. 02

    封じ込め・原因調査

    被害の拡大を防ぐため、対象システム・アカウントの停止/鍵の再発行等を実施。並行してログ・監査記録から原因を特定し、影響範囲(情報・期間・対象)を確定します。

  3. 03

    関係者への報告

    お客様、関係当局、ユーザー等、報告すべき関係者へ事実関係・影響・対応状況を、適切なタイミングで報告します。法令上の通知義務(個人情報保護委員会等)も遵守します。

  4. 04

    恒久対応・再発防止

    原因に対する恒久対策を実装し、社内ルール・運用・技術構成へフィードバック。同様事象が他のシステム・業務で発生する可能性も洗い出し、横展開で予防します。

For Clients

お客様プロジェクトでの追加対応

業界・業務の性質に応じて、追加の契約・体制・運用が必要となる場合があります。以下は代表的な対応例です。要件はお気軽にご相談ください。

契約面の対応

  • 秘密保持契約(NDA)の事前締結に対応
  • 個人情報の取扱いに関する覚書の締結
  • 業務委託契約への監査条項・SLA条項追加
  • お客様規定の情報セキュリティチェックシート対応

体制・運用面の対応

  • プロジェクトごとの担当者限定アクセス設計
  • お客様クラウドアカウント/VPN環境内での開発
  • 監査ログの提供・定期報告
  • 退去時の情報資産返却・削除証明書の発行

業界別の追加要件

  • 金融系:FISC安全対策基準を踏まえた構成
  • 医療系:個人情報保護法に基づく要配慮個人情報の取扱い
  • 公共系:LGWAN/自治体ガイドライン対応
  • 大企業:情報システム部門のセキュリティ要件への準拠

生成AI実装プロジェクト

  • AIプロバイダのデータ取扱条件レビューと選定支援
  • プロンプト・出力ログの管理ポリシー整備
  • プロンプトインジェクション対策の設計
  • 監査ログ・利用記録のお客様提供

セキュリティ要件のご相談、お受けしています。

業界別の追加要件、お客様規定のチェックシート対応、NDA締結まで、まずはお気軽にご相談ください。

お問い合わせ 会社情報を見る