セキュリティーを考える
ISMS委員会
愛知県犬山市に事務所を置く有限会社エクサの個人情報の保護に関する社内ルールや行動などを掲載させて頂いております。
ISMS委員会では(Information Security Management System)情報の機密性、完全性、可用性を維持・改善するためのリスクマネジメントの枠組みを構築し、運用するものです。具体的には、自社組織の事業内の情報セキュリティの方針を定め、リスク評価や、適切な管理策を講じて参ります。スタッフの教育、物理的なセキュリティ、アクセス管理、災害対策(BCP)についても社内で考えて行動できる様に日頃から努力をしています。AIガバナンスも制定致しました。
活動内容
・
・
・
AIガバナンス
有限会社エクサ「AI社内ガバナンス」
生成AIや自動化ツール(以後AIと呼称)は、私たちの生活や業務に徐々に影響を与えてきています。 そのため当社では「AI社内ガバナンス」を発行しました。このガバナンスでは全社員がAIの恩恵を安全かつ最大限に活かすため、その判断基準や利用ルールを明確にするものです。これは現時点での基礎的な概略であり、今後の技術進展や社会状況を踏まえ、コンプライアンスや倫理面に関する詳細を随時更新・追加していきます。
ガバナンス
勉強会 不定期ですが各サービスの更新が確認できた時点でスポットで勉強会を開き、特にハルシネーション対策や内容の適正さ学び確保できるように努力致します。 (2025年11月19日現在)
画像生成 著作権や肖像権の侵害などを防ぐため、AIによる画像生成は原則としてAdobe FireFly を使用します。 なお、生成物をクライアント様への納品物や公開成果物として利用する場合は、必ず事前に依頼主(クライアント様)のご承諾を得て公開とします。 上記以外で必要な素材は、出張撮影、著作権許可済みの素材集、または社内制作で対応します。 (2025年10月20日現在)
動画生成 基本クライアント様で使用しません。なお、今後のために勉強で生成はするが、生成した動画は公開しません。 (2025年10月20日現在)
個人情報保護 プロンプトを用いる生成AIの入力時に、取引先名、住所、電話番号、ドメイン名など、個人や取引先を特定できるものはインプットしません。
倫理的利用(禁止事項) わいせつ、差別的、暴力的、または公序良俗に反する内容の入力、および生成の依頼をしません。
以上の方針に基づき、当社はAI技術を安全かつ倫理的に活用し、社会から信頼される企業としての責任を果たしてまいります。
2025年10月20日
有限会社エクサ
代表取締役 東田 欣也
・
・
・
情報セキュリティー方針
有限会社エクサIT事業部は、WEBデザインとITエンジニアを事業目的としています。
この事業目的を達成するため、内外で取り扱う情報資産をあらゆる脅威から守り、全ての利害関係者の信頼に応えていくよう情報セキュリティにおける目的を設定し、達成していく所存です。
そのため、ここに情報セキュリティ方針を策定し、安全かつ適切な情報セキュリティ対策を実施することを宣言します。
- 当社は、情報セキュリティに関する社内体制を整備し、必要な資源を割り当て、規程の策定や運用の推進に取り組みます。
- 当社は、自社で取り扱う全ての情報資産を洗い出し、リスク評価を行い、機密性、完全性、可用性が損なわれないための必要な安全管理策を講じます。
- 当社は、情報資産の取扱いに関する法令、国が定める指針、その他の社会的規範ならびに各種契約上の義務を遵守いたします。
- 当社は、全ての役員、社員、およびその他の情報資産を利用するものに対し、必要な教育訓練を定期的に実施し、この方針の周知徹底を図ります。
- 当社は、情報セキュリティ上の問題に対して発生の予防を図り、万一問題が発生した場合にも迅速に対応し、再発防止に努めます。
- 当社は、この情報セキュリティ方針が実行されるために必要なマネジメントシステムを組織内で運用し、継続的改善に努めます。
制定 2021年5月1日 有限会社エクサ IT事業部 代表取締役 東田欣也
・
・
・
ディスクの完全消去&シュレッダー
修理やパソコンの廃棄などのご依頼をいただいた場合、大事なお客様のデータが入っているパソコンです。分解して中のハードディスクを取り出し、理論値で全ての部分に0を書き込んで工場出荷の状態に戻し、さらに分解し記録がされているプラッター部分を必ず破壊してから処分しております。SSDなどの記憶媒体も、使いまわしをしないように、当社は記憶媒体は限られたスタッフしか持たないようにしています。
FAXの誤送信の防止
日頃からスタッフ全員が、お客様の個人情報を常に責任を持って取り扱う心構えを持っております。 FAXを送る時は、送信先を必ず1人ではなく複数人で確認するようにしております。間違って他のお客様にFAXを送信しないよう徹底しております。
4段階に区分した情報管理
データの扱いに関しましても、常に段階的にアクセスできる情報を、社員ごとに振り分けて利用しております。個人情報の入っているデータエリアの機材に関しましては、必要な時以外は物理的にネットワークから切り離して、容易にデータにアクセスできないような体制も作っております。アクセスできるデータに関しましても、社内で段階的にアクセスできる権限を決めて管理しております。皆様からお預かりするデータを少しでも安心してお預け頂けるように日頃からルールや技術的な構築を続けています。
セキュリティー対策機材
出張時などに個人情報データなどをお預かりする場合もございますが、その場合はセキュリティロックを必ずかけるようにしております。万が一の紛失に備えて、容易に中身を見られないように媒体自体のセキュリティロックもしくは OS などで行えるソフトウェア ロックなどは最低でも行うようにさせていただいております。
当社ではアイオーデーター機器のセキュリティーロック付きUSBメモリーが、出張時の必須アイテムになっています。
事務所のドアのロック常時化
事務所の玄関ドアは、基本的には閉めており容易に入室できないようにしております。事務所内もできる限りスタッフが常駐する体制をとり、常にお客様からお預かりするデータ等がありますので、その保持・管理・運用に関しては徹底的に注意を払っております。
シスログの分析と徹底管理
様々なネットワーク機器は、基本的に記録・保管し、同時に分析も行うようにしております。ネットワークのセキュリティ機材は、UTM並びにEDR関連に関係するものでも、当社でできる限りの投資を行ってスムーズな運営が常にできるようにしています。保管しているログに関しましては、最低でも3年は保管できるように体制を作っております。もし万が一トラブルが発生した場合に遡れるようにしております。
