info いつ使うか
社内(AIsora Code メンバー向け):
- サービス提供の全期間を通じて遵守する基本ルール
- パートナー育成時に必ず共有・同意を取る
クライアント向け:
- 導入開始時に「AIを使って御社の情報をどう扱うか」を明示するために共有
- 「うちの情報は安全ですか?」という質問への回答として使える
article 第1条(目的)
本ポリシーは、AIsora Code が提供するAI経営パートナー構築プログラムにおいて、クライアント企業の情報資産を適切に保護し、安全なサービス提供を実現するための基本方針を定める。
article 第2条(適用範囲)
本ポリシーは以下の全員に適用される:
- AIsora Code 運営メンバー
- 業務委託・パートナーとして関与する全員
- AIsora Code のシステム・ツール・データを取り扱う全ての環境
article 第3条(基本方針)
AIsora Code は以下の5原則に基づき情報セキュリティを管理する。
| 原則 | 内容 |
|---|
| 機密性 | 権限のある者だけが情報にアクセスできる |
| 完全性 | 情報が正確で改ざんされていない状態を保つ |
| 可用性 | 必要な時に情報へアクセスできる |
| 最小権限 | 業務に必要な最小限のアクセス権限のみ付与する |
| 説明責任 | 情報へのアクセス・操作を記録し追跡可能にする |
security 第4条(AIツール利用ルール --- 最重要)
AIsora Code はAIツール(Claude、Claude Code 等)を業務の中核として使用するため、以下のルールを厳格に遵守する。
4-1. AIへの入力禁止事項
以下の情報は、クライアントの明示的な書面許可なくAIツールへ入力してはならない:
- 個人を特定できる情報: 氏名、住所、電話番号、メールアドレス、マイナンバー
- 財務情報: 売上データ、給与情報、口座情報、取引明細
- 顧客リスト: クライアントの顧客・取引先の個人情報
- 採用・人事情報: 従業員の評価、給与、健康情報
- 法的文書: 未公開の契約書、訴訟関連情報
- 認証情報: パスワード、APIキー、アクセストークン
4-2. 匿名化・仮名化ルール
AIに入力する前に以下の処理を行う:
実名 → 「A社」「Bさん」「C氏」等に置換
具体的な数値 → 「売上規模XX億円」等に概算化
固有名詞 → 業種・規模のみ残して匿名化
4-3. CLAUDE.md の管理
クライアントごとに作成する CLAUDE.md・settings.json は:
- 保管場所: クライアントごとに独立したフォルダで管理
- アクセス権限: 担当者のみ。他クライアントの設定と混在させない
- バックアップ: 暗号化した状態でバックアップを保持
- 削除: 契約終了時に速やかに完全削除
4-4. Anthropic 利用規約の遵守
- Claude の利用規約を常に遵守する
- クライアントのデータを Anthropic のモデル学習に使用させない設定を確認する
- API 利用は AIsora Code 名義のアカウントで管理し、クライアントと混在させない
article 第5条(アクセス権限管理)
5-1. 権限の原則
- 最小権限の原則: 業務に必要な最小限のアクセス権限のみ付与
- 役割ベース管理: 役割(代表・担当者・パートナー)に応じて権限を定義
- 定期見直し: 3ヶ月ごとに権限の棚卸しを実施
5-2. クライアント別アクセス管理
| データ種別 | 運営者 | パートナー |
|---|
| 全クライアント一覧 | ○ | ✗ |
| 担当クライアント情報 | ○ | 担当のみ |
| 契約書・NDA | ○ | ✗ |
| 請求・財務情報 | ○ | ✗ |
article 第6条(データ管理・保管)
6-1. 保管場所
| データ種別 | 保管場所 | 暗号化 |
|---|
| 契約書・NDA | クラウドストレージ(要パスワード) | 必須 |
| CLAUDE.md | ローカル + Git(プライベートリポジトリ) | 推奨 |
| 請求情報 | 会計ソフト or スプレッドシート(アクセス制限必須) | 必須 |
| メモ・議事録 | Notion or Git(プライベート) | 推奨 |
6-2. 保管期間
- 契約書類: 契約終了後 5年間(法定保存義務に準ずる)
- クライアントのCLAUDE.md・設定ファイル: 契約終了後 速やかに削除
- 請求・支払い記録: 7年間(税務上の保存義務)
6-3. 禁止事項
- 個人のPCやスマートフォンへのクライアントデータの無断保存
- 公共のWi-Fiでのクライアント情報アクセス
- クライアント情報をメール添付で送受信(暗号化なし)
article 第7条(インシデント対応)
7-1. インシデントの定義
以下を「インシデント」として扱う:
- クライアント情報の誤送信・誤共有
- AIへの禁止情報の誤入力
- 不正アクセスの疑い
- 認証情報(APIキー・パスワード)の漏洩・紛失
7-2. 対応フロー
発生
↓
【即時対応 --- 30分以内】
担当者が運営責任者に報告
↓
【初動対応 --- 2時間以内】
被害範囲の特定・拡大防止措置(アクセス遮断・パスワード変更等)
↓
【クライアント報告 --- 24時間以内】
事実・対応状況・再発防止策を書面で報告
↓
【再発防止】
原因分析 → ポリシー・手順の改善
7-3. 連絡先
| 役割 | 担当 | 連絡方法 |
|---|
| 第一報 | 運営責任者 | Slack DM |
| クライアント報告 | 運営責任者 | 電話 → 書面 |
| 法的判断が必要な場合 | 顧問弁護士(設置後) | --- |
article 第8条(パスワード・認証情報の管理)
- パスワードは 12文字以上、英数字記号を混在 させる
- 同一パスワードの使いまわし禁止
- APIキー・Webhook URL は 必ず環境変数(.env)で管理。コードに直接記述しない
- パスワードマネージャーの利用を推奨(1Password、Bitwarden 等)
- 認証情報は メール・Slack のメッセージで平文送信しない
article 第9条(第三者への委託)
業務の一部を外部(パートナー・フリーランス)に委託する場合:
- 本ポリシーへの同意を書面で取得する
- NDA を締結してから業務を開始する
- クライアント情報へのアクセスは業務に必要な最小限に限定する
article 第10条(ポリシーの更新・周知)
- 本ポリシーは 年1回以上 見直しを行う
- 法律・Anthropic 利用規約の変更があった場合は 速やかに改訂する
- 改訂時は全メンバー・パートナーに周知し、同意を再取得する
check_circle ポリシー同意記録
| 氏名 | 役割 | 同意日 | 署名 |
|---|
| AIsora Code 運営者 | 代表 | | |
⚠ 注意: 本ポリシーは一般的なセキュリティ基準(NIST CSF 2.0・OWASP Top 10 for LLM Apps)を参考に作成しました。法的効力を持たせるには弁護士によるレビューを推奨します。