一般社団法人日本AI導入支援協会(以下「当協会」)は、会員企業情報、個人情報、AI CATALOG掲載企業情報、研修受講者情報等の重要情報資産を、機密性・完全性・可用性の観点から適切に保護する責任を負います。本方針は、当協会における情報セキュリティ確保のための基本的な考え方と取り組みを定めるものです。
当協会は、情報セキュリティの確保が事業運営および会員企業からの信頼の基盤であることを認識し、以下の事項を継続的に実施します。
当協会は、独立行政法人情報処理推進機構(IPA)が運営する「SECURITY ACTION」制度に基づき、情報セキュリティ対策に取り組むことを「二つ星」として自己宣言しています。
個人情報保護法および当協会プライバシーポリシーに基づき、利用目的を明確にしたうえで適切に取り扱います。クラウドサービス事業者の選定にあたっては、ISMS、SOC 2等のセキュリティ認証の有無を確認します。
協会業務における生成AI利用に関し、会員企業情報等の機密情報が学習データに利用されないサービスのみを選定します。機微情報の入力禁止ルールを文書化し、構成員全員に周知徹底のうえ、生成AI利用ログの定期確認を実施します。
会員情報・経営データ・財務データ等の機密度の高い情報を取り扱う主要SaaS(会員管理、会計、AI CATALOG運営管理画面等)について、多要素認証を必須とする運用ルールを定めます。
構成員および外部委託先に対し、業務上必要な範囲のアクセス権限のみを付与し、退任・契約終了時には速やかにアクセス権限を停止する手順を文書化のうえ運用します。
会員情報・契約情報・コンテンツデータについて、利用SaaSのバックアップ機能および追加バックアップを併用します。主要操作ログは6ヶ月以上保管します。
当協会は、年1回以上の頻度で理事会において、インシデントの有無、対策実施状況、利用SaaSのセキュリティ更新状況を確認し、必要に応じて対策および本方針の見直しを実施します。
情報セキュリティインシデントが発覚した場合、以下の初動対応を実施します。
当協会の情報セキュリティに関する取り組みは、本基本方針のほか、以下の方針・ポリシーと連動して運用しています。
