情報セキュリティ基本方針
制定日:2026年4月2日 最終更新:2026年4月12日
1. 基本方針
株式会社ロングランモーション(以下「当社」)は、totemo AI サービスにおいてAI技術を活用した業務支援サービスを提供するにあたり、お客様からお預かりする情報資産の保護を経営上の最重要課題と位置づけ、以下の方針に基づき情報セキュリティ対策を実施します。
2. 適用範囲
本方針は、当社が取り扱うすべての情報資産に適用されます。
- お客様から提供される業務データ(顧客リスト、売上データ、従業員情報等)
- 当社が構築・運用するシステム(AI社員、自動化ワークフロー、管理画面等)
- 当社の内部情報(契約情報、技術情報、経営情報等)
3. 情報セキュリティの原則
3.1 機密性(Confidentiality)
- お客様のデータは、当該案件の担当者のみがアクセスできるよう制御します
- データは暗号化された通信経路(HTTPS/TLS)を通じてのみ送受信します
- お客様のデータを第三者に開示・提供することはありません(法令に基づく場合、およびサービス提供に必要なクラウドAI処理を除く)
3.2 完全性(Integrity)
- システムへの不正なデータ改ざんを防止する措置を講じます
- データのバックアップを定期的に実施し、復元可能な状態を維持します
3.3 可用性(Availability)
- サービスの安定稼働のため、システム監視と障害対応体制を整備します
- 計画的なメンテナンスは事前にお客様へ通知します
4. データ取扱規程
4.1 データの分類
| 分類 |
定義 |
取扱基準 |
| 機密 |
個人情報、認証情報、財務データ |
暗号化必須、アクセスログ記録、案件終了後に削除 |
| 社外秘 |
業務プロセス、ノウハウ、設定情報 |
関係者のみアクセス可、NDA対象 |
| 一般 |
公開情報、マーケティング素材 |
制限なし |
4.2 データの保管
- 本番環境:Docker隔離環境(お客様専用のコンテナ)
- クラウドストレージ:Google Workspace(2段階認証必須)
- ローカル環境:暗号化されたストレージ上でのみ作業
当社はお客様のデータを用いた独自のAIモデルの学習・訓練は行いません。
本サービスではクラウドAI(Anthropic社Claude、Google社Gemini等)を利用しており、本番運用時にはお客様のデータがAI学習に使用されない有料プランを使用します。
4.3 データの削除
- 契約終了後、お客様のデータは30日以内に完全削除します
- 削除完了後、お客様に削除証明書を発行します
- お客様の要請により、契約期間中でも即座にデータを削除できます
4.4 データの受け渡し
- Google Drive(共有リンク:特定ユーザーのみ)
- 暗号化されたメール添付
- 専用管理画面からのダウンロード
USBメモリ、無料ファイル転送サービス(ギガファイル便等)は使用禁止としています。
5. アクセス管理
- すべての業務システムに対し、固有のパスワード + 2段階認証を適用
- パスワードは12文字以上、英数字記号混合
- お客様ごとにアクセス権限を分離(マルチテナント設計)
- 管理者権限は代表のみが保有
6. 外部サービス利用基準
お客様のデータを扱う外部サービスは、以下の基準に基づき選定します。
- HTTPS通信対応
- データ処理契約(DPA)またはそれに準ずる契約条項の確認
- お客様データがAIモデルの学習に使用されないプランの利用
現在、主に以下の外部AIサービスを利用しています。
- Anthropic Claude API — データ処理契約(DPA)締結済み。API入出力はモデル学習に使用されず、30日以内に削除。サーバー所在地:米国
- Google Gemini API — 本番運用時はデータがモデル学習に使用されない有料プランを使用。サーバー所在地:米国
7. インシデント対応
情報漏洩、不正アクセス、データの改ざん・消失、サービスの長時間停止等のセキュリティインシデントが発生した場合、以下のフローで対応します。
| フェーズ |
対応時間 |
内容 |
| 検知 |
即時 |
監視アラートまたは報告による検知 |
| 初動 |
1時間以内 |
被害拡大の防止(サービス停止含む) |
| 第一報 |
2時間以内 |
お客様への電話連絡 |
| 詳細報告 |
24時間以内 |
原因・影響範囲・対応状況の書面報告 |
| 再発防止 |
1週間以内 |
再発防止策の策定と実施 |
8. 物理的セキュリティ
- 業務用端末にはログインパスワード + 生体認証を設定
- 端末の紛失時はリモートワイプ(遠隔消去)を実行可能な状態を維持
- 公共スペースでお客様のデータを画面に表示する作業は禁止
9. 教育・啓発
- IPA「情報セキュリティ10大脅威」を年1回確認し、対策を更新
- 新たな脅威(フィッシング、ランサムウェア等)に関する情報を継続的に収集
10. 法令遵守
当社は、以下の法令を遵守します。
- 個人情報の保護に関する法律(個人情報保護法)
- 不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)
- 電気通信事業法(該当する場合)
11. 本方針の見直し
本方針は年1回、または重大なセキュリティインシデント発生時に見直しを行います。
次回見直し予定:2027年4月
お問い合わせ窓口
株式会社ロングランモーション 代表 山口臣也