情報セキュリティ基本方針

制定日：2026年4月30日　改訂日：2026年5月1日
ALTEVO株式会社　代表取締役　田熊 莉沙

ALTEVO株式会社は、AI、経営データ、企業情報、個人情報、M&A関連情報、広告効果情報等を取り扱う事業者として、情報セキュリティを経営上の最重要課題と位置づけます。当社は、以下の方針に基づき、情報資産を適切に保護します。

基本方針

• 法令、契約、ガイドライン、社会的規範を遵守します。
• 情報資産へのアクセス権限を必要最小限に制限します。
• 個人情報、機密情報、クライアントデータを適切に分類・管理します。
• 不正アクセス、情報漏えい、改ざん、紛失、破壊を防止するため、技術的・組織的安全管理措置を講じます。
• 外部委託先、クラウドサービス、AIサービスの利用にあたっては、安全性を確認し、適切に管理します。利用するAIサービス・基盤モデルについては、入力データおよびユーザーのプロンプトがAIモデルの再学習・トレーニングに無断で利用されない設定（オプトアウトまたはエンタープライズ契約の非学習条項）を徹底します。
• セキュリティインシデントが発生した場合、速やかに原因調査、被害拡大防止、関係者への報告、再発防止を行います。
• 情報セキュリティ体制を継続的に見直し、改善します。

安全管理措置の例

• アクセス権限の最小化・ID・パスワード・多要素認証（MFA）による認証管理
• 通信および保存データの暗号化（TLS/AES）
• 操作ログ、監査ログの取得・保全
• 外部委託先の管理・情報セキュリティ教育
• GCPを主軸とするゼロトラストアーキテクチャ（Cloud VPN・Identity-Aware Proxy）の採用
• GitHubによるコードバージョン管理・変更履歴の保全
• セキュリティインシデント発生時の報告・対応体制の整備
• 生成AIサービス利用時のデータマスキングおよび非学習設定の徹底

開発段階からのセキュリティ（Secure by Design）NEW

当社は、システムおよびサービスの設計・開発段階からセキュリティを組み込む「Secure by Design」の原則を採用します。

• 設計段階での脅威分析：新機能・新サービスの設計時に、脅威モデリング（STRIDE等）を実施し、潜在的なリスクを事前に特定・排除します。
• 最小権限の原則：システムコンポーネント、APIキー、サービスアカウント等に付与する権限を、必要最小限に設定します。
• デフォルトでの安全性：全ての設定はデフォルトで最も安全な状態とし、安全性を下げる方向の変更には明示的な承認を要します。
• AIシステムのセキュリティ設計：Genesis AIをはじめとする自社AIサービスは、入力データのサニタイジング、プロンプトインジェクション対策、出力フィルタリングを設計段階から実装します。
• 依存ライブラリの管理：使用するOSS・ライブラリの脆弱性情報を継続的にモニタリングし、速やかにアップデートを適用します。
• コードレビュー・セキュリティテスト：本番環境へのデプロイ前に、コードレビューおよびセキュリティスキャンを必須工程として実施します。

AIサービス・クラウド利用における追加措置

• 生成AIサービスへの入力時に、個人を特定できる情報・機密情報をマスキングまたは匿名化します。
• クライアントデータをAIサービスに送信する際は、事前にクライアントの同意を取得します。
• GCPのVPC Service Controls、Cloud Armorを活用し、データの境界保護を実施します。
• 今後、NTTコミュニケーションズのPartner Interconnectを導入し、官公庁・金融機関レベルの高セキュリティ接続環境を構築します。

教育・訓練

• 全従業員に対して情報セキュリティ教育を定期的に実施します。
• フィッシング・ソーシャルエンジニアリング対策を含む実践的な訓練を年1回以上実施します。
• Google Cloud Skills BoostによるGCPセキュリティの継続学習を日次で実施します。

お問い合わせ窓口

情報セキュリティに関するご質問・インシデント報告：
ALTEVO株式会社 情報セキュリティ管理責任者
E-mail：info@altevo.jp
TEL：050-1790-2537（平日 10:00〜17:00）

本方針は、SECURITY ACTION（IPA）の基準、中小企業の情報セキュリティ対策ガイドライン（IPA）、 個人情報保護法、不正競争防止法、GDPRの趣旨を踏まえて策定しています。