情報セキュリティ方針 / データ取り扱い方針（生成AI利用方針）

1. 情報セキュリティ基本方針

株式会社GembaShift（以下「当社」）は、事業活動の中で取り扱う情報資産（お客様からお預かりする情報を含む）の重要性を認識し、情報セキュリティの確保を経営上の重要課題のひとつとして位置づけます。当社は、以下の方針に基づき、適切な管理を継続的に実施します。

2. 適用範囲

本方針は、当社の役員・従業者および当社業務に従事する関係者に適用されます。業務委託先に対しては、必要に応じて本方針と同等の管理水準を求めます。

3. 体制および責任

当社は、情報セキュリティを維持・向上させるための責任者を定め、情報資産の管理、事故の予防、インシデント発生時の対応を行います。

4. リスク評価と安全管理措置

当社は、情報資産に対するリスクを把握し、必要かつ適切な安全管理措置を講じます。アクセス権限管理、ログ管理、バックアップ、脆弱性対策等を含む技術的・組織的対策を、事業内容およびリスクに応じて実施します。

5. 法令・規範の遵守

当社は、個人情報保護法を含む関連法令、ガイドラインおよび契約上の義務を遵守します。

6. 教育・啓発

当社は、情報セキュリティの確保に必要な教育・啓発を実施し、関係者に対して本方針の周知徹底に努めます。

7. インシデント対応

当社は、情報セキュリティ上の事故が発生した場合、被害拡大の防止、原因究明、再発防止に努めます。また、必要に応じて関係者への連絡等を適切に行います。

8. 継続的改善

当社は、情報セキュリティの管理状況を定期的に見直し、継続的な改善に取り組みます。

9. データ取り扱い方針（生成AI利用方針）

当社は、業務において生成AI等の技術を利用する場合であっても、お客様情報を含むデータの機密性・完全性・可用性を損なわないことを最優先とし、以下の考え方に基づいて運用します。

• お客様からお預かりした情報は、契約および利用目的の範囲内でのみ取り扱います。
• 個人情報・機密情報等を外部の生成AIサービスに入力する必要がある場合は、事前にお客様との合意を得た上で、匿名化・マスキング等の適切な措置を検討・実施します。
• 生成AIの出力は誤りを含む可能性があるため、必要に応じて人による確認・検証を行い、重要な意思決定を自動化された出力のみに依存しない運用に努めます。
• 外部サービスを利用する場合は、利用規約・提供者の管理体制等を確認し、リスクを踏まえた運用ルール（入力制限、権限管理、ログ管理等）を定めます。

10. お問い合わせ窓口

本方針に関するお問い合わせは、お問い合わせフォームよりご連絡ください。
株式会社GembaShift