Security Policy
情報セキュリティ基本方針
制定日: 2026年4月
西ソフト株式会社
基本理念
西ソフト株式会社(以下「当社」)は、業務自動化、セキュリティ分析、AIプロダクト開発を通じて、お客様の事業基盤を構築しています。お客様からお預かりする情報資産は、事業の根幹に関わるものです。この情報資産を適切に保護することは、当社の事業活動の前提条件であり、お客様との信頼関係の基盤です。
当社の代表取締役は、サイバー攻撃と防御の国際資格「CEH(Certified Ethical Hacker)」を保有しています。攻撃者の視点を理解したうえで防御を設計するという姿勢は、当社のセキュリティ方針の根幹にあります。
1. 情報資産の保護
当社は、お客様からお預かりした情報および当社が保有する情報について、機密性・完全性・可用性を維持し、適切に管理します。
- お客様の情報は案件ごとに論理的に隔離し、他案件への流用は行いません
- 情報資産の分類基準を定め、その重要度に応じた管理策を講じます
- 業務上の必要性に基づいたアクセス権限の設定を行い、最小権限の原則を徹底します
2. セキュリティ・バイ・デザイン
セキュリティは実装後の追加機能ではなく、設計段階から組み込むものです。当社は全てのプロジェクトにおいて、以下の原則を適用します。
- 設計初期から脅威モデリングを実施し、攻撃されにくいアーキテクチャを構築します
- 権限設計・データの境界・通信の暗号化を設計段階で定義してから実装に着手します
- 納品物のアーキテクチャに応じたセキュリティ対策を選定し、過不足のない保護を実現します
- コードレビューにおいて、セキュリティ観点での検証を標準プロセスに含めます
3. 法令および規範の遵守
当社は、個人情報保護法をはじめとする関連法令、および業界の規範・ガイドラインを遵守します。お客様の業界固有の規制(FISC安全対策基準等)への対応実績を有しており、規制環境を理解したうえでの開発・コンサルティングを提供します。
4. AIの利用におけるセキュリティ
当社はAIを全面的に活用しています。詳細は AIポリシー をご覧ください。
- お客様の情報をAIサービスに入力する際は、お客様との合意に基づき、データの学習利用がないことを確認したサービスのみを使用します
- AIの出力は構造的な検証プロセス(ハーネス設計)を経て、CTO経験者が品質を確認します
- AIに依存した自動判断を最終成果物にそのまま反映することはせず、専門家による検証を必ず介在させます
5. インシデント対応
セキュリティインシデントが発生した場合、または発生のおそれがある場合は、速やかに以下の対応を行います。
- 影響範囲の特定と被害の最小化を最優先で実施します
- お客様への報告を迅速に行い、対応状況を透明に共有します
- 原因の分析と再発防止策の策定を行い、セキュリティ体制の改善に反映します
6. 教育と改善
情報セキュリティに関する知識・意識の維持向上のため、定期的な教育と評価を実施します。セキュリティの脅威は常に変化するため、当社のセキュリティ体制も継続的に評価し改善します。
7. 本方針の改定
本方針は、法令の改正、技術環境の変化、事業内容の変更等に応じて、適宜見直しを行います。