合同会社データリスト(以下「当社」)は、AI導入・運用に関わる情報を取り扱う立場として、機密性・完全性・可用性の観点から、 情報管理を重要な設計要件として扱います。本ページは、当社の基本方針と、案件ごとに合意していく運用前提を示すものです。
当社は、取り扱う情報の機密性と説明責任を両立させるため、アクセス制御、証跡、委託先管理、インシデント対応等を含む統制を、 案件のリスクに応じて設計します。特に、AI運用においては、学習データ・評価データ・出力ログ・判断根拠等の取り扱いを、 監査可能性の観点から整理します。
必要最小限の権限付与、役割に基づくアクセス制御、アカウント管理を前提に運用します
保存・転送時の保護、保管場所の明確化、削除・返却条件を案件ごとに定義します
いつ、誰が、何を扱い、何を変更したかが追えるよう、必要な証跡設計を組み込みます
外部サービスや協力会社を利用する場合、取り扱い範囲と責任分界を明確化します
検知、初動、連絡、封じ込め、再発防止の観点で、必要な運用手順を整理します
AIは運用で劣化し得る前提で、監視・再学習・変更管理と情報管理を接続します
上記は一般方針であり、具体的な統制内容は、取り扱うデータの性質、業界要件、契約条件、体制により異なります。
当社は、過剰な断言ではなく、実運用に耐える形で統制を確定することを重視します。 そのため、案件の開始時に、以下の観点を合意して運用設計へ落とします。
これらは、Discovery Phaseでの整理対象として扱うことができます。
当社は、法令・ガイドライン・運用実態の変更等に応じて、本方針を見直す場合があります。 改定後の内容は、本サイト上での掲載をもって適用されます。
