情報セキュリティ基本方針

第1条（目的）

第2条（適用範囲）

1. 本基本方針は、当社の役員および従業員（雇用形態を問わず、契約社員・パートタイマー・アルバイト・派遣社員・インターンを含む）、ならびに当社の情報資産にアクセスする業務委託者、共同研究者その他の外部関係者に適用する。外部関係者については、契約、秘密保持契約、覚書その他の手段により本基本方針の趣旨に沿った対応を求める。

2. 本基本方針が対象とする情報資産には、紙および電磁的記録の形式を問わず、当社が取扱う情報、業務システム、クラウドサービス上のアカウント、ソースコード、研究データ、AIへの入力および出力、認証情報等を含む。

第3条（組織的取組み）

1. 当社は、代表取締役の責任のもと、組織的かつ継続的に情報セキュリティの維持・改善に取り組む。

2. 当社は、情報セキュリティに関する責任者として情報セキュリティ責任者を置く。当面の間、代表取締役が責任者を兼任する。

3. 情報セキュリティ責任者は、本基本方針の運用、関連規程の整備、必要な経営資源の配分および定期的な見直し（少なくとも年1回）を行う。

第4条（人的対策）

1. 当社は、役員および従業員に対し、情報セキュリティに関する教育を、入社時および年1回を目安に実施する。

2. 役員および従業員は、業務上知り得た情報を秘密として保持し、退職後も同様の義務を負う。

第5条（情報資産の保護）

1. 当社は、取扱う情報資産を重要度に応じて区分し、区分に応じたアクセス制御、認証管理、暗号化、バックアップその他の必要かつ合理的な技術的措置を講じる。

2. 当社は、執務場所の実態に応じ、端末および書類の施錠、画面ロック、来訪者管理、盗難・紛失防止その他の物理的措置を講じるよう努める。

3. 当社は、重要な情報システムについて、可能な範囲でログを取得・保存し、定期的な確認および異常時の通知を行う体制の整備に努める。

第6条（AI・LLMの利用）

1. 当社は、業務効率化および研究品質向上のため、生成AIおよび大規模言語モデル（LLM）等のAIツールを積極的に活用する。

2. 当社は、顧客から預かった機密情報、研究対象者の識別情報その他のセンシティブ情報について、契約上許容される場合、本人同意その他の適法な根拠がある場合、かつ社内承認を得た場合を除き、AIツールへ入力しない。ただし、AI利用ポリシーに定める自己ホスト型LLM（プロンプト、入力データ、出力データその他利用に伴う情報が外部の事業者または第三者に送信されないものをいう）への入力については、外部送信が発生しないため、社内承認を要しない。この場合においても、契約上許容される場合および本人同意その他の適法な根拠の要件は引き続き適用される。

3. AI・LLMの具体的な利用ルール、ならびに第2項に基づく社内承認時の確認事項（入力データの範囲、利用目的、契約・同意等の根拠、サービス設定、必要に応じた匿名化・仮名化等）は、別途定める「AI利用ポリシー」に定める。

第7条（法令および社内規程の遵守）

1. 当社の役員および従業員は、情報セキュリティに関する法令、契約上の義務、当社の関連規程および本基本方針を遵守する。

2. 個人情報の取扱いに関しては、「プライバシーポリシー」および別途定める個人情報取扱規程（社内版）に従う。

第8条（インシデント対応）

1. 当社は、情報セキュリティインシデント（情報漏えい、不正アクセス、サービス停止等）の発生に備え、情報セキュリティ責任者を中心に、検知、初動対応、報告、復旧および再発防止を行う。当該対応の手順は継続的に整備・改善する。

2. インシデントを発見した役員および従業員は、速やかに情報セキュリティ責任者に報告する。

3. 当社は、法令および契約に従い、関係者への通知・報告を速やかに行う。具体的な期限および要領は、契約条項およびインシデント対応手順に定める。

第9条（違反時の対応）

第10条（関連規程）

1. 本基本方針に基づく具体的なコントロールおよび運用手順は、情報セキュリティ管理規程その他の社内規程において、当社の規模および事業実態に応じて定める。

2. 公的研究費、受託研究、共同研究その他の研究活動に伴う研究データの取扱いについては、本基本方針との関係においては契約および「研究データ管理規程」が優先する。ただし、当該研究データに個人情報が含まれる場合は、個人情報保護法その他の法令、プライバシーポリシーおよび個人情報取扱規程にも従う。

第11条（継続的改善）

第12条（改廃）

附則