セキュリティ・ガバナンス方針

基本方針

• ● 顧客データを学習用途で外部に渡さない
• ● 入出力の境界に明示的なガードレールを設置する
• ● 監査ログを保持し、案件単位で説明責任を担保する
• ● 業界特有の規制（税理士法・弁護士法等）に準拠した運用設計を行う
• ● 顧客ごとにコンテキストを分離し、案件をまたいで情報が混ざらない構造を維持する

AI エージェント運用の設計指針

複数の AI エージェントが業務に関与する前提で、以下の機能を共通基盤として設計しています。

• ● エージェント ID 認証 — 各エージェントに一意 ID を付与し、認証された主体のみが業務に関与する
• ● アクセス権限管理 — エージェント ID に紐づく形で、データ・スキル単位の権限を制御する
• ● 監査ログ — Who / What / When / Why を完全記録し、事後の説明責任を担保する
• ● 異常検知 — 想定外の動作パターンを早期に検出する仕組みを組み込む
• ● 追加認証 — 重要なアクションには追加の認証ステップを設ける

クライアント案件での適用プロセス

1. クライアントごとにセキュリティ説明資料を作成し、責任者と合意する
2. 業務固有データの分類と処理フローを定義する
3. 導入時に責任者と合意したガードレールを実装する
4. 運用開始後も継続的にレビューし、改善する