Blackford
セキュリティポリシーお問い合わせ

発効日 2026年4月20日 (アーカイブ版)

セキュリティポリシー

ごあいさつ

Blackford Technologies株式会社(以下「当社」)は、お客様の情報資産を、多層防御と継続的改善により保護することをお約束します。

  • 情報資産を多層防御で保護します。ネットワーク、エンドポイント、アプリケーション、データ、人の各レイヤーで管理策を組み合わせ、脅威に対する防御の層を厚くしています。
  • AI/AX特有のリスクに対応します。モデル・学習データ・推論パイプラインに固有の脅威を識別し、プロンプトインジェクション、モデル漏えい、データ汚染などに対する技術的・運用的対策を実装・拡充しています。
  • 継続的に改善します。脅威情勢と技術動向の変化に応じて方針と管理策を継続的に見直し、ISMSの考え方に基づくPDCAサイクルで運用を成熟させます。

本セキュリティポリシーをご確認いただくことで、Blackford Technologies株式会社が提供するAXソリューション、AIプラットフォーム、コンサルティングサービスにおいて、お客様の情報資産をどのように保護しているかをご理解いただけます。ご質問や脆弱性のご報告は、Blackford Technologies株式会社の情報セキュリティ窓口(security@blackford.co.jp)までお気軽にご連絡ください。内容確認のため、ご所属・ご連絡先および再現手順などの情報をお伺いする場合があります。

事業者情報

Blackford Technologies株式会社(以下「当社」)は、本セキュリティポリシーに基づき、お客様からお預かりするすべての情報資産を適切に保護します。事業者情報は以下の通りです。

商号: Blackford Technologies株式会社

事業内容: AIコンサルティング/AI開発・実装/AX・業務自動化/データ基盤・MLOps/クラウド・インフラ構築/AI・DX補助金/セキュリティ/FDE・アフターサービス、ならびに自社プロダクト(DataRoid、DataRoid Cloud、SalesRoid)の提供

情報セキュリティ責任者(CISO)連絡先: security@blackford.co.jp

情報セキュリティ基本方針

当社は、お客様、取引先、従業員および社会からの信頼に応えるため、情報セキュリティを経営上の最重要課題のひとつと位置付け、以下の基本方針に従って情報資産の機密性、完全性、可用性(CIA)を維持します。

本ポリシーの適用範囲

本セキュリティポリシーは、当社が取り扱うすべての情報資産、ならびにそれらを取り扱うすべての役員・従業員・業務委託先に適用されます。

対象情報資産: お客様からお預かりするデータ、契約情報、個人情報、営業秘密、AIモデルおよび学習データ、ソースコード、運用ログ、社内業務情報等。

対象組織・人員: 当社の全事業所、全部門、役員、正社員、契約社員、派遣社員、業務委託先、インターンおよびその他当社業務に従事する者。

対象システム: 当社が保有または管理するサーバー、ネットワーク、クラウドサービス、エンドポイント端末、SaaSアカウント、開発環境、ステージング環境、本番環境、ならびに自社プロダクト(DataRoid、DataRoid Cloud、SalesRoid)の提供基盤。

情報セキュリティガバナンス体制

当社は、CISOを頂点とする情報セキュリティ推進体制を整備し、経営層の関与のもと組織的にセキュリティを推進しています。

最高情報セキュリティ責任者(CISO)を任命し、情報セキュリティに関する全社方針・戦略を統括します。

CISO配下に情報セキュリティ委員会を設置し、各部門責任者と連携してリスクアセスメント、管理策レビュー、インシデント対応方針を策定します。

AI/AX事業特有のリスクに対応するため、AIセキュリティワーキンググループを設置し、モデル・データ・プロンプトに関わる技術課題を継続的に評価・改善しています。

組織の成熟に応じ、情報セキュリティ管理策の実効性を第三者的視点から定期的に評価する仕組みの整備を進めています。

情報資産の分類と管理

当社は、情報資産を機密性・重要度に応じて分類し、分類ごとに取扱い・保存・送信・廃棄の基準を定めています。

情報資産を「公開」「社内限定」「機密」「最重要機密」の4段階に分類し、分類ごとに閲覧・複製・持ち出し可否を定義しています。

お客様からお預かりするデータは、契約で特段の合意がない限り「機密」以上として取り扱い、限定されたプロジェクトメンバーのみアクセスできるよう権限を制御します。

情報資産台帳を整備し、所有者、保管場所、分類、保存期間、廃棄方法を記録・定期見直ししています。

保存期間を経過した情報は、記録媒体の物理破壊、暗号鍵の破棄、または安全な論理削除により復元不能な状態で廃棄します。

アクセス管理

当社は、最小権限の原則および職務分離の原則に基づき、情報システムおよびデータへのアクセスを厳格に制御しています。

通信および保存データの暗号化

当社は、通信経路および保存データの機密性を確保するため、業界標準の暗号化技術を採用しています。

通信路の暗号化: インターネットを経由するすべての通信はTLS 1.2以上で暗号化します。内部ネットワーク間の通信も可能な限り暗号化しています。

保存データの暗号化: クラウドストレージ、データベース、バックアップはAES-256相当の暗号化を適用し、顧客データは顧客または環境ごとに独立した鍵で保護します。

鍵管理: 暗号鍵は鍵管理サービス(KMS)またはHSMで管理し、鍵の生成・配布・ローテーション・失効をログ記録しています。

機密性が特に高いデータについては、顧客管理鍵(CMK/BYOK)の利用を契約に応じて提供しています。自社プロダクト「DataRoid」「DataRoid Cloud」では、お客様環境内での鍵管理を前提とした設計を採用しています。

AI/生成AI固有のセキュリティ対策

当社は、AI/AXサービスに固有の脅威(プロンプトインジェクション、モデル漏えい、データ汚染、ハルシネーション、モデル推論攻撃等)を識別し、それぞれに対応する技術的・運用的対策を実装・拡充しています。

モデル・データパイプラインの保護

当社は、データ収集・前処理・学習・評価・デプロイ・推論・監視に至るAIモデルのライフサイクル全体で、セキュリティ管理策を適用します。

MLOps/LLMOpsパイプラインはInfrastructure as Codeで管理し、変更はPull Requestレビューと自動テストを経て本番へ反映する運用を採用しています。

学習データ、モデル、推論エンドポイントは環境(開発・検証・本番)ごとに分離し、本番環境には原則として匿名化・仮名化したデータのみを利用します。

モデルアーティファクトには署名・ハッシュによる完全性確認を適用し、改ざん検知および由来(provenance)の追跡を可能にしています。

推論リクエスト・応答は必要最小限の範囲でログ化し、機密情報が含まれる場合はマスキングを施してから保管します。

脆弱性管理とセキュア開発

当社は、設計段階からセキュリティを組み込むセキュア開発ライフサイクル(SDL)の考え方を採用し、継続的に脆弱性を検出・修正しています。

静的解析(SAST)、動的解析(DAST)、ソフトウェアコンポジション解析(SCA)を、CI/CDパイプラインに順次組み込み、既知の脆弱性を早期に検出します。

依存ライブラリおよびコンテナイメージを自動スキャンし、公表された脆弱性(CVE)に対して重大度に応じた対応期限を定めて修正します。

自社プロダクトおよび重要システムについては、外部の専門事業者による脆弱性診断/ペネトレーションテストを、重要な変更時および定期的に実施します。結果はCISOへ報告し対応計画を策定します。

脆弱性報告窓口(security@blackford.co.jp)を設置し、外部研究者からの通報を誠実に取り扱う協調的脆弱性開示(Coordinated Vulnerability Disclosure)ポリシーを定めています。善意の研究目的に基づく報告者に対しては、本ポリシーに従う限り法的手段を講じません(セーフハーバー)。

ログ監視とインシデント対応

当社は、セキュリティイベントを継続的に監視し、インシデント発生時には速やかに検知・封じ込め・復旧・再発防止を行う体制の整備を進めています。

クラウドセキュリティ

当社サービスおよび社内システムは、主要なクラウド基盤を活用して構築されており、責任共有モデルに基づきクラウド側・利用者側の責務を明確化して運用しています。

サプライチェーンおよび委託管理

当社は、業務委託先・クラウド事業者・OSSなど、サプライチェーン全体のセキュリティリスクを評価・管理しています。

委託先選定時には、情報セキュリティマネジメントの整備状況、第三者認証の取得状況、過去のインシデント履歴を確認し、当社基準を満たす先のみを採用します。

お客様の個人情報または機密情報を取り扱う委託先とは、当社と同等以上のセキュリティ義務を含む契約を締結し、取扱状況を定期的に確認します。

利用するOSSはライセンスおよび脆弱性をSCAで管理し、Software Bill of Materials(SBOM)の整備を順次進めています。

重要な第三者サービスについては、事業継続上の影響を評価し、代替手段および緊急時移行計画を準備します。

事業継続とデータバックアップ

当社は、災害、大規模障害、サイバー攻撃などに備え、事業継続計画(BCP)およびデータバックアップ運用を整備しています。

重要データは地理的に分散した複数拠点へ定期バックアップし、暗号化した状態で保管します。

目標復旧時間(RTO)および目標復旧時点(RPO)を主要サービスごとに定義し、これを満たす復旧手順を文書化しています。

ランサムウェア対策として、不変(immutable)バックアップ、特権セグメント分離、エンドポイント保護、復旧演習を組み合わせて実装します。

クラウドやインターネット回線の障害時に備え、代替経路・代替手段を用意し、お客様への業務影響を最小化します。

従業員教育と認識向上

当社は、全役員・従業員に対し、情報セキュリティおよびAI倫理に関する教育を継続的に実施しています。

入社時に情報セキュリティ研修および秘密保持誓約書の取得を必須化しています。

年次の情報セキュリティ研修、生成AI利用ガイドライン研修、個人情報保護研修を全従業員が受講します。

標的型メール訓練、フィッシング演習等を定期的に実施し、実践力を評価・向上させています。

開発・運用担当者にはセキュアコーディング、クラウドセキュリティ、AIセキュリティに関する専門研修を追加で提供します。

参照フレームワークおよび監査

当社は、国際的なフレームワーク・標準を参照し、情報セキュリティおよびAIガバナンス体制の妥当性と有効性を継続的に検証・向上させています。

当社は、ISO/IEC 27001(ISMS)ISO/IEC 42001(AIマネジメントシステム)NIST AI Risk Management Framework等の国際的なフレームワーク・標準を参照し、情報セキュリティおよびAIガバナンスの体制を整備しています。

お客様からの監査要請(セキュリティチェックシート、オンサイト/リモート監査等)に合理的な範囲で協力します。

主要なサプライヤーについては、取得している監査レポート・認証情報を確認・レビューしています。

本ポリシーの改定

当社は、法令改正、技術動向、事業内容の変更、および情報セキュリティリスクの見直しに伴い、本ポリシーを改定することがあります。

重要な変更を行う場合は、本ページでの告知または個別のご連絡により事前にお知らせします。

改定後のポリシーは、本ページへの掲載をもって効力を生じるものとします。

過去の版は「アーカイブ版」として参照可能な形で保管します。

お問い合わせ窓口

本セキュリティポリシーに関するご質問、脆弱性のご報告、セキュリティに関するお問い合わせは、下記の窓口までご連絡ください。

Blackford Technologies株式会社 情報セキュリティ窓口

メール:security@blackford.co.jp

電話:06-7777-3027

受付時間: 平日9:00〜18:00(土日祝・年末年始を除く)

脆弱性報告については、再現手順と影響範囲を添えてご連絡ください。内容を確認のうえ、速やかに対応いたします。

セキュリティに関するご相談・脆弱性のご報告を受け付けています。

お問い合わせ窓口