AIセキュリティポリシー

当社が開発・提供するAI製品・サービスにおける、
データの取り扱い、セキュリティ、ガバナンスに関する基本原則を定めています。

第1章 総則

第1条(基本方針)

日本スーパーマップ株式会社(以下、「当社」)は、地理情報システム(GIS)における人工知能(AI)技術が社会に多大な便益をもたらす可能性を認識すると同時に、その利用に伴う倫理的、法的、社会的責任を深く自覚します。当社は、日本政府が掲げる「人間中心のAI社会原則」及びG7広島AIプロセス包括的政策枠組みの精神に則り、安全、安心、かつ信頼できるAI(以下、「信頼できるAI」)の開発と提供に努めます。本ポリシーは、当社の全ての役員および従業員が遵守すべきAIのセキュリティとガバナンスに関する基本原則を定めるものです。

第2条(適用範囲)

本ポリシーは、当社が開発、提供する全てのAI搭載製品、サービス、およびソリューション(SuperMap Copilot、AIリモートセンシング解釈、AIによる3Dモデリング機能等を含む)に適用されます。また、本ポリシーは、当社の製品・サービスを利用する全ての顧客(以下、「利用者」)との関係においても適用されるものとします。

第3条(定義)

  • AIシステム: 人間が定義した目的のため、現実または仮想環境に与える予測、推奨、決定を行うことができる機械ベースのシステムを指します。
  • 顧客データ: 利用者が当社の製品・サービスを利用する過程で入力、アップロード、または生成する全てのデータ(地理空間データ、設計データ、テキストプロンプト、画像データ等)を指します。
  • 個人情報: 個人情報の保護に関する法律(以下、「個人情報保護法」)第2条第1項に定める個人情報を指します。

第2章 AIガバナンス体制

第4条(AI倫理・ガバナンス委員会の設置と役割)

当社は、信頼できるAIの実現に向けたガバナンス体制の中核として、経営層、法務、コンプライアンス、サイバーセキュリティ、AI開発、および製品開発の各部門から選出されたシニアメンバーで構成される、独立した「AI倫理・ガバナンス委員会」を設置します。

本委員会は、以下の役割を担います。

  • (a) 本ポリシーを含む社内AI関連規程の策定、承認、および定期的な見直し。
  • (b) 新規AI機能のリスク評価(プライバシー、セキュリティ、公平性、倫理的観点を含む)の実施と承認。
  • (c) AIに起因するインシデントへの対応プロセスの監督。
  • (d) 国内外の法規制、技術動向、社会的要請の監視と、それらに基づくポリシーの更新。
  • (e) 外部の有識者やステークホルダーとの対話を通じた、ガバナンス体制の客観性の確保。

第3章 AI開発・運用における中核原則

第5条(顧客データの取り扱いとプライバシー保護)

  • 個人情報保護法の遵守: 当社は、顧客データに含まれる個人情報の取り扱いにおいて、個人情報保護法および関連ガイドラインを厳格に遵守します。
  • AIモデル学習における厳格なオプトイン: 当社は、利用者の顧客データをAIモデルの学習・改善のために利用しません。ただし、利用者が特定の機能(例:フィードバックの提供)を通じて、その都度、明確かつ個別の事前同意(オプトイン)を示した場合に限っては、この限りではありません。この同意はいつでも撤回可能です。
  • データ所有権の尊重: 利用者は、当社のAIシステムに入力した顧客データおよびAIが生成した出力結果に対する完全な所有権を保持します。当社がこれらのデータに対し、利用者の許可なく所有権を主張することはありません。
  • 匿名化・非識別化措置: やむを得ず顧客データを利用する必要がある場合(上記第2項に基づく同意がある場合など)は、個人を特定できないよう、統計情報化、匿名化、または仮名化等の適切な非識別化措置を講じます。
  • データ主権への配慮: 利用者は、自らの顧客データが処理・保管される地理的地域を選択できるものとします。当社は、利用者の選択に基づき、データが指定された地域外に転送されることがないよう、技術的・契約的措置を講じます。

第6条(セキュリティと信頼性)

  • セキュア・バイ・デザイン: 当社は、AIシステムの企画・設計段階からセキュリティを組み込む「セキュア・バイ・デザイン」アプローチを採用します。
  • AI特有の脅威への対策: 当社は、AIシステムを保護するため、以下の技術的セキュリティ対策を継続的に実施します。
    • (a) 敵対的攻撃シミュレーション: AIモデルの脆弱性を特定し、防御策を講じるための敵対的サンプルを用いたテスト。
    • (b) データポイズニング検証: 学習データへの悪意あるデータ混入を検知・防止するための検証プロセス。
    • (c) レッドチーム演習: 独立した専門家チームによる、AIシステムに対する実践的な侵入・攻撃テストを実施し、未知の脆弱性を発見・修正します。
  • 脆弱性管理とインシデント対応: G7広島AIプロセス国際行動規範に基づき、AIシステムの脆弱性を継続的に監視し、発見された場合は迅速に修正・対応します。重大なインシデントが発生した場合は、影響を受ける利用者に速やかに通知するとともに、原因究明と再発防止に努めます。
  • 暗号化: 全ての顧客データは、転送時(TLS 1.2以上)および保管時(AES-256)において、業界標準の強力な暗号化によって保護されます。

第7条(公平性、説明責任、透明性)

  • バイアスの検出と緩和: 当社は、AIシステムが特定の属性(人種、性別、年齢など)に基づき不公平な結果を生じさせることがないよう、開発の各段階でバイアス検出ツールを用い、その緩和に努めます。これには、多様なデータセットを用いた学習と、公平性指標に基づく定期的な監査が含まれます。
  • 人間による監視: 当社は、AIが人間の能力を「拡張」するツールであるとの原則に立ち、重要な意思決定がAIによって完全に自動化されることを防ぎます。利用者がAIの出力を検証し、最終的な判断を下せる「ヒューマン・イン・ザ・ループ」の仕組みを製品設計に組み込みます。
  • AI透明性カードの導入: 当社は、主要なAI機能ごとに、その目的、利用するデータの種類、AIモデルの概要、既知の制約やリスク、および利用者の選択肢(オプトイン/アウト)を明記した「AI透明性カード」を作成し、公開します。これにより、利用者はAI機能の特性を理解した上で、情報に基づいた意思決定を行うことができます。
  • 説明可能性の追求: 利用者がAIの出力結果の根拠を理解できるよう、可能な範囲で判断理由や寄与した要因を提示する技術(説明可能なAI、XAI)の研究開発と実装に努めます。

第4章 役割と責任

第8条(役割と責任)

  • 当社の責任: 本ポリシーを遵守し、信頼できるAIの開発・提供に責任を負います。また、利用者に対して、AI機能の適切な利用に関する情報提供とサポートを行います。
  • 利用者の責任: 利用者は、自らの利用目的が適用される法令や社会倫理に反しないことを確認する責任を負います。また、AIシステムの出力が最終的な意思決定の参考情報であることを理解し、その妥当性を自ら判断するものとします。特に、機密情報や個人情報をAIシステムに入力する際には、自組織のポリシーに従い、十分な注意を払う必要があります。

第5章 その他

第9条(法令遵守と国際協調)

当社は、国内外の関連法令および政策枠組みを遵守し、国際的な議論や枠組みと協調し、グローバルな基準も準拠した事業運営を行います。

1. 国内法令およびガイドライン
当社は、以下の日本国内における関連法令および指針を遵守します。

  • 個人情報の保護に関する法律(個人情報保護法)
  • サイバーセキュリティ基本法
  • 不正アクセス行為の禁止等に関する法律
  • 労働施策総合推進法(採用におけるAI利用への配慮を含む)
  • 電気通信事業法
  • 知的財産基本法および著作権法
  • 消費者契約法
  • デジタル庁「AI原則実践ガイドライン」
  • 総務省「AIネットワーク社会推進会議 報告書」
  • 経済産業省「AI・データの利用に関する契約ガイドライン」

2. 国際的枠組み・原則との協調
当社は、以下を含む国際的なAIガバナンスの枠組みや原則に則り、グローバルな水準に整合した事業運営に努めます。

  • OECD「AIに関する原則」
  • G7広島AIプロセス 包括的政策枠組み
  • EU AI規則(AI Act)(参考)
  • ISO/IEC 42001(人工知能マネジメントシステム)
  • UNESCO「AI倫理に関する勧告」

第10条(本ポリシーの改定)

AI技術の進展、法規制の変更、社会からの要請等を踏まえ、AI倫理・ガバナンス委員会は本ポリシーを定期的に見直し、必要に応じて改定します。最新のポリシーは、当社の公式ウェブサイトにて常に公開します。

附則
本ポリシーは、2025年9月1日より試行する。