Dialpad は、当社に代わってデータを処理する第三者 (サブプロセッサー) のシステムおよびサービスを厳密に審査しています。
Vertex や OpenAI のような第三者の大規模言語モデル (LLM) は、新たなカテゴリのサブプロセッサーに該当し、既存のセキュリティ審査基準を適用するだけでなく、LLM に特有の技術やリスクに対応するための新しい基準の策定も必要です。
Dialpad は、これらのパートナーとその提供する機能を含めるために、セキュリティおよびプライバシー評価を継続的に改善していきます。LLMプロバイダーを評価する際、Dialpad は以下のセキュリティ、プライバシー、およびコンプライアンスの観点を調査します:
セキュリティ対策の確認
契約上の保護
顧客データの権利
透明性
規制遵守
倫理
以下、詳細をご参照ください。
セキュリティ対策の確認
各サブプロセッサーは、システムの保護および顧客データの安全性確保のために強固な対策を講じていることを裏付ける文書を取得するため、包括的なセキュリティ評価を受けます。
Dialpad は、ベンダーが Dialpad の Trust Center と同等以上の情報セキュリティ体制を持っていることを求めます。これには、SOC2、ISO 27001、ISO 27017、ISO 27018、第三者による監査、ペネトレーションテスト、セキュリティインシデントへの対応能力などが含まれます。
契約上の保護
Dialpad は、顧客データをいかなるサブプロセッサーに移転する前にも、そのデータの処理に関して明確な制限を定めた契約上の保護措置を講じることを求めます。
データ処理契約(DPA)は、適切なセキュリティ対策が維持されること、顧客データが特定の目的のみに使用されること、そしてサブプロセッサーが自らのパートナーにも同等の厳格な基準を適用することを保証する、Dialpad およびその顧客のとって法的拘束力のある保証を提供します。
また、該当する場合には、Dialpad は保護対象保健情報 (PHI) などの医療データを取り扱う顧客向けに、ビジネス アソシエイト契約(BAA)も締結します。
顧客データの権利
お客様のデータは常にお客様の所有物です。
大規模言語モデル(LLM)においては、トレーニングデータが重要な役割を果たすため、顧客やパートナーが顧客データの利用可能範囲について明確に理解していることが不可欠です。
Dialpad は、将来的な LLM パートナーに対して、最適な通知と同意なしにDialpad の顧客データをトレーニング目的で使用しないことに同意するよう求めています。さらに、処理が完了した後は、通常30日以内に顧客データを削除することを求めています。
透明性
当社のサブプロセッサー一覧(このページでもご覧いただけます)には、当社がどの企業と連携しているか、提供されるサービスの内容、そして詳細情報の入手方法について公開しています。
選定したパートナーの質の高さと、信頼性が高く、スケーラブルで、革新性があり、コスト効率にも優れたサービスを提供するためのエコシステムに誇りを持っています。
規制遵守
LLM がどこからトレーニングデータを取得し、それをどのように使用するかという点は、米国、EU をはじめとする各国の規制当局によって厳しく精査されています。これらの審議動向を綿密に注視し、進化する法的環境にサービス提供内容を適合させるよう努めています。
倫理
AI を基盤とした統合型ビジネスコミュニケーションプラットフォームとして、Dialpad は長年にわたり、AI サービスにおける倫理的な実践について深く考えてきました。 自分たちが住みたい世界の一部となるようなプロダクトやサービスを構築するという基準を掲げており、それは上記で述べたセキュリティと安全性の原則に加えて、公平性と包摂性、ユーザーにとっての利益、説明責任といった側面も考慮することを意味します。
将来のパートナーにも同様の原則を求めています。詳細はこちらをご参照ください。
詳細情報
セキュリティおよび Dialpad の各種プロトコルに関する詳細は、下記の記事を確認してください。