データのセキュリティーおよび準拠性の保持
お客様のデータ・セキュリティーが最も重要です。 以下の情報は、 IBM watsonx を使用する際に顧客データを保護する方法のいくつかと、これらの取り組みを支援するために必要なことの概要を示しています。
- お客様の責任
- HIPAA 準備済
- GDPR に対する IBMのコミットメントです
- コンテンツとデータの保護
- IBM watsonx.aiランタイム・ログ・ファイルに適用される GDPR ステートメント
- IBM watsonx.aiRuntime サービスからの安全な削除
お客様の責任
お客様自身が EU 一般データ保護規則 (GDPR) を含む各種法令を遵守するために必要な措置を講ずるのはお客様の責任です。 お客様のビジネスに影響を及ぼす可能性のある関連法令の特定およびそれらの解釈、ならびにかかる関連法令を遵守するためにお客様が講ずるべき必要措置に関する助言は、お客様の責任により適格な弁護士から得るものとします。 ここに記載されている製品、サービス、およびその他の機能は、すべてのお客様の状況に適しているわけではなく、利用が制限される可能性があります。 IBM は、法律、会計または監査に関する助言を提供することはしませんし、IBM のサービスまたは製品が、お客様のあらゆる法令遵守の裏付けとなる表明または保証もいたしません。
HIPAA対応
HIPAAの要件を満たすため、 IBM は、1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)のセキュリティおよびプライバシーに関する規則の要件に見合った管理策を導入しています。 これらの要件には、45 CFR Part 160およびPart 164のSubpart AおよびCでビジネス・アソシエイトに求められる適切な管理上、物理的、技術的な保護対策が含まれます。
HIPAA準拠は、一部の IBM サービス、プラン、地域に適用されます
HIPAAの要件を満たすため、 IBM は、1996年医療保険の相互運用性と説明責任に関する法律(HIPAA)のセキュリティおよびプライバシーに関する規則の要件に見合った管理策を導入しています。 これらの要件には、45 CFR Part 160およびPart 164のSubpart AおよびCでビジネス・アソシエイトに求められる適切な管理上、物理的、技術的な保護対策が含まれます。
watsonx プランで利用可能な生成型AI機能は、HIPAA準拠ではありません。 例えば、生成型AIのプロンプトや基盤モデルによる推論は、HIPAA準拠ではありません。
HIPAA-readiness for machine learning assets is available when you are in the Cloud Pak for Data as a Service context, and only for these plans:
- IBM Knowledge Catalog については、HIPAA準拠はダラス(米国南部)地域のスタンダードプランおよびプロフェッショナルプランに適用されます。
- watsonx.ai Studioの場合、HIPAA準拠は、ダラス(米国南部)地域のプロフェッショナルプランに適用されます。
- watsonx.ai のランタイムでは、HIPAA準拠はダラス(米国南部)地域のスタンダードプランに適用されます。
IBM の HIPAA サポートでは、お客様が IBM Cloud アカウントで IBM とのBusiness Associate Addendum (BAA) 契約に同意する必要があります。 BAA には、HIPAA 準拠を維持する上での IBM の責任とお客様の責任が記載されています。 IBM Cloud アカウントで HIPAA サポートを有効にした後では、このサポートを無効にすることはできません。 IBM Cloud Docs: アカウントの HIPAA サポートの有効化を参照してください。
IBM Cloud アカウントの HIPAA サポートを有効にするには、以下のようにします。
- 以下のように、IBM Cloud アカウントにログインします。
- 「管理」>「アカウント」 をクリックし、 「アカウント設定」をクリックします。
- 「HIPAA サポートあり」セクションで「オン」をクリックします。
- BAA を読み、「同意」をクリックして、「実行依頼」をクリックします。
GDPR に対する IBMのコミットメントです
お客様のコンプライアンス・ジャーニーをサポートする IBM独自の GDPR 対応の行程と GDPR 機能 およびオファリングについて説明します。
コンテンツとデータの保護
「データ処理およびデータ保護に関するデータ・シート」(「データ・シート」) には、処理が有効になっている「コンテンツ」の種類、関連する処理活動、データ保護機能、および「コンテンツ」の保存と返却に関する詳細について、「IBM Cloud サービス」に固有の情報が記載されています。 クラウド・サービスの使用およびデータ保護機能に関連するお客様の責任を含む詳細または明確化および条件(もしあれば)は、このセクションに規定されています。 お客様が選択したオプションに基づいて、お客様による IBM Cloud サービスの使用に適用される「データ・シート」が複数存在する場合があります。 「データ・シート」は英語でのみ提供され、現地の言語では提供されない場合があります。 現地の法律または慣習の慣行にかかわらず、当事者は英語を理解していること、および IBM Cloud サービスの取得および使用に関して英語が適切な言語であることに同意します。 以下のデータ・シートが IBM Cloud サービスおよびその利用可能なオプションに適用されます。 お客様は、i) IBM が IBMの裁量により「データ・シート」を随時変更できること、および ii) このような変更が旧バージョンに優先することを了承します。 「データ・シート」に対する変更は、次のいずれかを行うことを意図しています。
- 既存のコミットメントの改善もしくは明確化。
- 最新の採用された基準および適用法への整合の維持。
- 追加コミットメントの規定。 「データ・シート」のいかなる変更も「IBM Cloud サービス」のデータ保護を著しく低下させるものではありません。
表示できるデータ・シートの一部へのリンクについては、 詳細情報 セクションを参照してください。
お客様は、 IBM Cloud サービスの利用可能なデータ保護機能を注文、有効化、または使用するために必要な措置を取る責任を負い、それらの措置 (コンテンツに関するデータ保護要件やその他の法的要件を含む) をと取らない場合には、 IBM Cloud サービスを利用する責任を負います。 EU 一般データ保護規則 (EU/2016/679) (GDPR) が「コンテンツ」に含まれる個人データに適用される場合に、その適用範囲に限り、 IBMのデータ処理補足契約書 (DPA) および DPA 別表が適用され、本契約の一部として参照されます。 本「IBM Cloud サービス」に適用可能な「データ・シート」は「DPA 別表」の位置づけです。 DPA が適用される場合、サブプロセッサーに変更を通知する IBMの義務、および変更にお客様が異議を申し出る権利は、DPA に規定されているとおりに適用されます。
IBM watsonx.aiランタイム・ログ・ファイルに適用される GDPR ステートメント
データのトレーニングに使用するデータ・セットを選択するときには、データ・プライバシーの原則に十分注意してください。 PI の処理は、厳格な法的要件によって規定されており、明示的な法的根拠に基づいている場合にのみ許可されます。 このような法規制では、PI はその収集目的のみに基づいて取り扱われることが義務付けられています。 この当初の目的に適合しない方法での取り扱いは禁止されています。 これらの規則およびその他の制約により PI の使用が制限される場合は、許可または許容されない限り、トレーニング・データ・セットで「実際の」PI を使用しないことを強くお勧めします。 公的な場で利用可能なテスト・データを使用して実際の PI を置き換えることができます。
IBM watsonx.aiRuntime サービスからの安全な削除
IBM watsonx.aiRuntime サービスを使用する一環として保存された個人を特定できる情報およびデータ (PII) を持つ人は、管理者から不当な遅延なくそのデータの消去を求める権利を有します。 以下のいずれかの条件に該当する場合には、管理者は不当な遅滞なく個人データを消去する義務を負います。
IBM watsonx.aiRuntime サービスには PII データが保存されています
ユーザーのメールアドレスとフルネームは、watsonx.aiRuntime リポジトリ資産に関連するメタデータとして保存されます。
ユーザーがサービス資格情報を提供している。
通常、watsonx.aiランタイム・サービスのコントロール外にあり、潜在的にあらゆる種類の PII データを含む可能性があるリポジトリ資産のコンテンツ。 この場合ユーザーは、モデルなどの資産に保管されている PII データを追跡するときには以下の操作を行う必要があります。
- モデルまたはアセットのメタデータからトレーニングデータの参照を取得します。
- トレーニング・データをスキャンし、特定ユーザーの PII データが含まれているかどうかを確認します。
- そのようなデータがトレーニングデータセットの中に見つかれば、モデルやアセットが潜在的にそのデータを保有していると考えるべきである。
モデルなどのリポジトリー資産の内容は、 個人データを完全に削除するためののいずれかの方法を実行することで安全に削除できます。
個人データを完全に削除する方法
ユーザーが個人データを完全に削除する方法はいくつかあります。
IBM watsonx.aiRuntime サービスインスタンス全体をIBM Cloud から削除します。 このためには、IBM Cloud UI、CLI、REST API などの異なるチャネルでプロビジョン解除要求を送信します。
アセットやデプロイメントを削除するには、watsonx.aiRuntime REST を 使用します。
IBM watsonx.aiRuntime サービスでは、個人を特定できる情報およびデータは、30 日後にバックアップを含むすべてのデータ・ソースから完全に削除されます。
詳細情報
- watsonxの用語
- IBM watsonx.aiランタイム規約
- IBM watsonx.ai Studio の用語
- IBM Cloud Object Storageの用語
- データの安全性を確認する方法
- Data Security and Privacy Principles for IBM Cloud Services
- IBM と GDPR
- ソフトウェア製品互換性レポート:IBM watsonx.aiStudio
- ソフトウェア製品互換性レポート:IBM watsonx.aiランタイム
- ソフトウェア製品互換性レポート:IBM watsonx.aiランタイム・サービス
親トピック: セキュリティー