Document AI のセキュリティとコンプライアンス

以下は、さまざまな分野に適用される質問と回答です。

セキュリティ

Document AI でサービスのセキュリティを確保するには、次のトピックを確認してください。

Google では、Document AI に送信するデータのセキュリティをどのように保護していますか？

Google Cloud サービスに適用されているセキュリティ対策については、Google Cloud セキュリティ ページをご覧ください。

システムからシステムに移動する水平攻撃から保護するために、Document AI にはどのようなセキュリティ機能がありますか？

Document AI は以下をサポートしています。

• データ所在地
• 拒否ポリシー
• VPC Service Controls（VPC-SC）
  • 上り（内向き）ルールと下り（外向き）ルールでの ID グループとサードパーティ ID。
• アクセスの透明性
• 顧客管理の暗号鍵（CMEK）
  • Document AI で CMEK を使用する

セキュリティ コンプライアンス

このセクションでは、コンプライアンスに関連する質問について説明します。

Document AI はどのようなコンプライアンスを提供していますか？

Google Cloud は、セキュリティ、プライバシー、コンプライアンスの制御との整合性を検証するため、独立した第三者機関による定期的な監査を受けています。 Google Cloud は、ISO 27001、ISO 27017、ISO 27018、SOC 2、SOC 3、PCI DSS などの規格に対する定期的な監査を実施しています。

Google Cloud コンプライアンスについて詳しくは、コンプライアンス リソース センターをご覧ください。

Document AI は FedRAMP に準拠していますか？

Document AI は FedRAMP High に準拠しています。

Document AI は HIPAA に準拠していますか？

Document AI は HIPAA に準拠しています。

セキュリティ データの使用

このセクションでは、データに関するお問い合わせについて説明します。

Google はモデルの改善に顧客データを使用しますか？

いいえ。Google が Document AI サービスを提供する以外の目的でお客様のコンテンツ（ドキュメントや予測など）を使用することはありません。Google Cloud 利用規約の第 17 条をご覧ください。

Google Cloudでは、お客様のデータを Document AI モデルのトレーニングに使用することはありません。

詳しくは、透明性とデータ保護のページをご覧ください。

今後、Document AI に送信したドキュメントを Google が共有することはありますか？

Google は、Document AI サービスを提供するために必要な場合を除き、お客様が送信したドキュメントを公開したり、第三者と共有したりすることはありません。たとえば、ストレージやデータ伝送などのサービスの一部を提供するためにサードパーティ ベンダーを利用しなければならない場合があります。Google のベンダーには、適切なセキュリティおよび機密性保持に関する契約上の義務があります。その他の目的で、送信された書類を第三者と共有したり、公開したりすることはありません。

Google は、Document AI に送信したドキュメント、結果、リクエストに関するその他の情報を、いつまで、どこに保存しますか？アクセスできますか？

バッチ リクエストを使用して Document AI に送信されたドキュメントは、分析を実行して結果を返すために短期間保存する必要があります（エフェメラル キーで暗号化されるため、人間がアクセスすることはありません）。バッチ処理の場合、保存されたドキュメントにはフェイルセーフとして 1 日の有効期間（TTL）が設定され、通常は処理が完了次第、削除されます。バッチが異常終了した場合、データは最大 1 日の TTL で保持されることがあります。

同期プロセス

オンライン（即時応答）処理の場合、ドキュメント データ（リクエストで送信）はメモリ内で処理され、転送中に暗号化され、ディスクには保存されません。また、サービス向上と不正行為対策のために、Document AI API リクエストに関する一部のメタデータ（リクエストの受信時刻やリクエストのサイズなど）が一時的に記録されます。

詳細については、転送中の暗号化とリージョンをご覧ください。

Document AI へのリクエストで送信したコンテンツの所有権を Google が主張することはありますか？

Document AI に送信したコンテンツ（ドキュメントや予測を含む）のいずれの所有権についても Google が主張することはありません。ドキュメントとカスタムモデルは、（非公開の）顧客データと見なされます。Google がモデルの改善にお客様のデータを使用することはありません。両者がそのような取り決めに同意するまれな状況では、明示的なデータ共有契約が作成されます。

Google と共有する前にドキュメントで編集する必要がある個人情報（PII）とは何ですか？

ドキュメント共有の目的において、PII とは、該当する法律で個人識別データと定義されているすべての情報を指します。お客様は、Google と共有する前にドキュメントを編集する必要があります。たとえば、技術サポートの目的で問題を再現するために自主的に行う場合などです。

PII の例には次のようなものがあります（ただし、これらに限定されません）。

• 生年月日（例: 2/10/1988）
• 個人名（例: Kiran Darko）
• 個人用アドレス（例: Evergreen terrace 123）
• 個人のメールアドレス（例: rivelro@test-mail.com）
• 個人の電話番号（例: 636-555-3226）
• 運転免許証番号
• 国民識別番号
• 雇用主番号
• 銀行口座情報: 口座 ID、銀行コード（ルーティング番号）、SWIFT ID
• 支払いカード番号
• 性別（例: Female, Male, Nonbinary）
• 民族（例: Berber, Italian, Japanese, Latino, Ukrainian）
• ユーザー名、第三者の ID 番号
• パスポート番号（例: AA1001111）
• 配偶者の有無（Single, Divorced など）
• 手当または免除の数
• 依存関係の名前
• 車両識別子（VIN、ナンバー プレートなど）
• 個人を特定できる、個人、家族、デバイスの固有の識別番号、特性、コード（経時的またはサービス間で特定できるもの）

Document AI API を再販することはできますか？

いいえ、Document AI サービスを再販することはできません。ただし、独立した価値を持つアプリケーションに Document AI を統合することは可能です。

お客様がドキュメントやデータへの Google Cloud サポート アクセスを制御するにはどうすればよいですか？

すべての Document AI パーサーは、アクセスの透明性とアクセス承認をサポートしています。デフォルトでは、Google サポートはお客様のデータやアプリケーションにアクセスできません。Google サポートチームからのアクセスが必要な場合は、Access Approval プロセスを使用して、データまたはアプリケーションへのアクセスを承認できます。このプロセスは、Google サポート ポータルでチケットを作成することから始まります。お客様には通知（通常はメール）が届き、アクセスを承認または拒否するオプションが表示されます。

Google は、アクセスの透明性というサービスも提供しています。このサービスを利用すると、Google サポートがシステムにアクセスしている間に実行したすべてのタスクを把握できます。