Document AI のセキュリティとコンプライアンス

セキュリティ

Document AI でサービス セキュリティを確保するには、これらのシナリオに該当する次の質問をご覧ください。

Document AI に送信したデータのセキュリティを Google はどのように保護し、確保していますか？

サービスに適用されているセキュリティ対策については、Google Cloud セキュリティ ページをご覧ください。 Google Cloud

Document AI はどのようなセキュリティ分野をサポートしていますか？

Document AI は次の機能をサポートしています。

• データ所在地
• VPC Service Controls（VPC-SC）
• アクセスの透明性
• 顧客管理の暗号鍵（CMEK）
  • Document AI で CMEK を使用する

セキュリティ コンプライアンス

このセクションでは、コンプライアンスに関連する質問について説明します。

Document AI はどのようなコンプライアンスを提供していますか？

Google Cloud は、セキュリティ、プライバシー、コンプライアンスの管理状況を独立的に検証するため、第三者機関による監査を定期的に受けています。 Google Cloud は、ISO 27001、ISO 27017、ISO 27018、SOC 2、SOC 3、PCI DSS などの規格に対する定期的な監査を実施しています。

Google Cloud コンプライアンスについて詳しくは、コンプライアンス リソース センターをご覧ください。

Document AI は FedRAMP に準拠していますか？

Document AI は FedRAMP High に準拠しています。

Document AI は HIPAA に準拠していますか？

Document AI は HIPAA に準拠しています。

セキュリティ データの使用

このセクションでは、データに関するお問い合わせについて説明します。

Google はモデルの改善に顧客データを使用しますか？

いいえ。Google は、Document AI サービスを提供する以外の目的でお客様のコンテンツ（ドキュメントや予測など）を使用することはありません。Document AI のデータ使用に関するポリシーをご覧ください。

Google CloudGoogle は、Document AI モデルのトレーニングにお客様のデータを使用することはありません。

詳しくは、こちらのブログ投稿「AI 時代のデータ プライバシーに関する Google の取り組み」をご覧ください。

今後、Document AI に送信したドキュメントを Google が共有することはありますか？

Google は、Document AI サービスを提供するために必要な場合を除き、お客様が送信したドキュメントを公開したり、第三者と共有したりすることはありません。たとえば、データの保存や転送などのサービスの一部を提供するためにサードパーティ ベンダーを利用しなければならない場合があります。Google のベンダーには、適切なセキュリティと機密保持に関する契約上の義務があります。その他の目的で、送信されたドキュメントを第三者と共有したり、公開したりすることはありません。

Document AI に送信したドキュメント、その結果、またはリクエストに関するその他の情報は Google のサーバーに保存されますか？保存される場合、情報はどこにどのくらいの期間保存されますか？また、その情報にアクセスできますか？

バッチ リクエストを使用して Document AI にドキュメントを送信する場合、分析を実行して結果を返すために、そのドキュメント（エフェメラル キーで暗号化されているため、人間がアクセスできない）を短期間保存する必要があります。バッチ処理の場合、保存されたドキュメントは通常、処理が完了するとすぐに削除され、フェイルセーフの有効期間（TTL）は 1 日です。バッチが異常終了した場合、データは最大 1 日の TTL で保持されることがあります。

同期プロセス

オンライン（即時応答）処理の場合、ドキュメント データ（リクエストで送信）はメモリ内で処理され、転送中に暗号化され、ディスクには保存されません。また、サービス向上と不正行為対策のために、Document AI API リクエストに関する一部のメタデータ（リクエストの受信時刻やリクエストのサイズなど）を一時的に記録します。

詳しくは以下をご覧ください。

• 転送データの暗号化。
• リージョン。

Document AI へのリクエストで送信したコンテンツの所有権を Google が主張することはありますか？

Google は、お客様が Document AI に送信するコンテンツ（ドキュメントや予測を含む）の所有権を主張しません。ドキュメントとカスタムモデルは、（非公開の）顧客データと見なされます。Google がモデルの改善に顧客データを使用することは一切ありません。このような取り決めに両者が同意するまれな状況では、明示的なデータ共有契約が作成されます。

ドキュメントで削除する必要がある個人情報（PII）とは何ですか？

ドキュメント共有の目的で、PII とは、該当する法律で個人を特定できるデータとして定義されている情報です。お客様は、Google と共有する前にドキュメントを削除する必要があります。たとえば、技術サポートの目的で問題を再現するために自発的に削除する場合などです。

PII の例には次のようなものがありますが、これらに限定されません。

1. 生年月日（例: 2/10/1988）
2. 個人の名前（例: Kiran Darko）
3. 個人の住所（例: Evergreen terrace 123）
4. 個人のメールアドレス（例: rivelro@test-mail.com）
5. 個人の電話番号（例: 636-555-3226）
6. 運転免許証番号
7. 国民識別番号
8. 雇用主番号
9. 銀行口座情報: 口座 ID、銀行コード（ルーティング番号）、SWIFT ID
10. 支払いカード番号
11. 性別（例: Female, Male, Nonbinary）
12. 民族（例: Berber, Italian, Japanese, Latino, Ukrainian）
13. ユーザー名、第三者の ID 番号
14. パスポート番号（例: AA1001111）
15. 配偶者の有無（例: Single, Divorced）
16. 許可または免除の数
17. 依存関係の名前
18. 車両識別子（VIN、ナンバー プレートなど）
19. 個人の固有の識別番号、特性、コードなど、個々の消費者、家族、デバイスを時間の経過やサービス間で識別できるもの

Document AI API を再販することはできますか？

いいえ、Document AI サービスを再販することはできません。ただし、独立した価値を持つアプリケーションに Document AI を統合することは可能です。

お客様がドキュメントやデータへの Google Cloud サポート アクセスを制御するにはどうすればよいですか？

すべての Document AI パーサーは、アクセスの透明性とアクセスの承認をサポートしています。デフォルトでは、Google サポートはお客様のデータやアプリケーションにアクセスできません。Google サポートチームによるアクセスが必要な場合は、アクセス承認プロセスを使用して、データまたはアプリケーションへのアクセスを承認できます。このプロセスは、Google サポート ポータルでチケットを作成することから始まります。お客様には通知（通常はメール）が届き、アクセスを承認または拒否するオプションが表示されます。

Google は、アクセスの透明性というサービスも提供しています。このサービスを使用すると、Google サポートがシステムにアクセスしている間に実行したすべてのタスクをお客様が把握できます。