生成 AI のためのデータ セキュリティ - よくある質問

当社は、生成 AI (GenAI) を組み込んだ機能を導入し、より優れたスマートなオートメーションを構築することで、お客様が生産性の向上を実現できるようにしました。当社のお客様は、Automation Co-Pilot for Business Users やDocument Automationなどの機能により、GenAI の能力を実現することができます。

Automation Anywhere は、大規模言語モデル (LLM) の自社ライセンスを使用するお客様向けのコマンド パッケージをサポートしています。一部の Automation Anywhere 製品には、サードパーティ製の LLM が組み込まれています。本ドキュメントは、GenAI を組み込んだ機能を安全にご利用いただくために、データおよびセキュリティ対策に関するよくある質問に回答することを目的としています。本ドキュメントで説明している 2 つのデータ カテゴリを理解することが重要です。

お客様データ
オートメーション サクセス プラットフォームなどの Automation Anywhere ホスト システムを通じてお客様から提供されたデータです。このデータは、サービスの運営と提供に必要です。たとえば、ユーザー テキストのプロンプトはお客様データとして扱われます。
使用状況データ
プラットフォームのサービスと機能の使用から生成されたデータです。このデータは、サービスや製品のパフォーマンスを向上させるために Automation Anywhere が収集した標準的なパッケージ名やステップの順序などの指標およびその他のテレメトリ用に匿名化され、集約されたデータです。
Automation Anywhere は、どのようにしてお客様が自身の LLM サブスクリプションを自動化できるようにするのですか?
Automation Anywhere は、Automation Anywhere が提供するコマンド パッケージ (Automation Co-Pilot for Business Users など) を使用する際に、お客様が希望する基礎モデル用の独自のライセンス導入をサポートします。ハイパースケーラー プラットフォーム上にホストされているこれらの基礎モデルは、Microsoft Azure OpenAIOpenAI、および Google Vertex AI を含むコマンド パッケージを介して、Automation 360 のネイティブ統合を使用してアクセスできます。

選択した LLM と統合できるかどうかは、製品ドキュメントを参照してください。

Automation Anywhere が提供するサードパーティ AI モデルを使用している製品を教えてください。
当社は、次の製品にサードパーティ プロバイダーの LLM を使用しています。
  • Document Automation
  • Automator AI
詳細については、次を参照してください:
Automation Anywhere 提供モデルのトレーニングには、どのようなデータが使用されますか?
当社の製品に組み込まれた LLM のトレーニングにお客様データが使用されることはありません。Automation Anywhere の管理環境での Automation Anywhere 提供モデルの場合、Automation Anywhere 提供モデルのトレーニングには使用状況データのみが使用されます。このデータにはお客様データは含まれていません。
お客様データが大規模言語モデル (LLM) ライブラリのトレーニングに利用されないようにするために、どのような対策を取っていますか?
モデルのトレーニングにお客様データが使用されることはありません。また、オートメーション サクセス プラットフォーム内のお客様のテナントの本番環境外にお客様データが保存されることもありません。

ベンダーのレビューを実施することで、サードパーティ製の LLM がモデルのトレーニングにお客様データが使用されていないことを確認しています。

不正アクセスやデータ漏洩を防ぐために、どのような対策を講じていますか?
当社は、お客様データが外部に保存されることを防ぎ、一部の製品においてガードレール、再編集、またはマスキングを提供するなどのセキュリティ対策を実施しています。オートメーション サクセス プラットフォームは、データの保存時および転送時に業界標準の暗号化を使用することで、お客様データが常に保護されていることを保証します。お客様データを保存するこれらのシステムは、SOC 2、ISO 27001、HITRUST に準拠し、安全な運用を確保するために 24 時間 365 日監視され、アクセス制御されています。Web アプリケーション ファイアウォール、暗号化 (保存時は AES 256、転送時は TLS)、RBAC 用の業界標準の認証と権限付与など、適切なセキュリティ対策を実施しています。当社のプラットフォーム設計では、OWASP Top10 for LLM に記載されている脅威に対する保護が考慮されています。
GenAI を使用する際、Automation Anywhere はお客様データをどのように保護するのですか?
GenAI を使用している当社の製品は、当社の現行製品と同じプラットフォームを使用しており、当社の他の製品と同じセキュリティ認証 (SOC1、SOC2、ISO、COBIT) および標準に対応します。専門のクラウド セキュリティ チームは、コンプライアンスを確保し、外部の専門監査人が実施するセキュリティ認証の監査をサポートする責任を有しています。当社のセキュリティ認証およびレポートは、コンプライアンス ポータル でご覧いただけます。
お客様が GenAI 製品からのメリットを得るために活用できるベスト プラクティスは何ですか?
GenAI を組み込んだ製品の機能を使用する際に活用すべきベスト プラクティスをいくつか紹介します。
データがある場所と、そのデータがどのように使用されているかを把握する
独自の LLM プロバイダーを利用する場合は、入念に調査されたモデル プロバイダーと、データとその使用状況が明確なプロバイダーのみを利用します。共有モデルのトレーニングに機密データが使用されていないことを確認し、データがどこに保存されているか、誰がアクセスできるかを把握します。
モデルの入力と出力にガードレールを使用する
GenAI モデルは、受け取った入力の変化に影響を受けやすく、自由形式のテキストのため、生成される出力が予測できないことがあります。事前設計されたプロンプトと出力検証ステップを備えた承認タスクに GenAI モデルを使用するワークフローを設計することで、本番環境でモデルが高い信頼度で動作することをさらに確実にすることができます。要約などのタスク用に明示的で制御されたプロンプトを設計すると、ユーザーはワークフローで使用するモデルから、より高品質で一貫性のある出力を得ることができます。ユーザーがプロンプトで機密情報を送信しないようにします。
生成されたコンテンツに対して、ヒューマンインザループを維持する
パーソナライズされたお客様の E メールや患者の概要などのコンテンツを作成する場合、外部と何らかの情報を共有する前に、プロセスに人間による検証ステップが存在していること確認することが重要です。GenAI モデルは、生成される出力内容が予測できない場合があること (特に新しいコンテンツを生成するとき) を理解することが重要です。通知を使用して、レビューが必要なユーザーの作業をリアルタイムでプッシュし、ワークフロー全体のステータスを追跡します。
コード解析を利用する
Automation Anywhere のコード解析は、ベスト プラクティス違反を特定するために組み込みこまれたセキュリティ機能です。この機能は、コーディングのベスト プラクティスを促進し適用するように設計されています。これにより、セキュアなコーディング方法を適用し、オートメーションのセキュリティとコンプライアンスを強化し、コードの可読性と品質を向上させることで、ベスト プラクティスからの逸脱を積極的に特定し、修正することができます。