IBM Cloud Docs
アシスタントの保護

アシスタントの保護

IBM は、お客様やパートナーに、データ・プライバシー、セキュリティー、およびガバナンスに関する革新的なソリューションを提供することに努めています。

注意

お客様自身が EU 一般データ保護規則 (GDPR) を含む各種法令を遵守するために必要な措置を講ずるのはお客様の責任です。

クライアントは、クライアントのビジネスに影響を与える可能性のある関連法および規制を特定し、解釈すること、およびクライアントがかかる法および規制を遵守するために取る必要のある措置について、適切な法的助言を得る責任を単独で負うものとします。

ここに記載されている製品、サービス、およびその他の機能は、可用性が制限されている可能性があり、すべてのお客様の状況に適しているわけではありません。 IBMは、法律、会計、監査に関する助言を提供したり、そのサービスや製品が法律や規制への準拠を保証することを表明または保証したりすることはありません。

IBM Cloud® Watson リソースの GDPR サポートを要求する必要がある場合は、以下のようにします。

アシスタントでセキュア・ソケット・レイヤーまたはトランスポート・レイヤー・セキュリティ(SSL/TLS)証明書を設定することで、サーバ実行コードとやり取りするときにユーザアシスタントのデータを安全に保つことができます。 詳細については、セキュリティ証明書の設定 を参照してください。

EU 一般データ保護規則 (GDPR)

IBMは、お客様とパートナー企業がGDPR準拠への道を歩むのを支援するため、革新的なデータプライバシー、セキュリティ、ガバナンスソリューションの提供に尽力しています。

IBM Cloud GDPR EUコンプライアンス で、 IBM の GDPR 対応の道のり、GDPR 対応の能力、およびお客様のコンプライアンスの旅をサポートするオファリングの詳細をご覧ください。

医療保険の相互運用性と説明責任に関する法令 (HIPAA)

米国の医療保険の積算と責任に関する法律 (HIPAA) のサポートは、ワシントン DC またはダラスのロケーションでホストされているエンタープライズ・プランで利用できます。 詳細については 、「アカウントでHIPAAサポートを有効にする 」を参照してください。

作成するトレーニング・データ (ユーザー例を含むエンティティーとインテント) に個人医療情報 (PHI) を追加しないでください。 特に、インテントやインテント・ユーザー例の推奨機能でマイニングするために、実際のユーザー発話が含まれているファイルをアップロードする場合は、PHI を必ず削除してください。

セキュリティ証明書の設定

アシスタントにセキュリティ証明書を設定して、さまざまなアプリケーション間で安全な通信、データ保護、プライバシーを確保できます。 信頼を確立し、通信当事者の身元を検証することで、セキュリティ証明書はデジタル情報の機密性、完全性、および可用性を維持するのに役立つ。 Security certificates (SSL/TLS) セクションを使用して、証明書のアップロードやダウンロード、古い証明書の置き換え、アシスタント内の証明書の削除を行うことができます。

アシスタントはTLS 1.2とTLS 1.3をサポートしており、TLS 1.3はデフォルトのバージョンです。 サービスがTLSの1.3または1.2バージョンをサポートしていない場合は、そのサービスの管理者に、これらのTLSバージョンのいずれかをサポートするよう依頼してください。

アシスタントがカスタム拡張機能、会話スキル、またはWebhookを通じてユーザー指定の URLに接続する場合、不正アクセスを防止し、セキュリティリスクを排除するために、サービスの身元を確認する必要があります。 ユーザが指定した URLがハイパーテキスト転送プロトコルセキュア HTTPS プロトコルを使用している場合、アシスタントは3つの方法でセキュアサービスの身元を確認します。

Table 1. Possibilities of identifying secure service HTTPS サービスに誘導されたときに、アシスタントが安全なサービスの身元を確認する3つの方法について説明する。

安全なサービスを特定する可能性
説明 要件 証明書検証者 セキュリティー・レベル 注記
あなたのアシスタントは、コールしているサービスのSSL証明書を持っています。 サービスのSSL証明書をアシスタントに提供する。 アシスタントが直接身元を確認する。 最も安全 アシスタントがすでに証明書を持っている場合、署名検証は必要ないため、SSL証明書が自己署名であっても安全である。
アシスタントは、呼び出すサービスの証明書に署名した認証局のSSL証明書を持っています。 あなたは認証機関のSSL証明書をアシスタントに提供し、サービスのSSL証明書はその認証機関によって署名されなければならない。 アシスタントは、認証局を通じてサービスの信頼性を検証する。 あなたが証明書を提供したのだから、認証局を信頼すればいいのだ。 認証局が極めて安全である場合、極めて安全である このアプローチは、企業が内部使用のために設立するようなプライベート認証局で機能する。
サービスには、公開されている信頼できる認証局によって署名されたSSL証明書があります。 アシスタントにSSL証明書を提供する必要はありませんが、サービスのSSL証明書は、パブリックな信頼できるオーソリティによって署名されている必要があります。 アシスタントは、公開されている信頼できる認証局を使用して、サービスの信頼性を検証します。 極めて安全 公に信頼されている認証局は、証明書に署名する前に、秘密鍵の所有権を熱心に検証する。

セキュリティ証明書の設定オプションの例をいくつか説明します。このオプションによって、接続の詳細がほとんどないアシスタントでも、セキュリティと利便性の最適なバランスを実現できます。 詳細については、セキュリティ証明書オプションの選択方法 を参照してください。

Table 2. Security certificates configuration option は、アシスタントで可能なセキュリティ証明書設定オプションとその説明に関する情報を提供します。

セキュリティ証明書設定オプション
セキュリティ証明書設定オプション 説明 接続性 使用法 アップロードオプションのサポート
Trust uploaded certificates and any certificates signed by a trusted authority
  • 信頼できるauthority.
  • アップロードされた証明書(そのサービスの証明書またはその証明機関の証明書)で署名された証明書。
  • アシスタントが接続するすべてのサービスの身元を確認できます。
  • 一般に信頼されている機関によって署名されていない場合、アシスタントが接続するサービスの身元を確認するために証明書ファイルをアップロードする必要があります。
 すべてのアシスタントが共通して使用する。 ある
Trust uploaded certificates あなたのアシスタントは、アップロードされた証明書(そのサービスの証明書またはその認証局の証明書)を持つ任意のサービスに接続することができます
他の安全なサービスには接続できない。
  • use.
  • アシスタントは、アップロードされた証明書またはその署名機関の証明書を持つ安全なサービスにのみ接続できます。
 使用量が少ない ある
Trust all certificates, operation insecure (Not recommended) あなたのアシスタントはどのサービスにも接続することができますが、偽者のサービスからの保護がないため、お勧めできません。

合理的なオプション

  • アシスタントに独立したユーザーや機密データがない、概念実証やデモ用のアシスタントのためのものです。
  • 一般に信頼されている機関によって署名されていないサービスに接続されている場合でも、アシスタントの動作を維持するためのものです。
 新旧両方のアシスタントのデフォルトオプション。 いいえ

SSL 証明書設定オプション
SSL 証明書設定オプション

セキュリティ証明書のアップロード

開始前に

  • ファイルはPEM形式で、最大サイズは500KBであることを確認してください。
  • 複数のファイルがある場合は、1つのファイルにマージしてください。

自己署名証明書または信頼されたオーソリティからの証明書をアシスタントにアップロードするには:

  1. ホーム > アシスタント設定にアクセスしてください。

  2. セキュリティ証明書(SSL/TLS) セクションで、要件に応じて Trust uploaded certificates and any certificates signed by a trusted authority または Trust uploaded certificates を選択します。

  3. Upload をクリックします。

  4. Upload certificate ダイアログで、証明書を追加します。 フォルダから証明書ファイルをドラッグまたは選択できます。

  5. Upload をクリックします。 Secure socket layer connected のメッセージが見えます。

    SSLアップロードオプション

既存のセキュリティ証明書の置き換え

アシスタントの既存の証明書を新しい証明書に置き換える:

  1. ホーム > アシスタント設定にアクセスしてください。

  2. セキュリティ証明書(SSL/TLS) セクションで、Upload をクリックします。

  3. Upload certificate ダイアログで、新しい証明書を追加する。 証明書ファイルをドラッグまたはアップロードすることができます。

    このオプションは、既存の証明書を削除または上書きする。

  4. Upload をクリックします。

セキュリティ証明書のダウンロード

アシスタントの既存の証明書を表示するには

  1. ホーム > アシスタント設定にアクセスしてください。

  2. セキュリティ証明書(SSL/TLS) セクションで、Download をクリックします。

  3. ダウンロードしたファイルを開き、既存の証明書を確認できます。

    SSLダウンロード・オプション

既存のセキュリティ証明書を変更する

アシスタントの既存の証明書を変更するには

  1. セキュリティ証明書のダウンロード の説明に従って、セキュリティ証明書をダウンロードします。
  2. 既存のファイルに証明書を追加または削除する。
  3. 既存のPEMファイルを、既存のセキュリティ証明書を置き換える の説明に従って変更したファイルに置き換える。

既存のセキュリティ証明書を削除する

アシスタントの既存の証明書を削除するには

  1. ホーム > アシスタント設定にアクセスしてください。
  2. セキュリティ証明書(SSL/TLS) セクションで、Delete をクリックします。
  3. 証明書の削除ダイアログで、I acknowledge that I read and understand this warning を選択します。
  4. Yes をクリックします。

選択されたオプションは自動的に Trust all certificates, operation insecure (Not recommended) を指す。

ログ・データ使用のオプトアウト

IBMはログデータ(エンタープライズプランのデータは除外)を使用して watsonx Assistantを継続的に改善し、学習しています。 ログ・データは共有されることも、公開されることもありません。

IBMがログデータを一般的なサービス改善に利用することを防ぐには、以下のいずれかの作業を行ってください。

  • カスタムアプリケーションを使用している場合は、各API /message リクエストに対して、 X-Watson-Learning-Opt-Out ヘッダーパラメータを true に設定します。

    詳しくは、 データ収集を参照してください。

  • ウェブチャットの統合機能をご利用の場合は、ウェブページに埋め込むスクリプトに learningOptOut パラメータを追加し、 true に設定してください。

    詳しくは、 構成を参照してください。

watsonx Assistant でのデータのラベル付けと削除

作成するトレーニング・データ (ユーザー例を含むアクションとステップ) に個人データを追加しないでください。 特に、ユーザーの例示となる推奨事項を収集するためにアップロードする実際のユーザーの発言が記録されたファイルから、個人を特定できる情報を必ず削除してください。

試験的な機能およびベータ機能は実稼働環境で使用するためのものではないので、データのラベル付けおよび削除が期待どおりに機能することは保証されません。 実験的機能やベータ機能では、データのラベル付けや削除を必要とするソリューションを実装することはできません。

watsonx Assistantから顧客のメッセージデータを削除する必要がある場合は、メッセージwatsonx Assistantに送信された際に、メッセージを顧客 ID と関連付けることで、顧客の顧客 ID を使用することができます。

メッセージ・データの削除は、個々の顧客 ID に対してのみ偶発的なイベントでなければなりません。 分析ログを無効にするには、Enterprise with Data Isolation プランにアップグレードします。

  • アシスタント・プレビューおよび自動 Facebook 統合は、顧客 ID に基づくデータのラベル付けまたは削除をサポートしません。また、顧客 ID に基づくデータを削除する機能をサポートする必要があるソリューションでは使用できません。

  • Intercom の場合、 customer_id は、 intercom_ 接頭部が付いた user_id です。 Intercom の user_id プロパティーは、Intercom で定義された会話モデルの id メッセージ・オブジェクトの author です。

    • この ID を取得するには、Web ブラウザーからチャネルを開きます。 Web 開発者用ツールを開いて、コンソールを表示します。 author を探します。

    完全なお客様 ID は、customer_id=intercom_5c499e5535ddf5c7fa2d72b3 のように表示されます。

  • Slack の場合、 customer_id は、 slack_ 接頭部が付いた user_id です。 Slack の user_id プロパティーは、チーム ID (T09LVDR7Y など) とユーザーのメンバー ID (W4F8K9JNF など) を連結したものです。 例えば、T09LVDR7YW4F8K9JNF です。

    • チーム ID を取得するには、Web ブラウザーからチャネルを開きます。 Web 開発者用ツールを開いて、コンソールを表示します。 [BOOT] Initial team ID を探します。
    • メンバー ID は、ユーザーの Slack プロファイルからコピーできます。
    • ID をプログラムで取得するには、Slack API を使用します。 詳しくは、 概要を参照してください。 完全なお客様 ID は、customer_id=slack_T09LVDR7YW4F8K9JNF のように表示されます。

  • Web チャット統合の場合、サービスは、渡された user_idcustomer_id パラメーター値として各要求の X-Watson-Metadata ヘッダーに追加します。

開始前に

特定のユーザーに関連付けられたメッセージ・データを削除できるようにするには、まずすべてのメッセージを各ユーザーの固有のお客様 ID に関連付ける必要があります。 /message APIで送信されるメッセージの顧客ID を指定するには、 X-Watson-Metadata: customer_id プロパティをヘッダーに含めます。 以下に例を示します。

curl -X POST -u "apikey:3Df... ...Y7Pc9"
 --header
   'Content-Type: application/json'
   'X-Watson-Metadata: customer_id=abc'
 --data
   '{"input":{"text":"hello"}}'
  '{url}/v2/assistants/{assistant_id}/sessions/{session_id}/message?version=2019-02-28'

ここで、{url} は、インスタンスに適切な URL です。 詳しくは、 サービス・エンドポイントを参照してください。

customer_id ストリングにセミコロン (;) や等号 (=) の文字を含めることはできません。 各 customer ID プロパティーがお客様の間で一意であることを確認する必要があります。

X-Watson-Metadataヘッダーで渡される最初の 顧客 ID 値のみが、メッセージ・ログの customer_id ストリングとして使用されます。 この 顧客 ID 値は、DELETE /user_data v1 API 呼び出しで削除できます。

アシスタントに検索を追加すると、そのアシスタントに送信されたユーザー入力が検索照会として Discovery サービスに渡されます。 watsonx Assistant の統合によってお客様 ID が提供される場合は、結果として得られる /message API 要求のヘッダーにはそのお客様 ID が含まれ、その ID は Discovery の /query API 要求に渡されます。

特定の顧客に関連するクエリデータを削除するには、アシスタントにリンクされている Discoveryに直接削除リクエストを送信する必要があります。 詳しくは、 Discovery 情報セキュリティー を参照してください。

ユーザー・データの照会

v1 /logs メソッドの filter パラメーターを使用して、アプリケーション・ログ内で特定のユーザー・データを検索できます。 例えば、customer_id に合致する my_best_customer に固有のデータを検索するには、照会は次のようになります。

curl -X GET -u "apikey:3Df... ...Y7Pc9" \
"{url}/v2/assistants/{assistant_id}/logs?version=2020-04-01&filter=customer_id::my_best_customer"

ここで、{url} は、インスタンスに適切な URL です。 詳しくは、 サービス・エンドポイントを参照してください。

詳しくは、 フィルター照会リファレンスを参照してください。

データの削除

アシスタントが保存している可能性のある特定のユーザーに関連するメッセージログデータを削除するには、 DELETE /user_data v1 メソッドを使用します。 要求とともに customer_id パラメーターを渡すことで、このユーザーのお客様 ID を指定します。

この削除メソッドで削除できるのは、 POST /message API エンドポイントを使用して関連する顧客 ID を指定して追加されたデータのみです。 他のメソッドによって追加されたデータをお客様 ID に基づいて削除することはできません。 例えば、顧客との会話から得られた情報や意図は、この方法では削除できません。 これらのメソッドでは個人データはサポートされていません。

重要 customer_id を指定すると、この customer_id を持つすべてのメッセージが、削除リクエスト前に受信されたものも含め、1つのスキル内だけでなく watsonx Assistant全体から削除されます

例えば、顧客 ID abc に関連付けられているユーザー・メッセージ・データを watsonx Assistant インスタンスから削除するには、以下の cURL コマンドを送信します。

curl -X DELETE -u "apikey:3Df... ...Y7Pc9" \
"{url}/v2/user_data?customer_id=abc&version=2020-04-01"

ここで、{url} は、インスタンスに適切な URL です。 詳しくは、 サービス・エンドポイントを参照してください。

空の JSON オブジェクト {} が返されます。

詳しくは、API リファレンスを参照してください。

注: 削除リクエストはバッチ処理され、完了までに最大24時間かかる場合があります。

Web チャット使用状況データ

watsonx Assistant Web チャットは、限定された使用量データを Amplitude サービスに送信します。 ユーザーが Web チャット・ウィジェットと対話すると、使用されている機能と、ウィジェットが開かれた回数、会話を開始したユーザー数などのイベントが追跡されます。 この情報には、アシスタントのトレーニング・データやチャット対話の内容は含まれません。

Amplitude に送信される情報は、「クラウド・サービス契約書」(CSA) に定義されている「コンテンツ」ではありません。 これは、CSA のセクション 9.d で説明されているアカウント使用情報であり、 IBM プライバシー・ステートメントで説明されているように処理されます。 この情報収集の目的は、ウェブチャットの利用状況と効果に関する統計の作成と改善に限定されています。

プライベート・ネットワーク・エンドポイント

プラス

プラス・サービス・プランまたはエンタープライズ・サービス・プランの一部である watsonx Assistant インスタンス用にプライベート・ネットワークをセットアップできます。 プライベートネットワークは、データを公衆インターネット経由で転送されるのを防ぎ、より強固なデータ分離を実現します。

プライベート・ネットワーク・エンドポイントは、パブリック・ネットワークではなく IBM Cloud プライベート・ネットワーク上のルーティング・サービスをサポートします。 プライベート・ネットワーク・エンドポイントは、VPN 接続なしでアクセスできる固有の IP アドレスを備えています。

詳しくは、 パブリック・ネットワーク・エンドポイントとプライベート・ネットワーク・エンドポイントを参照してください。

製品に付属する統合機能には、パブリックインターネット上のエンドポイントが必要です。 そのため、アシスタントの組み込み統合にはパブリック・エンドポイントがあります。