Pendoでは、パフォーマンス、セキュリティ、データプライバシーを最優先し、組織としてプロダクトやポリシーを設計する際もこれらを踏まえて実施しています。人工知能(AI)は新しく馴染みのないテクノロジーであるため、2023年リリースのAIを活用したPendoのプロダクトやフィーチャーについて疑問をお持ちのお客様もいらっしゃるでしょう。
この記事では、AIに関連するPendoのセキュリティおよびプライバシー慣行に関する情報を提供します。弊社の取り組みが進化するにつれ、引き続きこのような透明性を提供できるよう努めてまいります。
Pendoで使用されているAIテクノロジー
Pendoは独自にAIテクノロジーを開発しつつ、OpenAIやGoogle Cloud Platform(GCP)といったサードパーティのサービスプロバイダーも活用しています。独自のAIテクノロジーの開発については、少数のお客様にもご協力いただいています。こうしたお客様は任意にご参加いただいており、弊社のセキュリティとプライバシーの基準およびデータ処理条件を満たしていることも確認しています。PendoがOpenAIやGCPなどのサードパーティのサービスプロバイダーを使用する際は、弊社自身またはお客様のデータをプロバイダーのモデルトレーニングや開発に提供せずに使用しています。
Pendo AIとは、各お客様に属するアプリケーションごとに1つのモデルをトレーニングする、弊社の社内機械学習(ML)システムを指します。つまり、弊社ではお客様のデータを混合することはありません。詳細については、この記事の「モデルのトレーニング」を参照してください。
Pendo AIは、モデルを使用しない内部AIコードとは異なります。弊社の内部AIコードはルールベースの人工知能で、同じ入力であれば同じ出力が得られる単純な統計に依存しています。
次の表は、Pendo AIを活用した各フィーチャーに使用されるAIテクノロジープロバイダーの一覧です。
プロダクトエリア | Pendoのフィーチャー | AIテクノロジー | 設定名 |
ガイド(Guides) | ガイドの作成 | Google生成AI | AIによるガイド作成 |
ガイドのライティング | Google生成AI | ガイドのライティングアシスタント | |
ガイドのローカライズ | Google生成AI | AIを活用したローカリゼーション | |
NPS | テーマの提案 | Pendo AI | NPSインサイトでのテーマの自動生成 |
テーマ名 | Google生成AI | NPSの概要とテーマ名の拡張 | |
テーマのサマリー | Google生成AI | NPSの概要とテーマ名の拡張 | |
メールの要約 | Google生成AI | NPSの概要とテーマ名の拡張 | |
分析 | ワークフローの提案 | 内部AIコード。モデルは使用されません | - |
行動に関するインサイト | Pendo AI | インサイト | |
リッスン | フィードバックサマリー |
|
リッスンのフィードバックサマリー |
提案されたアイデア |
Google生成AI |
リッスンでのアイデア提案 |
|
セッションリプレイ(Session Replay) | おすすめのリプレイ | 内部AIコード。モデルは使用されません | - |
概要と説明(ベータ版) | OpenAI | リプレイの概要と説明 | |
プラットフォーム(Platform) | タグアシスト | 内部AIコード。モデルは使用されません | - |
AIチャットボット(クローズドベータ) | Google生成AI | Ask Pendo |
モデルのトレーニング
お客様にサービスを提供するために、Pendoではお客様のプロダクト使用データを用いてモデルをトレーニングします。通常、お客様ごとに1つのモデルをトレーニングしますが、場合によっては、各お客様のプロダクトの特徴ごとに1つのモデルをトレーニングします。これは、訪問者によるアプリケーションの使用に関するインサイトを表面化するために行っています。
すべてのお客様のデータをまとめて使用してモデルをトレーニングすることはありません。
Pendoがこのようなモデルに依存しないことをご希望の場合、Pendoの管理ユーザーは、[設定(Settings)]>[サブスクリプションの設定(Subscription settings)]で、オプトアウトできます。詳細については、「サブスクリプション設定」の記事の「AIフィーチャー」を参照してください。
Pendoは、大規模言語モデル(LLM)や生成AIの開発もトレーニングも行いません。Pendoは、プロダクトアナリティクスプラットフォームとして、大量のイベントおよび使用状況データを実際に収集しますが、任意の2人のお客様のデータを混合することはありません。
つまり、モデルトレーニングを行う際、すべてのトレーニングデータはお客様ごとに個別にスコープ設定され、トレーニングされます。これは、初期モデルおよび後続モデルの両方に適用されます。これによりPendoはお客様に、具体的で、お客様への関連性が高く、充実したインサイトを提供できます。またPendoは企業としての行動指針にこれを維持しています。弊社の行動指針の詳細については、「PendoのAI原則」をご覧ください。
AIシステムのプライバシーとセキュリティ
Pendoは、AIシステムを提供するサブプロセッサを含め、各サブプロセッサとデータ処理契約を締結しています。したがってこれらのサブプロセッサは、プライバシーとセキュリティについて、規制に準拠した基準を維持することを契約と法律によって義務付けられています。また、何らかの違反があった場合は、商業的および法的根拠に基づいて強制執行を実施することができます。たとえば、OpenAIは、お客様がオプトインしない限り、そのAPIを通じて提供された情報をAIモデルのトレーニングに使用しないことを公に約束しています。Pendoはオプトインしておらず、今後もオプトインする予定はありません。
OpenAIとGoogle Cloud Platformは、お客様またはエンドユーザーが自発的に生成したコンテンツのみを処理します。これには、お客様からのフィードバック、質問、コメント、およびお客様に直接送られるその他のテキスト通信が含まれます。Pendoの専有モデルでは、お客様がデータの背景を詳しく理解できるよう、お客様のイベントおよび使用状況データを処理して、それを結果として提供します。
Pendoは「AIエンジン」を所有または運用していないため、データは共有されません。
Google Cloud Platform(GCP)
Pendoはクラウドベースの企業で、主にGoogle Cloud Platform(GCP)を使用しています。Pendoのエンジニアリングチームは、多くのGCP新技術の詳細なテストに貢献しています。GCPがLLMのテストを完了し、同社のクラウド顧客全員に一般公開したことを確認したうえで、Pendoのセキュリティおよびプライバシーチームは、弊社によって見受けられたGCPのプロダクト開発の可視性が長年にわたり弊社が活用しているサービスプロバイダーによって定期的に実施されている、徹底した所定のデューデリジェンスに準拠していると判断しました。その上で、Pendoは、Google Cloud PlatformのLLMをPendoのプラットフォーム上でデフォルトで実行できると判断しました。
弊社の第一世代チャットボットツールである「Ask Pendo」は、GoogleのDialogFlow(旧InfoBot)をPendo独自のナレッジベースに対してのみ使用しています。このチャットボットのトレーニングに、お客様データは使用していません。
OpenAI
弊社では、OpenAIを活用したプロダクトを提供できることをたいへん嬉しく思っておりますが、大規模言語モデルに関しては、お客様それぞれに異なるリスクプロファイルや許容レベル、判断基準があることも理解しています。OpenAIについては、多くの規制当局が現在も調査を進めており、その中にはお客様が重視されているものもあると考えられるため、弊社では、OpenAIを活用したプロダクトが、お客様のビジネスに最適な場合のみ使用していただけるように配慮しました。そのため、OpenAIを活用したプロダクトにオプトインするための、明確で、わかりやすく、明示的な機会をお客様に提供しています。オプトインするかどうかは、完全にお客様にその決定権があります。
詳細については、この記事の「AIを活用したフィーチャーのオプトインとオプトアウト」を参照してください。
AIを活用したフィーチャーのオプトインとオプトアウト
お客様は、AIを活用したPendoのフィーチャーを利用するかどうか、またいつ利用するかを選択できます。Pendoの管理者ユーザーは、[設定(Settings)]>[サブスクリプション設定(Subscription settings)]で、特定のAIを活用したフィーチャーのオプトインとオプトアウトを選択できます。ここでは、使用しているAIテクノロジーと、このテクノロジーを提供しているサードパーティプロバイダーがあれば、それを確認できます。これらの設定の詳細については、「サブスクリプション設定」の記事の「AIフィーチャー」を参照してください。
Pendoは、Pendo独自のAIテクノロジーと、LLMを含むGoogleのAIテクノロジーを活用したプロダクトをデフォルトでオンにすることを決定しました。この決定は、これらのテクノロジーのリリースを弊社の既存のデータ慣行に従って実施できるかどうかについて、セキュリティ面およびプライバシー面を広範に検討したうえで下されました。
しかしOpenAIについては、EUを中心とする多くの規制当局が現在も調査を進めていることから、サブプロセッサ通知にてオプトアウトの機会を提供しつつも、これについてはデフォルトで「オフ」にするという慎重な決定を下しました。さらに、医療関係の事業(HIPAA事業提携契約(BAA)の対象))に携わり、データがEUまたは日本でホストされているお客様に対しては、さらに慎重を期しています。Pendoの体験の一部としてOpenAIフィーチャーが利用可能である場合は、[設定(Settings)]>[サブスクリプション設定(Subscription settings)]の[AIフィーチャー(AI features)]でオプトインできます。詳細については、「サブスクリプション設定」を参照してください。
次の表に、さまざまなお客様のグループごとにデフォルトでオンになっているモデルとオフになっているモデルをまとめています。
Pendoの顧客セグメント | モデル | デフォルト設定 |
EUのクラウド環境を使用しておらず、PendoとBAAを締結していないお客様 | Google生成AI | オン |
EUのクラウド環境を使用しておらず、PendoとBAAを締結していないお客様 | OpenAI | オフ(オプトイン可能) |
EUのクラウド環境を使用しておらず、PendoとBAAを締結していないお客様 | Pendo AI | オフ(オプトイン可能) |
BAAのあるお客様(医療機関) | Google生成AI | オン |
BAAのあるお客様(医療機関) | OpenAI | オフでオンにできない |
BAAのあるお客様(医療機関) | Pendo AI | オフ(オプトイン可能) |
EUまたは日本のデータ環境のお客様 | Google生成AI | オフ(オプトイン可能) |
EUまたは日本のデータ環境のお客様 | OpenAI | オフ(オプトイン可能) |
EUまたは日本のデータ環境のお客様 | Pendo AI | オフ(オプトイン可能) |
弊社の日本のデータ環境でホストされているお客様向けに有効なAIフィーチャーは、トレーニングを必要としないフィーチャーのみです。これについては、この記事の「Pendoで使用されるAIテクノロジー」セクションにて「内部AIコード」としてラベル付けされています。
データのセキュリティとプライバシー
Pendoでは包括的な個人情報保護プログラムを採用しています。このプログラムには、年次トレーニング、適切な影響評価を含む一貫したレビュー、お客様と評価の高い第三者機関の両方による継続的な監査などがあります。こうした対策を講じることで、厳しさが増しているプライバシーおよびセキュリティ関連の法律および規制にも準拠しています。たとえばPendoのAIを活用したフィーチャーに関していえば、これらのフィーチャーの提供に関連するサードパーティのサービスプロバイダーに呼び出し(コール)があった場合、その呼び出しは必ず、共通の内部アプリケーションプログラミングインターフェースを介してルーティングされ、呼び出しごとに適切なセキュリティとプライバシーチェックが実施されます。
Pendoはまた、適用されるプライバシー法に基づいて追加的な保護を提供し、すべてのお客様に対してGDPRコンプライアンスを維持しています。なおPendoでは、国や業界特有の推奨事項に基づいて、一部のAIサービスを使用できる場所について自主規制による制限を設けています。
データの保存と処理
お客様のデータは、お客様が選択した既存のクラウド環境に残ります。
プライバシーとセキュリティを維持するために、お客様のデータはセグメント化され、他のお客様のデータとは別に保存されます。弊社では、お客様同士のデータが混ざり合うことがないように、お客様ごとに固有の名前空間を活用した論理分離技術を採用しています。詳細については、「データ収集とコンプライアンス」を参照してください。
データとモデルは専用のクラウドコンテナ内にのみ存在するため、他のPendoのお客様のデータから分離されます。これは、Pendoの情報セキュリティプログラムと、GCPの保護手段およびメカニズムによって安全に保たれます。つまり、お客様のデータとそれに関連するPendoAIモデルは、他のPendoのお客様のデータとは分離されたままになります。お客様ごとに、独自のデータを使用して固有のモデルまたはモデルのセットをトレーニングします。詳細については、この記事の「モデルのトレーニング」を参照してください。
お客様はそれぞれ独自のデータを所有しています。
データの再呼び出し(リコール)
PendoのAIを活用したフィーチャーのオプトインを取り消した場合、いずれかのLLMによってすでに処理されたデータを再呼び出し(リコール)することはできません。LLMへの入力(LLMに送信され、LLMによって受信されたデータ)をリコールすることは、現在の機械学習の分野や研究では技術的に不可能です。
そのため、PendoはLLMに入力された入力情報を取得できません。ただし、PendoはGDPRに準拠しており、信頼と安全性を重視しています。お客様は、クラウドコンテナ(GCP、OpenAI、Pendo AIを問わず)に存在するAIモデルをすべて削除することができます。これを行う方法の詳細については、弊社のプライバシーポリシーをご覧ください。