Pendoでは、パフォーマンス、セキュリティ、データプライバシーを最優先し、組織としてプロダクトやポリシーを設計する際もこれらを踏まえて実施しています。
この記事では、AIに関連するPendoのセキュリティおよびプライバシー慣行に関する情報を提供します。弊社の取り組みが進化していく中でも、引き続きこのような透明性を提供できるよう努めてまいります。
注: Pendoは、安全なモデルコンテキストプロトコル(MCP)サーバーを介して、互換性のある外部AIクライアントにプロダクトデータも公開します。MCPは、互換性のあるAIツールが、Pendoでアクセスするのと同じアナリティクスやAIを活用したインサイトを照会できるようにするアクセスレイヤーを提供します。詳細については、「Pendo MCPサーバーへの接続」を参照してください。
Pendoで使用されているAIテクノロジー
Pendoは、自社のAI技術(Pendo AI)とサードパーティのサービスを組み合わせて使用しています。後者には現在、Microsoft Azure上でホストされているOpenAI(Azure OpenAI)およびOpenAIのインフラ(OpenAI)、Amazon Web Services(Amazon Bedrock)、Google Cloud Platform上でホストされているGoogle Gemini(Google Generative AI)が含まれます。当社のAI機能は、他のすべてのPendoサービスと同じデータ保護原則に従います。これには、保存時および送信中のすべてのデータの暗号化、顧客データの混在禁止、開発環境およびテスト環境での運用データの使用禁止などが含まれますが、これらに限定されません。
すべてのサードパーティLLMプロバイダーは、Pendoのセキュリティおよびプライバシーチームによる徹底的な審査を受けており、当社は各プロバイダーと企業レベルの契約を締結し、長年にわたるパートナーシップによって支えられています。当社は、これらのプロバイダーに送られるデータがプロバイダー自身のモデルのトレーニングや開発に使用されないことを保証します。データはAIテクノロジープロバイダーによって可能な限り、最小限の期間、基本的にゼロデイリテンション(ZDR)で保持されます。AIテクノロジープロバイダーに送信する前に、名前、メールアドレス、SSN、クレジットカード番号などの一般的なPIIデータタイプをあらゆるテキスト文字列から削除します。これらの保護措置は、プライバシー、セキュリティ、および信頼に対するPendoの取り組みに沿ってデータを保護し続けるのに役立ちます。
新しいAI機能を開発する際は、デザインパートナー契約に基づき、希望された一部のお客様と協力しています。これにより、データセキュリティポリシーと手順に従いながら、設計やアルゴリズムの有効性を迅速に改善できます。
Pendo AIとは、各お客様に属するアプリケーションごとに1つのモデルをトレーニングする、弊社の社内機械学習(ML)システムを指します。詳細については、この記事の「モデルのトレーニング」を参照してください。
機械学習を基盤とするPendo AIに加えて、モデルを使用せず、単純な統計処理に基づき同じ入力に対して常に同じ出力を返すルールベースの人工知能機能も社内で開発しています。これを「社内AIコード」と呼んでいます。
Pendoはまた、サードパーティのAIサービスであるTavilyを使用して、サブスクリプション管理者から提供された会社のWebサイトのURLからビジネスコンテキストの説明を生成します。Tavilyは、顧客からのフィードバック、エンドユーザーデータ、またはPendoがお客様に代わって収集するその他のデータを受け取りません。ビジネスコンテキストについての詳細は、「サブスクリプション設定」をご覧ください。
次の表は、Pendo AIを活用した各フィーチャーに使用されるAIテクノロジープロバイダーの一覧です。
| プロダクトエリア | Pendoのフィーチャー | AIテクノロジー | 設定名 | AIテクノロジープロバイダーに送信するデータ |
| Pendo AI | エージェント分析 | Google生成AI | - | エージェントからのプロンプトと会話データにより、AIシステムはテーマを特定し、インタラクションをクラスター化し、エージェントのパフォーマンスとカスタマーエクスペリエンスの向上に役立つインサイトを引き出すことができます。 |
| Leo(旧エージェントモード) |
Google生成AI OpenAI |
Leo | 集計された使用指標、訪問者およびアカウントレベルの指標、エンティティメタデータ(フィーチャー名やページの説明など)、Pendoリッスンまたはインテグレーションツールで生成されるテキストコンテンツ(Feedbackリクエスト、アンケート回答、Gong通話の文字起こしなど)、セッションリプレイのタグ名および関連するHTMLコンテキスト。 | |
| ガイド(Guides) | ガイドのライティング | Google生成AI | ガイドのライティングアシスタント | |
| ガイドのローカライズ | Google生成AI | AIを活用したローカリゼーション | ||
| NPS | テーマの提案 | Pendo AI | NPSインサイトでのテーマの自動生成 | ユーザーが作成したコンテンツと入力データ(フィードバックやアンケートの回答など)。 |
| テーマ名 | Google生成AI | NPSの概要とテーマ名の拡張 | ||
| テーマのサマリー | Google生成AI | NPSの概要とテーマ名の拡張 | ||
| メールの要約 | Google生成AI | NPSの概要とテーマ名の拡張 | ||
| 分析 | ワークフローの提案 | 内部AIコード。モデルは使用されません | - | - |
| AIインサイト | Pendo AI | インサイト | 集計されたページ閲覧数とフィーチャーインタラクションデータおよびアカウントメタデータ情報。 | |
| リッスン | フィードバックサマリー |
|
リッスンのフィードバックサマリー | リッスンまたはインテグレーションツールで生成されるテキストコンテンツ(フィードバックリクエスト、アンケート回答、通話の文字起こしなど)。 |
| 見てみる | Google生成AI | リッスンExplore | ||
| 提案されたアイデア | Google生成AI | リッスンでのアイデア提案 | ||
| セッションリプレイ(Session Replay) | おすすめのリプレイ | 内部AIコード。モデルは使用されません | - | - |
| 概要と説明 | Azure OpenAI | リプレイの概要と説明 | セッションリプレイ内のタグ名および関連するHTMLコンテキスト。 | |
| 予測 | 予測 |
Pendo AI Amazon Bedrock |
- | 集計された使用状況指標、アカウントメタデータ、機能採用指標、履歴傾向。 |
外部AIクライアントのMCPアクセス
Pendo UI内でAIを使用するだけでなく、Claude、ChatGPT、Cursor、Copilotなど、モデルコンテキストプロトコル(MCP)をサポートする外部のAIツールにPendoのデータを安全に公開することができます。
Pendo MCPサーバーをオンにすると:
- 外部のAIクライアントは、既存のPendoログインを使ってOAuthで認証します。
- これらのAIクライアントは、Pendoですでに適用されているのと同じロール、アクセス制御、リージョンを使用して、Pendo MCPツールを呼び出して、使用状況データ、メタデータ、ガイドをクエリできます。
- お客様のAIクライアントとPendo MCPサーバーの間で送信されるデータは、送信中に暗号化され、各顧客のデータを分離し、Pendoの他のサービスのデータリテンションを管理するのと同じポリシーの下で取り扱われます。
MCPで外部AIクライアントを使用する場合、そのクライアントがプロンプトとレスポンスをどのように処理するか(モデルトレーニングを含む)は、そのクライアント独自のデータ使用ポリシーと契約によって管理されます。セットアップの詳細については、「Pendo MCPサーバーへの接続」を参照してください。
モデルのトレーニング
お客様の行動データを使用して、サブスクリプション固有の機械学習モデル(非生成型)を他の顧客データとは切り離してトレーニングします。通常、お客様ごとに1つのモデルをトレーニングしますが、場合によっては、各お客様のプロダクトの特徴ごとに1つのモデルをトレーニングします。これは、訪問者によるアプリケーションの使用に関するインサイトを表面化するために行っています。
つまり、モデルトレーニングを行う際、すべてのトレーニングデータはお客様ごとに個別にスコープ設定され、トレーニングされます。これは、初期モデルおよび後続モデルの両方に適用されます。これによりPendoはお客様に、具体的で、お客様への関連性が高く、充実したインサイトを提供できます。またPendoは企業としての行動指針にこれを維持しています。弊社の行動指針の詳細については、「PendoのAI原則」をご覧ください。
AIシステムのプライバシーとセキュリティ
Pendoは、AIシステムを提供するサブプロセッサを含め、各サブプロセッサとデータ処理契約を締結しています。契約により、これらのサブプロセッサはプライバシーとセキュリティに関する規制基準を維持しなければなりません。たとえば、OpenAIは、お客様がオプトインしない限り、そのAPIを通じて提供された情報をAIモデルのトレーニングに使用しないことを公に約束しています。Pendoはオプトインしておらず、今後もオプトインする予定はありません。
Pendoは独自の大規模言語モデル(LLM)技術や「生成AIエンジン」を開発・運用していません。
サードパーティのAIクライアントがMCPサーバーを介してPendoにアクセスする場合、そのクライアントのリクエストは、OAuthベースの認証、リージョナルルーティング、転送中の暗号化といった同じ契約上の保護と技術的管理の対象となります。データが外部のAIクライアントに提供された後、そのクライアントがどのようにデータを保存、処理、または使用するか(モデル学習を含む)は、Pendoではなく、そのクライアント自身のデータ使用ポリシーとそのクライアントとの契約によって管理されます。
AIを活用したフィーチャーのオプトインとオプトアウト
お客様は、AIを活用したPendoのフィーチャーを利用するかどうか、またいつ利用するかを選択できます。Pendoのサブスクリプション管理ユーザーは、AIアクセスタブ([設定] > [サブスクリプション設定])で特定のAI搭載機能をオプトインおよびオプトアウトできます。ここでは、使用しているAIテクノロジーと、このテクノロジーを提供しているサードパーティプロバイダーがあれば、それを確認できます。これらの設定の詳細については、「AIアクセス」(「サブスクリプション設定」の記事内)を参照してください。
Pendoは、AI機能が自動的に有効化されることで、データの保存や処理方法、規制対応に影響が及ぶことを懸念されるお客様が多いことを理解しています。こうした懸念に対応しつつ、多くのお客様がAI機能の価値を手軽に体験できるように、Pendoの主要なデータ保存・処理に利用しているGCPベースのクラウド環境内で完結する機能のみを、デフォルトで有効にしています。これには、Google Generative AI、Pendo AI、社内開発のAIコードを利用する機能が含まれます。OpenAIとAzure OpenAIの機能はデフォルトでは無効ですが、多くの場合、Pendoのサブスクリプション管理者が有効化できます。一部のAI機能は、規制や地域の制約により、デフォルトで無効化されるか利用できない場合があります。
以下の表では、各機能とその利用可否(有効化/無効化)の詳細を、これらの要素に基づいて示しています。
| Pendoの顧客セグメント | AIテクノロジー | デフォルト設定 |
| Pendoのデフォルト環境(米国)でホストされ、かつ事業提携契約(BAA)を締結していないお客様 | Google生成AI | オン |
| Azure OpenAI | オフ(オプトイン可能) | |
| OpenAI | オフ(オプトイン可能) | |
| Pendo AI | オフ(オプトイン可能) | |
| BAAのあるお客様(医療機関) | Google生成AI | オン |
| Azure OpenAI | オフ(オプトイン可能) | |
| OpenAI | オフ(オプトイン可能) | |
| Pendo AI | オフ(オプトイン可能) | |
| EU、日本、オーストラリアのデータ環境のお客様 | Google生成AI | オフ(オプトイン可能) |
| Azure OpenAI | オフ(オプトイン可能) | |
| OpenAI | オフ(オプトイン可能) | |
| Pendo AI | オフ(オプトイン可能) |
弊社の日本のデータ環境でホストされているお客様向けに有効なAIフィーチャーは、トレーニングを必要としないフィーチャーのみです。これについては、この記事の「Pendoで使用されるAIテクノロジー」セクションにて「内部AIコード」としてラベル付けされています。
注:当社のAI機能は現在オーストラリアの環境ではご利用いただけません。
MCPサーバーを介したPendoデータへのアクセスは、[設定]>[サブスクリプション設定]の[AIアクセス]タブでも制御できます。サブスクリプション管理者は、Pendo MCPサーバーのオン/オフを切り替えることができます。デフォルトはオンで、この設定は現在利用可能なすべての読み取り専用MCPツールを制御し、[AIアクセス]で有効になっているAIプロバイダーを変更しません。
データのセキュリティとプライバシー
Pendoでは包括的な個人情報保護プログラムを採用しています。このプログラムには、年次トレーニング、適切な影響評価を含む一貫したレビュー、お客様と評価の高い第三者機関の両方による継続的な監査などがあります。こうした対策を講じることで、厳しさが増しているプライバシーおよびセキュリティ関連の法律および規制にも準拠しています。たとえばPendoのAIを活用したフィーチャーに関していえば、これらのフィーチャーの提供に関連するサードパーティのサービスプロバイダーに呼び出し(コール)があった場合、その呼び出しは必ず、共通の内部アプリケーションプログラミングインターフェースを介してルーティングされ、呼び出しごとに適切なセキュリティとプライバシーチェックが実施されます。
Pendoはまた、適用されるプライバシー法に基づいて追加的な保護を提供し、すべてのお客様に対してGDPRコンプライアンスを維持しています。なおPendoでは、国や業界特有の推奨事項に基づいて、一部のAIサービスを使用できる場所について自主規制による制限を設けています。
データの保存と処理
お客様のデータは、お客様が選択した既存のクラウド環境に残ります。
プライバシーとセキュリティを維持するために、お客様のデータはセグメント化され、他のお客様のデータとは別に保存されます。弊社では、お客様同士のデータが混ざり合うことがないように、お客様ごとに固有の名前空間を活用した論理分離技術を採用しています。詳細については、「データ収集とコンプライアンス」を参照してください。
データとモデルは専用のクラウドコンテナ内にのみ存在するため、他のPendoのお客様のデータから分離されます。これは、Pendoの情報セキュリティプログラムと、GCPの保護手段およびメカニズムによって安全に保たれます。つまり、お客様のデータとそれに関連するPendoAIモデルは、他のPendoのお客様のデータとは分離されたままになります。お客様ごとに、独自のデータを使用して固有のモデルまたはモデルのセットをトレーニングします。詳細については、この記事の「モデルのトレーニング」を参照してください。
お客様はそれぞれ独自のデータを所有しています。
データの再呼び出し(リコール)
PendoのAI機能について利用をやめる場合でも、すでにLLMで処理されたデータを取り消せません。LLMへの入力(LLMに送信され、LLMによって受信されたデータ)をリコールすることは、現在の機械学習の分野や研究では技術的に不可能です。
そのため、PendoはLLMに入力された内容を取得できません。ただし、PendoはGDPRに準拠しており、信頼と安全性を重視しています。クラウドコンテナ内に存在するすべてのAIモデル(GCP、Azure OpenAI、OpenAI、Pendo AIを含む)を削除できます。削除方法の詳細については、プライバシーポリシーをご覧ください。