ビジネスデータのプライバシー、セキュリティ、コンプライアンス
信頼、セキュリティ、プライバシーは OpenAI の使命の中核を成すものです。ChatGPT Enterprise、ChatGPT Business、ChatGPT Edu、ChatGPT for Healthcare、ChatGPT for Teachers、そして当社の API プラットフォーム全体にわたり、組織のデータは常に機密性と安全性が保たれ、完全に組織が所有します。
OpenAI に信頼を寄せるブランド
OpenAI のセキュリティとプライバシー
デフォルトでは、ユーザー組織のデータを使用してモデルが学習することはありません。
デフォルトでは、ChatGPT Enterprise、ChatGPT Business、ChatGPT Edu、ChatGPT for Healthcare、ChatGPT for Teachers、または当社の API プラットフォームのデータ(入力および出力を含む)は、モデルの学習や改善に使用されません。当社のモデルは、インターネット上で公開されている知識、サードパーティとのパートナーシップを通じて提供されるデータ、当社の研究者が提供または生成する情報に基づいて学習しています。モデルの改善にご協力いただける場合は、API ダッシュボードで明示的に同意を設定(新しいウィンドウで開く)することができます。
お客様のデータは、保存時のほか、お客様と OpenAI 間および OpenAI とサービスプロバイダー間での転送時に暗号化されます。
入力を送信する場合でも出力を受信する場合でも、ビジネスデータは不正アクセスから保護されます。業界標準の強力な暗号化技術を使用してお客様のデータを保護しています。これには、保存時の AES-256 暗号化や転送時の TLS 1.2 以上の使用が含まれます。
Enterprise キー管理(EKM)(新しいウィンドウで開く)により、お客様は自身の暗号化キーを管理できるため、セキュリティとコンプライアンスがさらに向上します。
適格な組織がコンプライアンスを維持できるよう、データ保持の制御機能を提供しています。
要件を満たす組織は、OpenAI がビジネスデータを保持する期間を設定でき、API プラットフォームでのゼロデータ保持ポリシーを選択することも可能です。
ChatGPT Enterprise、Business、Edu、API プラットフォーム(新しいウィンドウで開く)における当社のデータ保持ポリシーについて詳しくは、こちらをご覧ください。
製品とインフラストラクチャにセキュリティを組み込んでいます。
セキュリティは設計段階から始まります。当社はゼロトラストや多層防御のアプローチを採用し、全体的なセキュリティプログラムを構築しています。当社のソフトウェア開発ライフサイクルでは、設計段階からセキュリティを製品に組み込み、サプライチェーンに対するリスクにも適切に対応しています。エンドポイント、インフラ、ネットワーク、アプリケーション全体にわたり、多層的なセキュリティコントロールを実装しています。また、エージェントなど次世代技術の研究とセキュリティにも積極的に投資しています。
徹底したテストと監視によってお客様のデータを保護しています。
OpenAI のセキュリティチームは潜在的なセキュリティインシデントに備えて年中無休でオンコール体制を敷いており、自動アラートと手動の調査プロセスによって不審な活動に対応します。OpenAI のインフラストラクチャは、最高水準のセキュリティ基準に適合していることを保証するため、独立した第三者による定期的な監査(レッドチームや敵対的評価など)を受けています。
コンプライアンスとガバナンス
業界標準および規制コンプライアンス要件を遵守しています。
OpenAI のデータ保護慣行は、GDPR、CCPA などのプライバシー法への準拠を支援します。また、CSA STAR(新しいウィンドウで開く)、SOC 2 Type 2 Trust Services Criteria(新しいウィンドウで開く)、ISO/IEC 27001(新しいウィンドウで開く)、27017(新しいウィンドウで開く)、27018(新しいウィンドウで開く)、27701(新しいウィンドウで開く) といった各種認証・規格に整合しています。当社は、ChatGPT for Healthcare および API ヘルスケアのお客様が HIPAA コンプライアンス要件に対応できるよう、OpenAI とのビジネスアソシエイト契約(BAA)(新しいウィンドウで開く)を提供しています。さらに、企業のデータ処理要件をサポートするため、データ処理補遺への署名も支援しています。
組織が地域ごとのコンプライアンス要件を満たせるよう、データレジデンシーを提供しています。
対象となる ChatGPT Enterprise、ChatGPT Edu、ChatGPT for Healthcare、および API プラットフォームのお客様は、米国、欧州、英国、日本、カナダ、韓国、シンガポール、オーストラリア、インド、UAE で機密性の高い顧客コンテンツを保存し、各地域のデータ主権要件への対応を支援できます。
保存時のデータレジデンシーに加え、対象のお客様は米国または欧州での地域内 GPU 推論を選択でき、API 利用者はサポートされている API エンドポイントでのデータ処理(GPU 推論および非 GPU 処理)についても、米国または欧州を明示的に選択できます。
ChatGPT(新しいウィンドウで開く) および API(新しいウィンドウで開く) のデータレジデンシーの詳細はこちらをご覧ください。
製品セキュリティ管理
IT チームがユーザーや権限を効果的に管理できるよう、エンタープライズグレードのアクセス管理を提供します。これらの機能により、許可された担当者のみがシステムにアクセスできるようにし、機密情報へのアクセス権を組織が完全に管理できるようになります。
API(新しいウィンドウで開く) と ChatGPT でアクセス制御を管理する方法をご覧ください。
多要素認証(MFA)(新しいウィンドウで開く):セキュリティをさらに強化(TOTP 認証をサポート)
ロール(新しいウィンドウで開く):3種類のユーザーを定義(メンバー、管理者、所有者)
GPT 制御:サードパーティの GPT へのアクセスを有効または無効にする
シングルサインオン(SAML SSO):ユーザーは単一の認証情報で複数のアプリケーションにシームレスにアクセス可能
基本的な分析:ワークスペース全体でモデルと機能の使用状況を追跡
Includes everything in Business
SCIM(新しいウィンドウで開く) enables IT administrators to automate provisioning and deprovisioning of user accounts
Role-based access controls(新しいウィンドウで開く) to create and assign custom roles by group, and set permissions for tools like apps, shared projects, GPTs, and web search
User analytics for real-time visibility into adoption, engagement, and usage trends
Microsoft Intune support on iOS/iPadOS for managing mobile access through Intune App Protection Policies and Conditional Access
MFA(新しいウィンドウで開く) でセキュリティをさらに強化(TOTP 認証をサポート)
SAML SSO:ユーザーは単一の認証情報で複数のアプリケーションにシームレスにアクセス可能
プロジェクトとプロジェクト制限(新しいウィンドウで開く):ワークスペース内のアクセス、使用状況、支出を細かく制御
Admin API(新しいウィンドウで開く):組織の所有者とセキュリティチームがアクセスと権限を管理
Audit Logs API(新しいウィンドウで開く) :セキュリティとコンプライアンスのリスクを完全に可視化
使用状況ダッシュボード(新しいウィンドウで開く):機能、製品、チーム、プロジェクトレベルで API の利用使用状況を追跡