Notion AIのセキュリティとプライバシー対策
Notionでは、ユーザーの皆様に、当社のプロダクト、およびユーザー体験の向上にAIを使用する方法に関して透明性を維持することに努めています。ここでは、Notion AIの機能と関連するセキュリティおよびプライバシー対策の概要をご紹介します 🔒
Notionは、AIを活用したさまざまな機能を提供しており、それらはワークスペース全体でシームレスに統合されています。Notion AIには複数のAIツールの機能が搭載されており、すべて一か所で使用できます。たとえば以下のような使い方ができます。
Notionワークスペースや接続済みアプリにある情報の入手
ドキュメントの生成と文章の編集
PDFや画像の分析
GPT-4やClaudeなどのAIモデルの知識を使用した、あらゆるトピックに関するチャット
データベース全体に対する要約やインサイトの自動入力
Notion AIは、ワークスペース上でシームレスに表示されますが、サービス提供のため複数のAIサブプロセッサーのテクノロジーを活用しています。現在の全サブプロセッサーの一覧はこちらのページでご確認いただけます。また、Notion AIに関する詳細はこちらをご参照ください。
Notionは、どの大規模言語モデルプロバイダーを使用していますか?
Notionは現在、Notionに加えてAnthropicやOpenAIなどがホストするさまざまな大規模言語モデル(LLM)を活用しています。私たちはNotion AIユーザーに最高品質の体験を提供するために、LLMプロバイダーとそのモデルを継続的に評価しています。顧客データを処理するサードパーティは、当社のサブプロセッサーページで公表されます。
新しいサブプロセッサーについての通知を受け取るにはどうすればいいですか?
「Subscribe to New Subprocessors」(新規サブプロセッサーの通知に登録する)という件名で[email protected]宛にメールを送信すると、新しいサブプロセッサーについての通知の受信に登録をすることができます。ユーザーが新規サブプロセッサーについての通知の受信を登録すると、Notionは、新規サブプロセッサーにユーザーデータの処理を許可する前に、新規サブプロセッサーについての通知をユーザーに送信します。詳細については、Data Processing Addendum(データ処理に関する付属書)でご確認ください。
Notion AIはワークスペースのコンテンツをどのように使用しますか?
Notion AIは、主に以下の2段階を通じてワークスペース内のコンテンツを参照します。
埋め込み(ワークスペース内に保存されている情報の意味表現)を生成します。
ワークスペース内のコンテンツに基づいて応答を生成します。
埋め込みとは
埋め込みは、テキストやドキュメントを数値表現したものです。これらの表現は、類似のトピックが類似の数値表現を持つ多次元空間のテキストの意味やコンテキストを取り込みます。埋め込みを使用することで、ベクトル検索アルゴリズムが、テキストやドキュメントのさまざまな情報間の類似を効率よく比較して見つけ出すことができます。Notion AIの場合、埋め込みはワークスペースコンテンツから作成され、システムがユーザーの質問に対して正確かつ適切な応答を提供できるようにしています。
以下はOpenAIの埋め込みの一例です。
[
-0.02541878,
-0.0104167685,
-0.0015037002,
...,
-0.004155378,
-0.00043069973,
-0.01679479
]
埋め込みはどのように作成されるか
ワークスペースの各ページで、OpenAIのゼロデータ保持埋め込みAPIを使用して埋め込みを生成します。
Notionは、各Notionページの埋め込みを受信して、それをベクトルデータベース(Pineconeなど)に保存します。ベクトルデータベースは、埋め込みのために最適化されたデータストアで、ユーザーのリクエストに応じて最も関連性のあるページの迅速な検索を可能にするものです。
埋め込みはどのように保護されるか
埋め込みは、ユーザーデータの数値表現ですが、Notionは、ユーザーデータと同じ水準でセキュリティとプライバシーに配慮して埋め込みの処理を行います。弊社のユーザーデータへの取り組みについては、埋め込みに適用される当社のMaster Service Agreement(MSA、サービス基本契約)とData Processing Agreement(DPA、データ処理契約)に記載されています。詳細については、利用規約とプライバシーのページをご覧ください。
埋め込みは、Pineconeのようなベクトルデータベースで保存されます。これらのベクトルデータベースは、SOC2 Type 2認証を取得するために、弊社のセキュリティチームと外部監査人により評価されています。
応答はどのように生成されますか?
ユーザーからのリクエストを、Notionが受け取ります。
リクエストはLLMとAIモデルに渡されます。リクエストでNotionワークスペースを検索する必要がない場合、この時点で応答が生成され、返されます。ユーザーのリクエストでワークスペースの検索が必要な場合、LLMとAIモデルはユーザーのリクエストに最も関連性の高い検索クエリを生成します。
クエリはベクトルデータベースに渡され、クエリとの関連性に基づいてリストページが検索されます。
Notionは、クエリとベクトルデータベースによって特定されたページをLLMとAIモデルに送信し、クエリとの関連性によってページが絞り込まれ、ランク付けされます。
クエリ、絞り込みされたページのリスト、ページのランキングはLLMとAIモデルによって処理され、ユーザーのリクエストを満たす応答を生成します。
Notionは、適切な形式と言語になるようにLLMのアウトプットを処理し、ユーザーに表示します。
Notion AIは、既存のアクセス権限を尊重しますか?
はい、Notion AIは既存のアクセス許可を尊重します。ユーザーの質問に対するAI応答を生成するために使用されるLLMとAIモデルは、ユーザー自身がアクセスできない情報を確認または使用することはできません。
ユーザーデータは、AIサブプロセッサーに送信される時にどのように保護されますか?
Notion AIは、ユーザーデータを保護し、他のサービス利用者に情報が漏洩しないように設計されています。
Notionは、サードパーティのサブプロセッサーやベンダーを採用する前に、そのプライバシー、セキュリティ、秘密保持に関する慣行を評価し、該当するセキュリティ、プライバシー、法律に関わる義務を課す契約を締結しています。すべてのサブプロセッサーは、Notionのセキュリティとプライバシーへの期待に準拠しているか、少なくとも年に一度監査および評価されます。これには、サブプロセッサーの重要性とその他リスク要因に基づく証明報告書、ペネトレーションテスト、その他成果物などのドキュメントの審査が含まれます。オンボーディングと継続的な審査の一環として、ベンダーは配布されるテクノロジーセキュリティ調査を実施、完了する必要があります。サプライチェーンの攻撃対象領域を保護するために、重大なパブリックセキュリティイベントも評価しています。
ユーザーデータをサードパーティに送信する場合、転送中のデータはTLS 1.2以降を使用して暗号化されます。
Notionのデータ処理方法について詳しくは、Data Processing Addendum(データ処理に関する付属書) をご覧ください。
私のデータはモデルの学習に使用されますか?
NotionとAIサブプロセッサーは、デフォルトでユーザーデータをモデルの学習に使用しません。Notionは、AIサブプロセッサーと契約を締結し、ユーザーデータをモデルの学習に使用することを禁止しています。
ユーザーがNotion AIを使用しても、Notionに対し、ユーザーデータを使用してNotionの機械学習モデルのトレーニングを行う権利またはライセンスを付与したことにはなりません。
ユーザーデータはどのように分離されていますか?
個々のユーザーアカウントは、本番環境で個別に保存されています。AIの処理中に、異なるユーザーのデータと統合したり、合わせて処理したりすることはありません。つまり、ユーザーのデータがNotionの他のユーザーに開示されることはありません。
サードパーティAIプロバイダーのデータ保持義務について教えてください。
Notion AIのサブプロセッサーは、データ処理に関してNotionがユーザーに対して負う義務を履行することを認める、データ保持ポリシーを採用しています。
Notion AIを使用する場合、弊社のLLMサブプロセッサーは、ユーザーデータを最長で30日間保存し、削除します。Notion AIは、OpenAIの埋め込みによっても強化されています。OpenAIが、埋め込みサービスを通じてユーザーデータを保持することはありません。
ベクトルデータベースに保存される埋め込みは、ページやワークスペースが削除されてから60日以内に削除されます。
ユーザーがNotionのページまたはNotionワークスペースを削除した場合は、30日以内であればコンテンツを復元できます。30日を過ぎると、データは削除され復元できなくなります。これには、AIが生成したデータと埋め込みが含まれます。データの削除または復元の詳細については、こちらの記事をご参照ください。
Notion AIは、どのようなコンプライアンス基準を満たしていますか?
Notion AIは、さまざまな規制や業界標準への取り組みを示すため、NotionのSOC 2 Type 2レポートおよびISO 27001認証を満たしています。
弊社は積極的な取り組みにより、Notion AIがLLMプロバイダーのゼロリテンションAPIを活用してHIPAA要件を満たし、保護対象保健情報(PHI)を処理できるようにしています。
データ損失防止(DLP)でNotion AIによるデータ使用に対するアラートを設定できますか?
エンタープライズプランのユーザーは、サードパーティのインテグレーションパートナーを使用してNotionワークスペースの機密コンテンツに対するデータ損失防止(DLP)アラートを設定できます。これには、AIプロンプトのコンテンツやAIが生成したコンテンツが含まれます。DLPインテグレーションの詳細については、こちらをご覧ください。
Notion AIの使用について規制はありますか?
Notion AIの使用には、Notion AI Supplementary Terms(Notion AI附則)が適用されます。さらに、Notion AIが生成したコンテンツを含め、Notionのあらゆるコンテンツに対してNotionのContent & Use Policy(コンテンツ&使用ポリシー)が適用されます。これらの規約に違反すると、コンテンツが削除されたり、ワークスペースへのアクセスが停止されたりすることがあります。
Notion AIが生成したコンテンツの権利は、誰に帰属しますか?
Notionは、インプットや生成されたアウトプットの所有権を主張しません。これについては、Notion AI Supplementary Terms(Notion AI附則)の「Input and Output(インプットとアウトプット)」の章でご確認ください。
ユーザーは、Notion AIが処理するインプット(以下「インプット」)を提供し、インプットに基づいてNotion AIが生成して返したアウトプット(以下「アウトプット」)を受け取ります。Notion AIを使用する場合、インプットおよびアウトプットはユーザーデータになります。
当社の標準的なデータ保護慣行もご参照いただけます。