GDPR 対応のための IBM® Voice Gateway および SMS Gateway の考慮事項

PID: 5737-D52,D1STQLL

特記事項:

この資料は、お客様の GDPR 対応の準備を支援することを目的としています。 本書には、構成可能な IBM® Voice Gateway の機能に関する情報が記載されているほか、お客様の組織における GDPR 対応の準備に役立つ、考慮すべき製品使用の側面に関する情報も記載されています。 この情報は、多くの方法でお客様が機能を選択し、フィーチャーを構成することができ、かつ多様で膨大な方法にてこの製品を単体で使用、およびこの製品を第三者のアプリケーションやシステムと組み合わせて使用することができるため、網羅的なリストではありません。

EU の一般データ保護規則 (GDPR) などの各種法規の遵守を保証するのはお客様の責任とさせていただきます。 お客様のビジネスに影響を及ぼす可能性のある関連法令の特定およびそれらの解釈、ならびにかかる関連法令を遵守するためにお客様が講ずるべき必要措置に関する助言は、お客様の責任により適格な弁護士から得るものとします。

ここに記載されている製品、サービス、およびその他の機能は、すべてのお客様の環境に適合するとは限らず、使用可能性が制限されることがあります。 IBM は、法律、会計または監査に関する助言を提供することはしませんし、IBM のサービスまたは製品が、お客様のあらゆる法令遵守の裏付けとなる表明または保証もいたしません。

目次

1. GDPR
2. GDPR のための製品構成
3. データ・ライフサイクル
4. データ収集
5. データ・ストレージ
6. データ・アクセス
7. データ処理
8. データ削除
9. データ・モニタリング
10. データ主体の権利への対応

1. GDPR

一般データ保護規則 (GDPR) は、欧州連合 (EU) によって採択され、2018 年 5 月 25 日から適用されています。

GDPR が重要である理由

GDPR は、個人データの処理に関するデータ保護規制の枠組みを強化しています。 GDPR は、以下をもたらします。

• 個人の新しい権利および強化された権利
• 個人データの定義の拡大
• 個人データを処理する企業および組織の新しい義務
• 不遵守に対して高額の制裁金の可能性
• データ侵害に関する通知の義務付け

GDPR の詳細に関する資料

• EU GDPR 情報ポータル
• ibm.com/GDPR website

2. 製品構成 - GDPR 対応のための考慮事項

以下の各セクションでは、お客様の組織において GDPR 対応の準備を行うための Voice Gateway の構成に関する考慮事項を紹介します。

オファリング構成

Voice Gateway では、エンド・ユーザー (顧客 といいます) とコグニティブ・サービスの間の通信を調整するためにさまざまなマイクロサービスが組み合わされています。 Voice Gateway 自体は、エンド・ユーザーの権利を侵害するような方法でデータの保管、収集、および処理を行いませんが、ユーザーが有効にする外部サービスの構成によっては、これらの統合サービスが GDPR に違反する可能性があります。

Voice Gateway には、音声エージェントやエージェント・アシスタントとの会話中に顧客が提供する情報を経路指定するいくつかのタイプのマイクロサービスが含まれています。 これらのマイクロサービスはデータの収集や保管を行わず、Data at Rest (保存されたデータ) はありません。 通常の操作中に、Voice Gateway のパフォーマンスを追跡するために生成されるログに顧客の電話番号が含められる可能性があります。 これらのログは診断のために使用され、システム管理者特権を持つユーザーのみがアクセス可能です。 さらに、ログは、ユーザーがカスタマイズできる期間の後で定期的に上書きされます。

Voice Gateway には以下のマイクロサービスが組み込まれています。

• SIP Orchestrator
• Media Relay
• SMS Gateway
• Speech to Text Adapter

Voice Gateway がデータとどのように対話するかの理解を深めるには、データ・ライフサイクルに関する詳細をお読みください。 または、『Voice Gateway について』の資料と『SMS Gateway について』の資料でそれぞれの詳細な説明を参照することができます。

データ処理要件をサポートするための構成

暗号化

顧客のデータの暗号化は、ユーザーの責任で行う必要があります。 ユーザーは、IBM® Text to Speech キャッシュを保護して GDPR の遵守をサポートするために、Voice Gateway がデプロイされているディスクを暗号化する必要があります。 概説を参照してください。

構成の制限

トラブルの回避: ユーザーは、GDPR に準拠しないように Voice Gateway のインスタンスを構成することができます。Voice Gateway と統合されているすべての外部サービスは個別に評価する必要があります。

データ・プライバシーをサポートするための構成

ユーザーは、Voice Gateway Text to Speech の書き起こしキャッシュが保管されているディスクを暗号化することで GDPR の要件に対処できます。 また、ログを定期的に上書きするように Voice Gateway を構成することもできます。

Text to Speech キャッシュの除外

顧客と対話するために、Watson Assistant は、応答をテキストとして作成します。この応答は、SMS Gateway で顧客に送信されるか、Text to Speech サービスに渡されて Voice Gateway で読み上げられます。 Watson Assistant が作成する応答には、機密情報が含まれていることがあります。 Text to Speech サービスから受信した、個人データを含む応答を Voice Gateway がキャッシュに入れないようにするために、vgwActExcludeFromTTSCache アクション・コマンドを有効にして、特定のタイプの情報を含む発話をキャッシュ対象から除外することができます。 『Voice Gateway API のアクション・タグおよび状態変数』を参照してください。

ロギング

電話番号は、問題診断とパフォーマンス評価のために Voice Gateway の操作中にログに記録され、その後新しいログで定期的に上書きされます。 ユーザーは、ログが上書きされる時間間隔をカスタマイズするようにマイクロサービスを構成できます。

Media Relay

MEDIA_RELAY_LOG_LEVEL、MEDIA_RELAY_LOG_ROTATION_FILE_COUNT、または MEDIA_RELAY_LOG_ROTATION_PERIOD の各変数を変更することで、ログが保持される時間を調整するように環境変数を構成することができます。 これらの環境変数のデフォルト設定を使用すると、顧客情報が収集されたりログに保管されたりしないようにすることができます。 『 Voice Gateway のロギングおよびトレースの構成』を参照してください。

• MEDIA_RELAY_LOG_LEVEL: デフォルトでは、この変数は INFO に設定されます。Voice Gateway に関する操作情報のみを含めます。 DEBUG ロブおよび TRACE ログには、書き起こしを含むより詳細な操作情報を含めることができます。
• MEDIA_RELAY_LOG_ROTATION_FILE_COUNT および MEDIA_RELAY_LOG_ROTATION_PERIOD: これらの変数は、保持されるファイルの数と、そのファイルにログが保管される時間を決定します。 例えば、MEDIA_RELAY_LOG_ROTATION_FILE_COUNT のデフォルト設定は 10 であるため、10 個のファイルが保持されます。 MEDIA_RELAY_LOG_ROTATION_PERIOD のデフォルトは 1d で、各ファイルは 1 日 (24 時間) の間に収集されるログのレコードです。 これは、10 日ごとにログ・ファイルが循環および上書きされることを意味します。 MEDIA_RELAY_LOG_ROTATION_FILE_COUNT または MEDIA_RELAY_LOG_ROTATION_PERIOD のいずれかを小さくすることで、ログが保持される期間を短くすることができます。

SIP Orchestrator

顧客と音声エージェントや SMS エージェントとの間の会話の書き起こしには、個人情報が含まれている可能性があります。 ロギングにこれらの書き起こしを含むように設定することができますが、Voice Gateway では、書き起こしの収集はデフォルトで無効になっています。 『Voice Gateway のロギングおよびトレースの構成』を参照してください。

ENABLE_TRANSCRIPTION_AUDIT_MESSAGES を false に設定することで、書き起こしが確実にログ・メッセージに含められないようにすることができます。

LOG_LEVEL を FINE、FINEST、または ALL に設定すると、顧客データが SIP Orchestrator ログで収集される可能性があります。 顧客の個人情報がログ・ファイルに収集されないようにするには、LOG_LEVEL が off、fatal、severe、warning、または info に設定されていることを確認してください。

maskCallerID 環境変数は発信者番号を非表示にすることができます。 値はデフォルトで false に設定されます。これは、電話番号が表示されることを意味します。 maskCallerID 変数を true に設定して、この種の個人情報を収集しないようにすることができます。

SMS Gateway

顧客と音声エージェントや SMS エージェントとの間の会話の書き起こしには、個人情報が含まれている可能性があります。 ロギングにこれらの書き起こしを含むように設定することができますが、Voice Gateway では、書き起こしの収集はデフォルトで無効になっています。

ENABLE_TRANSCRIPTION_MESSAGES を false に設定することで、書き起こしが確実にログ・メッセージに含められないようにすることができます。

LOG_LEVEL を FINE、FINEST、または ALL に設定すると、顧客データが SIP Orchestrator ログで収集される可能性があります。 顧客の個人情報がログ・ファイルに収集されないようにするには、LOG_LEVEL が off、fatal、severe、warning、または info に設定されていることを確認してください。

環境変数の構成方法について詳しくは、『SMS Gateway の構成変数』を参照してください。

レポートの転送

ユーザーは、通話関連のイベントをモニターして品質保証を向上させるために、Voice Gateway と統合するように外部サービスを構成することができます。 通話データとレポート・イベントは、Voice Gateway 内で保管、処理、収集されません。ユーザーは、GDPR に準拠するように外部サービスを適切に構成する必要があります。 デフォルトでは、これらの構成は無効になっています。

Watson サービスのレポート・イベント

Watson Assistant turn イベントと transcription イベントを含むレポート・イベントを生成して外部サービスに転送するように Voice Gateway を構成することができます。 これらのイベントには、保護医療情報 (PHI)、個人情報 (PII)、または PCI データ・セキュリティー基準 (PCI DSS) のデータを含む可能性があるテキスト書き起こしやその他の情報が含まれます。 このデータは、Voice Gateway を使用して保管、収集、処理されません。ユーザーによって構成されたサービスに転送されるだけです。 そのため、ユーザーが倫理的にデータを処理して、GDPR に準拠するように外部サーバーを適切に構成することが重要です。 『レポート・イベント』を参照してください。

通話録音

デフォルトでは、通話録音は無効になっていますが、ユーザーは、通話録音がインストールされているファイル・システムでは通話音声を WAV ファイルに録音するように Voice Gateway を構成することができます。 録音には、顧客と音声エージェントからの音声が取り込まれます。 録音を保護して、GDPR に準拠するには、顧客は、Voice Gateway がデプロイされているシステムのディスクを暗号化する必要があります。 ユーザーが、GDPR に準拠するようにデータを適切に構成して処理することが重要です。 『通話データの記録およびモニター』を参照してください。

データ・セキュリティーをサポートするための構成

アクセスの制限

ログや Text to Speech データ・キャッシュが格納されているマシンのコンポーネントへのアクセスは、管理者特権を持つユーザーのみに許可する必要があります。 正常な機能のためには、管理者以外のユーザーは Text to Speech キャッシュにアクセスできてはなりません。

3. データ・ライフサイクル

エンドツーエンド・プロセス

Voice Gateway と対話するユーザーには 2 つのタイプがあります。環境を管理するユーザーと、電話をかけて音声エージェント、エージェント・アシスタント、SMS エージェントと対話する顧客です。 通常、管理者は、個人アカウントではなくビジネス・アカウントでログインするように構成されます。 管理者から収集されたデータには、サービス ID、サービス・パスワード、および管理アクションの監査証跡 (IP アドレス、管理インターフェース、パラメーター、および結果が含まれている可能性がある) が含まれていることがあります。 データは、ログ・ファイルと監査ログに保持される場合があり、通常はセキュリティー監査とフォレンジック分析のために必要です。 なお、Voice Gateway は、管理データを収集しません。

Voice Gateway インフラストラクチャーは、顧客と音声エージェントや SMS エージェントとの間の会話を調整します。 顧客は、Voice Gateway によってホストされた電話番号に電話します。 その後、顧客は音声によって音声エージェントと対話できます。 Voice Gateway は、エージェントをシミュレートするために使用されるサービスと顧客との間の情報のフローを調整して、会話を可能にします。 Voice Gateway 操作の一部として、顧客の音声は IBM® Speech to Text によって書き起こされ、応答を作成するために Watson Assistant によって分析されてから、応答は IBM® Text to Speech によって音声に合成され、発信者にストリーミングされて戻されます。 SMS Gateway では、顧客は SMS エージェント・セッションと対話します。 SMS Gateway は、顧客と Watson Assistant との間の会話を調整します。

ユーザーは、音声による会話または書き起こされた会話を通してオファリングと対話するため、会話のやり取りで求められる従来の礼儀と社会規範が守られるように、個人の ID が Voice Gateway と SMS Gateway を通過する可能性があります。 デフォルトでは、Voice Gateway と SMS Gateway は、顧客の個人情報を保管しません。 このデータは、外部サービスへのこのデータの送信を調整するために必要な期間のみ Voice Gateway 内に存在します。

Voice Gateway のデータ・ライフサイクルと操作の詳細については、音声エージェントと SMS エージェントのどちらでも、Voice Gateway の操作の概要が記載された以下のトピックを参照してください。

• Voice Gateway について
• SMS Gateway について

Voice Gateway と SMS Gateway 自体は、エンド・ユーザーの権利を侵害するような方法でデータの保管、収集、および処理を行いませんが、ユーザーが有効にするサービスの構成によっては、統合サービスが GDPR に違反する可能性があります。 ユーザーは、以下の領域を含め、GDPR 対応のために Voice Gateway と SMS Gateway のインスタンスを構成する方法を考慮する必要があります。

• 必要に応じて顧客への挨拶で同意を求めることで、適切な同意が得られるようにする。
• Text to Speech データ・キャッシュと通話録音 (明示的に有効になっている場合) を保護するためのディスクの暗号化。
• vgwActExcludeFromTTSCache アクション・コマンドを使用して、発話をキャッシュから除外することによって、Voice Gateway で PII がキャッシュに入れられないようにする。 『Voice Gateway API のアクション・タグおよび状態変数』を参照してください。
• 定期的にログを上書きする。 ログはデフォルトで上書きされます。 『Voice Gateway のロギングおよびトレースの構成』を参照してください。
• 会話の書き起こしを含むログを無効にする。 ログには、デフォルトでは会話の書き起こしは含められません。 『Voice Gateway のロギングおよびトレースの構成』を参照してください。

明示的な要件

Voice Gateway または SMS Gateway のインスタンスを構成する際には、必ず構成が GDPR の明示的な要件を満たすようにする必要があります。

1. 適切な同意 (契約、サービス、明示的なデータ主体の同意) が得られるようにします。
2. アプリケーション/ソリューションにおけるデータの所在を理解します。
3. データが以下の処理によって確実に保護されるようにします。
   • 暗号化
   • アクセス制御
   • 追加の制御
4. 当該データの保存期間が明確に定義されるようにします。
5. 保存期間の終了時にデータが削除されるようにします。
6. データ主体の権利をすべて満たすようができるようにします。
   • プライバシー・ポリシーや声明に関するより高い水準の規格、および同意を得るためのより高い水準の規格
   • データ主体による個人データへの容易なアクセス
   • 個人データの消去要請に対する拡張された権利
   • 個人データを別の組織に転送するための権利 (移植性)
   • 現在明示的にプロファイルが含まれているものの処理に反対する権利

IBM とのオンラインによる連絡のために使用される個人データ

IBM® Voice Gateway のお客様は、Voice Gateway および SMS Gateway の問題について IBM に連絡するために、さまざまな方法を使用してオンラインでコメント/フィードバック/要求を送信することができます。主に以下のようなものがあります。

• IBM developerWorks の Voice Gateway および SMS Gateway のコミュニティーのページにあるパブリック・コメント領域。
• IBM Knowledge Center の Voice Gateway および SMS Gateway の資料のページにあるパブリック・コメント領域。
• dWAnswers の Voice Gateway および SMS Gateway のスペース内のパブリック・コメント。
• Voice Gateway および SMS Gateway のコミュニティーのフィードバック・フォーム。

通常は、連絡された用件について個人的に返信されるように、お客様の名前と E メール・アドレスのみが使用され、個人データの使用は IBM オンライン・プライバシー・ステートメントに準拠しています。

4. データ収集

Voice Gateway や SMS Gateway を使用して顧客から個人データを収集する場合は、GDPR 要件への遵守はユーザーの責任で行う必要があります。 補助データベースやサービスに転送できるデータには、書き起こし、ログ、および使用量データが含まれます。 ユーザーは、ダウンストリーム・サービスから収集するデータについて顧客にプライバシーに関する通知を行う必要があるかどうかと、同意を求める必要があるかどうかを評価する必要があります。

Voice Gateway では、録音された挨拶の顧客への再生がサポートされます。 ユーザーは、Voice Gateway から外部サービスにデータを転送する場合に、顧客の個人データの使用に関する同意を求める記述を含めるようにこの挨拶を構成することができます。

5. データ・ストレージ

透明性とデータの最小化

Voice Gateway は、操作に最低限必要な範囲を超えてエンド・ユーザーのデータの収集、処理、および保管を行いません。

ユーザーは、Voice Gateway や SMS Gateway との会話で顧客によって提供される個人データを保管するようにアプリケーションを構成できますが、この個人データは、Voice Gateway や SMS Gateway によって収集、処理、および保管されません。

Voice Gateway や SMS Gateway と統合された外部サービスに保管される個人情報へのアクセスを保護するには、以下の操作を検討してください。

• パスワードと監査ポリシーを強制する外部のユーザー・レジストリーを優先する。
• ユーザー・レジストリーと外部リソースへのアクセスにパスワード暗号化を使用する。
• データベースなどの外部リソースへのアクセスの構成時に個人アカウントを使用しない。
• 個人情報が保管される管理アカウントや操作アカウントを作成しない。 個人情報を含まないビジネス・アカウントを使用してください。

6. データ・アクセス

適切に定義された管理者特権を持つ Voice Gateway ユーザーのみが、Voice Gateway 内のログ・データや Text to Speech データ・キャッシュにアクセスできます。 ユーザーが、問題の解決に役立つようにログ・データを IBM に明示的に提供した場合を除き、IBM は Voice Gateway や SMS Gateway 内のデータにはアクセスできません。 ユーザーが IBM や外部の組織にログを提供した場合、データをサニタイズして GDPR 要件を満たすために必要な手順を行うのはユーザーの責任になります。

ユーザーは、Voice Gateway や SMS Gateway と統合されたすべての外部サービスを、GDPR に確実に遵守するように構成する必要があります。

7. データ処理

Voice Gateway は、データを処理する他のサービスにデータを提供するためのコンジットです。 これには、Voice Gateway を通過する音声のテキスト書き起こしおよび音声データが含まれます。 Voice Gateway の外部でデータを処理するサービスには、Speech to Text、Text to Speech、および Watson サービス (Watson Assistant など) が含まれます。 音声録音が有効になっている (GDPR を考慮すべきときには推奨されません) 場合を除き、Voice Gateway 内には Data at Rest はありません。 音声サービスとアシスタント・タイプ・サービスへのデータ・パスはすべて、TLS 1.2 を使用して暗号化されます。 Voice Gateway では、RTP メディア・トラフィックの暗号化はサポートされません。 このトラフィックは通常、SIP トランク・サービス・プロバイダーによって保護されるか、Voice Gateway があるネットワークの境界で暗号化解除されます。

暗号化

Voice Gateway は、Data at Rest の保管と収集や、個人データの処理を行いません。

顧客によって提供されるデータは、通信インフラストラクチャーを介して SIP エンドポイントに送信されます。 Voice Gateway や SMS Gateway を通るデータは、デフォルトで暗号化されます。 『Voice Gateway について』および『SMS Gateway について』を参照してください。

8. データ削除

データ削除の特性

Voice Gateway と SMS Gateway は、ユーザー定義のサービスとアプリケーションの間のデータ・フローを調整します。 ユーザー定義の外部サービスによって収集されるデータのタイプと、そのような情報が削除される方法は、ユーザーが決定します。

9. データ・モニタリング

ユーザーは、GDPR に準拠するための技術的対策と組織的対策の有効性を定期的にテストおよび評価する必要があります。

顧客は、GDPR に準拠するための技術的対策と組織的対策の有効性を定期的にテストおよび評価する必要があります。 これらの対策には、継続的なプライバシー評価、脅威モデリング、一元管理されたセキュリティー・ロギングとモニタリングなどを含める必要があります。

Voice Gateway でのロギングの完全な概要は、実動資料に記載されています。 『SMS Gateway のロギングおよびトレース』および『Voice Gateway のロギングおよびトレースの構成』を参照してください。

GDPR を考慮する必要があるときは Voice Gateway で Data at Rest を有効にしてはならないため、機密情報へのアクセスはログ・ファイルからのみ行われます。 ログ・ファイルには、発信者の電話番号などの項目が含まれていることがあります。 transcription イベントは、デバッグのためにロギングで有効にすることもできますが、デフォルトでは無効になっており、実動デプロイメントでは無効にする必要があることに注意してください。

10. データ主体の権利への対応

Voice Gateway と SMS Gateway は Data at Rest の保管、個人データの収集と処理を行わないため、ユーザーは、データ主体の要求を解決するために、外部サービスで収集するデータを調べる必要があります。 Voice Gateway や SMS Gateway によってログに記録されるデータはすべて、特定の時間間隔で上書きされます。

データ主体の要求は、Voice Gateway の機能としては直接サポートされない要求です。 Voice Gateway は、音声ボットの作成を促進します。 音声ボットが何らかの形式の個人データを収集する場合、データ主体の要求への対応は、ボット作成者の責任で行う必要があります。 これは、Voice Gateway が提供する内容の範囲外です。